摘要：建立一套有效的安全防范体系保护校园的数据应用安全，已经成为一个非常重要的问题。在长期实践的基础上，本文提出了一种以安全策略为核心，以安全技术作为支撑，以安全管理和服务作为落实手段，并通过安全培训加强所有人的安全意识，来建立一套完善的安全防范体系的方法。

　　关键词：校园数据中心 网络安全体系

　　1. 引言

　　随着教育信息化进程的推进，中小学学校校园网的普及和应用系统越来越重要，信息系统的安全已经成为各级领导、网络管理员非常重视的问题。特别是互联网上的不良信息、非法入侵、系统漏洞、病毒等对校园网及应用系统产生了巨大的威胁。

　　因此，对信息网络系统的安全和服务质量也提出了更高的要求，要求信息网络系统能够提供优质服务的同时，保护网络和用户系统的安全。但目前中小学学校普遍存在着教师教学工作繁重，计算机技术水平不高，学校没有专职的网管员，一般计算机老师又要承担教学，电脑设备维护、网络管理等，各级学校由于技术人员提供的服务水平参差不齐，如何保证信息系统的正常运行和安全，如何能够以最少的投入保证系统的安全，保证信息系统的服务质量，就成为中小学学校信息化发展到一定程度时必须考虑的问题。

　　2. 构建校园网络安全防范体系

　　计算机安全的模型包含四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。P2DR模型如图1所示：

　　图1 P2DR模型

　　安全防范体系中的策略、防护、检测、响应始终都贯穿着安全技术和安全管理两个方面的重要内容，校园网主要的服务对象是广大师生，而学生又是最为活跃的网络群体，因此在校园中的信息安全更为突出。

　　网络安全防范体系应该是动态变化的。安全防护是一个动态的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，而校园数据中心自身的情况也在不断地发展变化，在完成安全防范体系的架设后，必须不断对此体系进行及时的维护和更新，才能保证网络安全防范体系的良性发展，确保它的有效性和先进性。

　　网络安全防范体系构建是以安全策略为核心，以安全技术作为支撑，以安全管理作为落实手段，并通过安全培训加强所有人的安全意识，完善安全体系赖以生存的大环境。安全体系的示意图如图2所示。

　　图2 安全防范体系示意图

　　下面将逐一描述安全策略及安全体系的各个组成部分。

　　最底层是安全技术层：常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范、补丁分发等。这些工具和技术手段是网络安全体系中直观的部分，缺少任何一种都会有巨大的危险，因为网络安全防范是一个整体概念。但中小学校园网往往经费有限，不能全部部署，这时就需要我们在安全策略的指导下，统一规划、分步实施。在网络安全体系中它们不能简单地堆砌，而是要合理部署，互联互动，形成一个有机的整体。

　　安全管理：安全管理贯穿整个安全防范体系，是安全防范体系的核心。代表了安全防范体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理。通过安全制度的落实，获得有效的网络安全保障。

　　安全培训：最终用户的安全意识是信息系统是否安全的决定因素，因此对校园网络用户的安全培训是整个安全体系中重要、不可或缺的一部分。

　　安全服务：这是面向中小学校网络管理的一个重要的方面，通过网络安全服务商，定期对深圳市教育网、各区网络中心及其直属学校的网络管理人员、安全管理制度、网络设备进行安全巡查、技术咨询和技术检测，对发现的问题及时解决。安全服务内容包括以下几个方面：

　　系统级安全服务：

　　应用级安全服务：

　　客户级应用安全服务：

　　3. 深圳市校园网安全防范体系

　　3.1 安全策略的制定

　　深圳市各中小学校园网通过深圳市教育城域网、电信VPN、有线电视网等多种形式与国际互联网相联。在安全结构上可以分为三级；市级教育网网络中心、区级教育网络、学校校园网，安全结构覆盖了全市中小学。使用的操作系统包括Windows server 2000、Linux、Windows XP等；使用的应用软件主要包括SQL Server、IIS等。校园网建设初期，由于对安全建设投入的不足，各级网络安全缺乏统一的的安全策略。

　　从2004年开始，我们提出了比较明确的安全体系和近期目标，要求各级网络在出口加装防火墙、防病毒，保证所有的机器都必须设防，能够抵御一般水平的黑客和病毒攻击；实现完善的安全审计和取证机制，保证受到入侵和不良信息损害后有证可查，鉴于大多数安全事件来自于管理员的安全管理，审计在明确事故责任上也能发挥重大作用；建立安全预警系统，能够抵御较高水平的黑客攻击。明确数据中心内服务器的安全优先级等。