河南省2007年招生考试科研课题结项书

课题编号_0720005_课题名称__网上录取安全保障工作的理论与实践研究课题负责人_王乐_所在单位_河南省招生办公室科技信息处__河南省招生办公室2007年11月24日课题编号0720005课题名称网上录取安全保障工作的理论与实践研究课题组成员姓名性别年龄职称/职务工作单位联系电话王乐男32工程师省招办信息处68101665张志宏男42教授省计算机安全协会69130800王涛男37理事省计算机安全协会69130800宋涛男25工程师省招办信息处68101632赵锋男28工程师省招办信息处68101634张继锋男31技术工程师省计算机安全协会69130800李浩杰男29技术工程师省计算机安全协会69130800课题组负责人签字年月日课题组负责人所在单位意见盖章负责人:年月日省招办意见盖章负责人:年月日网上录取安全保障工作的理论和实践研究王乐河南省招生办公室科技信息处摘要:本文回顾并总结了历年来河南省招生办公室在网上录取系统安全保障工作中的实践经验,结合当前公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》的要求,跟踪信息安全领域不断发展的技术手段和信息安全理论,对网上录取安全保障工作理论和实践进行了深入的研究.

关键词:信息安全等级保护风险评估安全保障网上录取业务信息系统前言网上录取是指以计算机信息处理技术和互联网技术为基础,结合相关管理办法形成的高校招生录取新方式,即招生部门和招生高校通过计算机互联网办理考生档案调阅和考生录取的有关事项.

网上录取是教育部在全国范围内推开招生管理体制改革的重要手段,实现远程网上录取,引发了招生管理的改革,使招生工作从粗放型转向了精确型,从以纸介质为信息载体转向了以电子介质为信息载体.
这一基于开放的、自由的、国际化的互联网络发展技术基础之上的招生体制革命不仅带来了管理上和思想上的改变,同时也带来了一系列的业务安全性保障以及服务提供保障等问题.
如何在这一新的模式和管理体制下保护考生的机密信息和数据不受黑客和计算机病毒的侵害,同时保障网上录取业务信息系统安全、顺利、可控运行是我们所要考虑的重要问题.

因此,网上录取安全保障工作是新的招生管理体制下招生录取工作中一项非常重要的工作.
随着信息化的发展,网络安全技术也在不断的发展和变化,新的漏洞不断的出现,新的攻击模式和方法不断的产生,越来越严峻的安全形势对我们的信息安全保障工作提出了更高的技术和管理要求.

网上录取安全保障工作实践2006年是河南省招生办公室按照教育部要求实行远程网上录取工作的第四年,信息安全保障工作作为河南省招生办公室远程网上录取工作的有效保障,一直以来都受到了河南省招办领导的高度重视!
为了应对日益纷繁复杂的网络安全形势,确保招生工作的顺利开展,河南省招生办公室在办领导的带领下进行了四年的网上录取安全保障工作的实践.

在历年的招生录取工作中,河南省招生办公室网上录取安全保障工作主要是针对安全保障工作存在的安全漏洞及薄弱环节,本着管理结合技术,技术为管理服务的原则,为网上录取工作顺利进行提供技术和服务保障,为领导决策提供数据支持,在几年的摸索和实践中积累了一套较完备的技术和服务经验.
这些实践经验为网上录取安全保障理论研究工作提供了丰富的印证和促进.

一、各单位的鼎力协作在每年的录取工作正式开展以前,河南省招生办公室即与河南省公安厅公共信息网络安全监察总队、河南省计算机安全协会、河南省计算机网络安全响应中心等网络安全执法和技术支撑单位取得联系,由以上单位派驻公安干警及网络安全技术人员全程在录取现场保驾护航,并由省公安厅牵头多次召开由河南省通信公司及河南省电力公司等主要领导参加的协调会,确保录取现场的通讯及电力线路的畅通.

二、领导重视每年的录取工作网络安全问题得到了各级政府及招办领导的重视,在录取现场设立了网络安全监控机房,加大网络安全设备的投入,成立了以省招办主要领导为首的网络安全领导小组和应急响应小组.
在录取工作期间,省政府、省人大、政协、教育部高教司、宣传司、省招办主要领导都曾多次到监控机房视察工作,听取汇报,并作出重要指示.

三.
技术措施由于新的网络安全技术层出不穷,每年的网上录取安全保障工作都会面临不同的新的挑战,新的安全保障技术措施也在不断的使用到我们的招生录取系统中,河南省招生办根据每年远程录取网络的状况,联合由省计算机安全协会及省计算机网络安全响应中心的网络安全专家和技术人员进行分析,根据当前录取网络现状订制出一套符合录取网络特点的安全技术措施,确保录取网络的安全.
现将每年经过实践检验非常有效的具体措施列举如下:1.
针对录取网络的漏洞扫描及网络安全风险评估通过网络安全风险评估,找出录取网络的薄弱环节,提交评估报告.
2.
网络安全加固根据网络风险评估报告,经双方技术人员讨论后订制加固方案.
对网络上运行的所有客户端,软硬件及网络设备实施加固,关闭网络运行不必要的服务.
在实施安全加固后进行二次漏洞扫描并实施二次加固,确保录取网络不留隐患,不留死角,不给入侵创造条件.

3.
架设防病毒服务器目前网络完全的主要危害90%在于病毒的入侵,特别是近期流行的病毒都是带有攻击行为的混合型蠕虫病毒,病毒的入侵轻则造成网络变慢,带宽堵塞,重则造成设备的瘫痪或数据的丢失.
因此我们采用了世界领先的诺顿网络防病毒软件架设防病毒服务器,并在所有录取用PC机和服务器上安装防病毒客户端,杜绝病毒的入侵.

4.
身份认证及防火墙系统根据教育部文件要求,河南省招办录取网络采用了清华得实的身份认证系统和硬件防火墙,所有的数据经加密后下载和上传.

5.
入侵检测及流量监控河南省招生办公室录取网络在两条通信线路(中国网通和教育网)上分别部署了两台基于网络的入侵检测和两台流量监控机,通过24小时不间断的监控和预设的报警策略,能够及时的发现入侵事件,作出应急响应.

6.
网络安全堡垒机安全堡垒机是录取网络安全的重要屏障,主要作用于手段高强的黑客入侵,通过在堡垒机上故意留下的漏洞,吸引黑客的注意力,给入侵者造成假象,误以为该机就是网络主要的服务器,为我们的应急响应争取时间.
同时在堡垒机上安装的监控软件,能及时发现和准确定位黑客的入侵和位置.
为公安机关破案提供有效的手段和证据.

7.
数据及线路备份网络安全的最终目的是为了保护数据不被丢失,损坏和窃取.
因此灾难备份措施在整体网络安全中占有相当重要的地位.
因为它关系到系统在经历灾难后能否迅速恢复.
为防止硬件及通信线路的故障造成数据丢失,河南省招生办在录取现场采取了定期数据备份措施和增设第三条备份通信线路.

8.
优锁U-LOCK身份鉴别系统优锁U-LOCK是一种通过软、硬件结合的方式,为网上录取信息系统内所有的录取用计算机提供了全面的登陆身份认证以及桌面保护功能.
通过优锁U-LOCK可以实现对登陆身份的强制鉴别,改进原来的分发用户名、密码带来的密钥丢失、冒用等弊端.
用户插入USBKEY才能打开计算机并登陆到业务系统,离开后拔掉USBKEY就可以实现对计算机的锁定.
9.
补丁分发系统补丁是指操作系统厂家针对操作系统漏洞而发布的漏洞修补程序,俗称"补丁".
网上录取工作从周期上讲时间一般都是2-3个月,持续时间比较长.
在录取期间可能会有补丁程序甚至是重要安全补丁公布,因此在录取期间需要密切注意操作系统的补丁动向并能够快速的部署补丁程序,保证所有网上录取系统内服务器和录取用计算机的操作系统快速、稳定的升级操作系统.

补丁分发程序能够快速的跟踪补丁发布进程,确认补丁的重要程度和安全性,迅速的对全网内的所有服务器和计算机进行操作系统的更新,提升了工作效率的同时保障了所有计算机的安全运行.

10.
软件分发系统在录取过程中会遇到需要在所有录取计算机上部署统一软件或者更新软件配置的操作,通过软件分发系统可以实现快速的软件分发,不仅减少了软件安装过程中人工干预操作带来的可能的误操作,同时也提高了工作效率,减少了因软件安装对录取工作的影响.

四.
管理措施"三分技术,七分管理"是网络安全业界流行的口号,由此可以看到管理的重要性.
为弥补技术手段的不足,防止录取网络中合法用户因误操作给录取网络带来的安全隐患和损失,河南省招生办公室又制定了有效的安全管理措施来进行安全保障工作.

1、中心机房进出入管理制度;2、设备安全管理制度;2、对关键设备实行2小时一次的巡视制度;3、对录取现场所有设备的巡视制度;4、控制机房8人24小时值守;5、成立网络安全领导小组;6、制计算机安全管理制度机房安全管理制度;7、信息保密制度;8、重大事故处理制度;9、信息管理人员岗位职责说明技术文档安全管理制度;10、密码安全管理制度;11、应急管理制度;12、制定突发事件的应急预案和应急响应流程由于每年在录取工作正式开始前采取了大量技术和管理安全保障措施,经过检测和统计,虽然系统每天都要遭受数百次的攻击和扫描,但对系统成功入侵的入侵机率为0,多数入侵大多是采用扫描工具进行入侵探测,没有直接对系统造成威胁的威胁性攻击.
另外,严格防火墙规则设置,严密的认证防护体系等安全策略和技术的应用也是攻击者无法得逞的主要原因.

五、2006年网上录取安全保障工作数据汇总1、外部攻击线路攻击方式攻击次数危险性综合评估网通蠕虫3169高中人为87万次左右中中高教育网蠕虫1700高低人为4700高中综合879569高中2、内部安全威胁线路攻击方式攻击次数危险性综合评估内网病毒1448中中人为无无低综合1448中中3、线路运行状况线路教育网通内网代理郑州线路负载及畅通情况平均0.
238兆总带宽100兆,占用率0.
23%,线路运行良好.
.
平均2.
53兆总带宽10兆;占用25%左右.
线路运行基本正常.
中间出现交换设备老化引起的设备损坏,引起一次录检大厅的网络暂时中断.

线路运行良好,除停电和服务器操作系统异常引起几次中断.
后重新安装代理服务器操作系统,出口正常.

线路运行良好,除停电外无中断发生.
4、设备运行状况设备类型机房服务器netserverups交换机和路由器,防火墙,入侵检测U锁pc终端录像监控状况硬件运行情况正常,除停电关闭服务器外.
硬件运行情况正常,除停电关闭服务器外3台ups基本运行正常,其中一台负载较大,70%左右,更换电池后正常.
运行正常,除停电例行维护关闭.
基本正常.
出现一次由于意外u锁进水造成的使用异常,晾干处理后恢复正常.

正常一切正常5、综合分析:外部网络攻击达到80多万次,大部分为预扫描.
由于我大部分设备处于防火墙之内,所以攻击基本停留在扫描阶段,无明显危害.
但是可以发现,攻击者对我高招网络ip段已经是有针对性地攻击了.
特别是针对我网通线路堡垒机攻击较多,7月初,堡垒机被侵入一次,攻击源为韩国一ip地址,经过一周的不间断监控,发现此攻击非国内黑客,放弃追查.
另外其它攻击源大部分处于国外,对追查造成很大困难,所以我们把重点放在监控自身网络设备和服务器,只观察有效攻击和有针对性的攻击.
教育网线路总体攻击行为较少,可能是由于学生处于放假期间,教育网用户较少.

关于内部网络,病毒明显减少,但是还有,一般都是笔记本出现报警,原因一般是因为内网外网交叉使用,移动介质使用带来的病毒,引起房病毒系统报警.
所有病毒都被防病毒系统的实时防护及时把病毒清除.

6、需要重点注意和改进的安全问题内网病毒问题,接入内网的所有电脑,需要经过我网络安全小组严格检查加固后方可入内网,防止交叉感染,例如有一外部设备维护人员,在未经审查情况下,把自己笔记本接入内部网络,造成多台计算机设备病毒报警,如果没有防病毒系统,此事件将会造成大范围病毒传播.

网络安全设备的更新换代,目前已有的网络安全设备,如防火墙,入侵检测基本都是多年前的产品,功能较少,需要升级换代.
以加强对网络攻击的防护和实时检测能力.

拒绝服务攻击行为目前在网络攻击事件中仍处于上升势头,我网络目前虽然还未遭受类似攻击,但是一旦遭受此类攻击,我网络将毫无防范应对能力,一旦遭受此为攻击,网络将会处于完全瘫痪状态.
解决此问题还是使用目前市面已经有的成熟商业化产品,建议使用.

网通线路的网络带宽问题.
网通线路目前带宽为10兆,虽然平均负载基本满足需要,但是今年通过对网络流量监控发现,在登封录取现场的数据库服务器和郑州服务器进行数据同步过程时流量占用达到满负荷,建议适当增加网通线路的带宽.

网上录取安全保障工作的理论指导信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是一项复杂的系统工程——这就是信息安全工程.
它采用工程的概念、原理、技术和方法,来研究、开发、实施与维护企业级信息与网络系统安全的过程,它是将经过时间考验证明是正确的工程实施流程、管理技术和当时能够得到的最好的技术方法相结合的过程.

网上录取安全保障工作作为河南省招生办公室网络安全建设工作的一部分,是一项复杂的系统工程.
其具备信息安全的过程性或生命周期性,可以说网上录取安全保障工作是一个完整的安全系统工程.
既然是系统工程,那么就要用系统工程的观点、方法来对待和来处理信息安全问题.
安全体系结构的设计与安全解决方案的提出必须基于信息安全工程理论.

因此,对河南省招生办公室来说,在建立与实施省招办的信息与网络系统安全体系即开展网上录取安全保障工作时,必须考虑信息安全的方方面面,必须兼顾信息网络的风险评估与分析、安全需求分析、整体安全策略、安全模型、安全体系结构的开发、信息网络安全的技术标准规范的制定、信息网络安全工程的实施与监理、信息网络安全意识的教育与技术的培训等各个方面.
结合当前公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合颁布的《关于信息安全等级保护工作的实施意见》以及《信息安全技术信息系统安全等级保护实施指南》,对信息系统中使用的信息安全产品实行等级管理,对信息系统中发生的信息安全事件分等级响应、处理.
同时《信息安全技术信息系统安全等级保护实施指南》里对信息系统的各个生命周期阶段里的安全措施给出了定义和要求,可以作为网上录取安全保障工作实践的指南.

3.
1信息安全等级保护的概念信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行等级管理,对信息系统中发生的信息安全事件分等级响应、处理.

3.
2信息安全等级保护的过程对信息系统实施等级保护的过程包括五个主要阶段,系统定级阶段、安全规划设计阶段、安全实施阶段、安全运维阶段、系统终止阶段.
对一个信息系统实施等级保护的过程中涉及的活动很多,根据安全的动态性理论,很多活动需要重复执行,从而保证安全保护的有效性.

3.
3等级保护对安全保障工作的理论指导信息系统安全等级保护是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,同时信息安全等级保护也为我们特定信息系统的安全保护确立了准则,因此在网上录取安全保障工作中我们可以参照等级保护实施过程中的要求来指导我们的实践工作.

1、系统定级阶段系统定级阶段通过对信息系统调查和分析,进行信息系统划分,确定包括的相对独立的信息系统的个数,选择合适的信息系统安全等级定级方法,科学、准确地确定每个信息系统的安全等级.

对于网上录取安全保障工作来说,在等级保护的这个阶段里关键是要对需要保护的信息系统的主要任务和功能有一个完整清晰的识别与认识,这是网上录取安全保障工作开展所必须的安全策略、安全理论模型参考、安全体系结构的设计与提出安全解决方案的基础.

河南省招生办公室网上录取用信息网络是一种开放的、面向全国的网络,按照业务系统来划分可以分为网上录取业务信息系统和日常办公信息系统,其中网上录取业务信息系统主要资产物理上在登封分布,而日常的办公系统是在非高招录取期间处理日常的招生办公室工作,信息资产主要位于郑州.

网上录取业务系统主要担负着录取期间考生数据的计算机处理,信息的发布等招生录取信息工作.
该系统主要采用CA认证的方式,采用了防火墙、入侵检测等安全工具来规避外部可能的风险威胁,同时保护远程录取院校能够正常的访问考生数据.
在时间上每年的七、八月份全国普通高考录取以及每年十一月份的成人招生录取工作期间网络的利用率最高,要求网络必须满足不间断的安全、正常、高效运行.
日常的办公系统资产在高考录取期间也担负如成绩查询等的部分工作,路由器、防火墙、MAIL服务器等信息资产要求能够24小时不间断全天候正常工作.
由于网上录取业务信息系统具有范围覆盖全国,数据安全性要求高的特点,同时由于高考涉及数以万计的考生和家庭,所以其社会效应及政治影响巨大,很容易遭受到国内外一些黑客和不良分子的攻击.

2、安全规划设计阶段安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程实施.
通常情况下,安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划等几个主要活动.

第一步安全需求分析对于网上录取安全保障工作来说,安全需求分析首先应判断网上录取业务信息系统的安全保护现状与国家等级保护基本要求之间的差距,这种差距作为初步的安全需求;除上述安全需求外,还要通过风险分析的方法确定系统额外的安全需求,这种需求反映在对特殊环境和威胁的安全保护要求,或对系统重要对象的较高保护要求方面.
通过现状差距的分析和特殊要求的分析,明确录取业务信息系统的完整安全需求.

网上录取业务信息系统的安全需求分析的主要活动内容包括:评估对象和评估方法的明确;网上录取业务信息系统的物理安全(环境、物理访问等)、网络平台安全(互联网、外联网、业务网、办公网等),系统平台安全(Windows、sql、Oracle、等),应用系统安全(web系统、招生信息系统等),业务安全(业务连续性、业务操作安全、权限划分、审计等),技术保障(包括信息安全产品、信息安全服务、信息安全咨询顾问、信息安全认证等),管理安全(安全策略、应急响应、流程制度等).

评估的方法:采用风险评估方法对以上网上录取业务信息系统中的各个风险点进行评估,然后采用安全加固和加强安全策略的手段来规避风险.

评估的目的和意义:针对网上录取安全保障工作来说,风险评估是对招生业务系统中存在的威胁进行评估、对安全措施有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果,是网上录取安全保障工作中的重要一环.
风险评估的目的通常包括以下几个方面:确定可能对网上录取安全造成危害的威胁,包括入侵者、罪犯、恐怖分子和自然灾害;通过对历史资料和专家的经验确定对网上录取安全造成危害的威胁实施的可能性;对可能受到威胁影响的信息资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏.
针对河南省招生办公室网上录取系统的风险评估,主要包括以下目的:准确了解网上录取业务信息系统网络安全现状;明晰网上录取业务信息系统的安全需求;制定网上录取业务信息系统网络和系统的安全策略;制定网上录取业务信息系统网络和系统的安全解决方案;指导网上录取业务信息系统未来的网络安全建设和投入;指导河南省招生办公室网上录取业务信息系统建立安全管理框架;通过实施和培训,建立和培养网上录取业务信息系统安全队伍;网上录取业务系统评估与加固阶段的划分;风险评估和加固工程实施根据河南省招生办公室网上录取业务系统的网络规模分为六个大的阶段,即:预备阶段;第一阶段:网上录取业务系统现场评估数据采集;第二阶段:网上录取业务系统评估数据初步整理与分析;第三阶段:网上录取业务系统评估数据补充采集和汇总;第四阶段:网上录取业务系统评估数据综合分析和评估报告撰写.
第四阶段:安全加固以及残余风险确认安全现状和评估指标的对比;按照《信息系统安全等级保护基本要求》的要求指标进行网上录取业务信息系统的安全现状的评估,找出与等级保护评估指标的差异.

除与基本安全要求之间的差距外,额外安全需求的确定;除了按照《信息系统安全等级保护基本要求》的指标进行网络现状风险分析外,对于网上录取安全保障工作还应有以下额外安全需求需要确定:网上录取业务信息系统主要采用了CA认证的方式保护远程录取院校能够正常的访问考生数据.
院校安装北京清华得实科技股份有限公司的安全产品——WebST安全客户端软件,当远程录取院校用院校子系统尝试登陆河南省招生办公室服务器时,WebST安全客户端软件会自动的捕获数据包,并将其拆分获得目标IP地址,同时发起到该服务器的安全认证需求,在远程录取院校负责老师填写正确的用户身份标识后,认证服务器会颁发给次院校一个唯一的密钥,也称TICTET,院校端子系统软件用此密钥才能访问服务器.
该服务器采用的是SUN公司的solaris系统,这台服务器是整个网上录取业务信息系统的安全核心,如果该服务器受到攻击或者操作系统、应用系统本身故障将导致整个网上录取业务信息系统的瘫痪,因此对该服务器的操作系统以及webst应用均应给予额外的重视.

在河南省招生办公室网络的防火墙入口处仅开放了2443高端口,封闭所有可能造成入侵的低端口,降低了网上录取业务信息系统面临的风险威胁.
但必须开放的webst端口2443同时也引入了风险,在开放该端口的同时要注意加强对该端口流量、数据特征的跟踪和监控.

网上录取业务信息系统完整的网络安全体系建设不但需要继承录取安全保障工作实践中已经得到的实用的安全防护手段和策略,还需要根据不断变化的安全形势不断做出调整和更新.

网上录取业务信息系统不仅仅是在网络安全产品和技术上的投入,在网络安全管理上也应该额外关注,逐步完善网络安全相关的各项规章制度.

评估结果的综合分析,形成安全需求分析报告.
河南省招生办公室网上录取业务信息系统的安全需求是全方位的、整体的,网络安全体系也是分层次的,在不同层次反映了不同的安全问题.
根据网络的应用现状情况和网络的结构,我们将安全体系的安全评估层次划分为五层:物理层安全、系统层安全、网络层安全、应用层安全、安全管理.
如下图所示,依据各个层次进行网上录取业务信息系统的安全需求分析并形成分析报告.

网上录取业务信息系统具有特殊的安全需求,需要有一个可靠的、安全的、开放的、可扩缩的、易于管理的、全方位的安全系统.
在考虑河南省招生办公室网上录取业务信息系统安全需求时必须考虑以下几个方面:安全体系:必须从系统工程的高度来设计网上录取业务信息系统的安全系统,在网络各层次都应该有相应的安全措施,同时还要注意到内部安全管理在安全系统中的重要作用.

可靠性:安全系统自身必须能够确保正常运行,不能因为安全系统出现故障导致整个网络出现瘫痪.

安全性:安全系统既要保证网络及其应用的安全,又要保证自身的安全.
开放性:必须保证系统的开放性以保证不同厂家的不同产品能够集成到安全系统中来,并保证整个安全系统以及网络上各种应用的安全可靠运行.

可扩缩性:安全系统必须是可扩缩的,以适应网络规模的变化.
易于管理:包括两方面的含义,一方面,安全系统本身必须是易于管理的,另一方面,安全系统对其管理对象的管理必须是方便的、简单的.

第二步安全总体设计安全总体设计首先根据系统安全需求分析报告制定系统总体的安全策略,然后依据总体安全策略和等级保护相关要求,设计系统的安全技术框架和安全管理框架,形成系统符合等级保护要求,同时满足系统特定安全保护需求的安全总体方案.

安全总体设计的主要活动包括以下内容:系统模型处理;网上录取业务信息系统的安全体系结构是一种多层次、多方面、整体的安全构架.
在上面安全需求分析中,我们已将安全防御体系的层次划分为五层:物理层安全、系统层安全、网络层安全、应用层安全、安全管理.
在实际应用中,网上录取业务信息系统的安全又是一个动态的概念.
网上录取业务信息系统应以"动态安全模型"为基础,即每一层的安全设计要结合"动态安全模型".
动态安全模型"是目前安全界内一个标准的安全模型,它能够提供给用户完整、合理的安全设计与机制.

网上录取业务信息系统的动态安全体系结构公式可由下面公式概括:业务系统安全体系结构=风险分析+制订策略+系统防护+实时监测+实时响应+恢复即:网络安全是一个"AP2DR2"的动态安全公式,如图所示.
总体安全策略设计;制定河南省招生办公室网上录取业务信息系统网络安全总体安全策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则.
一个是"没有明确表述为允许的都被认为是被禁止的",另一个是"一切没有明确表述为禁止的都被认为是允许的".

对于河南省招生办公室网上录取业务信息系统来说,根据该系统的受关注程度重要程度应采用第一种原则,来加强对网络的安全限制.

职责划分网上录取业务信息系统网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置.
更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用.
并确定对每一设备或资源,谁拥有它的管理权,即他可以为其他人授权,使之能够正常使用该设备或资源,并制定授权程序.

类型限制网上录取业务信息系统网络安全策略还必须说明网络使用的类型限制,定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制.
网络安全策略声明每个用户都要对他们在网络上的言行负责.
所有违反安全策略、破环系统安全的行为都是禁止的.

网上录取业务信息系统网络必须杜绝用户共享帐号的情况,还要确定是否要为特殊情况制定安全策略.

授权管理网上录取业务信息系统网络安全策略在确定对每个资源管理授权者的同时,还要确定他们可以对用户授与什么级别的权限.
如果没有资源管理授权者的信息,就无法掌握究竟哪些人在使用网络.
对于网络中的关键通信资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全.
在对资源授权者管理的同时,要制定对用户授权的过程设计,以防止对授权职责的滥用.

网上录取业务信息系统网络安全策略中应明确指明每个资源的系统级管理员,但在网络的使用中,难免会遇到用户需要特殊权限的时候.
一种处理办法是尽量只分配给用户够完成任务所需的最小权限.
另外在网络安全策略中要包含对特殊权限进行监测统计的部分,如果对授与用户的特殊权限不可统计,就难以保证整个网络不被破坏.

用户管理对于为用户初始化帐号使用的口令,以及用户自己对口令的选择要非常慎重.
因为对一个再好的网络安全系统,如果用户使用了很差的口令,那么系统的安全性也会很差.

河南省招生办公室网络安全策略中关于用户的权利与责任中,需要指明用户必须明确了解他们所用的计算机网络的使用规则.
其中包括是禁止用户将帐号转借给他人,用户应当将他们自己的口令保密强度到什么程度.
用户应在多长时间内更改他们的口令,对其选择有什么限制.

恢复策略河南省招生办公室网络安全策略中另一重要的部分是当安全策略被破坏时所采取的策略.
对于发生在本网络内部的安全问题,要从核心网向接入层网逐级过滤、隔离.
接入层网要与核心网形成配合,防止破坏漫延.
对于来自整个网络以外的安全干扰,需要设置必要的隔离与保护.

跟踪审计河南省招生办公室网络必须有强有力的跟踪审计措施,对于谁、在什么时候、什么地方、以何种方式、对什么对象、做了什么操作、发生什么结果等都应该有详尽的记录.
同时,审计记录应该加密存储,并且设置访问权限,确认只有授权的管理人员才可能获取到日志记录.

系统安全技术措施设计在对技术措施体系进行设计时,依据安全技术模型(如下图)对该体系的各个层次进行了分析.
安全技术框架是一个三维结构,具体模型和介绍如下::第一维(X轴)是安全服务,给出了7种安全属性;第二维(Y轴)是系统单元,给出了信息网络系统的组成;第三维(Z轴)是结构层次,给出并扩展了国际标准化组织ISO的开放系统互连(OSI)模型.

系统单元维:系统单元维描述了信息网络的各个成分.
通信平台,信息网络的通信平台;网络平台,信息网络的网络系统;系统平台,信息网络的操作系统平台;应用平台,信息网络各种应用的开发、运行平台;物理环境,信息网络运行的物理环境及人员管理.
协议层次维:协议层次维参考ISO/OSI参考模型,采用TCP/IP协议层次,包括:物理与链路层、网络层、传输层、应用层.

安全服务维:安全服务源于ISO7498-2,并做了适当扩展.
具体如下:身份认证,用于确认所声明的身份的有效性;访问控制,防止非授权使用资源或以非授权的方式使用资源;数据保密,数据存储和传输时加密,防止数据窃取、窃听;数据完整,防止数据篡改;不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用于防止接收者对所收到数据或内容的抗否认;审计管理,设置审计记录措施,分析审计记录;可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏.

安全技术管理:安全技术管理贯穿于安全框架的各个方面.
各个平台的安全技术、适用于各协议次层次的安全技术、提供各种安全服务的安全技术都需要提供统一的安全管理.

安全技术体系的主要内容根据安全技术框架,确定河南省招生办公室网络安全技术体系主要由以下部分组成:通信平台安全系统网络平台安全系统系统平台安全系统应用平台安全系统安全技术管理系统安全管理体系设计;根据河南省招生办公室网上录取业务信息系统的特点制定了以下网络整体安全管理体系框架(如下图)并针对这一体系框架的三个方面技术体系、组织体系、管理体系来分别进行管理体系设计.

第三步安全建设规划安全建设规划首先根据系统的安全总体方案选择安全建设的策略,然后依据安全建设策略,规划中、长期的安全建设内容,制定安全建设的实施计划,形成指导今后一段时间内安全建设工作的安全建设规划方案.

河南省招生办公室的安全建设规划的主要活动包括以下内容:建设策略选择和建设目标确定;信息化建设中长期发展规划和安全需求调查了解和调查河南省招生办公室网上录取信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问题,考虑可以同步进行的安全建设内容等.

提出信息系统安全建设分阶段目标制定网上录取业务信息系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制定系统短期(l年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内安全状况有大幅度提高.

安全建设内容规划;根据信息系统安全总体方案书明确主要的安全建设内容,对主要安全建设内容进行适当的分解.
主要建设内容可以分解为以下内容:网上录取业务信息系统安全基础设施建设;网上录取业务信息系统网络安全建设;网上录取业务信息系统系统平台和应用平台安全建设;网上录取业务信息系统数据系统安全建设;网上录取业务信息系统安全标准体系建设;网上录取业务信息系统人才培养体系建设;网上录取业务信息系统安全管理体系建设.
安全建设方案设计;对网上录取业务信息系统信息系统的分期分批建设目标、安全建设总体方案和安全建设实施计划等文档进行整理,形成网上录取业务信息系统信息系统安全建设方案.

安全建设方案主要包括以下内容:网上录取业务信息系统规划建设的依据和原则;网上录取业务信息系统规划建设的目标和范围;网上录取业务信息系统信息系统安全现状;网上录取业务信息系统信息化的中长期发展规划;网上录取业务信息系统信息系统安全建设的总体框架;网上录取业务信息系统安全技术体系建设规划;网上录取业务信息系统安全管理与安全保障体系建设规划;网上录取业务信息系统安全建设投资估算;网上录取业务信息系统信息系统安全建设的实施保障等内容3、安全实施阶段河南省招生办公室在等级保护的安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将规划阶段的安全方针和策略,具体落实到信息系统中去,其最终的成果是信息系统配套的网上录取安全管理体系.

4、安全运维阶段安全运维阶段包括运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;对安全状态进行监控,对发生的安全事件及时响应,确保信息系统正常运行;通过定期的监督检查,做好信息系统的日常安全维护工作,确保其满足相应等级的安全要求,达到相应等级的安全保护能力;通过安全风险评估和持续改进等活动过程实现对信息系统的动态保护.

河南省招生办公室在网上录取过程中安全运维护阶段详细的活动内容如下:第一网上录取业务信息系统运行管理和控制网上录取业务信息系统运行管理和控制的目标是确保信息系统的安全运行,操作人员应对信息系统实行正确和安全的操作,并且保证系统不断变化和种类繁多的运行管理活动得到控制.
安全运行管理和控制包括数据的监控与审计、统一的信息资产的管理、应急响应等,结合网上录取业务信息系统的特点,我们在网络安全值班室对如下几方面进行运行管理和控制:监控中心:统一实时集中监控和审计从一个管理平台实时监控郑州和登封两地网络设备、业务系统、操作系统等日志信息,以及安全产品的安全事件报警信息等,通过过滤、范式化、汇总、关联分析和可视化报告结果,以便及时发现正在和已经发生的安全事件,避免了误报、漏报从而从整体实时掌握网络的安全状态知识中心:统一的资产风险管理从一个管理平台可以掌握郑州和登封两地网络各个系统中存在的安全漏洞情况,从而避免由于安全漏洞得不到及时修复和处置,导致系统安全水平无法得到大幅提升应急中心:统一部署及时响应从一个管理平台通过对被动变化的发现和主动调整的跟踪以及对安全漏洞的跟踪和研究,及时跟踪有关的安全漏洞信息和解决方案,按照安全事件与资产相互关联的优先级,进行整体日常安全部署和协调.
特别是从一个管理平台针对郑州和登封两地网络在紧急安全情况进行统一的应急响应安全部署和协调以及恢复.

最终我们进行建立网上录取系统的安全运营中心,包括监控中心、应急中心、审计中心和知识中心,其中知识中心主要由在风险评估阶段建立的安全信息库构成.
在网上录取系统的安全运营中心建成并基本稳定运行后,需要进行实战预演,设立攻击点进行攻击测试,对监控中心、应急中心、审计中心、知识中心独立运做和相互配合以及管理协调能力进行测试.

第二变更管理和控制变更管理和控制的目标是确保在发生安全配置、安全设施、系统结构和业务应用等变化的时候,使用标准的方法和步骤,尽快的实施变更,并确保变更所导致的信息资产安全性降低、业务中断或业务影响减小到最低.

在招生录取期间也同样会遇到一些设备配置参数以及安全策略需要临时增加、减少或者调整的地方,在调整之前都到做好系统的备份并要制作操作流程,防止因误操作或者其它不可预知的因素导致安全系统故障.

第三安全状态监控对安全状态信息进行分析和监控,可以及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析.
在网上录取业务信息系统正常运转的过程中,我们对流量、入侵、病毒、设备运行状况等进行了全天候的安全状态监控,如下:7*24小时不间断职守7*24小时电话技术支持7*24小时流量监控7*24小时入侵监控7*24小时防火墙控制台监控2小时间隔的设备运行状况登记每天的流量监控分析每天的攻击类型、次数以及安全状况分析每天的病毒特征、病毒感染情况分析第四安全事件处置和应急预案按照等级保护基本要求,信息安全事件采取分级响应与处置的机制.
河南省招生办公室应根据安全事件标准中规定的安全事件分级原则和划分结果,划分安全事件级别,并建立合适的应急响应机制,充分体现自主保护的原则,保障业务系统的持续运行.

1、安全技术上---实现了动态的防御与响应随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要.
不同安全产品之间的安全互补,可以提高系统对安全事件响应的准确性和全面性,使防护体系由静态到动态,由平面到立体,增强了系统的响应能力.
(如下图)2、安全管理上——制定详细的应急方案与流程突发事件是指在没有预先通知或者准备的情况下出现的影响网络正常运行的事件,结合河南省招生办公室的网络和业务实际情况,我们定义突发事件的范围如下:黑客有意识、有目标的、技术性强的袭击事件;大规模病毒泛滥事件;网络硬件设施的物理损坏;自然灾害导致的线路、设备不可用;为保证网上录取期间第一时间内及时发现和处理网络突发事件,我们拟订了《网上录取期间应急响应预案》,并采取了如下管理措施:成立录取期间针对网络信息安全突发事件的领导小组及技术小组,并确定小组成员;对可知的影响网络信息系统正常运行的四种情况分别成立应急响应小组,并确定小组成员;由各应急响应小组拿出相关突发事件的应急技术方案,并报领导小组审核批准;网上录取期间如果发现可疑情况,应及时报告应急响应领导小组及技术组负责人到场,并通知各组成员在现场取得授权后,采取必要的技术措施(如:及时阻断攻击,记录和追踪攻击源,隔离感染病毒的机器,备份数据等);对造成重大后果的突发事件(主要针对遭到黑客攻击的事件,并造成重大后果的),及时通知公安部门和电信部门并做好现场保护工作,配合公安部门对攻击事件进行后续侦察与追踪.
流程如下图:第五安全风险评估和持续改进在网上录取业务信息系统安全运行维护过程中,会发生信息系统变更、安全状态改变等情况,因此必须定期对信息系统进行安全风险评估.
安全风险评估是对信息系统需求变化的一个动态保护过程.
可以根据实际情况对信息安全运维进行持续改进,确保信息系统满足相应等级安全需求和自身特殊安全需求.

网上录取安全风险评估和持续改进按照工程的角度来设计,应该规划成3个大阶段构成,安全风险评估阶段;安全基线防护(即系统加固)阶段;安全风险管理(即安全保障服务)阶段;安全风险评估阶段主要的工作就是帮助河南省招生办公室在网络安全建设时,先识别信息网络中存在的漏洞、威胁、影响,量化出风险,从而使安全建设做到"有的放矢",有针对性地进行.
并且在这个阶段将帮助河南省招生办公室制定符合自身特点的安全策略和等级标准,得到网上录取安全保障工作整体建设方针,为以后的工作奠定目标.

基线防护阶段也即系统加固阶段,是在安全风险评估之后,根据风险分析报告及安全解决建议,对河南省招生办公室网络进行必要的调整,再从物理、网络、系统、应用及管理等各个层面对网络进行安全系统的设计,将安全运行各个层面的安全产品部署起来,为整体安全运行奠定基础.

安全运行管理阶段是在前两个阶段工作的基础上,将河南省招生办公室网络上所有的安全资源进行统一调度和管理,形成统一界面的安全运行中心,实现风险的动态管理,实现网络的持续安全.

风险评估过程流程如下图::安全风险评估理论模型第六等级保护安全测评在运行维护过程中应按照等级保护的相关法规和标准定期对信息系统进行安全测评,使信息系统的安全状态能够达到相应等级的安全保护能力.

国家有相关测评资质的测评机构对网上录取的安全保障能力的测评可以发现信息系统的安全现状与需要达到的国家标准的安全等级或目标的差异,使河南省招生办公室可以在技术和管理方面进行有针对性的加强和完善,使网上录取信息系统安全保障工作有的放矢.

第七等级保护监督检查国家信息安全监督管理职能部门按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统安全保护制度和措施的落实情况,以及安全现状的达标情况进行监督检查.

5、系统终止阶段系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、存储介质或整个信息系统的废弃处理.
系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备迁移或废弃,对存储介质的清除或销毁;系统终止阶段当要迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏.

对于网上录取业务信息系统来说,随着业务的更新和网络技术的发展,可能会有一些信息、网络设备、存储介质等已经不适合业务发展的需要,这就需要将这些设备或者介质进行报废处理.
但这些设备和介质上还可能包含一些有关网上录取业务系统的有价值的保密信息,比如:网络拓扑结构等等.
所以对这些设备和介质的销毁不同于一般的设备报废处理,需要制定进行严格的报废管理制度和流程,防止敏感信息的泄露.

结束语网上录取需要基于开放的互联网络环境,因此网络所面临的故障和攻击也是多方面的,攻击可能来自物理传输线路,也可能来自于网络通讯协议;可以对软件实施攻击,也可以对硬件实施攻击.
这些攻击和故障可能来自人为因素、自然因素、设备因素等等.

因此,网上录取安全保障工作作为网上录取工作的有力保障和后台支持,是一项复杂的信息安全工程,它不仅需要考虑网上录取业务信息系统在技术、管理层面等各个层面上的安全策略和措施,还要考虑采用什么样的理论作为指导安全需求分析、整体安全策略、安全模型、安全体系结构的开发等等.

信息安全等级保护的相关指南和标准给出了一套完整的信息安全建设和实施的理论指导.
事实证明,我们参照等级保护对一个信息系统生命周期实施的等级保护过程,不仅实现了安全保障工作在网上录取业务信息系统建设的阶段的规范化操作,而且将各种技术和管理手段有机的结合起来形成完整的安全体系,保障了网上录取业务的正常、有序、安全开展,为广大考生和招生院校提供一个公平、公开、公正的录取环境.

参考文献AS/NZS4360:1999《风险管理》ISO/IEC15408(CC):《信息技术安全评估准则》.
GB17859:《计算机信息系统安全保护等级划分准则》.
ISO/IEC17799/BS7799:《信息安全管理惯例》.
ISO/IEC13335,第一部分:《IT安全的概念和模型》;第二部分:《IT安全的管理和计划制定》;第三部分:《IT安全管理技术》;第四部分:《安全措施的选择》.