毛方明

浙江農(nóng)業(yè)商貿職業(yè)學院 浙江 312000

0 引言

校園網(wǎng)絡的應用是衡量高職院校辦學效果的重要指標，而其安全性則是影響成效的至關重要因素。在現(xiàn)有基礎上，如何讓不斷膨脹的數(shù)據(jù)信息流與網(wǎng)絡系統(tǒng)安全達到一個動態(tài)的平衡，使得校園網(wǎng)絡能夠更好的為師生教與學服務，這已成為高職院校當前教學工作中的一個迫切問題。

高等職業(yè)院校作為教學、科研、實訓、考核的場所，對于互聯(lián)網(wǎng)的應用尤為重要，每天都有大量的數(shù)據(jù)傳遞、存儲和使用。然而，由于計算機網(wǎng)絡是開放、互動、共享式的，再加上網(wǎng)絡技術本身不是很完善，存在技術缺陷和漏洞，致使網(wǎng)絡易受計算機病毒、木馬以及黑客的侵害。另外，高職院校的大學生，往往具有青年人強烈的好奇心、求知欲以及較強的動手操作能力，經(jīng)常會利用校園網(wǎng)絡進行一些多角度、多方位的試驗和實踐，這就使校園網(wǎng)絡產(chǎn)生了極大的安全負荷。

校園網(wǎng)絡安全至關重要。通常意義上的校園網(wǎng)絡安全可分為網(wǎng)絡系統(tǒng)安全和信息安全兩部分，主要包含硬件安全、軟件安全、運行服務安全以及數(shù)據(jù)安全。其中，保證數(shù)據(jù)安全則是所有安全措施的根本目的。

1 網(wǎng)絡安全面臨的問題

1.1 技術層面

很多網(wǎng)站不注重安全防護，或限于資金匱乏，一些能夠保護網(wǎng)站運行安全的硬件設施沒有配備，導致黑客訪問時如入無人之境。個別站點管理維護人員技術實力不夠，不知道如何應付網(wǎng)絡攻擊或病毒感染，安全策略缺乏。

Internet上網(wǎng)站繁多，陷阱與危險也是眾多，掛馬網(wǎng)站、釣魚網(wǎng)站時有發(fā)現(xiàn)。瀏覽部分網(wǎng)站會被有意無意地傳染計算機病毒或木馬，造成許多不良后果。

1.2 管理層面

管理和維護人員方面的投入明顯不足，一個高職院?？梢杂谐砂偕锨_計算機，而專職網(wǎng)絡安全維護人員只有寥寥幾人甚至一個也沒有。

據(jù)調查，70%的安全問題來自網(wǎng)絡內部的攻擊。對于高職校園網(wǎng)絡而言，一種可能性是因為學生的好奇心而對校園網(wǎng)絡嘗試進行攻擊。高職學生正處于身心發(fā)育成型時期，他們渴望嘗試、期望了解與之相關的一切信息，所以，對于學校網(wǎng)絡服務器的攻擊就成了一種了解校園、證明自我的有效方式。然而這種方式對校園網(wǎng)絡而言，危害極大。

2 網(wǎng)絡安全體系建設

針對高職院校的實際情況，為了保證校園網(wǎng)絡的正常運行，除了增加資金投入外，還應從多方面規(guī)劃，從而構建一個安全、開放、穩(wěn)定的信息平臺，為師生的教學、生活服務。

2.1 成立網(wǎng)絡管理中心，統(tǒng)一規(guī)劃、管理、維護校園網(wǎng)絡

成立校園網(wǎng)絡管理中心，負責或指導校園所有網(wǎng)絡設置、布局、安裝、管理、維護等工作。這是解決網(wǎng)絡安全問題的關鍵。網(wǎng)絡管理中心主要完成下列工作：

(1) 規(guī)劃全校網(wǎng)絡布局，合理分配網(wǎng)絡資源。

(2) 負責或指導校園網(wǎng)絡的日常管理及維護。包括對各院、系網(wǎng)絡管理員進行專業(yè)再培訓；對師生進行網(wǎng)絡安全教育；發(fā)布相關信息公告及系統(tǒng)資源下載，對學校機房進行日常管理，等等。

(3) 制定相關管理制度，包括網(wǎng)絡管理員獎懲制度、學生用機制度、用戶上網(wǎng)制度等。

(4) 學校網(wǎng)站的建設及日常管理、維護工作等。

2.2 統(tǒng)一身份認證識別方式，確保有序上網(wǎng)

大學生思想活躍、好奇心強。同時高職院校又是一個集教學、科研、實訓、考核、生活于一體的特殊場合。建立身份識別上網(wǎng)系統(tǒng)，對于規(guī)范學生上網(wǎng)行為，凈化網(wǎng)絡環(huán)境，防止某些關鍵信息、數(shù)據(jù)泄露或丟失，都是非常必要的。

要建立校園范圍內一個統(tǒng)一的上網(wǎng)身份認證識別系統(tǒng)，只有通過該系統(tǒng)才能連接上校園網(wǎng)，進而接入Internet。建立全校性的用戶數(shù)據(jù)庫，包括用戶名、密碼以及學生詳細個人信息。學生必須通過該系統(tǒng)才能上網(wǎng)，同時系統(tǒng)自動生成日志，記錄相關上網(wǎng)時間、用戶名、IP地址、訪問歷史等基本信息。

使用該系統(tǒng)，如同在雜亂無章的市場上確立了一些必備的交易公德，讓學生知道在網(wǎng)絡虛擬社會也不能肆無忌憚、無法無天，減少了一些不必要的資源浪費。這是現(xiàn)代高校管理校園用戶上網(wǎng)的一種流行趨勢。經(jīng)驗證明，使用統(tǒng)一身份認證識別系統(tǒng)，對于凈化網(wǎng)絡、校園有限資源的合理使用有著很大的推力。

2.3 設置用戶權限分級系統(tǒng)，按最小化原則進行授權

根據(jù)不同的用戶需求，創(chuàng)建不同級別的用戶組，讓不同用戶得到不同的服務，從而使校園網(wǎng)得到最大的安全度。如果讓外網(wǎng)“游客”能夠輕而易舉地訪問校園網(wǎng)核心內容，顯而易見，這就是一個安全性能低劣的站點。

在制定安全策略時，應該遵守一條原則：盡可能地給用戶完成任務所需的最少的權限以及最小的服務。唯有如此，才會有最大的安全度。

例如，普通學生權限禁止修改計算機BIOS設置；機房管理員可以更改IP地址；唯有網(wǎng)絡管理中心允許在校園主頁上發(fā)布信息，等等。

2.4 防火墻技術

防火墻是絕大多數(shù)站點都采用的一種網(wǎng)絡安全保護技術。它是在校園局域網(wǎng)與外部 Internet之間建立了一道安全屏障，發(fā)生在內外網(wǎng)間的所有數(shù)據(jù)流都必須強制性地接受這一保護層的檢查，只有被確認的數(shù)據(jù)流才允許通過。

防火墻既可以對非授權外網(wǎng)用戶訪問校園網(wǎng)做出限制，也可以禁止校園網(wǎng)用戶對外網(wǎng)中的黑名單網(wǎng)站進行瀏覽。另外，它同時對網(wǎng)絡動作進行記錄，寫入日志中，并會提供相關訪問說明。

通過防火墻，我們可以設立禁止訪問的網(wǎng)站IP，設置敏感關鍵字、禁止訪問色情站點，監(jiān)控訪問記錄，阻擋部分網(wǎng)絡攻擊，從而降低了校園網(wǎng)的風險。

根據(jù)實際比較說明，購買一臺多功能的硬件防火墻產(chǎn)品，就可以極大地提升校園網(wǎng)絡的安全。

2.5 入侵檢測技術

入侵檢測系統(tǒng)(Intrusion Detection System，IDS) 是一種主動檢測技術，它通過分析網(wǎng)絡信息流、服務器日志、程序執(zhí)行等進程對黑客的攻擊進行監(jiān)測，而后做出相應的安全策略，比如阻止源地址發(fā)出的訪問請求等。使用 IDS技術，能夠發(fā)現(xiàn)正在進行的攻擊，并自動做出適當?shù)姆磻?，以此來保護網(wǎng)站服務器?，F(xiàn)在的硬件防火墻一般都帶有IDS功能。

2.6 防病毒技術

病毒是現(xiàn)在網(wǎng)絡的一個常見病。按照業(yè)界的觀點，防病毒技術總是滯后于病毒技術，所以，最好的防病毒措施是盡可能的做到從源頭上控制病毒的傳染。

硬件方面，一般可以在 Internet接口處安裝硬件病毒網(wǎng)關，對外網(wǎng)數(shù)據(jù)流進行檢查、過濾，這種方法可以有效地阻止病毒庫中已知的病毒，減少了資源損耗。還可以通過設置防火墻來阻擋攔截病毒。

另外，要對上網(wǎng)用戶進行安全教育培訓，禁止訪問非法或不安全網(wǎng)站，養(yǎng)成良好上網(wǎng)習慣。還可以在校園網(wǎng)的每臺計算機上安裝殺病毒軟件，定期升級病毒庫、定期查殺病毒。對于校園網(wǎng)來說，網(wǎng)絡版的殺毒軟件性價比顯然比單機版的要高得多。

2.7 入侵防御技術

我們可以采取多種技術手段來防御外部的攻擊，將躲避過防火墻及殺毒軟件的非法外部攻擊阻擋、攔截。

2.7.1 虛擬局域網(wǎng)(VLAN)

虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)是由位于不同物理局域網(wǎng)段的網(wǎng)絡設備組成。VLAN所連接的計算機一般來自不同的網(wǎng)段，但是相互之間可以進行直接通信，就好像處于同一網(wǎng)段中一樣。通過VLAN，用戶能方便地在網(wǎng)絡中移動和快捷地組建寬帶網(wǎng)絡，而無需改變任何硬件和通信線路，但可以減少部分網(wǎng)絡攻擊。

我們把整個高職校園網(wǎng)劃分為多個性質相關的虛擬網(wǎng)并隔離，通過技術手段控制各個虛擬區(qū)域間的通信，把問題控制在相對較小范圍內的網(wǎng)絡區(qū)域內，從而能夠有效地防止危害擴散到整個網(wǎng)絡。

2.7.2 地址翻譯

網(wǎng)絡地址轉換(Network Address Translation，NAT)，它允許內部網(wǎng)段以一個公用IP地址出現(xiàn)在Internet上，是一種把內網(wǎng)地址翻譯成合法外網(wǎng)IP的技術。通過地址轉換，可以隱藏內網(wǎng)上主機的真實IP地址，不讓外部直接訪問對應IP，從而提高網(wǎng)絡的安全性。

2.7.3 蜜罐

蜜罐是一種可以監(jiān)視觀察攻擊者行為的系統(tǒng)，其目的是為了將攻擊者的注意力從更有價值的系統(tǒng)引開，設置陷阱，增加管理者反應時間，讓其能對網(wǎng)絡入侵及時布控。

可以在一些關鍵部門或站點處設置蜜罐，從而增加系統(tǒng)的安全性。

2.8 信息加密

利用一定的加密算法，將信息轉換成不可直接讀取的秘文，以防止非法用戶獲取和理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。理論上，一種優(yōu)秀的加密算法，攻擊者可能窮盡一生也不能破解。因此，即使數(shù)據(jù)被竊取，也毋需擔心信息安全問題，這是一種主動的信息安全防范措施。

信息加密往往用在比較重要的部門或數(shù)據(jù)，比如院長室、招生辦、教務處、學生處等等。

2.9 創(chuàng)建數(shù)據(jù)備份，定人、定時、定機器備份

數(shù)據(jù)備份，是指為防止系統(tǒng)故障導致數(shù)據(jù)丟失，將全部或部分數(shù)據(jù)復制到其它的存儲介質的過程。高職校園網(wǎng)絡因為受攻擊或被病毒感染，存在著崩潰的可能性。為了保證能快速的恢復網(wǎng)站的正常運行，數(shù)據(jù)備份是必不可少的一個環(huán)節(jié)。為此，應該專人定期對所有服務器資料進行備份，將其備份數(shù)據(jù)存入專用的存儲區(qū)域或其它機器。要注意的是，有時候不僅僅是對數(shù)據(jù)文件的備份，還要對整個網(wǎng)絡系統(tǒng)進行備份，只有這樣，才能在系統(tǒng)崩潰后快速地恢復原狀。

3 結束語

高職院校的發(fā)展離不開網(wǎng)絡，而網(wǎng)絡的發(fā)展卻是建立在信息安全基礎之上的。要從技術與管理兩方面著手，盡可能的把高職校園網(wǎng)絡建設成為安全、開放、可擴展的信息平臺。只有信息安全了，才能進一步讓網(wǎng)絡為師生服務，讓信息流暢到校園的每一個角落。

[1]李旭良,任曉黎,李欣.校園網(wǎng)安全管理中的問題與對策[J].白求恩軍醫(yī)學院學報.2010.

[2]毛方明.中小型網(wǎng)絡信息安全策略[J].企業(yè)技術開發(fā).2009.

[3]蔣建春,楊凡,文偉平等.計算機網(wǎng)絡信息安全理論與實踐教程[M].西安電子科技大學出版社.2005.

[4]劉春生.高職院校網(wǎng)絡安全防范體系的構建[J].職業(yè)技術教育.2008.

[5]梁亞聲,王永益.計算機網(wǎng)絡安全技術教程[M].北京：機械工業(yè)出版社.2004．

[6]甄靜.高職院校網(wǎng)絡安全現(xiàn)狀及防護策略綜合分析[J].遼寧高職學報.2010.

[7]周宇.校園網(wǎng)絡安全工程的實踐與研究[D].華東師范大學.2007.

[8]侯振興.主動型網(wǎng)絡安全防御技術分析[J].甘肅科技.2006.