陳錦琪 陳曉語
(江蘇省楊州技師學(xué)院江蘇揚(yáng)州225003)
伴隨著教育信息化的高速發(fā)展,校園網(wǎng)絡(luò)的普及率和應(yīng)用率越來越高,這就使得很多學(xué)校在教學(xué)管理活動中對計(jì)算機(jī)和校園網(wǎng)絡(luò)的依賴程度與日俱增,這就對校園網(wǎng)絡(luò)的安全防范水平和信息服務(wù)質(zhì)量提出了更高的要求。尤其是隨著校園網(wǎng)絡(luò)遭受攻擊的越來越頻繁,受到攻擊威脅程度的提高,校園網(wǎng)絡(luò)的系統(tǒng)安全問題已經(jīng)成為當(dāng)前熱議的話題。
在當(dāng)前的校園網(wǎng)絡(luò)中,服務(wù)對象主要是在校的教師和學(xué)生,但這些用戶的信息化素質(zhì)和計(jì)算機(jī)網(wǎng)絡(luò)水平卻存在很大的差異,大部分用戶在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)缺乏應(yīng)有的網(wǎng)絡(luò)安全防范意識,導(dǎo)致計(jì)算機(jī)病毒較多,傳播起來造成的不良影響也比較大。例如,有的學(xué)生在上網(wǎng)或使用計(jì)算機(jī)的過程中,經(jīng)常使用簡單的密碼,在使用U 盤等移動存儲設(shè)備時(shí)忽略了病毒的查殺,這都給黑客盜取或篡改個(gè)人信息提供了空間。怎樣提升在校師生的安全意識和信息化素質(zhì),通過有效的網(wǎng)絡(luò)安全維護(hù)策略確保校園網(wǎng)絡(luò)的安全運(yùn)行,已經(jīng)成為當(dāng)前校園網(wǎng)絡(luò)管理人員需要重點(diǎn)面對的問題[1]。
在當(dāng)前的校園網(wǎng)建設(shè)活動中,很多學(xué)校將主要精力放在了安全設(shè)備和安全技術(shù)的投入上,對校園網(wǎng)絡(luò)的安全管理卻不夠重視,通常借助架設(shè)出口防火墻對校園網(wǎng)的安全進(jìn)行保護(hù),但是很多學(xué)校并沒有及時(shí)建立病毒防御和安全漏洞分析等安全體系。同時(shí),由于受到組織機(jī)構(gòu)建設(shè)和經(jīng)濟(jì)投入等因素的影響,有些學(xué)校的網(wǎng)絡(luò)安全管理人員相對不足,經(jīng)常出現(xiàn)一人身兼數(shù)職的情況[2]。此外,還有的學(xué)校并沒有建立相應(yīng)的信息安全管理機(jī)構(gòu),網(wǎng)絡(luò)安全制度與管理規(guī)范的上的缺陷,也容易帶來校園網(wǎng)絡(luò)安全管理上的弊端。
一般的校園網(wǎng)絡(luò)用戶,都是成千上萬個(gè),尤其是一些大型的高校,在校師生和管理人員高達(dá)幾萬人,所以使得校園網(wǎng)的用戶比較集中,網(wǎng)絡(luò)終端數(shù)量龐大,尤其是隨著無線的普及,智能手機(jī)和平板電腦也成為重要的網(wǎng)絡(luò)終端設(shè)備,從而使得校園網(wǎng)絡(luò)的網(wǎng)絡(luò)終端數(shù)量越來越多。
校園網(wǎng)絡(luò)的安全威脅是來自多方面的,加上校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與完善已經(jīng)成為是一項(xiàng)長期和復(fù)雜的系統(tǒng)工程,單純依賴安全技術(shù)或者安全產(chǎn)品都很難完全實(shí)現(xiàn)校園網(wǎng)絡(luò)安全管理的目標(biāo)。因此,網(wǎng)絡(luò)安全防范體系應(yīng)該是動態(tài)變化的,在完成安全防范體系的設(shè)計(jì)后,必須不斷適應(yīng)安全環(huán)境的變化[3]。
在構(gòu)建校園安全防范體系時(shí),可以參照美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的P2DR 模型,主要包括策略、防護(hù)、檢測和響應(yīng)4個(gè)模塊。①策略:該模塊的主要功能是根據(jù)計(jì)算機(jī)與網(wǎng)絡(luò)風(fēng)險(xiǎn)分析理清需要保護(hù)的資源和對象,以及該采取怎樣的保護(hù)措施等。策略模塊是P2DR 模型的核心,其他模塊的功能都要依據(jù)安全策略才可以得以有效的實(shí)施。具體說來,網(wǎng)絡(luò)安全策略可分為具體安全策略和總體安全策略;②防護(hù):該模塊的主要功能是借助對校園網(wǎng)絡(luò)系統(tǒng)漏洞的修復(fù),系統(tǒng)的正確設(shè)計(jì)和合理安裝,網(wǎng)絡(luò)安全教育,運(yùn)用訪問控制和監(jiān)視等手段對惡意威脅或攻擊事件進(jìn)行有效的防護(hù);③檢測:該模塊作為加強(qiáng)防護(hù)和動態(tài)響應(yīng)的主要依據(jù),其功能主要體現(xiàn)在通過對校園網(wǎng)絡(luò)系統(tǒng)的監(jiān)控和檢測,及時(shí)發(fā)現(xiàn)新的系統(tǒng)弱點(diǎn)和網(wǎng)絡(luò)威脅,通過循環(huán)反饋?zhàn)龀黾皶r(shí)、快速的反映,可以同防護(hù)模塊的功能形成有效的互補(bǔ);④響應(yīng):該模塊的功能在于當(dāng)校園網(wǎng)絡(luò)系統(tǒng)一旦檢測到入侵,響應(yīng)系統(tǒng)就開始工作,確保事件的處理和網(wǎng)絡(luò)的安全。P2DR 是一個(gè)完整的和動態(tài)的安全循環(huán),有效地保障了保證網(wǎng)絡(luò)信息系統(tǒng)的安全[4]。
圖1 校園網(wǎng)絡(luò)安全防范體系模型圖
根據(jù)傳統(tǒng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu),結(jié)合P2DR 模型可構(gòu)建一種動態(tài)的、可靠的和實(shí)用性較強(qiáng)的校園網(wǎng)絡(luò)安全防范體系模型,如圖1 所示。
安全策略體系主要是指服務(wù)于校園網(wǎng)絡(luò)安全管理的一系列的規(guī)章制度,主要會涉及到校園網(wǎng)絡(luò)安全管理的長遠(yuǎn)規(guī)劃和網(wǎng)絡(luò)安全管理的目標(biāo),還應(yīng)當(dāng)包括校園網(wǎng)絡(luò)安全事故爆發(fā)時(shí)的應(yīng)急處理制度和事后恢復(fù)制度等內(nèi)容。
安全技術(shù)是指根據(jù)安全目標(biāo)需要,通過部署安全設(shè)備和采用技術(shù)策略來對校園網(wǎng)進(jìn)行安全防護(hù),其包括的設(shè)備或采用的技術(shù)主要包括入侵檢測、防病毒網(wǎng)關(guān)、防火墻、通信加密、漏洞掃描和安全審計(jì)等。①入侵檢測技術(shù)是指對網(wǎng)絡(luò)入侵行為的發(fā)覺技術(shù)[5],該技術(shù)可以使計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,進(jìn)而可及時(shí)發(fā)現(xiàn)校園網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的各種違法安全策略的行為以及可能遭受網(wǎng)絡(luò)攻擊的跡象;②防病毒網(wǎng)關(guān)是作為一種新型的網(wǎng)絡(luò)設(shè)備,可以對進(jìn)行校園網(wǎng)的數(shù)據(jù)安全進(jìn)行有效的保護(hù),如所具有的關(guān)鍵詞過濾、病毒查殺和垃圾郵件拒絕等功能;③防火墻技術(shù)指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問[6];④通信加密技術(shù)主要是通過物理或者數(shù)學(xué)手段,實(shí)現(xiàn)對數(shù)字信息在網(wǎng)絡(luò)傳輸過程中和存儲設(shè)備中的安全保護(hù)的技術(shù)。計(jì)算機(jī)密鑰、保密通信和防復(fù)制軟盤等都屬于通信加密技術(shù)。⑤漏洞掃描技術(shù)主要是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為;⑥安全審計(jì)主要是指通過多樣化的技術(shù)系統(tǒng)如:數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)提供的專門管理程序以及審計(jì)模塊的相關(guān)功能,對系統(tǒng)的日常使用情況進(jìn)行日志式的記錄,進(jìn)而實(shí)現(xiàn)對校園網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控和及時(shí)報(bào)警和事后分析與統(tǒng)計(jì)。同時(shí),只有加強(qiáng)這些設(shè)備和技術(shù)在整體上的使用才能實(shí)現(xiàn)更好的安全防范效果,這就需要學(xué)校要結(jié)合自身校園網(wǎng)絡(luò)建設(shè)和安全管理的需要,部署和構(gòu)建有針對性的安全技術(shù)體系[7]。
安全管理是校園安全防范體系構(gòu)建的基礎(chǔ)和主線,貫穿于整個(gè)體系建設(shè)的始末,安全管理體系的構(gòu)建,不僅僅包括技術(shù)和設(shè)備要素,還包括人的要素,是確保校園安全防范體系能夠發(fā)揮作用和職能的重要前提,如果在校園網(wǎng)絡(luò)安全管理中缺少了人的主動管理和規(guī)章制度的有效約束,那么再好的硬件設(shè)備和軟件防范技術(shù)都難以發(fā)揮應(yīng)有的效能。基于校園網(wǎng)絡(luò)安全體系建設(shè)的復(fù)雜性,安全管理體系的構(gòu)建必須建立規(guī)范、全面和科學(xué)的管理制度,充分發(fā)揮"人"在校園網(wǎng)絡(luò)安全管理中的重要作用,將設(shè)備技術(shù)與安全管理機(jī)制有機(jī)地結(jié)合起來,進(jìn)而實(shí)現(xiàn)更好的管理效果[8]。
由于校園網(wǎng)絡(luò)安全防范體系的構(gòu)建會涉及到很多環(huán)節(jié)和多個(gè)用戶,無論是學(xué)校的領(lǐng)導(dǎo),還是校園網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理員,都是其中的重要組成部分,只有通過一系列的安全教育與培訓(xùn)措施,不斷加強(qiáng)和提高用戶的網(wǎng)絡(luò)安全意識和安全風(fēng)險(xiǎn)防控能力,才能確保各項(xiàng)安全防范措施的有效貫徹與執(zhí)行。尤其是在病毒泛濫的校園網(wǎng)絡(luò)環(huán)境下,只有不斷通過定期培訓(xùn)、病毒及時(shí)發(fā)布和促使用戶修復(fù)漏洞等措施,增強(qiáng)校園網(wǎng)用戶的安全風(fēng)險(xiǎn)應(yīng)對能力,才能有效減少各類網(wǎng)絡(luò)安全事件,避免很多不必要的損失[9]。
為了充分發(fā)揮校園網(wǎng)絡(luò)安全防范體系的職能,校園網(wǎng)的管理人員還需要嚴(yán)格遵循用于校園網(wǎng)安全檢測、預(yù)防非法攻擊或者響應(yīng)及時(shí)恢復(fù)系統(tǒng)的安全機(jī)制,如定期做好服務(wù)器、工作站和交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全檢查工作,及時(shí)處理掉可能存在的安全隱患,對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種操作行為進(jìn)行實(shí)時(shí)檢測等,這樣有助于對各類校園網(wǎng)的安全攻擊事件進(jìn)行防御,提高校園網(wǎng)在數(shù)據(jù)處理、數(shù)據(jù)傳輸以及系統(tǒng)維護(hù)方面的安全效能。
綜上所述,校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與完善,是一個(gè)長期性和系統(tǒng)性的工程,需要各個(gè)學(xué)校在信息化的建設(shè)進(jìn)程中,結(jié)合用戶對網(wǎng)絡(luò)安全的需求,持續(xù)性的增加投入,制定科學(xué)、合理的校園網(wǎng)絡(luò)安全管理策略,借助現(xiàn)代化的管理手段和技術(shù)手段,逐步建立起立體化的網(wǎng)絡(luò)安全防范體系,進(jìn)而更好的服務(wù)于學(xué)校的教學(xué)與科研工作。
[1]段愛民.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4):18-20.
[2]徐云娟.校園網(wǎng)安全技術(shù)的研究[D].上海:復(fù)旦大學(xué)碩士論文,2008.
[3]李建寧.綜合安防網(wǎng)絡(luò)集成管理平臺在創(chuàng)建"平安校園"中的應(yīng)用[J].智能建筑與城市信息,2009(6):91-94.
[4]李文濤,楊海軍.安防網(wǎng)絡(luò)三級互動為平安校園保駕護(hù)航[J].智能建筑與城市信息,2010(1):62-65.
[5]張惠言,王紅麗,朱乾坤.校園網(wǎng)的建設(shè)與規(guī)劃[J].內(nèi)江科技,2011(4):157.
[6]莫年發(fā).Internet 時(shí)代的高校校園網(wǎng)規(guī)劃設(shè)計(jì)與實(shí)踐-以廣西水利電力職業(yè)技術(shù)學(xué)院新校區(qū)校園網(wǎng)為例[J].廣西輕工業(yè),2011(7):67-68.
[7]劉 琳,鄧曉剛.關(guān)于構(gòu)建校園網(wǎng)絡(luò)安全防范體系的探索[J].電腦知識與技術(shù),2017(9):572-573.
[8]謝 勍.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)探討[J].科學(xué)技術(shù)與工程,2008(1):229-232.
[9]田 迪.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(2):84-85.