楊凱雪

高校校園網(wǎng)安全防御體系的構(gòu)建

楊凱雪

楊凱雪

黔東南民族職業(yè)技術(shù)學(xué)院

隨著我國(guó)高校校園網(wǎng)的不斷普及，學(xué)校教育信息化快速發(fā)展，各種各樣的安全問(wèn)題也隨之出現(xiàn)。由于校園網(wǎng)的安全防御手段比較弱，很容易成為互聯(lián)網(wǎng)黑客攻擊的對(duì)象，校園網(wǎng)自身安全受到威脅。

隨著我國(guó)科技信息技術(shù)的不斷進(jìn)步，高校教育逐漸以信息化和網(wǎng)絡(luò)化作為未來(lái)的發(fā)展方向，校園網(wǎng)不斷成為我國(guó)高校管理學(xué)校日常生活和教學(xué)不可或缺的手段和方式。

1 安全現(xiàn)狀

最近幾年，校園網(wǎng)的用戶不斷增多，網(wǎng)絡(luò)管理的難度加大，網(wǎng)絡(luò)建設(shè)的缺點(diǎn)和漏洞導(dǎo)致的不安全因素也日漸明顯，影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。主要表現(xiàn)在：由于校園網(wǎng)外部用戶有可能通過(guò)文件傳輸或者是一些聊天工具把病毒傳入校園網(wǎng)內(nèi)，內(nèi)部的教師和學(xué)生也有可能在不經(jīng)意間傳播了網(wǎng)絡(luò)病毒，所以校園網(wǎng)隨時(shí)都會(huì)受到網(wǎng)內(nèi)、外病毒的威脅；校園網(wǎng)內(nèi)部的用戶如果對(duì)Internet進(jìn)行非正常操作，瀏覽一些帶有病毒的網(wǎng)站，或者是下載并使用病毒軟件，那么校園網(wǎng)就會(huì)受到木馬、蠕蟲(chóng)等病毒的破壞；部分網(wǎng)絡(luò)黑客惡意對(duì)校園網(wǎng)絡(luò)及服務(wù)器發(fā)起攻擊，致使校園網(wǎng)絡(luò)全面陷入癱瘓；大部分校園網(wǎng)的管理人員和師生并沒(méi)有網(wǎng)絡(luò)安全防御意識(shí)，學(xué)校對(duì)校園網(wǎng)的管理不予以重視，也是潛在的威脅之一。

2 安全防御體系的構(gòu)建

當(dāng)網(wǎng)絡(luò)受到各方面的攻擊時(shí)，雖然例如360防病毒軟件和防火墻等網(wǎng)絡(luò)安全產(chǎn)品對(duì)校園網(wǎng)網(wǎng)絡(luò)的安全起到了一定的保護(hù)作用，但是當(dāng)對(duì)網(wǎng)絡(luò)的攻擊連綿不斷時(shí)，這些安全軟件就會(huì)暴露出自身的缺點(diǎn)。不難想象，這種“各掃門前雪”的安全系統(tǒng)無(wú)法抵御錯(cuò)綜復(fù)雜的病毒。面對(duì)這種情況，我們要清楚的意識(shí)到：目前，網(wǎng)絡(luò)信息安全技術(shù)與安全隱患正在進(jìn)行一場(chǎng)深入的、多元化的較量。因此，只有使用多面化、科學(xué)化的安全網(wǎng)絡(luò)體系才能徹底地解決“各自為戰(zhàn)”的傳統(tǒng)局面， 才能取代或者是完善陳舊的防御措施。

組成安全體系的要素

由于我國(guó)各高校網(wǎng)絡(luò)設(shè)備和技術(shù)水平的不同，其實(shí)施的安全防御體系方案也有所區(qū)別。我們可按照校園網(wǎng)的組成因素和安全隱患，將校園網(wǎng)安全管理措施分為網(wǎng)絡(luò)安全設(shè)施、網(wǎng)絡(luò)管理員兩類。

實(shí)施策略

1.系統(tǒng)安全

系統(tǒng)層面的安全主要包括硬件和軟件系統(tǒng)的安全。硬件系統(tǒng)的安全是指環(huán)境安全、設(shè)備安全和線路安全。對(duì)主要設(shè)備的安全管理，是建立完善的安全管理體系的前提，要對(duì)路由器、服務(wù)器和主干交換機(jī)硬件設(shè)施實(shí)施集中管理；避免網(wǎng)絡(luò)硬件物體和通信線路受到自然災(zāi)害以及人為的破壞；對(duì)通信線路要采取深埋或者是穿管、架空的措施，并做明顯記號(hào)，預(yù)防受到損壞；嚴(yán)格執(zhí)行國(guó)家關(guān)于網(wǎng)絡(luò)信息系統(tǒng)中心或是對(duì)機(jī)房建設(shè)的要求進(jìn)行設(shè)計(jì)和施工。

軟件系統(tǒng)的安全重點(diǎn)面對(duì)的是電腦內(nèi)各種軟件系統(tǒng)以及相關(guān)應(yīng)用產(chǎn)品的安全缺陷帶來(lái)的威脅，主要可以采用以下技術(shù)方式來(lái)解決：

首先，利用電腦自身系統(tǒng)或者是第三方可信任軟件自動(dòng)檢查和更新機(jī)制，經(jīng)常對(duì)電腦系統(tǒng)進(jìn)行體檢或者是大掃除、升級(jí)等。

其次，關(guān)閉容易被木馬等病毒襲擊的端口，時(shí)刻警惕最新病毒的攻擊，及時(shí)更新系統(tǒng)。

2.網(wǎng)絡(luò)安全預(yù)防方法

（1）嚴(yán)格控制用戶對(duì)網(wǎng)絡(luò)邊界的訪問(wèn)

由于安全問(wèn)題，對(duì)于安全等級(jí)不同的網(wǎng)絡(luò)邊界，必須要用防火墻加以控制，利用防火墻對(duì)用戶關(guān)于校園外網(wǎng)和Internet訪問(wèn)內(nèi)容加強(qiáng)控制和過(guò)濾，可有效地預(yù)防多種網(wǎng)絡(luò)安全問(wèn)題。私人電腦也應(yīng)該安裝相應(yīng)的安全軟件，提高電腦的防御能力。

（2）網(wǎng)絡(luò)區(qū)域的規(guī)劃

如果等級(jí)不一的安全域出現(xiàn)在同一局域網(wǎng)內(nèi)，可以采取規(guī)劃子網(wǎng)并劃分VLAN和設(shè)置控制列表的措施加以控制，例如：通過(guò)劃分子網(wǎng)對(duì)學(xué)生宿舍電腦和學(xué)校辦公網(wǎng)絡(luò)加以控制，限制學(xué)生用自己的電腦訪問(wèn)辦公網(wǎng)絡(luò)。

（3）預(yù)防校園網(wǎng)內(nèi)、外合力攻擊

為更好地預(yù)防網(wǎng)絡(luò)內(nèi)、外病毒的攻擊，建議把入侵檢測(cè)系統(tǒng)安裝在每個(gè)安全域內(nèi)。

（4）建設(shè)預(yù)防病毒系統(tǒng)

在校園網(wǎng)內(nèi)，安裝相應(yīng)的防毒系統(tǒng)，對(duì)網(wǎng)絡(luò)的服務(wù)器、終端的病毒進(jìn)行集中的防控、管理和檢查，保護(hù)全網(wǎng)安全。

3.應(yīng)用方面的安全措施

在應(yīng)用方面，主要的安全措施有以下幾點(diǎn)。

（1）身份許可

為了分辨校內(nèi)、校外用戶以及使用校園網(wǎng)信息資源的不同，要采取不同的措施，只允許被授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)的安全。

（2）對(duì)安全系統(tǒng)進(jìn)行審計(jì)

針對(duì)用戶的認(rèn)證資料和其他一些信息，成立安全審計(jì)系統(tǒng)，保證審計(jì)效果的真實(shí)性，并做成報(bào)表，并使其成為網(wǎng)絡(luò)通信管理者管理網(wǎng)絡(luò)的依據(jù)。

（3）對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份

網(wǎng)絡(luò)數(shù)據(jù)備份是在出現(xiàn)意外情況時(shí)，短時(shí)間內(nèi)將網(wǎng)絡(luò)原有的信息進(jìn)行還原，將損失降到最低，是保證網(wǎng)絡(luò)安全的最后一道防線。

（4）設(shè)立郵件網(wǎng)關(guān)

目前各種垃圾郵件泛濫，針對(duì)這種情況，校方要在郵件系統(tǒng)的配合下設(shè)立郵件網(wǎng)關(guān)，保證電子郵件的安全，采用先進(jìn)的科學(xué)技術(shù)攔截、過(guò)濾垃圾郵件。

（5）在集中區(qū)域?qū)崿F(xiàn)共享上網(wǎng)

用代理的方式確保學(xué)校機(jī)房、辦公區(qū)域等上網(wǎng)比較集中的區(qū)域能夠共享上網(wǎng)，不僅有利于提高網(wǎng)站的訪問(wèn)速度，而且有利于網(wǎng)絡(luò)安全的控制。網(wǎng)絡(luò)中還原卡使用起來(lái)比較方便，正因?yàn)檫@樣也容易出現(xiàn)安全漏洞，使用戶的電腦無(wú)法保留任何安全方面的信息。

4.管理層面的安全

俗話說(shuō)：“三分技術(shù)，七分管理”，也就是說(shuō)安全管理和安全技術(shù)的相互配合是網(wǎng)絡(luò)安全實(shí)現(xiàn)的前提。因此，為了實(shí)現(xiàn)管理層的安全，必須做到以下幾點(diǎn)。

（1）完善校園網(wǎng)安全的管理體制

由于校園網(wǎng)的用戶日益增多，建立一套行之有效的安全管理體制很有必要。校園網(wǎng)安全水平的提高需要制度和設(shè)備的有效結(jié)合。建立一個(gè)依據(jù)我國(guó)有關(guān)法律、法規(guī)和學(xué)校的管理?xiàng)l例為基礎(chǔ)的管理體制，并以網(wǎng)絡(luò)安全條例或者是安全管理辦法的形式予以公布。

（2）加強(qiáng)校園網(wǎng)用戶的安全意識(shí)

保證校園網(wǎng)安全的關(guān)鍵是加強(qiáng)安全意識(shí)的培養(yǎng)和用戶的管理。對(duì)于使用人員，進(jìn)行必要的網(wǎng)絡(luò)安全意識(shí)的教育，使其自覺(jué)遵守有關(guān)的網(wǎng)絡(luò)安全制度，提高整體人員對(duì)網(wǎng)絡(luò)安全的防范能力；對(duì)于網(wǎng)絡(luò)管理人員，要定期不定期地進(jìn)行知識(shí)和技術(shù)培訓(xùn)，提高網(wǎng)絡(luò)技能和網(wǎng)絡(luò)管理水平，更好地對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理，把危險(xiǎn)降到最低。

（3）建設(shè)網(wǎng)絡(luò)安全管理平臺(tái)

集中監(jiān)控所有的安全系統(tǒng)和設(shè)備并進(jìn)行綜合分析，以公布安全制度的形式告知用戶有效的行為范圍和違反制度的處罰規(guī)定。

3 結(jié)語(yǔ)

總之，校園網(wǎng)的安全防御是一項(xiàng)持久的工程，因?yàn)榫W(wǎng)絡(luò)系統(tǒng)安全只是相對(duì)的，做不到絕對(duì)。隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全還有待于進(jìn)一步健全和完善，整個(gè)過(guò)程充滿了挑戰(zhàn)。網(wǎng)絡(luò)安全的預(yù)防沒(méi)有捷徑，我們要綜合各方面的科學(xué)技術(shù)和預(yù)防措施，找出保證校園網(wǎng)絡(luò)安全的最佳方法，給學(xué)校師生營(yíng)建一個(gè)安全放心的網(wǎng)絡(luò)環(huán)境。

10.3969/j.issn.1001-8972.2015.02.023