◆李玉杰

（甘肅省理工中等專業(yè)學(xué)校 甘肅 733000）

校園網(wǎng)絡(luò)安全需求及應(yīng)對策略

◆李玉杰

（甘肅省理工中等專業(yè)學(xué)校 甘肅 733000）

網(wǎng)絡(luò)安全是數(shù)字化校園健康運行的基本保證，校園網(wǎng)絡(luò)安全主要包括軟硬件系統(tǒng)的安全和信息安全。隨著數(shù)字化校園應(yīng)用的普及，網(wǎng)絡(luò)安全成為校園安全的一個突出問題。如何確保校園網(wǎng)絡(luò)安全穩(wěn)定的運行，是校園網(wǎng)建設(shè)中必須解決的問題。本文對中職學(xué)校網(wǎng)絡(luò)安全需求進行了分析并提出建立一個全面的網(wǎng)絡(luò)安全體系的具體措施。

校園網(wǎng)；網(wǎng)絡(luò)安全

0 引言

隨著信息技術(shù)的日益發(fā)展和廣泛應(yīng)用，中職學(xué)校已經(jīng)建成了門戶網(wǎng)站和數(shù)字化校園平臺，服務(wù)于學(xué)校的招生宣傳、辦公和教育教學(xué)工作，但隨著應(yīng)用的深入，校園網(wǎng)上的各種數(shù)據(jù)急劇增加，隨之而來的網(wǎng)絡(luò)安全問題也日益突顯，黑客攻擊、入侵破壞、發(fā)布有害信息等信息網(wǎng)絡(luò)安全事件頻繁發(fā)生，既損害了中職學(xué)校形象，也影響了正常的教育教學(xué)工作，必須采取有效措施，加固網(wǎng)絡(luò)和信息安全、提高安全保護等級，保障網(wǎng)絡(luò)正常、可靠、穩(wěn)定運行。

1 校園網(wǎng)絡(luò)安全需求

1.1 安全性

當前的互聯(lián)網(wǎng)內(nèi)存在著不計其數(shù)的各種各樣的病毒，木馬，惡意插件腳本，黑客攻擊等，安全的網(wǎng)絡(luò)建設(shè)，必然要求在學(xué)?；ヂ?lián)網(wǎng)出口和數(shù)據(jù)中心，建立一整套的安全防護體系，不僅要防護這些惡意攻擊，同時，也要保護門戶網(wǎng)站不被惡意篡改，以及數(shù)據(jù)中心的敏感信息不被外泄。

1.2 易用性

考慮到學(xué)校辦公、教學(xué)和學(xué)習(xí)的需求，要使在校內(nèi)外移動辦公、教學(xué)和學(xué)習(xí)的用戶能夠安全，方便的通過各種終端，例如：iphone、iPad、安卓智能手機、筆記本等接入校園網(wǎng)絡(luò)，并且網(wǎng)絡(luò)管理員可以簡單便捷地對其進行管理。

1.3 高效性

不僅要提升用戶在訪問不同運營商資源，或者通過不同運營商接入訪問內(nèi)部系統(tǒng)的訪問速度，同時，在做安全防護的時候，也要考慮防護的高效性，避免因為安全防護設(shè)備的性能瓶頸，影響正常的辦公、教育教學(xué)。

1.4 可管理性

對內(nèi)網(wǎng)的上網(wǎng)行為可以進行可視化的監(jiān)控和管理，通過對P2P等上傳和下載行為的控制，保證核心業(yè)務(wù)的帶寬，提升用戶上網(wǎng)體驗，提高工作效率。同時，避免由于發(fā)布非法言論而召之法律責任。要通過對IM聊天，微博，網(wǎng)站和論壇訪問等等網(wǎng)絡(luò)行為的審計，提升網(wǎng)絡(luò)的可管理性。

2 應(yīng)對策略

學(xué)校要保障信息安全經(jīng)費投入充足和信息安全管理人員配備齊全。完善信息安全設(shè)施。密切監(jiān)測、監(jiān)控學(xué)校網(wǎng)絡(luò)，從訪問控制、入侵檢測、行為審計、防病毒保護、網(wǎng)站保護等方面建立了一個全面的安全體系。

2.1 建立健全校園網(wǎng)絡(luò)和信息安全制度和運維機制，保障網(wǎng)絡(luò)正常運行

要建立網(wǎng)絡(luò)和信息安全領(lǐng)導(dǎo)小組，負責網(wǎng)絡(luò)和信息安全的領(lǐng)導(dǎo)和監(jiān)督檢查。要有負責學(xué)校網(wǎng)絡(luò)安全管理工作的內(nèi)設(shè)機構(gòu)，配備相對固定的專職技術(shù)人員，采取有效的網(wǎng)絡(luò)管理策略與技術(shù)組織措施，制定并落實諸如《校園網(wǎng)絡(luò)安全管理辦法》、《校園網(wǎng)信息發(fā)布管理辦法》、《校園網(wǎng)入網(wǎng)信息安全協(xié)議書》、《計算機信息系統(tǒng)病毒預(yù)防和控制管理辦法》、《網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案》等制度。要定期開展網(wǎng)絡(luò)安全檢測，對網(wǎng)絡(luò)系統(tǒng)漏洞、非法入侵、病毒侵害等進行檢查分析，定期對整個網(wǎng)絡(luò)的安全狀況進行評估，及時彌補出現(xiàn)的漏洞；開展網(wǎng)絡(luò)安全應(yīng)急演練，對全校師生開展網(wǎng)絡(luò)安全教育培訓(xùn)，提高校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。另外，在網(wǎng)絡(luò)安全方面每年要有一定的運行維護費用，為中職學(xué)校網(wǎng)絡(luò)安全提供保障。

2.2 加強軟硬件安全體系建設(shè)，有效保障校園網(wǎng)絡(luò)安全

安裝防火墻、應(yīng)用防火墻、身份認證系統(tǒng)、行為審計系統(tǒng)、防病毒及容災(zāi)備份系統(tǒng)。

（1）在互聯(lián)網(wǎng)出口，部署高性能的防火墻。將內(nèi)部網(wǎng)絡(luò)、對外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；并通過其內(nèi)部集成的IPS，WAF，傳統(tǒng)墻功能，以及反病毒模塊等，建立一套在互聯(lián)網(wǎng)出口的一體化防護系統(tǒng)，有效的防止學(xué)校門戶網(wǎng)站不被篡改，以及對外發(fā)布的敏感信息的攔截。

（2）部署上網(wǎng)行為管理，形成一個完善的審計體系，對內(nèi)網(wǎng)用戶的上網(wǎng)行為進行管控。嚴格記錄用戶訪問日志、規(guī)范網(wǎng)絡(luò)用戶的上網(wǎng)行為，避免網(wǎng)絡(luò)攻擊。行為審計系統(tǒng)可以通過應(yīng)用識別和智能識別封堵各類已知和未知的P2P軟件，并通過動態(tài)流控的方式，在保證核心業(yè)務(wù)的帶寬的同時，對網(wǎng)絡(luò)用戶進行靈活，人性化的管控。行為審計系統(tǒng)靈活精細的網(wǎng)絡(luò)準入策略，可以保證上網(wǎng)終端的安全，以及對各類上網(wǎng)應(yīng)用的授權(quán)，最重要的是，可以審計到各類IM聊天，加密網(wǎng)站，論壇，郵箱，解決傳統(tǒng)上網(wǎng)行為管理加密識別難的問題。

（3）在數(shù)據(jù)中心前部署高性能防火墻，建立一套在數(shù)據(jù)中心的一體化防護系統(tǒng)，可以對數(shù)據(jù)中心外發(fā)的敏感信息進行有效地攔截和控制。同時也可部署服務(wù)器負載均衡，保證服務(wù)器資源均衡調(diào)動，在服務(wù)器繁忙之時不會導(dǎo)致內(nèi)部資源訪問緩慢；針對服務(wù)器集群采用服務(wù)器虛擬化技術(shù)，保障用戶核心應(yīng)用不會因為單臺服務(wù)器的損壞導(dǎo)致業(yè)務(wù)中斷及數(shù)據(jù)丟失。

（4）在服務(wù)器群前部署IPS入侵檢測檢測系統(tǒng)，利用入侵檢測系統(tǒng)監(jiān)測對內(nèi)，對外服務(wù)器的訪問；對服務(wù)請求內(nèi)容進行控制，使非法訪問在到達主機前被阻斷；防范外網(wǎng)和內(nèi)網(wǎng)對服務(wù)器的攻擊，保護服務(wù)器群的安全和DDoS攻擊。

（5）校園網(wǎng)應(yīng)用操作系統(tǒng)盡量采用開源Linux操作系統(tǒng)，減少對windows操作系統(tǒng)的依賴性。要對服務(wù)器進行定期和不定期安全檢查，主要內(nèi)容包括：SQL注入攻擊，跨站腳本攻擊，弱密碼，殺毒軟件安裝和升級，病毒木馬檢測、端口開放，網(wǎng)頁篡改。并認真做好系統(tǒng)安全日志。

（6）使用安全加固手段對現(xiàn)有服務(wù)器進行安全配置，保障服務(wù)器本身的安全性。對接入校園網(wǎng)的計算機要通過VLAN技術(shù)按不同工作部門或功能等劃分在不同的網(wǎng)段中，使不同的使用者訪問不同的資源，避免發(fā)生網(wǎng)絡(luò)數(shù)據(jù)風暴和資源外泄情況?？梢园淹粋€建筑物中的用戶劃分在一個網(wǎng)段中，也可以按職能部門劃分網(wǎng)段，這樣可以有效避免一些網(wǎng)絡(luò)安全問題的發(fā)生。同時，可以采取網(wǎng)絡(luò)用戶與IP地址綁定的策略，對網(wǎng)絡(luò)用戶采用實名認證，一旦網(wǎng)內(nèi)主機發(fā)生不安全因素，可以快速追蹤其使用者，使其終止危害，避免更大的網(wǎng)絡(luò)損害。

（7）應(yīng)用病毒防護和容災(zāi)備份系統(tǒng)。選用功能相對完善的網(wǎng)絡(luò)查殺病毒軟件，采取必要的病毒檢測和監(jiān)控措施，實時查殺網(wǎng)絡(luò)和主機病毒，對接入網(wǎng)絡(luò)的各種存儲介質(zhì)進行殺病毒管理。對服務(wù)器資料和重要數(shù)據(jù)定期進行及時的備份，最好使用專業(yè)的容災(zāi)備份軟硬件系統(tǒng)，在網(wǎng)絡(luò)和信息系統(tǒng)遭到嚴重摧毀后能及時恢復(fù)，將損失降低到最小。

2.3 嚴格執(zhí)行信息發(fā)布審批制度，規(guī)范信息發(fā)布工作

學(xué)校網(wǎng)站信息發(fā)布要實行領(lǐng)導(dǎo)審核簽名制度。在學(xué)校網(wǎng)站上傳的信息，要經(jīng)相關(guān)部門領(lǐng)導(dǎo)的審核后才可以上傳。學(xué)校要實行校園網(wǎng)絡(luò)信息安全管理機制，開發(fā)校園網(wǎng)站信息發(fā)布系統(tǒng)，并要通過激勵機制保證網(wǎng)站內(nèi)容的及時更新。

2.4 涉密計算機和信息要嚴格與校園網(wǎng)絡(luò)物理隔離

涉密計算機及相關(guān)存儲介質(zhì)的利用和管理，要選擇專人保存，涉密文件要獨立寄存,禁止攜帶保存有涉密內(nèi)容的存儲介質(zhì)到上網(wǎng)的電腦上加工、儲存、傳遞和處理文件。對涉密計算機要實行與國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離,確保學(xué)校信息安全。

2.5 嚴格規(guī)范辦公計算機管理

學(xué)校要對辦公用計算機及其設(shè)備實行“誰使用、誰管理、誰負責”的管理制度。一要加強信息安全教育，提高教學(xué)人員的計算機技能；二要要求所有的辦公電腦都安裝殺毒軟件和獨立的防火墻；三要在學(xué)校開展網(wǎng)絡(luò)安全知識宣傳，使全校師生意識到計算機網(wǎng)絡(luò)安全的重要性，提高信息安全的技能，主動，自覺做好網(wǎng)絡(luò)安全工作，學(xué)校要將利用計算機進行犯罪活動作為安全保衛(wèi)工作的重要內(nèi)容；四是在計算機網(wǎng)絡(luò)維護中，專門設(shè)置網(wǎng)絡(luò)設(shè)備故障登記簿、電腦維護和維修表，對設(shè)備故障和維護進行認真的登記，并及時處理。

3 結(jié)語

校園網(wǎng)絡(luò)安全是數(shù)字化校園健康運行的基本保證。網(wǎng)絡(luò)數(shù)據(jù)安全和信息保護形勢日趨嚴峻，網(wǎng)絡(luò)安全風險和威脅已涉及到學(xué)校的安全和穩(wěn)定。各中職學(xué)校要高度重視校園網(wǎng)絡(luò)安全，健全管理體制機制，保障資金投入，采用科學(xué)有效的措施，加強校園網(wǎng)絡(luò)安全，將學(xué)校信息化發(fā)展和網(wǎng)絡(luò)安全同步建設(shè)。

[1]闞明.中職學(xué)校校園網(wǎng)絡(luò)安全探析[J].電子技術(shù)與軟件工程，2014.

[2]周倩倩.中職學(xué)校數(shù)字化校園的網(wǎng)絡(luò)安全問題探析[J].黑龍江科技信息，2015.

[3]張猛.中職校園網(wǎng)絡(luò)安全管理的措施與策略[J].信息安全與技術(shù)，2016.