胡修龍

摘 要：當前，校園網(wǎng)網(wǎng)絡信息安全已成為影響校園網(wǎng)功能效益的重要因素，對校園網(wǎng)網(wǎng)絡信息安全防護體系展開研究具有十分重要的意義。分析了當前威脅校園網(wǎng)網(wǎng)絡信息安全的主要問題，并對校園網(wǎng)網(wǎng)絡信息安全防護體系的建設進行了詳細的介紹，旨在為校園網(wǎng)網(wǎng)絡信息安全防護體系的構(gòu)建提供參考。

關(guān)鍵詞：校園網(wǎng)；信息安全；防護體系；安全策略

中圖分類號：TP393.18 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.24.103

近年來，隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展，校園網(wǎng)絡化進程也不斷推進，使得學校對校園網(wǎng)的依賴性日益增加，校園網(wǎng)網(wǎng)絡信息安全問題也越來越突出。僅僅采用防火墻和殺毒軟件已無法對校外用戶的不良企圖進行防范，這對校園網(wǎng)網(wǎng)絡信息安全的建設提出了更高的要求。如何合理構(gòu)建校園網(wǎng)網(wǎng)絡信息安全防護體系，確保校園網(wǎng)網(wǎng)絡信息的安全，已成為當前學校面臨的一個重要問題。

1 威脅校園網(wǎng)網(wǎng)絡信息安全的主要問題

1.1 信息管理系統(tǒng)的漏洞

用戶可以在沒有經(jīng)過授權(quán)的情況下，獲取訪問信息管理系統(tǒng)的權(quán)限，或者可以提高訪問權(quán)限，這就是信息管理系統(tǒng)的安全漏洞，是計算機系統(tǒng)自身的硬件和軟件屬性，也可以看作信息系統(tǒng)自身的脆弱性。在校園信息管理系統(tǒng)中，其網(wǎng)絡結(jié)構(gòu)、防火墻和服務器中均有潛在的安全漏洞。目前，我們已經(jīng)知道的系統(tǒng)安全漏洞就有一百多處，日后將會發(fā)現(xiàn)更多的安全漏洞。

1.2 計算機病毒的威脅

當前，網(wǎng)絡病毒的種類和數(shù)量越來越多，危害也更加嚴重，并且病毒的發(fā)生更為頻繁。計算機病毒一般會和黑客技術(shù)結(jié)合在一起，在計算機中毒后，容易出現(xiàn)服務器癱瘓、DoS攻擊等，并累及整個服務器。網(wǎng)絡病毒在以前多通過復制的方式進入其他程序中，但目前大部分為蠕蟲病毒，它們可以在網(wǎng)絡中像蠕蟲一樣到處爬動。部分網(wǎng)絡病毒中被植入了黑客程序，在入侵信息系統(tǒng)后，這些病毒可以對入侵系統(tǒng)進行遠程控制，進而竊取重要信息。

1.3 外部入侵和內(nèi)部攻擊

學校信息管理系統(tǒng)受到來自外部的攻擊等惡意行為，部分系統(tǒng)在受到黑客等外部入侵或者攻擊后，可能變?yōu)楹诳屠玫墓ぞ?，然后再次攻擊其他計算機。而學校信息系統(tǒng)的內(nèi)部攻擊主要是內(nèi)部用戶的不當行為，內(nèi)部用戶的嘗試授權(quán)訪問、探測預攻擊等行為，比如Satan掃描等都可能影響到校園網(wǎng)絡的正常運行。

1.4 資源濫用和不良信息的傳播

校園網(wǎng)中的一些內(nèi)部用戶濫用網(wǎng)絡資源，比如利用校園網(wǎng)下載商業(yè)資料等，這樣就讓大量校園信息資源被占用。同時一些用戶會在有意識或者無意識的情況下，在校園網(wǎng)絡中傳播不良信息，或者發(fā)送垃圾郵件，這些行為都增加了安全隱患。

2 網(wǎng)絡信息管理系統(tǒng)安全防護體系模型

校園網(wǎng)網(wǎng)絡信息系統(tǒng)的安全建設是一項復雜的系統(tǒng)工程，不是單純的技術(shù)問題，也并非將技術(shù)與產(chǎn)品簡單堆砌在一起，而是需要我們積極轉(zhuǎn)變思想觀念，綜合策略、技術(shù)和管理等多方面的因素，進一步形成動態(tài)、可持續(xù)發(fā)展的過程。學校信息管理系統(tǒng)的主要服務對象是教學和學生，而大學生是網(wǎng)絡中十分活躍的群體，因此，構(gòu)建校園網(wǎng)絡信息安全防護體系是十分必要的。本文結(jié)合P2DR模型，構(gòu)建出了一個動態(tài)、多層次的校園網(wǎng)絡信息安全防護體系模型，如圖1所示。

計算機系統(tǒng)中會出現(xiàn)很多新的漏洞，新的病毒以及黑客攻擊手法也不斷涌現(xiàn)，同時校園網(wǎng)絡自身也是動態(tài)變化的，因此，在構(gòu)建好一個校園網(wǎng)絡信息安全防護體系后，網(wǎng)絡管理者必須對該防護體系進行實時更新，并定期維護，以此保障該防范體系的穩(wěn)定運行，進而保障校園網(wǎng)絡的安全性和有效性。在校園網(wǎng)絡信息安全防范體系中，將安全策略作為中心內(nèi)容，而安全技術(shù)為該體系提供支持，安全管理是一種執(zhí)行手段，并積極開展安全培訓，提高用戶的網(wǎng)絡信息安全意識，以此讓安全防范體系得以不斷完善。在這個信息安全防范體系中，安全策略是最為基礎(chǔ)和核心的部分，它可以在檢測、保護等過程中指導和規(guī)范文件?？梢哉f，該體系中所有活動的開展實施，都是在安全策略的架構(gòu)下完成的。安全技術(shù)為信息安全的實現(xiàn)提供了支撐，其中涵蓋了產(chǎn)品、工具和服務等內(nèi)容。信息系統(tǒng)中常用的安全技術(shù)有入侵檢測、漏洞掃描和系統(tǒng)防火墻等。這些技術(shù)手段是安全防范體系中較為直觀的構(gòu)成部分，也是其中必不可少的內(nèi)容，缺少了任何一項都有可能引發(fā)巨大的威脅。由于學校的資金等條件有限，在構(gòu)建安全防范體系過程中，對于部分技術(shù)無法及時部署，這時候就需要以安全策略作為參考，制訂合理的實施方案，讓所有的安全技術(shù)構(gòu)成一個有機整體。

3 建設信息安全防護體系的目標與策略

3.1 網(wǎng)絡信息安全防護體系的建設目標

根據(jù)學校信息管理系統(tǒng)中存在的安全問題，綜合考慮安全策略、技術(shù)和管理等多方面的內(nèi)容，制訂一個動態(tài)的信息安全防范方案，并根據(jù)該方案構(gòu)建安全、穩(wěn)定、易于管理的數(shù)字化校園，保障學校信息管理系統(tǒng)的正常運行。這就是網(wǎng)絡信息安全防護體系的建設目標。具體來講，主要包括以下幾方面內(nèi)容：①提高學校主干網(wǎng)絡的穩(wěn)定性，以此保障校園信息系統(tǒng)的可靠性；②不斷完善學校網(wǎng)絡信息安全管理體制，運用有效的安全防護手段，嚴格控制訪問并核實用戶身份，確保信息的保密性和真實性；③避免校園網(wǎng)絡中內(nèi)部或者外部的攻擊、破壞，維護系統(tǒng)的穩(wěn)定、安全運行；④在保障安全的基礎(chǔ)上，防護體系應該盡可能地為系統(tǒng)的各項應用提供便利，全網(wǎng)的身份認證應該統(tǒng)一，并對角色訪問進行適當控制；⑤構(gòu)建穩(wěn)定、安全和操作性強的網(wǎng)絡信息平臺，為學校的管理、教學等活動提供支撐。

3.2 網(wǎng)絡信息安全防護體系的建設策略

結(jié)合相關(guān)的安全防范體系模型，我們可以從安全策略、技術(shù)和管理等方面開展安全防護體系的建設工作。安全策略是建設工作的核心內(nèi)容，所有的工作都應該以此為參考。在建設過程中，首先應該制訂總體的安全防護體系建設方針，然后構(gòu)建網(wǎng)絡信息安全防范體系，并在這個基礎(chǔ)上制訂相關(guān)的網(wǎng)絡安全策略，比如病毒防護、系統(tǒng)和數(shù)據(jù)安全等。在這個過程中，為了確保安全策略的順利實施，也需要制訂相應的安全管理體制，并給出規(guī)范的操作流程。

4 網(wǎng)絡信息安全防護體系的總體架構(gòu)

4.1 劃分安全區(qū)域

在網(wǎng)絡信息安全防護體系的建設過程中，分層和分區(qū)防護是其較為基本的原則，要想保障信息安全防護體系的完整性，應該綜合考慮安全防護層次和區(qū)域這2個方面。根據(jù)校園信息管理系統(tǒng)的實際需求，可以把安全防護體系劃分為5個安全區(qū)域，如圖2所示，然后根據(jù)每一個安全區(qū)域的具體特征，制訂相關(guān)的安全防護策略。在每一個劃分的安全區(qū)域中，其安全防護也可以分為物理、網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)安全這5個層次。

4.2 互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)安全區(qū)域架構(gòu)

為了保障互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)中數(shù)據(jù)的可靠傳輸，以及保障各項業(yè)務的正常運作，可以根據(jù)網(wǎng)絡的實際需求，將雙核心冗余結(jié)構(gòu)應用于核心交換設備中，讓核心交換設備與每一個匯聚交換設備實現(xiàn)雙上聯(lián)。將帶寬管理設備、防火墻和鏈路負載均衡設備設置在互聯(lián)網(wǎng)邊界上，并在防火墻的隔離區(qū)設置域名解析和郵件服務等公共服務器。首先將防DDoS設備設置于外部網(wǎng)絡中，以此避免校園網(wǎng)絡以及內(nèi)部用戶受到外界攻擊；將基于端口的地址轉(zhuǎn)換應用于互聯(lián)網(wǎng)的出口，這樣外部用戶就得不到真實的內(nèi)部用戶地址；在系統(tǒng)數(shù)據(jù)中心防火墻的隔離區(qū)放置公共服務器。

4.3 校園數(shù)據(jù)中心安全區(qū)域的架構(gòu)

根據(jù)學校建設數(shù)字化校園的實際情況，以及信息系統(tǒng)各服務器之間的關(guān)系，可以將校園數(shù)據(jù)中心劃分為多個安全子區(qū)域，比如應用服務器外區(qū)和內(nèi)區(qū)、公共服務器區(qū)和數(shù)據(jù)庫服務區(qū)。其中，公共服務器中有電子郵件、Web等重要服務器，因此需要配備2臺以上檔次相同的物理服務器，服務器的高性能主要通過系統(tǒng)的負載均衡設備來體現(xiàn)。在防火墻的隔離區(qū)設置校園托管服務器，以避免外部用戶的訪問。要想將校園數(shù)據(jù)中心網(wǎng)絡和校園網(wǎng)連接起來，需要經(jīng)過核心交換機中的虛擬防火墻，防火墻隔離區(qū)的公共服務器能夠為外部網(wǎng)絡提供服務，并可以保護網(wǎng)絡免受外界攻擊。數(shù)據(jù)中心的服務器可以通過負載均衡設備來均衡負載，以此優(yōu)化網(wǎng)絡服務，并發(fā)揮安全冗余的作用；由IPS實現(xiàn)對網(wǎng)絡攻擊的阻斷，防止超文本傳輸服務器在統(tǒng)一身份認證等過程中外部用戶的訪問。

5 結(jié)束語

綜上所述，網(wǎng)絡的開放性、計算機病毒的威脅以及黑客的攻擊等各種因素的存在，對校園網(wǎng)網(wǎng)絡信息的安全構(gòu)成了嚴重的威脅。因此，學校在校園網(wǎng)建設的過程中，要做好信息安全防護工作，不斷提高信息系統(tǒng)的安全管理水平，建立并完善校園網(wǎng)網(wǎng)絡信息安全防護體系，從而確保校園網(wǎng)網(wǎng)絡的安全、穩(wěn)定運行，保障校園網(wǎng)網(wǎng)絡信息安全。

參考文獻

[1]賴金志.高職院校校園網(wǎng)信息安全防護體系研究[J].電腦與電信，2016（07）.

[2]董瑩.網(wǎng)絡信息安全防護體系的構(gòu)建探析[J].中國新技術(shù)新產(chǎn)品，2014（24）.

〔編輯：劉曉芳〕