◆杜國真

（河南護(hù)理職業(yè)學(xué)院 河南 455000）

數(shù)字化校園網(wǎng)絡(luò)的安全現(xiàn)狀及防御對(duì)策

◆杜國真

（河南護(hù)理職業(yè)學(xué)院 河南 455000）

當(dāng)前網(wǎng)絡(luò)不斷普及的同時(shí)也對(duì)學(xué)校教育產(chǎn)生了影響，自21世紀(jì)起各個(gè)學(xué)校就開始注重網(wǎng)絡(luò)信息化的建設(shè)工作。數(shù)字化校園網(wǎng)當(dāng)前已經(jīng)在教學(xué)工作、科研工作以及管理交流服務(wù)當(dāng)中發(fā)揮著越來越重要的作用，由于數(shù)字化校園網(wǎng)絡(luò)的存在也使得運(yùn)程教育、網(wǎng)上教學(xué)等教育服務(wù)更加的開放，使得更多的學(xué)生和教師同步進(jìn)行校園網(wǎng)絡(luò)資源的共享，那么在該過程當(dāng)中就有可能會(huì)由于網(wǎng)絡(luò)的不封閉導(dǎo)致出現(xiàn)相應(yīng)的網(wǎng)絡(luò)安全問題，這些問題涉及到的范圍是非常廣的，有硬件安全問題、應(yīng)用軟件平臺(tái)安全、數(shù)據(jù)庫系統(tǒng)安全等。而要使這些網(wǎng)絡(luò)安全問題得到更好的解決，則需要采取一定的防御措施，本文從病毒防御、防火墻設(shè)置、管理安全等途徑去改善現(xiàn)有的網(wǎng)絡(luò)安全現(xiàn)狀。

數(shù)字化校園；網(wǎng)絡(luò)安全；防御措施；教育

0 引言

校園網(wǎng)絡(luò)不管是在當(dāng)前還是在未來都將是校園信息化建設(shè)中的關(guān)鍵，而校園網(wǎng)的安全運(yùn)用則被看成了未來整個(gè)校園網(wǎng)絡(luò)發(fā)展的核心，實(shí)際上從當(dāng)前來看校園網(wǎng)絡(luò)不管是從網(wǎng)絡(luò)系統(tǒng)規(guī)模上來看，還是從用戶群組數(shù)量來看，其都體現(xiàn)出了中小運(yùn)營商特點(diǎn)。

1 網(wǎng)絡(luò)安全現(xiàn)狀及問題分析

隨著數(shù)字化校園建設(shè)的推進(jìn)，也推出了一系列的業(yè)務(wù)，包括網(wǎng)絡(luò)教學(xué)、網(wǎng)絡(luò)教育及遠(yuǎn)程教育等，而在網(wǎng)絡(luò)越來越開放的同時(shí)伴隨而來的則是網(wǎng)絡(luò)安全問題，具體的表現(xiàn)為下面幾個(gè)方面：

1.1 系統(tǒng)自身所存在的安全問題

當(dāng)前絕大多數(shù)的高職院校數(shù)字化校園網(wǎng)絡(luò)操作系統(tǒng)包括有Unix、Windows、及Linux三種，但是這些系統(tǒng)實(shí)際上并不是完美的，均存在一些安全漏洞，所以必須要想出一定的辦法去進(jìn)行漏洞補(bǔ)丁的發(fā)布從而有效的提高校園網(wǎng)絡(luò)的安全性。但在實(shí)際當(dāng)中存在很大一部分的高職院校在數(shù)字化校園建設(shè)當(dāng)中為了節(jié)省開支，會(huì)購買一些盜版的軟件，那么這些盜版的軟件根本就沒有辦法對(duì)所出現(xiàn)的系統(tǒng)漏洞進(jìn)行妥善的處理，這就導(dǎo)致了很多網(wǎng)絡(luò)病毒和木馬有了侵入校園網(wǎng)的可乘之機(jī)。

1.2 硬件設(shè)備存在的安全問題

對(duì)于數(shù)字化校園網(wǎng)絡(luò)來說硬件設(shè)備是保證其運(yùn)轉(zhuǎn)的基礎(chǔ)，實(shí)際運(yùn)行中會(huì)存在很多原因?qū)е掠布O(shè)備出現(xiàn)安全威脅，比如電磁干擾、操作失誤、電源故障、操作失誤等，另外還有一些意外因素的存在，都有可能會(huì)不同程度的損壞校園網(wǎng)絡(luò)硬件設(shè)備，使得校園網(wǎng)絡(luò)運(yùn)行安全被影響。

1.3 網(wǎng)絡(luò)病毒所帶來的安全問題

網(wǎng)絡(luò)病毒和木馬都屬于網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)下營運(yùn)而生的負(fù)面產(chǎn)物，當(dāng)前網(wǎng)絡(luò)當(dāng)中有很多木馬病毒，而這些病毒和木馬就會(huì)隨著對(duì)互聯(lián)網(wǎng)瀏覽、資料下載、數(shù)據(jù)傳輸、電子郵件發(fā)送等進(jìn)行傳播，一旦傳染之后就會(huì)盜取用戶的資料，使得整個(gè)網(wǎng)絡(luò)被破壞。說輕了會(huì)使得網(wǎng)絡(luò)出現(xiàn)不穩(wěn)定的狀態(tài)，說嚴(yán)重了很有可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓、甚至是全部數(shù)據(jù)的丟失及系統(tǒng)損壞。

2 導(dǎo)致數(shù)字化校園網(wǎng)絡(luò)安全問題的原因分析

2.1 相應(yīng)的安全配套設(shè)施不健全

我國的校園網(wǎng)絡(luò)在規(guī)劃階段和組建階段經(jīng)費(fèi)較為欠缺，所以現(xiàn)在很多已經(jīng)被淘汰的設(shè)備仍舊在使用中，這就造成了網(wǎng)絡(luò)設(shè)備受到物理和自然的侵害，從而有可能會(huì)導(dǎo)致出現(xiàn)數(shù)據(jù)丟失和網(wǎng)絡(luò)故障等安全問題。

2.2 安全技術(shù)措施問題

因?yàn)樾@網(wǎng)絡(luò)安全意識(shí)淡薄，所以很多的校園網(wǎng)絡(luò)基本上都是入口處采用硬件防火墻的方式，同時(shí)輔助安全安全裝置，這樣的安全設(shè)置非常容易會(huì)被黑客程序或者是病毒輕松的騙過防火墻而對(duì)網(wǎng)絡(luò)造成攻擊，并且一旦出現(xiàn)問題將會(huì)造成非常嚴(yán)重的后果。

2.3 安全意識(shí)淡薄

例如很多的多媒體教師都有電網(wǎng)，有一些學(xué)生和教師會(huì)在課間的時(shí)候用電腦上網(wǎng)，那么這時(shí)候一旦打開有病毒或者是木馬的網(wǎng)站就會(huì)使得多媒體教室的計(jì)算機(jī)出現(xiàn)安全威脅，通常來說計(jì)算機(jī)只是會(huì)對(duì)C盤進(jìn)行保護(hù)，那么其他的硬盤當(dāng)中的文件就會(huì)受到感染，當(dāng)下一個(gè)用戶將移動(dòng)設(shè)備插入到該電腦上的時(shí)候就也會(huì)被病毒感染。

2.4 安全管理制度不健全

實(shí)際上網(wǎng)絡(luò)安全很大程度上取決于管理，而校園安全管理的最大難題就是沒有辦法做到一個(gè)人去管理一個(gè)計(jì)算機(jī)專斷，并且很多的教師和學(xué)生所使用的電腦都是公用的，校園網(wǎng)這時(shí)候是沒有辦法對(duì)終端計(jì)算機(jī)出現(xiàn)的非法訪問進(jìn)行有效約束的。

3 有效防御校園網(wǎng)絡(luò)安全的措施

想要解決數(shù)字化校園網(wǎng)絡(luò)安全問題最先應(yīng)該做的就是找出問題出現(xiàn)的根源，然后對(duì)網(wǎng)絡(luò)軟件平臺(tái)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行分析，故我們?cè)诜烙鶎?duì)策當(dāng)中將會(huì)從網(wǎng)絡(luò)傳輸信道、網(wǎng)絡(luò)通信協(xié)議、操作系統(tǒng)、身份認(rèn)證幾個(gè)方面去解決。

3.1 校園網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)安全措施

網(wǎng)絡(luò)結(jié)構(gòu)的安全性和合理性是建設(shè)當(dāng)中最先要考慮的，該方面的安全問題包括圖1當(dāng)中所羅列的：

圖1 網(wǎng)絡(luò)結(jié)構(gòu)安全問題圖

在加密技術(shù)領(lǐng)域當(dāng)前RSA算法和DES算法最為普遍，另外還有加密認(rèn)證系統(tǒng)在也得到了很好的應(yīng)用。從操作系統(tǒng)的角度來講，OS、網(wǎng)絡(luò)通信協(xié)議、運(yùn)行環(huán)境之下的接口和軟件，有很多可能會(huì)被攻擊到的入口。分析原因主要是因?yàn)镺S有一定的安全缺陷，Linux作為安全操作系統(tǒng)，作為用戶則可以依據(jù)自身的需求去進(jìn)行服務(wù)的選取或者是進(jìn)行代碼的重寫，從而讓其可以完全成為自己有效進(jìn)行服務(wù)的功能模塊。對(duì)于網(wǎng)絡(luò)低層的協(xié)議下存在的安全隱患需要依靠對(duì)協(xié)議的修訂，這并不屬于校園管理類的問題，和當(dāng)前的操作系統(tǒng)也沒有很大的關(guān)系。

3.2 校園網(wǎng)絡(luò)管理措施

校園網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的時(shí)候需要從安全需求去考慮，之后才可以去確定相應(yīng)的技術(shù)手段，首先我們先要對(duì)管理機(jī)制進(jìn)行完善，對(duì)相應(yīng)的用戶和賬戶設(shè)置權(quán)限，在其中所有的用戶和計(jì)算機(jī)都需要實(shí)行單點(diǎn)登記管理，同時(shí)整個(gè)校園網(wǎng)絡(luò)管理當(dāng)中還需要構(gòu)建一個(gè)中心機(jī)構(gòu)去實(shí)現(xiàn)有效的網(wǎng)絡(luò)管理。那么在技術(shù)領(lǐng)域我們還可以采用身份驗(yàn)證系統(tǒng)來進(jìn)行用戶身份最終的合法性驗(yàn)證，采用VPN技術(shù)去進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程接入；安裝安全路由去有效的增強(qiáng)整個(gè)網(wǎng)絡(luò)的安全性能；通過防火墻設(shè)置及IDS去有效的低于來自外部的惡意攻擊和非法入侵。在日常的管理當(dāng)中所存在的管理漏洞、疏忽漏洞等都有可能會(huì)導(dǎo)致出現(xiàn)網(wǎng)絡(luò)安全事件，所以我們?cè)谌粘Ｉ町?dāng)中應(yīng)該將網(wǎng)絡(luò)安全技術(shù)和安全管理制度結(jié)合在一起，從而實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)安全的有效防御，最終實(shí)現(xiàn)規(guī)范化管理。

3.3 邊界安全防御措施

校園網(wǎng)絡(luò)安全一方面來自內(nèi)網(wǎng)非法訪問，一方面來自外網(wǎng)的病毒侵害和惡意性的攻擊。來自內(nèi)網(wǎng)的攻擊需要通過鎖定攻擊源、子網(wǎng)規(guī)劃、詳細(xì)排查等種種方法去進(jìn)行安全問題的解決。在這其中就存在網(wǎng)絡(luò)邊界安全的問題，其可以將網(wǎng)絡(luò)當(dāng)中存在的不同網(wǎng)絡(luò)進(jìn)行互聯(lián)，那么對(duì)于網(wǎng)絡(luò)邊界我們通常采用的是防火墻防護(hù)。

（1）邊界防護(hù)的位置部署：前面提到了在邊界安全預(yù)防中通常采用的是防火墻防御，防火墻安裝的位置是外網(wǎng)、內(nèi)網(wǎng)接口位置處，這樣就可以有效的將外網(wǎng)可能會(huì)對(duì)內(nèi)網(wǎng)所造成的破壞進(jìn)行阻隔，具體的位置接口如下圖所示：

圖2 接口示意圖

我們將防火墻部署在外網(wǎng)的接口位置，這時(shí)候來自外網(wǎng)的攻擊要想進(jìn)入到內(nèi)網(wǎng)就需要最先通過防火墻才可以。

同時(shí)我們還可以將防火墻的為主部署在子網(wǎng)之間，很多的情況下子網(wǎng)間也是需要進(jìn)行防火墻的部署，這樣就能夠有效的防止用戶之間的攻擊，避免主機(jī)當(dāng)中的資料被盜取，而在校園網(wǎng)當(dāng)中是針對(duì)所存在的敏感網(wǎng)段來部署的，通過這種類型的部署，數(shù)據(jù)進(jìn)出網(wǎng)絡(luò)的時(shí)候必須要經(jīng)過防火墻，這樣就能夠?qū)⒕W(wǎng)絡(luò)入口很好的控制住，避免內(nèi)網(wǎng)受到外網(wǎng)的種種攻擊。

（2）防火墻的功能分析

實(shí)際上防火墻不僅能夠?qū)碜酝饩W(wǎng)的非法訪問進(jìn)行有效的控制，還可以對(duì)內(nèi)網(wǎng)用戶在進(jìn)行外網(wǎng)訪問的時(shí)候進(jìn)行審計(jì)和監(jiān)控；防火墻在進(jìn)行安裝、卸載的時(shí)候和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)之間是沒有關(guān)系的，另外和相關(guān)的參數(shù)設(shè)置也沒有任何關(guān)系，故用戶在進(jìn)行防火墻使用的時(shí)候就需要對(duì)相應(yīng)的參數(shù)進(jìn)行設(shè)置，這時(shí)候不需要對(duì)網(wǎng)絡(luò)當(dāng)中的其他參數(shù)進(jìn)行重新設(shè)置，故作為用戶來說防火墻是一種透明性的連接；我們可以在內(nèi)網(wǎng)和外網(wǎng)之間設(shè)置一個(gè) DMZ區(qū)，這樣就能夠?qū)?nèi)網(wǎng)訪問外網(wǎng)或者是利用內(nèi)網(wǎng)進(jìn)行主機(jī)開放，該區(qū)域當(dāng)中不存在任何的安全保護(hù)措施，該區(qū)域?qū)嶋H上等同于公共通道。

3.4 數(shù)據(jù)加密安全技術(shù)

在數(shù)字化校園網(wǎng)絡(luò)當(dāng)中數(shù)據(jù)加密技術(shù)屬于有效防御黑客攻擊的關(guān)鍵手段，在當(dāng)前高職院校網(wǎng)絡(luò)安全領(lǐng)域該技術(shù)主要是包括存儲(chǔ)加密和傳輸加密。而后者實(shí)現(xiàn)傳輸加密的過程中可以采用節(jié)點(diǎn)加密、端到端的加密、鏈路加密幾種方式，當(dāng)數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳播的時(shí)候，其可以根據(jù)OIS層次去自動(dòng)的選取相應(yīng)的加密方式，這樣就能對(duì)傳輸?shù)娜窟^程進(jìn)行加密，是一種有效的防止數(shù)據(jù)受到攻擊的措施。其中前者所針對(duì)的是在計(jì)算機(jī)硬盤當(dāng)中所存儲(chǔ)的數(shù)據(jù)進(jìn)行加密。而當(dāng)加密技術(shù)受到黑客所攻擊的時(shí)候，即使是數(shù)據(jù)和資料被黑客盜走，如果其解密的信息不正確，那么也是沒有辦法獲取到真實(shí)信息的。

3.5 身份認(rèn)證系統(tǒng)的構(gòu)建

筆者建議在該方面采用衛(wèi)士身份認(rèn)證系統(tǒng)來實(shí)現(xiàn)，其是以公鑰基礎(chǔ)設(shè)施技術(shù)、密碼技術(shù)為核心的，在登錄的過程中就可以對(duì)訪問鎮(zhèn)進(jìn)行身份的驗(yàn)證。這種身份認(rèn)證系統(tǒng)具有安全性、標(biāo)準(zhǔn)化、靈活性、易用性的特點(diǎn)，首先因?yàn)槠涫腔贙PI技術(shù)所構(gòu)建的，那么在具體的使用的時(shí)候就可以實(shí)現(xiàn)服務(wù)端和客戶端有效的身份認(rèn)證，該系統(tǒng)的口令生成機(jī)制屬于一次一密的動(dòng)態(tài)技術(shù)，所以就能夠保證信息的完整性和機(jī)密性。其次該系統(tǒng)和當(dāng)前國際標(biāo)準(zhǔn)規(guī)劃及有協(xié)議都是兼容的，那么就保證了其可靠性、可擴(kuò)充性等，在后續(xù)的升級(jí)和更新過程中相應(yīng)的系統(tǒng)也應(yīng)該進(jìn)行升級(jí)和更新。該系統(tǒng)采用的是模塊化的設(shè)計(jì)思路，作為學(xué)校來說應(yīng)該從自己的需求出發(fā)，去進(jìn)行模塊的購買、子系統(tǒng)的部署和購買，以方便后續(xù)的使用。最后，該系統(tǒng)用戶界面操作起來非常的靈活，所提供的管理工具方便用戶上手，同時(shí)也可以有效地提高管理效率。

4 總結(jié)

對(duì)于高職院校的數(shù)字化校園網(wǎng)絡(luò)建設(shè)來說，對(duì)科研、教學(xué)等工作來說都是意義重大的，當(dāng)前校園網(wǎng)絡(luò)安全問題已經(jīng)成為了影響數(shù)字化校園建設(shè)的關(guān)鍵，只有切實(shí)保證校園網(wǎng)絡(luò)的安全運(yùn)行，才可保證數(shù)字化校園作用的充分發(fā)揮。那么針對(duì)當(dāng)前校園網(wǎng)絡(luò)當(dāng)中出現(xiàn)的各種安全問題，我們應(yīng)該從病毒防御、防火墻設(shè)置、管理安全等途徑去改善當(dāng)前高職院校網(wǎng)絡(luò)安全現(xiàn)狀。

[1]張諱江.數(shù)字化校園網(wǎng)絡(luò)安全防范機(jī)制構(gòu)建與應(yīng)用[J].科教文匯，2013.

[2]容強(qiáng).網(wǎng)絡(luò)入侵誘騙技術(shù)在高校網(wǎng)絡(luò)安全中的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2009.

[3]張亮.高等學(xué)校數(shù)字化校園網(wǎng)絡(luò)安全與防御對(duì)策研究[J].赤峰院學(xué)報(bào)，2012.

[4]曾松.淺談中職學(xué)校數(shù)字化校園網(wǎng)絡(luò)的安全問題及對(duì)策[J].福建電腦，2012.