李夢曉??

摘要：現(xiàn)今互聯(lián)網(wǎng)在各行業(yè)中的應(yīng)用更寬更深。高校校園網(wǎng)的建設(shè)為實(shí)現(xiàn)教學(xué)、教務(wù)、科研及后勤的信息化管理提供了極大地便利。但同時(shí)由于校園網(wǎng)在建設(shè)、使用及管理等方面存在很多的安全隱患，需要建立有效的安全防御體系防御校園網(wǎng)存在的威脅。

關(guān)鍵字：校園網(wǎng)；系統(tǒng)漏洞；入侵檢測；安全防御體系

中圖分類號：TB文獻(xiàn)標(biāo)識碼：Adoi：10.19311/j.cnki.16723198.2017.26.087

1引言

互聯(lián)網(wǎng)技術(shù)和信息技術(shù)已融入教育，為建立開放、共享、交互、協(xié)作的教育教學(xué)體系，校園網(wǎng)已成為各大高校建設(shè)和發(fā)展的重要基礎(chǔ)設(shè)施。然而，各高校校園網(wǎng)規(guī)模的擴(kuò)大和用戶數(shù)量的上升，在校園網(wǎng)的建設(shè)和使用過程中，校園網(wǎng)面臨著內(nèi)部與外部眾多安全隱患，單一的防病毒或入侵檢測技術(shù)已經(jīng)不能滿足安全防御的需要，因此要綜合運(yùn)用各種安全技術(shù)建立一個(gè)立體化全方位的安全防御體系，才能促進(jìn)高校實(shí)現(xiàn)信息化管理。

2校園網(wǎng)的發(fā)展現(xiàn)狀

2.1校園網(wǎng)建設(shè)現(xiàn)狀

（1）校園網(wǎng)的速度快、規(guī)模大。高校校園網(wǎng)的寬帶速度達(dá)到了百兆、千兆并實(shí)現(xiàn)了整個(gè)學(xué)校的主干互聯(lián)。校園網(wǎng)的用戶包括教職工和學(xué)生，其建設(shè)主要投入在辦公室、教室及寢室。

（2）有限的投入，實(shí)現(xiàn)統(tǒng)一管理存在困難。校園網(wǎng)的建設(shè)需要大量時(shí)間，財(cái)力及人力的投入，而大多數(shù)高校由于經(jīng)費(fèi)的不足，將有限的經(jīng)費(fèi)投在硬件上，忽視了管理和維護(hù)方面的投入，通常只有網(wǎng)絡(luò)中心的少數(shù)管理維護(hù)人員，但他們只能維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，而不能兼顧整個(gè)校園網(wǎng)的安全問題。學(xué)校的計(jì)算機(jī)除了統(tǒng)一采購的實(shí)驗(yàn)室設(shè)備和辦公設(shè)備，還有師生自行購買的計(jì)算機(jī)，其使用的系統(tǒng)及安全防護(hù)措施大不相同，使用統(tǒng)一的安全策略是不太可能的。

（3）存在系統(tǒng)漏洞，監(jiān)測系統(tǒng)不健全。系統(tǒng)漏洞對校園網(wǎng)的威脅具有長期性，因?yàn)橄到y(tǒng)的運(yùn)行會隨著時(shí)間的推移不可避免出現(xiàn)不同程度的漏洞。而安全漏洞允許未經(jīng)授權(quán)的用戶獲得訪問或提高其訪問權(quán)限，為黑客攻擊提供了極大地便利。雖然安全監(jiān)測系統(tǒng)可以避免用戶通過訪問非法站點(diǎn)、傳遞和發(fā)布非法信息行為、濫用網(wǎng)絡(luò)資源、泄露敏感信息，是防火墻的有效補(bǔ)充。然而目前校園網(wǎng)絡(luò)監(jiān)測系統(tǒng)普遍都不健全，并且病毒的傳播及黑客的攻擊使校園網(wǎng)安全檢測系統(tǒng)的開發(fā)更為困難。同時(shí)，校園網(wǎng)建設(shè)的有限投入使安全監(jiān)測系統(tǒng)系統(tǒng)的開發(fā)不僅面臨技術(shù)的難題，還要面臨經(jīng)費(fèi)和人力缺乏的難題。

2.2校園網(wǎng)使用現(xiàn)狀

（1）活躍的用戶群體和開放的網(wǎng)絡(luò)環(huán)境。學(xué)生是校園網(wǎng)最活躍的用戶群體。他們使用校園網(wǎng)進(jìn)行學(xué)習(xí)、科研及娛樂。但如果在使用網(wǎng)絡(luò)時(shí)沒有安全意識，會對校園網(wǎng)造成不可估計(jì)的破壞和影響。

（2）版權(quán)意識薄弱，盜版資源泛濫?，F(xiàn)在我國對于版權(quán)的重視正在逐步加強(qiáng)，但盜版資源的泛濫給網(wǎng)絡(luò)安全帶來的重大隱患，同時(shí)這些盜版資源的肆意傳播不僅占用了大量的網(wǎng)絡(luò)帶寬，特別是影響校園網(wǎng)的流暢及安全運(yùn)行。

（3）網(wǎng)絡(luò)安全意識淡薄，網(wǎng)絡(luò)病毒泛濫。校園網(wǎng)用戶安全意識淡薄，不良信息的傳播和大量的非正常訪問不僅導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，而且可能導(dǎo)致網(wǎng)絡(luò)病毒的肆虐傳播，影響網(wǎng)絡(luò)性能，甚至對計(jì)算機(jī)的正常使用造成影響。

3校園網(wǎng)安全防御體系建設(shè)

3.1物理層的安全防御

物理安全防護(hù)是實(shí)施其他安全措施的基礎(chǔ)和前提條件。主要包括環(huán)境安全、設(shè)備安全、媒介安全。環(huán)境安全主要指受災(zāi)防護(hù)能力和區(qū)域防護(hù)能力。選擇合適的場地，合適的環(huán)境作為機(jī)房，并通過電子監(jiān)控、物理隔離及門禁訪問制進(jìn)行區(qū)域保護(hù)，建立災(zāi)難預(yù)警，應(yīng)急處理、恢復(fù)的災(zāi)難保護(hù)機(jī)制。設(shè)備安全主要包括服務(wù)器、交換機(jī)、路由器和電源等的防盜、防毀、防電磁信息泄露、防線路截獲、抗電磁干擾、電源保護(hù)。媒介安全指介質(zhì)數(shù)據(jù)和介質(zhì)本身的安全，防止數(shù)據(jù)拷貝、丟失，磁盤消磁。具體的措施有：定期排查計(jì)算機(jī)所處的溫度、濕度、鼠害及靜電等環(huán)境因素；對存在安全隱患的計(jì)算機(jī)及時(shí)進(jìn)行更換或維護(hù)；在傳輸線、電源線、公共地線加裝濾波器及進(jìn)出口防輻射處理。

3.2網(wǎng)絡(luò)層的安全防御方法

3.2.1利用防火墻技術(shù)控制用戶對網(wǎng)絡(luò)邊界的訪問

第一，由于硬件防火墻位于路由器的下一層，并且現(xiàn)在的校園網(wǎng)絡(luò)一般都采用了百兆或千兆以上的網(wǎng)絡(luò)，所以對硬件防火墻的性能要求極高。此外硬件防火墻要具備防黑客攻擊能力及入侵檢測能力，防止來自內(nèi)、外部黑客攻擊的能力，同時(shí)由于網(wǎng)絡(luò)的快速發(fā)展，一些非法網(wǎng)站層出不窮，硬件防火墻需具有監(jiān)控網(wǎng)絡(luò)、禁止訪問非法網(wǎng)站的功能，根據(jù)相關(guān)信息屏蔽這些非法網(wǎng)站。第二，軟件防火墻：將軟件部署單機(jī)系統(tǒng)或個(gè)人計(jì)算機(jī)的系統(tǒng)主機(jī)上，使用軟件系統(tǒng)實(shí)現(xiàn)訪問控制、用戶認(rèn)證和安全管理，其安全性能較差，并占用系統(tǒng)資源，在一定程度上影響系統(tǒng)性能。

3.2.2利用防病毒技術(shù)建設(shè)防病毒系統(tǒng)

計(jì)算機(jī)病毒具有寄生性、傳染性、隱蔽性、潛伏性、破壞性等特征，通過各類傳播途徑，直接影響系統(tǒng)效率、占用系統(tǒng)資源，并可能刪除、破壞數(shù)據(jù)。病毒防護(hù)系統(tǒng)需考慮Internet網(wǎng)關(guān)郵件病毒過濾、服務(wù)器病毒防范和傳染控制、各種桌面的病毒防護(hù)、防病毒系統(tǒng)管理和防病毒系統(tǒng)的升級。通過加強(qiáng)病毒查殺能力、病毒實(shí)時(shí)監(jiān)測能力、快速方便的升級能力、系統(tǒng)兼容性與可融合性及智能安裝、遠(yuǎn)程識別等建立防病毒系統(tǒng)，對蠕蟲病毒、木馬程序和惡意代碼、郵件病毒、網(wǎng)頁病毒、系統(tǒng)病毒、終端用戶病毒及服務(wù)器病毒進(jìn)行防御。

3.2.3利用網(wǎng)絡(luò)入侵檢測技術(shù)預(yù)防校園網(wǎng)內(nèi)、外合力攻擊

入侵檢測系統(tǒng)（IDS）就像學(xué)校的監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)任何危及系統(tǒng)安全的行為，就發(fā)出警告并阻止其行為。入侵檢測系統(tǒng)通過對系統(tǒng)、網(wǎng)絡(luò)和用戶數(shù)據(jù)的狀態(tài)等信息的收集，通過模式匹配、統(tǒng)計(jì)分析、和完整性分析進(jìn)行信息分析，識別、發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中可能存在的不安全行為，并采取相應(yīng)的防護(hù)措施，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵防御系統(tǒng)（IPS）提供對各類攻擊的實(shí)時(shí)監(jiān)測和防御功能，同時(shí)具備訪問控制能力，提供強(qiáng)大的分析和處理能力，可以深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，并進(jìn)行記載，以便事后分析。入侵防御系統(tǒng)是防火墻和防病毒系統(tǒng)的補(bǔ)充。endprint

3.3應(yīng)用層的安全防御

3.3.1統(tǒng)一的身份認(rèn)證系統(tǒng)，并對系統(tǒng)安全進(jìn)行審計(jì)

身份認(rèn)證是指判斷一個(gè)用戶身份是否合法的處理過程，同時(shí)也是實(shí)現(xiàn)校園信息化管理的基礎(chǔ)。校園網(wǎng)的身份認(rèn)證一般是用戶名和密碼，用戶提供的用戶名和密碼必須和系統(tǒng)中保存的用戶名和密碼一致，通過認(rèn)證后才能獲得權(quán)限之內(nèi)的訪問資源。建立統(tǒng)一的身份認(rèn)證系統(tǒng)，有效地防止了IP地址的偽造和篡改，避免了信息的泄露和更改，提高了用戶信息的安全性和可靠性。

對內(nèi)網(wǎng)的業(yè)務(wù)行為審計(jì)是內(nèi)網(wǎng)安全需求的兩大趨勢之一。通過對業(yè)務(wù)內(nèi)容的控制，實(shí)現(xiàn)對業(yè)務(wù)行為的認(rèn)證、控制和審計(jì)；增加內(nèi)網(wǎng)安全審計(jì)系統(tǒng)，對不良信息進(jìn)行有效地監(jiān)控和過濾。管理員通過對安全策略實(shí)施的有效診斷及時(shí)調(diào)整和改進(jìn)安全策略。

3.3.2建立安全電子郵件系統(tǒng)

信息化的逐步加深，電子郵件正在深入我們的工作、學(xué)習(xí)和生活，同時(shí)人們對電子郵件系統(tǒng)和服務(wù)的安全要求日漸提高。但目前的電子郵件系統(tǒng)面臨著病毒侵?jǐn)_、垃圾郵件、信息欺騙等安全問題，因此必須建立高準(zhǔn)確率和低誤報(bào)率的安全電子郵件系統(tǒng)，設(shè)立郵件網(wǎng)關(guān)、對垃圾郵件進(jìn)行攔截、過濾，從而保證郵件及時(shí)、準(zhǔn)確地到達(dá)。

3.3.3密碼技術(shù)

密碼技術(shù)是信息安全的核心技術(shù)，是網(wǎng)絡(luò)安全的重要基石。采用密碼技術(shù)可以實(shí)現(xiàn)對傳輸數(shù)據(jù)信息進(jìn)行加密傳送、完整性驗(yàn)證、數(shù)字簽名等功能。簡單來說密碼技術(shù)就是信息資源的加密，防止信息資源傳送過程中的流失、竊取，而且防止第三方人員的分析、篡改信息資源，保證信息資源在傳送過程中絕對的安全。

3.3.4建立無線網(wǎng)絡(luò)監(jiān)控和記錄機(jī)制

無線網(wǎng)絡(luò)使校園網(wǎng)建設(shè)的一部分，用戶訪問行為記錄對無線網(wǎng)絡(luò)的安全非常重要，因?yàn)闊o線網(wǎng)絡(luò)接入用戶具有很大的移動性和變化性。在無線網(wǎng)絡(luò)中加入無線網(wǎng)絡(luò)控制器，對用戶進(jìn)行嚴(yán)格的權(quán)限分配。進(jìn)行用戶身份統(tǒng)一認(rèn)證后，對用戶接入點(diǎn)、交換機(jī)及流量管理進(jìn)行實(shí)時(shí)監(jiān)控，并記錄用戶名、訪問時(shí)間、IP地址、MAC地址等信息，形成記錄日志。通過對記錄日志分析，盡可能避免一些安全隱患、排除故障。

3.3.5數(shù)據(jù)備份和恢復(fù)技術(shù)

數(shù)據(jù)備份和恢復(fù)是提高計(jì)算機(jī)數(shù)據(jù)安全措施最有效的方法。數(shù)據(jù)備份是通過把數(shù)據(jù)上傳到服務(wù)器客戶端數(shù)據(jù)庫存儲，在原數(shù)據(jù)被破壞、丟失或系統(tǒng)發(fā)生故障時(shí)，可以及時(shí)從服務(wù)器下載備份的數(shù)據(jù)，進(jìn)行數(shù)據(jù)恢復(fù)。遵循4個(gè)原則：計(jì)算機(jī)備份時(shí)保證軟、硬件的兼容性；設(shè)置自動備份功能；準(zhǔn)備多個(gè)備份數(shù)據(jù)的媒介；數(shù)據(jù)備份的完整性。數(shù)據(jù)備份分為完全數(shù)據(jù)備份、不完全數(shù)據(jù)備份即實(shí)時(shí)備份、選擇性備份。

3.4管理層的安全防御

（1）完善校園網(wǎng)安全管理體制，建設(shè)網(wǎng)絡(luò)安全管理平臺。校園網(wǎng)的管理必須要建立一套完整的制度體系，并明確告知校園網(wǎng)用戶的行為范圍和違反制度的處罰規(guī)定，有效地約束用戶及管理員的行為規(guī)范。并建立一個(gè)全方位的網(wǎng)絡(luò)安全管理平臺，實(shí)時(shí)監(jiān)控所有校園網(wǎng)用戶的安全系統(tǒng)及設(shè)備并進(jìn)行綜合分析。

（2）加強(qiáng)校園網(wǎng)用戶的安全意識，提高網(wǎng)絡(luò)管理人員技術(shù)水平。目前校園網(wǎng)用戶規(guī)模巨大，但一些用戶安全意識薄弱，隨意訪問非法網(wǎng)站，下載含有病毒或惡意程序的文件，從而導(dǎo)致校園網(wǎng)存在極大地安全隱患。因此要加強(qiáng)校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識教育，使其自覺遵守網(wǎng)絡(luò)安全制度，提高防范網(wǎng)絡(luò)隱患的能力。同時(shí)要對網(wǎng)絡(luò)管理人員進(jìn)行知識及技術(shù)的培訓(xùn)，提高維護(hù)網(wǎng)絡(luò)安全的警惕性和應(yīng)對各種攻擊的能力，更好地對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理，在發(fā)現(xiàn)新病毒或系統(tǒng)安全漏洞威脅網(wǎng)絡(luò)安全時(shí)，管理員要及時(shí)啟動應(yīng)急響應(yīng)。

4結(jié)語

高校校園網(wǎng)的安全防御涉及環(huán)境、設(shè)備、技術(shù)、管理和制度等多方面的因素，因此要綜合運(yùn)用防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、數(shù)據(jù)備份和恢復(fù)技術(shù)建立一個(gè)立體化全方位的安全防御體系。同時(shí)要加強(qiáng)安全管理，做到技術(shù)與管理并重，加強(qiáng)安全管理體制的執(zhí)行力度，使校園網(wǎng)安全高效的運(yùn)行，為教職工和學(xué)生提供更為便利的科研、教學(xué)及管理環(huán)境。

參考文獻(xiàn)

[1]吳輝明，王彪. 對當(dāng)前校園網(wǎng)絡(luò)信息安全的威脅與防范分析[J]. 信息通信，2015，（7）.

[2]林永菁. 多層次校園網(wǎng)絡(luò)安全設(shè)計(jì)[J]. 吉林師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2009，（3）.

[3]楊凱雪. 高校校園網(wǎng)安全防御體系的構(gòu)建[J]. 中國科技信息，2015，（02）.

[4]徐大偉. 基于高校校園網(wǎng)安全問題的分析與對策[J]. 長春師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2005，24（12）：6466.endprint