張曉+曹偉平+趙鑫+張媛

[摘 要]隨著現(xiàn)代校園的無紙化辦公的不斷推行，我們的整個校園的運行越來越依賴于內(nèi)部建構(gòu)的高性能網(wǎng)絡(luò)環(huán)境，那么與之而來的就是校方不得不首要考慮的自身網(wǎng)絡(luò)的安全和穩(wěn)定性問題，而這也是當(dāng)下高校經(jīng)常會遇到的一個工作難題。文章在此背景之下，首先分析了校園內(nèi)部網(wǎng)絡(luò)容易遇到的是何種安全問題，從物理層到最終的用戶端，然后針對每一類安全問題提出解決方案，希望能夠為我們的高校建設(shè)工作提供一些參考。

[關(guān)鍵詞]高校內(nèi)部網(wǎng)絡(luò)；安全分析；解決方案

[DOI]10.13939/j.cnki.zgsc.2018.04.267

1 高校內(nèi)部網(wǎng)絡(luò)安全隱患綜合分析

1.1 網(wǎng)絡(luò)設(shè)備的安全問題

如今隨著互聯(lián)網(wǎng)時代的不斷發(fā)展，校內(nèi)用戶的需求不斷增長，所以各大高校為了滿足自己的網(wǎng)絡(luò)需求在近些年都不斷地增設(shè)各種高級網(wǎng)絡(luò)設(shè)備，并且將這些設(shè)備安置在校園的各個地方。由于校園的物理距離限制和設(shè)備本身的復(fù)雜度限制，導(dǎo)致了整個校園網(wǎng)絡(luò)環(huán)境的維護(hù)難度與日俱增，通信用的光纖電纜、交換機(jī)、路由器、網(wǎng)關(guān)等，這些設(shè)備很多由于需求導(dǎo)致其暴露在露天環(huán)境下，無論是惡劣天氣還是人為導(dǎo)致的損害都是非常容易發(fā)生的。這是物理層面上最直觀和最容易想到的維護(hù)問題，我們高校來制定自己的高校校園網(wǎng)絡(luò)環(huán)境安全維護(hù)方案的時候，同樣是需要首先考慮清楚的。

1.2 系統(tǒng)和應(yīng)用軟件存在的漏洞

從最近的比特幣勒索病毒來看，其實我們高校內(nèi)使用的教學(xué)網(wǎng)絡(luò)軟件系統(tǒng)本身存在著很大的問題，無論是設(shè)備所使用的操作系統(tǒng)存在的漏洞，還是我們?nèi)粘＾k公工作使用到的應(yīng)用軟件，這些軟件無論是正版授權(quán)的還是違規(guī)盜版的，它們都存在著很大的安全隱患，一些不懷好意的人最想要找到并利用的也是這些漏洞，從而來達(dá)到自己的一些不可告人的目的。

1.3 計算機(jī)病毒和來自內(nèi)、外網(wǎng)絡(luò)惡意攻擊

網(wǎng)絡(luò)環(huán)境下魚龍混雜，木馬、病毒充斥其中，而校園網(wǎng)絡(luò)從某種角度來看又是一個整體，一旦有一臺設(shè)備受到了病毒的感染，就很容易導(dǎo)致在整個網(wǎng)絡(luò)上的鏈?zhǔn)絺鞑?，甚至最后?dǎo)致整個網(wǎng)絡(luò)的癱瘓。更為令人頭疼的是，高校網(wǎng)絡(luò)并不能像一些保密單位那樣進(jìn)行物理網(wǎng)絡(luò)隔絕，只做成自己的內(nèi)部網(wǎng)絡(luò)，所以等于我們的高校網(wǎng)絡(luò)必須暴露在開放的環(huán)境下。對于此方面的防范，一般是教育我們的員工和學(xué)生合理正確地進(jìn)行上網(wǎng)活動，同時嚴(yán)令禁止一些有能力進(jìn)行相關(guān)操作的學(xué)生出好奇或者好玩的目的對校園網(wǎng)進(jìn)行一些違規(guī)的操作。

1.4 內(nèi)部用戶濫用網(wǎng)絡(luò)資源

高校內(nèi)部的網(wǎng)絡(luò)在近些年由于新媒體時代的興起，導(dǎo)致其內(nèi)部的大部分帶寬資源被用于各種資源的下載，而且還很難以組織，因為近些年各種P2P、BT之類的下載軟件的迅速擴(kuò)張，這些長期存在并占用了大量貸款的下載行為，使得我們內(nèi)部網(wǎng)絡(luò)的一些正常工作無法高效進(jìn)行。

2 相應(yīng)的解決策略

2.1 硬件保護(hù)策略

對于那些重要的核心設(shè)備，高校一般是放置在一個單獨的具有一定安保等級的機(jī)房內(nèi)進(jìn)行統(tǒng)一的維護(hù)，同時相關(guān)樓棟也會進(jìn)行更為高等級的防潮、防震、防火等防范加強(qiáng)措施，最大可能避免由于客觀條件導(dǎo)致的機(jī)房內(nèi)設(shè)備的損壞。而對于那些需要安置在露天環(huán)境下的設(shè)備，在布置的時候就要對其外部增加金屬或者其他鋼性材質(zhì)的保護(hù)擴(kuò)展，并沒有移動或者頻繁拆卸需求的設(shè)備，也可以直接固定在對應(yīng)的環(huán)境內(nèi)防止偷盜，而對于路由器或者交換機(jī)這類設(shè)備，一旦固定了就不方便更換的情況，我們盡可能將其安置在高處，也是為了防止偷盜行為。并且所有的電子設(shè)備都應(yīng)該保證其出于一個干燥、干警、防靜電的環(huán)境內(nèi)，露天設(shè)備一般需要增設(shè)避雷針之類的裝置才能保證效果。

2.2 訪問監(jiān)管和控制策略

2.2.1 利用網(wǎng)絡(luò)防火墻和防毒墻技術(shù)

“防火墻”在網(wǎng)絡(luò)工程里是一個專有名詞，專門指的是在單位或者團(tuán)體的內(nèi)部網(wǎng)和其相連的外部網(wǎng)絡(luò)之間增設(shè)一層自動的保護(hù)系統(tǒng)，這樣就可以在一定程度上保證了默認(rèn)網(wǎng)絡(luò)環(huán)境的安全等級。防火墻并不是單一的軟件或者硬件，而是軟硬件結(jié)合形成的整體性網(wǎng)絡(luò)，整個網(wǎng)絡(luò)可以保證校園網(wǎng)跟因特網(wǎng)之間的交互在一定等級上的安全性，其完成的功能主要有4個部分：服務(wù)訪問策略、驗證工具、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)，而其中最大量產(chǎn)生信息交換的數(shù)據(jù)包過濾是最重要的安全保障策略。包過濾在指定好了一套切實有效的過濾原則之后，就可以自動地檢索每個流通的數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的包頭里的各類信息進(jìn)行分析，來判斷該數(shù)據(jù)包能不能通過網(wǎng)關(guān)從而進(jìn)入內(nèi)網(wǎng)。但是包過濾只是能夠防止那些未經(jīng)過內(nèi)網(wǎng)用戶允許從而展開的數(shù)據(jù)鏈路，而對于那些由內(nèi)網(wǎng)用戶主動發(fā)起的數(shù)據(jù)鏈路是否包含由計算機(jī)病毒卻無能為力，所以我們在防火墻之后我們往往還要增設(shè)一層防毒墻，專門在防火墻檢驗了各類數(shù)據(jù)和鏈路的合法性之后，再來檢測這些鏈路和數(shù)據(jù)的干凈程度，防毒墻一般用的是簽名檢索驗證，跟國際上開源的各類病毒庫進(jìn)行對比，從而保證了在網(wǎng)絡(luò)里流通的大部分傳統(tǒng)病毒無法真正侵入內(nèi)網(wǎng)環(huán)境。當(dāng)然這都是比較淺層次的討論，實際在應(yīng)用的時候，整個TCP/IP網(wǎng)絡(luò)的各個層次的各類主要協(xié)議的安全性都是我們的關(guān)注范圍，也都有針對性的應(yīng)對措施來保障安全。

2.2.2 服務(wù)器訪問控制策略

由于防火墻或者防毒墻都是被動地進(jìn)行防范，從安全保護(hù)的角度來看，被動的防御總是會出現(xiàn)紕漏，所以我們還要主動地去限制內(nèi)網(wǎng)用戶本身的使用權(quán)限，這往往是通過服務(wù)器訪問控制來實現(xiàn)的。不同等級的內(nèi)網(wǎng)用戶，其可以訪問的外網(wǎng)是受到了不同程度的限制的，因為一些大量的木馬和病毒就是通過那些自身安全措施做得很差，卻又比較受到用戶歡迎的網(wǎng)站進(jìn)行傳播的，我們?nèi)绻拗屏擞脩魧τ谶@些網(wǎng)絡(luò)的訪問，自然就可以減少防御層面的工作壓力。

2.3 病毒防護(hù)策略

病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、垃圾郵件傳播、不斷自我復(fù)制耗盡資源等幾種方式的在網(wǎng)絡(luò)進(jìn)行傳播和破壞，造成線路堵塞和數(shù)據(jù)丟失損壞。那么建立的一套完整的網(wǎng)絡(luò)病毒防范體系是對高校內(nèi)部網(wǎng)絡(luò)整體病毒防護(hù)策略。具體包括：①未知病毒查殺技術(shù)：也就是主動病毒防御技術(shù)，它通過虛擬技術(shù)和人工智能技術(shù)結(jié)合，解決了原先依賴病毒庫查詢病毒的缺點，實現(xiàn)了對未知病毒的準(zhǔn)確查殺。②智能引擎技術(shù)：智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。

2.4 不良信息的防護(hù)策略

因特網(wǎng)上有很多淫穢色情、暴力反動的信息，我們的校園里都是正在處于“三觀”成長狀態(tài)的大學(xué)生，我們的校方有義務(wù)有責(zé)任將這些不良信息抵制在校園網(wǎng)之外，這不僅僅是為了保證我們大學(xué)生身心健康不會受到污染，同時也是防止大學(xué)生在訪問這些充斥著大量病毒和木馬的網(wǎng)站時，將這些病毒帶到內(nèi)網(wǎng)中去。

2.5 建立安全評估策略

整套不同層次的安全防護(hù)策略不僅僅依賴于其獨立的技術(shù)優(yōu)越性，同時還要考慮到整個系統(tǒng)內(nèi)部的相互配合，最好的技術(shù)也需要最好的團(tuán)隊來使用才能達(dá)到最好的效果，所以我們的高校還要專門成立一個校園網(wǎng)絡(luò)安全管理團(tuán)隊，利用自己采購和建構(gòu)的整個安全防護(hù)系統(tǒng)，建立一個真正高效、穩(wěn)定的安全維護(hù)系統(tǒng)，并且對于各類安全事件進(jìn)行評測和重要性排序，在發(fā)生不同等級的事件時，采取針對性的措施，將人力和物力的使用率最大化。

3 結(jié) 論

隨著高校內(nèi)部網(wǎng)絡(luò)功能和規(guī)模的擴(kuò)展，它的安全問題越來越受到重視，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及計算機(jī)系統(tǒng)的脆弱性，決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻，而應(yīng)涉及管理和技術(shù)等多方面的配合。需要仔細(xì)分析系統(tǒng)的安全需求，建立完善的管理制度，并將各種安全技術(shù)與管理手段綜合在一起，才能建立一個高效、通用、安全的高校內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)：

[1]高薇，許浩，寧玉文，等.基于安全態(tài)勢感知平臺的高校網(wǎng)絡(luò)SOC研究1——以第四軍醫(yī)大學(xué)為例[J].計算機(jī)技術(shù)與發(fā)展，2018（1）：1-7.

[2]張云飛.探索高校網(wǎng)絡(luò)中心機(jī)房安全防護(hù)策略分析[J].電腦知識與技術(shù)，2016，12（1）：55-56.

[3]呂紹鑫.高校數(shù)字校園網(wǎng)絡(luò)安全體系的設(shè)計與策略分析[J].無線互聯(lián)科技，2016（7）：31-32.endprint