趙學(xué)思 王維暢 王磊 賈鵬

摘要：近年來，職業(yè)院校信息化水平不斷提高，網(wǎng)絡(luò)應(yīng)用已經(jīng)覆蓋教務(wù)、學(xué)生、科研、人事、辦公、迎新、國資、招生、就業(yè)等方方面面，但隨之而來的網(wǎng)絡(luò)安全問題也日益突出。如何防范網(wǎng)絡(luò)病毒、黑客攻擊、系統(tǒng)漏洞和不良信息傳播等問題，擺到了信息管理者面前。滄州職業(yè)技術(shù)學(xué)院結(jié)合防火墻安全技術(shù)、VLAN技術(shù)、VPN技術(shù)、無線技術(shù)和用戶認證、態(tài)勢感知等技術(shù)，有效解決了網(wǎng)絡(luò)安全的基本問題。

關(guān)鍵詞：高職院校? ?網(wǎng)絡(luò)安全現(xiàn)狀? ?應(yīng)對策略

隨著信息技術(shù)的飛速發(fā)展，新設(shè)備、新技術(shù)不斷涌現(xiàn)，對大學(xué)生的思想觀念、價值取向和行為方式等產(chǎn)生了巨大影響。在職業(yè)院校中，信息化建設(shè)水平與學(xué)院的辦學(xué)質(zhì)量具有一定的關(guān)系。然而，隨著校園信息化程度的提高，潛在的網(wǎng)絡(luò)風(fēng)險也在增大。

一、滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全現(xiàn)狀

近年來，滄州職業(yè)技術(shù)學(xué)院非常重視信息化建設(shè)，信息化已經(jīng)全面覆蓋學(xué)校管理的方方面面。不斷完善的信息化應(yīng)用極大地促進了學(xué)校的網(wǎng)絡(luò)建設(shè)，但網(wǎng)絡(luò)安全問題也日益突出。就滄州職業(yè)技術(shù)學(xué)院而言，網(wǎng)絡(luò)風(fēng)險主要來自于病毒、黑客攻擊、系統(tǒng)漏洞和不良信息傳播。雖然學(xué)校已經(jīng)在使用OA系統(tǒng)，但U盤使用頻率很高，導(dǎo)致病毒傳播現(xiàn)象時有發(fā)生，甚至出現(xiàn)系統(tǒng)癱瘓等問題。筆者查看校園網(wǎng)站被攻擊記錄，發(fā)現(xiàn)每天都有1000次以上攻擊。系統(tǒng)漏洞是學(xué)校最頭痛的問題，一旦被別有用心的人利用，后果將不堪設(shè)想。

二、滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全應(yīng)對策略

在網(wǎng)絡(luò)部署中，滄州職業(yè)技術(shù)學(xué)院充分調(diào)研網(wǎng)絡(luò)需求，結(jié)合了防火墻安全技術(shù)、VLAN技術(shù)、VPN技術(shù)、無線技術(shù)和用戶認證、態(tài)勢感知等。在校園網(wǎng)部署中實施統(tǒng)一身份認證，包括臨時上網(wǎng)人員都分配了賬號和初始密碼，并對用戶進行分組，按組別進行授權(quán)，防止非法訪問，并且將教師按照職責(zé)的不同分成6個組，學(xué)生在按年級、班級分組的基礎(chǔ)上，又受到上網(wǎng)時間段的限制，既保證了有需要的學(xué)生隨時上網(wǎng)，又盡量防止學(xué)生在上課時間非法訪問網(wǎng)絡(luò)。

VLAN的劃分采用了非對稱VLAN模型對交換機端口隔離，從根本上解決了終端設(shè)備廣播報文引起的安全威脅和網(wǎng)絡(luò)攻擊。從系統(tǒng)性能上來講，非對稱VLAN模型實現(xiàn)了終端設(shè)備在數(shù)據(jù)鏈層面的完全隔離，不再局限于針對具體上層協(xié)議防護網(wǎng)絡(luò)攻擊，也無須分析具體協(xié)議額外占用交換機系統(tǒng)性能。從網(wǎng)絡(luò)管理角度來講，這避免了為交換機配置各種額外功能的復(fù)雜度，簡化了網(wǎng)絡(luò)管理。最后，使用人員不必更換早期部署的設(shè)備，就能支持ARP防護和DHCP Snooping等高級功能，延長了原有設(shè)備的生命周期。

筆者將學(xué)校網(wǎng)絡(luò)按照區(qū)域劃分為公網(wǎng)、內(nèi)網(wǎng)，辦公區(qū)和教學(xué)區(qū);按照功能劃分為財務(wù)、一卡通、WEB服務(wù)器、應(yīng)用服務(wù)器等，并分別配置了防火墻，設(shè)置了防火墻過濾規(guī)則，對訪問的IP地址、端口號、通信協(xié)議等進行審核，利用SSL協(xié)議保證公共網(wǎng)絡(luò)安全，通過入侵檢測系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)包進行實時監(jiān)控，識別校園網(wǎng)非法訪問行為，向管理員發(fā)出預(yù)警，并主動防御并留存證據(jù)，再將數(shù)據(jù)統(tǒng)計后，把分析結(jié)果反饋給控制中心，極大地減小了系統(tǒng)管理員負擔(dān)。

隨著辦公系統(tǒng)的運用，教師外出時依然需要訪問內(nèi)網(wǎng)資源，這就用到了VPN技術(shù)。現(xiàn)在滄州職業(yè)技術(shù)學(xué)院給學(xué)院各級領(lǐng)導(dǎo)都賦予了VPN權(quán)限，他們無論何時何地都可以輕松批閱公文，極大地提高了辦事效率。

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)是一個比較新穎的技術(shù)，通過采集防火墻、交換機、上網(wǎng)行為管理等硬件設(shè)備，以及各管理平臺等軟件的事件信息，進行深度分析和數(shù)據(jù)挖掘，識別網(wǎng)絡(luò)安全事件的關(guān)鍵信息，并進行可視化展示。在可視化界面中，系統(tǒng)管理員可以追逐某個事件的源頭，并進行處置，也可以對曲線圖某點反映出的問題加以分析，解決以往網(wǎng)絡(luò)事件孤立、難以進行全局分析，且需要其他安全軟件追蹤的問題。

三、結(jié)語

總的來看，滄州職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)安全整體態(tài)勢良好，但仍有很多不足，如沒有定期、全面的檢查網(wǎng)絡(luò)安全，沒有進行網(wǎng)絡(luò)安全等級保護，并且二層路由器的存在給網(wǎng)絡(luò)管理造成了很大的困擾，再加上沒有統(tǒng)一的郵件管理系統(tǒng)，網(wǎng)絡(luò)設(shè)備冗余不足，機房環(huán)境改造還未實施，數(shù)據(jù)備份工作簡單，虛擬化還沒有實施等。所以說，網(wǎng)絡(luò)安全工作任重而道遠。

參考文獻：

[1]朱亮.職業(yè)院校網(wǎng)絡(luò)安全應(yīng)用技術(shù)與安全策略分析[J].信息通信，2018，（10）.

※本文系河北省滄州市科技局科研項目，項目名稱：滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全探究，項目編號：183103011。

（作者單位：滄州職業(yè)技術(shù)學(xué)院）