周志德

摘要：本文首先分析了當前中職學校校園網絡安全建設的現狀，發(fā)現中職學校經過幾年的信息化校園建設，已擁有較為完善的信息化基礎設施，但在校園網絡安全建設方面投入不足，安全的硬件設備建設不完善，沒有健全的網絡安全機制，存在較大安全隱患。針對以上問題，參照信息系統(tǒng)安全二級等級保護建設的基本要求，本文介紹了中職學校校園網絡安全硬件軟件建設的主要內容。

關鍵詞：中職;網絡安全;校園網絡;等級保護

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）13-0028-02

1 中職校園網絡安全建設現狀

中職學校校園網基本已建設好萬兆主干、千兆到桌面的網絡系統(tǒng)，擁有獨立的網管中心，有云服務器群，學校網站、OA辦公系統(tǒng)、網絡教學平臺等信息化應用，視頻監(jiān)控系統(tǒng)、無線網已實現全校覆蓋，網絡維護人員主要由學校計算機老師組成，安全技術人員較少，網絡安全相關硬件設備不完善，僅有防火墻、安全審計系統(tǒng)等，有些學校有設備，但未啟用策略，未能有效地起到防護作用。校園網絡存在信息系統(tǒng)被滲透、篡改，重要數據被盜取，監(jiān)控視頻外泄，內部網絡中毒等安全問題。

2 校園網網絡安全建設策略

2.1 物理和環(huán)境安全建設

學校的信息中心（網管中心）可參照網絡綜合布線設備間的要求改建，位置選擇靠近線纜豎井位置，建筑物的中間樓層。室內梁下凈高不要低于2.5m，面積不小于10平方。機柜前面的空間不小于80cm，后面的空間不小于60cm，保證管理人員進行設備維護。門寬度不少于1.5m，可采用外開雙扇防火門，配置電子門禁系統(tǒng)與視頻監(jiān)控系統(tǒng)，管理記錄人員出入情況。

機房配電系統(tǒng)配有監(jiān)測儀，能監(jiān)測電流、電壓、電量，提供至少兩個帶保護接地的單相電源插座，每路開關帶漏電保護，使用大功率UPS提供備用電力供應。布線方式采用強電系統(tǒng)走地面式鋪設方式，弱電系統(tǒng)走天花板吊頂鋪設或橋架方式，避免互相干擾。地面需做防塵，防潮，防雷等處理，安裝防靜電地板以及靜電泄流網。服務器機柜建議采購封閉式冷通道系統(tǒng)，更節(jié)能環(huán)保，安全可靠。

重點做好防火安全工作，建筑材料應該具有耐火等級，建設火災自動消防系統(tǒng)，通過溫感探測器、煙感探測器、聲光報警器、消防警鈴等檢測火情、報警，并能自動滅火。一般使用噴氣式自動滅火裝置，門外配備手動操控系統(tǒng)，需防止學生人為破壞。

2.2 網絡和通訊安全

網絡管理員要根據學校具體情況，合理規(guī)劃校園網絡拓撲結構，根據不同的使用功能與用戶數，劃分相應的VLAN，分配網絡地址。如：服務器群、辦公網絡、教學網絡、實訓場所、無線網絡可劃分獨立的網絡區(qū)域，實現接入隔離。在網絡接入層上部署防火墻、安全審計系統(tǒng)、入侵防御系統(tǒng)、web應用防護抗攻擊系統(tǒng)，對設備做相應的安全配置，達到邊界安全的要求。

防火墻系統(tǒng)：部署在網絡邊界最外層，設置相關的網絡參數，實現對外提供路由、NAT等上網功能。通過策略里面的訪問控制，建立相關的規(guī)則，提供對內安全防護，除了必要的服務之外，拒絕所有通訊。管理優(yōu)化訪問控制規(guī)則，注意地址轉換規(guī)則，刪除無用的協(xié)議，盡可能減少端口服務。

入侵防御系統(tǒng)：部署在校園網出口防火墻后面，根據具體情況可配置不同IP地址、特定用戶以及校園安全區(qū)域的入侵防御策略，開啟系統(tǒng)的攻擊防護、應用過濾、木馬、病毒防護等功能，確保服務器區(qū)及校園內網安全性，提高校園網整體安全性。

安全審計系統(tǒng)：也稱上網行為管理系統(tǒng)，可對網絡邊界及重要安全事件進行審計，記錄每個用戶，每一網絡事件，通過日志記錄可查找事件相關的時間、具體用戶、事件類型、事件的結果及一些相關的信息，安全審計系統(tǒng)具有本地備份及網絡備份功能，建議啟用網絡備份功能，避免硬盤損壞造成數據丟失，記錄至少應保留180天備查。另外可對校園內網流量實時監(jiān)控，管理員通過流量管理策略，針對用戶、用戶組適時分配帶寬，對一些特定的網絡服務可限制或者阻斷，如：P2P下載、流媒體、網絡游戲、數據庫、遠程控制等，優(yōu)化校園網絡環(huán)境。

web應用防護抗攻擊系統(tǒng)：為學校的門戶網站、OA辦公系統(tǒng)、網站教學平臺等應用配置相關的防護策略，對內外網用戶的WEB頁面請求，進行檢測與驗證，阻斷非法的訪問。其中，網頁防篡改功能可以有效地保護平臺的信息安全，該系統(tǒng)還能解決一些常見的網絡攻擊行為，如：數據庫SQL注入攻擊、XSS攻擊、網站掛木馬等。

2.3 網絡設備、服務器及核心數據安全

在校園網絡核心層與匯聚層，核心交換機與服務器區(qū)部署網絡管理平臺、網絡入侵檢測系統(tǒng)、運維安全網關等，方便管理員更好地維護校園網的路由器、交換機、防火墻等網絡設備，并針對服務器區(qū)的安全進行防入侵防護，保障服務器及核心數據的安全。

網絡管理平臺：集成化支持各廠家設備的管理系統(tǒng)，該系統(tǒng)可以在網絡中自動識別相關的網絡設備，根據拓撲結構顯示出來，通過拓撲圖方便網絡管理人員了解整個網絡的運行情況。具有VLAN拓撲可視化功能，可以在全網范圍內查看所有網絡節(jié)點和鏈路的運行情況，點擊相關的設備可以快速地部署VLAN，設置各端口屬性，管理員可以快速管理交換機、路由器等網絡設備，從而解決網絡中的故障。

網絡入侵檢測系統(tǒng)：個別內網用戶網絡運用水平較差，電腦長期不清理，經常無意中打開非法鏈接，電腦不設置密碼，信息系統(tǒng)密碼較簡單等，導致內部網絡的病毒和惡意小程序普遍存在。通過部署入侵檢測系統(tǒng)，連接到需要監(jiān)控網絡的主交換機的監(jiān)聽口，監(jiān)控內部網絡中的所有網絡連接和攻擊行為，實時探測和阻斷針對內網的非法網絡行為，也可監(jiān)控和檢測外網對內網所做的攻擊，實時記錄并在系統(tǒng)內告警，極大地提高了內網與服務器區(qū)的整體安全性。

運維安全網關（堡壘機）：部署在服務器區(qū)相同的交換機上，通過設置所有登錄服務器的操作必須通過堡壘機，防止內外部用戶非法入侵服務器，有效的保護服務器的數據，同時對堡壘機上的所有操作實時收集記錄，安全事件發(fā)生后可及時處理和審計定責。校園信息系統(tǒng)的服務器遠程管理，杜絕直接的3389、443等端口的遠程服務，可以在核心交換機配置ACL規(guī)則，限定端口的訪問必須通過運維安全網關，給管理員分配不同的訪問權限，保障內網安全，該方法可以有效地解決勒索病毒等攻擊。如果需要外部互聯(lián)網遠程操作服務器，可以通過VPN撥號方式，再進行登陸。

服務器操作系統(tǒng)版本盡量采用安全性較高的系統(tǒng)，如LINUX、Cent OS，數據庫系統(tǒng)至少采用SQL server 2012版本，不定期檢查服務器系統(tǒng)和數據庫系統(tǒng)的用戶，防止有非法和無效用戶存在，用戶登錄要限制非法登錄次數，不要所有系統(tǒng)都使用同一密碼，密碼要有復雜性，管理員還需要不定期，無規(guī)律修改密碼。加固操作系統(tǒng)安全，如修補所有系統(tǒng)安全漏洞補丁、安裝殺毒軟件升級病毒庫、使用軟件限制策略、關閉不必要的端口等。服務器硬盤組做raid陣列，對重要數據定時的做異地數據備份處理，以保障數據的安全。

2.4 安全管理要求

學校應成立以校長為組長的網絡安全工作領導小組，組織學校技術骨干成立信息安全管理部門，合理分配工作任務，將網絡安全工作常規(guī)化。建立學校網絡安全各項制度，如：互聯(lián)網使用條例、機房安全管理制度、網絡安全責任追究制度、網絡信息安全日常監(jiān)測與預警，應急響應及后期處置等。安全管理制度應正式發(fā)布，及時修改存在不足，確實落實到實際工作中。

學校應定期開展多樣化的網絡安全宣傳活動，防微杜漸，提高全校師生的防患意識。加強各類管理人員、各部門之間網絡安全工作的合作和溝通，加強和上級相關主管部門、兄弟學校、各類供應商等技術交流。定期進行常規(guī)安全檢查，如硬件設備運行情況檢查、服務器系統(tǒng)漏洞修復，重要數據的備份，查閱行為管理器日志等。不定期進行網絡安全應急演練，及時發(fā)現問題，逐級上報，并盡快組織技術力量處理安全事件，分析事件產生的原因，管理員如何解決問題，收集相關的資料并記錄下來，總結經驗教訓，提高學校網絡管理員解決網絡問題的能力，學校各職能部門以及校外技術員提供技術支持的應急響應的能力。

建立校園網安日常工作制度，詳細的規(guī)定系統(tǒng)賬號管理、硬件設備安全策略設置規(guī)則、設備的升級與打補丁、安全日志管理規(guī)則等，詳細記錄管理員日常的巡查、維護操作，安全設備的配置信息應妥善保存，供應商處需有相關的備份，定期備份防火墻、安全審計系統(tǒng)、運維安全網關、智能管理中心等日志。

3 結束語

校園網絡安全建設的內容其實涵蓋面非常廣，在大力建設數字化信息化校園的同時，進一步加強校園網絡安全，需要學校領導的重視以及在資金上的大力支持，引進網絡安全方面相關人才，送管理員到技術雄厚的企業(yè)參加培訓，提高解決問題的能力。采購網絡安全設備，同時引入企業(yè)技術員參與校園網絡安全建設，與企業(yè)簽訂安全運營相關的合同，維護好校園網絡。另外，可以通過培訓，開講座，宣傳欄，網站宣傳等手段，加大網絡安全相關知識的宣傳力度，提高全校師生的網絡安全意識，提升網絡防范能力。

參考文獻：

[1] 林玉梅.高校校園網絡安全防護方案的設計與實施[D]. 華僑大學， 2015.

[2] 佚名. GB/T 22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求概要[J]. 信息技術與標準化， 2009（11）：36-38.

【通聯(lián)編輯：光文玲】