戚小俊

【摘要】? ? 校園網(wǎng)絡(luò)安全，在數(shù)字化校園建設(shè)中占據(jù)重要地位，當(dāng)前推動校園網(wǎng)大范圍普及的同時，逐步打破了傳統(tǒng)管理封閉模式束縛，可以實現(xiàn)校園內(nèi)大范圍資源共建共享，但網(wǎng)絡(luò)安全問題卻不容忽視。由于高校校園網(wǎng)絡(luò)安全問題較為復(fù)雜，影響因素多樣，如何實現(xiàn)校園網(wǎng)安全有效管理，應(yīng)致力于構(gòu)建合理的網(wǎng)絡(luò)安全體系，尋求有效安全措施予以防控，在提供豐富教育資源，輔助教育管理工作開展的同時，創(chuàng)設(shè)安全的網(wǎng)絡(luò)環(huán)境。本文就高校校園網(wǎng)絡(luò)安全優(yōu)化應(yīng)用展開分析，在明確校園網(wǎng)絡(luò)安全管理現(xiàn)狀基礎(chǔ)上，致力于創(chuàng)新安全管理思路，進一步優(yōu)化應(yīng)用。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 校園網(wǎng)絡(luò)? ? 數(shù)字化校園? ? 安全管理

引言

互聯(lián)網(wǎng)在各個行業(yè)領(lǐng)域中廣泛應(yīng)用，促進產(chǎn)業(yè)轉(zhuǎn)型升級同時，也對新時期的網(wǎng)絡(luò)安全提出了更高的要求。互聯(lián)網(wǎng)的開放性，任何用戶均可以連接到互聯(lián)網(wǎng)，實現(xiàn)信息傳播和獲取，這就導(dǎo)致信息安全也面臨著嚴峻挑戰(zhàn)。隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用，為信息系統(tǒng)安全工作開展提供了新的目標(biāo)方向。

高校校園網(wǎng)絡(luò)信息化建設(shè)中，應(yīng)遵循等保2.0標(biāo)準(zhǔn)要求，創(chuàng)設(shè)安全可靠的網(wǎng)絡(luò)環(huán)境。但是，網(wǎng)絡(luò)安全卻是一個十分嚴峻的問題，多數(shù)高校由于配套安全管理制度缺失，資金投入力度不足，導(dǎo)致校園網(wǎng)絡(luò)安全管理成效有所不足，亟待優(yōu)化和完善。

一、高校數(shù)字化校園建設(shè)現(xiàn)狀

高校數(shù)字化校園建設(shè)，已經(jīng)成為教育信息化建設(shè)的重要內(nèi)容，很多高校由于區(qū)域經(jīng)濟水2平不高，教育領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全投入力度不高，致使高校信息化建設(shè)進程滯后。高校信息化發(fā)展，數(shù)字化校園建設(shè)是重要內(nèi)容，包括建立數(shù)據(jù)中心、校園信息管理系統(tǒng)、統(tǒng)一身份認證、統(tǒng)一信息門戶與網(wǎng)絡(luò)安全體系等。在契合校園實際情況基礎(chǔ)上，優(yōu)化數(shù)字化校園建設(shè)體系結(jié)構(gòu)，制定合理的信息標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，穩(wěn)步推進數(shù)字化校園建設(shè)[1]。

盡管此種建設(shè)思路適合在多數(shù)的企業(yè)單位中應(yīng)用，但在高校數(shù)字化校園建設(shè)中卻存在諸多問題，數(shù)字化校園建設(shè)方案側(cè)重于應(yīng)用系統(tǒng)平臺數(shù)據(jù)標(biāo)準(zhǔn)制定，以及建立公共數(shù)據(jù)平臺。網(wǎng)絡(luò)業(yè)務(wù)類型分類設(shè)計卻很少關(guān)注，缺少專業(yè)化分析，導(dǎo)致后期校園網(wǎng)絡(luò)建設(shè)安全性不符合等保2.0要求，亟待改進和完善。

二、高校校園網(wǎng)絡(luò)安全優(yōu)化思路

高校校園網(wǎng)絡(luò)安全管理，應(yīng)該明確的一點是立足于校園網(wǎng)絡(luò)安全現(xiàn)狀，了解校園網(wǎng)絡(luò)的和新架構(gòu)，出口接入情況，以及獨立服務(wù)器、數(shù)據(jù)中心虛擬化平臺等各方面部署情況，在此基礎(chǔ)上確定業(yè)務(wù)安全保護需求，編制合理的校園網(wǎng)絡(luò)安全管理方案。

2.1合理劃分網(wǎng)絡(luò)安全等級

集合安全需求和網(wǎng)絡(luò)用途，可以大致劃分為網(wǎng)絡(luò)層、安全區(qū)和安全域幾個等級。網(wǎng)絡(luò)層級是結(jié)合網(wǎng)絡(luò)用途來劃分，對于高校校園網(wǎng)絡(luò)而言，主要可以細化為學(xué)生宿舍區(qū)網(wǎng)絡(luò)、教學(xué)辦公區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)與物聯(lián)網(wǎng)等;安全區(qū)層級是結(jié)合業(yè)務(wù)類型劃分，包括應(yīng)用服務(wù)區(qū)、運維管理區(qū)與數(shù)據(jù)庫存儲區(qū);安全域?qū)蛹?，依?jù)安全標(biāo)準(zhǔn)要求細化安全業(yè)務(wù)，為重要業(yè)務(wù)數(shù)據(jù)提供安全保障[2]。

2.2各層級安全規(guī)劃部署

不同網(wǎng)絡(luò)層級安全部署不盡相同，應(yīng)契合對應(yīng)類型，設(shè)置網(wǎng)閘、防火墻等安全設(shè)備，實行物理隔離來控制內(nèi)外網(wǎng)信息交互;設(shè)置入侵防護系統(tǒng)，規(guī)避外部攻擊和入侵，保障設(shè)備運行安全。需要注意的是，結(jié)合不同安全區(qū)要求，在安全部署中要注意彼此隔離與防護，防火墻邏輯鏈路策略設(shè)置，同時安全級運維管理區(qū)可以增設(shè)堡壘機，通過此種方式來保證設(shè)備之間的連接安全，最大程度上維護網(wǎng)絡(luò)安全[3]。不同安全域級安全部署，可以設(shè)置橫向安全資源中心，增設(shè)WEB應(yīng)用防火墻，對于一些重要的業(yè)務(wù)系統(tǒng)加強流量審計，保證數(shù)據(jù)信息安全可靠，最大程度上規(guī)避外部風(fēng)險入侵。

三、校園網(wǎng)絡(luò)安全中的問題分析

3.1網(wǎng)絡(luò)安全隔離性較差

校園網(wǎng)絡(luò)安全管理，涉及到諸多內(nèi)容，很大程度上決定了用戶信息安全，即便校園網(wǎng)絡(luò)和WAN網(wǎng)絡(luò)連接可以提供便捷，但也為外部入侵帶來了可趁之機。基于此，應(yīng)該做好校園網(wǎng)絡(luò)的安全隔離工作，并完善防火墻系統(tǒng)技術(shù)，但此項技術(shù)僅僅是用于外部防護，仍然有很大的內(nèi)部防護漏洞[4]。如，部分高校學(xué)生可能為了嘗試自己的黑客技術(shù)，從內(nèi)部攻擊校園網(wǎng)絡(luò)，或是使用帶病毒的移動設(shè)備，通過互聯(lián)網(wǎng)在校園內(nèi)部傳播，造成重要數(shù)據(jù)信息丟失，造成不可挽回的損失[5]。

3.2網(wǎng)絡(luò)監(jiān)控設(shè)施缺失

由于校園網(wǎng)絡(luò)覆蓋范圍廣，用戶數(shù)量多，一定程度上增加了網(wǎng)絡(luò)安全監(jiān)管難度，可能出現(xiàn)盜用他人IP信息的情況出現(xiàn)，不僅影響到用戶數(shù)據(jù)信息安全，還會危害到網(wǎng)絡(luò)整體環(huán)境安全。有一點是難以避免的，即校園中的人員可能在不知情情況下，使用便捷的移動設(shè)備來傳輸數(shù)據(jù)，促使病毒入侵校園網(wǎng)絡(luò)，威脅到用戶數(shù)據(jù)信息安全[6]。

3.3系統(tǒng)和軟件漏洞

校園網(wǎng)絡(luò)多是基于互聯(lián)網(wǎng)技術(shù)實現(xiàn)，由于互聯(lián)網(wǎng)自身開放性特點，一定程度上威脅到互聯(lián)網(wǎng)信息安全。在TCP/IP協(xié)議下，安全性不足，可能受到攻擊，導(dǎo)致系統(tǒng)崩潰。如，操作系統(tǒng)或軟件自身的漏洞，這些漏洞是無法避免的，沒有十分完美的軟件，嚴重威脅到校園網(wǎng)絡(luò)安全[7]。同時，現(xiàn)有的校園網(wǎng)絡(luò)安全機制不合理，網(wǎng)絡(luò)技術(shù)水平不足，校園網(wǎng)絡(luò)安全無法得到可靠保障。需要注意的是，校園網(wǎng)絡(luò)中涉及到諸多類型多樣的數(shù)據(jù)信息，如何保障數(shù)據(jù)信息在服務(wù)器中安全存儲，直接關(guān)乎到用戶信息安全。如果數(shù)據(jù)信息被竊取，可能誘發(fā)一系列不可估量的損失，所以做好數(shù)據(jù)安全備份十分必要，即便數(shù)據(jù)泄露、損失，也可以通過預(yù)先備份的數(shù)據(jù)恢復(fù)。

四、高校校園網(wǎng)絡(luò)安全優(yōu)化措施

校園網(wǎng)絡(luò)安全建設(shè)專業(yè)性較強，涉及到諸多環(huán)節(jié)內(nèi)容，屬于系統(tǒng)工程。以往的網(wǎng)絡(luò)安全建設(shè)涵蓋應(yīng)用、網(wǎng)絡(luò)、終端、數(shù)據(jù)、系統(tǒng)和管理多領(lǐng)域，為了保障高校校園網(wǎng)絡(luò)，應(yīng)注重信息安全組織、技術(shù)部署和體系化建設(shè)多角度改進。

4.1設(shè)立校園網(wǎng)絡(luò)安全組織

為了保障高校校園網(wǎng)絡(luò)安全，應(yīng)明確網(wǎng)絡(luò)安全管理目標(biāo)和要求，設(shè)立契合高校實際情況的網(wǎng)絡(luò)安全組織，設(shè)立專門機構(gòu)和崗位，落實職責(zé)到實處，并對相關(guān)人員定期績效考核。結(jié)合等保2.0要求，并設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，可以第一時間發(fā)現(xiàn)和解決。職責(zé)劃分清晰明了，有效區(qū)分校內(nèi)媒體平臺和新媒體，由專門部門負責(zé)管理[8]。另外，提升網(wǎng)絡(luò)安全工作的嚴肅性，選拔高素質(zhì)專業(yè)人員負責(zé)，在完善得到激勵制度和獎懲制度支持下，充分調(diào)動工作人員工作熱情。

4.2規(guī)范落實高校校園網(wǎng)絡(luò)技術(shù)部署

（1）加強網(wǎng)絡(luò)邊界隔離技術(shù)優(yōu)化。

多個獨立物理子網(wǎng)隔離，將數(shù)據(jù)中心和物聯(lián)網(wǎng)隔離開，數(shù)據(jù)中心網(wǎng)絡(luò)和校園網(wǎng)隔離開。校園網(wǎng)和數(shù)據(jù)中心的核心交換機，分別選擇RG-N18000和H3CS12508，在二者之間設(shè)置華三防火墻M9000。確保網(wǎng)絡(luò)安全，結(jié)合安全管理要求優(yōu)化校園網(wǎng)絡(luò)配置，以保障校內(nèi)師生用網(wǎng)安全，重新規(guī)劃數(shù)據(jù)中心到網(wǎng)絡(luò)核心路由;防火墻M9000進一步細化為內(nèi)部可信區(qū)、外部可信區(qū)和邏輯安全區(qū)等，各區(qū)域之間需要樣執(zhí)行網(wǎng)絡(luò)訪問限制。對于數(shù)據(jù)中心實行專門的內(nèi)網(wǎng)IP，便捷防火墻M9000選擇NAT策略，通過此種方式來管控外部訪問，IP安全隔離，保障校園網(wǎng)絡(luò)安全。

（2）互聯(lián)網(wǎng)服務(wù)區(qū)技術(shù)優(yōu)化。

互聯(lián)網(wǎng)服務(wù)區(qū)的技術(shù)優(yōu)化，應(yīng)明確其作用所在，可以滿足二級部門獨立服務(wù)器介入服務(wù)需要，配備一臺高性能三層匯聚交換機，使用大二層互聯(lián)模式與防火墻M9000連接，有助于網(wǎng)絡(luò)傳輸效率大大提升，保障數(shù)據(jù)信息安全?；趯I(yè)WAF串接服務(wù)器，現(xiàn)在提供Web業(yè)務(wù)時，可以起到掃描漏洞，防護病毒攻擊的作用。通過此種技術(shù)部署方式，可以將防火墻的安全防護作用最大程度上發(fā)揮，滿足不同安全域使用需要，即不同安全域之間的數(shù)據(jù)通信，不可繞過防火墻訪問，最大程度上保護網(wǎng)絡(luò)安全。

（3）運維管理區(qū)技術(shù)優(yōu)化。

在運維管理區(qū)的技術(shù)優(yōu)化，主要包括數(shù)據(jù)庫服務(wù)器、存儲服務(wù)器和云平臺服務(wù)器，對此可以通過設(shè)置堡壘機的方式，實現(xiàn)網(wǎng)絡(luò)優(yōu)化控制，用于設(shè)備之間安全連接，記錄下訪問情況。需要注意的是，運維管理區(qū)安全部署要保持獨立性，獨立匯聚交換機大二層與核心交換機連接，部署便捷防火墻。同時，充分契合高校的校園網(wǎng)絡(luò)安全管理要求，緊緊圍繞校園網(wǎng)絡(luò)結(jié)構(gòu)來設(shè)置合適的訪問控制策略，減少資金損耗。

除此之外，對校園網(wǎng)絡(luò)安全集中統(tǒng)一監(jiān)控，對上網(wǎng)用戶身份信息嚴格檢驗和跟蹤，保存下用戶訪問日志。對于用戶數(shù)量較多的機房重點安全管控，最大程度上規(guī)避外來病毒入侵可能性，逐步提升廣大師生安全意識，維護校園網(wǎng)絡(luò)安全。

五、結(jié)論：

綜上所述，高校校園網(wǎng)絡(luò)逐步推廣普及，可以實現(xiàn)校園網(wǎng)絡(luò)內(nèi)部信息共建共享。為了創(chuàng)設(shè)安全校園網(wǎng)絡(luò)環(huán)境，應(yīng)注重安全防護技術(shù)創(chuàng)新優(yōu)化，剖析安全管理現(xiàn)狀，逐步構(gòu)建校園網(wǎng)絡(luò)安全管理體系，阻隔外部網(wǎng)絡(luò)入侵和病毒攻擊，保障校園網(wǎng)絡(luò)數(shù)據(jù)信息安全穩(wěn)定。

參? 考? 文? 獻

[1]覃德澤，李立信，李立禮.大數(shù)據(jù)時代高校智慧校園學(xué)生隱私風(fēng)險分析及保護策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，31（11）：110-112.

[2]王文梁.基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)安全解決方案——以閩南理工學(xué)院為例[J].信息技術(shù)與信息化，2020，10（10）：160-162.

[3]凌賢文，丁邦旭.校園網(wǎng)絡(luò)安全貝葉斯攻擊圖等級保護測評方法[J].福建電腦，2020，36（10）：125-127.

[4]宋偉玲.中學(xué)校園網(wǎng)絡(luò)安全的問題及對策——網(wǎng)管十年談網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，22（10）：106-109.

[5]楊佳麗.大數(shù)據(jù)背景下高校校園網(wǎng)絡(luò)信息安全問題探究[J].現(xiàn)代信息科技，2020，4（12）：148-150.

[6]白亞秀.基于BAS-RVM的校園網(wǎng)絡(luò)安全量化評估體系設(shè)計與研究[J].微型電腦應(yīng)用，2020，36（06）：100-103.

[7]沈建華.校園網(wǎng)的安全及優(yōu)化措施研究——以上海市徐匯區(qū)田林第六幼兒園校園網(wǎng)項目為例[J].信息與電腦（理論版），2020，32（07）：206-207.

[8]張輝.基于網(wǎng)絡(luò)安全等級保護2.0的高校網(wǎng)絡(luò)安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，12（02）：83-84.