陳輝

(淮南職業(yè)技術(shù)學(xué)院 圖書館，安徽 淮南 232001)

校園網(wǎng)信息安全策略
——以淮南職業(yè)技術(shù)學(xué)院校園網(wǎng)為例

陳輝

(淮南職業(yè)技術(shù)學(xué)院 圖書館，安徽 淮南 232001)

校園網(wǎng)在高校的作用日益突出，同時(shí)，校園網(wǎng)信息安全面臨嚴(yán)峻的威脅。通過制定完善嚴(yán)格的規(guī)章制度、合理配置硬件的信息安全策略、合理配置校園網(wǎng)局域網(wǎng)策略、及時(shí)清除校園網(wǎng)內(nèi)不安全因素毒等方式，保障校園網(wǎng)的信息安全。

病毒；局域網(wǎng)；防火墻；信息；安全

隨著科技的發(fā)展，高校教育、科研越來越向依賴自動化、無紙化的校園網(wǎng)絡(luò)，校園網(wǎng)絡(luò)的健康運(yùn)行，是高校正常運(yùn)營的重要因子，校園網(wǎng)的各種病毒、非法訪問、惡意攻擊等直接威脅著校園網(wǎng)信息的安全，如何防范這些不安全因子、保障校園網(wǎng)的信息安全是高校面臨的共同難題。

一、校園信息安全狀況

近幾年年以來，隨著計(jì)算機(jī)病毒、木馬數(shù)量呈爆炸式增長，病毒制造的模塊化、專業(yè)化以及病毒“運(yùn)營”模式的互聯(lián)網(wǎng)化的特征[1]，非法獲取信息的手段多樣化，惡意攻擊方式的隱蔽化，校園網(wǎng)已經(jīng)成為被攻擊的主體。無論是對單機(jī)、網(wǎng)絡(luò)、還是服務(wù)器的攻擊，都造成不同程度的破壞，嚴(yán)重影響校園網(wǎng)的信息安全，尤其是校園網(wǎng)的發(fā)布平臺，更是直接關(guān)系到高校乃至社會宣傳效果，其信息安全更是重中之重。這些信息安全隱患具體表現(xiàn)為：

1、占用資源

計(jì)算機(jī)單機(jī)病毒或網(wǎng)絡(luò)病毒都會大量占用資源，甚至控制網(wǎng)絡(luò)資源，使有效數(shù)據(jù)暴漏，威脅到校園網(wǎng)的信息安全。

2、破壞數(shù)據(jù)

計(jì)算機(jī)病毒會修改、刪除或破壞校園網(wǎng)有用數(shù)據(jù)信息，妨礙高校校園網(wǎng)正常運(yùn)行。

3、非法訪問

攻擊者能越過校園網(wǎng)權(quán)限設(shè)置，通過非法訪問獲得信息，給校園網(wǎng)信息安全帶來破壞，影響高校的日常教學(xué)和科研，也為管理帶來不便。

4、惡意攻擊

病毒或攻擊者利用校園網(wǎng)網(wǎng)絡(luò)設(shè)置漏洞，攻擊校園網(wǎng)，使校園網(wǎng)信息泄露，數(shù)據(jù)丟失，甚至使校園網(wǎng)癱瘓，影響校園網(wǎng)的正常工作。

總體來說，病毒和各種攻擊手段的多樣化，讓校園網(wǎng)面臨更多的隱患，這就要求我們把校園網(wǎng)信息安全提升到嚴(yán)控的高度，只有保障校園網(wǎng)信息的安全，才能保障高校校園網(wǎng)在教學(xué)、科研和日常工作平穩(wěn)運(yùn)行。

二、校園網(wǎng)信息安全策略

針對日益猖獗的計(jì)算機(jī)病毒，日益隱蔽的攻擊手段，高校要根據(jù)自身特點(diǎn)，采取合理的信息安全策略配置，保障校園網(wǎng)的安全。

1、制定嚴(yán)格的校園網(wǎng)信息安全規(guī)章制度

校園網(wǎng)網(wǎng)絡(luò)管理部門制定嚴(yán)格的校園網(wǎng)信息安全制度，針對校園網(wǎng)各網(wǎng)段實(shí)施嚴(yán)格管理，本著誰使用誰負(fù)責(zé)、誰管理誰負(fù)責(zé)，明確問責(zé)制度，嚴(yán)格管理各個(gè)網(wǎng)段；校園網(wǎng)管理部門采取實(shí)時(shí)監(jiān)控策略，從各個(gè)網(wǎng)段抽樣數(shù)據(jù)包，定期分析數(shù)據(jù)包；系統(tǒng)管理中心實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的信息安全狀態(tài)，并記錄日志。

2、校園網(wǎng)外網(wǎng)信息安全策略

校園網(wǎng)外網(wǎng)是校園網(wǎng)和互聯(lián)網(wǎng)溝通的渠道，它給高校的教育、科研和日常生活帶來便利的同時(shí)，也讓校園網(wǎng)信息可能泄露給外界，給校園網(wǎng)信息安全帶來隱患，只有對校園網(wǎng)采取合理的配置，才能保障校園網(wǎng)信息免受外界攻擊。

防火墻是校園網(wǎng)和外界的信息交換的屏障，是校園網(wǎng)的第一層防御陣地，合理的配置防火墻的安全策略，就可以防范校園網(wǎng)信息受到外部的攻擊。

（1）包過濾規(guī)則

包過濾規(guī)則就是在防火墻上配置數(shù)據(jù)包收發(fā)規(guī)則，當(dāng)防火墻接收到訪問要求時(shí)，把接收到的訪問包和自己的規(guī)則庫匹配，如果匹配成功的放行，匹配不成功的則拒絕。只要及時(shí)更新防火墻的包過濾規(guī)則庫，就可以有效地避免病毒攻擊，保護(hù)校園網(wǎng)的運(yùn)行。淮南職業(yè)技術(shù)學(xué)院包過濾規(guī)則的配置如下表1：

表1 包過濾規(guī)則

高校根據(jù)自身校園網(wǎng)提供的服務(wù)，設(shè)置相應(yīng)的報(bào)過濾規(guī)則，主機(jī)只響應(yīng)合法的請求，從而保障主機(jī)信息不受外界攻擊。

（2） NAT 規(guī)則

NAT規(guī)則就是將外部網(wǎng)的公有IP地址和端口號與內(nèi)部網(wǎng)絡(luò)的私有網(wǎng)絡(luò)IP地址及端口號相互映射，使服務(wù)器和內(nèi)部網(wǎng)絡(luò)只響應(yīng)防火墻放行的訪問，從而保護(hù)服務(wù)器和校園網(wǎng)的網(wǎng)絡(luò)安全。合理的配置防火墻的NAT規(guī)則，可以把校園網(wǎng)主機(jī)隱藏，使針對主機(jī)信息的攻擊無從下手，保護(hù)校園網(wǎng)的安全?；茨下殬I(yè)技術(shù)學(xué)院的NAT規(guī)則的配置如下表2：

表2 NAT規(guī)則

3、校園網(wǎng)內(nèi)網(wǎng)信息安全策略

校園網(wǎng)信息不僅遭受外部的攻擊，同時(shí)也會不同程度的遭受內(nèi)部局域網(wǎng)感染的攻擊。局域網(wǎng)病毒一般通過發(fā)布虛假網(wǎng)關(guān)，破壞交換機(jī)和客戶機(jī)的網(wǎng)關(guān)設(shè)置，造成網(wǎng)絡(luò)混亂，獲取非法信息，內(nèi)部惡意攻擊會利用主機(jī)漏洞，破壞主機(jī)信息。合理規(guī)劃校園網(wǎng)，合理配置校園網(wǎng)內(nèi)網(wǎng)信息安全策略，就可以降低校園網(wǎng)被攻擊的概率，保障校園網(wǎng)信息安全。

（1）VLAN 劃分

VLAN的作用是使同一個(gè)VLAN中的成員之間能夠通信，而不同VLAN用戶之間可以根據(jù)策略允許訪問或不允許訪問。根據(jù)校園網(wǎng)的使用情況劃分不同權(quán)限的VLAN，即使一個(gè)VLAN遭受病毒攻擊，其他VLAN的網(wǎng)絡(luò)不受影響，保障了校園網(wǎng)的運(yùn)營。淮南職業(yè)技術(shù)學(xué)院的VLAN配置如下表3：

表3 VLAN配置

（2）網(wǎng)絡(luò)安全協(xié)議配置

網(wǎng)絡(luò)安全協(xié)議是定義通過網(wǎng)絡(luò)進(jìn)行通信的規(guī)則，接收方的發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息，以這種規(guī)則規(guī)定雙方完成信息在計(jì)算機(jī)之間的傳送過程[3]。

IPSec是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，它是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，它是基于端對端的安全模式，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec有兩個(gè)基本目標(biāo)：保護(hù)IP數(shù)據(jù)包安全；為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施[4]。

IPSec安全體系結(jié)構(gòu)包含:

安全體系結(jié)構(gòu)：包含了安全體系結(jié)構(gòu)的概念、安全需求、定義和定義IPSec的技術(shù)機(jī)制、數(shù)據(jù)完整性、數(shù)據(jù)加密、預(yù)置共享密鑰、公鑰加密、和動態(tài)密鑰管理；

數(shù)據(jù)包結(jié)構(gòu)：封裝安全有效載荷(ESP)協(xié)議、ESP隧道模式和AH隧道模式；

SSL安全協(xié)議又叫 “安全套接層(Secure Sockets Layer)協(xié)議”，它為網(wǎng)絡(luò)的通信提供私密性。SSL使應(yīng)用程序在通信時(shí)不用擔(dān)心被竊聽和篡改。主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。它的原理是：在客戶端和服務(wù)器用該協(xié)議進(jìn)行通信，保證客戶和服務(wù)器間事務(wù)安全的協(xié)議，它涉及所有TC/IP應(yīng)用程序[5]。

SSL協(xié)議的實(shí)現(xiàn)屬于SOCKET層，處于應(yīng)用層和傳輸層之間，由SSL記錄協(xié)議和SSL握手協(xié)議組成的。它彌補(bǔ)了TCP/IP協(xié)議安全性較差的弱點(diǎn)。

高校依據(jù)自身校園網(wǎng)配置特點(diǎn)，配置自身的網(wǎng)絡(luò)協(xié)議，保障校園網(wǎng)網(wǎng)絡(luò)安全。常見網(wǎng)絡(luò)安全協(xié)議配置如下：

4、校園網(wǎng)主機(jī)信息安全策略

校園網(wǎng)主機(jī)是校園網(wǎng)信息的交換平臺，在校園網(wǎng)中占重要地位，保障主機(jī)信息安全，在某種意義上說，就是保障了校園網(wǎng)信息的安全。

（1）服務(wù)器群配置

校園網(wǎng)主機(jī)是校園網(wǎng)的核心，主機(jī)的正常運(yùn)行基本上就保障了校園網(wǎng)的正常運(yùn)行，主機(jī)是校園網(wǎng)遭受攻擊的焦點(diǎn)，再嚴(yán)格的防空都有別攻擊的機(jī)會，所以有條件的高校一般采用服務(wù)器群，服務(wù)器群一般采用分層的網(wǎng)絡(luò)結(jié)構(gòu)，配置容錯、鏡像功能，IPS深度防護(hù)功能，一旦一臺服務(wù)器被攻擊，其它服務(wù)器可以代替受攻擊的服務(wù)器，保障校園網(wǎng)信息的安全。

（2）主機(jī)信息安全策略

主機(jī)信息是校園網(wǎng)的信息核心，主機(jī)信息安全是校園網(wǎng)的核心事件。通過正確的策略配置，就能保障主機(jī)信息安全。

對數(shù)據(jù)進(jìn)行分類保護(hù)是計(jì)算機(jī)信息系統(tǒng)實(shí)施安全等級保護(hù)的基本原則。按照數(shù)據(jù)的價(jià)值劃分類別，對不同類別的數(shù)據(jù)，應(yīng)按照不同的安全等級保護(hù)，對不同安全等級的數(shù)據(jù)進(jìn)行備份，要求也不能相同[6]。其數(shù)據(jù)分類和對應(yīng)的安全等級備份要求如下：

公開數(shù)據(jù)，這類數(shù)據(jù)是用戶自己的數(shù)據(jù)，按照用戶自主保護(hù)級別進(jìn)行安全設(shè)計(jì)，對數(shù)據(jù)進(jìn)行常規(guī)備份；一般數(shù)據(jù)，這類數(shù)據(jù)一般只具有使用價(jià)值，該類數(shù)據(jù)需要保護(hù)但是不要求特別保護(hù)，通常設(shè)計(jì)對數(shù)據(jù)進(jìn)行定時(shí)重點(diǎn)備份；重要數(shù)據(jù)，這類數(shù)據(jù)具有重要價(jià)值，要進(jìn)行重點(diǎn)保護(hù)，一般設(shè)計(jì)對數(shù)據(jù)應(yīng)進(jìn)行冗余備份（一式兩份）；關(guān)鍵數(shù)據(jù)。這類數(shù)據(jù)具有很高使用價(jià)值或機(jī)密程度，要進(jìn)行特別保護(hù)，一般設(shè)計(jì)為對數(shù)據(jù)應(yīng)進(jìn)行冗余備份并異地存放；核心數(shù)據(jù)，這類數(shù)據(jù)具有最高使用價(jià)值或機(jī)密程度，要進(jìn)行絕對保護(hù)，一般設(shè)計(jì)為對數(shù)據(jù)的備份按一式多份并異地存放的原則實(shí)施。合理給校園網(wǎng)數(shù)據(jù)分類，進(jìn)行相應(yīng)備份，一般數(shù)據(jù)定期備份、重要數(shù)據(jù)冗余備份、核心數(shù)據(jù)異地備份，確保校園網(wǎng)信息安全。

數(shù)據(jù)備份就是為防止由于出現(xiàn)系統(tǒng)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將重要數(shù)據(jù)集合打包，從主機(jī)的硬盤或陣列中復(fù)制到其他存儲介質(zhì)的措施。一般把其分為三種方式：

差分備份；它是備份和上一次標(biāo)準(zhǔn)備份之后有差別數(shù)據(jù)；

增量備份；它是備份上一次備份后增加的和修改過的數(shù)據(jù)；

標(biāo)準(zhǔn)備份；它是對要保護(hù)的整個(gè)系統(tǒng)進(jìn)行完全備份，包括操作系統(tǒng)和數(shù)據(jù)。一旦發(fā)生數(shù)據(jù)丟失的災(zāi)難時(shí)，可以把災(zāi)難發(fā)生之前的備份完整的還原回去，從而保護(hù)數(shù)據(jù)；

校園網(wǎng)根據(jù)自身數(shù)據(jù)安全等級，采用相應(yīng)備份方式，以備恢復(fù)使用。

三、結(jié)束語

隨著計(jì)算機(jī)病毒和攻擊手段的層出不窮，校園網(wǎng)信息安全的形式日益嚴(yán)峻，高校只有根據(jù)自身特點(diǎn)，及時(shí)采取相應(yīng)的措施，才能在災(zāi)難降臨時(shí)將損失降到最小。

[1]陳祖龍.誰來呵護(hù)互聯(lián)網(wǎng)安全?[J].軟件世界,2005,（5）

[2]謝宗仁.木馬原理分析與實(shí)現(xiàn)[M].濟(jì)南：山東大學(xué)出版社,2009：2

[3]劉牧星.木馬攻擊與隱蔽技術(shù)研究[M].天津：天津大學(xué)出版社，2006

[4]張予祥.占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案[J].農(nóng)機(jī)化研究，2005，（11）

[5]郝慧珍.基于工P偽裝的網(wǎng)絡(luò)安全技術(shù)研究[J].成都理工學(xué)院學(xué)報(bào)，2002，（3）

[6]方東權(quán).楊巋.校園網(wǎng)網(wǎng)絡(luò)安全與竹理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，(3):51-52

TP393.08

A

1009-9530（2012）04-0141-03

2011-12-01

]陳輝（1976-），男,淮南職業(yè)技術(shù)學(xué)院講師。