楊凱雪

高校校園網(wǎng)安全防御體系的構(gòu)建

楊凱雪

楊凱雪

黔東南民族職業(yè)技術(shù)學(xué)院

隨著我國高校校園網(wǎng)的不斷普及，學(xué)校教育信息化快速發(fā)展，各種各樣的安全問題也隨之出現(xiàn)。由于校園網(wǎng)的安全防御手段比較弱，很容易成為互聯(lián)網(wǎng)黑客攻擊的對象，校園網(wǎng)自身安全受到威脅。

隨著我國科技信息技術(shù)的不斷進(jìn)步，高校教育逐漸以信息化和網(wǎng)絡(luò)化作為未來的發(fā)展方向，校園網(wǎng)不斷成為我國高校管理學(xué)校日常生活和教學(xué)不可或缺的手段和方式。

1 安全現(xiàn)狀

最近幾年，校園網(wǎng)的用戶不斷增多，網(wǎng)絡(luò)管理的難度加大，網(wǎng)絡(luò)建設(shè)的缺點和漏洞導(dǎo)致的不安全因素也日漸明顯，影響網(wǎng)絡(luò)的正常運轉(zhuǎn)。主要表現(xiàn)在：由于校園網(wǎng)外部用戶有可能通過文件傳輸或者是一些聊天工具把病毒傳入校園網(wǎng)內(nèi)，內(nèi)部的教師和學(xué)生也有可能在不經(jīng)意間傳播了網(wǎng)絡(luò)病毒，所以校園網(wǎng)隨時都會受到網(wǎng)內(nèi)、外病毒的威脅；校園網(wǎng)內(nèi)部的用戶如果對Internet進(jìn)行非正常操作，瀏覽一些帶有病毒的網(wǎng)站，或者是下載并使用病毒軟件，那么校園網(wǎng)就會受到木馬、蠕蟲等病毒的破壞；部分網(wǎng)絡(luò)黑客惡意對校園網(wǎng)絡(luò)及服務(wù)器發(fā)起攻擊，致使校園網(wǎng)絡(luò)全面陷入癱瘓；大部分校園網(wǎng)的管理人員和師生并沒有網(wǎng)絡(luò)安全防御意識，學(xué)校對校園網(wǎng)的管理不予以重視，也是潛在的威脅之一。

2 安全防御體系的構(gòu)建

當(dāng)網(wǎng)絡(luò)受到各方面的攻擊時，雖然例如360防病毒軟件和防火墻等網(wǎng)絡(luò)安全產(chǎn)品對校園網(wǎng)網(wǎng)絡(luò)的安全起到了一定的保護(hù)作用，但是當(dāng)對網(wǎng)絡(luò)的攻擊連綿不斷時，這些安全軟件就會暴露出自身的缺點。不難想象，這種“各掃門前雪”的安全系統(tǒng)無法抵御錯綜復(fù)雜的病毒。面對這種情況，我們要清楚的意識到：目前，網(wǎng)絡(luò)信息安全技術(shù)與安全隱患正在進(jìn)行一場深入的、多元化的較量。因此，只有使用多面化、科學(xué)化的安全網(wǎng)絡(luò)體系才能徹底地解決“各自為戰(zhàn)”的傳統(tǒng)局面， 才能取代或者是完善陳舊的防御措施。

組成安全體系的要素

由于我國各高校網(wǎng)絡(luò)設(shè)備和技術(shù)水平的不同，其實施的安全防御體系方案也有所區(qū)別。我們可按照校園網(wǎng)的組成因素和安全隱患，將校園網(wǎng)安全管理措施分為網(wǎng)絡(luò)安全設(shè)施、網(wǎng)絡(luò)管理員兩類。

實施策略

1.系統(tǒng)安全

系統(tǒng)層面的安全主要包括硬件和軟件系統(tǒng)的安全。硬件系統(tǒng)的安全是指環(huán)境安全、設(shè)備安全和線路安全。對主要設(shè)備的安全管理，是建立完善的安全管理體系的前提，要對路由器、服務(wù)器和主干交換機硬件設(shè)施實施集中管理；避免網(wǎng)絡(luò)硬件物體和通信線路受到自然災(zāi)害以及人為的破壞；對通信線路要采取深埋或者是穿管、架空的措施，并做明顯記號，預(yù)防受到損壞；嚴(yán)格執(zhí)行國家關(guān)于網(wǎng)絡(luò)信息系統(tǒng)中心或是對機房建設(shè)的要求進(jìn)行設(shè)計和施工。

軟件系統(tǒng)的安全重點面對的是電腦內(nèi)各種軟件系統(tǒng)以及相關(guān)應(yīng)用產(chǎn)品的安全缺陷帶來的威脅，主要可以采用以下技術(shù)方式來解決：

首先，利用電腦自身系統(tǒng)或者是第三方可信任軟件自動檢查和更新機制，經(jīng)常對電腦系統(tǒng)進(jìn)行體檢或者是大掃除、升級等。

其次，關(guān)閉容易被木馬等病毒襲擊的端口，時刻警惕最新病毒的攻擊，及時更新系統(tǒng)。

2.網(wǎng)絡(luò)安全預(yù)防方法

（1）嚴(yán)格控制用戶對網(wǎng)絡(luò)邊界的訪問

由于安全問題，對于安全等級不同的網(wǎng)絡(luò)邊界，必須要用防火墻加以控制，利用防火墻對用戶關(guān)于校園外網(wǎng)和Internet訪問內(nèi)容加強控制和過濾，可有效地預(yù)防多種網(wǎng)絡(luò)安全問題。私人電腦也應(yīng)該安裝相應(yīng)的安全軟件，提高電腦的防御能力。

（2）網(wǎng)絡(luò)區(qū)域的規(guī)劃

如果等級不一的安全域出現(xiàn)在同一局域網(wǎng)內(nèi)，可以采取規(guī)劃子網(wǎng)并劃分VLAN和設(shè)置控制列表的措施加以控制，例如：通過劃分子網(wǎng)對學(xué)生宿舍電腦和學(xué)校辦公網(wǎng)絡(luò)加以控制，限制學(xué)生用自己的電腦訪問辦公網(wǎng)絡(luò)。

（3）預(yù)防校園網(wǎng)內(nèi)、外合力攻擊

為更好地預(yù)防網(wǎng)絡(luò)內(nèi)、外病毒的攻擊，建議把入侵檢測系統(tǒng)安裝在每個安全域內(nèi)。

（4）建設(shè)預(yù)防病毒系統(tǒng)

在校園網(wǎng)內(nèi)，安裝相應(yīng)的防毒系統(tǒng)，對網(wǎng)絡(luò)的服務(wù)器、終端的病毒進(jìn)行集中的防控、管理和檢查，保護(hù)全網(wǎng)安全。

3.應(yīng)用方面的安全措施

在應(yīng)用方面，主要的安全措施有以下幾點。

（1）身份許可

為了分辨校內(nèi)、校外用戶以及使用校園網(wǎng)信息資源的不同，要采取不同的措施，只允許被授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)的安全。

（2）對安全系統(tǒng)進(jìn)行審計

針對用戶的認(rèn)證資料和其他一些信息，成立安全審計系統(tǒng)，保證審計效果的真實性，并做成報表，并使其成為網(wǎng)絡(luò)通信管理者管理網(wǎng)絡(luò)的依據(jù)。

（3）對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份

網(wǎng)絡(luò)數(shù)據(jù)備份是在出現(xiàn)意外情況時，短時間內(nèi)將網(wǎng)絡(luò)原有的信息進(jìn)行還原，將損失降到最低，是保證網(wǎng)絡(luò)安全的最后一道防線。

（4）設(shè)立郵件網(wǎng)關(guān)

目前各種垃圾郵件泛濫，針對這種情況，校方要在郵件系統(tǒng)的配合下設(shè)立郵件網(wǎng)關(guān)，保證電子郵件的安全，采用先進(jìn)的科學(xué)技術(shù)攔截、過濾垃圾郵件。

（5）在集中區(qū)域?qū)崿F(xiàn)共享上網(wǎng)

用代理的方式確保學(xué)校機房、辦公區(qū)域等上網(wǎng)比較集中的區(qū)域能夠共享上網(wǎng)，不僅有利于提高網(wǎng)站的訪問速度，而且有利于網(wǎng)絡(luò)安全的控制。網(wǎng)絡(luò)中還原卡使用起來比較方便，正因為這樣也容易出現(xiàn)安全漏洞，使用戶的電腦無法保留任何安全方面的信息。

4.管理層面的安全

俗話說：“三分技術(shù)，七分管理”，也就是說安全管理和安全技術(shù)的相互配合是網(wǎng)絡(luò)安全實現(xiàn)的前提。因此，為了實現(xiàn)管理層的安全，必須做到以下幾點。

（1）完善校園網(wǎng)安全的管理體制

由于校園網(wǎng)的用戶日益增多，建立一套行之有效的安全管理體制很有必要。校園網(wǎng)安全水平的提高需要制度和設(shè)備的有效結(jié)合。建立一個依據(jù)我國有關(guān)法律、法規(guī)和學(xué)校的管理條例為基礎(chǔ)的管理體制，并以網(wǎng)絡(luò)安全條例或者是安全管理辦法的形式予以公布。

（2）加強校園網(wǎng)用戶的安全意識

保證校園網(wǎng)安全的關(guān)鍵是加強安全意識的培養(yǎng)和用戶的管理。對于使用人員，進(jìn)行必要的網(wǎng)絡(luò)安全意識的教育，使其自覺遵守有關(guān)的網(wǎng)絡(luò)安全制度，提高整體人員對網(wǎng)絡(luò)安全的防范能力；對于網(wǎng)絡(luò)管理人員，要定期不定期地進(jìn)行知識和技術(shù)培訓(xùn)，提高網(wǎng)絡(luò)技能和網(wǎng)絡(luò)管理水平，更好地對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理，把危險降到最低。

（3）建設(shè)網(wǎng)絡(luò)安全管理平臺

集中監(jiān)控所有的安全系統(tǒng)和設(shè)備并進(jìn)行綜合分析，以公布安全制度的形式告知用戶有效的行為范圍和違反制度的處罰規(guī)定。

3 結(jié)語

總之，校園網(wǎng)的安全防御是一項持久的工程，因為網(wǎng)絡(luò)系統(tǒng)安全只是相對的，做不到絕對。隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全還有待于進(jìn)一步健全和完善，整個過程充滿了挑戰(zhàn)。網(wǎng)絡(luò)安全的預(yù)防沒有捷徑，我們要綜合各方面的科學(xué)技術(shù)和預(yù)防措施，找出保證校園網(wǎng)絡(luò)安全的最佳方法，給學(xué)校師生營建一個安全放心的網(wǎng)絡(luò)環(huán)境。

10.3969/j.issn.1001-8972.2015.02.023