趙學(xué)思 王維暢 王磊 賈鵬

摘要：近年來(lái)，職業(yè)院校信息化水平不斷提高，網(wǎng)絡(luò)應(yīng)用已經(jīng)覆蓋教務(wù)、學(xué)生、科研、人事、辦公、迎新、國(guó)資、招生、就業(yè)等方方面面，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益突出。如何防范網(wǎng)絡(luò)病毒、黑客攻擊、系統(tǒng)漏洞和不良信息傳播等問(wèn)題，擺到了信息管理者面前。滄州職業(yè)技術(shù)學(xué)院結(jié)合防火墻安全技術(shù)、VLAN技術(shù)、VPN技術(shù)、無(wú)線(xiàn)技術(shù)和用戶(hù)認(rèn)證、態(tài)勢(shì)感知等技術(shù)，有效解決了網(wǎng)絡(luò)安全的基本問(wèn)題。

關(guān)鍵詞：高職院校? ?網(wǎng)絡(luò)安全現(xiàn)狀? ?應(yīng)對(duì)策略

隨著信息技術(shù)的飛速發(fā)展，新設(shè)備、新技術(shù)不斷涌現(xiàn)，對(duì)大學(xué)生的思想觀(guān)念、價(jià)值取向和行為方式等產(chǎn)生了巨大影響。在職業(yè)院校中，信息化建設(shè)水平與學(xué)院的辦學(xué)質(zhì)量具有一定的關(guān)系。然而，隨著校園信息化程度的提高，潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)也在增大。

一、滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全現(xiàn)狀

近年來(lái)，滄州職業(yè)技術(shù)學(xué)院非常重視信息化建設(shè)，信息化已經(jīng)全面覆蓋學(xué)校管理的方方面面。不斷完善的信息化應(yīng)用極大地促進(jìn)了學(xué)校的網(wǎng)絡(luò)建設(shè)，但網(wǎng)絡(luò)安全問(wèn)題也日益突出。就滄州職業(yè)技術(shù)學(xué)院而言，網(wǎng)絡(luò)風(fēng)險(xiǎn)主要來(lái)自于病毒、黑客攻擊、系統(tǒng)漏洞和不良信息傳播。雖然學(xué)校已經(jīng)在使用OA系統(tǒng)，但U盤(pán)使用頻率很高，導(dǎo)致病毒傳播現(xiàn)象時(shí)有發(fā)生，甚至出現(xiàn)系統(tǒng)癱瘓等問(wèn)題。筆者查看校園網(wǎng)站被攻擊記錄，發(fā)現(xiàn)每天都有1000次以上攻擊。系統(tǒng)漏洞是學(xué)校最頭痛的問(wèn)題，一旦被別有用心的人利用，后果將不堪設(shè)想。

二、滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全應(yīng)對(duì)策略

在網(wǎng)絡(luò)部署中，滄州職業(yè)技術(shù)學(xué)院充分調(diào)研網(wǎng)絡(luò)需求，結(jié)合了防火墻安全技術(shù)、VLAN技術(shù)、VPN技術(shù)、無(wú)線(xiàn)技術(shù)和用戶(hù)認(rèn)證、態(tài)勢(shì)感知等。在校園網(wǎng)部署中實(shí)施統(tǒng)一身份認(rèn)證，包括臨時(shí)上網(wǎng)人員都分配了賬號(hào)和初始密碼，并對(duì)用戶(hù)進(jìn)行分組，按組別進(jìn)行授權(quán)，防止非法訪(fǎng)問(wèn)，并且將教師按照職責(zé)的不同分成6個(gè)組，學(xué)生在按年級(jí)、班級(jí)分組的基礎(chǔ)上，又受到上網(wǎng)時(shí)間段的限制，既保證了有需要的學(xué)生隨時(shí)上網(wǎng)，又盡量防止學(xué)生在上課時(shí)間非法訪(fǎng)問(wèn)網(wǎng)絡(luò)。

VLAN的劃分采用了非對(duì)稱(chēng)VLAN模型對(duì)交換機(jī)端口隔離，從根本上解決了終端設(shè)備廣播報(bào)文引起的安全威脅和網(wǎng)絡(luò)攻擊。從系統(tǒng)性能上來(lái)講，非對(duì)稱(chēng)VLAN模型實(shí)現(xiàn)了終端設(shè)備在數(shù)據(jù)鏈層面的完全隔離，不再局限于針對(duì)具體上層協(xié)議防護(hù)網(wǎng)絡(luò)攻擊，也無(wú)須分析具體協(xié)議額外占用交換機(jī)系統(tǒng)性能。從網(wǎng)絡(luò)管理角度來(lái)講，這避免了為交換機(jī)配置各種額外功能的復(fù)雜度，簡(jiǎn)化了網(wǎng)絡(luò)管理。最后，使用人員不必更換早期部署的設(shè)備，就能支持ARP防護(hù)和DHCP Snooping等高級(jí)功能，延長(zhǎng)了原有設(shè)備的生命周期。

筆者將學(xué)校網(wǎng)絡(luò)按照區(qū)域劃分為公網(wǎng)、內(nèi)網(wǎng)，辦公區(qū)和教學(xué)區(qū);按照功能劃分為財(cái)務(wù)、一卡通、WEB服務(wù)器、應(yīng)用服務(wù)器等，并分別配置了防火墻，設(shè)置了防火墻過(guò)濾規(guī)則，對(duì)訪(fǎng)問(wèn)的IP地址、端口號(hào)、通信協(xié)議等進(jìn)行審核，利用SSL協(xié)議保證公共網(wǎng)絡(luò)安全，通過(guò)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)控，識(shí)別校園網(wǎng)非法訪(fǎng)問(wèn)行為，向管理員發(fā)出預(yù)警，并主動(dòng)防御并留存證據(jù)，再將數(shù)據(jù)統(tǒng)計(jì)后，把分析結(jié)果反饋給控制中心，極大地減小了系統(tǒng)管理員負(fù)擔(dān)。

隨著辦公系統(tǒng)的運(yùn)用，教師外出時(shí)依然需要訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，這就用到了VPN技術(shù)?，F(xiàn)在滄州職業(yè)技術(shù)學(xué)院給學(xué)院各級(jí)領(lǐng)導(dǎo)都賦予了VPN權(quán)限，他們無(wú)論何時(shí)何地都可以輕松批閱公文，極大地提高了辦事效率。

網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)是一個(gè)比較新穎的技術(shù)，通過(guò)采集防火墻、交換機(jī)、上網(wǎng)行為管理等硬件設(shè)備，以及各管理平臺(tái)等軟件的事件信息，進(jìn)行深度分析和數(shù)據(jù)挖掘，識(shí)別網(wǎng)絡(luò)安全事件的關(guān)鍵信息，并進(jìn)行可視化展示。在可視化界面中，系統(tǒng)管理員可以追逐某個(gè)事件的源頭，并進(jìn)行處置，也可以對(duì)曲線(xiàn)圖某點(diǎn)反映出的問(wèn)題加以分析，解決以往網(wǎng)絡(luò)事件孤立、難以進(jìn)行全局分析，且需要其他安全軟件追蹤的問(wèn)題。

三、結(jié)語(yǔ)

總的來(lái)看，滄州職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)安全整體態(tài)勢(shì)良好，但仍有很多不足，如沒(méi)有定期、全面的檢查網(wǎng)絡(luò)安全，沒(méi)有進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)，并且二層路由器的存在給網(wǎng)絡(luò)管理造成了很大的困擾，再加上沒(méi)有統(tǒng)一的郵件管理系統(tǒng)，網(wǎng)絡(luò)設(shè)備冗余不足，機(jī)房環(huán)境改造還未實(shí)施，數(shù)據(jù)備份工作簡(jiǎn)單，虛擬化還沒(méi)有實(shí)施等。所以說(shuō)，網(wǎng)絡(luò)安全工作任重而道遠(yuǎn)。

參考文獻(xiàn)：

[1]朱亮.職業(yè)院校網(wǎng)絡(luò)安全應(yīng)用技術(shù)與安全策略分析[J].信息通信，2018，（10）.

※本文系河北省滄州市科技局科研項(xiàng)目，項(xiàng)目名稱(chēng)：滄州職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全探究，項(xiàng)目編號(hào)：183103011。

（作者單位：滄州職業(yè)技術(shù)學(xué)院）