洪曉藝

摘 要：在網(wǎng)絡(luò)技術(shù)日益發(fā)展的今天，高職院校的校園網(wǎng)已經(jīng)深入到教職工以及學(xué)生工作和學(xué)習(xí)生活的方方面面，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也成為高職院校校園網(wǎng)面臨的主要問(wèn)題。特別是網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)病毒的安全威脅，不僅造成了眾多數(shù)據(jù)的丟失，還經(jīng)常使網(wǎng)絡(luò)癱瘓，嚴(yán)重影響整個(gè)校園網(wǎng)的使用。不管是校園網(wǎng)的使用者還是網(wǎng)絡(luò)安全的管理人員，都迫切需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)使用環(huán)境，所以，構(gòu)建一個(gè)安全系數(shù)高的校園網(wǎng)環(huán)境，已經(jīng)成為眾多高職院校網(wǎng)絡(luò)建設(shè)的終極目標(biāo)。

關(guān)鍵詞：高職院校；校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵；網(wǎng)絡(luò)病毒

高職院校的校園網(wǎng)目前成為在校師生工作和學(xué)習(xí)的重要途徑之一，隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，校園網(wǎng)的速度已經(jīng)變得越來(lái)越快，覆蓋面也變得越來(lái)越廣，但是安全方面的問(wèn)題也變得越來(lái)越多。重要數(shù)據(jù)的丟失以及網(wǎng)絡(luò)的癱瘓給使用校園網(wǎng)的師生帶來(lái)了巨大的影響，所以，迫切需要構(gòu)建一個(gè)有安全保障的校園網(wǎng)，來(lái)保障師生的工作和學(xué)習(xí)。下面就從幾個(gè)方面分析如何構(gòu)建一個(gè)安全系數(shù)高、性能穩(wěn)定的校園網(wǎng)。

1 高職院校校園網(wǎng)的概況

網(wǎng)絡(luò)安全主要包括信息傳輸?shù)臋C(jī)密性、完整性以及可用性和可鑒別性，只有滿足了這幾個(gè)條件，才能說(shuō)明校園網(wǎng)是安全可靠的。但是，實(shí)際的校園網(wǎng)還達(dá)不到上述幾個(gè)方面的要求，高職院校的校園網(wǎng)更是如此。

1.1 高職院校校園網(wǎng)的安全現(xiàn)狀

從多所高職院校了解到，近年來(lái)，高職院校的校園網(wǎng)已經(jīng)普及，相關(guān)配套的網(wǎng)絡(luò)設(shè)施也是應(yīng)有盡有，設(shè)備更新?lián)Q代也能跟上互聯(lián)網(wǎng)發(fā)展的步伐，各種院系所在的辦公場(chǎng)所也實(shí)現(xiàn)了千兆網(wǎng)帶的接入，內(nèi)部也都實(shí)現(xiàn)了無(wú)紙化的辦公以及教職工教學(xué)相關(guān)資源的構(gòu)建和共享，對(duì)外與互聯(lián)網(wǎng)以及教育部的相關(guān)網(wǎng)站也進(jìn)行了對(duì)接。盡管每所高職院校都有自己的信息管理部門，但是依然存在大量不可預(yù)料的網(wǎng)絡(luò)安全問(wèn)題[1]。

1.2 高職院校校園網(wǎng)的安全隱患

從近年來(lái)發(fā)生校園網(wǎng)安全事件來(lái)看，目前，其主要面臨的安全隱患有網(wǎng)絡(luò)入侵、木馬病毒、拒絕服務(wù)攻擊以及部分軟件的安全漏洞等[2]。其中，網(wǎng)絡(luò)入侵事件較多，主要是未經(jīng)合法授權(quán)，讀取相關(guān)文件或數(shù)據(jù)，從而給相關(guān)部門數(shù)據(jù)的保密性帶來(lái)了巨大的影響。另外，還有部分漏洞偶爾造成網(wǎng)絡(luò)的堵塞和癱瘓，也給校園網(wǎng)的正常運(yùn)作帶來(lái)不小的影響。近年來(lái)，拒絕服務(wù)攻擊的發(fā)生概率有所下降，這一點(diǎn)已經(jīng)給校園網(wǎng)減少了部分安全防護(hù)工作的壓力。

2 構(gòu)建安全的校園網(wǎng)防御體系

根據(jù)校園網(wǎng)建設(shè)的應(yīng)用環(huán)境，普通的高職院校校園網(wǎng)一般都要采取三層架構(gòu)進(jìn)行分布式設(shè)置。在主干線路上借助路由器進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)，使用開(kāi)放最短路徑優(yōu)先（Open Shortest Path First，OSPF）動(dòng)態(tài)路由協(xié)議，從而避免廣播流量占用部分帶寬，采用千兆光纖作為通信介質(zhì)來(lái)實(shí)現(xiàn)核心層到匯聚層的數(shù)據(jù)交換；在樓宇內(nèi)的匯聚層，使用具有路由功能的交換機(jī)來(lái)實(shí)現(xiàn)接入層的連接，采用千兆雙絞線作為通向接入層的通信介質(zhì)；對(duì)于連通各個(gè)教室和辦公室接入端的各個(gè)樓層，則采用百兆雙絞線作為傳輸介質(zhì)。通往外界的互聯(lián)網(wǎng)出口是通過(guò)核心路由器來(lái)實(shí)現(xiàn)的，如何保證外網(wǎng)的安全隱患不進(jìn)入內(nèi)網(wǎng)，保障校園網(wǎng)的安全，則需要借助相關(guān)的網(wǎng)絡(luò)安全技術(shù)來(lái)實(shí)現(xiàn)。

2.1 防火墻的部署

眾所周知，防止外網(wǎng)攻擊的防火墻，在維護(hù)校園網(wǎng)安全方面也是行之有效的，這主要依靠防火墻的下述功能來(lái)實(shí)現(xiàn)：（1）防火墻的高級(jí)認(rèn)證手段保證只有通過(guò)認(rèn)證的用戶才可以通過(guò)防火墻進(jìn)行授權(quán)訪問(wèn)。（2）防火墻的主機(jī)服務(wù)過(guò)濾技術(shù)決定了是否要給授權(quán)訪問(wèn)用戶提供相應(yīng)的主機(jī)服務(wù)。（3）防火墻保護(hù)本地站點(diǎn)的公共訪問(wèn)服務(wù)器功能，可以將其他應(yīng)用隔離開(kāi)來(lái)，從而提高本地站點(diǎn)的安全性能[3-4]。除此以外，防火墻的安全策略也具備與時(shí)俱進(jìn)的實(shí)時(shí)變化，服務(wù)變了、需要變了，安全策略會(huì)隨之而變。每發(fā)現(xiàn)一個(gè)安全方面的問(wèn)題，就是給防火墻部署和配置帶來(lái)挑戰(zhàn)，要想讓防火墻穩(wěn)定地工作，其靈活性和可擴(kuò)展性是必不可少的。

2.2 入侵防御系統(tǒng)的部署

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）作為入侵防御系統(tǒng)（Intrusion Prevention System，IPS）的前身，主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊的被動(dòng)檢測(cè)，不能針對(duì)隨時(shí)變化的安全隱患進(jìn)行實(shí)時(shí)阻止，因此，IPS隨之取代了IDS，成為目前校園網(wǎng)安全的守護(hù)者。首先，根據(jù)報(bào)頭和流信息分析結(jié)果，對(duì)數(shù)據(jù)包進(jìn)行分類，其中直接識(shí)別出來(lái)的惡意數(shù)據(jù)包被執(zhí)行丟棄處理，沒(méi)有直接識(shí)別出來(lái)的進(jìn)行大規(guī)模、深層次的檢查和過(guò)濾。根據(jù)數(shù)據(jù)包中分析出來(lái)的分類信息，利用過(guò)濾器來(lái)檢查數(shù)據(jù)包中的流狀態(tài)信息，這些過(guò)濾器同時(shí)對(duì)所有的數(shù)據(jù)包進(jìn)行二次檢測(cè)、匹配，如果符合要求，則標(biāo)注為命中，然后將其丟棄，與之相關(guān)的流狀態(tài)信息也會(huì)重新更新，同時(shí)，指示系統(tǒng)丟棄該流中的全部?jī)?nèi)容。作為防火墻有力補(bǔ)充的IPS，其在校園網(wǎng)安全系統(tǒng)構(gòu)建中是必不可少的，一般情況下需要把IPS部署在防火墻和核心交換機(jī)的中間，通過(guò)對(duì)上行或下行中的網(wǎng)絡(luò)行為進(jìn)行分析研究，根據(jù)提前制定好的安全策略，阻止非法的、不正常的行為進(jìn)入校園網(wǎng)系統(tǒng)[5-6]。比如，天清入侵防御系統(tǒng)就是一套非常不錯(cuò)的網(wǎng)絡(luò)入侵防御系統(tǒng)，可以考慮應(yīng)用到高職院校的校園網(wǎng)安全防護(hù)系統(tǒng)之中。

2.3 虛擬局域網(wǎng)的設(shè)置

為了提高校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全性和提升校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的性能，眾多高校都會(huì)選擇使用虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）技術(shù)，這種技術(shù)也是企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用最多的技術(shù)[7-8]。其不但可以處理企業(yè)內(nèi)部網(wǎng)絡(luò)由廣播風(fēng)暴造成的網(wǎng)絡(luò)堵塞問(wèn)題，也可以對(duì)內(nèi)部網(wǎng)絡(luò)中小局域網(wǎng)之間的通信進(jìn)行限速或制約。對(duì)于高職院校的校園網(wǎng)來(lái)講，可以采取靜態(tài)的VLAN來(lái)解決校園網(wǎng)中重要網(wǎng)段的特別保護(hù)問(wèn)題，這樣既利用了現(xiàn)有的網(wǎng)絡(luò)資源，又減少了不必要的開(kāi)銷，更重要的是避免了廣播風(fēng)暴在局域網(wǎng)中的爆發(fā)，從而提升網(wǎng)絡(luò)的穩(wěn)定性。一般校園網(wǎng)使用VLAN都是依據(jù)交換機(jī)的端口來(lái)進(jìn)行劃分的，這種劃分簡(jiǎn)單易行，易于維護(hù)。

2.4 制定相關(guān)的網(wǎng)絡(luò)安全管理制度

為了維護(hù)校園網(wǎng)安全、穩(wěn)定的運(yùn)行，使用者也要制定配套的網(wǎng)絡(luò)安全管理制度[9]。只有強(qiáng)化了安全使用規(guī)章制度，使用者才能合理地運(yùn)用校園網(wǎng)，做到人人維護(hù)校園網(wǎng)，不在校園網(wǎng)上做出非法的行為。同時(shí)，也要建立相關(guān)的網(wǎng)絡(luò)運(yùn)維中心，專門負(fù)責(zé)校園網(wǎng)的安全問(wèn)題，要不斷提升運(yùn)維中心工作人員的業(yè)務(wù)素質(zhì)，確保能在出現(xiàn)問(wèn)題的第一時(shí)間去分析、研究并解決問(wèn)題。在寒暑假期間，也可以對(duì)他們進(jìn)行培訓(xùn)或外派學(xué)習(xí)相關(guān)的網(wǎng)絡(luò)安全知識(shí)，如果有可能，最好與相關(guān)的網(wǎng)絡(luò)公司進(jìn)行實(shí)地溝通和交流。

3 結(jié)語(yǔ)

高職院校校園網(wǎng)面臨的最大問(wèn)題依然是網(wǎng)絡(luò)安全問(wèn)題，不同院校的網(wǎng)絡(luò)安全問(wèn)題也不盡相同，所以，還需要結(jié)合各個(gè)高職院校校園網(wǎng)的實(shí)際情況進(jìn)行分析和研究，制定行之有效的解決方案。對(duì)于以上提到的4步解決方案，基本上可以適應(yīng)目前高職院校校園網(wǎng)的大部分安全問(wèn)題，不管出現(xiàn)什么樣的網(wǎng)絡(luò)問(wèn)題，都需要根據(jù)以上4個(gè)步驟，從防火墻部署開(kāi)始，IPS為重要補(bǔ)充，應(yīng)用虛擬VLAN技術(shù)來(lái)實(shí)現(xiàn)校園網(wǎng)的安全穩(wěn)定運(yùn)行。

[參考文獻(xiàn)]

[1] 楊超.高職院校校園網(wǎng)絡(luò)信息安全建設(shè)探索與改進(jìn)[J].電腦知識(shí)與技術(shù)，2020（4）：22-23.

[2] 王化.高職院校校園網(wǎng)絡(luò)安全技術(shù)解析[J].數(shù)字通信世界，2020（2）：262.

[3] 劉凌飛.高職院校校園網(wǎng)絡(luò)安全防御體系的研究與設(shè)計(jì)[D].蘭州：西北師范大學(xué)，2015.

[4] 劉穎.高職院校校園網(wǎng)絡(luò)安全的現(xiàn)狀與對(duì)策研究[J].電腦知識(shí)與技術(shù)，2019（35）：16-17.

[5] 顏光.某高職院校校園網(wǎng)改造方案的設(shè)計(jì)與實(shí)施[D].南京：南京郵電大學(xué)，2018.

[6] 陳海紅.高職院校數(shù)字化校園網(wǎng)絡(luò)安全與防御對(duì)策[J].信息通信，2019（7）：114-115.

[7] 鄧國(guó)記.“互聯(lián)網(wǎng)+”時(shí)代下高職院校校園網(wǎng)絡(luò)安全策略研究[J].遼寧師專學(xué)報(bào)（自然科學(xué)版），2019（2）：16-19.

[8] 陳英英.X職業(yè)技術(shù)學(xué)院校園安全管理問(wèn)題與對(duì)策研究[D].石家莊：河北師范大學(xué)，2019.

[9] 楊學(xué)利.高職院校數(shù)字化校園網(wǎng)絡(luò)安全及其防御策略[J].計(jì)算機(jī)產(chǎn)品與流通，2018（1）：226.

Research on network security system of higher vocational colleges

Hong Xiaoyi

（Xinxiang Vocational and Technical College， Xinxiang 453006， China）

Abstract：With the rapid development of network technology， the campus network of higher vocational colleges has penetrated into all aspects of working and learning life for staff and students， and the following network security problems have become the main problems faced by the campus network of higher vocational colleges. In particular， the security threats of network intrusion and network virus not only cause the loss of a lot of data， but also often make the network paralyzed， which has a serious impact on the use of the whole campus network. Both the users of campus network and the managers of network security urgently need a safe and stable network use environment， so build a campus network environment with high security coefficient has become the ultimate goal of network construction in many higher vocational colleges.

Key words：higher vocational colleges； campus network； network security； network intrusion； network virus