張志源

（晉城職業(yè)技術學院 山西省晉城市 048000）

近年來，計算機網(wǎng)絡安全相關專業(yè)已成為熱門專業(yè)，在此熱潮下，大學計算機網(wǎng)絡課程也逐漸被眾多高校相關專業(yè)師生重視起來。與此同時，大學校園網(wǎng)絡安全管理中存在的許多問題也暴露出來。為解決這一系列問題，就需要網(wǎng)絡開發(fā)建設者用長遠的眼光思考網(wǎng)絡軟硬件的安全性和生存周期。

1 職業(yè)院校校園網(wǎng)絡的特點

1.1 校園網(wǎng)絡構成復雜且龐大，硬件設備繁多

通過剖析網(wǎng)絡功能的構成，可以將其簡單歸結為接入層、核心層和匯聚層。其中包含路由器、防火墻、交換器等眾多設備。

1.2 網(wǎng)絡接口繁多

一般由Cernet、Internet等互聯(lián)組成。

1.3 組成較為復雜

學校的網(wǎng)絡具有其突出特點，一般包含教學通用部分、行政辦公部分、學生應用部分等眾多功能。對于不同的應用環(huán)境和用途，對網(wǎng)絡的性能要求也有所不同。對于教學部分需要較高的安全性，同時，要求各接口要資源共享；對于學生應用部分則只需保證高速性即可，對于其他部分要根據(jù)其辦公特色進行需求分析，再進行功能設計。

1.4 功能系統(tǒng)多種多樣

為滿足各部門的應用需求，網(wǎng)絡系統(tǒng)需設置不同的軟件系統(tǒng)來實現(xiàn)相關功能。當然，對于不同部門的功能需求，網(wǎng)絡系統(tǒng)具有專一性。例如，圖書管理系統(tǒng)、學生選課系統(tǒng)、后勤財務系統(tǒng)等，都有其對應功能的專一系統(tǒng)進行技術實現(xiàn)。在滿足各種需求的同時還要進行各系統(tǒng)之間的交流與聯(lián)系的設計。

2 安全風險分析

2.1 數(shù)據(jù)傳輸風險分析

數(shù)據(jù)傳輸是網(wǎng)絡進行信息交互的基本實現(xiàn)形式。但是，網(wǎng)絡存在眾多不確定因素，數(shù)據(jù)丟失、被改寫或監(jiān)聽的風險較大，所以，為保證數(shù)據(jù)在傳輸過程中的安全性，需要進行高級安全防范操作。主要威脅有以下幾種：

（1）一般網(wǎng)絡使用者都會選擇用硬件設備進行接入，以獲取較多服務；

（2）通過不正確安全的方法來獲取網(wǎng)絡資源，如修改假冒MAC、IP地址等；

（3）網(wǎng)絡邊界風險分析；

為區(qū)分部門工作，校園網(wǎng)被劃分成眾多小局域網(wǎng)，布局結構更加復雜，同時局域網(wǎng)之間存在邊界，這種邊界也是網(wǎng)絡風險存在的主要陣地之一。為保證網(wǎng)絡互通的安全性能，阻擋非法訪問和非法入侵行為，就需要加強邊界的網(wǎng)絡控制力?？梢酝ㄟ^增設功能強大的邊界控制設備，降低網(wǎng)絡威脅。

2.2 網(wǎng)絡設備風險分析

校園網(wǎng)絡構成復雜，系統(tǒng)龐大，由眾多硬件作基礎支撐。所以，在校園網(wǎng)絡系統(tǒng)中存在眾多硬件設備，包括路由器、交換機等基礎設備，這些設備保證系統(tǒng)高效工作的同時，還能檢測網(wǎng)絡出現(xiàn)的部分問題。若出現(xiàn)網(wǎng)絡鏈路傳輸或信息丟失等問題，一般是設備出現(xiàn)了故障；又或者設備設置存在技術問題，也會引起嚴重后果。

2.3 系統(tǒng)安全風險

網(wǎng)絡用戶和管理者使用的系統(tǒng)一般包括操作系統(tǒng)、數(shù)據(jù)庫等軟硬件。對于這些系統(tǒng)，漏洞和病毒是威脅其安全的主要元素之一，同時，不可忽視的還有不正確操作的人為破壞。在高校計算機相關專業(yè)都會開設操作系統(tǒng)方向的課程，學習環(huán)境一般以免費或盜版的Windows和Unix為主要學習系統(tǒng)，不具有長期維護的保護措施，既不進行定期的升級也不進行補丁的安裝，經(jīng)常會引起用戶被入侵或攻擊的情況發(fā)生。

2.4 應用層安全風險

校園網(wǎng)絡服務種類眾多，對于職業(yè)院校來說，常見的網(wǎng)絡服務有：文件服務、數(shù)據(jù)服務等，這些方面也是容易存在網(wǎng)絡安全威脅的地方，如：

（1）當前，WEB服務是受威脅較多的網(wǎng)絡服務之一，當然，由于一些非法使用者的存在，其他服務也具有潛在的威脅。

（2）學生是個構成復雜的龐大群體，會存在一些不自律的學生不能夠正確使用網(wǎng)絡工具，違規(guī)瀏覽各種網(wǎng)絡信息。同時，網(wǎng)絡監(jiān)管體系對于數(shù)量眾多的師生群體存在監(jiān)管能力不足的情況。這一系列情況都是導致校園網(wǎng)絡安全受到威脅的因素。同時也會影響正常使用者的網(wǎng)絡體驗。

3 安全需求分析

3.1 網(wǎng)絡攻擊防御需求

內(nèi)部網(wǎng)絡攻擊與外部網(wǎng)絡攻擊是網(wǎng)絡攻擊的兩種方式。對于防范職業(yè)院校的網(wǎng)絡攻擊也要從這兩方面入手。防范網(wǎng)絡攻擊是保障校園網(wǎng)絡健康良好使用的保障，在開展防范網(wǎng)絡攻擊活動時，要先從防范外部網(wǎng)絡攻擊入手，通過軟硬件設備來監(jiān)控數(shù)據(jù)，進而實施隔離風險的操作。另外，還要對內(nèi)部網(wǎng)絡監(jiān)控IP地址，檢查地址的真實性，因為內(nèi)部網(wǎng)絡是通過地址轉換成公有地址后與外界進行數(shù)據(jù)交換的，所以，確定網(wǎng)絡地址的真實性是防止不法分子進行網(wǎng)絡攻擊的重要手段。同時，為加強校園網(wǎng)絡數(shù)據(jù)的安全性，可以適當增設數(shù)據(jù)加密、網(wǎng)絡控制平臺系統(tǒng)、遠程控制系統(tǒng)等的應用。另外，數(shù)據(jù)安全協(xié)議系統(tǒng)也具有較高的可靠性，可以進一步降低數(shù)據(jù)在傳輸過程中被竊取的可能性。為加強網(wǎng)絡安全，提升校園網(wǎng)絡暢通度，采取流量監(jiān)聽和阻斷惡意流量機制也是不可忽略的有效手段之一，通過監(jiān)聽和分析用戶及系統(tǒng)活動，來判定攻擊活動的時間和性質(zhì)，進而向管理人員發(fā)出警報。管理員可以通過給出的警報，及時進行網(wǎng)絡安全維護。

3.2 系統(tǒng)安全漏洞管理需求

眾多的網(wǎng)絡服務器支撐校園網(wǎng)絡功能的正常實現(xiàn)，需要進行系統(tǒng)的運行、數(shù)據(jù)庫的保存、大量的計算等相關操作。對于應用中的網(wǎng)絡設備和各種功能的操作系統(tǒng)來說，都存在著很大的安全隱患。網(wǎng)絡協(xié)議和安全漏洞給木馬和病毒的入侵和攻擊提供了可乘之機，肆無忌憚的破壞系統(tǒng)、數(shù)據(jù)和協(xié)議等重要信息。對于這些破壞，管理員需要及時進行系統(tǒng)漏洞修復并改正相關錯誤，不然會帶來意想不到的損失。網(wǎng)絡安全的保障需要管理員細心全面的對系統(tǒng)進行維護和管理，同時，需要網(wǎng)絡使用者規(guī)范使用網(wǎng)絡功能。

3.3 網(wǎng)絡防病毒需求

校園網(wǎng)絡已經(jīng)遍布校園的各個角落，使用者可以隨時隨地連接校園網(wǎng)進行使用，校園網(wǎng)絡的普及性也對自身網(wǎng)絡的安全性防護變低，網(wǎng)絡威脅增大。因此，如何降低網(wǎng)絡威脅是校園網(wǎng)維護工作接下來的重點，校園網(wǎng)安全維護工作要從多方面進行考慮，比如校園網(wǎng)的整體結構。在對校園網(wǎng)安全維護時，要注意對公用端口的要求，不能隨意接入公用端口，對公用端口的使用規(guī)則應該要求嚴格，接入時應快速，即使網(wǎng)絡安全性很高，管理者也不能疏于防范，應該建立一個嚴格的網(wǎng)絡病毒防護系統(tǒng)。在現(xiàn)階段的校園網(wǎng)使用者中，大部分用戶因為網(wǎng)絡速度較慢而使用多種方法和軟件來增加網(wǎng)速，這不僅會降低網(wǎng)絡安全性，有時還會造成斷網(wǎng)，出現(xiàn)這種現(xiàn)象是因為網(wǎng)絡中出現(xiàn)了病毒，即ARP地址欺騙，爆發(fā)時向網(wǎng)絡中發(fā)放虛假的ARP包，這是一種木馬病毒，雖沒傳播能力，也不能擴大本身的感染范圍，但是能使校園網(wǎng)斷開連接，用戶不能上網(wǎng)，從而擾亂網(wǎng)絡秩序，網(wǎng)絡的傳輸速度變慢。這種病毒雖然感染范圍較小，但是在爆發(fā)時網(wǎng)絡的連接設備是正常的，所以在前期比其他木馬病毒的潛藏性高，使管理者不容易找到網(wǎng)絡無法正常使用的原因。因此，在對校園網(wǎng)絡安全問題進行研究時，要注意校園網(wǎng)絡的整體性，要從整體出發(fā)，不能從局部簡單下結論。為了應對這種情況，管理者應該具備高水平的專業(yè)技能，對于突發(fā)情況保持鎮(zhèn)靜，制定備選方案，及時應對，對安全方面存在的問題及時解決，加強安全防護，保證整個網(wǎng)絡的正常運轉。

3.4 INTERNET接入用戶控制需求

職業(yè)院校人員復雜，數(shù)量較多，是一個小型社會，在校園內(nèi)設置居住區(qū)，有居住區(qū)就一定會有網(wǎng)絡要求，學院規(guī)定人員應該和上網(wǎng)賬戶一一對應，并制定相應的收費規(guī)則，但是，總是有一小部分人不遵守規(guī)則，進行非法操作，最常見的有兩種情況，一是賬號與使用人員的數(shù)量不匹配，多個人使用同一個賬號進行上網(wǎng)，從而減少上網(wǎng)費用，這就增加了網(wǎng)絡使用者投機取巧的可能性。另一種情況是使用地址欺騙，這部分人中學生占大多數(shù)，相關專業(yè)的學生找到網(wǎng)絡中存在的漏洞和管理者忽略的地方進行攻擊，從而共享上網(wǎng)資源，打破校園中網(wǎng)絡使用規(guī)則。因此，在進行網(wǎng)絡安全防護時，可以引入身份認證體系，在上網(wǎng)時彈出身份認證頁面，從而保障網(wǎng)絡安全使用。

4 安全策略

風險評估在網(wǎng)絡安全中起到巨大的作用。風險評估得到的信息是值得參考的，信息中含有經(jīng)濟價值和使用價值。網(wǎng)絡安全具體體現(xiàn)在訪問權限上，對于各種信息提出要求，一些不健康和不合理的信息，用戶沒有訪問權限。同時，安全策略是網(wǎng)絡安全維護人員進行網(wǎng)絡安全維護的重要指標，網(wǎng)絡安全人員在構建網(wǎng)絡安全環(huán)境時要參考安全策略，結合網(wǎng)絡信息系統(tǒng)存在的漏洞建立并完善更高級的網(wǎng)絡安全系統(tǒng)，在這個過程中，可以采用工程學中包含的方法進行研究。

4.1 物理安全策略

安全策略的首要環(huán)節(jié)是物理安全，包含主機、交換機、路由器、打印機、掃描儀等硬件設備的正常使用以及相關線路問題的維修，避免出現(xiàn)人為破壞造成經(jīng)濟損失；同時，不同的使用者有身份權限的限制，對于不符合自己身份權限的行為，系統(tǒng)會自動進行管理，這是對于使用者的要求；另外，不同的硬件有不同的工作環(huán)境，這對于溫度和濕度的要求極高，在硬件使用時要多加注意；最后，要建立更加完善的安全管理制度，防止有心之人攻擊主機系統(tǒng)。

4.2 網(wǎng)絡隔離策略

安全策略的第二部分內(nèi)容是網(wǎng)絡隔離層略，服務器數(shù)量越少，數(shù)據(jù)安全性越高。因為數(shù)據(jù)的保密要求級別不同，劃分了多個網(wǎng)絡安全層次，從根本上限制數(shù)據(jù)的流動方向，并完善網(wǎng)絡安全架構，減小了惡意入侵的可能性，從而提高校園網(wǎng)的安全性能。在現(xiàn)階段的劃分網(wǎng)絡中主要從三方面進行劃分，即路由器、防火墻和虛擬局域網(wǎng)。

4.3 選用合適軟件的策略

對于軟件的選擇是安全策略的第三部分內(nèi)容，在經(jīng)費允許的情況下，選擇安全性能更高的數(shù)據(jù)庫系統(tǒng)，并利用相關套件提高各個層次的安全性。但是，現(xiàn)階段各個職業(yè)院校經(jīng)費緊張，對網(wǎng)絡方面投入較少，在選擇軟件時，應注意選擇口碑較好的軟件，應用的殺毒軟件和檢測系統(tǒng)應具備國家權威認證，并在安全性能上有一定的保障。

4.4 實行“最小授權”策略

“最小授權”策略是指降低用戶使用網(wǎng)絡的權力，使用身份認證體系，對用戶的服務器配置和賬號密碼提出一定要求，在此基礎上正常使用網(wǎng)絡。因此，管理人員應及時關閉沒有設置的服務網(wǎng)絡和刪除許久未用的用戶名和上網(wǎng)賬號，縮小用戶的使用權限，減小危害網(wǎng)絡信息安全的可能性。

5 結束語

綜上所述，校園網(wǎng)安全管理問題不容小覷，關系到整個網(wǎng)絡體系，校園網(wǎng)絡是否安全決定著職業(yè)院校各項工作能否正常開展，并在人力、物力、財力三方面起著一定的作用，不容忽略。校園網(wǎng)絡做不到絕對的安全，但是和之前使用的網(wǎng)絡相比，網(wǎng)絡安全性已有大幅度提升，管理人員應該熟練運用校園網(wǎng)絡的特點，并對其薄弱環(huán)節(jié)進行加強，制定行之有效的方案，選擇安全性能較高的設備，縮小用戶使用權限，制定相對完善的制度，保障校園網(wǎng)正常運行。