高校校園網(wǎng)絡(luò)安全技術(shù)淺析

■大連外國(guó)語大學(xué) 嚴(yán)軍鵬

高校校園網(wǎng)絡(luò)安全技術(shù)淺析

■大連外國(guó)語大學(xué) 嚴(yán)軍鵬

1.高校校園網(wǎng)絡(luò)安全分析

隨著電子產(chǎn)品的不斷更新，高校校園網(wǎng)絡(luò)發(fā)展迅猛。針對(duì)高校校園網(wǎng)絡(luò)安全來說，電子產(chǎn)品、計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備都具有脆弱性，它們共同構(gòu)成了高校校園網(wǎng)絡(luò)的不安全因素，形成潛在威脅。高校校園網(wǎng)絡(luò)安全是一門非常復(fù)雜繁瑣的技術(shù)，在此，本文從高校校園網(wǎng)絡(luò)的自身出發(fā)來研究和分析校園網(wǎng)絡(luò)安全問題。

（1）高校校園網(wǎng)絡(luò)與安全風(fēng)險(xiǎn)

高校校園網(wǎng)絡(luò)提供各種信息，包括校園新聞、學(xué)生成績(jī)查詢、各種資訊等等，是一種提供綜合信息服務(wù)的網(wǎng)絡(luò)，具有很強(qiáng)的開放性，同時(shí)也要有很強(qiáng)的保密性。高校校園網(wǎng)絡(luò)一般采用TCP／IP協(xié)議，本文以TCP／IP協(xié)議網(wǎng)絡(luò)模型來分析高校校園網(wǎng)絡(luò)的安全，其風(fēng)險(xiǎn)可能存在的環(huán)節(jié)見表1。

表1 TCP／IP協(xié)議網(wǎng)絡(luò)模型下可能存在安全風(fēng)險(xiǎn)的環(huán)節(jié)

?

從上表可以看出，高校校園網(wǎng)絡(luò)分為物理層、網(wǎng)絡(luò)層、傳輸層、數(shù)據(jù)鏈四個(gè)層次，每個(gè)層次都存在安全風(fēng)險(xiǎn)的環(huán)節(jié)，高校校園網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)也是由各層次環(huán)節(jié)的安全風(fēng)險(xiǎn)綜合產(chǎn)生的，比如數(shù)據(jù)傳輸過程中的竊聽、IP偽裝、病毒攻擊等等，因此高校校園網(wǎng)絡(luò)系統(tǒng)的安全措施是一項(xiàng)負(fù)責(zé)而又繁瑣的綜合措施。

（2）高校校園網(wǎng)絡(luò)與安全風(fēng)險(xiǎn)的關(guān)系

高校校園網(wǎng)絡(luò)的特點(diǎn)是集中與分布相結(jié)合，其網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)主要存在于上表的位置。

（3）高校校園網(wǎng)絡(luò)安全危險(xiǎn)的說明

高校校園網(wǎng)絡(luò)可分為受控區(qū)域和不受控區(qū)域，受控區(qū)域是指高校校園網(wǎng)絡(luò)系統(tǒng)中，可由高校校園網(wǎng)絡(luò)的管理員直接可進(jìn)行管理的區(qū)域，包括校園網(wǎng)頁(yè)、各系部網(wǎng)頁(yè)等等；不受控區(qū)域是指不受高校校園網(wǎng)絡(luò)管理員管理的區(qū)域，比如學(xué)生論壇、網(wǎng)絡(luò)經(jīng)銷商提供的傳輸系統(tǒng)等等。

高校校園網(wǎng)絡(luò)受控區(qū)域的安全風(fēng)險(xiǎn)一般有：校園網(wǎng)頁(yè)受到學(xué)生、教師的攻擊；數(shù)據(jù)在網(wǎng)內(nèi)傳輸過程中被竊聽、截留等。物理層方面，數(shù)據(jù)傳輸?shù)木€路要防止被人竊聽；網(wǎng)絡(luò)層方面，IP的分配一般是動(dòng)態(tài)的，由OSPF來實(shí)現(xiàn)的，要防止認(rèn)為偽造OSPF路由更新信息；數(shù)據(jù)鏈方面，網(wǎng)絡(luò)設(shè)備是通過MAC地址來標(biāo)識(shí)通信的來源與目的，切勿將網(wǎng)卡設(shè)為“混雜”狀態(tài)，防止網(wǎng)上數(shù)據(jù)被偵聽。

高校校園網(wǎng)絡(luò)非受控區(qū)域的安全風(fēng)險(xiǎn)一般有：物理層和數(shù)據(jù)鏈方面的線路竊聽、撥號(hào)攻擊等；IP控制方面必須使用加密方式，防止被攻擊；外部攻擊方面要做好多重措施的防范，在管理與技術(shù)方面加強(qiáng)管理。

2.高校校園網(wǎng)絡(luò)安全的對(duì)策

從高校校園網(wǎng)絡(luò)的根本出發(fā)，針對(duì)各個(gè)層次的不安全環(huán)節(jié)提出高校網(wǎng)絡(luò)安全的解決方案。

①高校校園網(wǎng)絡(luò)的布線系統(tǒng)：加強(qiáng)高校校園網(wǎng)絡(luò)布線系統(tǒng)的管理；

②傳輸介質(zhì)：在高校校園網(wǎng)絡(luò)布線中使用光纜；

③撥號(hào)備份：在撥號(hào)過程中使用認(rèn)證功能；

④IP分配：使用最優(yōu)化的IP分配方案，采用訪問控制技術(shù)；

⑤數(shù)據(jù)傳輸：在數(shù)據(jù)傳輸過程用使用加密；

⑥IP路由：控制路由技術(shù)

⑦設(shè)備管理：加強(qiáng)連接設(shè)備的管理，嚴(yán)格控制主機(jī)和終端。

3.高校校園網(wǎng)絡(luò)安全的設(shè)計(jì)方案

高校校園網(wǎng)絡(luò)的設(shè)計(jì)方案中可采用以下措施進(jìn)行安全防護(hù)。

（1）DMZ和防火墻的安裝

由下面高校校園網(wǎng)絡(luò)工作示意圖可以看出，外部的攻擊想要進(jìn)入高校校園網(wǎng)絡(luò)的內(nèi)網(wǎng)服務(wù)器必須首先攻破DMZ的三個(gè)關(guān)卡，需要的時(shí)間較長(zhǎng)，如果管理員能夠發(fā)現(xiàn)及時(shí)，可以進(jìn)行補(bǔ)救，也就是說DMZ是高校校園網(wǎng)絡(luò)的外部防火墻。此外，在數(shù)據(jù)庫(kù)服務(wù)器前段加上防火墻，這樣就給高校校園網(wǎng)絡(luò)加上了雙層保護(hù)，即便外部攻擊已經(jīng)成功，也不至于馬上危及到數(shù)據(jù)庫(kù)服務(wù)器。

（2）IDS（入侵檢測(cè)系統(tǒng)）的安裝

安裝入侵檢測(cè)系統(tǒng)后，它在后臺(tái)運(yùn)行，不間斷的對(duì)高校校園網(wǎng)絡(luò)的通訊和系統(tǒng)日志進(jìn)行監(jiān)視，能夠及時(shí)發(fā)現(xiàn)外部入侵，通過管理分析，查找問題進(jìn)行補(bǔ)救。對(duì)系統(tǒng)的入侵有外部的，也有內(nèi)部的，在攻擊過程中，攻擊者都會(huì)留下一些痕跡，IDS系統(tǒng)可以及時(shí)捕捉到入侵痕跡，從而可以讓管理員采取措施。

（3）對(duì)遠(yuǎn)程訪問的安全控制

由于特殊原因，高校校園網(wǎng)絡(luò)系統(tǒng)需要允許外部用戶遠(yuǎn)程訪問，比如：在線教育的學(xué)員需采用撥號(hào)上網(wǎng)方式，對(duì)于該種上網(wǎng)方式其安全性必須包含認(rèn)證和授權(quán)兩個(gè)步驟進(jìn)行。再比如：在外地出差或者訪學(xué)的教師進(jìn)行訪問也屬于外部用戶遠(yuǎn)程訪問。針對(duì)于遠(yuǎn)程訪問，當(dāng)前用的表較多的接入方式是VPN，即虛擬私用網(wǎng)絡(luò)。VPN在數(shù)據(jù)通信方面采用的是高強(qiáng)度的加密，安全性能強(qiáng)，但是VPN接入的節(jié)點(diǎn)必須專門進(jìn)行有效的管理，防止該節(jié)點(diǎn)被利用，成為攻擊的跳板。因此在VPN接入方式的遠(yuǎn)程訪問下，禁止在高校校園網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)上使用撥號(hào)上網(wǎng)。同時(shí)確保在遠(yuǎn)程訪問過程中，凡是需要保密的材料在傳輸過程中都必須加密。

（4）高校校園網(wǎng)絡(luò)設(shè)備的安全硬化

高校校園網(wǎng)絡(luò)系統(tǒng)的安裝和硬件必須遵循高標(biāo)準(zhǔn)高需求原則，對(duì)高校校園網(wǎng)絡(luò)系統(tǒng)需要的網(wǎng)絡(luò)功能進(jìn)行核查，根據(jù)較高的標(biāo)準(zhǔn)進(jìn)行配置，同事盡可能減少與外界接觸的通道，對(duì)各種數(shù)據(jù)傳輸進(jìn)行加密，對(duì)各種訪問進(jìn)行控制。高校校園網(wǎng)絡(luò)安全硬化的重中之重在于高校校園網(wǎng)絡(luò)操作系統(tǒng)的配置、路由器的配置、交換機(jī)的配置、服務(wù)器的配置等等，只有這些配置達(dá)到了需求，才能確保高校校園網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和安全。

（5）高校校園的各種業(yè)務(wù)實(shí)行分離

高校的業(yè)務(wù)非常廣泛，根據(jù)不同的業(yè)務(wù)、人員等進(jìn)行分類，不同的業(yè)務(wù)都建立自己的局域網(wǎng)絡(luò)，不同的業(yè)務(wù)服務(wù)分配不同的服務(wù)器，都有著自身的防御系統(tǒng)。比如：對(duì)學(xué)生，要有成績(jī)查詢系統(tǒng)、選課系統(tǒng)等等；對(duì)教師，要有開課系統(tǒng)，成績(jī)輸入系統(tǒng)；對(duì)校辦企業(yè)，要有相對(duì)的考核和管理系統(tǒng)；宿舍、餐廳等還要專門的網(wǎng)絡(luò)系統(tǒng)。

（6）加強(qiáng)高校校園網(wǎng)絡(luò)物理層的安全管理

高校校園網(wǎng)絡(luò)的設(shè)施是非常復(fù)雜和重要的，加強(qiáng)對(duì)高校校園網(wǎng)絡(luò)系統(tǒng)主機(jī)、交換機(jī)、路由器、線路等各種硬件設(shè)施的管理，防止設(shè)施被破壞、偷竊、非發(fā)接入等等。

（7）高校校園網(wǎng)絡(luò)實(shí)行機(jī)構(gòu)分隔

高校的職能部門很多，有處室、教學(xué)系部、學(xué)生管理中心、后勤管理中心等等，他們都具有不同的職責(zé)，因此各部門需要的資源不太相同，所需要的網(wǎng)絡(luò)也不盡相同，所以高校校園網(wǎng)絡(luò)的機(jī)密信息僅供特殊部門使用，公共的信息和資源能夠被所有部門和處室查看。因此，實(shí)行高校校園網(wǎng)絡(luò)的機(jī)構(gòu)分隔是非常有必要的。高校校園網(wǎng)絡(luò)的機(jī)構(gòu)分隔是水平分隔，即各部分之間的分隔，數(shù)據(jù)在傳輸過程中必須經(jīng)過同一交換機(jī)，這樣的高校校園網(wǎng)絡(luò)更加安全穩(wěn)定。

（8）對(duì)高校校園網(wǎng)絡(luò)進(jìn)行定期測(cè)試，以確定安全性，及時(shí)采取補(bǔ)救措施

高校校園網(wǎng)絡(luò)必須經(jīng)常進(jìn)行系統(tǒng)的安全測(cè)試，查找系統(tǒng)的漏洞和不足，采用各種工具和方法進(jìn)行補(bǔ)救，要每天都要有記錄，對(duì)其網(wǎng)絡(luò)系統(tǒng)的管理進(jìn)行評(píng)價(jià)，查找不足，對(duì)已知的漏洞或者補(bǔ)丁及時(shí)更新，對(duì)于不能解決的問題要及時(shí)上報(bào)。

高校校園網(wǎng)絡(luò)的安全問題是一項(xiàng)系統(tǒng)的工程，在設(shè)計(jì)網(wǎng)絡(luò)安全方案和措施時(shí)要全面考慮整個(gè)校園網(wǎng)絡(luò)，要涉及到各個(gè)方面，兼顧各種資源的配備，進(jìn)行詳細(xì)的規(guī)劃，逐步完善安全防御體系，進(jìn)行不安全因素追蹤記錄。

高校校園網(wǎng)絡(luò)的安全問題是一個(gè)永無終止的工作，要求高校必須不斷改進(jìn)，加強(qiáng)管理，增強(qiáng)技術(shù)，堅(jiān)持不懈，及時(shí)更新網(wǎng)絡(luò)設(shè)施，確保校園網(wǎng)絡(luò)的安全。