校園網(wǎng)的發(fā)展現(xiàn)狀及安全防御體系的建設探析

李夢曉??

摘要：現(xiàn)今互聯(lián)網(wǎng)在各行業(yè)中的應用更寬更深。高校校園網(wǎng)的建設為實現(xiàn)教學、教務、科研及后勤的信息化管理提供了極大地便利。但同時由于校園網(wǎng)在建設、使用及管理等方面存在很多的安全隱患，需要建立有效的安全防御體系防御校園網(wǎng)存在的威脅。

關鍵字：校園網(wǎng)；系統(tǒng)漏洞；入侵檢測；安全防御體系

中圖分類號：TB文獻標識碼：Adoi：10.19311/j.cnki.16723198.2017.26.087

1引言

互聯(lián)網(wǎng)技術和信息技術已融入教育，為建立開放、共享、交互、協(xié)作的教育教學體系，校園網(wǎng)已成為各大高校建設和發(fā)展的重要基礎設施。然而，各高校校園網(wǎng)規(guī)模的擴大和用戶數(shù)量的上升，在校園網(wǎng)的建設和使用過程中，校園網(wǎng)面臨著內(nèi)部與外部眾多安全隱患，單一的防病毒或入侵檢測技術已經(jīng)不能滿足安全防御的需要，因此要綜合運用各種安全技術建立一個立體化全方位的安全防御體系，才能促進高校實現(xiàn)信息化管理。

2校園網(wǎng)的發(fā)展現(xiàn)狀

2.1校園網(wǎng)建設現(xiàn)狀

（1）校園網(wǎng)的速度快、規(guī)模大。高校校園網(wǎng)的寬帶速度達到了百兆、千兆并實現(xiàn)了整個學校的主干互聯(lián)。校園網(wǎng)的用戶包括教職工和學生，其建設主要投入在辦公室、教室及寢室。

（2）有限的投入，實現(xiàn)統(tǒng)一管理存在困難。校園網(wǎng)的建設需要大量時間，財力及人力的投入，而大多數(shù)高校由于經(jīng)費的不足，將有限的經(jīng)費投在硬件上，忽視了管理和維護方面的投入，通常只有網(wǎng)絡中心的少數(shù)管理維護人員，但他們只能維護網(wǎng)絡的正常運行，而不能兼顧整個校園網(wǎng)的安全問題。學校的計算機除了統(tǒng)一采購的實驗室設備和辦公設備，還有師生自行購買的計算機，其使用的系統(tǒng)及安全防護措施大不相同，使用統(tǒng)一的安全策略是不太可能的。

（3）存在系統(tǒng)漏洞，監(jiān)測系統(tǒng)不健全。系統(tǒng)漏洞對校園網(wǎng)的威脅具有長期性，因為系統(tǒng)的運行會隨著時間的推移不可避免出現(xiàn)不同程度的漏洞。而安全漏洞允許未經(jīng)授權的用戶獲得訪問或提高其訪問權限，為黑客攻擊提供了極大地便利。雖然安全監(jiān)測系統(tǒng)可以避免用戶通過訪問非法站點、傳遞和發(fā)布非法信息行為、濫用網(wǎng)絡資源、泄露敏感信息，是防火墻的有效補充。然而目前校園網(wǎng)絡監(jiān)測系統(tǒng)普遍都不健全，并且病毒的傳播及黑客的攻擊使校園網(wǎng)安全檢測系統(tǒng)的開發(fā)更為困難。同時，校園網(wǎng)建設的有限投入使安全監(jiān)測系統(tǒng)系統(tǒng)的開發(fā)不僅面臨技術的難題，還要面臨經(jīng)費和人力缺乏的難題。

2.2校園網(wǎng)使用現(xiàn)狀

（1）活躍的用戶群體和開放的網(wǎng)絡環(huán)境。學生是校園網(wǎng)最活躍的用戶群體。他們使用校園網(wǎng)進行學習、科研及娛樂。但如果在使用網(wǎng)絡時沒有安全意識，會對校園網(wǎng)造成不可估計的破壞和影響。

（2）版權意識薄弱，盜版資源泛濫?，F(xiàn)在我國對于版權的重視正在逐步加強，但盜版資源的泛濫給網(wǎng)絡安全帶來的重大隱患，同時這些盜版資源的肆意傳播不僅占用了大量的網(wǎng)絡帶寬，特別是影響校園網(wǎng)的流暢及安全運行。

（3）網(wǎng)絡安全意識淡薄，網(wǎng)絡病毒泛濫。校園網(wǎng)用戶安全意識淡薄，不良信息的傳播和大量的非正常訪問不僅導致網(wǎng)絡資源的浪費，而且可能導致網(wǎng)絡病毒的肆虐傳播，影響網(wǎng)絡性能，甚至對計算機的正常使用造成影響。

3校園網(wǎng)安全防御體系建設

3.1物理層的安全防御

物理安全防護是實施其他安全措施的基礎和前提條件。主要包括環(huán)境安全、設備安全、媒介安全。環(huán)境安全主要指受災防護能力和區(qū)域防護能力。選擇合適的場地，合適的環(huán)境作為機房，并通過電子監(jiān)控、物理隔離及門禁訪問制進行區(qū)域保護，建立災難預警，應急處理、恢復的災難保護機制。設備安全主要包括服務器、交換機、路由器和電源等的防盜、防毀、防電磁信息泄露、防線路截獲、抗電磁干擾、電源保護。媒介安全指介質數(shù)據(jù)和介質本身的安全，防止數(shù)據(jù)拷貝、丟失，磁盤消磁。具體的措施有：定期排查計算機所處的溫度、濕度、鼠害及靜電等環(huán)境因素；對存在安全隱患的計算機及時進行更換或維護；在傳輸線、電源線、公共地線加裝濾波器及進出口防輻射處理。

3.2網(wǎng)絡層的安全防御方法

3.2.1利用防火墻技術控制用戶對網(wǎng)絡邊界的訪問

第一，由于硬件防火墻位于路由器的下一層，并且現(xiàn)在的校園網(wǎng)絡一般都采用了百兆或千兆以上的網(wǎng)絡，所以對硬件防火墻的性能要求極高。此外硬件防火墻要具備防黑客攻擊能力及入侵檢測能力，防止來自內(nèi)、外部黑客攻擊的能力，同時由于網(wǎng)絡的快速發(fā)展，一些非法網(wǎng)站層出不窮，硬件防火墻需具有監(jiān)控網(wǎng)絡、禁止訪問非法網(wǎng)站的功能，根據(jù)相關信息屏蔽這些非法網(wǎng)站。第二，軟件防火墻：將軟件部署單機系統(tǒng)或個人計算機的系統(tǒng)主機上，使用軟件系統(tǒng)實現(xiàn)訪問控制、用戶認證和安全管理，其安全性能較差，并占用系統(tǒng)資源，在一定程度上影響系統(tǒng)性能。

3.2.2利用防病毒技術建設防病毒系統(tǒng)

計算機病毒具有寄生性、傳染性、隱蔽性、潛伏性、破壞性等特征，通過各類傳播途徑，直接影響系統(tǒng)效率、占用系統(tǒng)資源，并可能刪除、破壞數(shù)據(jù)。病毒防護系統(tǒng)需考慮Internet網(wǎng)關郵件病毒過濾、服務器病毒防范和傳染控制、各種桌面的病毒防護、防病毒系統(tǒng)管理和防病毒系統(tǒng)的升級。通過加強病毒查殺能力、病毒實時監(jiān)測能力、快速方便的升級能力、系統(tǒng)兼容性與可融合性及智能安裝、遠程識別等建立防病毒系統(tǒng)，對蠕蟲病毒、木馬程序和惡意代碼、郵件病毒、網(wǎng)頁病毒、系統(tǒng)病毒、終端用戶病毒及服務器病毒進行防御。

3.2.3利用網(wǎng)絡入侵檢測技術預防校園網(wǎng)內(nèi)、外合力攻擊

入侵檢測系統(tǒng)（IDS）就像學校的監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)任何危及系統(tǒng)安全的行為，就發(fā)出警告并阻止其行為。入侵檢測系統(tǒng)通過對系統(tǒng)、網(wǎng)絡和用戶數(shù)據(jù)的狀態(tài)等信息的收集，通過模式匹配、統(tǒng)計分析、和完整性分析進行信息分析，識別、發(fā)現(xiàn)計算機網(wǎng)絡中可能存在的不安全行為，并采取相應的防護措施，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。入侵防御系統(tǒng)（IPS）提供對各類攻擊的實時監(jiān)測和防御功能，同時具備訪問控制能力，提供強大的分析和處理能力，可以深入網(wǎng)絡數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，并進行記載，以便事后分析。入侵防御系統(tǒng)是防火墻和防病毒系統(tǒng)的補充。endprint

3.3應用層的安全防御

3.3.1統(tǒng)一的身份認證系統(tǒng)，并對系統(tǒng)安全進行審計

身份認證是指判斷一個用戶身份是否合法的處理過程，同時也是實現(xiàn)校園信息化管理的基礎。校園網(wǎng)的身份認證一般是用戶名和密碼，用戶提供的用戶名和密碼必須和系統(tǒng)中保存的用戶名和密碼一致，通過認證后才能獲得權限之內(nèi)的訪問資源。建立統(tǒng)一的身份認證系統(tǒng)，有效地防止了IP地址的偽造和篡改，避免了信息的泄露和更改，提高了用戶信息的安全性和可靠性。

對內(nèi)網(wǎng)的業(yè)務行為審計是內(nèi)網(wǎng)安全需求的兩大趨勢之一。通過對業(yè)務內(nèi)容的控制，實現(xiàn)對業(yè)務行為的認證、控制和審計；增加內(nèi)網(wǎng)安全審計系統(tǒng)，對不良信息進行有效地監(jiān)控和過濾。管理員通過對安全策略實施的有效診斷及時調(diào)整和改進安全策略。

3.3.2建立安全電子郵件系統(tǒng)

信息化的逐步加深，電子郵件正在深入我們的工作、學習和生活，同時人們對電子郵件系統(tǒng)和服務的安全要求日漸提高。但目前的電子郵件系統(tǒng)面臨著病毒侵擾、垃圾郵件、信息欺騙等安全問題，因此必須建立高準確率和低誤報率的安全電子郵件系統(tǒng)，設立郵件網(wǎng)關、對垃圾郵件進行攔截、過濾，從而保證郵件及時、準確地到達。

3.3.3密碼技術

密碼技術是信息安全的核心技術，是網(wǎng)絡安全的重要基石。采用密碼技術可以實現(xiàn)對傳輸數(shù)據(jù)信息進行加密傳送、完整性驗證、數(shù)字簽名等功能。簡單來說密碼技術就是信息資源的加密，防止信息資源傳送過程中的流失、竊取，而且防止第三方人員的分析、篡改信息資源，保證信息資源在傳送過程中絕對的安全。

3.3.4建立無線網(wǎng)絡監(jiān)控和記錄機制

無線網(wǎng)絡使校園網(wǎng)建設的一部分，用戶訪問行為記錄對無線網(wǎng)絡的安全非常重要，因為無線網(wǎng)絡接入用戶具有很大的移動性和變化性。在無線網(wǎng)絡中加入無線網(wǎng)絡控制器，對用戶進行嚴格的權限分配。進行用戶身份統(tǒng)一認證后，對用戶接入點、交換機及流量管理進行實時監(jiān)控，并記錄用戶名、訪問時間、IP地址、MAC地址等信息，形成記錄日志。通過對記錄日志分析，盡可能避免一些安全隱患、排除故障。

3.3.5數(shù)據(jù)備份和恢復技術

數(shù)據(jù)備份和恢復是提高計算機數(shù)據(jù)安全措施最有效的方法。數(shù)據(jù)備份是通過把數(shù)據(jù)上傳到服務器客戶端數(shù)據(jù)庫存儲，在原數(shù)據(jù)被破壞、丟失或系統(tǒng)發(fā)生故障時，可以及時從服務器下載備份的數(shù)據(jù)，進行數(shù)據(jù)恢復。遵循4個原則：計算機備份時保證軟、硬件的兼容性；設置自動備份功能；準備多個備份數(shù)據(jù)的媒介；數(shù)據(jù)備份的完整性。數(shù)據(jù)備份分為完全數(shù)據(jù)備份、不完全數(shù)據(jù)備份即實時備份、選擇性備份。

3.4管理層的安全防御

（1）完善校園網(wǎng)安全管理體制，建設網(wǎng)絡安全管理平臺。校園網(wǎng)的管理必須要建立一套完整的制度體系，并明確告知校園網(wǎng)用戶的行為范圍和違反制度的處罰規(guī)定，有效地約束用戶及管理員的行為規(guī)范。并建立一個全方位的網(wǎng)絡安全管理平臺，實時監(jiān)控所有校園網(wǎng)用戶的安全系統(tǒng)及設備并進行綜合分析。

（2）加強校園網(wǎng)用戶的安全意識，提高網(wǎng)絡管理人員技術水平。目前校園網(wǎng)用戶規(guī)模巨大，但一些用戶安全意識薄弱，隨意訪問非法網(wǎng)站，下載含有病毒或惡意程序的文件，從而導致校園網(wǎng)存在極大地安全隱患。因此要加強校園網(wǎng)用戶的網(wǎng)絡安全意識教育，使其自覺遵守網(wǎng)絡安全制度，提高防范網(wǎng)絡隱患的能力。同時要對網(wǎng)絡管理人員進行知識及技術的培訓，提高維護網(wǎng)絡安全的警惕性和應對各種攻擊的能力，更好地對網(wǎng)絡進行監(jiān)控和管理，在發(fā)現(xiàn)新病毒或系統(tǒng)安全漏洞威脅網(wǎng)絡安全時，管理員要及時啟動應急響應。

4結語

高校校園網(wǎng)的安全防御涉及環(huán)境、設備、技術、管理和制度等多方面的因素，因此要綜合運用防火墻技術、病毒防護技術、入侵檢測技術、數(shù)據(jù)備份和恢復技術建立一個立體化全方位的安全防御體系。同時要加強安全管理，做到技術與管理并重，加強安全管理體制的執(zhí)行力度，使校園網(wǎng)安全高效的運行，為教職工和學生提供更為便利的科研、教學及管理環(huán)境。

參考文獻

[1]吳輝明，王彪. 對當前校園網(wǎng)絡信息安全的威脅與防范分析[J]. 信息通信，2015，（7）.

[2]林永菁. 多層次校園網(wǎng)絡安全設計[J]. 吉林師范大學學報（自然科學版），2009，（3）.

[3]楊凱雪. 高校校園網(wǎng)安全防御體系的構建[J]. 中國科技信息，2015，（02）.

[4]徐大偉. 基于高校校園網(wǎng)安全問題的分析與對策[J]. 長春師范學院學報（自然科學版），2005，24（12）：6466.endprint