校園網(wǎng)安全防護體系的構(gòu)建

羅東芳

摘要：隨著我國社會信息化不斷的發(fā)展，以及網(wǎng)絡(luò)技術(shù)也得到了相應(yīng)的提高，所以在我們的生活中網(wǎng)絡(luò)正在全方面的改變著我們的生活以及學習的方式。而對于我國的校園來說建成數(shù)字化校園是高校信息化的建設(shè)目標，校園網(wǎng)作為一個學校信息化建設(shè)的基礎(chǔ)設(shè)施之一無論是在教學還是在科研的過程中都起著非常重要的地位。由于網(wǎng)絡(luò)協(xié)議的設(shè)計以及對于網(wǎng)絡(luò)的管理使用等等方面的原因，所以導(dǎo)致校園網(wǎng)的安全問題時刻都會受到傷害，所以說為了能夠保證校園網(wǎng)的安全構(gòu)建完善科學的網(wǎng)絡(luò)安全防護體系就顯得尤為重要。

關(guān)鍵詞：校園網(wǎng)；安全防護體系；建設(shè)工作

中圖分類號：TP393.18 文獻識別碼：A 文章編號：1001-828X（2018）021-0461-01

一、校園網(wǎng)的主要安全問題

校園網(wǎng)可以分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園的內(nèi)網(wǎng)主要包括教學的局域網(wǎng)圖書館的局域網(wǎng)等等，而校園外網(wǎng)主要是指學校提供對外服務(wù)等服務(wù)器群，以及一些遠程教學的用戶端等等。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的主要服務(wù)系統(tǒng)，在這其中主要包括一些DNS、WEB等等。外部網(wǎng)有效的實現(xiàn)了校園網(wǎng)與Internet的基礎(chǔ)性接入，所以才可以實現(xiàn)全校師生能夠利用網(wǎng)網(wǎng)絡(luò)電子郵件的方式來進行交流可實現(xiàn)資源的共享。在構(gòu)建校園安全網(wǎng)絡(luò)方案前，我們一定要對造成校園網(wǎng)產(chǎn)生不安全因素的原因進行仔細的分析。根據(jù)實驗表明我國校園網(wǎng)絡(luò)所存在的安全隱患主要來自于外網(wǎng)和內(nèi)網(wǎng)兩個內(nèi)容，由于校園網(wǎng)與Interne之間緊密相連，所以很有可能面臨著遭受到外網(wǎng)的攻擊從而造成網(wǎng)絡(luò)癱瘓的現(xiàn)象。而在內(nèi)網(wǎng)中由于接入的校園網(wǎng)的節(jié)點數(shù)數(shù)量非常繁多，特別是一些學生宿舍接入到了校園網(wǎng)之內(nèi)，所以這種因素無形中增加了校園網(wǎng)的安全隱患，因為這些節(jié)點很容易的造成病毒泛濫信息丟失等等的安全問題。與此同時由于校園網(wǎng)的用戶應(yīng)用水平也在不斷的隨著提高，所以這也就導(dǎo)致了校園網(wǎng)將會面臨著巨大的安全隱患問題。這主要歸納為以下幾個方面：

（一）物理安全

物理安全主要是指由于物理設(shè)備的放置地點不合適或者是規(guī)章制度的建立不夠完善等等原因所以導(dǎo)致校園的網(wǎng)絡(luò)資源遭受到來自自然災(zāi)害以及意外事故的影響，從而導(dǎo)致校園網(wǎng)無法進行正常的使用。物理安全問題在我們?nèi)粘５膶W習和生活過程中隨處可見，但這類問題在防范的過程中相對來說比較容易，只需要我們的工作人員能夠按時得進行檢查和將一些出現(xiàn)漏洞的設(shè)備進行及時的修理。

（二）非授權(quán)訪問

非授權(quán)訪問主要指的是沒有經(jīng)過授權(quán)或者是假冒合法用戶而獲得訪問網(wǎng)絡(luò)資源的權(quán)限，在訪問的過程中獲取一些所需的資料或者篡改相關(guān)的數(shù)據(jù)的活動。網(wǎng)絡(luò)用戶有意地避開一些系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)的設(shè)備進行非正常的使用并且擅自擴大權(quán)限，越權(quán)訪問信息。非授權(quán)訪問主要由以下幾個形式來進行體現(xiàn)：假冒、身份攻擊以及非法用戶進行違法操作等等。在校園網(wǎng)中最常見的非授權(quán)訪問現(xiàn)象就是盜用合法用戶的IP地址，從而給合法的用戶造成一些嚴重的經(jīng)濟損失，導(dǎo)致網(wǎng)絡(luò)工作無法正常的運行下去，嚴重的可造成整個校園網(wǎng)的癱瘓。

二、針對校園網(wǎng)的結(jié)構(gòu)特點來構(gòu)建校園網(wǎng)安全防護體系

（一）防火墻

防火墻技術(shù)可以說是實現(xiàn)校園網(wǎng)與Internet之間的訪問控制，防火墻可以將用戶的計算機以及Internet之間建立起一道合法的屏障，然后把用戶和網(wǎng)絡(luò)進行隔絕，然后再通過對他的各種設(shè)置，從而使合法的鏈路建立，將一些違法的鏈接不允許通過，以此來保障用戶對網(wǎng)絡(luò)訪問的安全問題，防火墻可以說是保護校園網(wǎng)安全的基礎(chǔ)屏障。從目前的情況來說國內(nèi)外都有一些很好的防火墻硬件產(chǎn)品，例如3COM的Secpath100F就是一個非常好的防火墻，該防火墻不僅支持外部攻擊防范、流量監(jiān)控、網(wǎng)絡(luò)過濾等等功能，同時它還采用ASPF狀態(tài)的監(jiān)測技術(shù)，這種監(jiān)測技術(shù)可以對連接的狀態(tài)所發(fā)展過程中出現(xiàn)異常的命令進行監(jiān)測，然后在提出多種智能分析和相應(yīng)的管理手段，協(xié)助網(wǎng)絡(luò)管理員共同完成網(wǎng)絡(luò)的安全管理工作。

（二）統(tǒng)一的進行身份認證

統(tǒng)一進行身份認證不僅可以有效的判斷用戶身份的真實性，同時這也是校園網(wǎng)絡(luò)信息的又一道安全屏障。校園網(wǎng)絡(luò)的統(tǒng)一身份認證主要是一些口令機制，例如開機口令、登錄口令等等。為了能夠有效的防止用戶的賬號被出現(xiàn)盜取的現(xiàn)象，所以在身份認證技術(shù)的基礎(chǔ)上我們可以采用MAC綁定、卡號密碼綁定等等方法。在身份認證的基礎(chǔ)上我們可以通過元素綁定技術(shù)來進行進一步的實現(xiàn)，也就是用接入層交換機來解決一些相應(yīng)的綁定問題。例如我國華為華為3COM公司提供的CAMS系統(tǒng)就可以很好地將一些元素進行綁定，然后再根據(jù)用戶的要求上來實現(xiàn)多種多樣的綁定方法。

（三）端點準入防御

端點準入防御主要是從網(wǎng)絡(luò)的終端來進行著手，然后再整合網(wǎng)絡(luò)接入控制以及終端安全產(chǎn)品，強制實行校園網(wǎng)安全的相關(guān)策略，從而有效的加強校園網(wǎng)絡(luò)終端的主動防御能力，防止讓一些危險易感的終端接入到校園網(wǎng)絡(luò)中，從而有效的控制病毒的蔓延。這種端到端的安全防護網(wǎng)絡(luò)體系，我們可以從終端接入層面來幫助網(wǎng)絡(luò)管理人員進行統(tǒng)一的實施企業(yè)安全管理策略，從而大大的提高網(wǎng)絡(luò)的整體安全。端點準入防御系統(tǒng)工作的過程主要是首先用戶終端試圖接入網(wǎng)絡(luò)時，第一要通過安全客戶端來進行身份認證，一些非法的用戶就會被直接的拒絕接入網(wǎng)絡(luò)。其次就是合法用戶將被要求進行安全狀態(tài)的認證，由安全策略服務(wù)器驗證一些補丁版本是否合格，一些不合格的用戶將會直接的被隔離到隔離區(qū)。其次就是進入隔離區(qū)的用戶可以進行補丁的升級直到安全狀態(tài)達到合格。安全狀態(tài)合格的用戶可以將實施由安全策略服務(wù)器所下發(fā)的安全設(shè)置，并且由安全聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

三、結(jié)語

隨著社會的進步和經(jīng)濟的不斷發(fā)展，無論是在生活過程中還是在學習當中我們都離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)給我們帶來了很多的便利可以幫助我們在足不出戶的情況下就學習到一些外界的先進知識，這對于我國的學生來說顯得尤其的重要。但是在實際構(gòu)建校園網(wǎng)的安全防護體系的過程中我們會遇到很多的難題和挫折，但是只要我們不斷地去學習一些國內(nèi)外的先進經(jīng)驗先進技術(shù)，并且我們的安全網(wǎng)絡(luò)工作人員進行及時的網(wǎng)絡(luò)維護和檢查，就一定會建設(shè)一個科學合理安全性強的網(wǎng)絡(luò)防護體系。