智慧校園平臺網(wǎng)絡(luò)安全策略的研究

楊 倩，鄒 磊

（湖北中醫(yī)藥高等?？茖W(xué)校，荊州 434020）

1 引言

智慧校園平臺的建設(shè)是高校信息化建設(shè)的重要一環(huán)。校園網(wǎng)絡(luò)為高校內(nèi)教學(xué)、科研、學(xué)習(xí)等各類活動提供了基礎(chǔ)設(shè)施，校園網(wǎng)絡(luò)的安全與否直接影響到智慧校園平臺功能的穩(wěn)定性。隨著互聯(lián)網(wǎng)的連入，各種網(wǎng)絡(luò)安全隱患也逐漸凸顯。校園網(wǎng)絡(luò)除了可能遭受到的黑客攻擊、病毒感染等情況，軟硬件方面的缺陷也會成為巨大的安全隱患。因此，在湖北中醫(yī)藥高等?？茖W(xué)校智慧校園平臺的建設(shè)中，必須分析可能出現(xiàn)的網(wǎng)絡(luò)安全隱患，研究網(wǎng)絡(luò)安全策略。

2 校園網(wǎng)絡(luò)現(xiàn)狀

校園網(wǎng)絡(luò)是為便于學(xué)校對教學(xué)、辦公活動進行管理，促進信息化教學(xué)與科研而建立的網(wǎng)絡(luò)系統(tǒng)。在最初校園網(wǎng)絡(luò)建立時，由于學(xué)校經(jīng)濟狀況等原因，只考慮到了網(wǎng)絡(luò)的連通性與兼容性，并未考慮到網(wǎng)絡(luò)的安全性，因此在智慧校園平臺的建設(shè)中必須要將網(wǎng)絡(luò)安全策略納入研討范圍。隨著平臺建設(shè)的推進，校園網(wǎng)絡(luò)上提供的服務(wù)和運行的各類應(yīng)用程序的增多，局域網(wǎng)絡(luò)的規(guī)模也逐漸增大。校園網(wǎng)絡(luò)用戶基數(shù)大，線路繁雜，內(nèi)部節(jié)點數(shù)多且數(shù)據(jù)交換量大，導(dǎo)致網(wǎng)絡(luò)安全管理難度增大。因此，合理利用網(wǎng)絡(luò)管理資源，在內(nèi)外網(wǎng)的接入、數(shù)據(jù)交換過程中做好安全防御措施、加強安全管理是智慧校園平臺建設(shè)必須考慮的方向。

3 校園網(wǎng)絡(luò)安全隱患分析

通過對學(xué)校的實際情況進行分析調(diào)查，校園網(wǎng)絡(luò)的安全隱患主要來源于校園網(wǎng)內(nèi)部環(huán)境、內(nèi)網(wǎng)用戶與來自外部環(huán)境和外網(wǎng)網(wǎng)站的影響。根據(jù)分析得出有以下幾類主要的安全隱患存在：

3.1 物理設(shè)備問題

由于設(shè)備年久、老化等原因，可能會導(dǎo)致機房的電壓、電流不夠穩(wěn)定或是由于物理設(shè)備擴容度不夠引起線路負(fù)荷過大，均會產(chǎn)生網(wǎng)絡(luò)故障，輕則引起數(shù)據(jù)丟失，重則可能會使服務(wù)中斷、系統(tǒng)崩潰。

3.2 病毒入侵

隨著世界范圍內(nèi)信息技術(shù)水平的提高，計算機病毒的隱蔽性與破壞性也越來越強，有時甚至不能被現(xiàn)有的殺毒軟件攔截并查殺。同時，內(nèi)網(wǎng)的使用人員組成復(fù)雜，不少人員計算機水平有限，在進行各類與網(wǎng)絡(luò)有關(guān)的操作時，很容易由于訪問風(fēng)險網(wǎng)站或下載攜帶病毒、木馬的軟件導(dǎo)致病毒趁虛而入。

3.3 黑客攻擊

校園網(wǎng)相較于其他局域網(wǎng)來說，開放性更強，管理也較為寬松，因此更易遭受到黑客攻擊。如若安全防護措施不充足，很容易被黑客竊取、篡改數(shù)據(jù)甚至破壞系統(tǒng)。

3.4 技術(shù)支持不足[1]

學(xué)校網(wǎng)絡(luò)安全管理方面缺乏相關(guān)專業(yè)技術(shù)人員，無法及時制止內(nèi)網(wǎng)用戶不當(dāng)操作，發(fā)生安全事故時也無法得到及時響應(yīng)，造成網(wǎng)絡(luò)安全風(fēng)險提升。

4 校園網(wǎng)絡(luò)安全策略探討

為使智慧校園平臺建成之后能穩(wěn)健運行，應(yīng)制定行之有效的安全策略。好的安全策略應(yīng)從軟硬件設(shè)施、用戶、管理制度等方面來進行制定，通過對校園網(wǎng)絡(luò)安全隱患的分析，可以從以下幾個方向防范、處理可能出現(xiàn)的安全問題：

4.1 硬件設(shè)備保護

為了保證校園網(wǎng)絡(luò)能良好運行，服務(wù)器及主要硬件設(shè)備必須能夠穩(wěn)定、安全地運轉(zhuǎn)。因此放置硬件設(shè)備的機房應(yīng)做好防水、防火等工作，機房管理者同時也應(yīng)保管好機房相關(guān)鑰匙，禁止非工作人員出入，防止人為地對服務(wù)器造成破壞，影響網(wǎng)絡(luò)正常運行。為保證服務(wù)器全天候工作，機房還應(yīng)配置應(yīng)急電源或使用雙電源系統(tǒng)，使斷電時也能維持網(wǎng)絡(luò)運行。

4.2 軟件系統(tǒng)防范

（1）及時安裝補丁

目前校園內(nèi)服務(wù)器采用的是微軟的Windows 網(wǎng)絡(luò)操作系統(tǒng)，因此管理員要時刻關(guān)注微軟公司的官方網(wǎng)站，及時下載并安裝最新補丁，防止黑客通過操作系統(tǒng)的漏洞進行攻擊。

（2）配置防火墻，更新殺毒軟件

防火墻是網(wǎng)絡(luò)安全防范措施的重要組成部分。校園網(wǎng)絡(luò)必須設(shè)置防火墻，對外網(wǎng)用戶的訪問進行一定限制，同時也密切關(guān)注內(nèi)網(wǎng)用戶對外部網(wǎng)絡(luò)的訪問，檢測出不安全服務(wù)，最大限度的防范黑客的攻擊，降低風(fēng)險[2]。校園網(wǎng)內(nèi)所有通過防火墻的訪問都會被記錄到日志中，如有可疑操作，可通過日志排查，過濾網(wǎng)絡(luò)中不安全的因素。

計算機病毒首要攻擊的目標(biāo)主要在于保存重要數(shù)據(jù)的中心結(jié)點的服務(wù)器，因此殺毒軟件應(yīng)及時更新病毒庫，定期查毒殺毒，對服務(wù)器的開放端口進行檢測。由于智慧校園平臺應(yīng)用模塊繁多，在不同操作模塊中均應(yīng)安裝統(tǒng)一的殺毒軟件，以便管理者統(tǒng)一升級。

4.3 加強網(wǎng)絡(luò)管理

（1）采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)可以對網(wǎng)絡(luò)數(shù)據(jù)的傳輸進行實時監(jiān)控，當(dāng)發(fā)現(xiàn)未授權(quán)傳輸時可以發(fā)出警報或采取響應(yīng)措施，對可疑傳輸進行限制，保證網(wǎng)絡(luò)安全。校園網(wǎng)絡(luò)中可以同時采用基于網(wǎng)絡(luò)、基于主機的入侵檢測系統(tǒng)，使用混合式檢測，這樣可以更加全方位地構(gòu)建安全防御體系。

（2）使用VLAN 技術(shù)。學(xué)?？梢允褂肰LAN（局域網(wǎng)虛擬技術(shù)）來加強校園網(wǎng)的內(nèi)網(wǎng)管理。通過對局域網(wǎng)中不同的應(yīng)用模塊與不同的安全級別，按邏輯劃分網(wǎng)段并隔離，實現(xiàn)不同網(wǎng)段間的訪問控制，進行分布式管理[3]。為提高網(wǎng)絡(luò)的安全性能，不同類型的內(nèi)網(wǎng)用戶也應(yīng)劃分不同網(wǎng)段，通過網(wǎng)關(guān)保證安全有效的信息過濾，使網(wǎng)絡(luò)能夠處在相對安全的狀況下運行，防止病毒、木馬在不同網(wǎng)段間的快速傳播。

（3）使用數(shù)據(jù)加密技術(shù)。對校園網(wǎng)中需要傳輸?shù)闹匾獢?shù)據(jù)進行明文加密，通過加密密鑰使之轉(zhuǎn)變?yōu)槊芪?，接收方再通過解密密鑰還原成明文[4]。數(shù)據(jù)經(jīng)過加密后，在傳輸過程中均以密文方式傳送，如有數(shù)據(jù)被攔截、竊取的情況，攻擊者也無法解密密文，讀取信息。數(shù)據(jù)加密技術(shù)不僅可以防止不懷好意者了解數(shù)據(jù)的具體內(nèi)容，還可以判斷數(shù)據(jù)是否受到篡改，保證了校園網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（4）解決IP 盜用問題。為解決可能會出現(xiàn)的IP 盜用問題，需要在路由器上將MAC 地址與IP 進行捆綁，登記地址表。當(dāng)某個IP 需要訪問Internet，數(shù)據(jù)通過路由器時，路由器會檢查發(fā)出該數(shù)據(jù)的工作站的MAC 地址是否與路由器上記錄的地址表相符合，若是符合的，那路由器將放行數(shù)據(jù)，否則將禁止該數(shù)據(jù)通過路由器，并給發(fā)出數(shù)據(jù)的工作站返回警告信息。

（5）定期備份、維護服務(wù)器。為了防止系統(tǒng)、網(wǎng)絡(luò)故障或是人為的非法操作，服務(wù)器上的重要文件需要定期進行備份存檔。管理員可以使用RAID 方式定期備份文件資料，也可以使用備用服務(wù)器或是光盤備份重要資料。在日常服務(wù)器使用過程中，還應(yīng)定期清理服務(wù)器上過期、無用的資源，保證服務(wù)器的高效運行。

4.4 技術(shù)人員支持

學(xué)校在網(wǎng)絡(luò)管理方面必須有高水平的技術(shù)人員支持，可以通過引進新人才或是對原有的網(wǎng)絡(luò)管理人員進行專業(yè)培訓(xùn)[5]。高水平的技術(shù)人員可以通過各種手段維護服務(wù)器，管理網(wǎng)絡(luò)設(shè)置，處理安全問題，降低安全風(fēng)險。

4.5 網(wǎng)絡(luò)安全管理制度完善

學(xué)校應(yīng)出臺校園網(wǎng)使用規(guī)定，規(guī)范內(nèi)網(wǎng)用戶使用校園網(wǎng)的正確操作，要求負(fù)責(zé)人員做好維護、保養(yǎng)工作。同時應(yīng)提前做好網(wǎng)絡(luò)安全應(yīng)急相關(guān)預(yù)案，當(dāng)出現(xiàn)安全問題后使相關(guān)網(wǎng)絡(luò)管理人員能夠按照應(yīng)急機制做出正確處理，降低損失。

5 結(jié)束語

智慧校園平臺的建設(shè)是一個系統(tǒng)性工程，在校園網(wǎng)絡(luò)方面務(wù)必提供安全保障才能使這個龐大工程穩(wěn)定運轉(zhuǎn)。在研究網(wǎng)絡(luò)安全策略時不能僅僅依靠傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的堆砌，應(yīng)從實際情況出發(fā)，考慮安全需求，根據(jù)需求采取對應(yīng)措施，將安全技術(shù)手段與管理制度結(jié)合起來，才能提供一個高效、穩(wěn)定、安全的校園網(wǎng)絡(luò)系統(tǒng)，支撐智慧校園平臺的運行。