構(gòu)建網(wǎng)絡(luò)安全體系，營造美好智慧校園

◆藍(lán) 耿

（廣西財(cái)經(jīng)學(xué)院現(xiàn)代教育技術(shù)部 廣西 530003）

構(gòu)建網(wǎng)絡(luò)安全體系，營造美好智慧校園

◆藍(lán) 耿

（廣西財(cái)經(jīng)學(xué)院現(xiàn)代教育技術(shù)部 廣西 530003）

本文對當(dāng)前我國校園網(wǎng)絡(luò)環(huán)境的特殊性及校園網(wǎng)絡(luò)安全問題的現(xiàn)狀進(jìn)行分析，探討了校園網(wǎng)絡(luò)中各種安全隱患出現(xiàn)的原因，為構(gòu)建智慧校園網(wǎng)絡(luò)安全保障體系提出了全方位的安全策略。

智慧校園；網(wǎng)絡(luò)安全；安全技術(shù)

0 前言

我國在網(wǎng)絡(luò)信息化規(guī)劃中提出了網(wǎng)絡(luò)學(xué)習(xí)的重要性，其更是強(qiáng)調(diào)了校園網(wǎng)絡(luò)科研的融合創(chuàng)新、校園校務(wù)治理的透明化、并且加大校園文化豐富性、校園生活便捷化，而這便是智慧校園。而在智慧校園的建設(shè)過程中，最重要的是構(gòu)建健全的網(wǎng)絡(luò)安全體系。就當(dāng)前我國各高校的情況來看，校園網(wǎng)絡(luò)安全問題仍然眾多，因此本文對于智慧校園網(wǎng)絡(luò)安全體系進(jìn)行研究，意義重大。

1 智慧校園網(wǎng)絡(luò)結(jié)構(gòu)存在的安全隱患

1.1 網(wǎng)絡(luò)系統(tǒng)自身漏洞

系統(tǒng)漏洞指的是網(wǎng)絡(luò)系統(tǒng)本身所存在的、在設(shè)計(jì)的過程中并沒有考慮到的缺陷，這些缺陷有些也是隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)沒有及時更新都呈現(xiàn)出的弊端。所以從理論上講，隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步和網(wǎng)絡(luò)系統(tǒng)的升級，任何系統(tǒng)都可能會存在著不同程度的漏洞。因?yàn)槁┒吹拇嬖?，使得各種有針對性的網(wǎng)絡(luò)攻擊和蠕蟲病毒不斷的產(chǎn)生。所以網(wǎng)絡(luò)系統(tǒng)自身漏洞的網(wǎng)絡(luò)安全問題的維護(hù)是一個長期的過程。

在當(dāng)前最流行和普遍的計(jì)算系統(tǒng)Windows，在設(shè)計(jì)上也存在著不足和弊端，而大部分的網(wǎng)絡(luò)病毒都是針對Windows而來的。如2006年6月11日，國內(nèi)首例旨在敲詐被感染用戶錢財(cái)?shù)哪抉R病毒被江民公司反病毒中心率先截獲。該病毒名為“敲詐者”(Trojan/Agent.bq)，病毒可惡意隱藏用戶文檔，并借修復(fù)數(shù)據(jù)之名向用戶索取錢財(cái)?！扒迷p者”在被截獲后短短10天內(nèi)，導(dǎo)致全國數(shù)千人中招，許多個人和單位受到重大損失。

而在智慧校園的建設(shè)過程中，連接各項(xiàng)工作的基礎(chǔ)是網(wǎng)絡(luò)系統(tǒng)。就當(dāng)前高校所使用的網(wǎng)絡(luò)服務(wù)器來說，無論是性能較好的UNIX，還是問題較多的Windows，其漏洞和缺陷不斷地被發(fā)現(xiàn)，而有針對性的攻擊也隨之而來?？梢灶A(yù)見，未來針對網(wǎng)絡(luò)系統(tǒng)漏洞所產(chǎn)生的安全問題依然嚴(yán)峻，智慧校園的建設(shè)依然任重而道遠(yuǎn)。

1.2 校園網(wǎng)絡(luò)內(nèi)部安全隱患

壁壘往往容易從內(nèi)部攻破，來自于機(jī)構(gòu)內(nèi)部的攻擊也是最難防御的。校園網(wǎng)的內(nèi)部安全隱患往往與校園內(nèi)部的用戶群體有關(guān)。校園網(wǎng)的主要用戶是學(xué)生，由于青年學(xué)生受新技術(shù)和好奇心的驅(qū)動，對技術(shù)有執(zhí)著的追求，經(jīng)常嘗試各種黑客攻擊。并且其法律意識淡薄，道德教育不到位，使得校園網(wǎng)成為首先受到攻擊的目標(biāo)。而當(dāng)前大多高校的網(wǎng)絡(luò)管理缺乏，主要表現(xiàn)在缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件、網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)以及身份認(rèn)證系統(tǒng)。使得學(xué)校的網(wǎng)絡(luò)管理缺少有效的監(jiān)控。此外很多學(xué)校的系統(tǒng)維護(hù)人員在對網(wǎng)絡(luò)維護(hù)過程中缺乏責(zé)任心，在維護(hù)過程中減少甚至取消對系統(tǒng)的日常維護(hù)工作，因此校園網(wǎng)絡(luò)內(nèi)部安全隱患同樣是嚴(yán)重的。

1.3 來自外部網(wǎng)絡(luò)的安全隱患

來自校園網(wǎng)絡(luò)外部的安全隱患主要是網(wǎng)絡(luò)黑客對于校園網(wǎng)絡(luò)的入侵，有些人出于好奇心，蓄意破壞，以及為了使自己獲得某種非法利益等目的，利用網(wǎng)絡(luò)協(xié)議、服務(wù)器和操作系統(tǒng)的安全漏洞以及管理上的疏漏非法訪問資源、刪改數(shù)據(jù)、破壞系統(tǒng)。而校園網(wǎng)中，很多行政和教學(xué)單元的電腦中存有涉及機(jī)密的文件，比如試卷、學(xué)生成績等。在拒絕服務(wù)(DoS)攻擊在Internet上活動猖獗的時候，大部分攻擊都是利用這些主機(jī)在管理上的漏洞來達(dá)到發(fā)動攻擊的目的，同時也隱藏了自己。這些行為給校園網(wǎng)的安全運(yùn)行造成了嚴(yán)重的威脅，同時也損害了高校的聲譽(yù)。

1.4 網(wǎng)絡(luò)病毒產(chǎn)生的安全隱患

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，病毒可以通過計(jì)算網(wǎng)絡(luò)利用多種方式（電子郵件、網(wǎng)頁、即時通訊軟件等）進(jìn)行傳播，在2015年監(jiān)測出校網(wǎng)絡(luò)存在病毒“求職信”病毒，從其開始傳播到現(xiàn)在受害人數(shù)量不斷增加（表1）。對于校園網(wǎng)絡(luò)來說，網(wǎng)絡(luò)病毒主要是來自校園網(wǎng)外部的計(jì)算機(jī)，通過校園網(wǎng)內(nèi)的接入點(diǎn)，將病毒接入到校園網(wǎng)內(nèi)部。而與發(fā)達(dá)國家相比，我國整理的網(wǎng)絡(luò)立法、管理制度滯后，網(wǎng)絡(luò)病毒傳播肆孽。而網(wǎng)絡(luò)病毒本身具有很強(qiáng)的隱藏性，高校內(nèi)的學(xué)生網(wǎng)絡(luò)安全意識較差，很多經(jīng)過偽裝的病毒還可能被用戶當(dāng)作正常的程序而運(yùn)行，這也是病毒觸發(fā)的一種手段，并且其有極強(qiáng)的破壞性。根據(jù)權(quán)威機(jī)構(gòu)，以Novel1 網(wǎng)為例，一旦文件服務(wù)器的硬盤被病毒感染，就可能造成Net Ware 分區(qū)中的某些區(qū)域上內(nèi)容的損壞，使網(wǎng)絡(luò)服務(wù)器無法啟動，導(dǎo)致整個網(wǎng)絡(luò)癱瘓，造成不可估量的損失。而當(dāng)前的大部分高校對于網(wǎng)絡(luò)病毒方面的防御機(jī)制缺乏，也使得各種網(wǎng)絡(luò)病毒在校園內(nèi)橫行，影響著智慧校園的建設(shè)。

表1 2015-2016年最惡劣的校園病毒前10名情況

2 智慧校園網(wǎng)絡(luò)安全體系構(gòu)建

2.1 智能設(shè)施安全

網(wǎng)絡(luò)設(shè)備的是網(wǎng)絡(luò)安全最重要的部分，而智能設(shè)備是建設(shè)智慧校園體系的關(guān)鍵。所以要保證校園網(wǎng)絡(luò)正常，首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有：減少自然災(zāi)害（如火災(zāi)、水災(zāi)、地震等）對計(jì)算機(jī)設(shè)備及軟件資源的破壞，減少外界環(huán)境（如溫度、濕度、灰塵、供電系統(tǒng)、外界強(qiáng)電磁干擾等）對網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行可靠性造成的不良影響。

并且在選擇設(shè)備的時候應(yīng)該選用具有較高的可用性、可靠性、可擴(kuò)展性的多核處理器的服務(wù)器；采用服務(wù)器UPS電源，為系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行提供不間斷的原動力；在校園網(wǎng)規(guī)劃的時候中心交換機(jī)應(yīng)考慮采用三層交換技術(shù)。三層交換技術(shù)可以完成常規(guī)交換機(jī)的網(wǎng)絡(luò)連接功能，又可以解決局域網(wǎng)網(wǎng)段劃分問題，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題；在存儲設(shè)備上，由于服務(wù)器讀寫硬盤的頻率是非常高的，所以在選用存儲設(shè)備上，應(yīng)盡可能地購買性能較好、高穩(wěn)定、高讀寫速度的設(shè)備。

2.2 網(wǎng)絡(luò)體系安全

網(wǎng)絡(luò)體系安全應(yīng)該強(qiáng)調(diào)網(wǎng)絡(luò)拓?fù)浒踩闹匾?，保證安全域劃分與邊界防護(hù)有效合理，嚴(yán)格控制網(wǎng)絡(luò)資源訪問，以科學(xué)合理的檢測方式檢測入侵，確保網(wǎng)絡(luò)設(shè)施防病毒工作科學(xué)有效。網(wǎng)絡(luò)拓?fù)浒踩孕滦途W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)，比如VL2、Port Land等，以此確保節(jié)點(diǎn)間具備較強(qiáng)的連通性，其容錯能力便可有效提升，同時合理均衡負(fù)載。以VPN 及數(shù)據(jù)加密等項(xiàng)技術(shù)來保證用戶數(shù)據(jù)傳輸安全穩(wěn)定。以分布式入侵檢測及病毒防護(hù)系統(tǒng)預(yù)防黑客的攻擊，亦可以其他安全措施及技術(shù)實(shí)現(xiàn)防護(hù)，比如端口綁定及虛擬防火墻構(gòu)建，再是提供Anti-DDos服務(wù)，確保網(wǎng)絡(luò)訪問控制機(jī)制科學(xué)合理，各虛擬服務(wù)器中僅可運(yùn)行一個網(wǎng)絡(luò)服務(wù)，禁止其直接訪問敏感數(shù)據(jù)，服務(wù)器僅具備相應(yīng)的服務(wù)端口，剩下的則全部關(guān)閉。學(xué)校網(wǎng)絡(luò)管理者應(yīng)全面掌握路由器、交換機(jī)、服務(wù)器等設(shè)施的網(wǎng)絡(luò)配置，要深層了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，及時發(fā)現(xiàn)其間存在的問題并進(jìn)行定位，之后再統(tǒng)計(jì)訪問流量，正確識別不正常的使用情況，再將其嚴(yán)格封禁。

2.3 數(shù)據(jù)信息安全

傳統(tǒng)數(shù)據(jù)信息安全強(qiáng)調(diào)的是將數(shù)據(jù)保存于學(xué)?？煽胤秶鷥?nèi)，網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)均保存于網(wǎng)絡(luò)服務(wù)器中，學(xué)校數(shù)據(jù)的危險(xiǎn)性則更為突出。網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)信息安全標(biāo)準(zhǔn)應(yīng)于數(shù)據(jù)隔離、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)殘留等方面進(jìn)行分析，要確保學(xué)校數(shù)據(jù)安全完整。要加強(qiáng)數(shù)據(jù)隔離，通常虛擬化資源庫十分關(guān)鍵，虛擬技術(shù)為網(wǎng)絡(luò)信息核心技術(shù)，其可將用戶數(shù)據(jù)儲存于共享物理儲存中。此類虛擬化較多的用戶環(huán)境中存在諸多安全隱患，可以不同應(yīng)用需求提出隔離措施，保證用戶數(shù)據(jù)安全隱私；并不斷加強(qiáng)訪問控制，要強(qiáng)調(diào)數(shù)據(jù)維護(hù)私密性，數(shù)據(jù)訪問控制工作的有序開展應(yīng)構(gòu)建科學(xué)統(tǒng)一的身份管理平臺，加強(qiáng)安全認(rèn)證和方位權(quán)限控制力度。用戶安全認(rèn)證及訪問權(quán)限控制的主要目的為多用戶狀態(tài)下，允許授權(quán)合法的用戶訪問數(shù)據(jù)，常用認(rèn)證技術(shù)為數(shù)字簽名、單點(diǎn)登錄認(rèn)證、雙因子登錄認(rèn)證；數(shù)據(jù)加密工作亦非常關(guān)鍵，此方式可有效確保數(shù)據(jù)私密性，應(yīng)對敏感數(shù)據(jù)嚴(yán)格加密，確保數(shù)據(jù)被非法用戶竊取時，數(shù)據(jù)機(jī)密亦不會被泄露?？捎玫臄?shù)據(jù)加密算法有很多，要選擇適宜的方式加密算法，確保學(xué)校數(shù)據(jù)傳輸安全穩(wěn)定，再對儲存數(shù)據(jù)進(jìn)行嚴(yán)格加密，為數(shù)據(jù)網(wǎng)絡(luò)傳輸及儲存提供安全的外部環(huán)境。同時對文件系統(tǒng)進(jìn)行加密，確保智慧校園網(wǎng)中數(shù)據(jù)的安全。數(shù)據(jù)殘留，通常智慧校園網(wǎng)絡(luò)的數(shù)據(jù)存在于共享設(shè)施中，數(shù)據(jù)殘留的問題會導(dǎo)致敏感數(shù)據(jù)被泄露，這時儲存資源被重新分配，再將數(shù)據(jù)多次擦除，盡可能防止其間出現(xiàn)非法重建的問題；數(shù)據(jù)備份還原，數(shù)據(jù)儲存時，用戶均應(yīng)全面分析數(shù)據(jù)丟失風(fēng)險(xiǎn)，以便應(yīng)對突發(fā)狀況而導(dǎo)致的數(shù)據(jù)丟失，使得各項(xiàng)業(yè)務(wù)停止運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)要及時進(jìn)行災(zāi)難恢復(fù)，保證各項(xiàng)服務(wù)不中斷，要積極完善網(wǎng)絡(luò)容災(zāi)備份機(jī)制，從而有效增強(qiáng)網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全性。

2.4 網(wǎng)絡(luò)管理安全

智慧校園網(wǎng)的網(wǎng)絡(luò)安全體系架構(gòu)管理工作十分關(guān)鍵，此項(xiàng)體系非常龐大，管理工作亦復(fù)雜多變，為了能夠確保數(shù)據(jù)安全，確保服務(wù)連續(xù)性，相關(guān)人員應(yīng)根據(jù)學(xué)校的實(shí)際情況提出針對性管理策略，并為此構(gòu)建科學(xué)有效的管理制度，以安全審計(jì)系統(tǒng)防止入侵，并詳細(xì)記錄各方面內(nèi)容，確保各項(xiàng)維護(hù)工作有序開展，從而提高事后審查能力。

3 結(jié)束語

隨著當(dāng)前我國高校擴(kuò)招進(jìn)程不斷推進(jìn)，高校校園學(xué)生的數(shù)量不斷增加，意味著校園網(wǎng)絡(luò)的用戶在不斷增加，同時網(wǎng)絡(luò)技術(shù)的更新日新月異。各種網(wǎng)絡(luò)攻擊行為也會更加的復(fù)雜，所以在我國的網(wǎng)絡(luò)信息化規(guī)劃中提出的智慧校園建設(shè)的過程中，要積極地從各個方面加強(qiáng)對于校園網(wǎng)絡(luò)的安全管理，構(gòu)建校園網(wǎng)絡(luò)安全體系，營造美好智慧校園。

[1]于長虹，王運(yùn)武，馬武．智慧校園的智慧性設(shè)計(jì)研究[J]．中國電化教育，2014．

[2]鐘紹春．教育云、智慧校園和網(wǎng)絡(luò)學(xué)習(xí)空間的界定與關(guān)系研究[J]．中國教育信息化，2014．

[3]蔣家傅，鐘勇，王玉龍，李宗培，黃美儀．基于教育云的智慧校園系統(tǒng)構(gòu)建[J]．現(xiàn)代教育技術(shù)，2013．

[4]陳翠珠，黃宇星．基于網(wǎng)絡(luò)的智慧校園及其系統(tǒng)構(gòu)建探究[J]．福建教育學(xué)院學(xué)報(bào)，2012．