高校校園網(wǎng)安全管理研究

王 龍

（陜西廣播電視大學(xué)延安分校，延安 716000）

21世紀(jì)人們開(kāi)始進(jìn)入互聯(lián)網(wǎng)時(shí)代，信息技術(shù)已經(jīng)開(kāi)始在生活生產(chǎn)、交流溝通和經(jīng)濟(jì)發(fā)展中起著不可估量的作用。高校校園網(wǎng)是互聯(lián)網(wǎng)的重要組成部分，同時(shí)由于高校校園網(wǎng)本身、使用群體和使用目的特殊性，使得高校網(wǎng)絡(luò)安全也成為了人們關(guān)注的重點(diǎn)。

1 高校校園網(wǎng)安全管理需求分析

1.1 高校校園網(wǎng)安全影響因素分析

高校校園網(wǎng)既具有互聯(lián)網(wǎng)和因特網(wǎng)的一些特點(diǎn)，同時(shí)由于機(jī)房計(jì)算機(jī)共用、大學(xué)生用戶群體安全意識(shí)薄弱和好奇心強(qiáng)等特點(diǎn)，使得高校校園網(wǎng)又有其獨(dú)有的特點(diǎn)。高校校園網(wǎng)由于其自身和用戶群體的特殊性，其所遭遇到的安全影響因素主要包括如下幾個(gè)方面。

1.1.1 病毒入侵

由于校園網(wǎng)內(nèi)大學(xué)生的安全意識(shí)薄弱，和好奇心強(qiáng)的特點(diǎn)，使得互聯(lián)網(wǎng)上的一些病毒很容易被下載和安裝到校園網(wǎng)內(nèi)，同時(shí)也容易在校園網(wǎng)內(nèi)廣泛傳播。

1.1.2 未授權(quán)用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)

校園內(nèi)一些未得到授權(quán)的用戶，使用各種手段或工具來(lái)獲得訪問(wèn)或控制校園網(wǎng)的權(quán)限。

1.1.3 信息篡改

校園網(wǎng)內(nèi)的一些非法用戶利用通信協(xié)議和操作系統(tǒng)中的一些漏洞，竊取或篡改校園網(wǎng)內(nèi)傳遞的信息。

1.1.4 密碼失竊

校園網(wǎng)內(nèi)的一些用戶使用網(wǎng)絡(luò)上的間諜軟件、搭線法等一些密碼破解方法和密碼破解工具，破譯校園網(wǎng)內(nèi)一些對(duì)安全不重視用戶的用戶密碼。

除此以外，由于校園網(wǎng)用戶群體人數(shù)多、層次不同、構(gòu)成復(fù)雜的特點(diǎn)，對(duì)互聯(lián)網(wǎng)的不當(dāng)下載和操作，以及訪問(wèn)互聯(lián)網(wǎng)上一些不安全的網(wǎng)站等行為，都會(huì)對(duì)高校校園網(wǎng)安全產(chǎn)生非常惡劣的影響。

1.2 高校校園網(wǎng)安全管理需求分析

通過(guò)對(duì)校園網(wǎng)特征及其所受到的安全影響因素的分析，可以看出高校校園網(wǎng)的安全問(wèn)題較為復(fù)雜，在此基礎(chǔ)上，其安全需求分析如下。

1.2.1 防御網(wǎng)絡(luò)攻擊的需求

高校校園網(wǎng)的供給行為來(lái)自校園網(wǎng)內(nèi)部和外部?jī)蓚€(gè)方面，因此既要考慮通過(guò)硬件或軟件設(shè)備隔離來(lái)自外部互聯(lián)網(wǎng)的攻擊；同時(shí)，也需要關(guān)注對(duì)校園網(wǎng)內(nèi)部通信安全的監(jiān)控。

其具體的手段，包括對(duì)校園內(nèi)部IP地址的監(jiān)控、對(duì)通信數(shù)據(jù)進(jìn)行加密、監(jiān)聽(tīng)網(wǎng)絡(luò)通信流量和阻斷惡意流量等方式。

1.2.2 安全漏洞管理需求

對(duì)在校園網(wǎng)內(nèi)運(yùn)行的各種應(yīng)用服務(wù)器系統(tǒng)的計(jì)算行為、數(shù)據(jù)和運(yùn)行工作進(jìn)行監(jiān)控，避免病毒、木馬等惡意程序和惡意行為利用網(wǎng)絡(luò)協(xié)議漏洞或系統(tǒng)漏洞對(duì)應(yīng)用服務(wù)器進(jìn)行攻擊。

1.2.3 病毒防范需求

校園網(wǎng)的接入點(diǎn)多，用戶群體數(shù)量多、情況復(fù)雜，為此校園網(wǎng)的病毒感染隔離，和病毒傳播、爆發(fā)控制都非常困難。這就要求加強(qiáng)對(duì)校園網(wǎng)的監(jiān)控，特別是校園網(wǎng)公用端口部分的監(jiān)控，要求有有效的保護(hù)和良好的控制措施，在校園網(wǎng)內(nèi)部建立行之有效的網(wǎng)絡(luò)病毒防護(hù)體系。

1.2.4 Web應(yīng)用安全需求

在信息技術(shù)時(shí)代，Web服務(wù)器需求飛速發(fā)展，同時(shí)也導(dǎo)致Web服務(wù)器的安全威脅與日俱增，其中就包括木馬攻擊、數(shù)據(jù)庫(kù)注入和網(wǎng)站地址篡改等情況。同時(shí)，Web服務(wù)器是重要的高校對(duì)外信息交流手段，一旦Web服務(wù)器受到安全威脅，就會(huì)嚴(yán)重影響校園網(wǎng)絡(luò)的安全性和可用性。

2 高校校園網(wǎng)安全管理體系設(shè)計(jì)

2.1 高校校園網(wǎng)安全管理策略分析

2.1.1 物理安全策略

主要用于保證校園網(wǎng)內(nèi)的主機(jī)、路由器、交換器等計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)設(shè)備和線路不會(huì)因?yàn)椴荚O(shè)不合理，或人為、自然因素的破壞而導(dǎo)致校園網(wǎng)的損失。

硬件安全策略的內(nèi)容主要包括：建設(shè)有效的校園網(wǎng)安全管理制度；保障校園網(wǎng)硬件設(shè)施在適當(dāng)?shù)臏貪穸拳h(huán)境下工作；對(duì)校園網(wǎng)進(jìn)行分層管理，設(shè)置用戶權(quán)限，防止用戶有超出本身使用權(quán)限的行為。

2.1.2 網(wǎng)絡(luò)隔離策略

基于校園網(wǎng)內(nèi)部網(wǎng)絡(luò)使用目的、用戶群體特征、工作性質(zhì)和保密要求的不同，進(jìn)行校園網(wǎng)的劃分。采用虛擬局域網(wǎng)劃分、防火墻配置和路由器設(shè)置等方法，從最下層來(lái)規(guī)范和限制校園網(wǎng)內(nèi)數(shù)據(jù)的傳播，限制惡意入侵所造成的校園網(wǎng)安全影響，提升校園網(wǎng)安全性能。

2.1.3 軟件選用策略

使用安全級(jí)別更高的數(shù)據(jù)庫(kù)系統(tǒng)和操作平臺(tái)，安裝合適的安全套件來(lái)提高網(wǎng)絡(luò)通信的安全性。安裝具有權(quán)威評(píng)審機(jī)構(gòu)評(píng)審和廣泛流行的入侵檢測(cè)系統(tǒng)、防火墻、安全殺毒軟件和監(jiān)控體系來(lái)保障校園網(wǎng)絡(luò)安全。

2.1.4 最小授權(quán) 策略

在權(quán)限配置過(guò)程中，在保障高校校園網(wǎng)正常使用的前提下，基于最小范圍內(nèi)的權(quán)限。同時(shí)定期刪除無(wú)效、過(guò)期用戶，避免其對(duì)高校校園網(wǎng)絡(luò)安全造成危害。

2.1.5 信息加密策略

將網(wǎng)絡(luò)中傳輸?shù)闹匾畔⑦M(jìn)行加密，將明文轉(zhuǎn)換為密文，不僅可以防止用戶了解傳輸數(shù)據(jù)的真正內(nèi)容，同時(shí)也可以判斷數(shù)據(jù)是否受到了未授權(quán)用戶的篡改，以保證校園網(wǎng)內(nèi)傳輸數(shù)據(jù)的真實(shí)性和完整性。

2.1.6 建立并嚴(yán)格執(zhí)行安全管理規(guī)章制度策略

技術(shù)是保證高校校園網(wǎng)安全的重要手段，而完善的規(guī)章制度則是保障高校校園網(wǎng)絡(luò)安全技術(shù)能夠達(dá)到預(yù)期目的重要保障。通過(guò)嚴(yán)格的規(guī)章制度，避免在高校校園網(wǎng)絡(luò)管理過(guò)程中的人為主觀因素干擾。保證高校校園網(wǎng)安全技術(shù)能夠在制度的約束下，高效、正常運(yùn)轉(zhuǎn)，達(dá)到校園網(wǎng)安全運(yùn)行的預(yù)期目的。

2.2 高校校園網(wǎng)安全管理體系設(shè)計(jì)

針對(duì)校園網(wǎng)自身特征和用戶群體需求的特點(diǎn)，依據(jù)功能區(qū)域進(jìn)行校園網(wǎng)絡(luò)劃分，采用交叉型、樹(shù)型和星型拓?fù)浣Y(jié)構(gòu)，從主節(jié)點(diǎn)向外輻射，以星型結(jié)構(gòu)校外連接，然后根據(jù)校園內(nèi)的樓宇群體分布，劃分更小、更細(xì)的星型結(jié)構(gòu)，樓群節(jié)點(diǎn)之間使用光纖連接保證網(wǎng)絡(luò)通信性能，而樓群內(nèi)部節(jié)點(diǎn)使用小型網(wǎng)絡(luò)設(shè)備以降低網(wǎng)絡(luò)建設(shè)和維護(hù)成本。主干網(wǎng)使用三層交換機(jī)，核心層使用四層交換機(jī)架設(shè)。

根據(jù)高校校園網(wǎng)的具體情況，結(jié)合高校校園網(wǎng)的最終安全目標(biāo)，部署如圖1所示的高校校園網(wǎng)安全管理方案。

圖1 校園網(wǎng)安全設(shè)計(jì)方案示意圖

如圖1所示，基于高校校園網(wǎng)安全管理需求，高校校園網(wǎng)安全管理體系結(jié)構(gòu)主要分為如下四大部分。

2.2.1 防病毒安全體系

防病毒安全體系的主要目的在于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的控制，以及針對(duì)病毒擴(kuò)撒和傳播的控制，提高高校校園網(wǎng)的病毒防范能力。

2.2.2 安全實(shí)時(shí)監(jiān)控體系

將高校校園網(wǎng)按照功能和安全需求級(jí)別，劃分為對(duì)外數(shù)據(jù)區(qū)、數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、廣域網(wǎng)鏈接區(qū)、內(nèi)部辦公區(qū)等不同的區(qū)域。并基于不同區(qū)域的安全級(jí)別需求，部署不同的安全策略。并在校園網(wǎng)內(nèi)部部署防火墻、入侵檢測(cè)系統(tǒng)等安全軟件，監(jiān)控各區(qū)域的網(wǎng)絡(luò)異常情況，并及時(shí)找出問(wèn)題所在，降低校園網(wǎng)異常影響，進(jìn)一步保障和提高高校校園網(wǎng)的安全性。

2.2.3 內(nèi)網(wǎng)安全體系

實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全防范，其目的在于防范內(nèi)部供給、防范內(nèi)部病毒傳播和防范內(nèi)部非法訪問(wèn)。該體系主要部署在核心服務(wù)器上，在終端安裝客戶端，通過(guò)校園網(wǎng)來(lái)實(shí)現(xiàn)客戶端與核心服務(wù)器的通信，以及獲取核心服務(wù)器的完全管理服務(wù)，實(shí)現(xiàn)對(duì)校園網(wǎng)的實(shí)時(shí)監(jiān)控，以及保障校園網(wǎng)絡(luò)安全。

2.2.4 虛擬專用網(wǎng)體系

對(duì)校園網(wǎng)訪問(wèn)外部因特網(wǎng)的行為進(jìn)行監(jiān)控，包括對(duì)非法訪問(wèn)的控制，以及網(wǎng)絡(luò)訪問(wèn)流量的控制，并實(shí)現(xiàn)網(wǎng)絡(luò)通信行為的可追溯。

其主要的措施就是使用VPN技術(shù)，實(shí)現(xiàn)IP層保護(hù)和身份認(rèn)證，以提高校園網(wǎng)的安全性。

[1] 林榕.高校校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的分析與對(duì)策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.