職業(yè)院校網(wǎng)絡(luò)安全防護(hù)建設(shè)分析

羅全珍 李迎國 段小煥 王鵬

摘要：信息技術(shù)有效促進(jìn)了職業(yè)院校的教學(xué)質(zhì)量和管理效率，針對網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)，分析網(wǎng)絡(luò)安全防護(hù)建設(shè)的關(guān)鍵技術(shù)，并給出相關(guān)的安全防護(hù)措施。

關(guān)鍵詞：職業(yè)院校;信息安全;校園網(wǎng)安全防護(hù)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-9324（2020）22-0365-02

云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，有效推動(dòng)了職業(yè)院校教育信息化的進(jìn)程。然而，教育信息化在提高職業(yè)院校教學(xué)科研、行政管理效率的同時(shí)，也面臨著巨大的信息安全風(fēng)險(xiǎn)。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）2018年公布的數(shù)據(jù)顯示，全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過1億個(gè)，全年計(jì)算機(jī)惡意程序傳播次數(shù)日均達(dá)500萬余次。

現(xiàn)階段，部分職業(yè)院校對校園網(wǎng)絡(luò)安全和信息安全的重視程度不高。例如校園網(wǎng)絡(luò)建設(shè)仍局限于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的暢通;僅限于購置防火墻用于網(wǎng)絡(luò)出口的保護(hù);或者購置部署的防火墻、入侵檢測系統(tǒng)（IDS）、WEB應(yīng)用防火墻（WAF）等安全設(shè)施大多采用缺省配置，沒能充分發(fā)揮應(yīng)有的功能。隨著職業(yè)院校網(wǎng)站和各類應(yīng)用平臺(tái)數(shù)量的不斷增加，其所受到的攻擊也越來越多。本文試圖對職業(yè)院校校園網(wǎng)安全防護(hù)建設(shè)的關(guān)鍵技術(shù)和主要內(nèi)容進(jìn)行探討，期望對相關(guān)職業(yè)院?；蛲醒芯空咛峁﹨⒖冀梃b。

一、信息安全面臨的主要威脅

（一）黑客攻擊

黑客一詞原本是指一群利用自己的技術(shù)專長滲透測試目標(biāo)計(jì)算機(jī)，研究發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者。隨著黑客群體的不斷增多、黑客工具的不斷豐富，黑客技術(shù)逐漸被越來越多的人掌握，網(wǎng)絡(luò)攻擊的方式越來越多，受到攻擊的可能性也越來越大。沒有防火墻等網(wǎng)絡(luò)安全防護(hù)設(shè)備的網(wǎng)站或系統(tǒng)，很容易遭到黑客的攻擊和破壞。

（二）WEB漏洞

常見的WEB漏洞有SQL注入漏洞、命令注入漏洞、XSS漏洞、文件上傳漏洞、CSRF等。隨著WEB技術(shù)的廣泛采用，一些惡意軟件偽裝成WEB應(yīng)用，讓傳統(tǒng)基于端口的協(xié)議識(shí)別變得無能為力。一般院校原有的傳統(tǒng)的安全措施主要集中在網(wǎng)絡(luò)層上，無法對應(yīng)用層的WEB攻擊進(jìn)行有效的監(jiān)控和防護(hù)。師生在享受互聯(lián)網(wǎng)帶來的極大便利的同時(shí)，也面臨著日趨嚴(yán)重的安全威脅問題。

（三）DDOS攻擊

拒絕服務(wù)攻擊（DOS）是利用操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的一些缺陷，采用欺騙或偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，通過消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，使網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。對于早期的計(jì)算機(jī)網(wǎng)絡(luò)，服務(wù)器配置較低，網(wǎng)絡(luò)帶寬有限，利用一對一的DOS攻擊就可以實(shí)現(xiàn)?，F(xiàn)如今，基于分布式、協(xié)同分布式拒絕服務(wù)攻擊（DDOS）更為厲害。DDOS攻擊可以分為流量型攻擊、連接型攻擊和特殊協(xié)議缺陷，常見攻擊手段有SYN泛洪（SYN Flood）、UDP泛洪、Http泛洪、Land攻擊、Smurf攻擊、淚滴攻擊、死亡之ping、CC攻擊等。

（四）其他方式的攻擊

除以上幾點(diǎn)，職業(yè)院校校園網(wǎng)及信息系統(tǒng)面臨的安全威脅還有很多，比如緩沖區(qū)溢出漏洞、口令暴力破解、網(wǎng)絡(luò)監(jiān)聽、蠕蟲病毒、惡意軟件攻擊、內(nèi)部人員攻擊等。

二、校園網(wǎng)安全防護(hù)的關(guān)鍵技術(shù)

（一）防火墻系統(tǒng)

防火墻是不同網(wǎng)絡(luò)間信息的唯一出口，根據(jù)校園網(wǎng)的安裝策略配置，對出入網(wǎng)絡(luò)的信息流采取允許或拒絕的處理，從而可以阻擋外部不安全因素，防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。根據(jù)過濾和檢測方式不同，我們可以將防火墻分為包過濾型和狀態(tài)檢測型。

（二）密碼技術(shù)

對數(shù)據(jù)進(jìn)行加密處理，是保護(hù)數(shù)據(jù)在傳輸、存儲(chǔ)、處理過程中安全可靠的重要手段。對稱密碼體制的加密密鑰和解密密鑰是相同的，因此，通信的雙方必須很好地保存他們共同的密鑰。常見的對稱密鑰算法有DES、3DES、AES、IDEA等。非對稱密碼體制也叫公鑰密碼體制，密鑰對中一個(gè)密鑰由所有者保管，稱之私鑰，另一個(gè)密鑰可以公開，稱之公鑰。當(dāng)使用公鑰加密時(shí)，只有私鑰擁有者能用對應(yīng)的私鑰解密;當(dāng)用私鑰加密時(shí)，大家可以用對應(yīng)的公鑰解密，這就是數(shù)字認(rèn)證和簽名技術(shù)的基礎(chǔ)。公共密鑰體制中最著名的算法是RSA算法。

（三）認(rèn)證技術(shù)

認(rèn)證技術(shù)可以分為身分認(rèn)證和報(bào)文認(rèn)證。身分認(rèn)證技術(shù)可以有效地對用戶身分進(jìn)行識(shí)別，并分配相應(yīng)的權(quán)限，其實(shí)施方式包括了RADIUS認(rèn)證、WEB/POTRAL認(rèn)證、PPPOE認(rèn)證和802.1X認(rèn)證等。報(bào)文認(rèn)證主要是對數(shù)據(jù)真實(shí)性和完整性的驗(yàn)證，比如MD5算法和SHA算法。

（四）VPN技術(shù)

VPN即虛擬專用網(wǎng)技術(shù)，是依靠ISP或NSP在公共網(wǎng)絡(luò)中建立安全的數(shù)據(jù)通信網(wǎng)絡(luò)。VPN技術(shù)對網(wǎng)絡(luò)的連接可分為傳輸模式和隧道模式。根據(jù)OSI協(xié)議層的不同，可以在數(shù)據(jù)鏈路層采用PPTP及L2TP技術(shù)實(shí)現(xiàn)VPN連接，在網(wǎng)絡(luò)層采用IPSEC VPN技術(shù)，在應(yīng)用層采用SSL技術(shù)進(jìn)行連接。

三、校園網(wǎng)安全防護(hù)體系建設(shè)

（一）部署高性能安全防護(hù)設(shè)備

目前常見的網(wǎng)絡(luò)安全設(shè)備有防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、WEB應(yīng)用防火墻、上網(wǎng)行為審計(jì)、統(tǒng)一威脅管理、安全網(wǎng)管等。部署這些專業(yè)的網(wǎng)絡(luò)安全防護(hù)設(shè)備，可以對用戶的異常行為進(jìn)行模式匹配和檢測，識(shí)別和阻止SQL注入攻擊、跨站攻擊、批量掛馬、敏感信息泄露、盜鏈行為等，有效防護(hù)0day攻擊，可以進(jìn)行關(guān)鍵字過濾、上網(wǎng)行為管理和審計(jì)、流量分析和優(yōu)化，并能及時(shí)通過多種手段告知網(wǎng)管。

（二）保障移動(dòng)互聯(lián)的安全接入

當(dāng)前的無線網(wǎng)絡(luò)還沒有啟用準(zhǔn)入機(jī)制，只在校園網(wǎng)出口進(jìn)行準(zhǔn)出認(rèn)證，因此保障師生的無線終端接入安全很有必要。隨著校園無線網(wǎng)的快速建設(shè)，移動(dòng)應(yīng)用日趨豐富，校園網(wǎng)接入層應(yīng)做好第一道安全關(guān)卡，使用完善的用戶及終端準(zhǔn)入機(jī)制非常重要。無線網(wǎng)絡(luò)可以與核心BRAS系統(tǒng)進(jìn)行聯(lián)動(dòng)配合，實(shí)現(xiàn)準(zhǔn)入和準(zhǔn)出的一體化認(rèn)證，同時(shí)能夠和學(xué)?，F(xiàn)有的身分認(rèn)證系統(tǒng)進(jìn)行對接，實(shí)現(xiàn)無感知認(rèn)證。

（三）統(tǒng)一安全運(yùn)維管理平臺(tái)

部署統(tǒng)一、規(guī)范、高效的安全運(yùn)維管理平臺(tái)，能夠?qū)π@網(wǎng)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行管理，提供實(shí)時(shí)監(jiān)控、事件快照、綜合分析、策略下發(fā)、統(tǒng)計(jì)分析以及日志審計(jì)等功能，能夠根據(jù)實(shí)時(shí)監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)生成動(dòng)態(tài)或網(wǎng)絡(luò)入侵行為來規(guī)范和管理網(wǎng)絡(luò)，方便院校管理人員隨時(shí)了解網(wǎng)絡(luò)安全狀況。

（四）建設(shè)信息安全等級(jí)保護(hù)

隨著等保2.0的到來，職業(yè)院校在信息系統(tǒng)建設(shè)和運(yùn)維過程中，必須考慮系統(tǒng)的重要程度和保護(hù)等級(jí)，并選擇相關(guān)的安全保護(hù)措施，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或被竊取、篡改。建立統(tǒng)一的智能化網(wǎng)站安全監(jiān)測管理平臺(tái)，對WEB業(yè)務(wù)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，繪制網(wǎng)站安全地圖，通過圖形化界面快速定位有安全風(fēng)險(xiǎn)的網(wǎng)站，實(shí)時(shí)預(yù)知網(wǎng)絡(luò)可能發(fā)生的各種風(fēng)險(xiǎn)。提供網(wǎng)站歷史安全勢態(tài)的跟蹤功能，提供橫向安全對比報(bào)告便于監(jiān)管人員對網(wǎng)站進(jìn)行考評(píng)、跟蹤網(wǎng)站的安全處理情況。

四、結(jié)語

在校園網(wǎng)服務(wù)于教學(xué)、科研、生活和管理的同時(shí)，職業(yè)院校應(yīng)充分認(rèn)識(shí)網(wǎng)絡(luò)安全工作的重要性和緊迫性，全面實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)制度，構(gòu)建符合教育行業(yè)特色的安全標(biāo)準(zhǔn)規(guī)范體系。綜合運(yùn)用新一代防火墻、入侵防御、WEB防護(hù)等技術(shù)實(shí)現(xiàn)校園網(wǎng)各種業(yè)務(wù)的安全防護(hù)。面對多樣化的移動(dòng)智能終端，需要從安全接入、身分認(rèn)證、權(quán)限控制、業(yè)務(wù)應(yīng)用訪問、用戶數(shù)據(jù)保護(hù)等角度進(jìn)行安全加固，確保師生可以隨時(shí)隨地安全快速地接入校園網(wǎng)，部署統(tǒng)一的安全運(yùn)維管理平臺(tái)，提供對各種安全事件的全面管理，提高網(wǎng)絡(luò)的安全性、可管理性和可維護(hù)性。

參考文獻(xiàn)：

[1]王安.X高校智慧校園建設(shè)項(xiàng)目方案規(guī)劃與實(shí)施研究[D].青島：青島科技大學(xué)，2018.

[2]羅全珍.職業(yè)院校教育信息化建設(shè)方案淺析[J].科教導(dǎo)刊（中旬刊），2019，（05）：13-14.

[3]白海.“十三五”智慧校園建設(shè)研究[J].電腦知識(shí)與技術(shù)，2018， 14（15）：28-29+32.

[4]羅全珍，張燕州，張士輝，王瑋璟.高等職業(yè)院校ICT專業(yè)群建設(shè)探索[J].實(shí)驗(yàn)技術(shù)與管理，2017，34（03）：158-160.

Analysis on the Construction of Network Security Protection in Vocational Colleges

LUO Quan-zhen， LI Ying-guo， DUAN Xiao-huan， WANG Peng

（Gansu Vocational and Technical College of Communications， Lanzhou， Gansu 730070， China）

Abstract： Information technology has effectively promoted the teaching quality and management efficiency of vocational colleges. Based on the risks faced by network security， this paper analyses the key technology of network security protection construction， and gives the relevant security protection measures.

Key words： vocational colleges; information security; campus network security protection

收稿日期：2019-10-24

基金項(xiàng)目：2019年度甘肅省職業(yè)教育教學(xué)改革研究項(xiàng)目“發(fā)揮甘肅省信息技術(shù)職教集團(tuán)優(yōu)勢，構(gòu)建開放、共享、共贏的ICT人才生態(tài)體系”（編號(hào)：2019gszyjy-33）;2019年度甘肅省高等學(xué)校創(chuàng)新能力提升項(xiàng)目“基于以太網(wǎng)+云平臺(tái)+手機(jī)APP的家庭智慧安防系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)”（編號(hào)：2019B-266）

作者簡介：羅全珍（1981-）男（漢族），甘肅永登人，碩士研究生，甘肅交通職業(yè)技術(shù)學(xué)院講師、工程師，研究方向：信息安全、職業(yè)教育。