高校計算機網(wǎng)絡(luò)信息安全及防護策略

梁艷 李亞亭

（1.新疆醫(yī)科大學厚博學院 新疆維吾爾自治區(qū)克拉瑪依市 834000 2.新疆師范大學 新疆維吾爾自治區(qū)烏魯木齊市 830017）

在人們的生活、工作中計算機發(fā)揮出了非常重要的作用和價值，計算機網(wǎng)絡(luò)在帶給人們便利的同時，也給人們帶來了一些問題，其中最為明顯和突出就是計算機網(wǎng)絡(luò)信息安全問題，對人們的生活和工作產(chǎn)生了很大的困擾。所以，完善計算機網(wǎng)絡(luò)信息安全系統(tǒng)，提高計算機網(wǎng)絡(luò)的安全成為計算機網(wǎng)絡(luò)安全工作人員需要重點思考的問題。計算機網(wǎng)絡(luò)有著很強的開放性，所以，網(wǎng)絡(luò)信息的安全性受到了很大的威脅和挑戰(zhàn)?；诖?，本文以高校計算機網(wǎng)絡(luò)信息安全及防護措施為研究對象，對提高高校計算機網(wǎng)絡(luò)信息安全進行了詳細的分析和討論。

1 高校計算機網(wǎng)絡(luò)信息安全的意義

1.1 保障高校教學活動的有序開展

隨著科學技術(shù)在教育領(lǐng)域中的廣泛應用，我國高校使用計算機網(wǎng)絡(luò)教學成為一種普遍現(xiàn)象，在教學過程中，網(wǎng)絡(luò)中的豐富信息和數(shù)據(jù)資源為教學工作的開展提供了眾多的便利[1]。但是，如果高校計算機網(wǎng)絡(luò)中出現(xiàn)了一些信息安全威脅，那么勢必會影響到高校教學的質(zhì)量，所以，加強高校計算機網(wǎng)絡(luò)信息安全對確保高校教學活動的開展提供了重要的技術(shù)支撐。

1.2 為高校信息化建設(shè)提供基礎(chǔ)保障

高校信息化建設(shè)需要安全完善的計算機網(wǎng)絡(luò)信息環(huán)境，所以，只有保障高校計算機網(wǎng)絡(luò)信息安全，才可以實現(xiàn)高校信息化的發(fā)展。

1.3 凈化高校校園網(wǎng)絡(luò)環(huán)境

良好的校園環(huán)境對提升學生們的思想品德和道德素養(yǎng)有著非常重要的作用。在計算機網(wǎng)絡(luò)信息時代的發(fā)展下，大學生們和網(wǎng)絡(luò)的接觸日益緊密，但是網(wǎng)絡(luò)中的不良文化會對大學生的價值觀、人生觀和世界觀產(chǎn)生很大的不良影響，所以，加強高校計算機網(wǎng)絡(luò)信息安全，可以在很大的程度上凈化校園網(wǎng)絡(luò)環(huán)境，避免一些不良文化對大學生產(chǎn)生干擾，從而構(gòu)建起潔凈的校園網(wǎng)絡(luò)環(huán)境[2]。

2 高校計算機網(wǎng)絡(luò)信息安全現(xiàn)狀及需求

2.1 高校計算機校園網(wǎng)絡(luò)信息安全現(xiàn)狀和問題

2.1.1 校園網(wǎng)絡(luò)信息安全建設(shè)的現(xiàn)狀

現(xiàn)在，在我國很多高校中，校園網(wǎng)絡(luò)主要的類型是星型拓撲結(jié)構(gòu)，主要是在學校各個教學樓和宿舍樓之間鋪設(shè)光纜，和網(wǎng)絡(luò)、電信等第三方之間建立起合作關(guān)系，并根據(jù)技術(shù)的完善情況來進行網(wǎng)絡(luò)優(yōu)化和升級，目前，各大高校中已經(jīng)實現(xiàn)了千兆光纖。

2.1.2 校園網(wǎng)絡(luò)系統(tǒng)安全保護等級

按照《信息系統(tǒng)安全等級保護頂級指南》需要對學校的實際規(guī)模情況、影響力情況和學校網(wǎng)絡(luò)業(yè)務類型的情況進行分析，根據(jù)受到入侵后對學校師生、學校自身、其他組織、社會秩序、公共利益，以及國家安全的影響情況進行不同安全等級的劃分。而目前，大部分的高校校園網(wǎng)絡(luò)信息安全等級如表1所示。

2.1.3 高校網(wǎng)絡(luò)信息安全中的問題和不足

在各個高校信息化技術(shù)不斷發(fā)展的影響下，很多高校建立起了IDC機房、智慧化校園網(wǎng)絡(luò)等，對校園網(wǎng)絡(luò)信息的安全采取了一系列的措施和方法，但是，在網(wǎng)絡(luò)信息安全方面仍然存在著一些不足和問題。

（1）隨著學校的發(fā)展，學校的規(guī)模在不斷的加大，學校校園網(wǎng)絡(luò)中的用戶也在不斷的增加，出口帶寬也在不斷的優(yōu)化和升級，信息存儲的空間也在不斷的加大，這些在無形中就增加了學校網(wǎng)絡(luò)信息安全的壓力；

（2）計算機系統(tǒng)管理越來越復雜，但是因為在安全管理上并沒有形成同意的設(shè)備管理和維護，一旦出現(xiàn)計算機感染病毒的情況，將會影響到其他網(wǎng)絡(luò)的安全；

（3）現(xiàn)階段，很多高校大學生們對新鮮事物的興趣都非常濃厚，對于網(wǎng)絡(luò)新鮮事物的探索比較頻繁，如果沒有對其進行引導，學生們勢必會被網(wǎng)絡(luò)中的一些不良文化所誤導，在校園中傳播，再加上一些校園網(wǎng)絡(luò)中有很大的信息量，非常容易遭受到惡意系統(tǒng)的攻擊，對校園網(wǎng)絡(luò)產(chǎn)生不良的影響；

（4）校園網(wǎng)絡(luò)的環(huán)境是開放的，每個學校中都會有很多教學和科研實驗室，這些實驗室大多是開放式的，在管理上有所欠缺，這樣就為惡意系統(tǒng)的攻擊創(chuàng)造了便利條件，但是，如果對這些實驗室過于限制，在很大程度上會限制各種科研技術(shù)和教學成果的共享和使用[3]。

表1：校園網(wǎng)絡(luò)信息系統(tǒng)安全等級一覽表

表2：主機安全檢查范圍表

表3：DMZ區(qū)域服務器巡檢工作內(nèi)容

2.2 高校計算機網(wǎng)絡(luò)信息安全技術(shù)的需求

從技術(shù)的角度上來說，高校計算機網(wǎng)絡(luò)信息安全設(shè)計需要具備應用安全層、數(shù)據(jù)安全層、網(wǎng)絡(luò)安全層、主機安全層、物理安全層等多項技術(shù)，以此來保障高校計算機網(wǎng)絡(luò)信息安全。

（1）物理安全層主要是對計算機各種硬件基礎(chǔ)設(shè)施的安全防護，避免因人為、自然災害受到損害。通常情況下，物理安全層的設(shè)計建設(shè)需要滿足配點要求、環(huán)境要求、照明要求接地系統(tǒng)要求等。

（2）網(wǎng)絡(luò)安全層主要是指需要對高校的通信安全進行解決，如訪問控制的部署、機密的認證、病毒防御和相關(guān)的入侵檢測等。如果按照劃分區(qū)域隔離和訪問控制的需求，需要對不同安全等級的系統(tǒng)進行隔離劃分，并且還要對不同區(qū)域的通信業(yè)務進行授權(quán)控制，可以使用VLAN、VPN等隔離技術(shù)。在入侵檢測和防御方面，需要跳過防火墻的攻擊防御厚，進行相關(guān)的防御措施。

（3）主機安全層指的是校園計算機網(wǎng)絡(luò)信息安全中，不同操作下的系統(tǒng)安全需求。主機安全層可以更好的保障校園網(wǎng)絡(luò)信息安全。一般情況下，學校主機安全檢查包括表2中的內(nèi)容[4]。

（4）應用安全層；指的是計算機主機中所有的應用軟件，需要對這些軟件登錄、使用、退出等操作進行記錄，對一些非法的訪問及時通知系統(tǒng)管理員，并在發(fā)生安全隱患的情況下提供舉證參考。

（5）數(shù)據(jù)安全層是指高校正常教學、科研、以及其他業(yè)務正常運行的基礎(chǔ)，所以，要保障其完整性、保密性和安全性。

（6）安全管理層指的是高校計算機網(wǎng)絡(luò)安全中專業(yè)的技術(shù)管理人員和管理部門。對學校計算機網(wǎng)絡(luò)信息的安全需要采取一系列的保護措施。

3 高校計算機網(wǎng)絡(luò)信息安全策略

3.1 設(shè)計完整的校園網(wǎng)絡(luò)信息安全防護整體方案

首先，要設(shè)計符合學校網(wǎng)絡(luò)安全的網(wǎng)絡(luò)拓撲；以保護學校的信息系統(tǒng)為主，根據(jù)學校的網(wǎng)絡(luò)保護等級的標準來進行拓撲設(shè)計和建設(shè)，把高校網(wǎng)絡(luò)信息系統(tǒng)分為一個主干網(wǎng)絡(luò)和多個安全區(qū)域，其中主干網(wǎng)絡(luò)要實現(xiàn)高校各個干網(wǎng)網(wǎng)絡(luò)的相互連通，另外一些安全區(qū)域要形成外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域和DMZ區(qū)域；外網(wǎng)區(qū)域主要是指防火墻外聯(lián)區(qū)域，保障用戶對外網(wǎng)資源的訪問安全；內(nèi)網(wǎng)區(qū)域是防火墻內(nèi)部聯(lián)系區(qū)域，主要連接的是高校中的所有本地計算機主機；DMZ區(qū)域是一組服務器，形成的是對外開放訪問資源的接入性服務。

其次，科學選擇合理的設(shè)備；在進行設(shè)備選擇時要以節(jié)約資源經(jīng)費的原則，要從防病毒官網(wǎng)、防火墻、入侵防御、上網(wǎng)行為管理與流控、漏洞掃描和機房動力環(huán)境監(jiān)控系統(tǒng)、以及WAF等方面進行選擇。

另外，在進行防御設(shè)計的過程中，高校計算機網(wǎng)絡(luò)信息安全防御主要是以整個網(wǎng)絡(luò)環(huán)境的變化情況和技術(shù)的完善來進行優(yōu)化和完善的，所以，在進行防御設(shè)計的過程中，需要堅持整體性原則，按照需求、代價和風險平衡的原則，分級授權(quán)和整體性綜合分析的原則，便于用戶使用的原則，可實施的原則，靈活適應性原則，可維護評估的原則來進行設(shè)計。

3.2 網(wǎng)絡(luò)安全層的設(shè)計

（1）合理劃分VLAN；要對計算機網(wǎng)絡(luò)中的IPv4和IPv6地址進行合理的劃分和管理，從最早的自動獲取逐漸發(fā)展，最終取代代理和NAT，實現(xiàn)各個樓宇、教室、宿舍和機房等空間的計算機智能設(shè)備地址的認證和關(guān)聯(lián)性的管理，讓無序和無規(guī)律的地址區(qū)域劃分更加合理化。

（2）安裝VPN設(shè)備；加強學校計算機網(wǎng)絡(luò)信息安全，還需要在學校網(wǎng)絡(luò)出口旁路的位置設(shè)置1臺VPN設(shè)備，同時管理人員還需要多設(shè)置一些訪問賬戶或者是多個服務器，這樣外部用戶在進行訪問的過程中，就需要得到該計算機訪問的授權(quán)資格，形成一種獨立的加膜隧道。一些信息數(shù)據(jù)僅可以在隧道內(nèi)部進行傳輸，這樣在很大的程度上提升了計算機網(wǎng)絡(luò)信息的安全性，同時還保障了訪問權(quán)限的內(nèi)部活動[5]。

3.3 完善主機安全層設(shè)計

在進行主機安全層設(shè)計的過程中，服務器安裝的操作系統(tǒng)包括了Windows系統(tǒng)、Linux系統(tǒng)、Unix系統(tǒng)等等，在這些系統(tǒng)安裝結(jié)束之后，需要定期對這些系統(tǒng)進行漏洞系統(tǒng)的掃描，不斷的優(yōu)化補丁，保障系統(tǒng)的安全性。

高校中計算機的使用量是非常大的，所以，學校信息化建設(shè)部門需要對各自層面的安全進行保障，在解決安全問題的基礎(chǔ)上，還要在校園中積極組織和開展計算機網(wǎng)絡(luò)信息安全知識的講座，根據(jù)高校計算機網(wǎng)絡(luò)信息的實際使用情況來進行相關(guān)內(nèi)容的宣傳和介紹；例如，在Windows系統(tǒng)中，要從以下幾個方面來實施；

（1）保障每一臺計算機中所安裝使用的系統(tǒng)和應用軟件都是正版系統(tǒng)；

（2）在進行相關(guān)安全配置測試的過程中，要嚴格的按照服務器系統(tǒng)的安全配置來實施；

（3）對日志，以及日期記錄功能的信息存儲在3個月以上；

（4）定期對各個計算機系統(tǒng)中的補丁和漏洞進行安全補丁升級；

（5）確保計算機防火墻系統(tǒng)的正常運行，關(guān)閉一些存在安全隱患的窗口；

（6）定期對計算機系統(tǒng)進行漏洞的安全掃描和檢查；

（7）對病毒查殺軟件及時進行更新；

（8）對終端系統(tǒng)的上網(wǎng)行為進行IDP設(shè)備和管理設(shè)備的檢測和防護。

此外，還要對DMZ區(qū)服務器進行相關(guān)的巡檢工作[6]，如表3所示。

4 結(jié)語

高校計算機網(wǎng)絡(luò)信息安全直接關(guān)系到高校的教學質(zhì)量和科研成果的安全，在一定程度上還關(guān)系到社會公共利益的安全，所以，要加強高校計算機網(wǎng)絡(luò)信息安全防護工作，根據(jù)高校計算機網(wǎng)絡(luò)信息安全的現(xiàn)狀和其中存在的問題，不斷的完善計算機網(wǎng)絡(luò)信息安全設(shè)計，提高計算機網(wǎng)絡(luò)信息安全防范水平，為高校教學工作的開展提供良好的環(huán)境，為大學生的健康發(fā)展提供有力的保障。