高校網(wǎng)絡(luò)信息安全等級(jí)保護(hù)措施分析

劉力維

（吉林外國(guó)語(yǔ)大學(xué) 信息技術(shù)中心，吉林 長(zhǎng)春 130117）

0 引言

在信息技術(shù)蓬勃發(fā)展不斷壯大的當(dāng)今社會(huì)，在高校的網(wǎng)絡(luò)信息平臺(tái)中對(duì)校園全體師生信息和科研數(shù)據(jù)等保護(hù)至關(guān)重要。建立科學(xué)專業(yè)系統(tǒng)的網(wǎng)絡(luò)信息安全保護(hù)和評(píng)測(cè)等級(jí)，對(duì)構(gòu)建現(xiàn)代化、數(shù)字化校園建設(shè)具有極為深遠(yuǎn)的意義。高校是培養(yǎng)人才的基地，隨著信息化建設(shè)的持續(xù)發(fā)展壯大，大數(shù)據(jù)、云計(jì)算等新興信息技術(shù)為人才培養(yǎng)和學(xué)術(shù)研究貢獻(xiàn)了諸多力量。而在校園及其信息系統(tǒng)逐漸增速發(fā)展的道路上，一些偽基站、木馬注入等網(wǎng)絡(luò)攻擊也時(shí)有發(fā)生，對(duì)校園網(wǎng)絡(luò)安全和師生信息安全構(gòu)成極大威脅。因此，保障高校網(wǎng)絡(luò)信息系統(tǒng)的安全，創(chuàng)建相應(yīng)的等級(jí)保護(hù)措施，是所有信息化高校都在研究的重點(diǎn)問(wèn)題[1]。

1 高校信息系統(tǒng)安全現(xiàn)狀

1.1 系統(tǒng)漏洞以及網(wǎng)絡(luò)協(xié)議的缺失

系統(tǒng)漏洞的存在會(huì)使得黑客乘虛而入，進(jìn)而攻擊高校網(wǎng)絡(luò)系統(tǒng)，損害高校信息數(shù)據(jù)安全。但是至今，無(wú)論任何操作系統(tǒng)都沒(méi)有百分之百的安全，都會(huì)存在些許漏洞，因此高校需要不斷進(jìn)行修補(bǔ)和完善。首先，高校信息網(wǎng)絡(luò)管理員需要強(qiáng)化用戶登錄認(rèn)證，并相對(duì)限制用戶權(quán)限范圍，所有不合常理的IP登錄地址訪問(wèn)都要禁止。其次，因?yàn)榫W(wǎng)絡(luò)協(xié)議本身具有公開透明的特點(diǎn)，其自然就存在諸多安全風(fēng)險(xiǎn)，例如黑客可以利用大量抓包工具截取傳輸?shù)男畔?shù)據(jù)等。以此，各種黑客手段的行為，都會(huì)對(duì)高校的信息系統(tǒng)造成影響[2]。

1.2 計(jì)算機(jī)病毒攻擊

科技在進(jìn)步，隨之而來(lái)的計(jì)算機(jī)病毒類型也愈加頑固，其攻擊方式各有不同，經(jīng)常出現(xiàn)的情況為一臺(tái)電腦被病毒侵占，其他所有聯(lián)系的電腦都會(huì)出現(xiàn)同種情況。這些計(jì)算機(jī)病毒可長(zhǎng)期潛伏在電腦之中，占據(jù)大量?jī)?nèi)存，使得計(jì)算機(jī)運(yùn)行超載，而且會(huì)占據(jù)大量帶寬，造成網(wǎng)絡(luò)卡頓的現(xiàn)象，在長(zhǎng)時(shí)間運(yùn)行下會(huì)嚴(yán)重消耗電腦資源[3]。

1.3 內(nèi)網(wǎng)用戶的蓄意攻擊

就目前情況來(lái)看，很多高校師生都還沒(méi)有形成嚴(yán)謹(jǐn)良好的電腦病毒防范意識(shí)，有些內(nèi)網(wǎng)用戶則會(huì)以訪問(wèn)或者預(yù)攻擊的手段進(jìn)行越界探訪，對(duì)高校信息系統(tǒng)造成嚴(yán)重影響。總體來(lái)說(shuō)，內(nèi)網(wǎng)、外網(wǎng)、黑客等對(duì)于校園網(wǎng)絡(luò)系統(tǒng)存在的攻擊心理和行為，都會(huì)影響校園網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，嚴(yán)重者會(huì)損傷高校對(duì)外形象。

2 高校校園網(wǎng)絡(luò)安全防護(hù)建設(shè)原則和目標(biāo)

為了保證高校校園網(wǎng)絡(luò)的安全正常使用，網(wǎng)絡(luò)安全防護(hù)需要遵循以下幾方面原則：首先，達(dá)到需要和風(fēng)險(xiǎn)持平狀態(tài)，因?yàn)榫途W(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，安全系數(shù)無(wú)法達(dá)到百分之百，那么也就不存在絕對(duì)風(fēng)險(xiǎn)的侵?jǐn)_。因此，在對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù)保障之時(shí)，要充分保障其可能存在的風(fēng)險(xiǎn)類型和概數(shù)，也要根據(jù)高校實(shí)際需求進(jìn)行平衡考量。其次，縱觀整體網(wǎng)絡(luò)安全工程，系統(tǒng)劃分安全防范措施在網(wǎng)絡(luò)防御中可起到的不同效果，后續(xù)采用統(tǒng)一規(guī)劃，根據(jù)高校對(duì)信息網(wǎng)絡(luò)的鋪設(shè)用量需求，以點(diǎn)到面的改造方式進(jìn)行建設(shè)。再次，還要堅(jiān)持多重保護(hù)原則，伴隨高校信息化進(jìn)程的推進(jìn)，校園網(wǎng)絡(luò)的服務(wù)扇面一再擴(kuò)充，片面的網(wǎng)絡(luò)邊界已然無(wú)法滿足大量的安全需求，因此需要將層出不窮的上網(wǎng)行為逐漸添加至安全管理中。最后，要將管理和技術(shù)方面持并重態(tài)度，這樣才可能高效實(shí)現(xiàn)信息系統(tǒng)中設(shè)計(jì)和運(yùn)維等多種技術(shù)的綜合防范目標(biāo)[4]。

3 高校校園網(wǎng)絡(luò)安全防護(hù)方案的技術(shù)和規(guī)劃

3.1 關(guān)鍵技術(shù)

3.1.1 主動(dòng)防火技術(shù)

VPN技術(shù)，即立足于公共網(wǎng)絡(luò)之上，搭建起一條專用的網(wǎng)絡(luò)通道，保證利用該網(wǎng)絡(luò)的用戶和遠(yuǎn)程用戶之間的通信安全。其中最常見的類型為VPN隧道協(xié)議中的IPsec，這是當(dāng)前受眾最多、應(yīng)用性能最高的協(xié)議。但是各大高校需求不盡相同，所以高校網(wǎng)絡(luò)的VPN網(wǎng)絡(luò)設(shè)備以及具體協(xié)議都可以遵從實(shí)際需求進(jìn)行選擇。例如現(xiàn)在各大高校都可以分設(shè)為多個(gè)校區(qū)，在這種情況下，在VPN網(wǎng)絡(luò)設(shè)備的選擇上可以采用二合一共用網(wǎng)絡(luò)設(shè)備。VLAN可以做到實(shí)現(xiàn)網(wǎng)絡(luò)的分段，也就等于降低因地域不同出現(xiàn)的雙額費(fèi)用?；蛘吒咝９芾碚咭部梢詫⑼粋€(gè)VLAN分享給類似用戶，可以直接提升管理力度[5]。

3.1.2 被動(dòng)防護(hù)技術(shù)

傳統(tǒng)防火墻含有過(guò)濾性防火墻、代理型防火墻、復(fù)合型防火墻等。不同防火墻應(yīng)用的位置設(shè)置不同，自然產(chǎn)生的效果也是不同的，但是無(wú)論哪種防火墻技術(shù)，對(duì)于僵尸網(wǎng)絡(luò)的定位和攻擊都束手無(wú)策。因此，二代防火墻更加注重網(wǎng)絡(luò)邊界和內(nèi)部的隔離空間，并相應(yīng)設(shè)置網(wǎng)絡(luò)安全管理區(qū)域，該區(qū)域只有曾經(jīng)被授權(quán)的管理人才可以實(shí)現(xiàn)訪問(wèn)，其他手段都等同于違法入侵行為。防病毒技術(shù)可以包含為病毒預(yù)防、檢測(cè)清除技術(shù)等，目前大部分高校網(wǎng)絡(luò)安全已經(jīng)可以實(shí)現(xiàn)預(yù)防病毒體系?，F(xiàn)代防病毒技術(shù)要求落實(shí)統(tǒng)一防病毒管理，這不但有利于病毒發(fā)現(xiàn)和清除，還能提升高校網(wǎng)絡(luò)運(yùn)行安全系數(shù)。

3.2 網(wǎng)絡(luò)安全防護(hù)方案

上文已經(jīng)闡述，單一的網(wǎng)絡(luò)防護(hù)手段已經(jīng)無(wú)法滿足現(xiàn)在復(fù)雜的網(wǎng)絡(luò)環(huán)境，因此高校的網(wǎng)絡(luò)應(yīng)該建設(shè)為多層級(jí)不同技術(shù)結(jié)合下的多效防護(hù)，在最大程度上實(shí)現(xiàn)高校網(wǎng)絡(luò)的安全防護(hù)工作。筆者經(jīng)過(guò)查閱相關(guān)資料結(jié)合自身工作情況，設(shè)計(jì)了一種綜合性的安全管理計(jì)劃，并形成了不同管理等級(jí)和負(fù)責(zé)的相關(guān)內(nèi)容。整體安全防御系統(tǒng)可以立足于傳統(tǒng)三層安全結(jié)構(gòu)，同時(shí)分別將網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)、邊界、內(nèi)網(wǎng)以及遠(yuǎn)程接入的安全設(shè)計(jì)也做出了大概的描述。其中，網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的核心選用容量較大的三層設(shè)備，在物理上可以形成雙核心的萬(wàn)兆光網(wǎng)，可以平衡網(wǎng)絡(luò)中的路由冗余和負(fù)載，提升高校網(wǎng)絡(luò)的穩(wěn)定性和流暢性。在網(wǎng)絡(luò)邊界安全上，建議使用防火墻，并添加防病毒模塊，例如防護(hù)墻+對(duì)數(shù)據(jù)中心進(jìn)行防御等。內(nèi)網(wǎng)面臨的最大問(wèn)題就是補(bǔ)丁和病毒防御更新不及時(shí)，所以要想保護(hù)內(nèi)網(wǎng)安全，就要先行建立一個(gè)平衡內(nèi)外網(wǎng)之間的體系。以此建議使用防護(hù)墻隔離不同的VLAN，對(duì)接入終端進(jìn)行控制，以此可以使得內(nèi)容具備更加豐富的安全性質(zhì)。遠(yuǎn)程接入可以利用VPN設(shè)備，輸入認(rèn)證之后的用戶名和密碼進(jìn)行等于校園內(nèi)部資源庫(kù)。

4 結(jié)語(yǔ)

高校信息網(wǎng)絡(luò)的安全是高?？蒲泻托畔⒐芾淼氖滓琳?，高校的信息技術(shù)在不斷更新，信息工程安全的等級(jí)保護(hù)研究也要不斷更新和優(yōu)化。網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是一個(gè)長(zhǎng)期專業(yè)且漫長(zhǎng)的過(guò)程。因此，工作人員要不斷規(guī)劃和建設(shè)網(wǎng)絡(luò)安全工作，給高校全體師生搭建一個(gè)安全流暢的信息系統(tǒng)。