校園網的網絡信息安全分析

邱永強

新疆自治區黨校，新疆烏魯木齊 830000

1 校園網安全特性分析

通常來講，信息安全重點關注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞，出現了信息泄露、被篡改、濫用的現象。信息網絡的安全特性主要有完整性、可用性、保密性以及未授權使用資源的安全威脅，這些安全特性也是校園網的安全特性。

目前，不少學校的校園網中使用的網絡沒有設置防護系統，也沒有內部網絡和外部網絡的區別，可以說安全策略和安全措施的設置絲毫沒有受到學校的重視。

主要表現在網絡的應用管理系統較為分散、沒有設置完善的防毒策略、沒有采取數據備份措施以及尚未建立集中的身份驗證系統等等。

在教育信息化速度日益加快的今天，學校中的很多工作都需要通過網絡來完成，例如管理、科研方面的工作，除此之外，校內的諸多業務系統都需要通過校園網來建立，如教務系統、人事系統、辦公系統以及財務系統等。如果校園網網絡信息的安全問題再得不到足夠的重視，將會給校園網埋下嚴重的安全隱患。

2 校園網網絡信息安全風險分析

校園網具有網絡連接形式復雜、設備種類數量多以及操作系統平臺不一致的特點，這就給校園網的網絡信息的安全帶來了很多威脅，風險主要來自一些幾個方面。

2.1 互聯網導致的風險

校園網絡的構建幾乎都需要用到Internet 技術，并且還需要連接到互聯網上。網絡用戶可以直接訪問互聯網的資源，同樣任何能上互聯網的用戶也可以直接訪問校園網的資源。

這樣的網絡構建方式對于提高學校的知名度、擴大學校的影響力具有十分重要的作用。然而互聯網具有網絡信息的開放性和共享性，這就導致了網絡信息存在一定的安全隱患，學校在獲得知名度的同時，也會出現一些安全問題。

互聯網上的信息都不能完全信任，因為網絡信息的安全性無法保證，是否會出現網絡攻擊性行為更難以預料，這就需要學校在使用校園網時切實做好安全防范工作，預防和化解存在的安全風險。

2.2 內部導致的風險

據相關統計顯示，有將近75%的網絡信息安全事件都是源于內部。可見，內部網絡存在的安全風險十分嚴重。

因為內部人員比其他人員更熟悉內部網絡的應用系統和網絡結構，這就容易出現網絡內部人員攻擊內部網絡的事件，或者內部人員與外部人員聯手攻擊網絡，亦或是內部人員將網絡信息隨意泄露出去的行為，這都可能會給校園網的網絡系統帶來破壞性的打擊。

特別是近年來校園網絡的迅速發展，并且和一般性的局域網絡不同，校園網使用的用戶中網絡高手較多，更需要切實做好校園網的安全預防工作。

2.3 病毒導致的安全風險

病毒是一種非法程序，它是為了達到某種企圖而秘密編寫的，它的復制能力非常強。病毒能夠給計算機網絡帶來毀滅性的破壞。

尤其是目前互聯網的發展速度日新月異，使用電子郵件系統的用戶變得越來越多，致使網絡成為了病毒擴散的重要載體，并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見，校園網的網絡信息在病毒肆意蔓延的環境下存在著諸多安全隱患。

2.4 管理導致的安全風險

在網絡安全中，管理占據著十分重要的地位。不少學校都將學校的建設放在重要的位置，而不太重視學校的管理工作，尤其是網絡安全管理。

可見，出現網絡安全的一個重要原因就是學校沒有制定完善的安全管理制度。

如，校園網的網絡用戶沒有樹立較強的安全意識，校園網缺乏完善的管理制度，校園網絡管理員設置不合理以及用戶口令設置不恰當等等，這些都給校園網帶來了嚴重的安全隱患。

2.5 系統導致的安全風險

由系統導致的安全風險主要來自于數據庫系統、操作系統以及各種應用系統。大多數校園網一般使用三種系列的操作系統，它們是Linux、Unix 以及Windows，使用程度最高的系列是最后一種。

不言而喻，每一種操作系統都不可能是完美的，或多或少都會存在一些未知和已知的安全問題，并且國家安全組織也對系統中存在的大量漏洞給予了披露。系統中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網絡系統中，進而破壞網絡系統，還有些漏洞能夠為病毒的入侵提供便利的條件等等。

總之，系統中存在的風險也嚴重威脅著校園網的網絡信息的安全。

3 保護校園網信息安全的對策

3.1 重視網絡安全規劃

注重對校園網實施安全規劃的目標是為了從系統性的角度對網絡中的安全問題進行全面性的思考。網絡安全規劃的內容比較多，主要有病毒防御、加密技術、訪問攔截、認證技術以及攻擊檢測技術等安全預防措施；安全服務；安全管理制度，如工作流程、網絡工作人員以及維護保障制度等；安全防范策略；應用服務器、應用系統的分布情況、數據庫系統設置的位置；內部網絡的邏輯劃分以及外部網絡的邏輯劃分；安全評估、數據備份與恢復措施、減災措施以及實施計劃等。

在校園網建設規劃的同時，要同時做好校園網的信息規劃工作，并將其列入到校園網建設規劃中的重要事項當中。

3.2 對網絡區域進行科學合理地劃分

站在安全的角度考慮，校園網對網絡區域進行科學合理地劃分是十分有必要的。在對網絡區域進行劃分時，需要充分考慮整體的安全規劃以及信息安全密級，運用邏輯思維對內網和外網進行劃分，劃分出安全區域（內網區域）、不安全區域以及非軍事區（DMZ），然后還要考慮到學校對網絡的需求情況，對虛擬專用網（VLAN）進行合理地劃分，如圖1 所示。

圖1 網絡區域的劃分

校園網的內部網絡區域屬于安全區域，這個區域是不允許外部用戶進行訪問的，因為其擁有較高的安全等級。

該區域運行的系統主要有OA 系統以及各種應用系統，而這個區域應該存放的服務器主要有數據庫服務器以及不同種類的內部服務器。

內部網絡和外部網絡用戶都可以對非軍事區進行訪問。這個區域能夠為外界提供Ftp 服務、Web 服務以及Email 服務等多種服務。

因此，也需要為這個區域制定一些安全防護措施。校園網防火墻以外的網路接口處外部的區域被規定為了不安全區域。在認真分析了校園網用戶的特征之后，總結出該結構具有的特征如下：

1）通過校園網的入侵檢測系統和防火墻，校園網用戶都能對互聯網進行訪問，使廣大校園網的用戶能夠方便地使用網絡；

2）DMZ(demilitarized zone)與外部區間之間設有防火墻，能夠為校園網提供信息過濾以及訪問控制等防護措施。非軍事區域內提供的所有網絡服務，內部網絡用戶和外部網絡用戶都能夠享受，即都能夠對該區域進行訪問。

因此，需要在分析非軍事區域的特點，為其制定出行之有效的安全防護措施。在這些安全措施制定期間，要對內部網絡用戶和外部網絡用戶做出一些規定，對開放服務不設置權限，但是對內網的各種服務需要暫時設置一些權限，不能允許內外網用戶進行訪問；

3）內網區域具有較高的安全級別，在對其進行設置安全防護措施時，可以同時利用入侵檢測系統和防火墻，使二者進行相互配合，建立健全安全防御體系。

3.3 運用行之有效的網絡安全防御技術

3.3.1 防火墻安全技術

防火墻這種網絡設備能夠對網絡之間的訪問起到一定的控制作用，它主要是通過攔截認證資格的用戶進入內部網絡、篩選不安全信息的方式，以達到保護內部網絡的目的，實質上防火墻是一種位于內外網之間的安全防御系統。然而防火墻這種安全技術無法控制內部出現的沒有認證授權

就進行訪問的狀況。所以比較適合應用于相對較為獨立的內部網絡，并且和外網的連接的途徑受到一定的限制、網路服務種類比較集中的網絡。

在對外界入侵者進行防御時，防火墻應用的技術主要有應用網關、數據包過濾以及代理服務等，以達到維護校園網絡安全的目的。

3.3.2 數據加密技術

數據加密技術可以提高網絡數據的安全系數，避免出現重要數據信息被濫用、篡改以及泄露的現象，從而為網絡的安全運行提供一個良好的環境。

而那些沒有運用加密技術的網絡數據容易在運行時受到外界的阻攔，給信息使用者帶來極大的經濟損失。數據加密技術主要有三大類：對稱型加密技術、不可逆加密技術以及不對稱型加密技術。

總之，在網絡上應用這三大類加密技術可以為網絡運行創造出一種安全可靠的環境。

3.3.3 網絡入侵檢測技術

網絡入侵是指通過不合法的手段企圖使信息系統的完整性、機密性以及可信性受到嚴重破壞的任何網絡活動，對網絡環境的安全性造成了嚴重的威脅。

而入侵檢測(Intrusion Detection)技術能夠對網絡的外部環境進行檢測，而且還能對網絡內部用戶的未授權活動進行檢測，極大程度上提高了其安全性。網絡入侵技術通過利用新型的攻守結合戰略來對相關數據進行檢測，并及時驗證其是否具有合法利用特權，并且還能搜集相關證據，借此來追究入侵者的非法行為。

IDS 是入侵檢測技術中常用的一種能夠為管理者提供安全可靠信息的檢測系統，它能夠及時地檢測到網絡運行中出現的可疑或不安全因素，然后將其真實地告訴網絡管理者，以便于采取有效的措施進行防御。

市場上比較常見的IDS 產品綜合采

用三個基本方法來檢測網絡入侵：即為追蹤分析、網包分析及實時活動監控。

[1]鄧長春.淺談網絡信息安全面臨的問題和對策[J].電腦與電信，2007(3).

[2]陳文冠，曹亮，陳興華.高校校園網信息安全的研究[J].科技管理研究，2007(2).

[3]王榮.校園網絡信息安全體系的構建[J].天津科技，2007(1).

[4]張曉兵.加強校園網絡信息安全保障[J].信息網絡安全，2006(12).