高校校園網絡安全技術淺析

■大連外國語大學 嚴軍鵬

高校校園網絡安全技術淺析

■大連外國語大學 嚴軍鵬

1.高校校園網絡安全分析

隨著電子產品的不斷更新，高校校園網絡發展迅猛。針對高校校園網絡安全來說，電子產品、計算機和網絡設備都具有脆弱性，它們共同構成了高校校園網絡的不安全因素，形成潛在威脅。高校校園網絡安全是一門非常復雜繁瑣的技術，在此，本文從高校校園網絡的自身出發來研究和分析校園網絡安全問題。

（1）高校校園網絡與安全風險

高校校園網絡提供各種信息，包括校園新聞、學生成績查詢、各種資訊等等，是一種提供綜合信息服務的網絡，具有很強的開放性，同時也要有很強的保密性。高校校園網絡一般采用TCP／IP協議，本文以TCP／IP協議網絡模型來分析高校校園網絡的安全，其風險可能存在的環節見表1。

表1 TCP／IP協議網絡模型下可能存在安全風險的環節

?

從上表可以看出，高校校園網絡分為物理層、網絡層、傳輸層、數據鏈四個層次，每個層次都存在安全風險的環節，高校校園網絡的安全風險也是由各層次環節的安全風險綜合產生的，比如數據傳輸過程中的竊聽、IP偽裝、病毒攻擊等等，因此高校校園網絡系統的安全措施是一項負責而又繁瑣的綜合措施。

（2）高校校園網絡與安全風險的關系

高校校園網絡的特點是集中與分布相結合，其網絡安全的風險主要存在于上表的位置。

（3）高校校園網絡安全危險的說明

高校校園網絡可分為受控區域和不受控區域，受控區域是指高校校園網絡系統中，可由高校校園網絡的管理員直接可進行管理的區域，包括校園網頁、各系部網頁等等；不受控區域是指不受高校校園網絡管理員管理的區域，比如學生論壇、網絡經銷商提供的傳輸系統等等。

高校校園網絡受控區域的安全風險一般有：校園網頁受到學生、教師的攻擊；數據在網內傳輸過程中被竊聽、截留等。物理層方面，數據傳輸的線路要防止被人竊聽；網絡層方面，IP的分配一般是動態的，由OSPF來實現的，要防止認為偽造OSPF路由更新信息；數據鏈方面，網絡設備是通過MAC地址來標識通信的來源與目的，切勿將網卡設為“混雜”狀態，防止網上數據被偵聽。

高校校園網絡非受控區域的安全風險一般有：物理層和數據鏈方面的線路竊聽、撥號攻擊等；IP控制方面必須使用加密方式，防止被攻擊；外部攻擊方面要做好多重措施的防范，在管理與技術方面加強管理。

2.高校校園網絡安全的對策

從高校校園網絡的根本出發，針對各個層次的不安全環節提出高校網絡安全的解決方案。

①高校校園網絡的布線系統：加強高校校園網絡布線系統的管理；

②傳輸介質：在高校校園網絡布線中使用光纜；

③撥號備份：在撥號過程中使用認證功能；

④IP分配：使用最優化的IP分配方案，采用訪問控制技術；

⑤數據傳輸：在數據傳輸過程用使用加密；

⑥IP路由：控制路由技術

⑦設備管理：加強連接設備的管理，嚴格控制主機和終端。

3.高校校園網絡安全的設計方案

高校校園網絡的設計方案中可采用以下措施進行安全防護。

（1）DMZ和防火墻的安裝

由下面高校校園網絡工作示意圖可以看出，外部的攻擊想要進入高校校園網絡的內網服務器必須首先攻破DMZ的三個關卡，需要的時間較長，如果管理員能夠發現及時，可以進行補救，也就是說DMZ是高校校園網絡的外部防火墻。此外，在數據庫服務器前段加上防火墻，這樣就給高校校園網絡加上了雙層保護，即便外部攻擊已經成功，也不至于馬上危及到數據庫服務器。

（2）IDS（入侵檢測系統）的安裝

安裝入侵檢測系統后，它在后臺運行，不間斷的對高校校園網絡的通訊和系統日志進行監視，能夠及時發現外部入侵，通過管理分析，查找問題進行補救。對系統的入侵有外部的，也有內部的，在攻擊過程中，攻擊者都會留下一些痕跡，IDS系統可以及時捕捉到入侵痕跡，從而可以讓管理員采取措施。

（3）對遠程訪問的安全控制

由于特殊原因，高校校園網絡系統需要允許外部用戶遠程訪問，比如：在線教育的學員需采用撥號上網方式，對于該種上網方式其安全性必須包含認證和授權兩個步驟進行。再比如：在外地出差或者訪學的教師進行訪問也屬于外部用戶遠程訪問。針對于遠程訪問，當前用的表較多的接入方式是VPN，即虛擬私用網絡。VPN在數據通信方面采用的是高強度的加密，安全性能強，但是VPN接入的節點必須專門進行有效的管理，防止該節點被利用，成為攻擊的跳板。因此在VPN接入方式的遠程訪問下，禁止在高校校園網絡內部計算機上使用撥號上網。同時確保在遠程訪問過程中，凡是需要保密的材料在傳輸過程中都必須加密。

（4）高校校園網絡設備的安全硬化

高校校園網絡系統的安裝和硬件必須遵循高標準高需求原則，對高校校園網絡系統需要的網絡功能進行核查，根據較高的標準進行配置，同事盡可能減少與外界接觸的通道，對各種數據傳輸進行加密，對各種訪問進行控制。高校校園網絡安全硬化的重中之重在于高校校園網絡操作系統的配置、路由器的配置、交換機的配置、服務器的配置等等，只有這些配置達到了需求，才能確保高校校園網絡的正常運轉和安全。

（5）高校校園的各種業務實行分離

高校的業務非常廣泛，根據不同的業務、人員等進行分類，不同的業務都建立自己的局域網絡，不同的業務服務分配不同的服務器，都有著自身的防御系統。比如：對學生，要有成績查詢系統、選課系統等等；對教師，要有開課系統，成績輸入系統；對校辦企業，要有相對的考核和管理系統；宿舍、餐廳等還要專門的網絡系統。

（6）加強高校校園網絡物理層的安全管理

高校校園網絡的設施是非常復雜和重要的，加強對高校校園網絡系統主機、交換機、路由器、線路等各種硬件設施的管理，防止設施被破壞、偷竊、非發接入等等。

（7）高校校園網絡實行機構分隔

高校的職能部門很多，有處室、教學系部、學生管理中心、后勤管理中心等等，他們都具有不同的職責，因此各部門需要的資源不太相同，所需要的網絡也不盡相同，所以高校校園網絡的機密信息僅供特殊部門使用，公共的信息和資源能夠被所有部門和處室查看。因此，實行高校校園網絡的機構分隔是非常有必要的。高校校園網絡的機構分隔是水平分隔，即各部分之間的分隔，數據在傳輸過程中必須經過同一交換機，這樣的高校校園網絡更加安全穩定。

（8）對高校校園網絡進行定期測試，以確定安全性，及時采取補救措施

高校校園網絡必須經常進行系統的安全測試，查找系統的漏洞和不足，采用各種工具和方法進行補救，要每天都要有記錄，對其網絡系統的管理進行評價，查找不足，對已知的漏洞或者補丁及時更新，對于不能解決的問題要及時上報。

高校校園網絡的安全問題是一項系統的工程，在設計網絡安全方案和措施時要全面考慮整個校園網絡，要涉及到各個方面，兼顧各種資源的配備，進行詳細的規劃，逐步完善安全防御體系，進行不安全因素追蹤記錄。

高校校園網絡的安全問題是一個永無終止的工作，要求高校必須不斷改進，加強管理，增強技術，堅持不懈，及時更新網絡設施，確保校園網絡的安全。