現(xiàn)代校園網(wǎng)信息安全化的研究

黃宏杰+陳永清

摘 要： 深入研究了現(xiàn)代校園網(wǎng)信息安全化。對現(xiàn)代校園網(wǎng)的各層安全隱患進行了詳細的風險分析，在全網(wǎng)動態(tài)安全體系模型（APPDRR）的指導下，通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡信息安全化技術的研究，提出現(xiàn)代校園網(wǎng)絡安全問題的各層解決方案，并綜合應用到現(xiàn)代校園網(wǎng)的各個層面上，構筑現(xiàn)代校園網(wǎng)的整體安全防御體系。

關鍵詞： 安全隱患； 全網(wǎng)動態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時，我們也被各種層次的安全問題困擾著。現(xiàn)代校園網(wǎng)絡安全是一個整體系統(tǒng)工程，必須要對現(xiàn)代校園網(wǎng)進行全方位多層次安全分析，綜合運用先進的安全技術和產(chǎn)品，制定相應的安全策略，建立一套深度防御體系[1]，以自動適應現(xiàn)代校園網(wǎng)的動態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎設施，承擔著教學、科研、辦公等各種應用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡設備設施、通信線路等遭受自然災害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運行。在考慮現(xiàn)代校園網(wǎng)安全時，首先要考慮到物理安全風險，它是整個網(wǎng)絡系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡層的安全分析：網(wǎng)絡層處于網(wǎng)絡體系結構中物理層和傳輸層之間，是網(wǎng)絡入侵者進入信息系統(tǒng)的渠道和通路，網(wǎng)絡核心協(xié)議TCP/IP并非專為安全通信而設計，所以網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風險。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計平臺的原始數(shù)據(jù)來源各種應用系統(tǒng)及設備，采集引擎實現(xiàn)對網(wǎng)絡設備、安全設備、操作系統(tǒng)、應用服務等事件收集，采用多種方式和被收集設備進行數(shù)據(jù)交互，主要面臨著基于應用層數(shù)據(jù)的攻擊。

⑸ 應用層的安全分析[2]：為滿足學校教學、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡應用，用戶提交的業(yè)務信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機系統(tǒng)上運行的應用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風險分析：非法入侵者一旦獲得對資源的控制權，就可以隨意對數(shù)據(jù)和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應的、動態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡安全技術的六方面，如風險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應（Response）、數(shù)據(jù)恢復（Recovery）等，并強調(diào)各個方面的動態(tài)聯(lián)系與關聯(lián)程度。現(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構建了五道防線：第一道防線是風險分析，這是整體安全的前提和基礎；第二道防線是安全防護，阻止對現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測，及時跟蹤發(fā)現(xiàn)；第四道防線是實時響應，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復，并把災難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡信息安全化的技術研究

為了保護現(xiàn)代校園網(wǎng)的信息安全，結合福建農(nóng)業(yè)職業(yè)技術學院網(wǎng)絡的實際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術有加解密技術、防火墻技術、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護技術、身份認證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術

現(xiàn)代校園網(wǎng)中將部署各種應用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術、數(shù)字摘要技術和密鑰管理分發(fā)等加解密技術。

3.2 防火墻技術

防火墻技術是網(wǎng)絡基礎設施必要的不可分割的組成元素，是構成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規(guī)則，對進出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進行監(jiān)測、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件，以便管理員分析檢測、迅速響應和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術可以及時發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進行相應地控制：一是有效阻止網(wǎng)絡病毒的廣泛傳播，采用蜜罐技術、隔離技術等；二是殺毒技術，使用網(wǎng)絡型防病毒系統(tǒng)進行預防、實時檢測和殺毒技術，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現(xiàn)防問控制[4]。使用VPN的學校不僅提升了效率，而且學校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩浴PN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡層有GRE、IPSEC、 MPLS和DMVPN；③應用層有SSL。

3.5 入侵防護技術

入侵防護技術包含入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權對象（人或程序）針對系統(tǒng)的入侵企圖或行為，同時能監(jiān)控授權對象對系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動態(tài)安全保護。IPS幫助系統(tǒng)應對現(xiàn)代校園網(wǎng)的有效攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和及時響應），提高現(xiàn)代校園網(wǎng)基礎結構的完整性。

3.6 身份認證系統(tǒng)

現(xiàn)代校園網(wǎng)中特殊部門（如檔案、財務、招生等）要建設成涉密系統(tǒng)。要采用身份認證系統(tǒng)[5]，應建立相應的身份認證基礎平臺，加強用戶的身份認證，防止對網(wǎng)絡資源的非授權訪問以及越權操作，加強口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡可靠運行的必要手段，可保證在災難突發(fā)時，系統(tǒng)及業(yè)務有效恢復。現(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實時對整個校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結合的方式。

3.8 預警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡安全管理人員必須對整個校園網(wǎng)體系的安全防御策略及時地進行檢測、修復和升級，嚴格履行國家標準的信息安全管理制度，構建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機制，能實行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預警能力，加強對現(xiàn)代校園網(wǎng)應急事件的處理能力，切實建立起一個方便快捷、安全高效的現(xiàn)代校園網(wǎng)預警防控系統(tǒng)，實現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡安全問題的解決方案

通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡信息安全化技術的深入研究，針對現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設備的安全，機房的安全等，包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環(huán)境和不間斷電源保障等。相關環(huán)境建設和硬件產(chǎn)品必須按照我國相關國家標準執(zhí)行。

⑵ 網(wǎng)絡層安全：針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務部門及應用系統(tǒng)安全需求進行安全域劃分，并按照這些安全功能需求設計和實現(xiàn)相應的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺的主機選擇安全可靠的操作系統(tǒng)，采取以下技術手段進行安全防護：補丁分發(fā)技術、系統(tǒng)掃描技術、主機加固技術、網(wǎng)絡防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計系統(tǒng)進行監(jiān)控管理，對審計記錄結果進行保存，檢索和查詢，按需審計；同時還能夠對危險行為進行報警及阻斷，并提供對數(shù)據(jù)庫訪問的統(tǒng)計和分析，實現(xiàn)分析結果的可視化，能夠針對數(shù)據(jù)庫性能進行改進提供參考依據(jù)。

⑸ 應用層安全：應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務請求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應依法來制訂安全管理制度，提供數(shù)據(jù)審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。另一方面，當事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實現(xiàn)對網(wǎng)絡的可控性與可審查性。

5 構筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡安全問題的各層解決方案綜合應用到實際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統(tǒng)、安全實時監(jiān)控系統(tǒng)、數(shù)據(jù)審計平臺、數(shù)據(jù)存儲備份與恢復等動態(tài)自適應的防御體系，可有效防范、阻止和切斷各種入侵者，構筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結束語

信息安全化是現(xiàn)代校園網(wǎng)實施安全的有效舉措，并建立一套切實可行的現(xiàn)代校園網(wǎng)絡安全保護措施，提高現(xiàn)代校園網(wǎng)信息和應急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務教學、科研和辦公管理的作用。現(xiàn)代網(wǎng)絡的高速發(fā)展同時伴隨著種種不確定的安全因素，時時威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時俱進的思想，適時調(diào)整相應的網(wǎng)絡安全設備。

參考文獻（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡安全體系結

構[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡安全技術研究與應用[J].吉林大學碩士學

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學習指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護與管理系統(tǒng)設計與實現(xiàn)[D].

電子科技大學碩士學位論文，2015.5.

[6] 彭勝偉.高校校園計算機網(wǎng)絡設計與實現(xiàn)[J].無線互聯(lián)技術，

2012.11.

[7] 李飛.高校校園計算機網(wǎng)絡設計與實現(xiàn)的研究[J].電子制作，

2013.7.