新時期高校網絡安全策略分析

張曉+曹偉平+趙鑫+張媛

[摘 要]隨著現代校園的無紙化辦公的不斷推行，我們的整個校園的運行越來越依賴于內部建構的高性能網絡環境，那么與之而來的就是校方不得不首要考慮的自身網絡的安全和穩定性問題，而這也是當下高校經常會遇到的一個工作難題。文章在此背景之下，首先分析了校園內部網絡容易遇到的是何種安全問題，從物理層到最終的用戶端，然后針對每一類安全問題提出解決方案，希望能夠為我們的高校建設工作提供一些參考。

[關鍵詞]高校內部網絡；安全分析；解決方案

[DOI]10.13939/j.cnki.zgsc.2018.04.267

1 高校內部網絡安全隱患綜合分析

1.1 網絡設備的安全問題

如今隨著互聯網時代的不斷發展，校內用戶的需求不斷增長，所以各大高校為了滿足自己的網絡需求在近些年都不斷地增設各種高級網絡設備，并且將這些設備安置在校園的各個地方。由于校園的物理距離限制和設備本身的復雜度限制，導致了整個校園網絡環境的維護難度與日俱增，通信用的光纖電纜、交換機、路由器、網關等，這些設備很多由于需求導致其暴露在露天環境下，無論是惡劣天氣還是人為導致的損害都是非常容易發生的。這是物理層面上最直觀和最容易想到的維護問題，我們高校來制定自己的高校校園網絡環境安全維護方案的時候，同樣是需要首先考慮清楚的。

1.2 系統和應用軟件存在的漏洞

從最近的比特幣勒索病毒來看，其實我們高校內使用的教學網絡軟件系統本身存在著很大的問題，無論是設備所使用的操作系統存在的漏洞，還是我們日常辦公工作使用到的應用軟件，這些軟件無論是正版授權的還是違規盜版的，它們都存在著很大的安全隱患，一些不懷好意的人最想要找到并利用的也是這些漏洞，從而來達到自己的一些不可告人的目的。

1.3 計算機病毒和來自內、外網絡惡意攻擊

網絡環境下魚龍混雜，木馬、病毒充斥其中，而校園網絡從某種角度來看又是一個整體，一旦有一臺設備受到了病毒的感染，就很容易導致在整個網絡上的鏈式傳播，甚至最后導致整個網絡的癱瘓。更為令人頭疼的是，高校網絡并不能像一些保密單位那樣進行物理網絡隔絕，只做成自己的內部網絡，所以等于我們的高校網絡必須暴露在開放的環境下。對于此方面的防范，一般是教育我們的員工和學生合理正確地進行上網活動，同時嚴令禁止一些有能力進行相關操作的學生出好奇或者好玩的目的對校園網進行一些違規的操作。

1.4 內部用戶濫用網絡資源

高校內部的網絡在近些年由于新媒體時代的興起，導致其內部的大部分帶寬資源被用于各種資源的下載，而且還很難以組織，因為近些年各種P2P、BT之類的下載軟件的迅速擴張，這些長期存在并占用了大量貸款的下載行為，使得我們內部網絡的一些正常工作無法高效進行。

2 相應的解決策略

2.1 硬件保護策略

對于那些重要的核心設備，高校一般是放置在一個單獨的具有一定安保等級的機房內進行統一的維護，同時相關樓棟也會進行更為高等級的防潮、防震、防火等防范加強措施，最大可能避免由于客觀條件導致的機房內設備的損壞。而對于那些需要安置在露天環境下的設備，在布置的時候就要對其外部增加金屬或者其他鋼性材質的保護擴展，并沒有移動或者頻繁拆卸需求的設備，也可以直接固定在對應的環境內防止偷盜，而對于路由器或者交換機這類設備，一旦固定了就不方便更換的情況，我們盡可能將其安置在高處，也是為了防止偷盜行為。并且所有的電子設備都應該保證其出于一個干燥、干警、防靜電的環境內，露天設備一般需要增設避雷針之類的裝置才能保證效果。

2.2 訪問監管和控制策略

2.2.1 利用網絡防火墻和防毒墻技術

“防火墻”在網絡工程里是一個專有名詞，專門指的是在單位或者團體的內部網和其相連的外部網絡之間增設一層自動的保護系統，這樣就可以在一定程度上保證了默認網絡環境的安全等級。防火墻并不是單一的軟件或者硬件，而是軟硬件結合形成的整體性網絡，整個網絡可以保證校園網跟因特網之間的交互在一定等級上的安全性，其完成的功能主要有4個部分：服務訪問策略、驗證工具、數據包過濾和應用網關，而其中最大量產生信息交換的數據包過濾是最重要的安全保障策略。包過濾在指定好了一套切實有效的過濾原則之后，就可以自動地檢索每個流通的數據包，根據數據包的包頭里的各類信息進行分析，來判斷該數據包能不能通過網關從而進入內網。但是包過濾只是能夠防止那些未經過內網用戶允許從而展開的數據鏈路，而對于那些由內網用戶主動發起的數據鏈路是否包含由計算機病毒卻無能為力，所以我們在防火墻之后我們往往還要增設一層防毒墻，專門在防火墻檢驗了各類數據和鏈路的合法性之后，再來檢測這些鏈路和數據的干凈程度，防毒墻一般用的是簽名檢索驗證，跟國際上開源的各類病毒庫進行對比，從而保證了在網絡里流通的大部分傳統病毒無法真正侵入內網環境。當然這都是比較淺層次的討論，實際在應用的時候，整個TCP/IP網絡的各個層次的各類主要協議的安全性都是我們的關注范圍，也都有針對性的應對措施來保障安全。

2.2.2 服務器訪問控制策略

由于防火墻或者防毒墻都是被動地進行防范，從安全保護的角度來看，被動的防御總是會出現紕漏，所以我們還要主動地去限制內網用戶本身的使用權限，這往往是通過服務器訪問控制來實現的。不同等級的內網用戶，其可以訪問的外網是受到了不同程度的限制的，因為一些大量的木馬和病毒就是通過那些自身安全措施做得很差，卻又比較受到用戶歡迎的網站進行傳播的，我們如果限制了用戶對于這些網絡的訪問，自然就可以減少防御層面的工作壓力。

2.3 病毒防護策略

病毒主要由數據破壞和刪除、后門攻擊、垃圾郵件傳播、不斷自我復制耗盡資源等幾種方式的在網絡進行傳播和破壞，造成線路堵塞和數據丟失損壞。那么建立的一套完整的網絡病毒防范體系是對高校內部網絡整體病毒防護策略。具體包括：①未知病毒查殺技術：也就是主動病毒防御技術，它通過虛擬技術和人工智能技術結合，解決了原先依賴病毒庫查詢病毒的缺點，實現了對未知病毒的準確查殺。②智能引擎技術：智能引擎技術發展了特征碼掃描法的優點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。

2.4 不良信息的防護策略

因特網上有很多淫穢色情、暴力反動的信息，我們的校園里都是正在處于“三觀”成長狀態的大學生，我們的校方有義務有責任將這些不良信息抵制在校園網之外，這不僅僅是為了保證我們大學生身心健康不會受到污染，同時也是防止大學生在訪問這些充斥著大量病毒和木馬的網站時，將這些病毒帶到內網中去。

2.5 建立安全評估策略

整套不同層次的安全防護策略不僅僅依賴于其獨立的技術優越性，同時還要考慮到整個系統內部的相互配合，最好的技術也需要最好的團隊來使用才能達到最好的效果，所以我們的高校還要專門成立一個校園網絡安全管理團隊，利用自己采購和建構的整個安全防護系統，建立一個真正高效、穩定的安全維護系統，并且對于各類安全事件進行評測和重要性排序，在發生不同等級的事件時，采取針對性的措施，將人力和物力的使用率最大化。

3 結 論

隨著高校內部網絡功能和規模的擴展，它的安全問題越來越受到重視，網絡環境的復雜性、多變性，以及計算機系統的脆弱性，決定了高校校園的網絡不能僅僅依靠防火墻，而應涉及管理和技術等多方面的配合。需要仔細分析系統的安全需求，建立完善的管理制度，并將各種安全技術與管理手段綜合在一起，才能建立一個高效、通用、安全的高校內部網絡系統。

參考文獻：

[1]高薇，許浩，寧玉文，等.基于安全態勢感知平臺的高校網絡SOC研究1——以第四軍醫大學為例[J].計算機技術與發展，2018（1）：1-7.

[2]張云飛.探索高校網絡中心機房安全防護策略分析[J].電腦知識與技術，2016，12（1）：55-56.

[3]呂紹鑫.高校數字校園網絡安全體系的設計與策略分析[J].無線互聯科技，2016（7）：31-32.endprint