高校校園網安全管理研究

王 龍

（陜西廣播電視大學延安分校，延安 716000）

21世紀人們開始進入互聯網時代，信息技術已經開始在生活生產、交流溝通和經濟發(fā)展中起著不可估量的作用。高校校園網是互聯網的重要組成部分，同時由于高校校園網本身、使用群體和使用目的特殊性，使得高校網絡安全也成為了人們關注的重點。

1 高校校園網安全管理需求分析

1.1 高校校園網安全影響因素分析

高校校園網既具有互聯網和因特網的一些特點，同時由于機房計算機共用、大學生用戶群體安全意識薄弱和好奇心強等特點，使得高校校園網又有其獨有的特點。高校校園網由于其自身和用戶群體的特殊性，其所遭遇到的安全影響因素主要包括如下幾個方面。

1.1.1 病毒入侵

由于校園網內大學生的安全意識薄弱，和好奇心強的特點，使得互聯網上的一些病毒很容易被下載和安裝到校園網內，同時也容易在校園網內廣泛傳播。

1.1.2 未授權用戶對網絡的訪問

校園內一些未得到授權的用戶，使用各種手段或工具來獲得訪問或控制校園網的權限。

1.1.3 信息篡改

校園網內的一些非法用戶利用通信協議和操作系統中的一些漏洞，竊取或篡改校園網內傳遞的信息。

1.1.4 密碼失竊

校園網內的一些用戶使用網絡上的間諜軟件、搭線法等一些密碼破解方法和密碼破解工具，破譯校園網內一些對安全不重視用戶的用戶密碼。

除此以外，由于校園網用戶群體人數多、層次不同、構成復雜的特點，對互聯網的不當下載和操作，以及訪問互聯網上一些不安全的網站等行為，都會對高校校園網安全產生非常惡劣的影響。

1.2 高校校園網安全管理需求分析

通過對校園網特征及其所受到的安全影響因素的分析，可以看出高校校園網的安全問題較為復雜，在此基礎上，其安全需求分析如下。

1.2.1 防御網絡攻擊的需求

高校校園網的供給行為來自校園網內部和外部兩個方面，因此既要考慮通過硬件或軟件設備隔離來自外部互聯網的攻擊；同時，也需要關注對校園網內部通信安全的監(jiān)控。

其具體的手段，包括對校園內部IP地址的監(jiān)控、對通信數據進行加密、監(jiān)聽網絡通信流量和阻斷惡意流量等方式。

1.2.2 安全漏洞管理需求

對在校園網內運行的各種應用服務器系統的計算行為、數據和運行工作進行監(jiān)控，避免病毒、木馬等惡意程序和惡意行為利用網絡協議漏洞或系統漏洞對應用服務器進行攻擊。

1.2.3 病毒防范需求

校園網的接入點多，用戶群體數量多、情況復雜，為此校園網的病毒感染隔離，和病毒傳播、爆發(fā)控制都非常困難。這就要求加強對校園網的監(jiān)控，特別是校園網公用端口部分的監(jiān)控，要求有有效的保護和良好的控制措施，在校園網內部建立行之有效的網絡病毒防護體系。

1.2.4 Web應用安全需求

在信息技術時代，Web服務器需求飛速發(fā)展，同時也導致Web服務器的安全威脅與日俱增，其中就包括木馬攻擊、數據庫注入和網站地址篡改等情況。同時，Web服務器是重要的高校對外信息交流手段，一旦Web服務器受到安全威脅，就會嚴重影響校園網絡的安全性和可用性。

2 高校校園網安全管理體系設計

2.1 高校校園網安全管理策略分析

2.1.1 物理安全策略

主要用于保證校園網內的主機、路由器、交換器等計算機網絡相關設備和線路不會因為布設不合理，或人為、自然因素的破壞而導致校園網的損失。

硬件安全策略的內容主要包括：建設有效的校園網安全管理制度；保障校園網硬件設施在適當的溫濕度環(huán)境下工作；對校園網進行分層管理，設置用戶權限，防止用戶有超出本身使用權限的行為。

2.1.2 網絡隔離策略

基于校園網內部網絡使用目的、用戶群體特征、工作性質和保密要求的不同，進行校園網的劃分。采用虛擬局域網劃分、防火墻配置和路由器設置等方法，從最下層來規(guī)范和限制校園網內數據的傳播，限制惡意入侵所造成的校園網安全影響，提升校園網安全性能。

2.1.3 軟件選用策略

使用安全級別更高的數據庫系統和操作平臺，安裝合適的安全套件來提高網絡通信的安全性。安裝具有權威評審機構評審和廣泛流行的入侵檢測系統、防火墻、安全殺毒軟件和監(jiān)控體系來保障校園網絡安全。

2.1.4 最小授權 策略

在權限配置過程中，在保障高校校園網正常使用的前提下，基于最小范圍內的權限。同時定期刪除無效、過期用戶，避免其對高校校園網絡安全造成危害。

2.1.5 信息加密策略

將網絡中傳輸的重要信息進行加密，將明文轉換為密文，不僅可以防止用戶了解傳輸數據的真正內容，同時也可以判斷數據是否受到了未授權用戶的篡改，以保證校園網內傳輸數據的真實性和完整性。

2.1.6 建立并嚴格執(zhí)行安全管理規(guī)章制度策略

技術是保證高校校園網安全的重要手段，而完善的規(guī)章制度則是保障高校校園網絡安全技術能夠達到預期目的重要保障。通過嚴格的規(guī)章制度，避免在高校校園網絡管理過程中的人為主觀因素干擾。保證高校校園網安全技術能夠在制度的約束下，高效、正常運轉，達到校園網安全運行的預期目的。

2.2 高校校園網安全管理體系設計

針對校園網自身特征和用戶群體需求的特點，依據功能區(qū)域進行校園網絡劃分，采用交叉型、樹型和星型拓撲結構，從主節(jié)點向外輻射，以星型結構校外連接，然后根據校園內的樓宇群體分布，劃分更小、更細的星型結構，樓群節(jié)點之間使用光纖連接保證網絡通信性能，而樓群內部節(jié)點使用小型網絡設備以降低網絡建設和維護成本。主干網使用三層交換機，核心層使用四層交換機架設。

根據高校校園網的具體情況，結合高校校園網的最終安全目標，部署如圖1所示的高校校園網安全管理方案。

圖1 校園網安全設計方案示意圖

如圖1所示，基于高校校園網安全管理需求，高校校園網安全管理體系結構主要分為如下四大部分。

2.2.1 防病毒安全體系

防病毒安全體系的主要目的在于實現對網絡病毒的控制，以及針對病毒擴撒和傳播的控制，提高高校校園網的病毒防范能力。

2.2.2 安全實時監(jiān)控體系

將高校校園網按照功能和安全需求級別，劃分為對外數據區(qū)、數據中心區(qū)、互聯網接入區(qū)、廣域網鏈接區(qū)、內部辦公區(qū)等不同的區(qū)域。并基于不同區(qū)域的安全級別需求，部署不同的安全策略。并在校園網內部部署防火墻、入侵檢測系統等安全軟件，監(jiān)控各區(qū)域的網絡異常情況，并及時找出問題所在，降低校園網異常影響，進一步保障和提高高校校園網的安全性。

2.2.3 內網安全體系

實現內部網絡安全防范，其目的在于防范內部供給、防范內部病毒傳播和防范內部非法訪問。該體系主要部署在核心服務器上，在終端安裝客戶端，通過校園網來實現客戶端與核心服務器的通信，以及獲取核心服務器的完全管理服務，實現對校園網的實時監(jiān)控，以及保障校園網絡安全。

2.2.4 虛擬專用網體系

對校園網訪問外部因特網的行為進行監(jiān)控，包括對非法訪問的控制，以及網絡訪問流量的控制，并實現網絡通信行為的可追溯。

其主要的措施就是使用VPN技術，實現IP層保護和身份認證，以提高校園網的安全性。

[1] 林榕.高校校園網網絡安全問題的分析與對策研究[J].網絡安全技術與應用，2017.