校園網網絡安全策略的研究

◆韋 娟 周曉雨

?

校園網網絡安全策略的研究

◆韋 娟 周曉雨

（江蘇財經職業技術學院 江蘇 223000）

0 前言

學校近幾年大力發展智慧校園，網絡已經成為師生正常生活中不可缺少的一部門。習近平總書記“沒有網絡安全就沒有國家安全”的重要論斷，為學校網絡安全建設各項工作提供了根本遵循。但由于網絡的信息高度共享和易于擴散的特性，教師和學生網絡的安全與否，直接影響到教學與科研的正常進行。江蘇財經職業技術學院校園網（以下稱校園網）校園網網絡安全全局管理問題。嚴格落實信息系統安全責任機制，從源頭做起、從基礎抓起，全力構建全方位立體化的信息安全保障體系。

分析校園網絡存在的安全隱患，將學校內部的校園局域網、各信息系統的服務群，外部的Internent網絡進行符合安全策略情況下的互聯互通。針對學校校園網存在的安全隱患，主要分為以下幾個方面著手分析：（1）物理網絡的安全；（2）網絡結構的安全；（3）網絡操作系統的安全；（4）信息系統的安全；（5）網絡安全管理。結合校園網的設計情況，具體分析網絡安全的安全策略。

1 物理網絡的安全

機房的物理安全是校園網安全系統的第一道防線。校園網的核心設備服務器主要存放于中心機房。接入層設備分布在各樓宇的弱電間。機房的環境及報警系統、安全意識。它是整個校園網安全的前提。機房采用中央空調和精密同時工作，互作備份。精密空調控制溫度濕度，有異常及時發送消息至機房管理員手機。機房的UPS電源單獨存放。機房機房的配電柜采用頂部風扇，前后門網狀門，及時排除設備的熱量。核心設備采用雙機熱備。防止設置的意外事故，門禁使用電子鎖方便管理，機房有專門管理員進行負責。

2 網絡結構的安全風險

網絡結構主要涉及到校園網網絡拓撲結構，拓撲結構的設計涉及到校園網的安全性，內外網通信時，內部網的終端，服務器等會受到威脅，因此，設計校園網時，有必要將要公開的資源服務器進行隔離，避免遭到外界的攻擊。只允許正常的信息通過網絡到達相應服務器。將校園網分為數據中心核心區域、業務專網、校園網出口區域和運行維護區和校內局域網，如圖1為校園網的網絡拓撲結構。

圖1 校園網拓撲結構

3 網絡層的安全

網絡操作系統是校園網與網絡用戶的接口。目前常用的網絡操作系統是微軟的windows系列操作系統和UNIX操作系統。它們都存在一些安全隱患。可能有惡意用戶惡意破壞系統資源或系統的正常運行，破壞系統完成指定的功能，在多用戶程序執行過程中操作手段相互間會產生不良影響。我們需要對加載在硬件設備上的所有操作系統進行安全配置，根據需要停止GUEST賬號、開啟賬戶策略、密碼策略和備份敏感文件。最小化用戶的數量。更改默認權限，關閉不必要的端口，操作系統安全策略，關閉不必要的服務。運行硬件防火墻和確保備份盤的安全。設置硬件防護設備，并定期更新檢測規則庫，在重要時期以便與互聯網隔離。對服務器、網絡設備、安全設備等定期進行安全漏洞檢查，及時更新操作系統和補丁，配置口令策略保證更新頻度。

IP數據的管理。整理學校運行商出口IP，實時監控各IP數據，出現問題能及時找到根源，排查故障。校園網用戶接入校園網絡均需通過登錄認證，當發現問題時可以賬號與日志追查到個人。通過在網關防火墻設置關鍵字過濾，可以阻止非法違規及敏感信息的傳出與流入；建立完善的行為日志記錄機制，通過安全審計、防火墻等設備，對用戶上網的行為數據根據要求，保存30天以上的時間，可以做到發現問題有據可查。

4 信息系統的安全

信息系統的安全性主要跟具體的應用相關。校園網中主要信息系統有網站系統，圖書系統，財務系統，辦公系統等。對新入的信息系統必須經過管理員的測試才準入校園網，北塔監控，IPS、WAF、ADS、漏掃等設備。學校所有的對外訪問的信息系統（網站）進行了梳理。對存在安全威脅長期不修復，所占資源長期處于空閑狀態，運行維護停止更新服務的“僵尸”信息系統（網站）進行了清理。

建立對學院網站及業務系統的防護與監控機制：通過網站群系統對學院的各級網站進行集中管理，實現對網站內容的實時監控、定期匯總；通過WAF系統對網站及重要的業務系統進行實時保護，防止網站、系統被篡改；通過VPN系統對內外網進行有效隔離；通過行為審計系統實時記錄網站與業務系統的訪問信息，做到發現問題有據可查。

5 網絡安全管理

網絡安全管理是網絡安全中重要的部門。管理混亂，責權不明，制度不健全急缺乏可操作性都可能導致校園網的安全風險。校園網網絡信息安全工作實行“三級”管理。學校設有信息化工作領導小組。制定了《信息技術安全管理辦法》，明確按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，各處室、學院承擔本單位信息系統和網站信息內容的直接安全責任。

[1] 陳越.淺談網絡操作系統自身安全[J].網絡安全技術與應用，2017.