滄州職業技術學院網絡安全現狀及應對策略

趙學思 王維暢 王磊 賈鵬

摘要：近年來，職業院校信息化水平不斷提高，網絡應用已經覆蓋教務、學生、科研、人事、辦公、迎新、國資、招生、就業等方方面面，但隨之而來的網絡安全問題也日益突出。如何防范網絡病毒、黑客攻擊、系統漏洞和不良信息傳播等問題，擺到了信息管理者面前。滄州職業技術學院結合防火墻安全技術、VLAN技術、VPN技術、無線技術和用戶認證、態勢感知等技術，有效解決了網絡安全的基本問題。

關鍵詞：高職院校? ?網絡安全現狀? ?應對策略

隨著信息技術的飛速發展，新設備、新技術不斷涌現，對大學生的思想觀念、價值取向和行為方式等產生了巨大影響。在職業院校中，信息化建設水平與學院的辦學質量具有一定的關系。然而，隨著校園信息化程度的提高，潛在的網絡風險也在增大。

一、滄州職業技術學院網絡安全現狀

近年來，滄州職業技術學院非常重視信息化建設，信息化已經全面覆蓋學校管理的方方面面。不斷完善的信息化應用極大地促進了學校的網絡建設，但網絡安全問題也日益突出。就滄州職業技術學院而言，網絡風險主要來自于病毒、黑客攻擊、系統漏洞和不良信息傳播。雖然學校已經在使用OA系統，但U盤使用頻率很高，導致病毒傳播現象時有發生，甚至出現系統癱瘓等問題。筆者查看校園網站被攻擊記錄，發現每天都有1000次以上攻擊。系統漏洞是學校最頭痛的問題，一旦被別有用心的人利用，后果將不堪設想。

二、滄州職業技術學院網絡安全應對策略

在網絡部署中，滄州職業技術學院充分調研網絡需求，結合了防火墻安全技術、VLAN技術、VPN技術、無線技術和用戶認證、態勢感知等。在校園網部署中實施統一身份認證，包括臨時上網人員都分配了賬號和初始密碼，并對用戶進行分組，按組別進行授權，防止非法訪問，并且將教師按照職責的不同分成6個組，學生在按年級、班級分組的基礎上，又受到上網時間段的限制，既保證了有需要的學生隨時上網，又盡量防止學生在上課時間非法訪問網絡。

VLAN的劃分采用了非對稱VLAN模型對交換機端口隔離，從根本上解決了終端設備廣播報文引起的安全威脅和網絡攻擊。從系統性能上來講，非對稱VLAN模型實現了終端設備在數據鏈層面的完全隔離，不再局限于針對具體上層協議防護網絡攻擊，也無須分析具體協議額外占用交換機系統性能。從網絡管理角度來講，這避免了為交換機配置各種額外功能的復雜度，簡化了網絡管理。最后，使用人員不必更換早期部署的設備，就能支持ARP防護和DHCP Snooping等高級功能，延長了原有設備的生命周期。

筆者將學校網絡按照區域劃分為公網、內網，辦公區和教學區;按照功能劃分為財務、一卡通、WEB服務器、應用服務器等，并分別配置了防火墻，設置了防火墻過濾規則，對訪問的IP地址、端口號、通信協議等進行審核，利用SSL協議保證公共網絡安全，通過入侵檢測系統對網絡數據包進行實時監控，識別校園網非法訪問行為，向管理員發出預警，并主動防御并留存證據，再將數據統計后，把分析結果反饋給控制中心，極大地減小了系統管理員負擔。

隨著辦公系統的運用，教師外出時依然需要訪問內網資源，這就用到了VPN技術。現在滄州職業技術學院給學院各級領導都賦予了VPN權限，他們無論何時何地都可以輕松批閱公文，極大地提高了辦事效率。

網絡態勢感知系統是一個比較新穎的技術，通過采集防火墻、交換機、上網行為管理等硬件設備，以及各管理平臺等軟件的事件信息，進行深度分析和數據挖掘，識別網絡安全事件的關鍵信息，并進行可視化展示。在可視化界面中，系統管理員可以追逐某個事件的源頭，并進行處置，也可以對曲線圖某點反映出的問題加以分析，解決以往網絡事件孤立、難以進行全局分析，且需要其他安全軟件追蹤的問題。

三、結語

總的來看，滄州職業技術學院的網絡安全整體態勢良好，但仍有很多不足，如沒有定期、全面的檢查網絡安全，沒有進行網絡安全等級保護，并且二層路由器的存在給網絡管理造成了很大的困擾，再加上沒有統一的郵件管理系統，網絡設備冗余不足，機房環境改造還未實施，數據備份工作簡單，虛擬化還沒有實施等。所以說，網絡安全工作任重而道遠。

參考文獻：

[1]朱亮.職業院校網絡安全應用技術與安全策略分析[J].信息通信，2018，（10）.

※本文系河北省滄州市科技局科研項目，項目名稱：滄州職業技術學院網絡安全探究，項目編號：183103011。

（作者單位：滄州職業技術學院）