智慧校園平臺網絡安全策略的研究

楊 倩，鄒 磊

（湖北中醫藥高等專科學校，荊州 434020）

1 引言

智慧校園平臺的建設是高校信息化建設的重要一環。校園網絡為高校內教學、科研、學習等各類活動提供了基礎設施，校園網絡的安全與否直接影響到智慧校園平臺功能的穩定性。隨著互聯網的連入，各種網絡安全隱患也逐漸凸顯。校園網絡除了可能遭受到的黑客攻擊、病毒感染等情況，軟硬件方面的缺陷也會成為巨大的安全隱患。因此，在湖北中醫藥高等專科學校智慧校園平臺的建設中，必須分析可能出現的網絡安全隱患，研究網絡安全策略。

2 校園網絡現狀

校園網絡是為便于學校對教學、辦公活動進行管理，促進信息化教學與科研而建立的網絡系統。在最初校園網絡建立時，由于學校經濟狀況等原因，只考慮到了網絡的連通性與兼容性，并未考慮到網絡的安全性，因此在智慧校園平臺的建設中必須要將網絡安全策略納入研討范圍。隨著平臺建設的推進，校園網絡上提供的服務和運行的各類應用程序的增多，局域網絡的規模也逐漸增大。校園網絡用戶基數大，線路繁雜，內部節點數多且數據交換量大，導致網絡安全管理難度增大。因此，合理利用網絡管理資源，在內外網的接入、數據交換過程中做好安全防御措施、加強安全管理是智慧校園平臺建設必須考慮的方向。

3 校園網絡安全隱患分析

通過對學校的實際情況進行分析調查，校園網絡的安全隱患主要來源于校園網內部環境、內網用戶與來自外部環境和外網網站的影響。根據分析得出有以下幾類主要的安全隱患存在：

3.1 物理設備問題

由于設備年久、老化等原因，可能會導致機房的電壓、電流不夠穩定或是由于物理設備擴容度不夠引起線路負荷過大，均會產生網絡故障，輕則引起數據丟失，重則可能會使服務中斷、系統崩潰。

3.2 病毒入侵

隨著世界范圍內信息技術水平的提高，計算機病毒的隱蔽性與破壞性也越來越強，有時甚至不能被現有的殺毒軟件攔截并查殺。同時，內網的使用人員組成復雜，不少人員計算機水平有限，在進行各類與網絡有關的操作時，很容易由于訪問風險網站或下載攜帶病毒、木馬的軟件導致病毒趁虛而入。

3.3 黑客攻擊

校園網相較于其他局域網來說，開放性更強，管理也較為寬松，因此更易遭受到黑客攻擊。如若安全防護措施不充足，很容易被黑客竊取、篡改數據甚至破壞系統。

3.4 技術支持不足[1]

學校網絡安全管理方面缺乏相關專業技術人員，無法及時制止內網用戶不當操作，發生安全事故時也無法得到及時響應，造成網絡安全風險提升。

4 校園網絡安全策略探討

為使智慧校園平臺建成之后能穩健運行，應制定行之有效的安全策略。好的安全策略應從軟硬件設施、用戶、管理制度等方面來進行制定，通過對校園網絡安全隱患的分析，可以從以下幾個方向防范、處理可能出現的安全問題：

4.1 硬件設備保護

為了保證校園網絡能良好運行，服務器及主要硬件設備必須能夠穩定、安全地運轉。因此放置硬件設備的機房應做好防水、防火等工作，機房管理者同時也應保管好機房相關鑰匙，禁止非工作人員出入，防止人為地對服務器造成破壞，影響網絡正常運行。為保證服務器全天候工作，機房還應配置應急電源或使用雙電源系統，使斷電時也能維持網絡運行。

4.2 軟件系統防范

（1）及時安裝補丁

目前校園內服務器采用的是微軟的Windows 網絡操作系統，因此管理員要時刻關注微軟公司的官方網站，及時下載并安裝最新補丁，防止黑客通過操作系統的漏洞進行攻擊。

（2）配置防火墻，更新殺毒軟件

防火墻是網絡安全防范措施的重要組成部分。校園網絡必須設置防火墻，對外網用戶的訪問進行一定限制，同時也密切關注內網用戶對外部網絡的訪問，檢測出不安全服務，最大限度的防范黑客的攻擊，降低風險[2]。校園網內所有通過防火墻的訪問都會被記錄到日志中，如有可疑操作，可通過日志排查，過濾網絡中不安全的因素。

計算機病毒首要攻擊的目標主要在于保存重要數據的中心結點的服務器，因此殺毒軟件應及時更新病毒庫，定期查毒殺毒，對服務器的開放端口進行檢測。由于智慧校園平臺應用模塊繁多，在不同操作模塊中均應安裝統一的殺毒軟件，以便管理者統一升級。

4.3 加強網絡管理

（1）采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測系統可以對網絡數據的傳輸進行實時監控，當發現未授權傳輸時可以發出警報或采取響應措施，對可疑傳輸進行限制，保證網絡安全。校園網絡中可以同時采用基于網絡、基于主機的入侵檢測系統，使用混合式檢測，這樣可以更加全方位地構建安全防御體系。

（2）使用VLAN 技術。學校可以使用VLAN（局域網虛擬技術）來加強校園網的內網管理。通過對局域網中不同的應用模塊與不同的安全級別，按邏輯劃分網段并隔離，實現不同網段間的訪問控制，進行分布式管理[3]。為提高網絡的安全性能，不同類型的內網用戶也應劃分不同網段，通過網關保證安全有效的信息過濾，使網絡能夠處在相對安全的狀況下運行，防止病毒、木馬在不同網段間的快速傳播。

（3）使用數據加密技術。對校園網中需要傳輸的重要數據進行明文加密，通過加密密鑰使之轉變為密文，接收方再通過解密密鑰還原成明文[4]。數據經過加密后，在傳輸過程中均以密文方式傳送，如有數據被攔截、竊取的情況，攻擊者也無法解密密文，讀取信息。數據加密技術不僅可以防止不懷好意者了解數據的具體內容，還可以判斷數據是否受到篡改，保證了校園網中數據傳輸的安全性。

（4）解決IP 盜用問題。為解決可能會出現的IP 盜用問題，需要在路由器上將MAC 地址與IP 進行捆綁，登記地址表。當某個IP 需要訪問Internet，數據通過路由器時，路由器會檢查發出該數據的工作站的MAC 地址是否與路由器上記錄的地址表相符合，若是符合的，那路由器將放行數據，否則將禁止該數據通過路由器，并給發出數據的工作站返回警告信息。

（5）定期備份、維護服務器。為了防止系統、網絡故障或是人為的非法操作，服務器上的重要文件需要定期進行備份存檔。管理員可以使用RAID 方式定期備份文件資料，也可以使用備用服務器或是光盤備份重要資料。在日常服務器使用過程中，還應定期清理服務器上過期、無用的資源，保證服務器的高效運行。

4.4 技術人員支持

學校在網絡管理方面必須有高水平的技術人員支持，可以通過引進新人才或是對原有的網絡管理人員進行專業培訓[5]。高水平的技術人員可以通過各種手段維護服務器，管理網絡設置，處理安全問題，降低安全風險。

4.5 網絡安全管理制度完善

學校應出臺校園網使用規定，規范內網用戶使用校園網的正確操作，要求負責人員做好維護、保養工作。同時應提前做好網絡安全應急相關預案，當出現安全問題后使相關網絡管理人員能夠按照應急機制做出正確處理，降低損失。

5 結束語

智慧校園平臺的建設是一個系統性工程，在校園網絡方面務必提供安全保障才能使這個龐大工程穩定運轉。在研究網絡安全策略時不能僅僅依靠傳統網絡安全技術的堆砌，應從實際情況出發，考慮安全需求，根據需求采取對應措施，將安全技術手段與管理制度結合起來，才能提供一個高效、穩定、安全的校園網絡系統，支撐智慧校園平臺的運行。