淺析校園網絡信息安全防控體系

李珊珊 張潤

摘要：隨著信息網的高速發展，每個高校都已經擁有自己的校園網體系。它的覆蓋服務著學校師生的生活，學習，人事，教學，為了校園網的安全、本文將從安全技術的應用與體系為校園網的防護提供參考。

關鍵詞：校園網體系;信息安全;安全體系;

引言

如今網絡攻擊的行為在我們的生活中無處不在，例如我們能頻繁的收到一些針對個人信息的垃圾郵件或者信息。而且一般具有計算機常識的初學者也能完成對網絡的攻擊，所以導致的各種網絡病毒頻繁的爆發和泛濫。可想而知校園網的信息系統安全面臨的局勢是十分嚴峻的，因此建立一個動態的防御體系是十分重要的。

1.校園網研究背景及其意義

在國際上包括國內，校園網其實至今都沒有一個十分準確，權威的定義。而大部份專業人士解釋為校園網是利用現代網絡技術，多媒體技術以及Internet技術等基礎建立起來，可以連接學校內部子網和分散于校園內計算機的網絡結構。這個結構可以為師生提供教學、科研、綜合信息并具有交互功能和專業性很強的局域網絡就是校園網。^[2]在這個校園網系統中必須有實用的軟硬件，其中一部分保證這個系統能運行，保證信息可以和外界進行相互交流，一部分是作為防御，堪比是這個系統的保護膜，這個保護膜更像生物中的細胞膜，對于有益的信息它能進行交換，對于病毒進行排斥、消滅;甚至于可以產生抗體。^[1]

2.校園網中常見的安全問題：

（1）非法授權訪問：對一些網絡設備及其信息資源非法的進行使用或者越權使用。

（2）非法使用：非法的用戶以未授權方式使用。例如攻擊者通過猜測帳號和密碼的組合冒充他人的合法身份，然后進入計算機系統使用資源。還有就是盜用他人的信息獲取重要的數據或者信息。

（3）拒絕服務：服務器拒絕合法用戶正常訪問信息或資源的請求。例如，攻擊者短時間內使用大量數據包或畸形報文向服務器不斷發起連接或請求回應，致使服務器負荷過重而不能處理合法任務。

（4）數據篡改（破壞數據完整性）：攻擊者對系統數據或消息流進行目的般的修改、刪除、延誤、重排序及插入虛假消息等操作，破壞數據的完整性，造成數據的不準確。

（5）病毒的侵入與惡意攻擊：在進行信息交流過程中，惡意的軟件或者文件攜帶了傳播病毒或者惡意代碼。

（6）干擾系統的正常運行：指改變系統的正常運行，減慢系統的響應時間等手段。

3.校園網的安全需求分析：

主要體現在以下幾個方面：

（1）攻擊防范的需求：網絡信息從誕生發展到現在，也相繼伴生出了一些協議，而TCP/IP協議（傳輸控制協議/互聯網絡協議）成為了當今全世界“人與人之間的牽手協議”，而由于它開放的特性，尤其是IPv4和IPv6的出現，缺少足夠的安全特性的考慮，因此帶來很大的安全風險，例如眾所周知的IP地址被竊取、假冒、網絡端口掃描和拒絕服務攻擊等。可見必須提供對這些攻擊行為有效的檢測和防范能力的措施。

（2）安全管理與安全技術需求：要對于訪問的內部校園網進行規范化，禁止非校園用戶未經許可訪問內網的數據，同時要完善QOS的技術（網絡能夠利用各種基礎技術，為指定的網絡通信提供更好的服務能力），保證數據在安全的機制下更好的完成傳輸。同時要加強數據加密性的需求，通過網絡監控與防范體系系統檢測數據泄密攻擊行為并及時的進行阻斷。

（3）用戶管理的需求：當校園網用戶接入內部網絡時需要對這些用戶的網絡應用行為進行管理，并采取相應的身份信息認證步驟，確定是否是本人，同時還要對用戶的訪問資源進行限制，對網絡訪問行為進行控制等，避免出現用戶進入高危的網絡頁面。同時進入網絡頁面時可以插入相應安全信息操作的提示。

4.校園網安全防護體系

（1）安全技術層：常見的安全技術和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測與取證、網絡陷阱、備份恢復和病毒防御等。這些工具和技術手段是網絡安全體系中直觀的部分，缺少任何一種都會有巨大的危險，因為網絡安全防范是一個整體概念。這時就需要我們在安全策略的指導下，統一規劃、分步實施。在網絡安全體系中它們不能簡單地堆砌，而是要合理部署，互聯互動，形成一個有機的整體。

（2）安全管理：安全管理貫穿整個安全防范體系，是安全防范體系的核心。代表了安全防范體系中人的因素。安全不是簡單的技術問題，不落實到管理，再好的技術、設備也是徒勞的。一個有效的安全防范體系應該是以安全策略為核心，以安全技術為支，以安全管理為落實。安全管理不僅包括行政意義上的安全管理，更主要的是對安全技術和安全策略的管理。通過安全制度的落實，獲得有效的網絡安全保障。

（3）用戶的培訓與管理：最終用戶的安全意識是信息系統是否安全的決定因素，因此對校園網絡用戶的安全培訓是整個安全體系中重要、不可或缺的一部分，通過網絡安全服務商，定期對貴州師范大學的網絡管理人員、安全管理制度、網絡設備進行安全巡查、技術咨詢和技術檢測，對發現的問題及時解決。安全服務內容包括系統級安全服務，應用級安全服務，客戶級應用安全服務。

5.校園網防火墻部署方案設計

防火墻分為三部分

（1）網絡防火墻（Network Firewall）：它是用于內部網與外部網之間，以及內部網各子網之間的防護。與傳統邊界式防火墻相比，它多了一種用于對內部子網之間的安全防護層，這樣整個網絡的安全防護體系就顯得更加全面，更加可靠。不過在功能上與傳統的邊界式防火墻類似。

（2）主機防火墻（Host Firewall）：通常采用的是純軟件產品，用于對網絡中的服務器和桌面機進行防護。這也是傳統邊界式防火墻所不具有的，也算是對傳統邊界式防火墻在安全體系方面的一個完善。它是作用在同一內部子網之間的工作站與服務器之間，以確保內部網絡服務器的安全。這樣防火墻的作用不僅是用于內部與外部網之間的防護，還可應用于內部網各子網之間、同一內部子網工作站與服務器之間。可以說達到了應用層的安全防護，比起網絡層更加徹底。^[5]

6.總結

校園網信息安全是復雜 的系統工程，除了必要的硬件和技術作為有力支撐外，用戶的安全意識 不斷的提高是非 常重要的，同時建立信息安全評估和審計體系也是必要的。

參考文獻：

[1]? 袁修春.校園網安全防范體系.[D].西北師范大學.計算機應用技術.2005，05

[2]? 鎖志海，任煒，劉宏磊，徐墨，羅軍鋒，西安交通大學：探索“多校區”業務服務新模式，[J]中國教育網絡，2019.09

[3]? 鄭先偉，CCERT月報：防范大數據平臺信息泄漏風險[J]. 中國教育網絡，2019.09

[4]? 張鵬，謝曉堯，劉志杰，景鳳宣：貴州師范大學花溪校區WLAN解決方案的研究與設計[J].通信技術，2013.11

[5]? 駱耀祖，葉宇風. 網絡管理技術[M]. 北京. 人民郵電出版社.? 2015.06

（作者單位：貴州師范大學）