新時期高職院校校園網信息安全防護體系

朱鸝

（楊凌職業技術學院 陜西省咸陽市 712100）

科技的發展，信息化技術在校園網絡中應用更加廣泛，校園網信息可以為高職院校教學以及學生學習提供大量數據以及信息支持，保障高職院校工作開展更加有序，可是校園網在運行中會受到各種因素的侵擾，導致網絡安全問題頻繁產生，應創建高職院校校園網信息安全防護體系，為保證校園信息安全奠定基礎。高職院校校園網對于高職院校業務運營以及發展意義重大，近幾年來，校園信息網絡安全問題愈加突出，成為高職院校管理需要關注的關鍵問題，要解決此項問題，筆者通過對高職院校校園網信息安全防護體系的研究與分析，為高職院校校園網的信息安全提供基礎保障。

1 高職院校校園網的基本概述

新時期高職院校校園網除了滿足教師以及員工學生上網需求，還應對校園網內的信息實施科學化管理，滿足高職院校人員的教學輔助、游戲以及校園生活方面的基本需求，校園網系統主要包括教務管理、校園財務管理、校園一卡通、網站、招生就業系統等，在校園網上活動對象主要包括教師、學生、管理人員，用戶數量比較多、流動性強，分散。另外，高職院校校園網的計算機接入種類多樣化，通常來說，接入校園網的教師或是學生電腦是個人購買，并實施有效維護的，一些人員在互聯網上下載的破解軟件或是盜版軟件，這些軟件無法對校園網的安全實施有效防護，因此應重視校園網在運行中產生的安全問題，如圖1 校園信息安全內容，并加強維護以及安全防護體系的創建，安全防護體系內容有安全策略、資產管理、人員安全、訪問控制等，確保校園網運行更加安全以及可靠[1]。如圖1所示。

2 高職院校校園網信息安全現狀

2.1 預警機制待強化

目前，很多高職院校在對校園網進行安全防護期間，對校園網預警機制不夠重視，部分高職院校創建的校園網信息安全防護系統中預警體系在創建中未曾考慮到網絡運行中各種因素，導致預警體系運行沒有達到預期需求[2]。

2.2 安全意識待提高

現階段，多數高職院校對校園網信息安全缺乏足夠認識，校園網缺乏統一的管理以及安全防護方案，對校園網內部以及外部網沒有做到全面隔離，純粹依賴校園網的主系統安全性。而計算機應用廣泛普及，在校園網中的接入網點逐漸增多，而節點未曾采取有力防護策略，導致校園網運行中出現病毒、信息丟失、網絡攻擊、信息損失、數據損壞、計算機系統癱瘓等問題，嚴重影響校園網的正常運行[3]。

2.3 安全漏洞待篩查

高職院校的校園網中存在太多集中性個人隱私信息，要促使師生的信息安全得到良好保護，應重視對校園網安全漏洞的篩查，調查數據顯示，多數高職院校網站運行均有很多安全隱患以及漏洞，這些安全漏洞中存在很多高危險漏洞，會對網絡安全造成嚴重威脅，例如網絡被不法人員侵入，網站中機密文件以及科研項目可能會被盜取。同時黑客可能會通過校園網網絡安全系統進入網站中的核心區域，得到校園大量關鍵信息?？墒牵芏喔呗氃盒Ｔ谛@網安全漏洞篩查工作中，效率不高，甚至高職院校很少對校園網安全漏洞篩查，導致校園網運行安全問題頻出[4]。

3 高職院校校園網信息安全防護體系

3.1 骨干網安全區域設計

要保障高職院校校園網信息安全防護效果增強，應重視對校園網的骨干網安全區域的設計，保障校園網以及互聯網邊界數據傳輸更加穩定以及快速，確保校園網正常使用。可以以校園網實際結構為基礎進行骨干網安全區域的設計，本次設計應用的是雙核心結構，將核心交換可靠性增強。而骨干網的核心交換設備數據匯集，應確保交換設備雙聯。骨干安全區域需接入交換機雙聯路，使其連接到雙核心，避免內網出現單鏈路故障或是單核心故障，技術人員可以應用生成的樹協議以及虛擬路由協議，并在核心交換機上配備IP攻擊警報，保障骨干安全區域信息得到保護。通過對高職院校校園網信息安全防護體系中骨干網安全區域設計，為網絡運行安全奠定基礎，保障信息傳輸更加安全。

3.2 校園網出口邊界安全區

校園網出口的邊界安全區域有防火墻、路由器，防火墻以及帶寬管理設備，出口邊界安全區是連接網絡以及校園網的樞紐，應加強對防火墻的安全配置，防火墻安全策略的制定，并創建可以實現預期安全策略防火墻，首先應重視防火墻設計，可以對校園網的風險進行預先評估之后制定防火墻安全策略，如圖2，開通校園網運行的必要服務。路由器可以通過網絡地址轉換技術，將受保護的內部網絡全部主機地址應設成少數公網的IP 地址。設計還應重視對帶寬設計，特別是在防火墻設計期間，應將防火墻設置與鏈路負載結合，使得互聯網外接平衡。公共服務可以在防火墻圍繞形成隔離區域設置，增加域名解析以及郵件服務安全性、可靠性。另外，可以將DDoS 設備在校園網外部進行科學設置，避免內部用戶對校園網絡的攻擊。

3.3 終端接入安全區

終端接入安全區有無線接入設備、接入交換機，主要是為了處理訪問控制以及終端設備安全接入過程中產生的問題。利用交換機配置訪問控制列表、開啟防APP 欺騙、啟用生成樹等保障校園網運行順暢，減少安全隱患產生的概率。

3.4 數據中心安全區

數據中心安全區是校園網安全性較高區域。安全區設計應以高職院校校園網發展實際情況為主，保障網絡安全防護系統的設計與實際匹配。技術人員可以以網絡不同服務器隸屬關系，將數據中心分為不同子區域，保障安全防護效果的增強，通過設定子區域將由于多個區域產生的互相影響作用消除。數據中心安全區中服務，其可以以校園網內驅以及外區差異，設置公共服務器區以及數據庫服務區。而服務器性能應與負載均衡技術有效結合，提升設備均衡性。

數據中心安全區也可以在核心交換機基礎上配置虛擬防火墻，避免校園網網絡受到外界的攻擊。如圖3，校園網信息安全解決方案。也可以對部分比較重要數據可以利用AES 或是DES 加密，一般首選的方式是SHA-1 作為密碼加密算法，為了保障高職院校數據中心安全區網絡系統安全，可以在修改密碼等重要數據期間，以SSL協議為依據，提升數據傳輸安全性。

3.5 等級保護

開展高職院校信息系統安全等級保護工作，不是人們從表面意義上理解的對校園網同一等級保護，而是指對國內的業務區域實施各種等級保護，因此需將校園網進行等級劃分，包括安全域以及區域隔離等級。安全域等級保護主要是指同一個系統內部，管理人員依據校園網信息的使用主體、信息性質、安全目標等對網絡進行科學的劃分，每一邏輯區域存在相同安全保護的需求以及安全邊界控制措施、安全訪問控制策略，區域間的相互信任，并且網絡安全區域會共享同一種安全策略，對安全區域等級劃分不僅要考慮安全層面，還應以業務角度考量，與現有的校園網管理面臨挑戰以及網絡結構為參照依據，保障安全區域劃分以及網絡梳理更加有效、資質的信息安全等級保護測評結構，可以將校園網劃分為六個區域，分別為辦公管理域、外聯接入區域、科研教學域、應用服務區域。核心交換區域、安全管理區域。

之后根據安全區域功能，在高職院校安全域等級保護系統配置各種規格安全設備，特別是對應用服務域以及核心交換區域核心數據以及應用所在安全域實施關鍵保護，確保安全域的邊界以及安全隔離。另外，以教育部、公安部等對校園網安全系統安全等級保護要求，應創建安全等級保護機制，對應校園網安全防護實際情況，對已經存在的安全防護系統定級備案，并對照對應等級管理規范以及管理規范，對實際以及標準之間差異進行研究以及分析，并整改，可以安排具備專業資質信息安全等級保護測評部門對校園網進行等級測評。例如某高職院校大二層網絡，有華為ME60，防火墻設備，有過等保為主，將校園網校園一卡通系統、承擔著高職院校信息宣傳、形象展示、自主招生系統、財務管理系統，協同辦公系統等校園網安全防護體系中關鍵部分以及業務需求進行整理以及總結，按照《信息安全技術信息系統安全等級保護定級指南》，將其定位校園網耳機套，將其在公安機關備案，并將測評委托給專業的第三方機構，通過對現場的檢測、訪談以及測試，對比實際校園網的應用情況以及目標之間的差距，并依據專業機構提出的建議對校園網進行全面整改，保障整改后滿足校園網安全防護管理規范以及技術標準需求，通過等級保護策略的實施保障驗收測評的科學性，增強了高職院校校園網信息安全防護效果。

3.6 縱深防御

高職院校校園網防護體系中有IDS、防火墻、華為ME60、漏洞掃描、客戶端管理、病毒防御等，從不同層面發揮著縱深防御作用，例如應用層面、網絡層面、校園邊界層面。在校園網邊界層面。技術人員在創建校園安全防護體系中，可以在校園網與外部網絡邊界設置防火墻，例如可以在安全域邊界進行防火墻設置如圖4，可以對校園網有害信息進行分析，起到隔離有害信息的效果。技術人員在校園網核心交換機執行ACL 訪問控制，降低對高職院校非法訪問的概率產生。而在網絡層面的安全防御，技術人員設計了入侵檢測系統，對網絡運行產生的安全隱患或是威脅進行定位，并精確分析，將網絡正在發生的異常以及攻擊行為進行及時報告。同時在校園網中設置了預防病毒的網管，可以將病毒查殺，并具備將關鍵字體過濾、郵件組織等功能，使得校園網絡運行更加安全。

而在校園網絡主機層面的安全防御機制，應在校園網中設置漏洞掃描設備，可以定期對校園網應用服務區域、核心交換區域、科研教學以及管理辦公區域進行全程掃描，將產生的安全漏洞及時查找，發現安全漏洞并及時處理，還可以對校園網中的病毒入侵起到防范作用。在網絡層面還可以對校園網審計系統實施權限控制和管理維護，將其涉及到的操作行為進行審計。應用層面安全防護，可以通過設計Web 應用網關，對校園網Web 應用漏洞預先掃描，還應對SQL 注入、跨站腳本等實現阻斷效果，與網頁防篡改子系統結合，達到網頁防篡改目標。

4 完善校園網信息安全防護體系的措施

4.1 明確安全防護目標

依據高職院校信息管理體系目前在運行中存在困境以及問題，并對技術以及管理方面內容進行全方位考量，制定動態校園網安全防范方案，并依據方案創建數字化校園網，確保校園網內部系統安全以及順利運行。要保障校園網信息安全防護目標的實現，可以從以下幾個步驟進行：

（1）保障網絡運行穩定。校園網網絡穩定運行，可以使得信息系統更加可靠；

（2）防止校園網運行受到內部或是外部因素干擾，維護系統穩定以及安全；

（3）保障高職院校校園網安全基礎下，安全防護體系需盡量為系統不同的應用提供方便，校園網身份認證需要保持統一，適當控制角色訪問情況；

（4）創建具備實用性以及可操作性網絡信息平臺可以為教學或是高職院校管理工作的進行提供基礎保障。

4.2 制定安全策略

高職院校需要結合安全防范體系模型，從不同層面開展校園網信息安全防護體系建設工作，安全防護體系中安全策略是最關鍵的內容，可以確保校園信息傳遞安全性。安全策略主要包括：

（1）制定安全防護體系的建設方針，創建安全防護體系，并制定相關安全策略，例如數據安全、系統安全以及病毒防護等。制定好安全策略后，要確保其得到全面且有效實施；

（2）還應構建對應的安全管理制度，制度主要內容包括安全策略的操作流程、操作規范、操作細節等內容，管理人員可以依據安全管理制度對安全策略進行有效實踐以及落實，保障安全防護體系建設策略得到科學的落實，為校園網安全防護提供支持。

5 結束語

高職院校校園網對高職院校管理以及教學做出卓越貢獻，由于校園網在運行中會受到各種因素的影響，例如病毒侵襲等導致校園網的運行安全問題重重，因此，應創建校園網安全防護體系，并對防護體系構建加強分析以及研究，了解創建前高職院校校園網信息安全現狀，例如預警機制問題、安全漏洞待處理、安全意識待提升等問題，并提出積極改善措施，加強等級保護、縱深防御、校園網出口邊界安全區的防護等，確保高職院校校園網系統安全運行，保障信息以及數據安全。