職業(yè)院校網(wǎng)絡(luò)安全防護建設(shè)分析

羅全珍 李迎國 段小煥 王鵬

摘要：信息技術(shù)有效促進了職業(yè)院校的教學質(zhì)量和管理效率，針對網(wǎng)絡(luò)安全面臨的風險，分析網(wǎng)絡(luò)安全防護建設(shè)的關(guān)鍵技術(shù)，并給出相關(guān)的安全防護措施。

關(guān)鍵詞：職業(yè)院校;信息安全;校園網(wǎng)安全防護

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1674-9324（2020）22-0365-02

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，有效推動了職業(yè)院校教育信息化的進程。然而，教育信息化在提高職業(yè)院校教學科研、行政管理效率的同時，也面臨著巨大的信息安全風險。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）2018年公布的數(shù)據(jù)顯示，全年捕獲計算機惡意程序樣本數(shù)量超過1億個，全年計算機惡意程序傳播次數(shù)日均達500萬余次。

現(xiàn)階段，部分職業(yè)院校對校園網(wǎng)絡(luò)安全和信息安全的重視程度不高。例如校園網(wǎng)絡(luò)建設(shè)仍局限于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的暢通;僅限于購置防火墻用于網(wǎng)絡(luò)出口的保護;或者購置部署的防火墻、入侵檢測系統(tǒng)（IDS）、WEB應(yīng)用防火墻（WAF）等安全設(shè)施大多采用缺省配置，沒能充分發(fā)揮應(yīng)有的功能。隨著職業(yè)院校網(wǎng)站和各類應(yīng)用平臺數(shù)量的不斷增加，其所受到的攻擊也越來越多。本文試圖對職業(yè)院校校園網(wǎng)安全防護建設(shè)的關(guān)鍵技術(shù)和主要內(nèi)容進行探討，期望對相關(guān)職業(yè)院校或同行研究者提供參考借鑒。

一、信息安全面臨的主要威脅

（一）黑客攻擊

黑客一詞原本是指一群利用自己的技術(shù)專長滲透測試目標計算機，研究發(fā)現(xiàn)計算機和網(wǎng)絡(luò)漏洞的計算機愛好者。隨著黑客群體的不斷增多、黑客工具的不斷豐富，黑客技術(shù)逐漸被越來越多的人掌握，網(wǎng)絡(luò)攻擊的方式越來越多，受到攻擊的可能性也越來越大。沒有防火墻等網(wǎng)絡(luò)安全防護設(shè)備的網(wǎng)站或系統(tǒng)，很容易遭到黑客的攻擊和破壞。

（二）WEB漏洞

常見的WEB漏洞有SQL注入漏洞、命令注入漏洞、XSS漏洞、文件上傳漏洞、CSRF等。隨著WEB技術(shù)的廣泛采用，一些惡意軟件偽裝成WEB應(yīng)用，讓傳統(tǒng)基于端口的協(xié)議識別變得無能為力。一般院校原有的傳統(tǒng)的安全措施主要集中在網(wǎng)絡(luò)層上，無法對應(yīng)用層的WEB攻擊進行有效的監(jiān)控和防護。師生在享受互聯(lián)網(wǎng)帶來的極大便利的同時，也面臨著日趨嚴重的安全威脅問題。

（三）DDOS攻擊

拒絕服務(wù)攻擊（DOS）是利用操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的一些缺陷，采用欺騙或偽裝的策略來進行網(wǎng)絡(luò)攻擊，通過消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，使網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。對于早期的計算機網(wǎng)絡(luò)，服務(wù)器配置較低，網(wǎng)絡(luò)帶寬有限，利用一對一的DOS攻擊就可以實現(xiàn)。現(xiàn)如今，基于分布式、協(xié)同分布式拒絕服務(wù)攻擊（DDOS）更為厲害。DDOS攻擊可以分為流量型攻擊、連接型攻擊和特殊協(xié)議缺陷，常見攻擊手段有SYN泛洪（SYN Flood）、UDP泛洪、Http泛洪、Land攻擊、Smurf攻擊、淚滴攻擊、死亡之ping、CC攻擊等。

（四）其他方式的攻擊

除以上幾點，職業(yè)院校校園網(wǎng)及信息系統(tǒng)面臨的安全威脅還有很多，比如緩沖區(qū)溢出漏洞、口令暴力破解、網(wǎng)絡(luò)監(jiān)聽、蠕蟲病毒、惡意軟件攻擊、內(nèi)部人員攻擊等。

二、校園網(wǎng)安全防護的關(guān)鍵技術(shù)

（一）防火墻系統(tǒng)

防火墻是不同網(wǎng)絡(luò)間信息的唯一出口，根據(jù)校園網(wǎng)的安裝策略配置，對出入網(wǎng)絡(luò)的信息流采取允許或拒絕的處理，從而可以阻擋外部不安全因素，防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問，保護內(nèi)部網(wǎng)絡(luò)的安全。根據(jù)過濾和檢測方式不同，我們可以將防火墻分為包過濾型和狀態(tài)檢測型。

（二）密碼技術(shù)

對數(shù)據(jù)進行加密處理，是保護數(shù)據(jù)在傳輸、存儲、處理過程中安全可靠的重要手段。對稱密碼體制的加密密鑰和解密密鑰是相同的，因此，通信的雙方必須很好地保存他們共同的密鑰。常見的對稱密鑰算法有DES、3DES、AES、IDEA等。非對稱密碼體制也叫公鑰密碼體制，密鑰對中一個密鑰由所有者保管，稱之私鑰，另一個密鑰可以公開，稱之公鑰。當使用公鑰加密時，只有私鑰擁有者能用對應(yīng)的私鑰解密;當用私鑰加密時，大家可以用對應(yīng)的公鑰解密，這就是數(shù)字認證和簽名技術(shù)的基礎(chǔ)。公共密鑰體制中最著名的算法是RSA算法。

（三）認證技術(shù)

認證技術(shù)可以分為身分認證和報文認證。身分認證技術(shù)可以有效地對用戶身分進行識別，并分配相應(yīng)的權(quán)限，其實施方式包括了RADIUS認證、WEB/POTRAL認證、PPPOE認證和802.1X認證等。報文認證主要是對數(shù)據(jù)真實性和完整性的驗證，比如MD5算法和SHA算法。

（四）VPN技術(shù)

VPN即虛擬專用網(wǎng)技術(shù)，是依靠ISP或NSP在公共網(wǎng)絡(luò)中建立安全的數(shù)據(jù)通信網(wǎng)絡(luò)。VPN技術(shù)對網(wǎng)絡(luò)的連接可分為傳輸模式和隧道模式。根據(jù)OSI協(xié)議層的不同，可以在數(shù)據(jù)鏈路層采用PPTP及L2TP技術(shù)實現(xiàn)VPN連接，在網(wǎng)絡(luò)層采用IPSEC VPN技術(shù)，在應(yīng)用層采用SSL技術(shù)進行連接。

三、校園網(wǎng)安全防護體系建設(shè)

（一）部署高性能安全防護設(shè)備

目前常見的網(wǎng)絡(luò)安全設(shè)備有防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、WEB應(yīng)用防火墻、上網(wǎng)行為審計、統(tǒng)一威脅管理、安全網(wǎng)管等。部署這些專業(yè)的網(wǎng)絡(luò)安全防護設(shè)備，可以對用戶的異常行為進行模式匹配和檢測，識別和阻止SQL注入攻擊、跨站攻擊、批量掛馬、敏感信息泄露、盜鏈行為等，有效防護0day攻擊，可以進行關(guān)鍵字過濾、上網(wǎng)行為管理和審計、流量分析和優(yōu)化，并能及時通過多種手段告知網(wǎng)管。

（二）保障移動互聯(lián)的安全接入

當前的無線網(wǎng)絡(luò)還沒有啟用準入機制，只在校園網(wǎng)出口進行準出認證，因此保障師生的無線終端接入安全很有必要。隨著校園無線網(wǎng)的快速建設(shè)，移動應(yīng)用日趨豐富，校園網(wǎng)接入層應(yīng)做好第一道安全關(guān)卡，使用完善的用戶及終端準入機制非常重要。無線網(wǎng)絡(luò)可以與核心BRAS系統(tǒng)進行聯(lián)動配合，實現(xiàn)準入和準出的一體化認證，同時能夠和學校現(xiàn)有的身分認證系統(tǒng)進行對接，實現(xiàn)無感知認證。

（三）統(tǒng)一安全運維管理平臺

部署統(tǒng)一、規(guī)范、高效的安全運維管理平臺，能夠?qū)π@網(wǎng)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進行管理，提供實時監(jiān)控、事件快照、綜合分析、策略下發(fā)、統(tǒng)計分析以及日志審計等功能，能夠根據(jù)實時監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)生成動態(tài)或網(wǎng)絡(luò)入侵行為來規(guī)范和管理網(wǎng)絡(luò)，方便院校管理人員隨時了解網(wǎng)絡(luò)安全狀況。

（四）建設(shè)信息安全等級保護

隨著等保2.0的到來，職業(yè)院校在信息系統(tǒng)建設(shè)和運維過程中，必須考慮系統(tǒng)的重要程度和保護等級，并選擇相關(guān)的安全保護措施，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或被竊取、篡改。建立統(tǒng)一的智能化網(wǎng)站安全監(jiān)測管理平臺，對WEB業(yè)務(wù)的運行狀態(tài)進行監(jiān)控，繪制網(wǎng)站安全地圖，通過圖形化界面快速定位有安全風險的網(wǎng)站，實時預知網(wǎng)絡(luò)可能發(fā)生的各種風險。提供網(wǎng)站歷史安全勢態(tài)的跟蹤功能，提供橫向安全對比報告便于監(jiān)管人員對網(wǎng)站進行考評、跟蹤網(wǎng)站的安全處理情況。

四、結(jié)語

在校園網(wǎng)服務(wù)于教學、科研、生活和管理的同時，職業(yè)院校應(yīng)充分認識網(wǎng)絡(luò)安全工作的重要性和緊迫性，全面實施信息系統(tǒng)安全等級保護制度，構(gòu)建符合教育行業(yè)特色的安全標準規(guī)范體系。綜合運用新一代防火墻、入侵防御、WEB防護等技術(shù)實現(xiàn)校園網(wǎng)各種業(yè)務(wù)的安全防護。面對多樣化的移動智能終端，需要從安全接入、身分認證、權(quán)限控制、業(yè)務(wù)應(yīng)用訪問、用戶數(shù)據(jù)保護等角度進行安全加固，確保師生可以隨時隨地安全快速地接入校園網(wǎng)，部署統(tǒng)一的安全運維管理平臺，提供對各種安全事件的全面管理，提高網(wǎng)絡(luò)的安全性、可管理性和可維護性。

參考文獻：

[1]王安.X高校智慧校園建設(shè)項目方案規(guī)劃與實施研究[D].青島：青島科技大學，2018.

[2]羅全珍.職業(yè)院校教育信息化建設(shè)方案淺析[J].科教導刊（中旬刊），2019，（05）：13-14.

[3]白海.“十三五”智慧校園建設(shè)研究[J].電腦知識與技術(shù)，2018， 14（15）：28-29+32.

[4]羅全珍，張燕州，張士輝，王瑋璟.高等職業(yè)院校ICT專業(yè)群建設(shè)探索[J].實驗技術(shù)與管理，2017，34（03）：158-160.

Analysis on the Construction of Network Security Protection in Vocational Colleges

LUO Quan-zhen， LI Ying-guo， DUAN Xiao-huan， WANG Peng

（Gansu Vocational and Technical College of Communications， Lanzhou， Gansu 730070， China）

Abstract： Information technology has effectively promoted the teaching quality and management efficiency of vocational colleges. Based on the risks faced by network security， this paper analyses the key technology of network security protection construction， and gives the relevant security protection measures.

Key words： vocational colleges; information security; campus network security protection

收稿日期：2019-10-24

基金項目：2019年度甘肅省職業(yè)教育教學改革研究項目“發(fā)揮甘肅省信息技術(shù)職教集團優(yōu)勢，構(gòu)建開放、共享、共贏的ICT人才生態(tài)體系”（編號：2019gszyjy-33）;2019年度甘肅省高等學校創(chuàng)新能力提升項目“基于以太網(wǎng)+云平臺+手機APP的家庭智慧安防系統(tǒng)設(shè)計與實現(xiàn)”（編號：2019B-266）

作者簡介：羅全珍（1981-）男（漢族），甘肅永登人，碩士研究生，甘肅交通職業(yè)技術(shù)學院講師、工程師，研究方向：信息安全、職業(yè)教育。