基于校園網(wǎng)信息安全管理及網(wǎng)絡(luò)安全實踐課程的研究

曲文亮 郭巍 關(guān)興卓

摘?要：隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全成為校園網(wǎng)管理中非常重要的一環(huán)。本文首先論述了校園網(wǎng)信息安全管理的管理策略、技術(shù)策略和用戶策略，然后從網(wǎng)絡(luò)安全的設(shè)計原則，從物理層安全、系統(tǒng)安全、web應(yīng)用安全、管理安全四個方面闡明了具體的設(shè)計方法，又從入侵監(jiān)測系統(tǒng)和防火墻兩個方面分析了網(wǎng)絡(luò)安全設(shè)備的具體應(yīng)用，最后針對網(wǎng)絡(luò)安全實踐課程進(jìn)行了研究。

關(guān)鍵詞：信息安全;設(shè)計原則;入侵檢測系統(tǒng);網(wǎng)絡(luò)安全實踐課程

隨著計算機(jī)網(wǎng)絡(luò)的不斷應(yīng)用和發(fā)展，校園網(wǎng)已經(jīng)成為高校發(fā)展的一面旗幟，能夠擁有便捷安全的校園網(wǎng)不僅可以促進(jìn)高校信息化教學(xué)，而且可以為智慧校園的建設(shè)提供堅實的基礎(chǔ)。但是，如果不能確保校園網(wǎng)絡(luò)系統(tǒng)的安全，常常會引起非常嚴(yán)重的后果，不僅會影響教學(xué)的正常進(jìn)行，嚴(yán)重的甚至?xí)徊环ǚ肿铀茫瑥亩鹁W(wǎng)絡(luò)輿情。

校園網(wǎng)承擔(dān)的校內(nèi)各種應(yīng)用越來越多，還有無線網(wǎng)的廣泛部署，導(dǎo)致校園網(wǎng)的信息安全是否穩(wěn)定，已經(jīng)可以直接影響全校師生甚至相關(guān)社會人員的學(xué)習(xí)、生活和工作。特別是近年來，國家高度重視網(wǎng)絡(luò)安全，已經(jīng)成為校園網(wǎng)穩(wěn)定運(yùn)行的關(guān)鍵因素，各類新應(yīng)用、新業(yè)務(wù)的普及，在網(wǎng)絡(luò)建設(shè)中制定防護(hù)方案，研究網(wǎng)絡(luò)安全策略，部署相應(yīng)產(chǎn)品，以保證校園網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行已成為必須需要解決的問題。網(wǎng)絡(luò)安全事件一旦發(fā)生，傳播快，影響大，必須引起高度重視。因此，本文將在管理策略上、技術(shù)策略上、用戶策略上，分別進(jìn)行說明，以促進(jìn)校園網(wǎng)的管理安全。

一、從管理策略考慮

首先要建立整體網(wǎng)絡(luò)安全管理體系，合理規(guī)劃校園網(wǎng)安全體系架構(gòu)是建設(shè)的首要任務(wù)，需要建立安全管理的組織機(jī)構(gòu)，明確安全管理的范圍和內(nèi)容，可以分層次規(guī)劃。從安全管理制度和技術(shù)防范手段入手，形成完整、可行的網(wǎng)絡(luò)安全管理體系。要強(qiáng)化組織領(lǐng)導(dǎo)、強(qiáng)化制度建設(shè)，落實責(zé)任，不能存在僥幸心理。完整的網(wǎng)絡(luò)安全管理體系要包含組織、管理、技術(shù)三方面內(nèi)容，組成完整的組織架構(gòu)、管理方法和技術(shù)支持。對學(xué)校信息安全管理的組織結(jié)構(gòu)進(jìn)行從上至下的包含決策、管理、運(yùn)營和應(yīng)用等層次在內(nèi)的分工，明確組織結(jié)構(gòu)各層人員的工作職責(zé)。

首先，由校領(lǐng)導(dǎo)等人組建網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組的職責(zé)是宣傳和貫徹落實國家網(wǎng)絡(luò)安全和信息化建設(shè)的方針、政策;著眼于校園網(wǎng)的建設(shè)與發(fā)展的需要，協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)過程中的各種問題;考察并制定校園網(wǎng)安全和信息化建設(shè)的長遠(yuǎn)發(fā)展、規(guī)劃和政策;統(tǒng)籌協(xié)調(diào)校園網(wǎng)安全和信息化建設(shè)整體工作。其次，由各處室各學(xué)院領(lǐng)導(dǎo)人員組建安全工作小組，執(zhí)行平時的網(wǎng)絡(luò)安全工作落實和部署。再次，由包括機(jī)房的管理人員、網(wǎng)絡(luò)的管理人員、服務(wù)器的管理人員、數(shù)據(jù)庫管理人員等組成運(yùn)營層面的管理隊伍，具體實施系統(tǒng)運(yùn)營層面各崗位工作人員的職責(zé)。最后，組件應(yīng)用層人員。落實各信息系統(tǒng)及用戶的安全責(zé)任，可以與各應(yīng)用系統(tǒng)管理人員簽訂安全責(zé)任書，同時必須明確各應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全工作職責(zé)，這一層面各崗位的工作人員是網(wǎng)絡(luò)安全工作最基礎(chǔ)的保障。

還要根據(jù)國家相關(guān)法律法規(guī)進(jìn)行校園網(wǎng)的合規(guī)性建設(shè)和應(yīng)用。例如《網(wǎng)絡(luò)安全法》第二十五條就有關(guān)于應(yīng)急預(yù)案、處理系統(tǒng)漏洞等相關(guān)規(guī)定。在此基礎(chǔ)上，不僅是建立應(yīng)急預(yù)案，還需定時對應(yīng)急預(yù)案進(jìn)行演練，及時發(fā)現(xiàn)問題，解決問題，不斷完善網(wǎng)絡(luò)安全防護(hù)的內(nèi)容[1]。

另外，信息安全等級保護(hù)工作也需納入校園網(wǎng)安全的日常管理中。根據(jù)《信息安全等級保護(hù)管理辦法》有關(guān)要求，開展基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)信息安全等級保護(hù)工作，進(jìn)一步提高基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障能力。

二、從技術(shù)策略考慮

校園網(wǎng)機(jī)房需保證物理環(huán)境安全，配備環(huán)境監(jiān)控系統(tǒng)對機(jī)房的溫度和濕度進(jìn)行24小時實時的監(jiān)控，并且有大容量不間斷電源系統(tǒng)，能夠在市電短時間中斷的情況下，提供對核心設(shè)備的電力支撐。中心機(jī)房需具有門禁系統(tǒng)對進(jìn)入機(jī)房的人員進(jìn)行審核，并提供完整的用戶上機(jī)記錄。所有的核心網(wǎng)絡(luò)設(shè)備、匯聚層網(wǎng)絡(luò)設(shè)備以及接入層網(wǎng)絡(luò)設(shè)備，均需由專人調(diào)試并且管理，交換機(jī)可以使用訪問控制列表等技術(shù)配合AAA驗證等方式管理以上網(wǎng)絡(luò)設(shè)備，密碼也需進(jìn)行復(fù)雜度管理，防止被惡意試探。核心層與匯聚層的網(wǎng)絡(luò)線路一般需要做到雙鏈路冗余備份，以保障基礎(chǔ)網(wǎng)絡(luò)物理層面的基本安全。

對于網(wǎng)絡(luò)安全技術(shù)層面，可以使用各類網(wǎng)絡(luò)安全設(shè)備配合管理人員進(jìn)行網(wǎng)絡(luò)安全管理工作。例如使用防火墻根據(jù)校園網(wǎng)的安全要求設(shè)置最大帶寬、進(jìn)行最大連接數(shù)限制等安全操作。并且可以定期查看防火墻訪問日志，能夠及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄;使用上網(wǎng)行為管理設(shè)備，利用設(shè)備精細(xì)化管理的功能，管控“登錄”“瀏覽”“發(fā)表”“上傳”等行為，利用通道化的QoS控制，實現(xiàn)基于源地址、用戶、服務(wù)、應(yīng)用、時間進(jìn)行帶寬控制和保障帶寬、限制帶寬、帶寬借用、每個IP帶寬、流量限額、帶寬優(yōu)先級等QoS動作，能有效地監(jiān)控、管理、分析校內(nèi)所有用戶的上網(wǎng)行為;使用堡壘機(jī)面向運(yùn)維安全，進(jìn)行遠(yuǎn)程維護(hù)，過程可回放。校園網(wǎng)內(nèi)各級管理員均登錄堡壘機(jī)實施運(yùn)維，通過堡壘機(jī)整合全部可管理資源，分類授權(quán)給不同用戶賬戶，提升安全性，細(xì)化管理顆粒度;使用IPS實現(xiàn)流量清洗，對骨干流量進(jìn)行過濾，減少內(nèi)網(wǎng)遭受的來自互聯(lián)網(wǎng)威脅可能性;使用DDOS重點清洗來自互聯(lián)網(wǎng)的DDOS攻擊流;使用Web防火墻對http請求檢測分析，攔截常見的web漏洞攻擊，例如SQL注入攻擊、XSS跨站攻擊用開源組件漏洞等常見的攻擊行為;還可以使用漏掃系統(tǒng)，對各類物理機(jī)或虛擬機(jī)進(jìn)行定期掃描，及時發(fā)現(xiàn)最新的漏洞并進(jìn)行補(bǔ)丁更新等。

另外，《網(wǎng)絡(luò)安全法》第二十一條也規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定各類制度、防計算機(jī)病毒、監(jiān)測并記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、留存網(wǎng)絡(luò)日志、重要數(shù)據(jù)備份等。因此，對于這些項目還需配備網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計等日志類防護(hù)設(shè)備，實現(xiàn)可回放、可溯源、可追責(zé)，為證據(jù)采集、規(guī)范數(shù)據(jù)訪問提供有力手段。

對于數(shù)據(jù)可靠性上，可以通過數(shù)據(jù)中心虛擬化的部署，提高服務(wù)器的利用率和工作效率。并且數(shù)據(jù)中心需專網(wǎng)管理，利用防火墻等安全設(shè)備單獨(dú)進(jìn)行數(shù)據(jù)安全管理。所有服務(wù)器都必須設(shè)有符合安全規(guī)范的登錄密碼，由服務(wù)器管理員專人進(jìn)行保管，并定期更換。對服務(wù)器管理員應(yīng)定期培訓(xùn)，使其具有比較高的系統(tǒng)安全管理水平，滿足對服務(wù)器進(jìn)行細(xì)致的安全配置工作條件。可以實施日常對服務(wù)器的監(jiān)控、對于重要系統(tǒng)的保障、平日進(jìn)行日常巡查等。

并且，《網(wǎng)絡(luò)安全法》第三十四條還規(guī)定，對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份等要求。依據(jù)此要求，校園網(wǎng)需要對重要數(shù)據(jù)庫進(jìn)行定期備份，防止服務(wù)器數(shù)據(jù)丟失。對重要資料除常規(guī)數(shù)據(jù)自動備份外，還需各應(yīng)用系統(tǒng)管理員專人手工備份，以防重要數(shù)據(jù)遺失，降低或消除網(wǎng)絡(luò)威脅對重要數(shù)據(jù)的影響。

三、從用戶策略考慮

網(wǎng)絡(luò)安全關(guān)系到校園網(wǎng)運(yùn)行的穩(wěn)定，隨著網(wǎng)絡(luò)安全法的頒布，對于校園網(wǎng)用戶的接入也有了更高的要求，需實名制接入校園網(wǎng)，做到可溯源。對全網(wǎng)用戶要做到入網(wǎng)身份認(rèn)證，每個用戶都對應(yīng)唯一的入網(wǎng)標(biāo)識，配合地址轉(zhuǎn)換日志、上網(wǎng)行為管理、日志審計系統(tǒng)等，做到對每個用戶的上網(wǎng)行為有據(jù)可查，上網(wǎng)行為日志留存90天備查。

網(wǎng)絡(luò)安全知識的宣傳也必不可少，每年可組織定期的網(wǎng)絡(luò)安全宣傳，例如網(wǎng)絡(luò)安全周等校園活動對學(xué)校師生進(jìn)行宣傳網(wǎng)絡(luò)安全政策和知識。經(jīng)常組織網(wǎng)站管理員、應(yīng)用系統(tǒng)管理員參與技術(shù)培訓(xùn)，進(jìn)一步增加管理人員的安全能力與安全意識。積極開展網(wǎng)絡(luò)安全資料、故事進(jìn)校園活動，可以在校內(nèi)張貼海報、發(fā)放宣傳材料，通過微信、微博、郵件等宣傳形式網(wǎng)絡(luò)安全知識，把網(wǎng)絡(luò)安全教育作為教職工和學(xué)生教育的一項重要內(nèi)容，增強(qiáng)師生網(wǎng)絡(luò)安全意識，提升網(wǎng)絡(luò)安全風(fēng)險防范能力，形成長效機(jī)制。

四、設(shè)計原則

因此，為了確保校園網(wǎng)的網(wǎng)絡(luò)安全，在規(guī)劃校園網(wǎng)的安全架構(gòu)時，應(yīng)該著眼于保護(hù)內(nèi)網(wǎng)重要資源的安全以及合理管控用戶上網(wǎng)的行為。其中，應(yīng)該重點考慮以下幾個方面：

（1）可持續(xù)性。由于近年來高校的信息化建設(shè)普遍迎來了高速發(fā)展的時期，因此在規(guī)劃校園網(wǎng)的安全系統(tǒng)時，應(yīng)該充分考慮到高校未來的發(fā)展，確保至少滿足未來5年的校園網(wǎng)網(wǎng)絡(luò)用戶數(shù)量和網(wǎng)絡(luò)帶寬等因素，從而保證校園網(wǎng)的安全運(yùn)行。

（2）資源安全。高校在教學(xué)和管理所用到的教學(xué)平臺、管理系統(tǒng)、網(wǎng)站等重要資源通常會部署在校園網(wǎng)的內(nèi)部服務(wù)器上。因此，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該保證這些資源不被攻擊、篡改和丟失，并合理控制不同用戶對資源的訪問和使用。

（3）網(wǎng)絡(luò)接入安全。由于校園網(wǎng)的開放性較高，為了避免非法用戶進(jìn)入局域網(wǎng)絡(luò)，可以在接入層交換機(jī)上部署局域網(wǎng)接入身份驗證，保證合法的校園網(wǎng)用戶接入校園網(wǎng)。

（4）上網(wǎng)行為管理。鑒于校園網(wǎng)的用戶較多，必須對內(nèi)網(wǎng)用戶的訪問行為進(jìn)行有效管控，從而確保文明安全使用校園網(wǎng)。因此，可以借助防火墻、流控設(shè)備等對師生經(jīng)常訪問的站點進(jìn)行統(tǒng)計分析，及時掌握學(xué)生的學(xué)習(xí)和生活動向，為校園大數(shù)據(jù)分析提供支撐[2]。

了解以上設(shè)計原則后，可以從以下4個方面來分析設(shè)計。

（1）物理層安全。機(jī)房的環(huán)境安全是網(wǎng)絡(luò)安全的基礎(chǔ)保障。網(wǎng)絡(luò)中心機(jī)房應(yīng)該按照相應(yīng)的計算機(jī)機(jī)房設(shè)計規(guī)范的要求進(jìn)行建設(shè)，做到線路規(guī)范、通風(fēng)良好、防火防盜。

（2）系統(tǒng)層安全。系統(tǒng)層安全主要指的是各種操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全漏洞所造成的網(wǎng)絡(luò)威脅。可以由系統(tǒng)管理員定期進(jìn)行系統(tǒng)漏洞的掃描和病毒的查殺工作，并且嚴(yán)格遵守網(wǎng)絡(luò)中心的管理條例，嚴(yán)禁向他人泄露系統(tǒng)管理員的賬號和密碼。

（3）Web應(yīng)用安全。由于web服務(wù)器逐漸成為網(wǎng)絡(luò)攻擊發(fā)的目標(biāo)，因此對web應(yīng)用提供安全防護(hù)是網(wǎng)絡(luò)安全防御體系里重要的一環(huán)。可以通過設(shè)置web應(yīng)用防火墻，即WAF對來自web應(yīng)用程序客戶端的各類請求進(jìn)行檢測和驗證，確保安全性和合法性。對于非法的請求予以實時阻斷，為web應(yīng)用提供安全防護(hù)。

（4）管理安全。建立完備的安全管理體制。通過建立一套完善的安全管理制度，并落實到相關(guān)責(zé)任人，可以提高網(wǎng)絡(luò)安全人員的管理水平。同時，網(wǎng)絡(luò)中心應(yīng)定期對網(wǎng)路安全相關(guān)人員進(jìn)行技術(shù)培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全意識。

五、網(wǎng)絡(luò)安全設(shè)備的應(yīng)用

為了更好地解決黑客攻擊、蠕蟲、木馬等網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)安全帶來的侵害，網(wǎng)絡(luò)中心通常會部署入侵防御系統(tǒng)和防火墻來主動防護(hù)網(wǎng)絡(luò)，為網(wǎng)絡(luò)安全提供最大的保障。

其中，入侵防御系統(tǒng)可以在線地檢測網(wǎng)絡(luò)數(shù)據(jù)異常和資源變化，發(fā)現(xiàn)攻擊后能夠有效阻斷，阻止攻擊到達(dá)目標(biāo)網(wǎng)絡(luò)或主機(jī)。入侵檢測系統(tǒng)通常具備攻擊防御、病毒過濾和異常行為檢測三大功能特點。

入侵檢測系統(tǒng)提供的是一種主動的、實時的防護(hù)，對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動判斷和攔截，以免造成損失，而不是簡單的監(jiān)測和報警。入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全主干系統(tǒng)的一部分，不僅僅是一個被動的監(jiān)測設(shè)備，它還要對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行深層檢查，例如特征檢測、異常檢測、Dos/DDos檢測等，一旦發(fā)現(xiàn)入侵，立刻阻斷攻擊者對攻擊目標(biāo)的訪問，從而達(dá)到防御攻擊的目的。

入侵檢測系統(tǒng)具有靈活高效的防病毒能力，實現(xiàn)針對HTTP、SMTP、POP3、FTP等協(xié)議的病毒流量控制和監(jiān)測，能夠在第一時間完成對各種病毒的查殺，消除病毒對網(wǎng)絡(luò)安全的危害。入侵檢測系統(tǒng)一般會內(nèi)置龐大的特征庫，特征庫主要用于檢測各類已知攻擊，對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行高度匹配，可以準(zhǔn)確、快速地檢測到同類攻擊，包括病毒木、木馬等，并通過不斷升級攻擊特征，從而保證第一時間檢測到攻擊行為。

入侵檢測系統(tǒng)通常支持各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，提供靈活的部署方式，以銥迅的入侵防御系統(tǒng)為例，針對校園網(wǎng)，可以在核心交換機(jī)和核心路由器的中間插入入侵防御系統(tǒng)，但是對流量并不產(chǎn)生影響。由此，入侵防御系統(tǒng)可以阻斷、過濾各種攻擊，而讓其他正常的流量通過。這種模式的最大特點就是快速、簡便，可以實現(xiàn)先部署后配置，做到即插即用[3]。

防火墻也是一款協(xié)助保障網(wǎng)絡(luò)安全的設(shè)備，它通常部署在內(nèi)網(wǎng)和外網(wǎng)之間，通過定義接入訪問控制規(guī)則，保證僅當(dāng)流量或數(shù)據(jù)匹配要求時才能穿越防火墻或接入被保護(hù)的系統(tǒng)，從而達(dá)到管理和控制網(wǎng)絡(luò)流量、保護(hù)資源的目的。隨著防火墻技術(shù)的不斷進(jìn)步，目前許多路由器已經(jīng)集成了防火墻的功能，通過在路由器上配置訪問控制列表等策略來對數(shù)據(jù)包進(jìn)行過濾，進(jìn)而實現(xiàn)防火墻的功能。

六、網(wǎng)絡(luò)安全實踐課程研究

網(wǎng)絡(luò)安全實踐課程是以問題為基礎(chǔ)的研究性實驗課程，旨在推進(jìn)以問題為核心的課外探究性、實踐性學(xué)習(xí)，激發(fā)學(xué)生的學(xué)習(xí)興趣及研究問題的主動性。把針對校園網(wǎng)的信息安全管理的研究依托學(xué)校大數(shù)據(jù)與智慧校園管理中心信息安全云實驗系統(tǒng)，采用基于SPOC的網(wǎng)絡(luò)安全實踐課程混合學(xué)習(xí)平臺，使學(xué)生利用SPOC課程資源，主動參與并提出疑問、發(fā)表觀點、共同解決問題，由被動的知識灌輸對象轉(zhuǎn)變?yōu)閷W(xué)習(xí)活動主體。形成學(xué)生自助互動、教師深度參與的學(xué)與教模式的深度融合，同時采用有效的實驗場景創(chuàng)設(shè)模式，促進(jìn)學(xué)生對網(wǎng)絡(luò)安全實踐的技能訓(xùn)練。

綜上所述，信息安全與網(wǎng)絡(luò)安全工作不僅是一項復(fù)雜而又煩瑣的任務(wù)，還具有很重要的現(xiàn)實意義，必須要高度重視。在實際工作中，從標(biāo)準(zhǔn)、操作、技術(shù)、制度等各方面保障網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。總之，隨著國家對信息安全的不斷重視，網(wǎng)絡(luò)安全已經(jīng)成為高校工作中的一個非常重要的方面。高校的網(wǎng)絡(luò)工作人員肩負(fù)著重要的責(zé)任，要時刻秉承著網(wǎng)絡(luò)安全理念，以網(wǎng)絡(luò)安全為己任，以網(wǎng)絡(luò)安全技術(shù)為依托，不斷開拓，不斷創(chuàng)新，不斷進(jìn)取。

參考文獻(xiàn)：

[1]王茂臣.高校網(wǎng)絡(luò)安全管理問題及對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（09）.

[2]倪東.校園網(wǎng)安全防御體系的構(gòu)建和實施[J].遵義師范學(xué)院學(xué)報，2021，23（01）.

[3]李國瑜.淺析入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用[J].信息通信，2020（11）.

基金項目：北華大學(xué)2021年教育教學(xué)改革研究課題“基于SPOC的網(wǎng)絡(luò)安全實踐課程混合學(xué)習(xí)平臺研究”，項目負(fù)責(zé)人：曲文亮

作者簡介：曲文亮（1980—?），男，漢族，吉林人，本科，高級實驗師，教師，研究方向：計算機(jī)網(wǎng)絡(luò)及應(yīng)用。