校園局域網信息安全風險分析與防范

張婷婷

（山東服裝職業學院 山東省泰安市 271000）

校園網信息安全是社會所關注的重點問題，為了保護學生、學校以及教職工的信息安全，需要構建穩定、安全的網絡環境，才能為學生提供良好的學習環境和生活環境。信息行業的快速發展加快了信息技術的普及程度，使得校園局域網的功能得到了豐富，但是在這一背景下局域網也出現了較多的安全隱患。校園局域網系統容易受到各種病毒和黑客的影響，使得網上信息的安全性和保密性受到影響。攻擊局域網的人員會對數據庫中的內容進行篡改，竊取用戶數據，偽造用戶身份，會給校園局域網的安全性帶來了嚴重威脅。因此要想保證校園局域網的穩定建設，必須要加強安全風險的防范力度，防止信息泄露的現象出現。

1 校園局域網信息安全風險

1.1 網絡病毒傳播速度快

網絡病毒問題是困擾局域網信息安全的關鍵因素。互聯網逐漸變得復雜，病毒類型、病毒數量不斷增加，傳播速度也有所提高，可以在短時間內進行大范圍傳播，使得網絡病毒從區域化開始轉變為全球化的傳播。網絡病毒的出現會泄露用戶的隱私以及數據，會出現網絡資源消耗的問題，給網絡穩定性造成影響。新型病毒的處理難度也較大，無法在局域網系統中進行根除，會給局域網用戶帶來不良的使用體驗。網絡病毒的傳播方式也較多，如接受郵件、瀏覽網址、網路服務等，防范的難度較大。

1.2 在局域網內傳播不良信息

校園網絡文化的建設是影響學生使用局域網的關鍵因素，可以將校園文化以及信息技術進行緊密的結合，可以充分體現了學校的文化內涵，是向學生展示校風的重要方式。網絡文化包括物質文化和精神文化，通過文化傳播可以促使學生形成良好的網絡道德意識。物質文化建設表現在對網絡硬件設施進行完善，并設置網站、網頁等軟件平臺。精神文化建設表現在提升學生的精神素養水平，但是當前學校并不重視對網絡精神文化進行建設，使得局域網內出現不良信息傳播的現象。校園網和Internet 在接入之后，網絡上各種信息會出現在局域網系統中，學生有可能會訪問到各種色情信息或者暴力信息，或者會被網站中的虛假廣告所蒙騙，給學生的利益造成損傷。

1.3 外界用戶非法訪問

在個別中小學校中雖然開始建設局域網系統，但是缺失專門的人員對局域網系統進行管理，使得網絡秩序出現了混亂的問題。在局域網使用方面缺少完善的規范體系，沒有針對用戶以及管理者實施操作約束，有可能因為不注意使局域網系統出現癱瘓。用戶權限方面也沒有進行合理的規范，外界用戶經常會出現非法訪問的問題，對局域網系統實施攻擊，或者竊取相關人員的信息。校園網局域網系統的設計存在局限性的問題，作為內網的使用人員會使用自己的身份篡改系統中的數據。根據當前校園局域網系統的使用情況進行研究，7 成以上的系統安全問題都來自于內部的用戶。

1.4 網絡黑客入侵局域網系統

網絡黑客嚴重威脅網絡安全，該群體普遍擁有高超的計算機水平，會入侵網絡系統，出現盜取數據、破壞系統的現象。黑客可以分為兩種，分別被稱作黑客和壞客，前者入侵局域網系統的目的在于顯示自身的能力，后者則會給網絡的穩定、安全運行造成最為直接的威脅。黑客的攻擊會直接給局域網系統的運行造成打擊，使其出現癱瘓的現象，不僅會影響到人們的正常生活，還會容易泄露學校的重要數據，對于學校的發展、師生信息隱私有著較為嚴重的安全威脅。

2 校園局域網信息安全風險防范措施

2.1 使用入侵檢測技術

入侵檢測技術是指針對惡意訪問或者竊取數據等行為實施檢測的技術，通過使用該技術可以對網絡實施系統性的檢測，及時發現系統運行過程中存在的異常問題。在發現異常后可以自動上報，并對異常問題進行處理問題，常見的異常狀況包括越過權限訪問系統、破損系統數據等入侵行為。入侵檢測技術可以提升入侵行為檢測效率和及時性，防止出現違反網絡安全要求的行為，為計算機系統的運行提供重要的安全保障。該技術在發現非法行為后還會對對方進行警告，從而擊退入侵攻擊行為，確保管理系統的安全性。入侵檢測技術目前已經得到了創新，開始應用了專家系統以及神經網絡技術，可以完成如下任務：

（1）對于用戶活動、系統活動實施監視、分析；

（2）對局域網系統構造以及缺陷進行審計；

（3）識別進攻活動，對管理人員進行報警；

（4）對異常行為模式實施數據集統計，并分析數據規律；

（5）對局域網重要系統以及數據的完整性實施評估；

（6）對局域網操作系統實施審計跟蹤管理，識別用戶存在的違反安全策略的異常行為。如圖1所示為入侵檢測技術的應用原理。

2.2 使用計算機病毒防范技術

當前系統在運行過程中經常會受到各種病毒和木馬的攻擊，病毒入侵會給系統的正常運行帶來影響和損害，因此需要使用計算機防毒技術來避免病毒的惡意入侵。病毒防范技術包括檢測技術和清除技術，在病毒即將入侵系統后該技術可以及時發現病毒，并根據病毒的類型選擇相應的處理方式，有效查殺病毒。在該技術中應用了人工智能、網絡虛擬化等新型技術，可以定期對系統的運行情況進行檢測，以此來保證系統整體的安全性。在進行檢查時還會使用到預防技術，對系統實施定期更新和病毒查殺，可以減少系統被病毒入侵的危險性，加之人工智能技術的應用可以自動搜索和檢測病毒，準確分析病毒的來源，減少了人工系統維護時的投入，提升了系統安全性。計算機的病毒防范技術分為兩種：CPU 內嵌的防病毒技術是一種硬件防病毒技術，與操作系統相配合，可以防范大部分針對緩沖區溢出（buffer overrun）漏洞的攻擊（大部分是病毒）。Intel 的防病毒技術是EDB（Excute Disable Bit），AMD 的防病毒技術是EVP（Ehanced Virus Protection），兩者的作用大同小異。

2.3 使用防火墻系統實施風險防范

防火墻是局域網系統中使用最為廣泛的防范技術，可以在各種網絡以及網絡安全領域中所應用的部件組合。防火墻系統的使用能夠監測數據流、限制數據流、更改數據流，防止異常的數據流跨過防火墻，給局域網系統的安全運行造成影響，對外界屏蔽內網的各類信息以及運行狀況，包括網絡安全保護效果。通過邏輯上來看，防火墻系統可以作為分離器、限制器、分析器，對內網和Tnternet中的活動實施監控，確保內網信息的安全性。在設計防火墻系統時需要從四個要素入手：

（1）網絡策略。高級和低級網絡策略都會給防火墻系統的設計，前者對允許的服務、禁止的服務、服務的使用進行明確定義，后者對限制定義服務、過濾定義服務的網絡策略實施描述。

（2）服務訪問策略。該策略需要將Internet 訪問、外網訪問進行集中，且應當具備可行性、合理性。可行性策略應當能夠平衡用戶服務以及組織網絡風險兩種功能。

（3）防火墻設計策略：在設計時需要結合特定的Firewall，對完成服務訪問策略的規則實施有效定義，一般情況下會采取兩種方法進行設計。第一，對任何服務都保持允許狀態，除非明確禁止的服務，雖然較為安全，但是使用效果較差；第二，對任何服務都保持禁止狀態，除非明確允許的服務，雖然使用效果較好，但是安全性較低。

（4）增強認證。增強認證機制包含智能卡，利用各種認證技術，包括以指紋為例的生理特征認證以及以軟件為基礎的認證模式。

2.4 防止非法偵聽現象

在校園局域網的內部需要加強非法偵聽現象的防范，避免相關信息被竊取。局域網屬于以太網，其技術構建基礎為廣播，通過網絡分段的方式能夠有效避免非法偵聽的問題，合理控制廣播封包。相關人員需要合理使用中心交換機所具備的訪問控制、三層交換功能，使用物理和邏輯兩種方式完成分段，以此來保證能夠對局域網實施安全控制。將局域網信息系統中的共享式集線器進行更換，轉變為交換式，可以讓單播包在兩個節點之間進行有序傳送。劃分VLAN 也是防范該風險的關鍵方式。當處于集中式的網絡環境之下，會將主機系統進行集中處理，并放置在VLAN 中，VLAN 之內不能存在其他用戶的節點，可以對主機資源實施有效的保護。如果處于分布式網絡環境下，可以以新的標準對VLAN 進行劃分，如將機構以及部門作為標準。不同部門之間服務器、使用節點都處于自己的VLAN 之內，使其能夠做到互不侵擾。通過交換的模式可以讓VLAN之內進行連接，VLAN 和VLAN 可以通過路由的手段實現。目前交換機可以支持的路由協議包括RIP 以及OSPF。

2.5 身份認證技術以及VPN技術

如果進入內網的用戶是通過外部撥號的方式進入，會給數據傳輸活動帶來較大的風險，因此需要加強身份認證。第一種，使用身份認證的方式明確進入內網用戶的身份，記錄完整的日志，常用的技術包括TACACS 和RADIUS。第二種，使用VPN 技術，該技術的核心在于隧道技術，會對校園專網數據實施加密封裝，利用虛擬化公網隧道完成傳輸活動，避免敏感數據出現被偷竊的現象。利用公網建立VPN 能夠在專用網基礎上建立內部網，網絡安全性和優先性均有所提升，使得局域網的管理工作出現了較大的變化。但是需要合理選擇VPN 技術的提供商以及相關設備。

3 結束語

互聯網時代的快速發展，給學校的教學管理帶來新的影響，學校開始積極引進了局域網絡，為學生的學習和生活提供了重要的便利。學校需要結合局域網信息安全特點，分析容易出現的安全風險，制定針對性的防范措施。當前校園局域網信息風險包括四個方面，分別為網絡病毒傳播控制難度大、不良信息大肆傳播、外界用戶非法訪問以及黑客攻擊。為了保障校園局域網系統安全，應當積極使用入侵檢測技術、計算機病毒防范技術、防火墻系統等。今后校園局域網信息安全風險防范工作所面臨的挑戰會有所增加，學校應當重視對局域網系統實施安全管理，采取新型的防范措施。