校園局域網環境下計算機網絡安全防護措施

李果果

（長沙民政職業技術學院圖書信息中心 湖南 長沙 410004）

0 引言

網絡技術的普及化豐富了校園局域網的使用范圍，但同時也帶來了更多的網絡安全隱患。一旦有不法分子通過校園局域網的漏洞入侵到校園系統中，那么將會給校園系統的數據安全造成嚴重的威脅，導致校園數據庫系統數據內容的丟失、偽造等等。因此相關工作人員應加強對于校園局域網計算機網絡安全的防護工作，并不斷優化校園局域網計算機網絡安全防護措施，從而保證校園局域網的安全性，及校園局域網環境下的計算機網絡安全性。

1 校園局域網概述

1.1 校園局域網的基本結構

一般情況下，對于校園局域網基本網絡結構的分析，主要是從兩個方面進行，分別為管理體系結構與功能構造[2]。下面分別對二者進行分析，對于管理體系結構來說，首先應對校園局域網系統組成模塊進行詳細、準確的分析，并明確掌握各組成模塊的特點、功能；其次，應明確網絡系統的內在關系，即完成一個特定的服務需要哪些模塊參與，以及各個模塊之間的相互關系。對于校園局域網的功能構造來說，是指以校園局域網為基礎的各項系統，如校園教育系統、校園教學資源系統、校園學生管理系統等。

1.2 校園局域網計算機網絡安全現狀

由于科技的不斷進步，越來越多的數字信息化技術被廣泛地應用于校園局域網中，如云計算技術、大數據技術、物聯網技術等。同時，隨著近年來線上教學方式的普及，越來越多的學校開始嘗試在校園局域網環境下建立線上教學平臺。雖然校園局域網的應用范圍更加廣泛，同時，校園局域網所面臨的網絡安全隱患也明顯增加，如賬戶信息泄漏、不良廣告彈窗等等，為教師與學生校園日常學習生活的平穩性、安全性造成困擾。

2 校園局域網中計算機網絡安全潛藏隱患

2.1 內部安全隱患具體分析

2.1.1 校園局域網系統存在漏洞

校園局域網系統所采用的硬件配置是校園局域網計算機網絡安全體系的重要組成部分。在校園局域網系統漏洞中，最易出現安全風險的是硬件配置層面與安全策略層面。在硬件配置層面中，硬件設施的不合理配置、管理與檢修方法的不得當等都會導致校園局域網出現安全風險。在安全策略層面，如果校園局域網管理員缺乏對計算機網絡安全問題的重視，那么很有可能給黑客可乘之機，部分黑客可能會利用遠程操控技術對校園局域網發起入侵。

2.1.2 規劃與設計不當

校園局域網的運維與管理是一項長期、系統的工作，因此相關校園局域網管理工作者應具備長遠規劃的思維。如果缺乏長遠規劃的思維，那么可能會導致一些問題在校園局域網建設完成后才被發現，此時如果作出大規模調整將會消耗大量的資金和時間，甚至需要對校園局域網進行重新規劃建設，這都給校園局域網的計算機網絡安全防護工作造成困擾。

2.1.3 管理漏洞

通常情況下，校園局域網都是不對外開放的，但也有極少部分學校的校園局域網對外開放，這種非封閉式校園局域網對于使用群體并沒有嚴格的限制，因此造成大量的管理漏洞存在。另外，部分校園局域網的管理人員缺乏足夠的計算機網絡安全意識，不能及時發現一些隱性的黑客攻擊，導致校園局域網的網絡安全受到威脅。

2.2 外部安全隱患具體分析

2.2.1 網絡病毒的侵害

由于目前大部分學校的校園局域網仍然采用舊版Windows操作系統，而此類系統的功能較為落后，極易遭受網絡病毒的入侵，導致用戶信息財產損失。老師、學生及相關管理員等是校園局域網使用的主體，日常學習生活中離不開校園局域網的應用，一旦其訪問的網站存在網絡病毒，很容易導致網絡病毒對整體校園局域網的入侵，最終導致校園局域網系統中的數據泄漏、丟失，該學校造成不可挽回的經濟損失。另外，由于部分師生的網絡安全意識低下，其在瀏覽網頁時缺乏對可疑網址的辨別能力，因此造成網絡病毒的入侵；學生、教師在使用計算機時，通常都會使用外置儲存裝備，如U盤等，這種外置儲存設備的應用，也一定程度上提升病毒入侵的風險性。

2.2.2 黑客入侵

絕大多數新聞媒體將網絡黑客稱之為電子計算機侵略者，他們非法侵入電子計算機網址、對用戶賬號信息、文檔信息等利用不法手段進行竊取、篡改。隨著互聯網信息技術的發展與成熟，現已廣泛應用于人們日常生活中，與此同時互聯網遭到網絡攻擊的事情越來越多，對網絡安全導致巨大的威脅。在校園中，也有一些熟練掌握計算機網絡技術與編程技術的學生，出于無聊心理對本校的校園局域網進行黑客攻擊，這樣校園局域網的計算機網絡安全也進一步受到安全威脅。

3 校園局域網中計算機網絡安全風險防范措施

3.1 入侵檢測防御技術的引進

入侵防御系統（Intrusion Prevention System, IPS）技術是一種對互聯網中濫用權力對數據進行盜取、損壞、篡改行為進行檢驗的技術，入侵防御技術可以第一時間掌握校園局域網系統的異常情況，并及時向校園局域網管理員進行匯報，從而提高計算機網絡的運作安全性[6]。該技術在檢驗到違法活動后，還可以對侵略者進行警示，阻礙侵略者的進一步入侵行為。入侵防御系統技術隨著神經元網絡技術與決策支持系統的不斷發展得到了進一步創新與優化，目前，入侵監測技術已經能夠實現以下功能：

對校園局域網用戶的行為進行實時監測與解析；對校園局域網系統漏洞進行風險評估；檢驗非法侵入與攻擊行為，對管理者進行預警；對校園局域網系統中存在的異常現象進行記錄，并通過大數據分析異常行為規律；對校園局域網系統數據的完整性進行評估；對校園局域網用戶的行為進行風險判斷等。入侵防御系統技術的基本應用原理詳見圖1。

圖1 入侵檢測技術應用原理

3.2 服務器防火墻技術的引進與應用

防火墻技術，就是為校園局域網添加一個防護屏障，從而對通過防火墻的數據流進行檢測、限制、變更等操作，降低校園局域網計算機網絡的安全隱患。如今，最為廣泛應用的校園局域網防火墻為華為防火墻，在華為服務器的防火墻模塊中，存在以下四個基礎安全區：（1）T r u s t區域的互聯網受信水平最高；（2）D M Z區域為互聯網受信水平一般的地區；（3）Untrusty區域為互聯網非受信地區；（4）Local區域則是代表服務器防火墻本身，這四個區域的防護范圍都是在出廠時默認設置的，在使用時無法對其進行參數的變更或刪除操作。在瀏覽器中鍵入華為防火墻的IP地址，鍵入賬戶密碼登錄，進到服務器防火墻Web端管理流程，校園局域網管理員可以根據其具備的設置向導進行局域網的建立，也可以從ACL中設定如192.168.2.0/0.0.0.255的某一局域網IP地址段。可設定容許或回絕某IP地址段對互聯網的瀏覽，同時，校園局域網管理員也可以設置相應的黑名單與白名單，從而對是否可以訪問網絡進行授權管理，另外，為了對不同的用戶設置不同的權限，校園局域網管理員也可以通過設置對應密鑰的方式進行權限分配[7]。

3.3 引進電子計算機病毒預防技術

通常情況下，病毒預防工作主要采用病毒檢驗技術與病毒消除技術兩項技術來進行。通過進行有效的病毒預防工作來實現校園局域網系統遭受病毒入侵時，即時檢驗出侵入病毒，挑選針對的對策合理消除、殺死病毒。同時，病毒預防技術還可以與其他數字化信息技術相結合，如AI技術、大數據技術等，從而實現對校園局域網運行狀態的實時監測與分析，保證校園局域網運行的穩定性[8]。病毒查驗情況下，還可以使用防止技術，在校園局域網運行常態下，系統也對其進行定時的病毒監測與病毒查殺，提升校園局域網的安全性。病毒預防技術的應用，有效提升了校園局域網對于病毒入侵的抵御能力，提升了病毒查殺的自動化水平，不僅保證了校園局域網系統運行的穩定性，同時也節約了大量的人工成本與時間成本。教師、學生可以自行在電腦中安裝QQ電腦管家、360、火絨等殺毒軟件，增強自身個人電腦與校園電腦的病毒防御能力，防止自身在瀏覽網頁時遭受病毒入侵。對于一些利用普通殺毒軟件無法清除的病毒，可選擇采用專業殺毒工具進行針對、有力的清除。

3.4 引進數據加密技術

在校園局域網系統中，存在大量的信息數據，如教師、學生的個人信息、視頻、音頻、圖片、文檔等教學資源等。如果在此類信息數據的傳輸、儲存過程中沒有進行數據加密，那么校園局域網在遭受病毒入侵時很容易導致數據信息的泄漏、丟失。而通過運用數據加密技術，當校園局域網遭受黑客入侵時，也可以很好地保證信息數據的完整性與安全性，保證信息數據不被竊取或惡意篡改[9]。目前來看，對于文字類數據的加密技術已經趨于成熟，針對文字類數據可以引進現今前沿加密技術。

3.4.1 選取具有實用性的數據加密方案

針對安全性要求不高，校園活動與課堂教學照片等圖像數據，可進行高效、安全的數據加密，提高數據安全性，減少數據加密的時間成本。同時，可對多媒體系統數據進行分級分類加密，具體步驟如下圖所示。對于圖像數據的加密來說，需要先將圖像進行分割，并將較為敏感的圖像字塊利用熵值計算的方式進行獲取；在對音頻數據進行加密時，可通過對音頻數據的預處理，來保障最后數據計算的準確。

3.4.2 安全性優先選擇的數據加密計劃方案

針對重要學術研究、師生個人隱私等非公開性質數據加密時，可通過CNN混沌系統充分保障數據信息的安全性、保密性。對數據量相對較小的圖像數據，可使用Baker投射將圖像置亂，然后通過CNN混沌系統進一步提高數據加密前的安全性、保密性。

4 校園局域網中計算機網絡安全管理

4.1 計算機設備的重點維護

在購買計算機硬件設施時，切忌盲目追求成本的低廉，而是應以計算機硬件設施的質量作為選擇標準，從而為校園局域網的運行構建良好的計算機硬件設施環境，以防止因計算機硬件設施漏洞所產生的校園局域網安全隱患。同時，學校應成立專門的校園局域網計算機網絡設備維護部門，指派能力較強、責任心較重的人員負責校園局域網計算機硬件設備的維護與管理工作。定期對計算機系統進行安全檢查，及時更新系統、修補安全漏洞，對計算機設備實現規范的存儲，防止計算機設備的人為損壞，提高計算機互聯網使用的安全系數，詳見圖2。

圖2 多媒體數據分級加密流程

4.2 加強計算機使用者的信息技術素養

由于計算機使用過程中，無法保障使用者的計算機信息技術素養，常會使計算機網絡受到安全威脅。因此學校應著手針對師生進行計算機互聯網規范性應用、計算機安全應用意識培訓，提升師生計算機信息技術素養。同時也需要加強校園局域網下計算機網絡安全的維護與檢測工作，計算機管理人員針對新知識、新技術進行積極學習，并在計算機網絡安全管理中有效應用，為校園計算機網絡安全提供多方面的有力保障.

4.3 健全計算機網絡安全管理方案

隨著互聯網大時代的發展步伐，計算機網絡技術已經廣泛地應用于各行各業中，成為學校教學過程中不可或缺的重要手段。在這種背景下，為了進一步提升校園局域網計算機網絡安全，學校相關部門應盡最大努力，制定健全、高效、合理的校園局域網計算機網絡安全管理方案，同時通過系統培訓加強教師與學生計算機信息技術使用的規范性，為校園局域網下的計算機網絡安全提供最大程度的保障。學校也可以將校園局域網計算機互聯網的運行維護與安全工作等崗位職責落實到個人，將校園局域網計算機網絡安全維護工作納入績效考核范圍，為校園局域網的計算機網絡安全打下良好的基礎。

5 結語

綜上所述，如今學校的教學工作越來越離不開校園局域網的參與，同時校園局域網所面臨的網絡安全威脅也越來越多樣，為了進一步提升校園局域網計算機網絡的安全性與穩定性，相關工作者就應全面分析對校園局域網計算機網絡安全造成威脅的主要隱患，并采取行之有效的計算機網絡安全防護措施，保證校園局域網環境下的計算機網絡安全。