校園網(wǎng)安全防御體系的構(gòu)建分析

摘要：隨著信息技術(shù)的高速發(fā)展，校園網(wǎng)的創(chuàng)新業(yè)務得到不斷應用。但在校園網(wǎng)的長期發(fā)展過程中，所遇到的信息安全問題也相對明顯。本文將主要基于校園網(wǎng)安全防御體系構(gòu)建方面的問題進行詳細分析，并提出相關(guān)技術(shù)參考，以提升校園網(wǎng)的整體運行能力。

關(guān)鍵字：校園網(wǎng)；安全防御體系；可信驗證；邊界隔離

一、引言

現(xiàn)階段，伴隨著科學技術(shù)的發(fā)展，校園網(wǎng)業(yè)務得到了明顯推動，然而隨之而來的還有信息安全問題，這些問題變得越發(fā)嚴峻。因此，在當前校園網(wǎng)的建設(shè)過程中，積極保障信息安全成為重要的考慮。為此，需要從技術(shù)層面構(gòu)建一個完善的預警、主動防御和整體防控系統(tǒng)。這樣可以有效應對信息安全威脅，確保校園網(wǎng)絡(luò)的安全穩(wěn)定運行。

二、通信網(wǎng)絡(luò)安全保護

在通信網(wǎng)絡(luò)安全的構(gòu)建過程中，一項關(guān)鍵任務是在雙方構(gòu)建通信連接之前進行單向或者雙向身份驗證。所有信息交互環(huán)節(jié)都必須確保信息傳輸?shù)耐暾院捅Ｃ苄裕苑乐箶?shù)據(jù)泄露或被盜等問題。在校園網(wǎng)的建設(shè)進程中，需要充分保障網(wǎng)絡(luò)帶寬和可用性的全面提升，并在網(wǎng)絡(luò)區(qū)域劃分階段擁有強大的處理能力，以確保數(shù)據(jù)具有高度的安全性和管控能力，從而實現(xiàn)系統(tǒng)穩(wěn)定地運行下去。

（一）網(wǎng)絡(luò)架構(gòu)設(shè)計

在當下校園網(wǎng)絡(luò)的建設(shè)過程中，為了進一步滿足創(chuàng)新業(yè)務的開展，應積極研究當下網(wǎng)絡(luò)技術(shù)的發(fā)展。隨著信息技術(shù)的不斷發(fā)展，出現(xiàn)了扁平化的大二層網(wǎng)絡(luò)架構(gòu)形式。同時，利用軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化的處理方式，對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)以及各種網(wǎng)絡(luò)功能進行集中整合和歸納，為用戶提供動態(tài)性和差異化的服務[1]。

在網(wǎng)絡(luò)設(shè)備的性能、帶寬以及可用性的保障中，基本上都會選擇一些高性能的技術(shù)指標設(shè)備。這樣可以最大程度地降低設(shè)備的CPU占用率，以確保在后續(xù)進行業(yè)務高峰的流量處理時能夠保持良好的性能。其次，在網(wǎng)絡(luò)監(jiān)控的平臺控制過程中，并不會出現(xiàn)宕機的告警信息。通過對設(shè)備進行整體業(yè)務流量的分析和處理后，可以充分利用業(yè)務中的處理能力，實現(xiàn)對帶寬的調(diào)整處理。此外，在配置網(wǎng)絡(luò)設(shè)備服務時，需要保證網(wǎng)絡(luò)運行時的帶寬符合相關(guān)標準。最后，在進行設(shè)備設(shè)計時，應采用端口位置的鏈路連接與聚合，基于多鏈路的備份和流量處理方式，對工作業(yè)務進行分擔。在對網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)的處理時，能夠充分實現(xiàn)對虛擬化技術(shù)的熱備份[2]。

（二）可信驗證系統(tǒng)設(shè)計

在設(shè)計該系統(tǒng)時，需要考慮網(wǎng)絡(luò)中涉及的各種通信設(shè)備和安全設(shè)備。這些設(shè)備對網(wǎng)絡(luò)的安全性起著直接的關(guān)鍵作用。為了提高系統(tǒng)的穩(wěn)定性，需要在整體設(shè)計過程中采用可信鏈架構(gòu)的方式來提升安全性。具體設(shè)計中，設(shè)備的型號選擇至關(guān)重要。首先，需要使用可信根和可信軟件，并通過內(nèi)置的安全芯片來保護設(shè)備中的重要文件，以確保系統(tǒng)的整體安全性。其次，在系統(tǒng)的運行過程中，可以使系統(tǒng)和軟件始終保持在可信狀態(tài)，并確保設(shè)備的固件能夠得到良好的引導和處理[3]。

在該系統(tǒng)的設(shè)計中，需要對操作系統(tǒng)、系統(tǒng)內(nèi)核和引導程序進行進一步調(diào)整和處理。在我國市場上已經(jīng)出現(xiàn)了TPCM可信安全芯片，可以用來構(gòu)建可信根。在軟件處理過程中，可信根需要起到良好的承接功能。另外，在系統(tǒng)中的可信根可以讓應用程序在處理和運行過程中始終保持動態(tài)度量的效果。特別是在實際判定和處理過程中，可以得到相應的控制。一旦檢測到信任鏈的損壞，系統(tǒng)會立即發(fā)出告警信號，并對可移動平臺進行相應處理。

三、區(qū)域邊界安全防護設(shè)計與優(yōu)化

在進行區(qū)域劃分的過程中，需要對校園網(wǎng)中的安全防御需求進行合理化的設(shè)計與調(diào)整，將其邊界控制與訪問控制分配到一個安全區(qū)域中。在校園網(wǎng)的日常運行中，要進行合理的不同分區(qū)劃分。

（一）區(qū)域邊界總防護策略

在不同區(qū)域當中的邊界保護處理中，始終需要基于一個可訪問的控制方式，并同時加強在邊界防護、入侵防范、和惡意代碼防護等功能，以針對性進行處理。

在邊界隔離、訪問控制和防護的過程中，顯然基于傳統(tǒng)的物理交換網(wǎng)絡(luò)模式存一定的弊端問題。其次，在不同區(qū)域的設(shè)計過程中，需要基于最小權(quán)限的設(shè)計方式，保持雙向訪問的控制方式。全面提升控制力度和處理的動態(tài)監(jiān)測分析方式[4]。在動態(tài)監(jiān)測區(qū)域當中，對用戶的信息數(shù)據(jù)，實現(xiàn)良好的數(shù)據(jù)包通行控制。在使用下一代的防火墻技術(shù)之后，可以利用虛擬化技術(shù)和方式，對不同的區(qū)域進行針對性的防護。此外，在防火墻的處理中，不同的接口和聯(lián)機位置需要設(shè)置不同的安全等級接口，并在不同區(qū)域構(gòu)建雙向的數(shù)據(jù)通信效果。在安全組、安全資源的處理上，需要在云資源數(shù)據(jù)中心進行訪問控制處理。

在入侵防范和惡意代碼處理中，需要在各個邊界位置布置下一代入侵和防御系統(tǒng)。在云數(shù)據(jù)中心的業(yè)務區(qū)域設(shè)置中，基本上都要在實際的北向入侵防御的過程中，利用虛擬IPS防御系統(tǒng)積極預防整個網(wǎng)絡(luò)之外的部門的攻擊行為。

在邊界安全審計以及可信驗證過程中，需要全面提升日志審計的平臺合理性，并針對設(shè)備使用和服務器處理進行分析，始終保持在一個可信度較高的空間當中[5]。

（二）區(qū)域邊界防控

在互聯(lián)網(wǎng)的接入?yún)^(qū)域設(shè)置中，需要保障互聯(lián)網(wǎng)的實際接入?yún)^(qū)成為校園網(wǎng)與通信運營商通信的重要邊界。其次，還需要在互聯(lián)網(wǎng)的接入位置上集中防御其安全威脅。例如，對出現(xiàn)的黑客入侵、拒絕服務供給以及惡意代買等，都要全面提升接入的效果。在對互聯(lián)網(wǎng)的接入?yún)^(qū)域進行的保護工作，一定程度上能夠極大提升整體的處理能力。在防火墻設(shè)置方面，邊界路由器是互聯(lián)網(wǎng)接入?yún)^(qū)域首選的安全防護手段。對內(nèi)部內(nèi)置的可信根及基礎(chǔ)設(shè)備的優(yōu)化處理上，要充分保障邊界路由器可以充分地實現(xiàn)安全加固配置，以及對網(wǎng)絡(luò)安全實現(xiàn)良好的防護處理。在下一代防火墻的設(shè)置過程中，要充分實現(xiàn)安全域的處理。另外，在業(yè)務、應用以及用戶的細粒度處理上實現(xiàn)訪問控制措施的水平提升。在動態(tài)監(jiān)測邊界數(shù)據(jù)包，以及對各個協(xié)議進行處理的環(huán)節(jié)中，始終都需要對不同內(nèi)容開展針對性的識別以及分析。例如，在防火墻與網(wǎng)絡(luò)監(jiān)控系統(tǒng)的處理中，要在日志服務器、認證服務器以及上網(wǎng)行為的控制過程中全面提升防御能力值。在新一代的入侵防御系統(tǒng)設(shè)計過程中，所采用的智能分析網(wǎng)絡(luò)層始終都需要在分析過程中能夠?qū)ζ洳煌臄?shù)據(jù)信息進行系統(tǒng)性的控制，以此全面抵御大規(guī)模的流量攻擊。

四、計算環(huán)境安全防護設(shè)計

（一）主機安全

在校園網(wǎng)的服務主機運行中，面臨的安全風險主要包括黑客入侵、拒絕服務攻擊、惡意代碼及各種惡意文件。因此，為了全面保障正規(guī)主機的運行工作開展，需要在實際服務器的主機運行過程中，對主機進行多個層面的安全防御處理。此外，還要積極地采用多層次的安全防護方式。在內(nèi)置處理過程中所采用的可信根，需要保障服務器具備較高效率的引導能力。之后，設(shè)置高強度的BIOS密碼，并避免接收來自系統(tǒng)外部的U盤程序。

在整個系統(tǒng)的設(shè)計中，要始終基于最高標準的信息安全技術(shù)，進行系統(tǒng)架構(gòu)和系統(tǒng)安全性的分析。在主機的登錄身份鑒別和訪問控制的過程中，對各種數(shù)據(jù)信息進行加密和加固處理，最大化計算機的穩(wěn)定性。另一方面，伴隨著計算機技術(shù)的發(fā)展，還要逐漸提升系統(tǒng)的安全防護等級。

（二）數(shù)據(jù)安全

在進行處理過程中，對于校園網(wǎng)數(shù)據(jù)的風險分析是很重要的。例如，針對數(shù)據(jù)泄露、被盜以及篡改等方面的處理，要注重數(shù)據(jù)的安全性，并對數(shù)據(jù)進行分類和分區(qū)域的管理，將數(shù)據(jù)信息進行定級、區(qū)分敏感和普通的數(shù)據(jù)類型。另外，還要對數(shù)據(jù)信息進行集中的全生命周期的處理。數(shù)據(jù)庫是整個校園網(wǎng)構(gòu)建中十分重要的數(shù)據(jù)組成部分，也是數(shù)據(jù)庫的重要安全管理核心所在。因此，在進行設(shè)計的過程中，要提升數(shù)據(jù)庫的安全屬性。

在數(shù)據(jù)防火墻設(shè)置中，要將數(shù)據(jù)防火墻放置在服務器與應用服務器之間，這樣可以全面提升數(shù)據(jù)庫的安全訪問控制能力，并加強風險防范效果。在處理安全策略時，基本上會包含著許多安全要素，例如積極利用多因素驗證機制，集中驗證數(shù)據(jù)庫中的用戶個人信息。然后設(shè)置出加速庫的管理人員最小操作權(quán)限，從而對一些十分重要的數(shù)據(jù)信息，實現(xiàn)字段、行、句式法方面的精粒度訪問以及控制。之后在數(shù)據(jù)信息的處理過程中，采用科學合理的處理方式，加強數(shù)據(jù)庫通信方面的解析以及處理方式，以極大地阻止批量刪除與修改方面的操作。而對于一些低級別權(quán)限用戶而言，僅進行脫敏的數(shù)據(jù)分析。在監(jiān)控數(shù)據(jù)庫的運行過程中，基本上要對運行狀態(tài)、性能以及諸多安全指標進行分析，這樣才能提升整體數(shù)據(jù)信息的安全性。

在對數(shù)據(jù)庫信息進行加密以及脫敏處理時，需要將數(shù)據(jù)庫中的數(shù)據(jù)信息及重要的個人業(yè)務信息進行加密處理，利用科學合理的加密手段提升系統(tǒng)的穩(wěn)定性。針對不同權(quán)限下的數(shù)據(jù)信息，需要使用不同類型的密鑰進行加密處理。另外，還要處理過程中充分滿足長度以及隨機性方面的實際需求。在這樣的處理方式下，可以極大地防止數(shù)據(jù)庫中的數(shù)據(jù)被篡改的情況發(fā)生。為了保障系統(tǒng)在運行過程中滿足測試、開發(fā)及分析方面的設(shè)計需求，需要積極保障處理過程中重要提升數(shù)據(jù)處理的效率。特別是在數(shù)據(jù)的重新分配上，需要全面提升數(shù)據(jù)屏蔽的能力以及效果?，F(xiàn)階段數(shù)據(jù)脫敏完成之后，基本上需要在內(nèi)存釋放或者重新分配之前對敏感數(shù)據(jù)進行徹底清除。針對存儲和處理的諸多重要數(shù)據(jù)介質(zhì)以及對設(shè)備的處理環(huán)節(jié)，始終需要保障一個合理的處理方式，以最大化數(shù)據(jù)的安全保護水平。

五、安全管理中心的設(shè)計

安全管理中心的設(shè)計旨在實現(xiàn)對校園網(wǎng)的安全策略、通信網(wǎng)絡(luò)、區(qū)域邊界以及計算環(huán)境的集中掌控，從而確保校園網(wǎng)在運行過程中的安全性。這樣的設(shè)計可以保障未來運行的綜合處理效果更加強大。

（一）統(tǒng)一身份驗證

在設(shè)計該系統(tǒng)的過程中，需要各個系統(tǒng)之間提供互相認證身份并建立互信的信息，以實現(xiàn)校園網(wǎng)應用和服務過程中的單點登錄效果。此外，在進行設(shè)計中，應采用分布式的管理方式，并通過總校進行集中管理。同時，還需為不同類型的訪客提供良好的認證方式，如短信、微信、二維碼等。對于這些處理過程，應進行針對性分析。對于自帶的設(shè)備運行分析方式，則需要設(shè)置一個單獨的VLAN，并根據(jù)不同的場合進行處理，保持較強的審核管理權(quán)限。

（二）終端統(tǒng)一管理

在校園網(wǎng)終端的安全處理方面，由于會直接影響到校園網(wǎng)系統(tǒng)的整體穩(wěn)定性，因此需要經(jīng)濟地提升校園網(wǎng)的整體安全防御能力。終端的通話管理需要始終加強實名身份驗證能力。在進行設(shè)備信息登記和審核的過程中，需要積極利用終端分類和分析的方式，對其系統(tǒng)進行較高可信程度的分析和處理。另外，對各類終端進行設(shè)備定位時需要進行合法性的檢測和分析。全面隔離不合格或有安全隱患的終端。安全設(shè)備的設(shè)置方面，應積極使自動化的修復處理終端中的安全防御和漏洞問題。采用持續(xù)性的手段可以充分保障終端動態(tài)訪問應用程序，以提升數(shù)據(jù)處理的效果。

移動終端的數(shù)據(jù)分析處理過程中應進行全面的加固處理。在分析過程中，還要在終端設(shè)置上全面強化隱私數(shù)據(jù)的處理能力。例如，對校園網(wǎng)上的數(shù)據(jù)信息進行遠程的鎖定，并加強系統(tǒng)遠程處理能力，以避免出現(xiàn)數(shù)據(jù)信息泄漏的情況發(fā)生。

（三）安全運行維護

當下校園網(wǎng)的運行過程中，各種類型的IT資產(chǎn)需要使用不同類型運維人員，對其系統(tǒng)進行針對性的管理以及維護。例如，涉及的工作崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等。一旦系統(tǒng)中出現(xiàn)誤操作、越權(quán)訪問或資源濫用等情況，就需要立即進行針對性處理，以避免蓄意破壞等問題的出現(xiàn)。這種監(jiān)管模式提升了整體系統(tǒng)的穩(wěn)定性。

目前所進行的事前授權(quán)工作，是為了充分保障運維工作人員能夠在實際分配主賬號的過程中，嚴格基于相關(guān)工作人員的身份信息進行集中識別和分析。此外，還需要在分析過程中進一步強化不同運維角色對系統(tǒng)運維策略的分析能力。在設(shè)計處理過程時，基本上都需要以特定的信息內(nèi)容基礎(chǔ)，以保持良好的操作和運維方式，從而實現(xiàn)系統(tǒng)的全面管理。

進行相應的系統(tǒng)事中控制，是在系統(tǒng)運維過程中始終能夠保持較高水平的處理能力。特別是在運行過程中，可以根據(jù)不同運維人員的訪問權(quán)限，設(shè)置良好的身份認證處理方式。在堡壘機運行的環(huán)節(jié)，需要對出現(xiàn)的任何誤操作和錯誤指令進行詳細記錄，以便后續(xù)處理工作參考。另外，在進行系統(tǒng)數(shù)據(jù)的采集和隔離處理時，要全面加強用戶數(shù)據(jù)信息的加密存儲水平。在運維審計的環(huán)節(jié)，對日志進行自動化備份處理。堡壘機和被管理的IT資源都需要進行管理數(shù)據(jù)方面的系統(tǒng)性隔離以及加密處理。另外，在調(diào)節(jié)過程中，要保持良好的信息交互能力，提升數(shù)據(jù)處理的能力和效果。

六、結(jié)束語

綜上所述，在設(shè)計校園網(wǎng)的過程中，需要從系統(tǒng)的安全性和穩(wěn)定性角度進行分析。需要積極對其安全防護系統(tǒng)進行合理的優(yōu)化，以避免受到外界惡意攻擊帶來的嚴重不良影響。

參" 考" 文" 獻

[1]韓紅宇，楊德義，樊佩佩.校園網(wǎng)安全建設(shè)方案研究——以漯河職業(yè)技術(shù)學院為例[J].漯河職業(yè)技術(shù)學院學報，2020，19（03）：27-29.

[2]張曉宇，嚴星，李繁.關(guān)于提升新疆財經(jīng)大學校園網(wǎng)安全防護能力方案的研究[J].網(wǎng)絡(luò)安全技術(shù)與應用，2020，（04）：109-111.

[3]李晨燕.高職院校校園網(wǎng)安全運維和信息系統(tǒng)的安全建設(shè)策略[J].數(shù)字通信世界，2019，（10）：138.

[4]趙姍.校園網(wǎng)的安全防御體系技術(shù)研究與模型設(shè)計——以西安市委黨校為例[J].網(wǎng)絡(luò)安全技術(shù)與應用，2018，（04）：57-59.

[5]王晶.“互聯(lián)網(wǎng)+”時代高職院校校園網(wǎng)網(wǎng)絡(luò)信息安全問題與策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應用，2017，（06）：113-114.