陳輝

(淮南職業(yè)技術(shù)學院 圖書館，安徽 淮南 232001)

校園網(wǎng)信息安全策略
——以淮南職業(yè)技術(shù)學院校園網(wǎng)為例

陳輝

(淮南職業(yè)技術(shù)學院 圖書館，安徽 淮南 232001)

校園網(wǎng)在高校的作用日益突出，同時，校園網(wǎng)信息安全面臨嚴峻的威脅。通過制定完善嚴格的規(guī)章制度、合理配置硬件的信息安全策略、合理配置校園網(wǎng)局域網(wǎng)策略、及時清除校園網(wǎng)內(nèi)不安全因素毒等方式，保障校園網(wǎng)的信息安全。

病毒；局域網(wǎng)；防火墻；信息；安全

隨著科技的發(fā)展，高校教育、科研越來越向依賴自動化、無紙化的校園網(wǎng)絡，校園網(wǎng)絡的健康運行，是高校正常運營的重要因子，校園網(wǎng)的各種病毒、非法訪問、惡意攻擊等直接威脅著校園網(wǎng)信息的安全，如何防范這些不安全因子、保障校園網(wǎng)的信息安全是高校面臨的共同難題。

一、校園信息安全狀況

近幾年年以來，隨著計算機病毒、木馬數(shù)量呈爆炸式增長，病毒制造的模塊化、專業(yè)化以及病毒“運營”模式的互聯(lián)網(wǎng)化的特征[1]，非法獲取信息的手段多樣化，惡意攻擊方式的隱蔽化，校園網(wǎng)已經(jīng)成為被攻擊的主體。無論是對單機、網(wǎng)絡、還是服務器的攻擊，都造成不同程度的破壞，嚴重影響校園網(wǎng)的信息安全，尤其是校園網(wǎng)的發(fā)布平臺，更是直接關(guān)系到高校乃至社會宣傳效果，其信息安全更是重中之重。這些信息安全隱患具體表現(xiàn)為：

1、占用資源

計算機單機病毒或網(wǎng)絡病毒都會大量占用資源，甚至控制網(wǎng)絡資源，使有效數(shù)據(jù)暴漏，威脅到校園網(wǎng)的信息安全。

2、破壞數(shù)據(jù)

計算機病毒會修改、刪除或破壞校園網(wǎng)有用數(shù)據(jù)信息，妨礙高校校園網(wǎng)正常運行。

3、非法訪問

攻擊者能越過校園網(wǎng)權(quán)限設置，通過非法訪問獲得信息，給校園網(wǎng)信息安全帶來破壞，影響高校的日常教學和科研，也為管理帶來不便。

4、惡意攻擊

病毒或攻擊者利用校園網(wǎng)網(wǎng)絡設置漏洞，攻擊校園網(wǎng)，使校園網(wǎng)信息泄露，數(shù)據(jù)丟失，甚至使校園網(wǎng)癱瘓，影響校園網(wǎng)的正常工作。

總體來說，病毒和各種攻擊手段的多樣化，讓校園網(wǎng)面臨更多的隱患，這就要求我們把校園網(wǎng)信息安全提升到嚴控的高度，只有保障校園網(wǎng)信息的安全，才能保障高校校園網(wǎng)在教學、科研和日常工作平穩(wěn)運行。

二、校園網(wǎng)信息安全策略

針對日益猖獗的計算機病毒，日益隱蔽的攻擊手段，高校要根據(jù)自身特點，采取合理的信息安全策略配置，保障校園網(wǎng)的安全。

1、制定嚴格的校園網(wǎng)信息安全規(guī)章制度

校園網(wǎng)網(wǎng)絡管理部門制定嚴格的校園網(wǎng)信息安全制度，針對校園網(wǎng)各網(wǎng)段實施嚴格管理，本著誰使用誰負責、誰管理誰負責，明確問責制度，嚴格管理各個網(wǎng)段；校園網(wǎng)管理部門采取實時監(jiān)控策略，從各個網(wǎng)段抽樣數(shù)據(jù)包，定期分析數(shù)據(jù)包；系統(tǒng)管理中心實時監(jiān)控網(wǎng)絡的信息安全狀態(tài)，并記錄日志。

2、校園網(wǎng)外網(wǎng)信息安全策略

校園網(wǎng)外網(wǎng)是校園網(wǎng)和互聯(lián)網(wǎng)溝通的渠道，它給高校的教育、科研和日常生活帶來便利的同時，也讓校園網(wǎng)信息可能泄露給外界，給校園網(wǎng)信息安全帶來隱患，只有對校園網(wǎng)采取合理的配置，才能保障校園網(wǎng)信息免受外界攻擊。

防火墻是校園網(wǎng)和外界的信息交換的屏障，是校園網(wǎng)的第一層防御陣地，合理的配置防火墻的安全策略，就可以防范校園網(wǎng)信息受到外部的攻擊。

（1）包過濾規(guī)則

包過濾規(guī)則就是在防火墻上配置數(shù)據(jù)包收發(fā)規(guī)則，當防火墻接收到訪問要求時，把接收到的訪問包和自己的規(guī)則庫匹配，如果匹配成功的放行，匹配不成功的則拒絕。只要及時更新防火墻的包過濾規(guī)則庫，就可以有效地避免病毒攻擊，保護校園網(wǎng)的運行?；茨下殬I(yè)技術(shù)學院包過濾規(guī)則的配置如下表1：

表1 包過濾規(guī)則

高校根據(jù)自身校園網(wǎng)提供的服務，設置相應的報過濾規(guī)則，主機只響應合法的請求，從而保障主機信息不受外界攻擊。

（2） NAT 規(guī)則

NAT規(guī)則就是將外部網(wǎng)的公有IP地址和端口號與內(nèi)部網(wǎng)絡的私有網(wǎng)絡IP地址及端口號相互映射，使服務器和內(nèi)部網(wǎng)絡只響應防火墻放行的訪問，從而保護服務器和校園網(wǎng)的網(wǎng)絡安全。合理的配置防火墻的NAT規(guī)則，可以把校園網(wǎng)主機隱藏，使針對主機信息的攻擊無從下手，保護校園網(wǎng)的安全?；茨下殬I(yè)技術(shù)學院的NAT規(guī)則的配置如下表2：

表2 NAT規(guī)則

3、校園網(wǎng)內(nèi)網(wǎng)信息安全策略

校園網(wǎng)信息不僅遭受外部的攻擊，同時也會不同程度的遭受內(nèi)部局域網(wǎng)感染的攻擊。局域網(wǎng)病毒一般通過發(fā)布虛假網(wǎng)關(guān)，破壞交換機和客戶機的網(wǎng)關(guān)設置，造成網(wǎng)絡混亂，獲取非法信息，內(nèi)部惡意攻擊會利用主機漏洞，破壞主機信息。合理規(guī)劃校園網(wǎng)，合理配置校園網(wǎng)內(nèi)網(wǎng)信息安全策略，就可以降低校園網(wǎng)被攻擊的概率，保障校園網(wǎng)信息安全。

（1）VLAN 劃分

VLAN的作用是使同一個VLAN中的成員之間能夠通信，而不同VLAN用戶之間可以根據(jù)策略允許訪問或不允許訪問。根據(jù)校園網(wǎng)的使用情況劃分不同權(quán)限的VLAN，即使一個VLAN遭受病毒攻擊，其他VLAN的網(wǎng)絡不受影響，保障了校園網(wǎng)的運營?；茨下殬I(yè)技術(shù)學院的VLAN配置如下表3：

表3 VLAN配置

（2）網(wǎng)絡安全協(xié)議配置

網(wǎng)絡安全協(xié)議是定義通過網(wǎng)絡進行通信的規(guī)則，接收方的發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息，以這種規(guī)則規(guī)定雙方完成信息在計算機之間的傳送過程[3]。

IPSec是一個工業(yè)標準網(wǎng)絡安全協(xié)議，它是一種開放標準的框架結(jié)構(gòu)，它是基于端對端的安全模式，為IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。IPSec有兩個基本目標：保護IP數(shù)據(jù)包安全；為抵御網(wǎng)絡攻擊提供防護措施[4]。

IPSec安全體系結(jié)構(gòu)包含:

安全體系結(jié)構(gòu)：包含了安全體系結(jié)構(gòu)的概念、安全需求、定義和定義IPSec的技術(shù)機制、數(shù)據(jù)完整性、數(shù)據(jù)加密、預置共享密鑰、公鑰加密、和動態(tài)密鑰管理；

數(shù)據(jù)包結(jié)構(gòu)：封裝安全有效載荷(ESP)協(xié)議、ESP隧道模式和AH隧道模式；

SSL安全協(xié)議又叫 “安全套接層(Secure Sockets Layer)協(xié)議”，它為網(wǎng)絡的通信提供私密性。SSL使應用程序在通信時不用擔心被竊聽和篡改。主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。它的原理是：在客戶端和服務器用該協(xié)議進行通信，保證客戶和服務器間事務安全的協(xié)議，它涉及所有TC/IP應用程序[5]。

SSL協(xié)議的實現(xiàn)屬于SOCKET層，處于應用層和傳輸層之間，由SSL記錄協(xié)議和SSL握手協(xié)議組成的。它彌補了TCP/IP協(xié)議安全性較差的弱點。

高校依據(jù)自身校園網(wǎng)配置特點，配置自身的網(wǎng)絡協(xié)議，保障校園網(wǎng)網(wǎng)絡安全。常見網(wǎng)絡安全協(xié)議配置如下：

4、校園網(wǎng)主機信息安全策略

校園網(wǎng)主機是校園網(wǎng)信息的交換平臺，在校園網(wǎng)中占重要地位，保障主機信息安全，在某種意義上說，就是保障了校園網(wǎng)信息的安全。

（1）服務器群配置

校園網(wǎng)主機是校園網(wǎng)的核心，主機的正常運行基本上就保障了校園網(wǎng)的正常運行，主機是校園網(wǎng)遭受攻擊的焦點，再嚴格的防空都有別攻擊的機會，所以有條件的高校一般采用服務器群，服務器群一般采用分層的網(wǎng)絡結(jié)構(gòu)，配置容錯、鏡像功能，IPS深度防護功能，一旦一臺服務器被攻擊，其它服務器可以代替受攻擊的服務器，保障校園網(wǎng)信息的安全。

（2）主機信息安全策略

主機信息是校園網(wǎng)的信息核心，主機信息安全是校園網(wǎng)的核心事件。通過正確的策略配置，就能保障主機信息安全。

對數(shù)據(jù)進行分類保護是計算機信息系統(tǒng)實施安全等級保護的基本原則。按照數(shù)據(jù)的價值劃分類別，對不同類別的數(shù)據(jù)，應按照不同的安全等級保護，對不同安全等級的數(shù)據(jù)進行備份，要求也不能相同[6]。其數(shù)據(jù)分類和對應的安全等級備份要求如下：

公開數(shù)據(jù)，這類數(shù)據(jù)是用戶自己的數(shù)據(jù)，按照用戶自主保護級別進行安全設計，對數(shù)據(jù)進行常規(guī)備份；一般數(shù)據(jù)，這類數(shù)據(jù)一般只具有使用價值，該類數(shù)據(jù)需要保護但是不要求特別保護，通常設計對數(shù)據(jù)進行定時重點備份；重要數(shù)據(jù)，這類數(shù)據(jù)具有重要價值，要進行重點保護，一般設計對數(shù)據(jù)應進行冗余備份（一式兩份）；關(guān)鍵數(shù)據(jù)。這類數(shù)據(jù)具有很高使用價值或機密程度，要進行特別保護，一般設計為對數(shù)據(jù)應進行冗余備份并異地存放；核心數(shù)據(jù)，這類數(shù)據(jù)具有最高使用價值或機密程度，要進行絕對保護，一般設計為對數(shù)據(jù)的備份按一式多份并異地存放的原則實施。合理給校園網(wǎng)數(shù)據(jù)分類，進行相應備份，一般數(shù)據(jù)定期備份、重要數(shù)據(jù)冗余備份、核心數(shù)據(jù)異地備份，確保校園網(wǎng)信息安全。

數(shù)據(jù)備份就是為防止由于出現(xiàn)系統(tǒng)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將重要數(shù)據(jù)集合打包，從主機的硬盤或陣列中復制到其他存儲介質(zhì)的措施。一般把其分為三種方式：

差分備份；它是備份和上一次標準備份之后有差別數(shù)據(jù)；

增量備份；它是備份上一次備份后增加的和修改過的數(shù)據(jù)；

標準備份；它是對要保護的整個系統(tǒng)進行完全備份，包括操作系統(tǒng)和數(shù)據(jù)。一旦發(fā)生數(shù)據(jù)丟失的災難時，可以把災難發(fā)生之前的備份完整的還原回去，從而保護數(shù)據(jù)；

校園網(wǎng)根據(jù)自身數(shù)據(jù)安全等級，采用相應備份方式，以備恢復使用。

三、結(jié)束語

隨著計算機病毒和攻擊手段的層出不窮，校園網(wǎng)信息安全的形式日益嚴峻，高校只有根據(jù)自身特點，及時采取相應的措施，才能在災難降臨時將損失降到最小。

[1]陳祖龍.誰來呵護互聯(lián)網(wǎng)安全?[J].軟件世界,2005,（5）

[2]謝宗仁.木馬原理分析與實現(xiàn)[M].濟南：山東大學出版社,2009：2

[3]劉牧星.木馬攻擊與隱蔽技術(shù)研究[M].天津：天津大學出版社，2006

[4]張予祥.占素環(huán).校園網(wǎng)網(wǎng)絡安全技術(shù)及解決方案[J].農(nóng)機化研究，2005，（11）

[5]郝慧珍.基于工P偽裝的網(wǎng)絡安全技術(shù)研究[J].成都理工學院學報，2002，（3）

[6]方東權(quán).楊巋.校園網(wǎng)網(wǎng)絡安全與竹理[J].網(wǎng)絡安全技術(shù)與應用，2005，(3):51-52

TP393.08

A

1009-9530（2012）04-0141-03

2011-12-01

]陳輝（1976-），男,淮南職業(yè)技術(shù)學院講師。