單守雪

摘要：校園網(wǎng)的安全需要一個(gè)完善的網(wǎng)絡(luò)安全體系防范體系，這是個(gè)復(fù)雜的系統(tǒng)工程，校園網(wǎng)是否安全，關(guān)系著學(xué)校是否能健康穩(wěn)定的發(fā)展，也關(guān)系著相關(guān)的教學(xué)活動(dòng)是否能正常順利開(kāi)展，因此校園網(wǎng)安全建設(shè)是十分重要的。本文以亳州師專校園網(wǎng)建設(shè)為背景，提出了校園網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)目標(biāo)，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、安全管理等幾個(gè)方面，對(duì)校園網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建進(jìn)行設(shè)計(jì)。

關(guān)鍵詞：校園網(wǎng) 校園網(wǎng)絡(luò)安全 安全系統(tǒng)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）06-0196-01

1 亳州師專校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)

校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)是為整合各業(yè)務(wù)系統(tǒng)的校園網(wǎng)設(shè)計(jì)一整套的網(wǎng)絡(luò)安全方案，用以確保校園網(wǎng)安全、穩(wěn)定、高效的運(yùn)行。通過(guò)校園網(wǎng)，教師可以查閱資料、進(jìn)行科研和教學(xué)活動(dòng)；學(xué)生可以進(jìn)行網(wǎng)上學(xué)習(xí)、生活；管理者方便管理整個(gè)網(wǎng)絡(luò)；校外人員可以訪問(wèn)校園網(wǎng)站；各業(yè)務(wù)系統(tǒng)充分發(fā)揮各自性能，為部門提高辦公效率。而這一切都是在一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境下進(jìn)行的，不必?fù)?dān)心受到黑客的攻擊和病毒的侵襲。

亳州師范高等?？茖W(xué)校校園網(wǎng)絡(luò)安全應(yīng)該實(shí)現(xiàn)以下內(nèi)容：（1）組織人員管理、維護(hù)設(shè)備，確保網(wǎng)絡(luò)系統(tǒng)線路、設(shè)備安全。安裝網(wǎng)絡(luò)設(shè)備管理系統(tǒng)監(jiān)控設(shè)備運(yùn)行情況。（2）與互聯(lián)網(wǎng)的連接要部署入口防火墻、設(shè)定好過(guò)濾規(guī)則。（3）制定科學(xué)合理的安全策略、開(kāi)啟網(wǎng)絡(luò)設(shè)備的安全配置。（4）部署入侵檢測(cè)系統(tǒng)，防止黑客攻擊。（5）部署校園網(wǎng)防病毒系統(tǒng)，要網(wǎng)絡(luò)殺毒和單機(jī)殺毒相結(jié)合。每個(gè)子系統(tǒng)都要安裝殺毒軟件。（6）建立身份認(rèn)證機(jī)制，阻止黑客統(tǒng)入侵系統(tǒng)。（7）制定安全管理制度。

2 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則

（1）整體性：校園網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)工程，要從整體上對(duì)校園網(wǎng)進(jìn)行安全設(shè)計(jì)，任何一部分的安全缺陷都會(huì)給校園網(wǎng)帶來(lái)安全威脅。

（2）等級(jí)一致性：校園網(wǎng)將用戶分等級(jí)進(jìn)行管理，對(duì)不同等級(jí)的授予不同的訪問(wèn)權(quán)限，禁止越權(quán)訪問(wèn)。各系統(tǒng)數(shù)據(jù)互通、采用統(tǒng)一的安全標(biāo)準(zhǔn)。

（3）技術(shù)與管理相結(jié)合：將先進(jìn)的安全防護(hù)技術(shù)結(jié)合人員管理，實(shí)現(xiàn)技術(shù)、人員雙重保護(hù)。

（4）經(jīng)濟(jì)實(shí)用：考慮到學(xué)校投資經(jīng)費(fèi)有限，要結(jié)合學(xué)校網(wǎng)絡(luò)安全需求，制定科學(xué)合理經(jīng)濟(jì)實(shí)用的安全方案。

（5）動(dòng)態(tài)發(fā)展：校園網(wǎng)隨著使用人員的增加和應(yīng)用軟件的增多，系統(tǒng)不斷的變化發(fā)展，安全體系要能適應(yīng)網(wǎng)絡(luò)的發(fā)展，滿足新的網(wǎng)絡(luò)安全需求。

3 校園網(wǎng)絡(luò)安全防范體系及安全設(shè)計(jì)

針對(duì)亳州師專校園結(jié)構(gòu)的特點(diǎn)結(jié)合安全管理目標(biāo)，對(duì)校園安全系統(tǒng)采用分層設(shè)計(jì)：

（1）物理層安全設(shè)計(jì)。亳州師專校園網(wǎng)物理層設(shè)計(jì)主要需要做如下幾項(xiàng)工作：1）對(duì)中心機(jī)房安裝避雷設(shè)備；2）主機(jī)房安裝恒溫空調(diào)，控制溫度，增加濕度控制；3）校園網(wǎng)主機(jī)房禁止無(wú)關(guān)人員進(jìn)入，加強(qiáng)人員管理；4）增加備用電源；5）管理人員使用網(wǎng)絡(luò)管理系統(tǒng)，及時(shí)發(fā)現(xiàn)出現(xiàn)問(wèn)題的設(shè)備和線路并進(jìn)行維修。

（2）網(wǎng)絡(luò)層安全設(shè)計(jì)。網(wǎng)絡(luò)層的安全主要看網(wǎng)絡(luò)流量是否得到控制。網(wǎng)絡(luò)層每一個(gè)來(lái)訪的用戶都具有獨(dú)立IP地址。根據(jù)這一IP地址，目標(biāo)網(wǎng)站能分析出這個(gè)用戶來(lái)自哪里，有沒(méi)有權(quán)限和有什么樣的權(quán)限來(lái)使用網(wǎng)絡(luò)。如果發(fā)現(xiàn)有來(lái)自不安全的網(wǎng)站的數(shù)據(jù)，就將其拒之門外。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制，通常采用的是安裝防火墻和建立VPN這兩種技術(shù)。防火墻的安全和部署可以檢測(cè)來(lái)訪網(wǎng)絡(luò)流量，將未經(jīng)授權(quán)的用戶阻擋在網(wǎng)絡(luò)外。虛擬專用網(wǎng)技術(shù)（VPN）在公用網(wǎng)的基礎(chǔ)上開(kāi)辟一條專用通道，通過(guò)加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行傳輸，確保了數(shù)據(jù)的安全。

（3）系統(tǒng)層安全設(shè)計(jì)。針于亳州師專學(xué)校系統(tǒng)層存在的安全問(wèn)題，需要進(jìn)行下列工作：①制定操作系統(tǒng)安全策略；②關(guān)閉不必要的服務(wù)；③關(guān)閉不必要的端口；④開(kāi)啟審核策略；⑤開(kāi)啟口令策略；⑥開(kāi)啟賬戶策略；⑦備份敏感文件；⑧禁止建立空連接：攻擊者通過(guò)網(wǎng)絡(luò)請(qǐng)求，建立空連接可以獲取主機(jī)的用戶列表，攻擊者能利用用戶列表進(jìn)行暴力破解，因此要禁止建立空連接。⑨下載最新補(bǔ)?。翰僮飨到y(tǒng)同其它軟件一樣，可能在使用過(guò)程中會(huì)出現(xiàn)這樣或那樣的漏洞。系統(tǒng)管理員應(yīng)該經(jīng)常關(guān)注漏洞情況，及時(shí)下載和安裝漏洞補(bǔ)丁，以增強(qiáng)操作系統(tǒng)的安全性。

（4）應(yīng)用層安全設(shè)計(jì)。應(yīng)用層安全是應(yīng)用程序的安全。應(yīng)用安全作為信息安全的一部分，主要內(nèi)容包括應(yīng)用程序運(yùn)行安全和應(yīng)用資源安全兩方面。為了保障應(yīng)用安全，需要加強(qiáng)應(yīng)用系統(tǒng)在安全性方面的設(shè)計(jì)與設(shè)置，防止在運(yùn)行過(guò)程中發(fā)生應(yīng)用系統(tǒng)不穩(wěn)定、不可靠和資源被非法訪問(wèn)、篡改等安全事件。亳州師專校網(wǎng)應(yīng)用層安全是指確保亳州師專學(xué)校校園網(wǎng)內(nèi)各應(yīng)用業(yè)務(wù)系統(tǒng)如：校園網(wǎng)站站群管理、教學(xué)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)等的安全，確保各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)穩(wěn)定、可靠、安全的運(yùn)行。對(duì)應(yīng)用資源安全防護(hù)來(lái)講，應(yīng)用安全的目標(biāo)很明確：一是合法用戶能夠通過(guò)安全策略合法地訪問(wèn)業(yè)務(wù)資源；二是不讓攻擊者訪問(wèn)、篡改任何受保護(hù)的資源。

（5）安全管理設(shè)計(jì)。校園網(wǎng)的安全管理設(shè)計(jì)到每個(gè)使用校園網(wǎng)絡(luò)的人，管理者要根據(jù)亳州師專校園的安全需求制定科學(xué)合理的網(wǎng)絡(luò)安全管理制度，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，建立合適的信息安全管理組織框架，以保證在校園網(wǎng)管理上的安全。

校園網(wǎng)的安全需要一個(gè)完善的網(wǎng)絡(luò)安全體系防范體系，這是個(gè)復(fù)雜的系統(tǒng)工程。網(wǎng)絡(luò)安全體系防范體系不僅需要先進(jìn)的網(wǎng)絡(luò)安全技術(shù)還需要建立對(duì)網(wǎng)絡(luò)安全的人員配置、制定網(wǎng)絡(luò)安全管理制度。亳州師專校園網(wǎng)絡(luò)同其他網(wǎng)絡(luò)系統(tǒng)一樣也是分層的結(jié)構(gòu)，在設(shè)計(jì)上我們從物理層、網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層逐層進(jìn)行了安全設(shè)計(jì)，將多種安全協(xié)議和安全策略進(jìn)行配合，多種安全產(chǎn)品的聯(lián)動(dòng)，形成一種協(xié)調(diào)不同層面網(wǎng)絡(luò)的安全問(wèn)題的監(jiān)管體系。放火墻的安裝和部署、防病毒軟件、IDS、VPN、數(shù)據(jù)的恢復(fù)和備份等安全技術(shù)和安全設(shè)備整合起來(lái)，各負(fù)其責(zé)、相互合作，形成一個(gè)集預(yù)防、檢測(cè)、響應(yīng)、攻擊中的防范、攻擊后的系統(tǒng)恢復(fù)等功能的一個(gè)安全體系。

參考文獻(xiàn)

[1]夏棟梁，劉玉坤.校園網(wǎng)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（9）.

[2]劉偉平，張玉榮，劉青.淺議校園網(wǎng)絡(luò)安全[J].電腦知識(shí)與技術(shù)，2009（2）.