黃宏杰+陳永清

摘 要： 深入研究了現(xiàn)代校園網(wǎng)信息安全化。對現(xiàn)代校園網(wǎng)的各層安全隱患進(jìn)行了詳細(xì)的風(fēng)險(xiǎn)分析，在全網(wǎng)動態(tài)安全體系模型（APPDRR）的指導(dǎo)下，通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的研究，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案，并綜合應(yīng)用到現(xiàn)代校園網(wǎng)的各個(gè)層面上，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系。

關(guān)鍵詞： 安全隱患； 全網(wǎng)動態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時(shí)，我們也被各種層次的安全問題困擾著?，F(xiàn)代校園網(wǎng)絡(luò)安全是一個(gè)整體系統(tǒng)工程，必須要對現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析，綜合運(yùn)用先進(jìn)的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動適應(yīng)現(xiàn)代校園網(wǎng)的動態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎(chǔ)設(shè)施，承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個(gè)層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運(yùn)行。在考慮現(xiàn)代校園網(wǎng)安全時(shí)，首先要考慮到物理安全風(fēng)險(xiǎn)，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個(gè)現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計(jì)平臺的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險(xiǎn)分析：非法入侵者一旦獲得對資源的控制權(quán)，就可以隨意對數(shù)據(jù)和文件進(jìn)行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險(xiǎn)分析（Analysis）、安全策略（Policy）、安全防護(hù)（Protection）、安全檢測（Detection）、實(shí)時(shí)響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強(qiáng)調(diào)各個(gè)方面的動態(tài)聯(lián)系與關(guān)聯(lián)程度?，F(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險(xiǎn)分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護(hù)，阻止對現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測，及時(shí)跟蹤發(fā)現(xiàn)；第四道防線是實(shí)時(shí)響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實(shí)際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合，建立一個(gè)立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實(shí)性和可控性，需運(yùn)用先進(jìn)的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進(jìn)行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實(shí)時(shí)檢測和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展，由若干個(gè)不同的站點(diǎn)組成的集合，一個(gè)站點(diǎn)可以屬于不同的VPN，站點(diǎn)具有IP連通性，VPN間可以實(shí)現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)包含入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計(jì)算機(jī)的惡意企圖和不良行為，并能對此及時(shí)作出防控。IDS不僅能夠檢測未授權(quán)對象（人或程序）針對系統(tǒng)的入侵企圖或行為，同時(shí)能監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動態(tài)安全保護(hù)。IPS幫助系統(tǒng)應(yīng)對現(xiàn)代校園網(wǎng)的有效攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和及時(shí)響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認(rèn)證系統(tǒng)

現(xiàn)代校園網(wǎng)中特殊部門（如檔案、財(cái)務(wù)、招生等）要建設(shè)成涉密系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺，加強(qiáng)用戶的身份認(rèn)證，防止對網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強(qiáng)口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運(yùn)行的必要手段，可保證在災(zāi)難突發(fā)時(shí)，系統(tǒng)及業(yè)務(wù)有效恢復(fù)。現(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實(shí)時(shí)對整個(gè)校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對整個(gè)校園網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測、修復(fù)和升級，嚴(yán)格履行國家標(biāo)準(zhǔn)的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制，能實(shí)行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強(qiáng)對現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實(shí)建立起一個(gè)方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實(shí)現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機(jī)房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標(biāo)準(zhǔn)執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分，并按照這些安全功能需求設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6]，采用核心交換機(jī)的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實(shí)現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺的主機(jī)選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進(jìn)行安全防護(hù)：補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行監(jiān)控管理，對審計(jì)記錄結(jié)果進(jìn)行保存，檢索和查詢，按需審計(jì)；同時(shí)還能夠?qū)ξｋU(xiǎn)行為進(jìn)行報(bào)警及阻斷，并提供對數(shù)據(jù)庫訪問的統(tǒng)計(jì)和分析，實(shí)現(xiàn)分析結(jié)果的可視化，能夠針對數(shù)據(jù)庫性能進(jìn)行改進(jìn)提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計(jì)和記錄機(jī)制，確保服務(wù)請求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計(jì)平臺。一方面，對站點(diǎn)的訪問活動進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。另一方面，當(dāng)事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實(shí)現(xiàn)對網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實(shí)際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實(shí)現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制及安全風(fēng)險(xiǎn)評估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實(shí)時(shí)監(jiān)控系統(tǒng)、數(shù)據(jù)審計(jì)平臺、數(shù)據(jù)存儲備份與恢復(fù)等動態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語

信息安全化是現(xiàn)代校園網(wǎng)實(shí)施安全的有效舉措，并建立一套切實(shí)可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用?，F(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時(shí)伴隨著種種不確定的安全因素，時(shí)時(shí)威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時(shí)俱進(jìn)的思想，適時(shí)調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻(xiàn)（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.

[7] 李飛.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)的研究[J].電子制作，

2013.7.