戚小俊
【摘要】? ? 校園網(wǎng)絡(luò)安全,在數(shù)字化校園建設(shè)中占據(jù)重要地位,當(dāng)前推動(dòng)校園網(wǎng)大范圍普及的同時(shí),逐步打破了傳統(tǒng)管理封閉模式束縛,可以實(shí)現(xiàn)校園內(nèi)大范圍資源共建共享,但網(wǎng)絡(luò)安全問題卻不容忽視。由于高校校園網(wǎng)絡(luò)安全問題較為復(fù)雜,影響因素多樣,如何實(shí)現(xiàn)校園網(wǎng)安全有效管理,應(yīng)致力于構(gòu)建合理的網(wǎng)絡(luò)安全體系,尋求有效安全措施予以防控,在提供豐富教育資源,輔助教育管理工作開展的同時(shí),創(chuàng)設(shè)安全的網(wǎng)絡(luò)環(huán)境。本文就高校校園網(wǎng)絡(luò)安全優(yōu)化應(yīng)用展開分析,在明確校園網(wǎng)絡(luò)安全管理現(xiàn)狀基礎(chǔ)上,致力于創(chuàng)新安全管理思路,進(jìn)一步優(yōu)化應(yīng)用。
【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 校園網(wǎng)絡(luò)? ? 數(shù)字化校園? ? 安全管理
引言
互聯(lián)網(wǎng)在各個(gè)行業(yè)領(lǐng)域中廣泛應(yīng)用,促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)同時(shí),也對新時(shí)期的網(wǎng)絡(luò)安全提出了更高的要求。互聯(lián)網(wǎng)的開放性,任何用戶均可以連接到互聯(lián)網(wǎng),實(shí)現(xiàn)信息傳播和獲取,這就導(dǎo)致信息安全也面臨著嚴(yán)峻挑戰(zhàn)。隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用,為信息系統(tǒng)安全工作開展提供了新的目標(biāo)方向。
高校校園網(wǎng)絡(luò)信息化建設(shè)中,應(yīng)遵循等保2.0標(biāo)準(zhǔn)要求,創(chuàng)設(shè)安全可靠的網(wǎng)絡(luò)環(huán)境。但是,網(wǎng)絡(luò)安全卻是一個(gè)十分嚴(yán)峻的問題,多數(shù)高校由于配套安全管理制度缺失,資金投入力度不足,導(dǎo)致校園網(wǎng)絡(luò)安全管理成效有所不足,亟待優(yōu)化和完善。
一、高校數(shù)字化校園建設(shè)現(xiàn)狀
高校數(shù)字化校園建設(shè),已經(jīng)成為教育信息化建設(shè)的重要內(nèi)容,很多高校由于區(qū)域經(jīng)濟(jì)水2平不高,教育領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全投入力度不高,致使高校信息化建設(shè)進(jìn)程滯后。高校信息化發(fā)展,數(shù)字化校園建設(shè)是重要內(nèi)容,包括建立數(shù)據(jù)中心、校園信息管理系統(tǒng)、統(tǒng)一身份認(rèn)證、統(tǒng)一信息門戶與網(wǎng)絡(luò)安全體系等。在契合校園實(shí)際情況基礎(chǔ)上,優(yōu)化數(shù)字化校園建設(shè)體系結(jié)構(gòu),制定合理的信息標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn),穩(wěn)步推進(jìn)數(shù)字化校園建設(shè)[1]。
盡管此種建設(shè)思路適合在多數(shù)的企業(yè)單位中應(yīng)用,但在高校數(shù)字化校園建設(shè)中卻存在諸多問題,數(shù)字化校園建設(shè)方案側(cè)重于應(yīng)用系統(tǒng)平臺(tái)數(shù)據(jù)標(biāo)準(zhǔn)制定,以及建立公共數(shù)據(jù)平臺(tái)。網(wǎng)絡(luò)業(yè)務(wù)類型分類設(shè)計(jì)卻很少關(guān)注,缺少專業(yè)化分析,導(dǎo)致后期校園網(wǎng)絡(luò)建設(shè)安全性不符合等保2.0要求,亟待改進(jìn)和完善。
二、高校校園網(wǎng)絡(luò)安全優(yōu)化思路
高校校園網(wǎng)絡(luò)安全管理,應(yīng)該明確的一點(diǎn)是立足于校園網(wǎng)絡(luò)安全現(xiàn)狀,了解校園網(wǎng)絡(luò)的和新架構(gòu),出口接入情況,以及獨(dú)立服務(wù)器、數(shù)據(jù)中心虛擬化平臺(tái)等各方面部署情況,在此基礎(chǔ)上確定業(yè)務(wù)安全保護(hù)需求,編制合理的校園網(wǎng)絡(luò)安全管理方案。
2.1合理劃分網(wǎng)絡(luò)安全等級(jí)
集合安全需求和網(wǎng)絡(luò)用途,可以大致劃分為網(wǎng)絡(luò)層、安全區(qū)和安全域幾個(gè)等級(jí)。網(wǎng)絡(luò)層級(jí)是結(jié)合網(wǎng)絡(luò)用途來劃分,對于高校校園網(wǎng)絡(luò)而言,主要可以細(xì)化為學(xué)生宿舍區(qū)網(wǎng)絡(luò)、教學(xué)辦公區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)與物聯(lián)網(wǎng)等;安全區(qū)層級(jí)是結(jié)合業(yè)務(wù)類型劃分,包括應(yīng)用服務(wù)區(qū)、運(yùn)維管理區(qū)與數(shù)據(jù)庫存儲(chǔ)區(qū);安全域?qū)蛹?jí),依據(jù)安全標(biāo)準(zhǔn)要求細(xì)化安全業(yè)務(wù),為重要業(yè)務(wù)數(shù)據(jù)提供安全保障[2]。
2.2各層級(jí)安全規(guī)劃部署
不同網(wǎng)絡(luò)層級(jí)安全部署不盡相同,應(yīng)契合對應(yīng)類型,設(shè)置網(wǎng)閘、防火墻等安全設(shè)備,實(shí)行物理隔離來控制內(nèi)外網(wǎng)信息交互;設(shè)置入侵防護(hù)系統(tǒng),規(guī)避外部攻擊和入侵,保障設(shè)備運(yùn)行安全。需要注意的是,結(jié)合不同安全區(qū)要求,在安全部署中要注意彼此隔離與防護(hù),防火墻邏輯鏈路策略設(shè)置,同時(shí)安全級(jí)運(yùn)維管理區(qū)可以增設(shè)堡壘機(jī),通過此種方式來保證設(shè)備之間的連接安全,最大程度上維護(hù)網(wǎng)絡(luò)安全[3]。不同安全域級(jí)安全部署,可以設(shè)置橫向安全資源中心,增設(shè)WEB應(yīng)用防火墻,對于一些重要的業(yè)務(wù)系統(tǒng)加強(qiáng)流量審計(jì),保證數(shù)據(jù)信息安全可靠,最大程度上規(guī)避外部風(fēng)險(xiǎn)入侵。
三、校園網(wǎng)絡(luò)安全中的問題分析
3.1網(wǎng)絡(luò)安全隔離性較差
校園網(wǎng)絡(luò)安全管理,涉及到諸多內(nèi)容,很大程度上決定了用戶信息安全,即便校園網(wǎng)絡(luò)和WAN網(wǎng)絡(luò)連接可以提供便捷,但也為外部入侵帶來了可趁之機(jī)?;诖?,應(yīng)該做好校園網(wǎng)絡(luò)的安全隔離工作,并完善防火墻系統(tǒng)技術(shù),但此項(xiàng)技術(shù)僅僅是用于外部防護(hù),仍然有很大的內(nèi)部防護(hù)漏洞[4]。如,部分高校學(xué)生可能為了嘗試自己的黑客技術(shù),從內(nèi)部攻擊校園網(wǎng)絡(luò),或是使用帶病毒的移動(dòng)設(shè)備,通過互聯(lián)網(wǎng)在校園內(nèi)部傳播,造成重要數(shù)據(jù)信息丟失,造成不可挽回的損失[5]。
3.2網(wǎng)絡(luò)監(jiān)控設(shè)施缺失
由于校園網(wǎng)絡(luò)覆蓋范圍廣,用戶數(shù)量多,一定程度上增加了網(wǎng)絡(luò)安全監(jiān)管難度,可能出現(xiàn)盜用他人IP信息的情況出現(xiàn),不僅影響到用戶數(shù)據(jù)信息安全,還會(huì)危害到網(wǎng)絡(luò)整體環(huán)境安全。有一點(diǎn)是難以避免的,即校園中的人員可能在不知情情況下,使用便捷的移動(dòng)設(shè)備來傳輸數(shù)據(jù),促使病毒入侵校園網(wǎng)絡(luò),威脅到用戶數(shù)據(jù)信息安全[6]。
3.3系統(tǒng)和軟件漏洞
校園網(wǎng)絡(luò)多是基于互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn),由于互聯(lián)網(wǎng)自身開放性特點(diǎn),一定程度上威脅到互聯(lián)網(wǎng)信息安全。在TCP/IP協(xié)議下,安全性不足,可能受到攻擊,導(dǎo)致系統(tǒng)崩潰。如,操作系統(tǒng)或軟件自身的漏洞,這些漏洞是無法避免的,沒有十分完美的軟件,嚴(yán)重威脅到校園網(wǎng)絡(luò)安全[7]。同時(shí),現(xiàn)有的校園網(wǎng)絡(luò)安全機(jī)制不合理,網(wǎng)絡(luò)技術(shù)水平不足,校園網(wǎng)絡(luò)安全無法得到可靠保障。需要注意的是,校園網(wǎng)絡(luò)中涉及到諸多類型多樣的數(shù)據(jù)信息,如何保障數(shù)據(jù)信息在服務(wù)器中安全存儲(chǔ),直接關(guān)乎到用戶信息安全。如果數(shù)據(jù)信息被竊取,可能誘發(fā)一系列不可估量的損失,所以做好數(shù)據(jù)安全備份十分必要,即便數(shù)據(jù)泄露、損失,也可以通過預(yù)先備份的數(shù)據(jù)恢復(fù)。
四、高校校園網(wǎng)絡(luò)安全優(yōu)化措施
校園網(wǎng)絡(luò)安全建設(shè)專業(yè)性較強(qiáng),涉及到諸多環(huán)節(jié)內(nèi)容,屬于系統(tǒng)工程。以往的網(wǎng)絡(luò)安全建設(shè)涵蓋應(yīng)用、網(wǎng)絡(luò)、終端、數(shù)據(jù)、系統(tǒng)和管理多領(lǐng)域,為了保障高校校園網(wǎng)絡(luò),應(yīng)注重信息安全組織、技術(shù)部署和體系化建設(shè)多角度改進(jìn)。
4.1設(shè)立校園網(wǎng)絡(luò)安全組織
為了保障高校校園網(wǎng)絡(luò)安全,應(yīng)明確網(wǎng)絡(luò)安全管理目標(biāo)和要求,設(shè)立契合高校實(shí)際情況的網(wǎng)絡(luò)安全組織,設(shè)立專門機(jī)構(gòu)和崗位,落實(shí)職責(zé)到實(shí)處,并對相關(guān)人員定期績效考核。結(jié)合等保2.0要求,并設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全事件,可以第一時(shí)間發(fā)現(xiàn)和解決。職責(zé)劃分清晰明了,有效區(qū)分校內(nèi)媒體平臺(tái)和新媒體,由專門部門負(fù)責(zé)管理[8]。另外,提升網(wǎng)絡(luò)安全工作的嚴(yán)肅性,選拔高素質(zhì)專業(yè)人員負(fù)責(zé),在完善得到激勵(lì)制度和獎(jiǎng)懲制度支持下,充分調(diào)動(dòng)工作人員工作熱情。
4.2規(guī)范落實(shí)高校校園網(wǎng)絡(luò)技術(shù)部署
(1)加強(qiáng)網(wǎng)絡(luò)邊界隔離技術(shù)優(yōu)化。
多個(gè)獨(dú)立物理子網(wǎng)隔離,將數(shù)據(jù)中心和物聯(lián)網(wǎng)隔離開,數(shù)據(jù)中心網(wǎng)絡(luò)和校園網(wǎng)隔離開。校園網(wǎng)和數(shù)據(jù)中心的核心交換機(jī),分別選擇RG-N18000和H3CS12508,在二者之間設(shè)置華三防火墻M9000。確保網(wǎng)絡(luò)安全,結(jié)合安全管理要求優(yōu)化校園網(wǎng)絡(luò)配置,以保障校內(nèi)師生用網(wǎng)安全,重新規(guī)劃數(shù)據(jù)中心到網(wǎng)絡(luò)核心路由;防火墻M9000進(jìn)一步細(xì)化為內(nèi)部可信區(qū)、外部可信區(qū)和邏輯安全區(qū)等,各區(qū)域之間需要樣執(zhí)行網(wǎng)絡(luò)訪問限制。對于數(shù)據(jù)中心實(shí)行專門的內(nèi)網(wǎng)IP,便捷防火墻M9000選擇NAT策略,通過此種方式來管控外部訪問,IP安全隔離,保障校園網(wǎng)絡(luò)安全。
(2)互聯(lián)網(wǎng)服務(wù)區(qū)技術(shù)優(yōu)化。
互聯(lián)網(wǎng)服務(wù)區(qū)的技術(shù)優(yōu)化,應(yīng)明確其作用所在,可以滿足二級(jí)部門獨(dú)立服務(wù)器介入服務(wù)需要,配備一臺(tái)高性能三層匯聚交換機(jī),使用大二層互聯(lián)模式與防火墻M9000連接,有助于網(wǎng)絡(luò)傳輸效率大大提升,保障數(shù)據(jù)信息安全。基于專業(yè)WAF串接服務(wù)器,現(xiàn)在提供Web業(yè)務(wù)時(shí),可以起到掃描漏洞,防護(hù)病毒攻擊的作用。通過此種技術(shù)部署方式,可以將防火墻的安全防護(hù)作用最大程度上發(fā)揮,滿足不同安全域使用需要,即不同安全域之間的數(shù)據(jù)通信,不可繞過防火墻訪問,最大程度上保護(hù)網(wǎng)絡(luò)安全。
(3)運(yùn)維管理區(qū)技術(shù)優(yōu)化。
在運(yùn)維管理區(qū)的技術(shù)優(yōu)化,主要包括數(shù)據(jù)庫服務(wù)器、存儲(chǔ)服務(wù)器和云平臺(tái)服務(wù)器,對此可以通過設(shè)置堡壘機(jī)的方式,實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化控制,用于設(shè)備之間安全連接,記錄下訪問情況。需要注意的是,運(yùn)維管理區(qū)安全部署要保持獨(dú)立性,獨(dú)立匯聚交換機(jī)大二層與核心交換機(jī)連接,部署便捷防火墻。同時(shí),充分契合高校的校園網(wǎng)絡(luò)安全管理要求,緊緊圍繞校園網(wǎng)絡(luò)結(jié)構(gòu)來設(shè)置合適的訪問控制策略,減少資金損耗。
除此之外,對校園網(wǎng)絡(luò)安全集中統(tǒng)一監(jiān)控,對上網(wǎng)用戶身份信息嚴(yán)格檢驗(yàn)和跟蹤,保存下用戶訪問日志。對于用戶數(shù)量較多的機(jī)房重點(diǎn)安全管控,最大程度上規(guī)避外來病毒入侵可能性,逐步提升廣大師生安全意識(shí),維護(hù)校園網(wǎng)絡(luò)安全。
五、結(jié)論:
綜上所述,高校校園網(wǎng)絡(luò)逐步推廣普及,可以實(shí)現(xiàn)校園網(wǎng)絡(luò)內(nèi)部信息共建共享。為了創(chuàng)設(shè)安全校園網(wǎng)絡(luò)環(huán)境,應(yīng)注重安全防護(hù)技術(shù)創(chuàng)新優(yōu)化,剖析安全管理現(xiàn)狀,逐步構(gòu)建校園網(wǎng)絡(luò)安全管理體系,阻隔外部網(wǎng)絡(luò)入侵和病毒攻擊,保障校園網(wǎng)絡(luò)數(shù)據(jù)信息安全穩(wěn)定。
參? 考? 文? 獻(xiàn)
[1]覃德澤,李立信,李立禮.大數(shù)據(jù)時(shí)代高校智慧校園學(xué)生隱私風(fēng)險(xiǎn)分析及保護(hù)策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,31(11):110-112.
[2]王文梁.基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)安全解決方案——以閩南理工學(xué)院為例[J].信息技術(shù)與信息化,2020,10(10):160-162.
[3]凌賢文,丁邦旭.校園網(wǎng)絡(luò)安全貝葉斯攻擊圖等級(jí)保護(hù)測評(píng)方法[J].福建電腦,2020,36(10):125-127.
[4]宋偉玲.中學(xué)校園網(wǎng)絡(luò)安全的問題及對策——網(wǎng)管十年談網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,22(10):106-109.
[5]楊佳麗.大數(shù)據(jù)背景下高校校園網(wǎng)絡(luò)信息安全問題探究[J].現(xiàn)代信息科技,2020,4(12):148-150.
[6]白亞秀.基于BAS-RVM的校園網(wǎng)絡(luò)安全量化評(píng)估體系設(shè)計(jì)與研究[J].微型電腦應(yīng)用,2020,36(06):100-103.
[7]沈建華.校園網(wǎng)的安全及優(yōu)化措施研究——以上海市徐匯區(qū)田林第六幼兒園校園網(wǎng)項(xiàng)目為例[J].信息與電腦(理論版),2020,32(07):206-207.
[8]張輝.基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的高校網(wǎng)絡(luò)安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,12(02):83-84.