職業(yè)院校校園網(wǎng)網(wǎng)絡(luò)安全管理研究與實施

張志源

（晉城職業(yè)技術(shù)學院 山西省晉城市 048000）

近年來，計算機網(wǎng)絡(luò)安全相關(guān)專業(yè)已成為熱門專業(yè)，在此熱潮下，大學計算機網(wǎng)絡(luò)課程也逐漸被眾多高校相關(guān)專業(yè)師生重視起來。與此同時，大學校園網(wǎng)絡(luò)安全管理中存在的許多問題也暴露出來。為解決這一系列問題，就需要網(wǎng)絡(luò)開發(fā)建設(shè)者用長遠的眼光思考網(wǎng)絡(luò)軟硬件的安全性和生存周期。

1 職業(yè)院校校園網(wǎng)絡(luò)的特點

1.1 校園網(wǎng)絡(luò)構(gòu)成復雜且龐大，硬件設(shè)備繁多

通過剖析網(wǎng)絡(luò)功能的構(gòu)成，可以將其簡單歸結(jié)為接入層、核心層和匯聚層。其中包含路由器、防火墻、交換器等眾多設(shè)備。

1.2 網(wǎng)絡(luò)接口繁多

一般由Cernet、Internet等互聯(lián)組成。

1.3 組成較為復雜

學校的網(wǎng)絡(luò)具有其突出特點，一般包含教學通用部分、行政辦公部分、學生應用部分等眾多功能。對于不同的應用環(huán)境和用途，對網(wǎng)絡(luò)的性能要求也有所不同。對于教學部分需要較高的安全性，同時，要求各接口要資源共享；對于學生應用部分則只需保證高速性即可，對于其他部分要根據(jù)其辦公特色進行需求分析，再進行功能設(shè)計。

1.4 功能系統(tǒng)多種多樣

為滿足各部門的應用需求，網(wǎng)絡(luò)系統(tǒng)需設(shè)置不同的軟件系統(tǒng)來實現(xiàn)相關(guān)功能。當然，對于不同部門的功能需求，網(wǎng)絡(luò)系統(tǒng)具有專一性。例如，圖書管理系統(tǒng)、學生選課系統(tǒng)、后勤財務(wù)系統(tǒng)等，都有其對應功能的專一系統(tǒng)進行技術(shù)實現(xiàn)。在滿足各種需求的同時還要進行各系統(tǒng)之間的交流與聯(lián)系的設(shè)計。

2 安全風險分析

2.1 數(shù)據(jù)傳輸風險分析

數(shù)據(jù)傳輸是網(wǎng)絡(luò)進行信息交互的基本實現(xiàn)形式。但是，網(wǎng)絡(luò)存在眾多不確定因素，數(shù)據(jù)丟失、被改寫或監(jiān)聽的風險較大，所以，為保證數(shù)據(jù)在傳輸過程中的安全性，需要進行高級安全防范操作。主要威脅有以下幾種：

（1）一般網(wǎng)絡(luò)使用者都會選擇用硬件設(shè)備進行接入，以獲取較多服務(wù)；

（2）通過不正確安全的方法來獲取網(wǎng)絡(luò)資源，如修改假冒MAC、IP地址等；

（3）網(wǎng)絡(luò)邊界風險分析；

為區(qū)分部門工作，校園網(wǎng)被劃分成眾多小局域網(wǎng)，布局結(jié)構(gòu)更加復雜，同時局域網(wǎng)之間存在邊界，這種邊界也是網(wǎng)絡(luò)風險存在的主要陣地之一。為保證網(wǎng)絡(luò)互通的安全性能，阻擋非法訪問和非法入侵行為，就需要加強邊界的網(wǎng)絡(luò)控制力?？梢酝ㄟ^增設(shè)功能強大的邊界控制設(shè)備，降低網(wǎng)絡(luò)威脅。

2.2 網(wǎng)絡(luò)設(shè)備風險分析

校園網(wǎng)絡(luò)構(gòu)成復雜，系統(tǒng)龐大，由眾多硬件作基礎(chǔ)支撐。所以，在校園網(wǎng)絡(luò)系統(tǒng)中存在眾多硬件設(shè)備，包括路由器、交換機等基礎(chǔ)設(shè)備，這些設(shè)備保證系統(tǒng)高效工作的同時，還能檢測網(wǎng)絡(luò)出現(xiàn)的部分問題。若出現(xiàn)網(wǎng)絡(luò)鏈路傳輸或信息丟失等問題，一般是設(shè)備出現(xiàn)了故障；又或者設(shè)備設(shè)置存在技術(shù)問題，也會引起嚴重后果。

2.3 系統(tǒng)安全風險

網(wǎng)絡(luò)用戶和管理者使用的系統(tǒng)一般包括操作系統(tǒng)、數(shù)據(jù)庫等軟硬件。對于這些系統(tǒng)，漏洞和病毒是威脅其安全的主要元素之一，同時，不可忽視的還有不正確操作的人為破壞。在高校計算機相關(guān)專業(yè)都會開設(shè)操作系統(tǒng)方向的課程，學習環(huán)境一般以免費或盜版的Windows和Unix為主要學習系統(tǒng)，不具有長期維護的保護措施，既不進行定期的升級也不進行補丁的安裝，經(jīng)常會引起用戶被入侵或攻擊的情況發(fā)生。

2.4 應用層安全風險

校園網(wǎng)絡(luò)服務(wù)種類眾多，對于職業(yè)院校來說，常見的網(wǎng)絡(luò)服務(wù)有：文件服務(wù)、數(shù)據(jù)服務(wù)等，這些方面也是容易存在網(wǎng)絡(luò)安全威脅的地方，如：

（1）當前，WEB服務(wù)是受威脅較多的網(wǎng)絡(luò)服務(wù)之一，當然，由于一些非法使用者的存在，其他服務(wù)也具有潛在的威脅。

（2）學生是個構(gòu)成復雜的龐大群體，會存在一些不自律的學生不能夠正確使用網(wǎng)絡(luò)工具，違規(guī)瀏覽各種網(wǎng)絡(luò)信息。同時，網(wǎng)絡(luò)監(jiān)管體系對于數(shù)量眾多的師生群體存在監(jiān)管能力不足的情況。這一系列情況都是導致校園網(wǎng)絡(luò)安全受到威脅的因素。同時也會影響正常使用者的網(wǎng)絡(luò)體驗。

3 安全需求分析

3.1 網(wǎng)絡(luò)攻擊防御需求

內(nèi)部網(wǎng)絡(luò)攻擊與外部網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)攻擊的兩種方式。對于防范職業(yè)院校的網(wǎng)絡(luò)攻擊也要從這兩方面入手。防范網(wǎng)絡(luò)攻擊是保障校園網(wǎng)絡(luò)健康良好使用的保障，在開展防范網(wǎng)絡(luò)攻擊活動時，要先從防范外部網(wǎng)絡(luò)攻擊入手，通過軟硬件設(shè)備來監(jiān)控數(shù)據(jù)，進而實施隔離風險的操作。另外，還要對內(nèi)部網(wǎng)絡(luò)監(jiān)控IP地址，檢查地址的真實性，因為內(nèi)部網(wǎng)絡(luò)是通過地址轉(zhuǎn)換成公有地址后與外界進行數(shù)據(jù)交換的，所以，確定網(wǎng)絡(luò)地址的真實性是防止不法分子進行網(wǎng)絡(luò)攻擊的重要手段。同時，為加強校園網(wǎng)絡(luò)數(shù)據(jù)的安全性，可以適當增設(shè)數(shù)據(jù)加密、網(wǎng)絡(luò)控制平臺系統(tǒng)、遠程控制系統(tǒng)等的應用。另外，數(shù)據(jù)安全協(xié)議系統(tǒng)也具有較高的可靠性，可以進一步降低數(shù)據(jù)在傳輸過程中被竊取的可能性。為加強網(wǎng)絡(luò)安全，提升校園網(wǎng)絡(luò)暢通度，采取流量監(jiān)聽和阻斷惡意流量機制也是不可忽略的有效手段之一，通過監(jiān)聽和分析用戶及系統(tǒng)活動，來判定攻擊活動的時間和性質(zhì)，進而向管理人員發(fā)出警報。管理員可以通過給出的警報，及時進行網(wǎng)絡(luò)安全維護。

3.2 系統(tǒng)安全漏洞管理需求

眾多的網(wǎng)絡(luò)服務(wù)器支撐校園網(wǎng)絡(luò)功能的正常實現(xiàn)，需要進行系統(tǒng)的運行、數(shù)據(jù)庫的保存、大量的計算等相關(guān)操作。對于應用中的網(wǎng)絡(luò)設(shè)備和各種功能的操作系統(tǒng)來說，都存在著很大的安全隱患。網(wǎng)絡(luò)協(xié)議和安全漏洞給木馬和病毒的入侵和攻擊提供了可乘之機，肆無忌憚的破壞系統(tǒng)、數(shù)據(jù)和協(xié)議等重要信息。對于這些破壞，管理員需要及時進行系統(tǒng)漏洞修復并改正相關(guān)錯誤，不然會帶來意想不到的損失。網(wǎng)絡(luò)安全的保障需要管理員細心全面的對系統(tǒng)進行維護和管理，同時，需要網(wǎng)絡(luò)使用者規(guī)范使用網(wǎng)絡(luò)功能。

3.3 網(wǎng)絡(luò)防病毒需求

校園網(wǎng)絡(luò)已經(jīng)遍布校園的各個角落，使用者可以隨時隨地連接校園網(wǎng)進行使用，校園網(wǎng)絡(luò)的普及性也對自身網(wǎng)絡(luò)的安全性防護變低，網(wǎng)絡(luò)威脅增大。因此，如何降低網(wǎng)絡(luò)威脅是校園網(wǎng)維護工作接下來的重點，校園網(wǎng)安全維護工作要從多方面進行考慮，比如校園網(wǎng)的整體結(jié)構(gòu)。在對校園網(wǎng)安全維護時，要注意對公用端口的要求，不能隨意接入公用端口，對公用端口的使用規(guī)則應該要求嚴格，接入時應快速，即使網(wǎng)絡(luò)安全性很高，管理者也不能疏于防范，應該建立一個嚴格的網(wǎng)絡(luò)病毒防護系統(tǒng)。在現(xiàn)階段的校園網(wǎng)使用者中，大部分用戶因為網(wǎng)絡(luò)速度較慢而使用多種方法和軟件來增加網(wǎng)速，這不僅會降低網(wǎng)絡(luò)安全性，有時還會造成斷網(wǎng)，出現(xiàn)這種現(xiàn)象是因為網(wǎng)絡(luò)中出現(xiàn)了病毒，即ARP地址欺騙，爆發(fā)時向網(wǎng)絡(luò)中發(fā)放虛假的ARP包，這是一種木馬病毒，雖沒傳播能力，也不能擴大本身的感染范圍，但是能使校園網(wǎng)斷開連接，用戶不能上網(wǎng)，從而擾亂網(wǎng)絡(luò)秩序，網(wǎng)絡(luò)的傳輸速度變慢。這種病毒雖然感染范圍較小，但是在爆發(fā)時網(wǎng)絡(luò)的連接設(shè)備是正常的，所以在前期比其他木馬病毒的潛藏性高，使管理者不容易找到網(wǎng)絡(luò)無法正常使用的原因。因此，在對校園網(wǎng)絡(luò)安全問題進行研究時，要注意校園網(wǎng)絡(luò)的整體性，要從整體出發(fā)，不能從局部簡單下結(jié)論。為了應對這種情況，管理者應該具備高水平的專業(yè)技能，對于突發(fā)情況保持鎮(zhèn)靜，制定備選方案，及時應對，對安全方面存在的問題及時解決，加強安全防護，保證整個網(wǎng)絡(luò)的正常運轉(zhuǎn)。

3.4 INTERNET接入用戶控制需求

職業(yè)院校人員復雜，數(shù)量較多，是一個小型社會，在校園內(nèi)設(shè)置居住區(qū)，有居住區(qū)就一定會有網(wǎng)絡(luò)要求，學院規(guī)定人員應該和上網(wǎng)賬戶一一對應，并制定相應的收費規(guī)則，但是，總是有一小部分人不遵守規(guī)則，進行非法操作，最常見的有兩種情況，一是賬號與使用人員的數(shù)量不匹配，多個人使用同一個賬號進行上網(wǎng)，從而減少上網(wǎng)費用，這就增加了網(wǎng)絡(luò)使用者投機取巧的可能性。另一種情況是使用地址欺騙，這部分人中學生占大多數(shù)，相關(guān)專業(yè)的學生找到網(wǎng)絡(luò)中存在的漏洞和管理者忽略的地方進行攻擊，從而共享上網(wǎng)資源，打破校園中網(wǎng)絡(luò)使用規(guī)則。因此，在進行網(wǎng)絡(luò)安全防護時，可以引入身份認證體系，在上網(wǎng)時彈出身份認證頁面，從而保障網(wǎng)絡(luò)安全使用。

4 安全策略

風險評估在網(wǎng)絡(luò)安全中起到巨大的作用。風險評估得到的信息是值得參考的，信息中含有經(jīng)濟價值和使用價值。網(wǎng)絡(luò)安全具體體現(xiàn)在訪問權(quán)限上，對于各種信息提出要求，一些不健康和不合理的信息，用戶沒有訪問權(quán)限。同時，安全策略是網(wǎng)絡(luò)安全維護人員進行網(wǎng)絡(luò)安全維護的重要指標，網(wǎng)絡(luò)安全人員在構(gòu)建網(wǎng)絡(luò)安全環(huán)境時要參考安全策略，結(jié)合網(wǎng)絡(luò)信息系統(tǒng)存在的漏洞建立并完善更高級的網(wǎng)絡(luò)安全系統(tǒng)，在這個過程中，可以采用工程學中包含的方法進行研究。

4.1 物理安全策略

安全策略的首要環(huán)節(jié)是物理安全，包含主機、交換機、路由器、打印機、掃描儀等硬件設(shè)備的正常使用以及相關(guān)線路問題的維修，避免出現(xiàn)人為破壞造成經(jīng)濟損失；同時，不同的使用者有身份權(quán)限的限制，對于不符合自己身份權(quán)限的行為，系統(tǒng)會自動進行管理，這是對于使用者的要求；另外，不同的硬件有不同的工作環(huán)境，這對于溫度和濕度的要求極高，在硬件使用時要多加注意；最后，要建立更加完善的安全管理制度，防止有心之人攻擊主機系統(tǒng)。

4.2 網(wǎng)絡(luò)隔離策略

安全策略的第二部分內(nèi)容是網(wǎng)絡(luò)隔離層略，服務(wù)器數(shù)量越少，數(shù)據(jù)安全性越高。因為數(shù)據(jù)的保密要求級別不同，劃分了多個網(wǎng)絡(luò)安全層次，從根本上限制數(shù)據(jù)的流動方向，并完善網(wǎng)絡(luò)安全架構(gòu)，減小了惡意入侵的可能性，從而提高校園網(wǎng)的安全性能。在現(xiàn)階段的劃分網(wǎng)絡(luò)中主要從三方面進行劃分，即路由器、防火墻和虛擬局域網(wǎng)。

4.3 選用合適軟件的策略

對于軟件的選擇是安全策略的第三部分內(nèi)容，在經(jīng)費允許的情況下，選擇安全性能更高的數(shù)據(jù)庫系統(tǒng)，并利用相關(guān)套件提高各個層次的安全性。但是，現(xiàn)階段各個職業(yè)院校經(jīng)費緊張，對網(wǎng)絡(luò)方面投入較少，在選擇軟件時，應注意選擇口碑較好的軟件，應用的殺毒軟件和檢測系統(tǒng)應具備國家權(quán)威認證，并在安全性能上有一定的保障。

4.4 實行“最小授權(quán)”策略

“最小授權(quán)”策略是指降低用戶使用網(wǎng)絡(luò)的權(quán)力，使用身份認證體系，對用戶的服務(wù)器配置和賬號密碼提出一定要求，在此基礎(chǔ)上正常使用網(wǎng)絡(luò)。因此，管理人員應及時關(guān)閉沒有設(shè)置的服務(wù)網(wǎng)絡(luò)和刪除許久未用的用戶名和上網(wǎng)賬號，縮小用戶的使用權(quán)限，減小危害網(wǎng)絡(luò)信息安全的可能性。

5 結(jié)束語

綜上所述，校園網(wǎng)安全管理問題不容小覷，關(guān)系到整個網(wǎng)絡(luò)體系，校園網(wǎng)絡(luò)是否安全決定著職業(yè)院校各項工作能否正常開展，并在人力、物力、財力三方面起著一定的作用，不容忽略。校園網(wǎng)絡(luò)做不到絕對的安全，但是和之前使用的網(wǎng)絡(luò)相比，網(wǎng)絡(luò)安全性已有大幅度提升，管理人員應該熟練運用校園網(wǎng)絡(luò)的特點，并對其薄弱環(huán)節(jié)進行加強，制定行之有效的方案，選擇安全性能較高的設(shè)備，縮小用戶使用權(quán)限，制定相對完善的制度，保障校園網(wǎng)正常運行。