高職院校校園網(wǎng)絡(luò)安全防御措施

摘要 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，高職校園網(wǎng)絡(luò)信息化規(guī)模不斷擴(kuò)大，由于計(jì)算機(jī)網(wǎng)絡(luò)所具有開放性、分布性、互聯(lián)性和自由性的特點(diǎn)，高職校園網(wǎng)絡(luò)不可避免地遭遇著來自內(nèi)部和外部的安全威脅。本文從安全意識(shí)、資金投入、技術(shù)、管理等方面分析了高職校園網(wǎng)絡(luò)存在的安全隱患，并提出了相應(yīng)的防御措施。

關(guān)鍵詞 高職院校 網(wǎng)絡(luò)安全 防范措施

中圖分類號(hào)：G717 文獻(xiàn)標(biāo)識(shí)碼：A

Security Defense Measures on Network of Vocational College Campus

ZHANG Xusheng

(Ningxia Industrial Vocational School， Yinchuan， Ningxia 750021)

AbstractWith the rapid development of network technology， vocational schools have been expanding the network of information technology. As computer network is open， distributed， connective and free， inevitably， the campus network confronted with security threats from internal and external network. In this paper， it analysis of the vocational school network security risks exist in safety awareness， funding， technology， management， and give the corresponding preventive measures.

Key wordsvocational College; security defense measures on network; defense measures

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和社會(huì)信息化進(jìn)程的加快，以網(wǎng)絡(luò)技術(shù)為核心的現(xiàn)代教育技術(shù)在高等教育領(lǐng)域應(yīng)用非常普遍。高職院校作為高等教育重要組成部分，也充分利用了網(wǎng)絡(luò)技術(shù)。但高職校園網(wǎng)絡(luò)建設(shè)起步普遍較晚，受技術(shù)、資金和社會(huì)因素的影響，校園網(wǎng)絡(luò)存在很多安全缺陷，經(jīng)常受到黑客、惡意軟件或病毒的攻擊，來自校園內(nèi)部和外部的惡意入侵和非法訪問事件時(shí)有發(fā)生，并呈現(xiàn)出上升的趨勢(shì)，因此必須要有行之有效的網(wǎng)絡(luò)安全防御措施，來保證高職校園網(wǎng)絡(luò)安全高效的運(yùn)行。

1 高職校園網(wǎng)安全所面臨的問題

當(dāng)前，絕大部分高職院校辦學(xué)經(jīng)費(fèi)緊張，在網(wǎng)絡(luò)軟硬件投入嚴(yán)重不足。并且大多數(shù)高職校園網(wǎng)絡(luò)通過CERNET與INTERNET相連，面臨著遭遇來自外部互聯(lián)網(wǎng)攻擊的風(fēng)險(xiǎn)。同時(shí)，高職校園網(wǎng)連接學(xué)院各個(gè)部門和校內(nèi)學(xué)生機(jī)等，一些企業(yè)辦學(xué)的院校還連接企業(yè)內(nèi)部網(wǎng)絡(luò)，加上管理上的疏漏，因此也面臨著來自校園內(nèi)部的安全威脅。總之，高職校園網(wǎng)絡(luò)安全問題主要有：

1.1 高職校園網(wǎng)軟硬件投入不足

長(zhǎng)期以來，高職院校計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)普遍存在對(duì)網(wǎng)絡(luò)安全所需的軟硬件設(shè)施的投入嚴(yán)重不足，重技術(shù)、輕安全、輕管理。現(xiàn)在網(wǎng)絡(luò)病毒、黑客工具的泛濫，也促使計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備更新速度非常快，不斷地對(duì)網(wǎng)絡(luò)安全防范措施提出新的要求，一些舊的網(wǎng)絡(luò)安全設(shè)備已不能防范現(xiàn)在黑客和惡意軟件的攻擊。大多數(shù)高職院校因?yàn)檗k學(xué)經(jīng)費(fèi)緊張不能持續(xù)投入大量資金改善網(wǎng)絡(luò)安全所需的軟、硬件設(shè)施，致使加強(qiáng)高職校園網(wǎng)絡(luò)安全的防范無法到位。

1.2 內(nèi)部攻擊

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和個(gè)人計(jì)算機(jī)的普及，絕大多數(shù)高職院校學(xué)生公寓都與互聯(lián)網(wǎng)相連，但上網(wǎng)學(xué)生安全防范意識(shí)良莠不齊，有些學(xué)生對(duì)于一些安全防范觀念、技術(shù)一無所知。另一方面高職院校學(xué)生——這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心，他們有著探索新知識(shí)沖勁，卻缺乏全面思考的責(zé)任感，加之高職院校對(duì)學(xué)生上網(wǎng)行為沒有有效的規(guī)范和約束。相關(guān)數(shù)字顯示，目前高職院校校園網(wǎng)遭受的惡意攻擊，90%來自高職校園網(wǎng)絡(luò)內(nèi)部。

1.3 外部互聯(lián)網(wǎng)的攻擊

1.3.1 病毒攻擊

高職校園網(wǎng)絡(luò)一般都通過CERNET與Internet相連或直接，在 Internet 上有許多共享軟件、免費(fèi)軟件和其他應(yīng)用軟件，然而他們也有可能帶有一些病毒。計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。病毒的種類和傳染方式也在增加，現(xiàn)在其種類已達(dá)上萬。

1.3.2 黑客攻擊

隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展，黑客的攻擊無時(shí)無刻不在進(jìn)行，他們利用網(wǎng)絡(luò)系統(tǒng)和管理上的漏洞，進(jìn)行信息的竊取，篡改，或者對(duì)網(wǎng)絡(luò)本身進(jìn)行攻擊，網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。高職校園網(wǎng)絡(luò)普遍起步晚，管理也比較松散，校園網(wǎng)絡(luò)安全具有致命的脆弱性和易受攻擊性。

1.4 高職校園網(wǎng)管理上的漏洞

管理在一個(gè)網(wǎng)絡(luò)中是非常重要的。如果責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全風(fēng)險(xiǎn)，例如讓一些非本地人員或外來人員進(jìn)入網(wǎng)絡(luò)，而管理上沒有相應(yīng)的制度來約束。

高職校園網(wǎng)的用戶群體多，網(wǎng)絡(luò)承擔(dān)的數(shù)據(jù)量大，接入校園網(wǎng)節(jié)點(diǎn)在不斷地增多，很容易造成網(wǎng)絡(luò)風(fēng)暴和病毒傳播。絕大多數(shù)高職學(xué)院對(duì)上網(wǎng)場(chǎng)所管理比較混亂，缺乏網(wǎng)絡(luò)行為約束、網(wǎng)絡(luò)管理軟件、日志記錄，更缺乏有效監(jiān)控和管理，上網(wǎng)用戶的身份根本無法識(shí)別，存在極大的安全隱患。

2 高職校園網(wǎng)安全管理措施

由上面的分析可以看出，構(gòu)建安全的高職校園網(wǎng)絡(luò)需要解決以下三個(gè)關(guān)鍵問題：（1）如何加強(qiáng)內(nèi)部人員特別是學(xué)生上網(wǎng)的道德教育，提升學(xué)生的計(jì)算機(jī)水平，對(duì)學(xué)生的上網(wǎng)行為有效的監(jiān)控。（2）如何保證所有接入網(wǎng)絡(luò)的終端設(shè)備（用戶PC、服務(wù)器等）是安全可信的，只有保證每一臺(tái)網(wǎng)絡(luò)終端設(shè)備的安全才能確保網(wǎng)絡(luò)整體的安全，做到無懈可擊。（3）如何能夠?qū)⒕W(wǎng)內(nèi)所有的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻等）有效加以整合，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，提升網(wǎng)絡(luò)的可控制、可管理性，提高網(wǎng)絡(luò)安全的水平。

2.1 增強(qiáng)網(wǎng)內(nèi)用戶網(wǎng)絡(luò)安全意識(shí)

人在網(wǎng)絡(luò)安全中起著決定性因素，重視校園網(wǎng)絡(luò)安全首先要培養(yǎng)人的網(wǎng)絡(luò)安全意識(shí)，從每一個(gè)學(xué)生、每一個(gè)員工做起。面對(duì)充滿變數(shù)的互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境和日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，高職校園網(wǎng)絡(luò)用戶應(yīng)采取以下措施進(jìn)行防范：（1）安裝個(gè)人防火墻軟件，攔截一些常見的破壞行為；（2）安裝網(wǎng)絡(luò)版殺毒軟件，及時(shí)防范病毒入侵；（3）勤打操作系統(tǒng)和應(yīng)用程序補(bǔ)丁，不給破壞者提供機(jī)會(huì)。

2.2 設(shè)計(jì)健壯擴(kuò)展性好網(wǎng)絡(luò)體系

網(wǎng)絡(luò)應(yīng)用是建立在網(wǎng)絡(luò)硬件建設(shè)的基礎(chǔ)上，高職校園網(wǎng)絡(luò)要具有強(qiáng)大的安全的防御能力，必須要有一個(gè)健壯擴(kuò)展性好的網(wǎng)絡(luò)硬件環(huán)境，因此高職校園網(wǎng)需要合理的規(guī)劃和運(yùn)營(yíng)。

（1）首先設(shè)計(jì)健壯擴(kuò)展性好的校園網(wǎng)是建立在網(wǎng)絡(luò)硬件建設(shè)的基礎(chǔ)上，各高職院校根據(jù)自己院校的實(shí)際情況，在綜合布線時(shí)要注意設(shè)備的可擴(kuò)充性，以便于以后系統(tǒng)需要發(fā)展時(shí)，可以有充分的余地將設(shè)備擴(kuò)展進(jìn)去。（2）根據(jù)各高職院校的情況，進(jìn)行合理的運(yùn)營(yíng)收費(fèi)，依靠市場(chǎng)化的手段能夠推動(dòng)校園網(wǎng)的運(yùn)作規(guī)范化和提高建設(shè)水平。

2.3 優(yōu)化網(wǎng)絡(luò)維護(hù)策略

維護(hù)高職校園網(wǎng)絡(luò)的安全，必須采用多方面技術(shù)來保障。其一在路由和核心交換機(jī)之間部署1套防火墻實(shí)現(xiàn)防火墻、VPN 等功能。配置流量整形網(wǎng)關(guān)，實(shí)現(xiàn)應(yīng)用層的流控管理和用戶上網(wǎng)行為控制，可根據(jù)各種策略、以及不同時(shí)間段實(shí)現(xiàn)針對(duì)BT、P2P 應(yīng)用、電游、QQ、MSN、數(shù)據(jù)庫(kù)、視頻等關(guān)鍵應(yīng)用業(yè)務(wù)進(jìn)行控制、分類統(tǒng)計(jì)和分析。記錄并可分析查詢用戶的上網(wǎng)行為日志，包括記錄訪問的 URL、BBS 帖子的內(nèi)容等。其二，為了實(shí)現(xiàn)網(wǎng)絡(luò)的安全可運(yùn)營(yíng)管理，劃分合理的VLAN，部署一套認(rèn)證系統(tǒng)，既能完成對(duì)用戶的認(rèn)證，同時(shí)還可與第三方軟件聯(lián)動(dòng)。

2.3.1 防火墻

防火墻可以抵御外來非法用戶的入侵，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道安全屏障，外部網(wǎng)絡(luò)用戶的訪問必須先經(jīng)過安全策略過濾，而內(nèi)部網(wǎng)絡(luò)用戶對(duì)外部網(wǎng)絡(luò)的訪問則無需過濾，防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警。

2.3.2 流量控制

一般的流控設(shè)備都可以為網(wǎng)絡(luò)鏈路劃分多個(gè)虛擬帶寬通道，能夠?qū)崿F(xiàn)最大帶寬限制、保證帶寬、帶寬租借、帶寬配額、應(yīng)用優(yōu)先級(jí)、隨機(jī)公平隊(duì)列等一系列帶寬管理功能，能夠有效的檢測(cè)和防止不正常應(yīng)用對(duì)網(wǎng)絡(luò)帶寬資源的非正常消耗，保證關(guān)鍵應(yīng)用帶寬，限制非業(yè)務(wù)應(yīng)用帶寬，能改善和保障了高職校園網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。

2.3.3 日志審計(jì)

當(dāng)前解決網(wǎng)絡(luò)安全問題的主要手段是在網(wǎng)絡(luò)中增加防火墻、防病毒軟件等網(wǎng)絡(luò)安全設(shè)備。而日志數(shù)據(jù)則詳實(shí)地記錄了系統(tǒng)和網(wǎng)絡(luò)的運(yùn)行事件，是安全審計(jì)的重要數(shù)據(jù)，所以擁有日志服務(wù)器也是保證高職校園網(wǎng)絡(luò)安全的有效措施。

2.3.4 VLAN安全設(shè)計(jì)

虛擬局域網(wǎng)（VLAN）可以有效的控制網(wǎng)絡(luò)廣播，提高網(wǎng)絡(luò)的安全性，如限制網(wǎng)絡(luò)計(jì)算機(jī)之間相互訪問的權(quán)限，可以實(shí)現(xiàn)有效的網(wǎng)絡(luò)監(jiān)控，實(shí)現(xiàn)不同地域部門內(nèi)的局域網(wǎng)通信。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的區(qū)域，合理地進(jìn)行安全域的劃分，對(duì)網(wǎng)絡(luò)進(jìn)行初步的安全防護(hù)。

2.3.5 用戶身份管理

在高職校園網(wǎng)建立成熟可靠的網(wǎng)絡(luò)身份管理體系，確保入網(wǎng)用戶身份的合法有效，將非法用戶隔離在內(nèi)網(wǎng)大門之外，也是有效的網(wǎng)絡(luò)安全防御措施。

2.3.6 網(wǎng)絡(luò)設(shè)備與第三方軟件聯(lián)動(dòng)

（1）第三方殺毒軟件聯(lián)動(dòng)。如果網(wǎng)絡(luò)設(shè)備能夠通過和第三方殺毒軟件的聯(lián)動(dòng)，強(qiáng)制入網(wǎng)用戶必須正常安裝、運(yùn)行指定的殺毒軟件。對(duì)于殺毒軟件檢測(cè)未通過的用戶，將視情況進(jìn)行警告、隔離處理。（2）與微軟WSUS聯(lián)動(dòng)進(jìn)行Windows補(bǔ)丁更新。WSUS是微軟提供的免費(fèi)Windows補(bǔ)丁自動(dòng)更新系統(tǒng)，網(wǎng)絡(luò)設(shè)備能夠與內(nèi)網(wǎng)的WSUS服務(wù)器進(jìn)行聯(lián)動(dòng)，引導(dǎo)用戶使用WSUS的服務(wù)進(jìn)行Windows補(bǔ)丁自動(dòng)更新，幫助內(nèi)網(wǎng)的用戶主機(jī)及時(shí)更新操作系統(tǒng)補(bǔ)丁，避免因?yàn)椴僮飨到y(tǒng)漏洞帶來的安全隱患威脅。

2.3.7 數(shù)據(jù)安全

按時(shí)備份數(shù)據(jù)是一種簡(jiǎn)單但又十分重要的保證數(shù)據(jù)完整性的方法，網(wǎng)絡(luò)管理人員可以根據(jù)實(shí)際情況選擇完全備份、增量備份和差分備份。在實(shí)際應(yīng)用中，備份策略通常是以上三種的結(jié)合。網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)的建成，對(duì)保障系統(tǒng)的安全運(yùn)行，保障各種系統(tǒng)故障的及時(shí)排除和數(shù)據(jù)庫(kù)系統(tǒng)的及時(shí)恢復(fù)起到關(guān)鍵作用。

2.4 做好IPV4向IPV6過渡的準(zhǔn)備工作

隨著Internet的規(guī)模以近乎于指數(shù)的趨勢(shì)增長(zhǎng)，40億個(gè)IPv4的地址已經(jīng)用掉了3/4，IPv4的地址空間面臨即將耗盡的危險(xiǎn)，整個(gè)互聯(lián)網(wǎng)從IPv4向IPv6過渡勢(shì)在必行，因此高職院校也要提前做好IPv4向IPv6過渡的準(zhǔn)備工作。

實(shí)現(xiàn)由IPv4向IPv6過渡的一種辦法是先將整個(gè)網(wǎng)絡(luò)的一小部分升級(jí)為IPv6網(wǎng)，IPv6網(wǎng)將被大量IPv4網(wǎng)所包圍。此時(shí)可采取IP網(wǎng)中的節(jié)點(diǎn)不支持IPv4、但在網(wǎng)絡(luò)邊界處的節(jié)點(diǎn)必須支持IPv4的策略，這樣IPv6的內(nèi)部節(jié)點(diǎn)能相互直接通信并通過適用雙IP的路由器經(jīng)由隧道與其他IP網(wǎng)通信。

另一種辦法是將各個(gè)獨(dú)立的節(jié)點(diǎn)升級(jí)使之支持IPv6與IPv4兩種IP版本，那么這些節(jié)點(diǎn)就可以通過各自的節(jié)點(diǎn)鏈路直接通信或通過隧道與遠(yuǎn)程IPv6/IPv4節(jié)點(diǎn)通信，這種方案允許某些單位為了訪問遠(yuǎn)程的IPv6節(jié)點(diǎn)與網(wǎng)絡(luò)而將其網(wǎng)絡(luò)中的一些節(jié)點(diǎn)進(jìn)行升級(jí)，但其缺點(diǎn)是需手工配置。

這種過渡與順序無關(guān)，即可先對(duì)主機(jī)升級(jí)，也可先對(duì)路由器升級(jí)，甚至也可以將部分主機(jī)與部分路由器同時(shí)升級(jí)。各高職院校可根據(jù)自己的實(shí)際情況進(jìn)行重點(diǎn)逐步的升級(jí)。

3 總結(jié)

高職校園網(wǎng)絡(luò)的安全問題，不僅是設(shè)備和技術(shù)的問題，更是管理的問題。網(wǎng)絡(luò)管理人員應(yīng)注重對(duì)教師和學(xué)生網(wǎng)絡(luò)安全的培訓(xùn)，提高他們的上網(wǎng)安全意識(shí)，加強(qiáng)他們網(wǎng)絡(luò)安全技術(shù)。而且制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)教師和學(xué)生的行為，也是保障高職校園網(wǎng)絡(luò)安全的重要防御措施。

參考文獻(xiàn)

[1]劉少明.高職院校校園網(wǎng)安全體系的構(gòu)建與思考[J].福建電腦，2006(2):38-42.

[2]胡獻(xiàn)澤，陳輝.淺議高職校園網(wǎng)絡(luò)安全策略[J].淮南職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007(3).

[3]呂玉珠.計(jì)算機(jī)與信息技術(shù)[J].廣西輕工業(yè)，2009(5).

[4]陳輝.高職校園網(wǎng)絡(luò)安全防范對(duì)策[J].淮南職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009(1).