校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與策略

陳錦琪 陳曉語

（江蘇省楊州技師學(xué)院江蘇揚(yáng)州225003）

1 引言

伴隨著教育信息化的高速發(fā)展，校園網(wǎng)絡(luò)的普及率和應(yīng)用率越來越高，這就使得很多學(xué)校在教學(xué)管理活動(dòng)中對(duì)計(jì)算機(jī)和校園網(wǎng)絡(luò)的依賴程度與日俱增，這就對(duì)校園網(wǎng)絡(luò)的安全防范水平和信息服務(wù)質(zhì)量提出了更高的要求。尤其是隨著校園網(wǎng)絡(luò)遭受攻擊的越來越頻繁，受到攻擊威脅程度的提高，校園網(wǎng)絡(luò)的系統(tǒng)安全問題已經(jīng)成為當(dāng)前熱議的話題。

2 校園網(wǎng)絡(luò)安全存在的問題

2.1 網(wǎng)絡(luò)安全意識(shí)相對(duì)薄弱

在當(dāng)前的校園網(wǎng)絡(luò)中，服務(wù)對(duì)象主要是在校的教師和學(xué)生，但這些用戶的信息化素質(zhì)和計(jì)算機(jī)網(wǎng)絡(luò)水平卻存在很大的差異，大部分用戶在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)缺乏應(yīng)有的網(wǎng)絡(luò)安全防范意識(shí)，導(dǎo)致計(jì)算機(jī)病毒較多，傳播起來造成的不良影響也比較大。例如，有的學(xué)生在上網(wǎng)或使用計(jì)算機(jī)的過程中，經(jīng)常使用簡單的密碼，在使用U 盤等移動(dòng)存儲(chǔ)設(shè)備時(shí)忽略了病毒的查殺，這都給黑客盜取或篡改個(gè)人信息提供了空間。怎樣提升在校師生的安全意識(shí)和信息化素質(zhì)，通過有效的網(wǎng)絡(luò)安全維護(hù)策略確保校園網(wǎng)絡(luò)的安全運(yùn)行，已經(jīng)成為當(dāng)前校園網(wǎng)絡(luò)管理人員需要重點(diǎn)面對(duì)的問題[1]。

2.2 網(wǎng)絡(luò)安全管理的投入相對(duì)不足

在當(dāng)前的校園網(wǎng)建設(shè)活動(dòng)中，很多學(xué)校將主要精力放在了安全設(shè)備和安全技術(shù)的投入上，對(duì)校園網(wǎng)絡(luò)的安全管理卻不夠重視，通常借助架設(shè)出口防火墻對(duì)校園網(wǎng)的安全進(jìn)行保護(hù)，但是很多學(xué)校并沒有及時(shí)建立病毒防御和安全漏洞分析等安全體系。同時(shí)，由于受到組織機(jī)構(gòu)建設(shè)和經(jīng)濟(jì)投入等因素的影響，有些學(xué)校的網(wǎng)絡(luò)安全管理人員相對(duì)不足，經(jīng)常出現(xiàn)一人身兼數(shù)職的情況[2]。此外，還有的學(xué)校并沒有建立相應(yīng)的信息安全管理機(jī)構(gòu)，網(wǎng)絡(luò)安全制度與管理規(guī)范的上的缺陷，也容易帶來校園網(wǎng)絡(luò)安全管理上的弊端。

2.3 網(wǎng)絡(luò)終端數(shù)量眾多

一般的校園網(wǎng)絡(luò)用戶，都是成千上萬個(gè)，尤其是一些大型的高校，在校師生和管理人員高達(dá)幾萬人，所以使得校園網(wǎng)的用戶比較集中，網(wǎng)絡(luò)終端數(shù)量龐大，尤其是隨著無線的普及，智能手機(jī)和平板電腦也成為重要的網(wǎng)絡(luò)終端設(shè)備，從而使得校園網(wǎng)絡(luò)的網(wǎng)絡(luò)終端數(shù)量越來越多。

3 P2DR 安全模型

校園網(wǎng)絡(luò)的安全威脅是來自多方面的，加上校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與完善已經(jīng)成為是一項(xiàng)長期和復(fù)雜的系統(tǒng)工程，單純依賴安全技術(shù)或者安全產(chǎn)品都很難完全實(shí)現(xiàn)校園網(wǎng)絡(luò)安全管理的目標(biāo)。因此，網(wǎng)絡(luò)安全防范體系應(yīng)該是動(dòng)態(tài)變化的，在完成安全防范體系的設(shè)計(jì)后，必須不斷適應(yīng)安全環(huán)境的變化[3]。

在構(gòu)建校園安全防范體系時(shí)，可以參照美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的P2DR 模型，主要包括策略、防護(hù)、檢測和響應(yīng)4個(gè)模塊。①策略：該模塊的主要功能是根據(jù)計(jì)算機(jī)與網(wǎng)絡(luò)風(fēng)險(xiǎn)分析理清需要保護(hù)的資源和對(duì)象，以及該采取怎樣的保護(hù)措施等。策略模塊是P2DR 模型的核心，其他模塊的功能都要依據(jù)安全策略才可以得以有效的實(shí)施。具體說來，網(wǎng)絡(luò)安全策略可分為具體安全策略和總體安全策略；②防護(hù)：該模塊的主要功能是借助對(duì)校園網(wǎng)絡(luò)系統(tǒng)漏洞的修復(fù)，系統(tǒng)的正確設(shè)計(jì)和合理安裝，網(wǎng)絡(luò)安全教育，運(yùn)用訪問控制和監(jiān)視等手段對(duì)惡意威脅或攻擊事件進(jìn)行有效的防護(hù)；③檢測：該模塊作為加強(qiáng)防護(hù)和動(dòng)態(tài)響應(yīng)的主要依據(jù)，其功能主要體現(xiàn)在通過對(duì)校園網(wǎng)絡(luò)系統(tǒng)的監(jiān)控和檢測，及時(shí)發(fā)現(xiàn)新的系統(tǒng)弱點(diǎn)和網(wǎng)絡(luò)威脅，通過循環(huán)反饋?zhàn)龀黾皶r(shí)、快速的反映，可以同防護(hù)模塊的功能形成有效的互補(bǔ)；④響應(yīng)：該模塊的功能在于當(dāng)校園網(wǎng)絡(luò)系統(tǒng)一旦檢測到入侵，響應(yīng)系統(tǒng)就開始工作，確保事件的處理和網(wǎng)絡(luò)的安全。P2DR 是一個(gè)完整的和動(dòng)態(tài)的安全循環(huán)，有效地保障了保證網(wǎng)絡(luò)信息系統(tǒng)的安全[4]。

4 安全防范體系的構(gòu)建與完善策略

圖1 校園網(wǎng)絡(luò)安全防范體系模型圖

根據(jù)傳統(tǒng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，結(jié)合P2DR 模型可構(gòu)建一種動(dòng)態(tài)的、可靠的和實(shí)用性較強(qiáng)的校園網(wǎng)絡(luò)安全防范體系模型，如圖1 所示。

4.1 安全策略體系

安全策略體系主要是指服務(wù)于校園網(wǎng)絡(luò)安全管理的一系列的規(guī)章制度，主要會(huì)涉及到校園網(wǎng)絡(luò)安全管理的長遠(yuǎn)規(guī)劃和網(wǎng)絡(luò)安全管理的目標(biāo)，還應(yīng)當(dāng)包括校園網(wǎng)絡(luò)安全事故爆發(fā)時(shí)的應(yīng)急處理制度和事后恢復(fù)制度等內(nèi)容。

4.2 安全技術(shù)體系

安全技術(shù)是指根據(jù)安全目標(biāo)需要，通過部署安全設(shè)備和采用技術(shù)策略來對(duì)校園網(wǎng)進(jìn)行安全防護(hù)，其包括的設(shè)備或采用的技術(shù)主要包括入侵檢測、防病毒網(wǎng)關(guān)、防火墻、通信加密、漏洞掃描和安全審計(jì)等。①入侵檢測技術(shù)是指對(duì)網(wǎng)絡(luò)入侵行為的發(fā)覺技術(shù)[5]，該技術(shù)可以使計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，進(jìn)而可及時(shí)發(fā)現(xiàn)校園網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的各種違法安全策略的行為以及可能遭受網(wǎng)絡(luò)攻擊的跡象；②防病毒網(wǎng)關(guān)是作為一種新型的網(wǎng)絡(luò)設(shè)備，可以對(duì)進(jìn)行校園網(wǎng)的數(shù)據(jù)安全進(jìn)行有效的保護(hù)，如所具有的關(guān)鍵詞過濾、病毒查殺和垃圾郵件拒絕等功能；③防火墻技術(shù)指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問[6]；④通信加密技術(shù)主要是通過物理或者數(shù)學(xué)手段，實(shí)現(xiàn)對(duì)數(shù)字信息在網(wǎng)絡(luò)傳輸過程中和存儲(chǔ)設(shè)備中的安全保護(hù)的技術(shù)。計(jì)算機(jī)密鑰、保密通信和防復(fù)制軟盤等都屬于通信加密技術(shù)。⑤漏洞掃描技術(shù)主要是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為；⑥安全審計(jì)主要是指通過多樣化的技術(shù)系統(tǒng)如：數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)提供的專門管理程序以及審計(jì)模塊的相關(guān)功能，對(duì)系統(tǒng)的日常使用情況進(jìn)行日志式的記錄，進(jìn)而實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控和及時(shí)報(bào)警和事后分析與統(tǒng)計(jì)。同時(shí)，只有加強(qiáng)這些設(shè)備和技術(shù)在整體上的使用才能實(shí)現(xiàn)更好的安全防范效果，這就需要學(xué)校要結(jié)合自身校園網(wǎng)絡(luò)建設(shè)和安全管理的需要，部署和構(gòu)建有針對(duì)性的安全技術(shù)體系[7]。

4.3 安全管理體系

安全管理是校園安全防范體系構(gòu)建的基礎(chǔ)和主線，貫穿于整個(gè)體系建設(shè)的始末，安全管理體系的構(gòu)建，不僅僅包括技術(shù)和設(shè)備要素，還包括人的要素，是確保校園安全防范體系能夠發(fā)揮作用和職能的重要前提，如果在校園網(wǎng)絡(luò)安全管理中缺少了人的主動(dòng)管理和規(guī)章制度的有效約束，那么再好的硬件設(shè)備和軟件防范技術(shù)都難以發(fā)揮應(yīng)有的效能。基于校園網(wǎng)絡(luò)安全體系建設(shè)的復(fù)雜性，安全管理體系的構(gòu)建必須建立規(guī)范、全面和科學(xué)的管理制度，充分發(fā)揮"人"在校園網(wǎng)絡(luò)安全管理中的重要作用，將設(shè)備技術(shù)與安全管理機(jī)制有機(jī)地結(jié)合起來，進(jìn)而實(shí)現(xiàn)更好的管理效果[8]。

4.4 安全培訓(xùn)

由于校園網(wǎng)絡(luò)安全防范體系的構(gòu)建會(huì)涉及到很多環(huán)節(jié)和多個(gè)用戶，無論是學(xué)校的領(lǐng)導(dǎo)，還是校園網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理員，都是其中的重要組成部分，只有通過一系列的安全教育與培訓(xùn)措施，不斷加強(qiáng)和提高用戶的網(wǎng)絡(luò)安全意識(shí)和安全風(fēng)險(xiǎn)防控能力，才能確保各項(xiàng)安全防范措施的有效貫徹與執(zhí)行。尤其是在病毒泛濫的校園網(wǎng)絡(luò)環(huán)境下，只有不斷通過定期培訓(xùn)、病毒及時(shí)發(fā)布和促使用戶修復(fù)漏洞等措施，增強(qiáng)校園網(wǎng)用戶的安全風(fēng)險(xiǎn)應(yīng)對(duì)能力，才能有效減少各類網(wǎng)絡(luò)安全事件，避免很多不必要的損失[9]。

4.5 安全服務(wù)

為了充分發(fā)揮校園網(wǎng)絡(luò)安全防范體系的職能，校園網(wǎng)的管理人員還需要嚴(yán)格遵循用于校園網(wǎng)安全檢測、預(yù)防非法攻擊或者響應(yīng)及時(shí)恢復(fù)系統(tǒng)的安全機(jī)制，如定期做好服務(wù)器、工作站和交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全檢查工作，及時(shí)處理掉可能存在的安全隱患，對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種操作行為進(jìn)行實(shí)時(shí)檢測等，這樣有助于對(duì)各類校園網(wǎng)的安全攻擊事件進(jìn)行防御，提高校園網(wǎng)在數(shù)據(jù)處理、數(shù)據(jù)傳輸以及系統(tǒng)維護(hù)方面的安全效能。

5 結(jié)束語

綜上所述，校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與完善，是一個(gè)長期性和系統(tǒng)性的工程，需要各個(gè)學(xué)校在信息化的建設(shè)進(jìn)程中，結(jié)合用戶對(duì)網(wǎng)絡(luò)安全的需求，持續(xù)性的增加投入，制定科學(xué)、合理的校園網(wǎng)絡(luò)安全管理策略，借助現(xiàn)代化的管理手段和技術(shù)手段，逐步建立起立體化的網(wǎng)絡(luò)安全防范體系，進(jìn)而更好的服務(wù)于學(xué)校的教學(xué)與科研工作。

[1]段愛民.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4):18-20.

[2]徐云娟.校園網(wǎng)安全技術(shù)的研究[D].上海:復(fù)旦大學(xué)碩士論文,2008.

[3]李建寧.綜合安防網(wǎng)絡(luò)集成管理平臺(tái)在創(chuàng)建"平安校園"中的應(yīng)用[J].智能建筑與城市信息,2009(6):91-94.

[4]李文濤,楊海軍.安防網(wǎng)絡(luò)三級(jí)互動(dòng)為平安校園保駕護(hù)航[J].智能建筑與城市信息,2010(1):62-65.

[5]張惠言,王紅麗,朱乾坤.校園網(wǎng)的建設(shè)與規(guī)劃[J].內(nèi)江科技,2011(4):157.

[6]莫年發(fā).Internet 時(shí)代的高校校園網(wǎng)規(guī)劃設(shè)計(jì)與實(shí)踐-以廣西水利電力職業(yè)技術(shù)學(xué)院新校區(qū)校園網(wǎng)為例[J].廣西輕工業(yè),2011(7):67-68.

[7]劉 琳,鄧曉剛.關(guān)于構(gòu)建校園網(wǎng)絡(luò)安全防范體系的探索[J].電腦知識(shí)與技術(shù),2017(9):572-573.

[8]謝 勍.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)探討[J].科學(xué)技術(shù)與工程,2008(1):229-232.

[9]田 迪.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(2):84-85.