探討高職院校計算機網絡安全管理系統的研發與實踐

謝麗娟 王軍紅 劉明忠

引言：計算機網絡安全越來越受到人們的廣泛關注，尤其是擔負對外宣傳交流、科學研發、教學工作、學習生活等數據共享與通信作用的校園計算機網絡系統，其安全問題更加需要引起人們的廣泛關注。本文主要探討高職院校計算機網絡系統的安全問題對其計算機網絡采用的網絡安全管理技術進行簡要的介紹。

隨著計算機技術的普及，越來越多的高校開始利用計算機技術建立單位內部局域網絡，以實現資源的即時共享和內部信息的交流，方便科研和教學的正常進行，同時為院校的對外宣傳和交流提供便利。但很多高校，尤其是我國很多高職院校，對計算機網絡安全管理的重視與管理不夠，導致其計算機網絡常受到社會不法分子的惡意攻擊，校園計算機網絡的安全現狀讓人擔憂。

一、計算機網絡系統的安全隱患

計算機網絡安全指的是保護計算機網絡系統中的硬件、軟件和數據資源，不因偶然或惡意的原因遭到破壞、修改、泄露，使網絡系統連續可靠地正常運行，網絡服務正常有序。這里的偶然因素指的是計算機網絡系統的斷電、數據交互中斷、受到外界電磁場干擾、由于人的誤操作而導致的網絡硬件平臺故障等，客觀來說，這些偶然因素是可以管理而不可能完全消除的；而惡意因素就是人們所熟知的社會計算機網絡木馬病毒，他們攻擊各局域網系統，以攫取重要的研究資料和情報數據，為不法分子牟取商業利益。

在目前的高職院校的校園計算機網絡中，常存在著以下安全問題：

（一）計算機網絡物理安全問題

校園計算機網絡屬于弱電工程，耐壓很低，極容易受到突然斷電、火災、雷電的襲擊由于線路短路、晶片燒壞而使得物理工程失效，從而引發計算機網絡服務中斷，特別是數據庫存儲硬盤在這里遭受到損壞的話，其存儲的信息數據的安全性將無法得到保證。

（二）計算機網絡系統網絡結構的安全問題

高校計算機網絡的構建是以國際互聯網與內部局域網相組合的網絡，它既能夠與外部互聯網進行連接實現數據交流，又能通過內部局域網的建設使局域網內各終端實現實時的數據共享與資料傳遞。在各終端與互聯網進行通信時容易受到互聯網木馬病毒的攻擊，而該木馬從任一個終端傳輸進來后均可通過內部局域網的快速交流而蔓延到整個網絡，從而導致局域網癱瘓，大量信息數據泄露。

（三）計算機網絡系統的安全問題

網絡操作系統和網絡硬件平臺是計算機網絡系統搭建的兩個重要組成部分，就目前計算機技術的發展來看，任何一個網絡操作系統和網絡硬件平臺都是不完美的，有著技術缺陷的，都無法保證其具有百分百的安全性的，因此，校園計算機網絡在構建之初就已經決定了該網絡是具有Back-Door的。正是基于此，構建一個科學合理的計算機網絡安全管理系統用以管理校園計算機網絡與互聯網通信時的網絡安全問題就成為解決校園網絡安全問題的重要措施。

二、高職院校計算機網絡安全系統的構建

任何一個系統的構建都是由多個不同的結構單元相互配合搭建而成的綜合管理平臺，對于高職院校的校園計算機網絡系統來說，其安全系統的構建一般由SNMP協議、VLAN虛擬局域網技術、邊界防火墻技術、網絡用戶身份認證技術、路由訪問控制技術、入侵防御技術等，本文主要對校園網絡安全管理系統中的邊界防火墻技術、網絡用戶身份認證技術和入侵防御技術進行簡要的介紹。

（一）邊界防火墻技術

邊界防火墻是設置在校園計算機網絡和外部互聯網之間的一道屏障，其主要利用計算機網絡技術、安全協議、安全技術、密碼技術、軟件技術等，實現網絡上的內外系統隔絕，使得內部網絡可以不在外部網絡數據資源直接影響的情況下運行工作，它可以有效地防止一些不可預測的、潛在性、長時間有計劃性、實時性的網絡攻擊，對內外信息的通信交換起到一層過濾的作用。尤其是對于校園網絡與外部網絡、總網與子網之間的網絡攻擊能夠起到很好地防御效果。

邊界防火墻的設置中有一項安全協議，其是由網絡系統設置時精心挑選的“信息過濾紙”，在外部數據進入內部網絡系統時，只有符合該協議規定的應用、數據、信息等才可能通過，凡違反該協議的數據全部被阻擋在外，以此來實現內外網絡系統的隔絕，保障內部網絡的信息安全。

（二）網絡用戶身份認證技術

網絡用戶身份認證技術是目前國內校園計算機網絡安全管理的一項重要措施，已經得到廣泛的普及和應用。在網絡服務器后臺為每個終端分配一個固定的IP地址和登錄用戶名，用戶在連接校園網絡時需要輸入正確的用戶名才可以獲取連接通信的權限，借此來阻擋外界不合法用戶對計算機網絡系統的侵入行為，為計算機網絡提供一道安全保障。

在部分高校的校園網絡安全系統建設中，分配IP地址時，將該IP與電腦MAC進行綁定，這就使得非本電腦、本IP而對網絡進行用戶名登錄的權限受到限制，使得計算機網絡能夠避免網絡偽裝對系統的訪問，實現網絡登錄的安全控制。

（三）入侵防御技術

計算機網絡系統的入侵防御技術是網絡安全管理的重要內容之一，它采用硬件和軟件配合的網絡安全管理技術，對用戶的訪問進行甄別，查找惡意攻擊和訪問的數據包來源，強制中斷該來源用戶名、IP地址的網絡連接，并及時對數據包進行清除。入侵防御技術主要防御的是來自于內部終端與互聯網連接時產生的網絡攻擊經局域網擴散到其他終端和子網，以此保證網絡系統的安全穩定性。

入侵防御技術的技術特征主要有：它在計算機網絡中嵌入式運行，保證對數據包來源與攻擊的監視實時性；它可以對數據包進行深入的分析和控制，使得其能夠準確惡意數據攻擊及正常應用數據；它設置有一個較完備的入侵特征庫，使得通信行為發生時可以快速進行匹配已確定是否屬于網絡入侵行為，以上幾點使得入侵防御技術具有高效數據處理能力，因此在校園計算機網絡安全系統建設中得到非常廣泛的應用，其技術也相對成熟、可靠。

結語

校園計算機網絡安全問題是校園科學研發、教學工作、學習生活正常進行的一大威脅，以多種計算機網絡安全技術為基礎的網絡安全管理是保證校園正常秩序的重要技術手段，需要得到社會高度的重視以及充分的研究實踐。

參考文獻

[1]蔡昂.高職院校計算機網絡安全管理系統的設計與實現[D].天津大學，2012.

[2]王劍鋒.高校計算機網絡安全問題與對策探析[J].電腦知識與技術，2013（10）.

[3]于繼江.高校計算機網絡安全問題及其防護措施的研究[J].商場現代化，2011（18）.

（作者單位：山東信息職業技術學院）