基于多層防護的校園網安全體系研究

◆孟建東

（山東醫學高等專科學校計算機教研室 山東 276000）

基于多層防護的校園網安全體系研究

◆孟建東

（山東醫學高等專科學校計算機教研室 山東 276000）

校園網本身具有開放性和多樣性的特性，僅僅在單方面采取相關的安全防護措施無法有效保證校園網的安全。目前，需要構建一個更加全面、多層次的信息安全防護體系。本文主要對高校校園網需要面對的安全威脅進行了相關的分析和研究，并提出了建立多層防護校園網的安全體系。

校園網；多層防護；安全體系；網絡安全

0 引言

伴隨著國內教育信息化的不斷發展，各高校都逐漸建立起自己的校園網絡，并且校園網的建立對學生間的學術交流與高校的教學管理都有著非常重要的作用。學校是研究和開發新技術的聚集地，其保存著大量的科技研發成果和一些相關的技術資料，同時校內的師生富有活躍的思維和創造能力，樂于將先進的科學技術應用到生活當中，而且有著強烈好奇心的他們容易試驗各種黑客技術和工具，威脅著學校校園網絡的安全。因此，構建一個安全、實用的安全防護體系是迫切需要的。

1 校園網所面臨的安全威脅

校園網絡不但需要提供開放的網絡資源和上網需求，而且需要確保整個校園網絡系統的安全性。校園網絡遭受的攻擊主要來源于兩個方面，第一個是來源于外部公網的攻擊，第二個是來源于校園網內部的攻擊[1]。由于校園網的用戶較多，遭受內部的攻擊或者是操控內部主機對外進行攻擊的情況占多數，這些行為所引起的破壞已遠遠大于外部攻擊。校園網絡主要面臨的安全威脅分為以下幾點。

1.1 網絡物理造成的安全威脅

學校內應用的路由器、交換機、工作站以及各類網絡服務器等硬件設備和通信設備容易受到自然災害和人為破壞，甚至是搭線監聽等攻擊[2]。

1.2 人為失誤造成的安全威脅

由于學校網絡管理人員的一些無心操作所造成的安全威脅主要包括以下幾方面：第一，打開了網絡設備中沒有應用的端口或是應用了系統默認的配置，使攻擊者能夠通過端口掃描技術獲取相應的端口信息，進而進行非法訪問；第二，學校網絡管理人員沒有較強的安全意識，一些非管理人員隨便進出學校中心機房；第三，對全部網絡設備設置了相同的密碼，或者是設置的密碼過于簡單。

1.3 人為惡意攻擊造成的安全威脅

（1）計算機病毒：是指一種可執行的程序代碼，它能夠將自身附著在各種類型的文件上，隨著文件傳送到另一用戶上。它具有傳播性、感染性、隱藏性和破壞性等特點。計算機病毒的傳染是從網絡上進行的，其傳播的方式主要是在軟件下載、發送郵件等過程中病毒附著在文件進入到內部網絡，而后對網絡開始進行攻擊。

（2）特洛伊木馬：是指設計者根據系統中存在的某些缺陷而有意創造出來的，是一種對用戶系統進行攻擊，任意盜取、毀壞被攻擊者文件的工具。使用特洛伊木馬能夠遠程操控被攻擊者的系統，對學校網絡信息的安全性和完整性造成一定的影響。完整的特洛伊木馬套裝程序包括著兩部分：服務器部分和客戶端部分。攻擊者首先將服務器植入受害者的電腦中系統中，再通過客戶端進入到已經運行服務器的電腦，進而能夠遠程操控受害者電腦，來獲取受害者信息。

（3）惡意程序代碼：惡意程序代碼是一種帶有危險性的代碼。一些攻擊者利用惡意程序代碼來尋找網絡系統中存在的漏洞，通過發現的漏洞對受害者進行攻擊和侵入，并且將成功入侵的電腦當做根據地，再對網絡內其他的電腦進行攻擊，從而引起網絡系統全部癱瘓或者是損失較多的數據。

1.4 系統漏洞造成的隱患威脅

校園網絡中涵蓋著大量的服務器和終端設備，在這些服務器和終端設備上運行的操作系統、管理軟件和應用軟件等都有著一定程度上的漏洞，而這些漏洞就成為了黑客攻擊的對象。以往發生的黑客攻入網絡內部的情況，大多數是網絡系統和應用軟件存在漏洞而造成的。

1.5 機密文件存儲和傳送過程中的隱患

假如計算機系統遭受到黑客攻擊時，在計算機中存儲的機密文件沒有采取適當的加密措施，很可能會導致文件被盜取。同時，在傳送機密文件過程中，需要通過多個節點,很容易造成被黑客監聽。所以,機密文件的存儲和傳送對網絡安全也具有一定的威脅。

2 分層防護體系的建立

通過對校園網內面臨的安全威脅的相關分析，能夠了解到校園網內存在著較多不安全成分，如果只從一面安全威脅采取相應的對策不能滿足對安全的要求，需要利用多種技術來確保信息的安全。根據上述情況，結合學校自身情況建立多層防護體系，并采用不同的技術來確保整個校園網絡的安全。

2.1 外部網絡

外部網絡層主要表示是校園網路由器和防火墻之外的公共用網，當前國內高校接入公網的方式主要包含中國教育網和中國公用計算機互聯網等接入。為有效保證數據在公網傳送時不被監聽，可采取以下兩種防范措施：

（1）虛擬專網（VPN）技術：這是為外部網絡用戶可以通過公網安全訪問到校園網內部網絡的一種連接方式。它可以通過利用特殊的加密通訊協議讓連接在Internet上的不同校區之間架起一條特有的通訊線路，就如同建立起一條專線，從而有效防止數據在公網傳送時被監聽[3]。

（2）加密技術：在外部網絡中進行數據傳送，例如發送電子郵件，采取密碼技術是有效保證信息安全的常用方法。當前被普遍應用的加密算法為對稱算法和非對稱算法，結合應用兩種方法，再采用數字簽名、數字證書以及數字水印等技術，進而保證了通信的安全性。

2.2 內部網絡

內部網絡主要表示是校園內的網絡設備、服務器和各類終端設備，其主要應用到教學、科研、管理、信息資源共享等方面，并且由校內網絡管理員對計算機局域網系統進行維護。為有效保證內部網絡的安全性，主要采取以下幾種措施進行防護：

（1）建立防火墻系統：防火墻是由硬件和軟件組合而成的，它在內部網和外部網間構建起一個安全網關卡，篩選經過的各種數據包，并決定是否將這些數據包輸送到目的地[4]。它還可以控制著信息進出的流向，提供網絡使用情況和流量的審查等細節。

通過設置防火墻能夠有效防止遭受到多數的外網絡攻擊。防火墻可以依照具體的功能設置，作為網絡總出入關口，必須要設置具備高性能的硬件防火墻，在內部網絡中可以根據各院系實際情況來設置防火墻軟件，比如ISA Server 2004。除此之外，無線網絡接入方式的快速發展，使一些終端用戶逐漸應用到該上網方式。無線上網沒有通過校園網的防火墻而是直接連接外部網絡，對此形成了較大的安全隱患，所以需要教導運用無線網的用戶應用個人防火墻。

（2）防范病毒：防范病毒主要是將集中式病毒防殺和單機病毒防殺有效結合到一起。近些年出現了大批的網絡病毒，而且這些病毒都具有非常強的感染能力，僅僅校園網中一臺電腦受到病毒感染，該病毒就會自動查找其他電腦中存在的漏洞，一經發現就侵入到該電腦，同時它還可以占用大量網絡寬帶，進而導致網絡出口堵塞，影響網絡正常運行。

實時更新的單機病毒防殺系統能夠有效避免個人計算機遭受大部分的病毒侵擾，可是如果校園網內其他用戶計算機感染病毒，就會導致網絡性能降低，也是會影響到其他沒有被感染的計算機正常使用，因此，防范網絡病毒的傳播也需要利用集中式病毒防殺措施，在校園網中建立病毒防殺中心。集中式的網絡防殺系統不但能夠管理多臺聯網計算機，統一清理聯網計算機的病毒，還能夠公布病毒防殺信息，自動更新和升級病毒庫，具有較好的預警能力。

（3）入侵檢測：校園網絡管理員可以利用一些安全軟件檢查網絡上流動的數據包，辨別非法入侵和其他一些可疑行為，能夠及時進行有效的防護。

2.3 應用系統

應用系統是網絡服務最為核心的部分，但也一定程度的缺陷：其一，系統設計和開發的延時性而造成漏洞的形成；其二，應用系統的服務配置也具有一些不安全的問題。針對這些系統存在的漏洞，必須要采取有效措施來彌補漏洞，及時安裝補丁程序；然而針對應用程序安全配置的問題，一定要在服務系統建立時對應用系統配置文件進行相關的研究，并按照實際應用情況對配置進行優化，進而減少應用服務上的漏洞，同時適當關閉不應用的服務和端口。網絡管理員需要定期檢查終端設備、服務器和交換機的漏洞，發現漏洞后及時采取補救措施。

3 結束語

校園網很容易受到攻擊，所以需要建立多層防護體系，在每層都設置安全措施，從而有效全面防范受到攻擊。網絡安全問題需要受到引起各高校的重視，威脅網絡安全的方式會不斷更新，因此，這就需要不斷去完善網絡安全體系。

[1]呂紅飛.淺析高職學院網絡信息安全.科技信息，2010.

[2]袁文光.面向職業院校的校園網絡安全技術研究與應用[D].湖南：湖南大學，2014.

[3]李軍.VPN技術在校園網中的應用[J].赤峰學院學報（自然科學版)，2012.

[4]邵澤云，曹來成.網絡防火墻新技術的發展與應用研究[J].信息安全與技術，2015.