新時期高校網(wǎng)絡安全策略分析

張曉+曹偉平+趙鑫+張媛

[摘 要]隨著現(xiàn)代校園的無紙化辦公的不斷推行，我們的整個校園的運行越來越依賴于內(nèi)部建構的高性能網(wǎng)絡環(huán)境，那么與之而來的就是校方不得不首要考慮的自身網(wǎng)絡的安全和穩(wěn)定性問題，而這也是當下高校經(jīng)常會遇到的一個工作難題。文章在此背景之下，首先分析了校園內(nèi)部網(wǎng)絡容易遇到的是何種安全問題，從物理層到最終的用戶端，然后針對每一類安全問題提出解決方案，希望能夠為我們的高校建設工作提供一些參考。

[關鍵詞]高校內(nèi)部網(wǎng)絡；安全分析；解決方案

[DOI]10.13939/j.cnki.zgsc.2018.04.267

1 高校內(nèi)部網(wǎng)絡安全隱患綜合分析

1.1 網(wǎng)絡設備的安全問題

如今隨著互聯(lián)網(wǎng)時代的不斷發(fā)展，校內(nèi)用戶的需求不斷增長，所以各大高校為了滿足自己的網(wǎng)絡需求在近些年都不斷地增設各種高級網(wǎng)絡設備，并且將這些設備安置在校園的各個地方。由于校園的物理距離限制和設備本身的復雜度限制，導致了整個校園網(wǎng)絡環(huán)境的維護難度與日俱增，通信用的光纖電纜、交換機、路由器、網(wǎng)關等，這些設備很多由于需求導致其暴露在露天環(huán)境下，無論是惡劣天氣還是人為導致的損害都是非常容易發(fā)生的。這是物理層面上最直觀和最容易想到的維護問題，我們高校來制定自己的高校校園網(wǎng)絡環(huán)境安全維護方案的時候，同樣是需要首先考慮清楚的。

1.2 系統(tǒng)和應用軟件存在的漏洞

從最近的比特幣勒索病毒來看，其實我們高校內(nèi)使用的教學網(wǎng)絡軟件系統(tǒng)本身存在著很大的問題，無論是設備所使用的操作系統(tǒng)存在的漏洞，還是我們?nèi)粘＾k公工作使用到的應用軟件，這些軟件無論是正版授權的還是違規(guī)盜版的，它們都存在著很大的安全隱患，一些不懷好意的人最想要找到并利用的也是這些漏洞，從而來達到自己的一些不可告人的目的。

1.3 計算機病毒和來自內(nèi)、外網(wǎng)絡惡意攻擊

網(wǎng)絡環(huán)境下魚龍混雜，木馬、病毒充斥其中，而校園網(wǎng)絡從某種角度來看又是一個整體，一旦有一臺設備受到了病毒的感染，就很容易導致在整個網(wǎng)絡上的鏈式傳播，甚至最后導致整個網(wǎng)絡的癱瘓。更為令人頭疼的是，高校網(wǎng)絡并不能像一些保密單位那樣進行物理網(wǎng)絡隔絕，只做成自己的內(nèi)部網(wǎng)絡，所以等于我們的高校網(wǎng)絡必須暴露在開放的環(huán)境下。對于此方面的防范，一般是教育我們的員工和學生合理正確地進行上網(wǎng)活動，同時嚴令禁止一些有能力進行相關操作的學生出好奇或者好玩的目的對校園網(wǎng)進行一些違規(guī)的操作。

1.4 內(nèi)部用戶濫用網(wǎng)絡資源

高校內(nèi)部的網(wǎng)絡在近些年由于新媒體時代的興起，導致其內(nèi)部的大部分帶寬資源被用于各種資源的下載，而且還很難以組織，因為近些年各種P2P、BT之類的下載軟件的迅速擴張，這些長期存在并占用了大量貸款的下載行為，使得我們內(nèi)部網(wǎng)絡的一些正常工作無法高效進行。

2 相應的解決策略

2.1 硬件保護策略

對于那些重要的核心設備，高校一般是放置在一個單獨的具有一定安保等級的機房內(nèi)進行統(tǒng)一的維護，同時相關樓棟也會進行更為高等級的防潮、防震、防火等防范加強措施，最大可能避免由于客觀條件導致的機房內(nèi)設備的損壞。而對于那些需要安置在露天環(huán)境下的設備，在布置的時候就要對其外部增加金屬或者其他鋼性材質的保護擴展，并沒有移動或者頻繁拆卸需求的設備，也可以直接固定在對應的環(huán)境內(nèi)防止偷盜，而對于路由器或者交換機這類設備，一旦固定了就不方便更換的情況，我們盡可能將其安置在高處，也是為了防止偷盜行為。并且所有的電子設備都應該保證其出于一個干燥、干警、防靜電的環(huán)境內(nèi)，露天設備一般需要增設避雷針之類的裝置才能保證效果。

2.2 訪問監(jiān)管和控制策略

2.2.1 利用網(wǎng)絡防火墻和防毒墻技術

“防火墻”在網(wǎng)絡工程里是一個專有名詞，專門指的是在單位或者團體的內(nèi)部網(wǎng)和其相連的外部網(wǎng)絡之間增設一層自動的保護系統(tǒng)，這樣就可以在一定程度上保證了默認網(wǎng)絡環(huán)境的安全等級。防火墻并不是單一的軟件或者硬件，而是軟硬件結合形成的整體性網(wǎng)絡，整個網(wǎng)絡可以保證校園網(wǎng)跟因特網(wǎng)之間的交互在一定等級上的安全性，其完成的功能主要有4個部分：服務訪問策略、驗證工具、數(shù)據(jù)包過濾和應用網(wǎng)關，而其中最大量產(chǎn)生信息交換的數(shù)據(jù)包過濾是最重要的安全保障策略。包過濾在指定好了一套切實有效的過濾原則之后，就可以自動地檢索每個流通的數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的包頭里的各類信息進行分析，來判斷該數(shù)據(jù)包能不能通過網(wǎng)關從而進入內(nèi)網(wǎng)。但是包過濾只是能夠防止那些未經(jīng)過內(nèi)網(wǎng)用戶允許從而展開的數(shù)據(jù)鏈路，而對于那些由內(nèi)網(wǎng)用戶主動發(fā)起的數(shù)據(jù)鏈路是否包含由計算機病毒卻無能為力，所以我們在防火墻之后我們往往還要增設一層防毒墻，專門在防火墻檢驗了各類數(shù)據(jù)和鏈路的合法性之后，再來檢測這些鏈路和數(shù)據(jù)的干凈程度，防毒墻一般用的是簽名檢索驗證，跟國際上開源的各類病毒庫進行對比，從而保證了在網(wǎng)絡里流通的大部分傳統(tǒng)病毒無法真正侵入內(nèi)網(wǎng)環(huán)境。當然這都是比較淺層次的討論，實際在應用的時候，整個TCP/IP網(wǎng)絡的各個層次的各類主要協(xié)議的安全性都是我們的關注范圍，也都有針對性的應對措施來保障安全。

2.2.2 服務器訪問控制策略

由于防火墻或者防毒墻都是被動地進行防范，從安全保護的角度來看，被動的防御總是會出現(xiàn)紕漏，所以我們還要主動地去限制內(nèi)網(wǎng)用戶本身的使用權限，這往往是通過服務器訪問控制來實現(xiàn)的。不同等級的內(nèi)網(wǎng)用戶，其可以訪問的外網(wǎng)是受到了不同程度的限制的，因為一些大量的木馬和病毒就是通過那些自身安全措施做得很差，卻又比較受到用戶歡迎的網(wǎng)站進行傳播的，我們?nèi)绻拗屏擞脩魧τ谶@些網(wǎng)絡的訪問，自然就可以減少防御層面的工作壓力。

2.3 病毒防護策略

病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、垃圾郵件傳播、不斷自我復制耗盡資源等幾種方式的在網(wǎng)絡進行傳播和破壞，造成線路堵塞和數(shù)據(jù)丟失損壞。那么建立的一套完整的網(wǎng)絡病毒防范體系是對高校內(nèi)部網(wǎng)絡整體病毒防護策略。具體包括：①未知病毒查殺技術：也就是主動病毒防御技術，它通過虛擬技術和人工智能技術結合，解決了原先依賴病毒庫查詢病毒的缺點，實現(xiàn)了對未知病毒的準確查殺。②智能引擎技術：智能引擎技術發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。

2.4 不良信息的防護策略

因特網(wǎng)上有很多淫穢色情、暴力反動的信息，我們的校園里都是正在處于“三觀”成長狀態(tài)的大學生，我們的校方有義務有責任將這些不良信息抵制在校園網(wǎng)之外，這不僅僅是為了保證我們大學生身心健康不會受到污染，同時也是防止大學生在訪問這些充斥著大量病毒和木馬的網(wǎng)站時，將這些病毒帶到內(nèi)網(wǎng)中去。

2.5 建立安全評估策略

整套不同層次的安全防護策略不僅僅依賴于其獨立的技術優(yōu)越性，同時還要考慮到整個系統(tǒng)內(nèi)部的相互配合，最好的技術也需要最好的團隊來使用才能達到最好的效果，所以我們的高校還要專門成立一個校園網(wǎng)絡安全管理團隊，利用自己采購和建構的整個安全防護系統(tǒng)，建立一個真正高效、穩(wěn)定的安全維護系統(tǒng)，并且對于各類安全事件進行評測和重要性排序，在發(fā)生不同等級的事件時，采取針對性的措施，將人力和物力的使用率最大化。

3 結 論

隨著高校內(nèi)部網(wǎng)絡功能和規(guī)模的擴展，它的安全問題越來越受到重視，網(wǎng)絡環(huán)境的復雜性、多變性，以及計算機系統(tǒng)的脆弱性，決定了高校校園的網(wǎng)絡不能僅僅依靠防火墻，而應涉及管理和技術等多方面的配合。需要仔細分析系統(tǒng)的安全需求，建立完善的管理制度，并將各種安全技術與管理手段綜合在一起，才能建立一個高效、通用、安全的高校內(nèi)部網(wǎng)絡系統(tǒng)。

參考文獻：

[1]高薇，許浩，寧玉文，等.基于安全態(tài)勢感知平臺的高校網(wǎng)絡SOC研究1——以第四軍醫(yī)大學為例[J].計算機技術與發(fā)展，2018（1）：1-7.

[2]張云飛.探索高校網(wǎng)絡中心機房安全防護策略分析[J].電腦知識與技術，2016，12（1）：55-56.

[3]呂紹鑫.高校數(shù)字校園網(wǎng)絡安全體系的設計與策略分析[J].無線互聯(lián)科技，2016（7）：31-32.endprint