智慧校園平臺網(wǎng)絡(luò)安全策略的研究

楊 倩，鄒 磊

（湖北中醫(yī)藥高等?？茖W(xué)校，荊州 434020）

1 引言

智慧校園平臺的建設(shè)是高校信息化建設(shè)的重要一環(huán)。校園網(wǎng)絡(luò)為高校內(nèi)教學(xué)、科研、學(xué)習(xí)等各類活動(dòng)提供了基礎(chǔ)設(shè)施，校園網(wǎng)絡(luò)的安全與否直接影響到智慧校園平臺功能的穩(wěn)定性。隨著互聯(lián)網(wǎng)的連入，各種網(wǎng)絡(luò)安全隱患也逐漸凸顯。校園網(wǎng)絡(luò)除了可能遭受到的黑客攻擊、病毒感染等情況，軟硬件方面的缺陷也會成為巨大的安全隱患。因此，在湖北中醫(yī)藥高等專科學(xué)校智慧校園平臺的建設(shè)中，必須分析可能出現(xiàn)的網(wǎng)絡(luò)安全隱患，研究網(wǎng)絡(luò)安全策略。

2 校園網(wǎng)絡(luò)現(xiàn)狀

校園網(wǎng)絡(luò)是為便于學(xué)校對教學(xué)、辦公活動(dòng)進(jìn)行管理，促進(jìn)信息化教學(xué)與科研而建立的網(wǎng)絡(luò)系統(tǒng)。在最初校園網(wǎng)絡(luò)建立時(shí)，由于學(xué)校經(jīng)濟(jì)狀況等原因，只考慮到了網(wǎng)絡(luò)的連通性與兼容性，并未考慮到網(wǎng)絡(luò)的安全性，因此在智慧校園平臺的建設(shè)中必須要將網(wǎng)絡(luò)安全策略納入研討范圍。隨著平臺建設(shè)的推進(jìn)，校園網(wǎng)絡(luò)上提供的服務(wù)和運(yùn)行的各類應(yīng)用程序的增多，局域網(wǎng)絡(luò)的規(guī)模也逐漸增大。校園網(wǎng)絡(luò)用戶基數(shù)大，線路繁雜，內(nèi)部節(jié)點(diǎn)數(shù)多且數(shù)據(jù)交換量大，導(dǎo)致網(wǎng)絡(luò)安全管理難度增大。因此，合理利用網(wǎng)絡(luò)管理資源，在內(nèi)外網(wǎng)的接入、數(shù)據(jù)交換過程中做好安全防御措施、加強(qiáng)安全管理是智慧校園平臺建設(shè)必須考慮的方向。

3 校園網(wǎng)絡(luò)安全隱患分析

通過對學(xué)校的實(shí)際情況進(jìn)行分析調(diào)查，校園網(wǎng)絡(luò)的安全隱患主要來源于校園網(wǎng)內(nèi)部環(huán)境、內(nèi)網(wǎng)用戶與來自外部環(huán)境和外網(wǎng)網(wǎng)站的影響。根據(jù)分析得出有以下幾類主要的安全隱患存在：

3.1 物理設(shè)備問題

由于設(shè)備年久、老化等原因，可能會導(dǎo)致機(jī)房的電壓、電流不夠穩(wěn)定或是由于物理設(shè)備擴(kuò)容度不夠引起線路負(fù)荷過大，均會產(chǎn)生網(wǎng)絡(luò)故障，輕則引起數(shù)據(jù)丟失，重則可能會使服務(wù)中斷、系統(tǒng)崩潰。

3.2 病毒入侵

隨著世界范圍內(nèi)信息技術(shù)水平的提高，計(jì)算機(jī)病毒的隱蔽性與破壞性也越來越強(qiáng)，有時(shí)甚至不能被現(xiàn)有的殺毒軟件攔截并查殺。同時(shí)，內(nèi)網(wǎng)的使用人員組成復(fù)雜，不少人員計(jì)算機(jī)水平有限，在進(jìn)行各類與網(wǎng)絡(luò)有關(guān)的操作時(shí)，很容易由于訪問風(fēng)險(xiǎn)網(wǎng)站或下載攜帶病毒、木馬的軟件導(dǎo)致病毒趁虛而入。

3.3 黑客攻擊

校園網(wǎng)相較于其他局域網(wǎng)來說，開放性更強(qiáng)，管理也較為寬松，因此更易遭受到黑客攻擊。如若安全防護(hù)措施不充足，很容易被黑客竊取、篡改數(shù)據(jù)甚至破壞系統(tǒng)。

3.4 技術(shù)支持不足[1]

學(xué)校網(wǎng)絡(luò)安全管理方面缺乏相關(guān)專業(yè)技術(shù)人員，無法及時(shí)制止內(nèi)網(wǎng)用戶不當(dāng)操作，發(fā)生安全事故時(shí)也無法得到及時(shí)響應(yīng)，造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提升。

4 校園網(wǎng)絡(luò)安全策略探討

為使智慧校園平臺建成之后能穩(wěn)健運(yùn)行，應(yīng)制定行之有效的安全策略。好的安全策略應(yīng)從軟硬件設(shè)施、用戶、管理制度等方面來進(jìn)行制定，通過對校園網(wǎng)絡(luò)安全隱患的分析，可以從以下幾個(gè)方向防范、處理可能出現(xiàn)的安全問題：

4.1 硬件設(shè)備保護(hù)

為了保證校園網(wǎng)絡(luò)能良好運(yùn)行，服務(wù)器及主要硬件設(shè)備必須能夠穩(wěn)定、安全地運(yùn)轉(zhuǎn)。因此放置硬件設(shè)備的機(jī)房應(yīng)做好防水、防火等工作，機(jī)房管理者同時(shí)也應(yīng)保管好機(jī)房相關(guān)鑰匙，禁止非工作人員出入，防止人為地對服務(wù)器造成破壞，影響網(wǎng)絡(luò)正常運(yùn)行。為保證服務(wù)器全天候工作，機(jī)房還應(yīng)配置應(yīng)急電源或使用雙電源系統(tǒng)，使斷電時(shí)也能維持網(wǎng)絡(luò)運(yùn)行。

4.2 軟件系統(tǒng)防范

（1）及時(shí)安裝補(bǔ)丁

目前校園內(nèi)服務(wù)器采用的是微軟的Windows 網(wǎng)絡(luò)操作系統(tǒng)，因此管理員要時(shí)刻關(guān)注微軟公司的官方網(wǎng)站，及時(shí)下載并安裝最新補(bǔ)丁，防止黑客通過操作系統(tǒng)的漏洞進(jìn)行攻擊。

（2）配置防火墻，更新殺毒軟件

防火墻是網(wǎng)絡(luò)安全防范措施的重要組成部分。校園網(wǎng)絡(luò)必須設(shè)置防火墻，對外網(wǎng)用戶的訪問進(jìn)行一定限制，同時(shí)也密切關(guān)注內(nèi)網(wǎng)用戶對外部網(wǎng)絡(luò)的訪問，檢測出不安全服務(wù)，最大限度的防范黑客的攻擊，降低風(fēng)險(xiǎn)[2]。校園網(wǎng)內(nèi)所有通過防火墻的訪問都會被記錄到日志中，如有可疑操作，可通過日志排查，過濾網(wǎng)絡(luò)中不安全的因素。

計(jì)算機(jī)病毒首要攻擊的目標(biāo)主要在于保存重要數(shù)據(jù)的中心結(jié)點(diǎn)的服務(wù)器，因此殺毒軟件應(yīng)及時(shí)更新病毒庫，定期查毒殺毒，對服務(wù)器的開放端口進(jìn)行檢測。由于智慧校園平臺應(yīng)用模塊繁多，在不同操作模塊中均應(yīng)安裝統(tǒng)一的殺毒軟件，以便管理者統(tǒng)一升級。

4.3 加強(qiáng)網(wǎng)絡(luò)管理

（1）采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)可以對網(wǎng)絡(luò)數(shù)據(jù)的傳輸進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)未授權(quán)傳輸時(shí)可以發(fā)出警報(bào)或采取響應(yīng)措施，對可疑傳輸進(jìn)行限制，保證網(wǎng)絡(luò)安全。校園網(wǎng)絡(luò)中可以同時(shí)采用基于網(wǎng)絡(luò)、基于主機(jī)的入侵檢測系統(tǒng)，使用混合式檢測，這樣可以更加全方位地構(gòu)建安全防御體系。

（2）使用VLAN 技術(shù)。學(xué)校可以使用VLAN（局域網(wǎng)虛擬技術(shù)）來加強(qiáng)校園網(wǎng)的內(nèi)網(wǎng)管理。通過對局域網(wǎng)中不同的應(yīng)用模塊與不同的安全級別，按邏輯劃分網(wǎng)段并隔離，實(shí)現(xiàn)不同網(wǎng)段間的訪問控制，進(jìn)行分布式管理[3]。為提高網(wǎng)絡(luò)的安全性能，不同類型的內(nèi)網(wǎng)用戶也應(yīng)劃分不同網(wǎng)段，通過網(wǎng)關(guān)保證安全有效的信息過濾，使網(wǎng)絡(luò)能夠處在相對安全的狀況下運(yùn)行，防止病毒、木馬在不同網(wǎng)段間的快速傳播。

（3）使用數(shù)據(jù)加密技術(shù)。對校園網(wǎng)中需要傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行明文加密，通過加密密鑰使之轉(zhuǎn)變?yōu)槊芪模邮辗皆偻ㄟ^解密密鑰還原成明文[4]。數(shù)據(jù)經(jīng)過加密后，在傳輸過程中均以密文方式傳送，如有數(shù)據(jù)被攔截、竊取的情況，攻擊者也無法解密密文，讀取信息。數(shù)據(jù)加密技術(shù)不僅可以防止不懷好意者了解數(shù)據(jù)的具體內(nèi)容，還可以判斷數(shù)據(jù)是否受到篡改，保證了校園網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（4）解決IP 盜用問題。為解決可能會出現(xiàn)的IP 盜用問題，需要在路由器上將MAC 地址與IP 進(jìn)行捆綁，登記地址表。當(dāng)某個(gè)IP 需要訪問Internet，數(shù)據(jù)通過路由器時(shí)，路由器會檢查發(fā)出該數(shù)據(jù)的工作站的MAC 地址是否與路由器上記錄的地址表相符合，若是符合的，那路由器將放行數(shù)據(jù)，否則將禁止該數(shù)據(jù)通過路由器，并給發(fā)出數(shù)據(jù)的工作站返回警告信息。

（5）定期備份、維護(hù)服務(wù)器。為了防止系統(tǒng)、網(wǎng)絡(luò)故障或是人為的非法操作，服務(wù)器上的重要文件需要定期進(jìn)行備份存檔。管理員可以使用RAID 方式定期備份文件資料，也可以使用備用服務(wù)器或是光盤備份重要資料。在日常服務(wù)器使用過程中，還應(yīng)定期清理服務(wù)器上過期、無用的資源，保證服務(wù)器的高效運(yùn)行。

4.4 技術(shù)人員支持

學(xué)校在網(wǎng)絡(luò)管理方面必須有高水平的技術(shù)人員支持，可以通過引進(jìn)新人才或是對原有的網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn)[5]。高水平的技術(shù)人員可以通過各種手段維護(hù)服務(wù)器，管理網(wǎng)絡(luò)設(shè)置，處理安全問題，降低安全風(fēng)險(xiǎn)。

4.5 網(wǎng)絡(luò)安全管理制度完善

學(xué)校應(yīng)出臺校園網(wǎng)使用規(guī)定，規(guī)范內(nèi)網(wǎng)用戶使用校園網(wǎng)的正確操作，要求負(fù)責(zé)人員做好維護(hù)、保養(yǎng)工作。同時(shí)應(yīng)提前做好網(wǎng)絡(luò)安全應(yīng)急相關(guān)預(yù)案，當(dāng)出現(xiàn)安全問題后使相關(guān)網(wǎng)絡(luò)管理人員能夠按照應(yīng)急機(jī)制做出正確處理，降低損失。

5 結(jié)束語

智慧校園平臺的建設(shè)是一個(gè)系統(tǒng)性工程，在校園網(wǎng)絡(luò)方面務(wù)必提供安全保障才能使這個(gè)龐大工程穩(wěn)定運(yùn)轉(zhuǎn)。在研究網(wǎng)絡(luò)安全策略時(shí)不能僅僅依靠傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的堆砌，應(yīng)從實(shí)際情況出發(fā)，考慮安全需求，根據(jù)需求采取對應(yīng)措施，將安全技術(shù)手段與管理制度結(jié)合起來，才能提供一個(gè)高效、穩(wěn)定、安全的校園網(wǎng)絡(luò)系統(tǒng)，支撐智慧校園平臺的運(yùn)行。