職業院校網絡安全防護建設分析

羅全珍 李迎國 段小煥 王鵬

摘要：信息技術有效促進了職業院校的教學質量和管理效率，針對網絡安全面臨的風險，分析網絡安全防護建設的關鍵技術，并給出相關的安全防護措施。

關鍵詞：職業院校;信息安全;校園網安全防護

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1674-9324（2020）22-0365-02

云計算、大數據、物聯網、移動互聯網等新一代信息技術的飛速發展，有效推動了職業院校教育信息化的進程。然而，教育信息化在提高職業院校教學科研、行政管理效率的同時，也面臨著巨大的信息安全風險。國家互聯網應急中心（CNCERT）2018年公布的數據顯示，全年捕獲計算機惡意程序樣本數量超過1億個，全年計算機惡意程序傳播次數日均達500萬余次。

現階段，部分職業院校對校園網絡安全和信息安全的重視程度不高。例如校園網絡建設仍局限于有線網絡和無線網絡的暢通;僅限于購置防火墻用于網絡出口的保護;或者購置部署的防火墻、入侵檢測系統（IDS）、WEB應用防火墻（WAF）等安全設施大多采用缺省配置，沒能充分發揮應有的功能。隨著職業院校網站和各類應用平臺數量的不斷增加，其所受到的攻擊也越來越多。本文試圖對職業院校校園網安全防護建設的關鍵技術和主要內容進行探討，期望對相關職業院校或同行研究者提供參考借鑒。

一、信息安全面臨的主要威脅

（一）黑客攻擊

黑客一詞原本是指一群利用自己的技術專長滲透測試目標計算機，研究發現計算機和網絡漏洞的計算機愛好者。隨著黑客群體的不斷增多、黑客工具的不斷豐富，黑客技術逐漸被越來越多的人掌握，網絡攻擊的方式越來越多，受到攻擊的可能性也越來越大。沒有防火墻等網絡安全防護設備的網站或系統，很容易遭到黑客的攻擊和破壞。

（二）WEB漏洞

常見的WEB漏洞有SQL注入漏洞、命令注入漏洞、XSS漏洞、文件上傳漏洞、CSRF等。隨著WEB技術的廣泛采用，一些惡意軟件偽裝成WEB應用，讓傳統基于端口的協議識別變得無能為力。一般院校原有的傳統的安全措施主要集中在網絡層上，無法對應用層的WEB攻擊進行有效的監控和防護。師生在享受互聯網帶來的極大便利的同時，也面臨著日趨嚴重的安全威脅問題。

（三）DDOS攻擊

拒絕服務攻擊（DOS）是利用操作系統和網絡協議的一些缺陷，采用欺騙或偽裝的策略來進行網絡攻擊，通過消耗網絡帶寬或系統資源，使網絡或服務器不能提供正常的服務。對于早期的計算機網絡，服務器配置較低，網絡帶寬有限，利用一對一的DOS攻擊就可以實現。現如今，基于分布式、協同分布式拒絕服務攻擊（DDOS）更為厲害。DDOS攻擊可以分為流量型攻擊、連接型攻擊和特殊協議缺陷，常見攻擊手段有SYN泛洪（SYN Flood）、UDP泛洪、Http泛洪、Land攻擊、Smurf攻擊、淚滴攻擊、死亡之ping、CC攻擊等。

（四）其他方式的攻擊

除以上幾點，職業院校校園網及信息系統面臨的安全威脅還有很多，比如緩沖區溢出漏洞、口令暴力破解、網絡監聽、蠕蟲病毒、惡意軟件攻擊、內部人員攻擊等。

二、校園網安全防護的關鍵技術

（一）防火墻系統

防火墻是不同網絡間信息的唯一出口，根據校園網的安裝策略配置，對出入網絡的信息流采取允許或拒絕的處理，從而可以阻擋外部不安全因素，防止外部網絡用戶未經授權的訪問，保護內部網絡的安全。根據過濾和檢測方式不同，我們可以將防火墻分為包過濾型和狀態檢測型。

（二）密碼技術

對數據進行加密處理，是保護數據在傳輸、存儲、處理過程中安全可靠的重要手段。對稱密碼體制的加密密鑰和解密密鑰是相同的，因此，通信的雙方必須很好地保存他們共同的密鑰。常見的對稱密鑰算法有DES、3DES、AES、IDEA等。非對稱密碼體制也叫公鑰密碼體制，密鑰對中一個密鑰由所有者保管，稱之私鑰，另一個密鑰可以公開，稱之公鑰。當使用公鑰加密時，只有私鑰擁有者能用對應的私鑰解密;當用私鑰加密時，大家可以用對應的公鑰解密，這就是數字認證和簽名技術的基礎。公共密鑰體制中最著名的算法是RSA算法。

（三）認證技術

認證技術可以分為身分認證和報文認證。身分認證技術可以有效地對用戶身分進行識別，并分配相應的權限，其實施方式包括了RADIUS認證、WEB/POTRAL認證、PPPOE認證和802.1X認證等。報文認證主要是對數據真實性和完整性的驗證，比如MD5算法和SHA算法。

（四）VPN技術

VPN即虛擬專用網技術，是依靠ISP或NSP在公共網絡中建立安全的數據通信網絡。VPN技術對網絡的連接可分為傳輸模式和隧道模式。根據OSI協議層的不同，可以在數據鏈路層采用PPTP及L2TP技術實現VPN連接，在網絡層采用IPSEC VPN技術，在應用層采用SSL技術進行連接。

三、校園網安全防護體系建設

（一）部署高性能安全防護設備

目前常見的網絡安全設備有防火墻、入侵檢測系統、入侵防御系統、WEB應用防火墻、上網行為審計、統一威脅管理、安全網管等。部署這些專業的網絡安全防護設備，可以對用戶的異常行為進行模式匹配和檢測，識別和阻止SQL注入攻擊、跨站攻擊、批量掛馬、敏感信息泄露、盜鏈行為等，有效防護0day攻擊，可以進行關鍵字過濾、上網行為管理和審計、流量分析和優化，并能及時通過多種手段告知網管。

（二）保障移動互聯的安全接入

當前的無線網絡還沒有啟用準入機制，只在校園網出口進行準出認證，因此保障師生的無線終端接入安全很有必要。隨著校園無線網的快速建設，移動應用日趨豐富，校園網接入層應做好第一道安全關卡，使用完善的用戶及終端準入機制非常重要。無線網絡可以與核心BRAS系統進行聯動配合，實現準入和準出的一體化認證，同時能夠和學校現有的身分認證系統進行對接，實現無感知認證。

（三）統一安全運維管理平臺

部署統一、規范、高效的安全運維管理平臺，能夠對校園網中的網絡設備和安全設備進行管理，提供實時監控、事件快照、綜合分析、策略下發、統計分析以及日志審計等功能，能夠根據實時監控的網絡數據生成動態或網絡入侵行為來規范和管理網絡，方便院校管理人員隨時了解網絡安全狀況。

（四）建設信息安全等級保護

隨著等保2.0的到來，職業院校在信息系統建設和運維過程中，必須考慮系統的重要程度和保護等級，并選擇相關的安全保護措施，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或被竊取、篡改。建立統一的智能化網站安全監測管理平臺，對WEB業務的運行狀態進行監控，繪制網站安全地圖，通過圖形化界面快速定位有安全風險的網站，實時預知網絡可能發生的各種風險。提供網站歷史安全勢態的跟蹤功能，提供橫向安全對比報告便于監管人員對網站進行考評、跟蹤網站的安全處理情況。

四、結語

在校園網服務于教學、科研、生活和管理的同時，職業院校應充分認識網絡安全工作的重要性和緊迫性，全面實施信息系統安全等級保護制度，構建符合教育行業特色的安全標準規范體系。綜合運用新一代防火墻、入侵防御、WEB防護等技術實現校園網各種業務的安全防護。面對多樣化的移動智能終端，需要從安全接入、身分認證、權限控制、業務應用訪問、用戶數據保護等角度進行安全加固，確保師生可以隨時隨地安全快速地接入校園網，部署統一的安全運維管理平臺，提供對各種安全事件的全面管理，提高網絡的安全性、可管理性和可維護性。

參考文獻：

[1]王安.X高校智慧校園建設項目方案規劃與實施研究[D].青島：青島科技大學，2018.

[2]羅全珍.職業院校教育信息化建設方案淺析[J].科教導刊（中旬刊），2019，（05）：13-14.

[3]白海.“十三五”智慧校園建設研究[J].電腦知識與技術，2018， 14（15）：28-29+32.

[4]羅全珍，張燕州，張士輝，王瑋璟.高等職業院校ICT專業群建設探索[J].實驗技術與管理，2017，34（03）：158-160.

Analysis on the Construction of Network Security Protection in Vocational Colleges

LUO Quan-zhen， LI Ying-guo， DUAN Xiao-huan， WANG Peng

（Gansu Vocational and Technical College of Communications， Lanzhou， Gansu 730070， China）

Abstract： Information technology has effectively promoted the teaching quality and management efficiency of vocational colleges. Based on the risks faced by network security， this paper analyses the key technology of network security protection construction， and gives the relevant security protection measures.

Key words： vocational colleges; information security; campus network security protection

收稿日期：2019-10-24

基金項目：2019年度甘肅省職業教育教學改革研究項目“發揮甘肅省信息技術職教集團優勢，構建開放、共享、共贏的ICT人才生態體系”（編號：2019gszyjy-33）;2019年度甘肅省高等學校創新能力提升項目“基于以太網+云平臺+手機APP的家庭智慧安防系統設計與實現”（編號：2019B-266）

作者簡介：羅全珍（1981-）男（漢族），甘肅永登人，碩士研究生，甘肅交通職業技術學院講師、工程師，研究方向：信息安全、職業教育。