計算機網絡安全面臨的威脅與防范技術

文/喬暢 騫憲忠 曾超

（山西醫科大學 山西省太原市 030001）

研究生導師立德樹人評價體系平臺是高校教務系統的重要組成部分。在互聯網環境下，校園網絡平臺面臨著一定的安全風險，直接影響著立德樹人評價體系平臺的穩定運行。

在高校教務系統中，研究生導師立德樹人評價體系平臺主要用于記錄和自動統計校內各類導師人員在立德樹人中的考核結果，將其作為導師年度工作考核和工作量評定的重要依據。但是，在互聯網環境下，校園內部網絡與外網對接，易受到黑客攻擊、非授權訪問、網絡病毒入侵以及系統平臺漏洞等安全風險因素的影響，對立德樹人評價體系平臺構成安全威脅。為此，高校有必要針對立德樹人評價體系平臺構建起完善的安全防護技術體系。

1 立德樹人評價體系平臺概述

研究生導師立德樹人評價系統基于WAMP 平臺進行開發，采用PHP 程序設計語言、MySQL 數據庫管理系統和MVC 模式架構。本評價體系平臺的開發過程如下：

1.1 需求調研

利用軟件工程需求分析的方法，深入調研學校各學院研究生導師的日常管理工作內容，并整合研究生導師、研究生管理層、導師部門領導以及人事工作人員的需求，確定立德樹人評價體系平臺的設計理念、計算方法和功能模塊。

1.2 功能模塊

本平臺在整合使用者需求的基礎上，將平臺設計成五大功能模塊，具體包括基礎數據設置管理模塊、立德樹人申報模塊、立德樹人算分及結果模塊、多級審批模塊、人事統計模塊。在系統平臺的功能模塊中，需對研究生導師項目經費、科研論文、學術論著、研究成果獎勵、授權專利、成果應用、研究基地、學會任職、項目申報、學術交流等相關信息內容進行管理。

1.3 設計與運行

本平臺采用三層結構，如圖1 所示，具體包括：

（1）使用者層，用戶為研究生導師、研究生管理層、導師部門領導以及人事工作人員；

（2）業務邏輯層，包括上述五大功能模塊；

（3）數據訪問層，包括基礎數據、業務數據和管理數據。本平臺采用統一的數據接口，可與學校教務系統進行對接。

本平臺能夠對研究生導師教學工作、實驗工作、德育工作以及科研工作進行評價，完成對研究生導師的年度考核。

2 計算機網絡安全面臨的威脅

在開放式的網絡環境下，研究生導師立德樹人評價體系平臺的運行易受到計算機網絡安全隱患的威脅，出現平臺運行故障、信息丟失、數據篡改等問題。具體體現在以下方面：

2.1 黑客攻擊

立德樹人評價體系平臺運行于校園內部網，鏈接于外網，方便用戶利用內外部網絡登錄系統。在這種情況下，使得該平臺易受到黑客的攻擊，增大了計算機網絡安全風險。如，黑客針對Web 應用程序中的安全漏洞進行攻擊，向目標服務器發送大量垃圾信息，造成服務器超負荷運行，導致服務器死機，進而造成立德樹人評價體系平臺無法正常運行；黑客利用分布式拒絕服務攻擊（DDoS攻擊）對網絡服務終端進行入侵，致使主機無法正常獲取信息。

2.2 非授權訪問

立德樹人評價體系平臺以校園網為依托運行，只有擁有相應權限的人員，才能對本平臺進行訪問，而非授權訪問會對本平臺的運行安全構成一定的威脅。非授權訪問是在未經授權的前提條件下，對本平臺中的資源進行非法訪問，越權訪問也屬于非授權訪問的范疇。由此可能會導致本平臺中重要的信息丟失，并且還可能造成系統的安全機制遭到破壞。IP 地址欺騙及利用平臺漏洞獲得控制權是非授權訪問較為常用的兩種攻擊手段。

2.3 網絡病毒入侵

立德樹人評價體系平臺是一個依托校園網運行的計算機信息系統，并與外網相連接，由此使得該平臺容易受到網絡病毒的入侵，一旦有病毒侵入本平臺當中，輕則會對平臺的正常使用造成影響，嚴重時可能會導致整個平臺崩潰。由此可見，網絡病毒是本平臺運行中面臨的主要安全威脅之一。網絡病毒具有潛伏性、傳播性等特點，不僅如此，病毒的種類相對較多，還會不斷更新，并且部分病毒會產生變異，這在一定程度上增大了病毒入侵的防范難度。

2.4 系統平臺漏洞

立德樹人評價體系平臺在建立的過程中，程序編輯人員為了方便編程，會留下一些后門，當程序編寫完畢后，需要將后門全部關閉，如果某個后門沒有關閉，則會使其成為系統平臺的漏洞。而非法人員可以利用這個漏洞，對本平臺進行攻擊，從而使平臺的運行安全受到威脅。漏洞是本平臺自身的安全隱患，通過升級、更新等方法，能夠對漏洞進行及時修補，但若是忘記升級或更新，則會使漏洞始終存在，由此會給攻擊者入侵本平臺提供渠道，當攻擊者經漏洞侵入平臺后，除了能對其中的信息進行獲取之外，還能修改程序，將會給本平臺造成會毀滅性的打擊。

3 計算機網絡安全防范技術

3.1 登錄認證技術

為保證立德樹人評價體系平臺安全運行，防范網絡攻擊入侵行為，本平臺可采用令牌認證加密技術、生物特征認證技術等身份認證技術。針對本平臺可能面臨的定向威脅攻擊（APT 攻擊），可設計USB Key 定點登錄認證系統，提高本平臺的安全等級。USB Key 定點登錄認證系統只能由指定用戶使用特定的USB Key 和計算機登錄平臺，并且要求用戶輸入正確的Key PIN 碼，以完成登錄認證過程。在該認證系統中，只有用戶知道自己的USB PIN 碼，且USB Key 設置為只讀模式，不可刪除和修改。當用戶使用USB Key 和PIN 碼登錄系統時，USB Key 可向數據庫發出驗證請求，當序列號與預留用戶信息相符時，才能認定為客戶端用戶為合法用戶。通過在以德樹人評價體系中運用登錄認證技術，可有效防范APT攻擊入侵校園內部網絡。

3.2 物理隔離技術

為給立德樹人評價體系平臺提供一個安全的運行環境，并對來自于外網的威脅進行有效地防范和規避，本平臺可以采用物理隔離技術，這是一種較為有效的安全防范技術措施，通過它的應用能夠避免平臺中重要信息泄露的情況發生。

3.2.1 隔離卡

在本平臺中可加裝物理隔離卡，通過物理隔離卡能夠將平臺中的主機系統分成兩臺虛擬機，這樣便可以實現物理隔離。具體做法如下：在主機系統中增設一個的硬盤，以控制硬盤和切換網線的方法，在校園網與外網環境中匯總，使硬盤只對一個網絡有效，它的網絡物理連線為完全分離狀態，其中不存在公用的存儲信息，從而實現校園網與外網之間的物理隔離，這樣黑客很難經外網對本平臺進行攻擊，平臺的安全性得到保障。

3.2.2 隔離網閘

在物理隔離技術中，隔離網閘的效果非常好，并且相關的產品也比較多。因此，在本平臺中，可以安裝隔離網閘，由此可將校園網與外網的物理連接斷開，從而避免數據包在校園網與外網之間流動，網絡威脅隨之消除，平臺中重要信息的安全性得到保障。為使隔離網閘的作用得以最大限度地發揮，要選擇性能過硬的產品。可選用聯想網御SIS 系列產品，以此作為本平臺網絡鏈路層的物理隔離裝置，與普通的防火墻相比，該隔離網閘的安全性能更高。該隔離網閘采用的是專屬通信協議，能夠隨時完成校園網與外網的物理隔離。在數據信息傳輸方面，該網閘使用的是信息擺渡機制，大幅度提升數據傳輸的安全性。該網閘的操作系統為嵌入式，能夠確保平臺系統的安全性。

3.3 防火墻技術

立德樹人評價體系平臺是在校園網中運行，并與外網相連接，平臺的運行會受到來自于外網的威脅，為提高平臺的運行安全性，可對防火墻技術進行應用。防火墻是不同網絡間的訪問控制設備，能對網絡訪問行為進行控制。傳統的防火墻雖然在網絡安全防護方面具有一定的效果，但其缺陷較多。因此，可選用智能防火墻，此類防火墻適用于教育領域，能夠對網絡攻擊和高級威脅進行全面應對，它集多種防御能力于一身，如精細化訪問控制、深度應用識別、高性能應用層威脅防御等等，可對網絡中的異常行為進行自動分析，通過與云端聯動，可在網絡邊界構建起以大數據為核心的動態防御體系，并且可以針對全網威脅進行智能防御。智能防火墻采用的操作系統可靠性非常高，借助SMAC（安全管理分析中心）能夠對平臺中的所有網絡設備進行集中管理，可對安全策略進行批量下發，在提高網絡設備管理效率的基礎上，使網絡安全得到有效保障。

3.4 漏洞掃描技術

為避免立德樹人評價體系平臺中的系統漏洞給攻擊者提供入侵的渠道，本平臺可以對漏洞掃描技術進行應用。借助功能強大的漏洞掃描軟件，對本平臺中關鍵的網絡設備進行全面的漏洞掃描，如交換機、服務器、終端等。當軟件完成掃描之后，會自行對結果進行分析，從中找出存在的漏洞問題，提供相應的修補方案。為使漏洞掃描軟件的作用得以最大限度地發揮，可按照如下方案對掃描軟件進行部署：由于本平臺中的節點較多，為使掃描軟件能夠同時滿足不同節點的掃描需要，可將軟件安裝到本平臺中的高性能主機上，以此來實現全方位的漏洞掃描，從而達到增強系統平臺安全性的目的。為杜絕平臺中安全漏洞的產生，可引入虛擬主機IP 地址，并在這一基礎上對MAC 地址加以隱藏。因部分漏洞能夠通過升級和更新進行修復，所以要及時對系統進行升級，消除漏洞，不給攻擊者以可乘之機，保證立德樹人評價體系平臺的運行安全性。

3.5 入侵檢測技術

對于立德樹人評價體系平臺而言，非法入侵是其安全運行的主要威脅之一，為有效解決這一問題，本平臺可以采用入侵檢測技術。通過入侵檢測技術的應用，能夠對網絡傳輸進行實時監視，當發現其中存在可疑的傳輸時，入侵檢測系統會自行發出報警提示，并作出主動防御。為使入侵檢測系統在保障本平臺運行安全方面的作用得以最大限度地發揮，可以將入侵檢測系統安裝在交換機上。這是因為交換機中匯集了大量的網絡流量，并且外網也是經智能防火墻與交換機進行互連，從而使得交換機成為數據信息的重要節點，也是黑客非法入侵的主要對象。所以，為對入侵與攻擊行為進行全面監測，可將入侵檢測系統安裝在交換機上。除此之外，本平臺在管理上可以采用如下安全措施：信息分流、權限管理、密碼管理等，避免非授權人員對平臺內的重要信息進行訪問，進一步保證本平臺的運行安全。

3.6 防病毒技術

網絡病毒對立德樹人評價體系平臺的安全性具有一定的威脅，尤其是一些頑固和變異的病毒，為降低網絡病毒對本平臺安全運行的影響程度，可以采用防病毒技術。在本平臺中，對防病毒系統進行部署時，應當選取性能可靠的防病毒產品，通過對不同產品的技術性能進行比較，從中選出性價比最高的產品。如果沒有適合本平臺的產品，學校可與國內知名的廠商取得聯系，針對本平臺的特點，開發定制版的防病毒系統，這樣可以使網絡病毒的防范更加全面、具體。雖然定制版的防病毒系統開發需要投入一定的資金，但由于是量身定做，所以在病毒的防范上效果更佳，平臺基本上不會受到病毒的威脅，安全性得到保障。

4 結論

總而言之，高校要加強研究生導師立德樹人評價體系平臺的安全防范，在平臺安全防范體系建設中，合理運用登錄認證技術、物理隔離技術、漏洞掃描技術、入侵檢測技術以及防病毒技術等先進的防范技術，不斷提高系統平臺的安全防護能力，從而保證系統平臺安全、穩定運行，這對于平臺作用的發揮具有重要的現實意義。