高校計算機網絡信息安全及防護策略

梁艷 李亞亭

（1.新疆醫科大學厚博學院 新疆維吾爾自治區克拉瑪依市 834000 2.新疆師范大學 新疆維吾爾自治區烏魯木齊市 830017）

在人們的生活、工作中計算機發揮出了非常重要的作用和價值，計算機網絡在帶給人們便利的同時，也給人們帶來了一些問題，其中最為明顯和突出就是計算機網絡信息安全問題，對人們的生活和工作產生了很大的困擾。所以，完善計算機網絡信息安全系統，提高計算機網絡的安全成為計算機網絡安全工作人員需要重點思考的問題。計算機網絡有著很強的開放性，所以，網絡信息的安全性受到了很大的威脅和挑戰。基于此，本文以高校計算機網絡信息安全及防護措施為研究對象，對提高高校計算機網絡信息安全進行了詳細的分析和討論。

1 高校計算機網絡信息安全的意義

1.1 保障高校教學活動的有序開展

隨著科學技術在教育領域中的廣泛應用，我國高校使用計算機網絡教學成為一種普遍現象，在教學過程中，網絡中的豐富信息和數據資源為教學工作的開展提供了眾多的便利[1]。但是，如果高校計算機網絡中出現了一些信息安全威脅，那么勢必會影響到高校教學的質量，所以，加強高校計算機網絡信息安全對確保高校教學活動的開展提供了重要的技術支撐。

1.2 為高校信息化建設提供基礎保障

高校信息化建設需要安全完善的計算機網絡信息環境，所以，只有保障高校計算機網絡信息安全，才可以實現高校信息化的發展。

1.3 凈化高校校園網絡環境

良好的校園環境對提升學生們的思想品德和道德素養有著非常重要的作用。在計算機網絡信息時代的發展下，大學生們和網絡的接觸日益緊密，但是網絡中的不良文化會對大學生的價值觀、人生觀和世界觀產生很大的不良影響，所以，加強高校計算機網絡信息安全，可以在很大的程度上凈化校園網絡環境，避免一些不良文化對大學生產生干擾，從而構建起潔凈的校園網絡環境[2]。

2 高校計算機網絡信息安全現狀及需求

2.1 高校計算機校園網絡信息安全現狀和問題

2.1.1 校園網絡信息安全建設的現狀

現在，在我國很多高校中，校園網絡主要的類型是星型拓撲結構，主要是在學校各個教學樓和宿舍樓之間鋪設光纜，和網絡、電信等第三方之間建立起合作關系，并根據技術的完善情況來進行網絡優化和升級，目前，各大高校中已經實現了千兆光纖。

2.1.2 校園網絡系統安全保護等級

按照《信息系統安全等級保護頂級指南》需要對學校的實際規模情況、影響力情況和學校網絡業務類型的情況進行分析，根據受到入侵后對學校師生、學校自身、其他組織、社會秩序、公共利益，以及國家安全的影響情況進行不同安全等級的劃分。而目前，大部分的高校校園網絡信息安全等級如表1所示。

2.1.3 高校網絡信息安全中的問題和不足

在各個高校信息化技術不斷發展的影響下，很多高校建立起了IDC機房、智慧化校園網絡等，對校園網絡信息的安全采取了一系列的措施和方法，但是，在網絡信息安全方面仍然存在著一些不足和問題。

（1）隨著學校的發展，學校的規模在不斷的加大，學校校園網絡中的用戶也在不斷的增加，出口帶寬也在不斷的優化和升級，信息存儲的空間也在不斷的加大，這些在無形中就增加了學校網絡信息安全的壓力；

（2）計算機系統管理越來越復雜，但是因為在安全管理上并沒有形成同意的設備管理和維護，一旦出現計算機感染病毒的情況，將會影響到其他網絡的安全；

（3）現階段，很多高校大學生們對新鮮事物的興趣都非常濃厚，對于網絡新鮮事物的探索比較頻繁，如果沒有對其進行引導，學生們勢必會被網絡中的一些不良文化所誤導，在校園中傳播，再加上一些校園網絡中有很大的信息量，非常容易遭受到惡意系統的攻擊，對校園網絡產生不良的影響；

（4）校園網絡的環境是開放的，每個學校中都會有很多教學和科研實驗室，這些實驗室大多是開放式的，在管理上有所欠缺，這樣就為惡意系統的攻擊創造了便利條件，但是，如果對這些實驗室過于限制，在很大程度上會限制各種科研技術和教學成果的共享和使用[3]。

表1：校園網絡信息系統安全等級一覽表

表2：主機安全檢查范圍表

表3：DMZ區域服務器巡檢工作內容

2.2 高校計算機網絡信息安全技術的需求

從技術的角度上來說，高校計算機網絡信息安全設計需要具備應用安全層、數據安全層、網絡安全層、主機安全層、物理安全層等多項技術，以此來保障高校計算機網絡信息安全。

（1）物理安全層主要是對計算機各種硬件基礎設施的安全防護，避免因人為、自然災害受到損害。通常情況下，物理安全層的設計建設需要滿足配點要求、環境要求、照明要求接地系統要求等。

（2）網絡安全層主要是指需要對高校的通信安全進行解決，如訪問控制的部署、機密的認證、病毒防御和相關的入侵檢測等。如果按照劃分區域隔離和訪問控制的需求，需要對不同安全等級的系統進行隔離劃分，并且還要對不同區域的通信業務進行授權控制，可以使用VLAN、VPN等隔離技術。在入侵檢測和防御方面，需要跳過防火墻的攻擊防御厚，進行相關的防御措施。

（3）主機安全層指的是校園計算機網絡信息安全中，不同操作下的系統安全需求。主機安全層可以更好的保障校園網絡信息安全。一般情況下，學校主機安全檢查包括表2中的內容[4]。

（4）應用安全層；指的是計算機主機中所有的應用軟件，需要對這些軟件登錄、使用、退出等操作進行記錄，對一些非法的訪問及時通知系統管理員，并在發生安全隱患的情況下提供舉證參考。

（5）數據安全層是指高校正常教學、科研、以及其他業務正常運行的基礎，所以，要保障其完整性、保密性和安全性。

（6）安全管理層指的是高校計算機網絡安全中專業的技術管理人員和管理部門。對學校計算機網絡信息的安全需要采取一系列的保護措施。

3 高校計算機網絡信息安全策略

3.1 設計完整的校園網絡信息安全防護整體方案

首先，要設計符合學校網絡安全的網絡拓撲；以保護學校的信息系統為主，根據學校的網絡保護等級的標準來進行拓撲設計和建設，把高校網絡信息系統分為一個主干網絡和多個安全區域，其中主干網絡要實現高校各個干網網絡的相互連通，另外一些安全區域要形成外網區域、內網區域和DMZ區域；外網區域主要是指防火墻外聯區域，保障用戶對外網資源的訪問安全；內網區域是防火墻內部聯系區域，主要連接的是高校中的所有本地計算機主機；DMZ區域是一組服務器，形成的是對外開放訪問資源的接入性服務。

其次，科學選擇合理的設備；在進行設備選擇時要以節約資源經費的原則，要從防病毒官網、防火墻、入侵防御、上網行為管理與流控、漏洞掃描和機房動力環境監控系統、以及WAF等方面進行選擇。

另外，在進行防御設計的過程中，高校計算機網絡信息安全防御主要是以整個網絡環境的變化情況和技術的完善來進行優化和完善的，所以，在進行防御設計的過程中，需要堅持整體性原則，按照需求、代價和風險平衡的原則，分級授權和整體性綜合分析的原則，便于用戶使用的原則，可實施的原則，靈活適應性原則，可維護評估的原則來進行設計。

3.2 網絡安全層的設計

（1）合理劃分VLAN；要對計算機網絡中的IPv4和IPv6地址進行合理的劃分和管理，從最早的自動獲取逐漸發展，最終取代代理和NAT，實現各個樓宇、教室、宿舍和機房等空間的計算機智能設備地址的認證和關聯性的管理，讓無序和無規律的地址區域劃分更加合理化。

（2）安裝VPN設備；加強學校計算機網絡信息安全，還需要在學校網絡出口旁路的位置設置1臺VPN設備，同時管理人員還需要多設置一些訪問賬戶或者是多個服務器，這樣外部用戶在進行訪問的過程中，就需要得到該計算機訪問的授權資格，形成一種獨立的加膜隧道。一些信息數據僅可以在隧道內部進行傳輸，這樣在很大的程度上提升了計算機網絡信息的安全性，同時還保障了訪問權限的內部活動[5]。

3.3 完善主機安全層設計

在進行主機安全層設計的過程中，服務器安裝的操作系統包括了Windows系統、Linux系統、Unix系統等等，在這些系統安裝結束之后，需要定期對這些系統進行漏洞系統的掃描，不斷的優化補丁，保障系統的安全性。

高校中計算機的使用量是非常大的，所以，學校信息化建設部門需要對各自層面的安全進行保障，在解決安全問題的基礎上，還要在校園中積極組織和開展計算機網絡信息安全知識的講座，根據高校計算機網絡信息的實際使用情況來進行相關內容的宣傳和介紹；例如，在Windows系統中，要從以下幾個方面來實施；

（1）保障每一臺計算機中所安裝使用的系統和應用軟件都是正版系統；

（2）在進行相關安全配置測試的過程中，要嚴格的按照服務器系統的安全配置來實施；

（3）對日志，以及日期記錄功能的信息存儲在3個月以上；

（4）定期對各個計算機系統中的補丁和漏洞進行安全補丁升級；

（5）確保計算機防火墻系統的正常運行，關閉一些存在安全隱患的窗口；

（6）定期對計算機系統進行漏洞的安全掃描和檢查；

（7）對病毒查殺軟件及時進行更新；

（8）對終端系統的上網行為進行IDP設備和管理設備的檢測和防護。

此外，還要對DMZ區服務器進行相關的巡檢工作[6]，如表3所示。

4 結語

高校計算機網絡信息安全直接關系到高校的教學質量和科研成果的安全，在一定程度上還關系到社會公共利益的安全，所以，要加強高校計算機網絡信息安全防護工作，根據高校計算機網絡信息安全的現狀和其中存在的問題，不斷的完善計算機網絡信息安全設計，提高計算機網絡信息安全防范水平，為高校教學工作的開展提供良好的環境，為大學生的健康發展提供有力的保障。