高校網絡信息安全等級保護措施分析

劉力維

（吉林外國語大學 信息技術中心，吉林 長春 130117）

0 引言

在信息技術蓬勃發展不斷壯大的當今社會，在高校的網絡信息平臺中對校園全體師生信息和科研數據等保護至關重要。建立科學專業系統的網絡信息安全保護和評測等級，對構建現代化、數字化校園建設具有極為深遠的意義。高校是培養人才的基地，隨著信息化建設的持續發展壯大，大數據、云計算等新興信息技術為人才培養和學術研究貢獻了諸多力量。而在校園及其信息系統逐漸增速發展的道路上，一些偽基站、木馬注入等網絡攻擊也時有發生，對校園網絡安全和師生信息安全構成極大威脅。因此，保障高校網絡信息系統的安全，創建相應的等級保護措施，是所有信息化高校都在研究的重點問題[1]。

1 高校信息系統安全現狀

1.1 系統漏洞以及網絡協議的缺失

系統漏洞的存在會使得黑客乘虛而入，進而攻擊高校網絡系統，損害高校信息數據安全。但是至今，無論任何操作系統都沒有百分之百的安全，都會存在些許漏洞，因此高校需要不斷進行修補和完善。首先，高校信息網絡管理員需要強化用戶登錄認證，并相對限制用戶權限范圍，所有不合常理的IP登錄地址訪問都要禁止。其次，因為網絡協議本身具有公開透明的特點，其自然就存在諸多安全風險，例如黑客可以利用大量抓包工具截取傳輸的信息數據等。以此，各種黑客手段的行為，都會對高校的信息系統造成影響[2]。

1.2 計算機病毒攻擊

科技在進步，隨之而來的計算機病毒類型也愈加頑固，其攻擊方式各有不同，經常出現的情況為一臺電腦被病毒侵占，其他所有聯系的電腦都會出現同種情況。這些計算機病毒可長期潛伏在電腦之中，占據大量內存，使得計算機運行超載，而且會占據大量帶寬，造成網絡卡頓的現象，在長時間運行下會嚴重消耗電腦資源[3]。

1.3 內網用戶的蓄意攻擊

就目前情況來看，很多高校師生都還沒有形成嚴謹良好的電腦病毒防范意識，有些內網用戶則會以訪問或者預攻擊的手段進行越界探訪，對高校信息系統造成嚴重影響。總體來說，內網、外網、黑客等對于校園網絡系統存在的攻擊心理和行為，都會影響校園網絡系統的正常運行，嚴重者會損傷高校對外形象。

2 高校校園網絡安全防護建設原則和目標

為了保證高校校園網絡的安全正常使用，網絡安全防護需要遵循以下幾方面原則：首先，達到需要和風險持平狀態，因為就網絡環境來說，安全系數無法達到百分之百，那么也就不存在絕對風險的侵擾。因此，在對網絡進行防護保障之時，要充分保障其可能存在的風險類型和概數，也要根據高校實際需求進行平衡考量。其次，縱觀整體網絡安全工程，系統劃分安全防范措施在網絡防御中可起到的不同效果，后續采用統一規劃，根據高校對信息網絡的鋪設用量需求，以點到面的改造方式進行建設。再次，還要堅持多重保護原則，伴隨高校信息化進程的推進，校園網絡的服務扇面一再擴充，片面的網絡邊界已然無法滿足大量的安全需求，因此需要將層出不窮的上網行為逐漸添加至安全管理中。最后，要將管理和技術方面持并重態度，這樣才可能高效實現信息系統中設計和運維等多種技術的綜合防范目標[4]。

3 高校校園網絡安全防護方案的技術和規劃

3.1 關鍵技術

3.1.1 主動防火技術

VPN技術，即立足于公共網絡之上，搭建起一條專用的網絡通道，保證利用該網絡的用戶和遠程用戶之間的通信安全。其中最常見的類型為VPN隧道協議中的IPsec，這是當前受眾最多、應用性能最高的協議。但是各大高校需求不盡相同，所以高校網絡的VPN網絡設備以及具體協議都可以遵從實際需求進行選擇。例如現在各大高校都可以分設為多個校區，在這種情況下，在VPN網絡設備的選擇上可以采用二合一共用網絡設備。VLAN可以做到實現網絡的分段，也就等于降低因地域不同出現的雙額費用。或者高校管理者也可以將同一個VLAN分享給類似用戶，可以直接提升管理力度[5]。

3.1.2 被動防護技術

傳統防火墻含有過濾性防火墻、代理型防火墻、復合型防火墻等。不同防火墻應用的位置設置不同，自然產生的效果也是不同的，但是無論哪種防火墻技術，對于僵尸網絡的定位和攻擊都束手無策。因此，二代防火墻更加注重網絡邊界和內部的隔離空間，并相應設置網絡安全管理區域，該區域只有曾經被授權的管理人才可以實現訪問，其他手段都等同于違法入侵行為。防病毒技術可以包含為病毒預防、檢測清除技術等，目前大部分高校網絡安全已經可以實現預防病毒體系。現代防病毒技術要求落實統一防病毒管理，這不但有利于病毒發現和清除，還能提升高校網絡運行安全系數。

3.2 網絡安全防護方案

上文已經闡述，單一的網絡防護手段已經無法滿足現在復雜的網絡環境，因此高校的網絡應該建設為多層級不同技術結合下的多效防護，在最大程度上實現高校網絡的安全防護工作。筆者經過查閱相關資料結合自身工作情況，設計了一種綜合性的安全管理計劃，并形成了不同管理等級和負責的相關內容。整體安全防御系統可以立足于傳統三層安全結構，同時分別將網絡基礎結構、邊界、內網以及遠程接入的安全設計也做出了大概的描述。其中，網絡基礎結構中的核心選用容量較大的三層設備，在物理上可以形成雙核心的萬兆光網，可以平衡網絡中的路由冗余和負載，提升高校網絡的穩定性和流暢性。在網絡邊界安全上，建議使用防火墻，并添加防病毒模塊，例如防護墻+對數據中心進行防御等。內網面臨的最大問題就是補丁和病毒防御更新不及時，所以要想保護內網安全，就要先行建立一個平衡內外網之間的體系。以此建議使用防護墻隔離不同的VLAN，對接入終端進行控制，以此可以使得內容具備更加豐富的安全性質。遠程接入可以利用VPN設備，輸入認證之后的用戶名和密碼進行等于校園內部資源庫。

4 結語

高校信息網絡的安全是高校科研和信息管理的首要屏障，高校的信息技術在不斷更新，信息工程安全的等級保護研究也要不斷更新和優化。網絡系統的安全防護是一個長期專業且漫長的過程。因此，工作人員要不斷規劃和建設網絡安全工作，給高校全體師生搭建一個安全流暢的信息系統。