校園局域網(wǎng)環(huán)境下計算機網(wǎng)絡(luò)安全防護(hù)措施

李果果

（長沙民政職業(yè)技術(shù)學(xué)院圖書信息中心 湖南 長沙 410004）

0 引言

網(wǎng)絡(luò)技術(shù)的普及化豐富了校園局域網(wǎng)的使用范圍，但同時也帶來了更多的網(wǎng)絡(luò)安全隱患。一旦有不法分子通過校園局域網(wǎng)的漏洞入侵到校園系統(tǒng)中，那么將會給校園系統(tǒng)的數(shù)據(jù)安全造成嚴(yán)重的威脅，導(dǎo)致校園數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)內(nèi)容的丟失、偽造等等。因此相關(guān)工作人員應(yīng)加強對于校園局域網(wǎng)計算機網(wǎng)絡(luò)安全的防護(hù)工作，并不斷優(yōu)化校園局域網(wǎng)計算機網(wǎng)絡(luò)安全防護(hù)措施，從而保證校園局域網(wǎng)的安全性，及校園局域網(wǎng)環(huán)境下的計算機網(wǎng)絡(luò)安全性。

1 校園局域網(wǎng)概述

1.1 校園局域網(wǎng)的基本結(jié)構(gòu)

一般情況下，對于校園局域網(wǎng)基本網(wǎng)絡(luò)結(jié)構(gòu)的分析，主要是從兩個方面進(jìn)行，分別為管理體系結(jié)構(gòu)與功能構(gòu)造[2]。下面分別對二者進(jìn)行分析，對于管理體系結(jié)構(gòu)來說，首先應(yīng)對校園局域網(wǎng)系統(tǒng)組成模塊進(jìn)行詳細(xì)、準(zhǔn)確的分析，并明確掌握各組成模塊的特點、功能；其次，應(yīng)明確網(wǎng)絡(luò)系統(tǒng)的內(nèi)在關(guān)系，即完成一個特定的服務(wù)需要哪些模塊參與，以及各個模塊之間的相互關(guān)系。對于校園局域網(wǎng)的功能構(gòu)造來說，是指以校園局域網(wǎng)為基礎(chǔ)的各項系統(tǒng)，如校園教育系統(tǒng)、校園教學(xué)資源系統(tǒng)、校園學(xué)生管理系統(tǒng)等。

1.2 校園局域網(wǎng)計算機網(wǎng)絡(luò)安全現(xiàn)狀

由于科技的不斷進(jìn)步，越來越多的數(shù)字信息化技術(shù)被廣泛地應(yīng)用于校園局域網(wǎng)中，如云計算技術(shù)、大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)等。同時，隨著近年來線上教學(xué)方式的普及，越來越多的學(xué)校開始嘗試在校園局域網(wǎng)環(huán)境下建立線上教學(xué)平臺。雖然校園局域網(wǎng)的應(yīng)用范圍更加廣泛，同時，校園局域網(wǎng)所面臨的網(wǎng)絡(luò)安全隱患也明顯增加，如賬戶信息泄漏、不良廣告彈窗等等，為教師與學(xué)生校園日常學(xué)習(xí)生活的平穩(wěn)性、安全性造成困擾。

2 校園局域網(wǎng)中計算機網(wǎng)絡(luò)安全潛藏隱患

2.1 內(nèi)部安全隱患具體分析

2.1.1 校園局域網(wǎng)系統(tǒng)存在漏洞

校園局域網(wǎng)系統(tǒng)所采用的硬件配置是校園局域網(wǎng)計算機網(wǎng)絡(luò)安全體系的重要組成部分。在校園局域網(wǎng)系統(tǒng)漏洞中，最易出現(xiàn)安全風(fēng)險的是硬件配置層面與安全策略層面。在硬件配置層面中，硬件設(shè)施的不合理配置、管理與檢修方法的不得當(dāng)?shù)榷紩?dǎo)致校園局域網(wǎng)出現(xiàn)安全風(fēng)險。在安全策略層面，如果校園局域網(wǎng)管理員缺乏對計算機網(wǎng)絡(luò)安全問題的重視，那么很有可能給黑客可乘之機，部分黑客可能會利用遠(yuǎn)程操控技術(shù)對校園局域網(wǎng)發(fā)起入侵。

2.1.2 規(guī)劃與設(shè)計不當(dāng)

校園局域網(wǎng)的運維與管理是一項長期、系統(tǒng)的工作，因此相關(guān)校園局域網(wǎng)管理工作者應(yīng)具備長遠(yuǎn)規(guī)劃的思維。如果缺乏長遠(yuǎn)規(guī)劃的思維，那么可能會導(dǎo)致一些問題在校園局域網(wǎng)建設(shè)完成后才被發(fā)現(xiàn)，此時如果作出大規(guī)模調(diào)整將會消耗大量的資金和時間，甚至需要對校園局域網(wǎng)進(jìn)行重新規(guī)劃建設(shè)，這都給校園局域網(wǎng)的計算機網(wǎng)絡(luò)安全防護(hù)工作造成困擾。

2.1.3 管理漏洞

通常情況下，校園局域網(wǎng)都是不對外開放的，但也有極少部分學(xué)校的校園局域網(wǎng)對外開放，這種非封閉式校園局域網(wǎng)對于使用群體并沒有嚴(yán)格的限制，因此造成大量的管理漏洞存在。另外，部分校園局域網(wǎng)的管理人員缺乏足夠的計算機網(wǎng)絡(luò)安全意識，不能及時發(fā)現(xiàn)一些隱性的黑客攻擊，導(dǎo)致校園局域網(wǎng)的網(wǎng)絡(luò)安全受到威脅。

2.2 外部安全隱患具體分析

2.2.1 網(wǎng)絡(luò)病毒的侵害

由于目前大部分學(xué)校的校園局域網(wǎng)仍然采用舊版Windows操作系統(tǒng)，而此類系統(tǒng)的功能較為落后，極易遭受網(wǎng)絡(luò)病毒的入侵，導(dǎo)致用戶信息財產(chǎn)損失。老師、學(xué)生及相關(guān)管理員等是校園局域網(wǎng)使用的主體，日常學(xué)習(xí)生活中離不開校園局域網(wǎng)的應(yīng)用，一旦其訪問的網(wǎng)站存在網(wǎng)絡(luò)病毒，很容易導(dǎo)致網(wǎng)絡(luò)病毒對整體校園局域網(wǎng)的入侵，最終導(dǎo)致校園局域網(wǎng)系統(tǒng)中的數(shù)據(jù)泄漏、丟失，該學(xué)校造成不可挽回的經(jīng)濟(jì)損失。另外，由于部分師生的網(wǎng)絡(luò)安全意識低下，其在瀏覽網(wǎng)頁時缺乏對可疑網(wǎng)址的辨別能力，因此造成網(wǎng)絡(luò)病毒的入侵；學(xué)生、教師在使用計算機時，通常都會使用外置儲存裝備，如U盤等，這種外置儲存設(shè)備的應(yīng)用，也一定程度上提升病毒入侵的風(fēng)險性。

2.2.2 黑客入侵

絕大多數(shù)新聞媒體將網(wǎng)絡(luò)黑客稱之為電子計算機侵略者，他們非法侵入電子計算機網(wǎng)址、對用戶賬號信息、文檔信息等利用不法手段進(jìn)行竊取、篡改。隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展與成熟，現(xiàn)已廣泛應(yīng)用于人們?nèi)粘Ｉ钪校c此同時互聯(lián)網(wǎng)遭到網(wǎng)絡(luò)攻擊的事情越來越多，對網(wǎng)絡(luò)安全導(dǎo)致巨大的威脅。在校園中，也有一些熟練掌握計算機網(wǎng)絡(luò)技術(shù)與編程技術(shù)的學(xué)生，出于無聊心理對本校的校園局域網(wǎng)進(jìn)行黑客攻擊，這樣校園局域網(wǎng)的計算機網(wǎng)絡(luò)安全也進(jìn)一步受到安全威脅。

3 校園局域網(wǎng)中計算機網(wǎng)絡(luò)安全風(fēng)險防范措施

3.1 入侵檢測防御技術(shù)的引進(jìn)

入侵防御系統(tǒng)（Intrusion Prevention System, IPS）技術(shù)是一種對互聯(lián)網(wǎng)中濫用權(quán)力對數(shù)據(jù)進(jìn)行盜取、損壞、篡改行為進(jìn)行檢驗的技術(shù)，入侵防御技術(shù)可以第一時間掌握校園局域網(wǎng)系統(tǒng)的異常情況，并及時向校園局域網(wǎng)管理員進(jìn)行匯報，從而提高計算機網(wǎng)絡(luò)的運作安全性[6]。該技術(shù)在檢驗到違法活動后，還可以對侵略者進(jìn)行警示，阻礙侵略者的進(jìn)一步入侵行為。入侵防御系統(tǒng)技術(shù)隨著神經(jīng)元網(wǎng)絡(luò)技術(shù)與決策支持系統(tǒng)的不斷發(fā)展得到了進(jìn)一步創(chuàng)新與優(yōu)化，目前，入侵監(jiān)測技術(shù)已經(jīng)能夠?qū)崿F(xiàn)以下功能：

對校園局域網(wǎng)用戶的行為進(jìn)行實時監(jiān)測與解析；對校園局域網(wǎng)系統(tǒng)漏洞進(jìn)行風(fēng)險評估；檢驗非法侵入與攻擊行為，對管理者進(jìn)行預(yù)警；對校園局域網(wǎng)系統(tǒng)中存在的異常現(xiàn)象進(jìn)行記錄，并通過大數(shù)據(jù)分析異常行為規(guī)律；對校園局域網(wǎng)系統(tǒng)數(shù)據(jù)的完整性進(jìn)行評估；對校園局域網(wǎng)用戶的行為進(jìn)行風(fēng)險判斷等。入侵防御系統(tǒng)技術(shù)的基本應(yīng)用原理詳見圖1。

圖1 入侵檢測技術(shù)應(yīng)用原理

3.2 服務(wù)器防火墻技術(shù)的引進(jìn)與應(yīng)用

防火墻技術(shù)，就是為校園局域網(wǎng)添加一個防護(hù)屏障，從而對通過防火墻的數(shù)據(jù)流進(jìn)行檢測、限制、變更等操作，降低校園局域網(wǎng)計算機網(wǎng)絡(luò)的安全隱患。如今，最為廣泛應(yīng)用的校園局域網(wǎng)防火墻為華為防火墻，在華為服務(wù)器的防火墻模塊中，存在以下四個基礎(chǔ)安全區(qū)：（1）T r u s t區(qū)域的互聯(lián)網(wǎng)受信水平最高；（2）D M Z區(qū)域為互聯(lián)網(wǎng)受信水平一般的地區(qū)；（3）Untrusty區(qū)域為互聯(lián)網(wǎng)非受信地區(qū)；（4）Local區(qū)域則是代表服務(wù)器防火墻本身，這四個區(qū)域的防護(hù)范圍都是在出廠時默認(rèn)設(shè)置的，在使用時無法對其進(jìn)行參數(shù)的變更或刪除操作。在瀏覽器中鍵入華為防火墻的IP地址，鍵入賬戶密碼登錄，進(jìn)到服務(wù)器防火墻Web端管理流程，校園局域網(wǎng)管理員可以根據(jù)其具備的設(shè)置向?qū)нM(jìn)行局域網(wǎng)的建立，也可以從ACL中設(shè)定如192.168.2.0/0.0.0.255的某一局域網(wǎng)IP地址段。可設(shè)定容許或回絕某IP地址段對互聯(lián)網(wǎng)的瀏覽，同時，校園局域網(wǎng)管理員也可以設(shè)置相應(yīng)的黑名單與白名單，從而對是否可以訪問網(wǎng)絡(luò)進(jìn)行授權(quán)管理，另外，為了對不同的用戶設(shè)置不同的權(quán)限，校園局域網(wǎng)管理員也可以通過設(shè)置對應(yīng)密鑰的方式進(jìn)行權(quán)限分配[7]。

3.3 引進(jìn)電子計算機病毒預(yù)防技術(shù)

通常情況下，病毒預(yù)防工作主要采用病毒檢驗技術(shù)與病毒消除技術(shù)兩項技術(shù)來進(jìn)行。通過進(jìn)行有效的病毒預(yù)防工作來實現(xiàn)校園局域網(wǎng)系統(tǒng)遭受病毒入侵時，即時檢驗出侵入病毒，挑選針對的對策合理消除、殺死病毒。同時，病毒預(yù)防技術(shù)還可以與其他數(shù)字化信息技術(shù)相結(jié)合，如AI技術(shù)、大數(shù)據(jù)技術(shù)等，從而實現(xiàn)對校園局域網(wǎng)運行狀態(tài)的實時監(jiān)測與分析，保證校園局域網(wǎng)運行的穩(wěn)定性[8]。病毒查驗情況下，還可以使用防止技術(shù)，在校園局域網(wǎng)運行常態(tài)下，系統(tǒng)也對其進(jìn)行定時的病毒監(jiān)測與病毒查殺，提升校園局域網(wǎng)的安全性。病毒預(yù)防技術(shù)的應(yīng)用，有效提升了校園局域網(wǎng)對于病毒入侵的抵御能力，提升了病毒查殺的自動化水平，不僅保證了校園局域網(wǎng)系統(tǒng)運行的穩(wěn)定性，同時也節(jié)約了大量的人工成本與時間成本。教師、學(xué)生可以自行在電腦中安裝QQ電腦管家、360、火絨等殺毒軟件，增強自身個人電腦與校園電腦的病毒防御能力，防止自身在瀏覽網(wǎng)頁時遭受病毒入侵。對于一些利用普通殺毒軟件無法清除的病毒，可選擇采用專業(yè)殺毒工具進(jìn)行針對、有力的清除。

3.4 引進(jìn)數(shù)據(jù)加密技術(shù)

在校園局域網(wǎng)系統(tǒng)中，存在大量的信息數(shù)據(jù)，如教師、學(xué)生的個人信息、視頻、音頻、圖片、文檔等教學(xué)資源等。如果在此類信息數(shù)據(jù)的傳輸、儲存過程中沒有進(jìn)行數(shù)據(jù)加密，那么校園局域網(wǎng)在遭受病毒入侵時很容易導(dǎo)致數(shù)據(jù)信息的泄漏、丟失。而通過運用數(shù)據(jù)加密技術(shù)，當(dāng)校園局域網(wǎng)遭受黑客入侵時，也可以很好地保證信息數(shù)據(jù)的完整性與安全性，保證信息數(shù)據(jù)不被竊取或惡意篡改[9]。目前來看，對于文字類數(shù)據(jù)的加密技術(shù)已經(jīng)趨于成熟，針對文字類數(shù)據(jù)可以引進(jìn)現(xiàn)今前沿加密技術(shù)。

3.4.1 選取具有實用性的數(shù)據(jù)加密方案

針對安全性要求不高，校園活動與課堂教學(xué)照片等圖像數(shù)據(jù)，可進(jìn)行高效、安全的數(shù)據(jù)加密，提高數(shù)據(jù)安全性，減少數(shù)據(jù)加密的時間成本。同時，可對多媒體系統(tǒng)數(shù)據(jù)進(jìn)行分級分類加密，具體步驟如下圖所示。對于圖像數(shù)據(jù)的加密來說，需要先將圖像進(jìn)行分割，并將較為敏感的圖像字塊利用熵值計算的方式進(jìn)行獲取；在對音頻數(shù)據(jù)進(jìn)行加密時，可通過對音頻數(shù)據(jù)的預(yù)處理，來保障最后數(shù)據(jù)計算的準(zhǔn)確。

3.4.2 安全性優(yōu)先選擇的數(shù)據(jù)加密計劃方案

針對重要學(xué)術(shù)研究、師生個人隱私等非公開性質(zhì)數(shù)據(jù)加密時，可通過CNN混沌系統(tǒng)充分保障數(shù)據(jù)信息的安全性、保密性。對數(shù)據(jù)量相對較小的圖像數(shù)據(jù)，可使用Baker投射將圖像置亂，然后通過CNN混沌系統(tǒng)進(jìn)一步提高數(shù)據(jù)加密前的安全性、保密性。

4 校園局域網(wǎng)中計算機網(wǎng)絡(luò)安全管理

4.1 計算機設(shè)備的重點維護(hù)

在購買計算機硬件設(shè)施時，切忌盲目追求成本的低廉，而是應(yīng)以計算機硬件設(shè)施的質(zhì)量作為選擇標(biāo)準(zhǔn)，從而為校園局域網(wǎng)的運行構(gòu)建良好的計算機硬件設(shè)施環(huán)境，以防止因計算機硬件設(shè)施漏洞所產(chǎn)生的校園局域網(wǎng)安全隱患。同時，學(xué)校應(yīng)成立專門的校園局域網(wǎng)計算機網(wǎng)絡(luò)設(shè)備維護(hù)部門，指派能力較強、責(zé)任心較重的人員負(fù)責(zé)校園局域網(wǎng)計算機硬件設(shè)備的維護(hù)與管理工作。定期對計算機系統(tǒng)進(jìn)行安全檢查，及時更新系統(tǒng)、修補安全漏洞，對計算機設(shè)備實現(xiàn)規(guī)范的存儲，防止計算機設(shè)備的人為損壞，提高計算機互聯(lián)網(wǎng)使用的安全系數(shù)，詳見圖2。

圖2 多媒體數(shù)據(jù)分級加密流程

4.2 加強計算機使用者的信息技術(shù)素養(yǎng)

由于計算機使用過程中，無法保障使用者的計算機信息技術(shù)素養(yǎng)，常會使計算機網(wǎng)絡(luò)受到安全威脅。因此學(xué)校應(yīng)著手針對師生進(jìn)行計算機互聯(lián)網(wǎng)規(guī)范性應(yīng)用、計算機安全應(yīng)用意識培訓(xùn)，提升師生計算機信息技術(shù)素養(yǎng)。同時也需要加強校園局域網(wǎng)下計算機網(wǎng)絡(luò)安全的維護(hù)與檢測工作，計算機管理人員針對新知識、新技術(shù)進(jìn)行積極學(xué)習(xí)，并在計算機網(wǎng)絡(luò)安全管理中有效應(yīng)用，為校園計算機網(wǎng)絡(luò)安全提供多方面的有力保障.

4.3 健全計算機網(wǎng)絡(luò)安全管理方案

隨著互聯(lián)網(wǎng)大時代的發(fā)展步伐，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛地應(yīng)用于各行各業(yè)中，成為學(xué)校教學(xué)過程中不可或缺的重要手段。在這種背景下，為了進(jìn)一步提升校園局域網(wǎng)計算機網(wǎng)絡(luò)安全，學(xué)校相關(guān)部門應(yīng)盡最大努力，制定健全、高效、合理的校園局域網(wǎng)計算機網(wǎng)絡(luò)安全管理方案，同時通過系統(tǒng)培訓(xùn)加強教師與學(xué)生計算機信息技術(shù)使用的規(guī)范性，為校園局域網(wǎng)下的計算機網(wǎng)絡(luò)安全提供最大程度的保障。學(xué)校也可以將校園局域網(wǎng)計算機互聯(lián)網(wǎng)的運行維護(hù)與安全工作等崗位職責(zé)落實到個人，將校園局域網(wǎng)計算機網(wǎng)絡(luò)安全維護(hù)工作納入績效考核范圍，為校園局域網(wǎng)的計算機網(wǎng)絡(luò)安全打下良好的基礎(chǔ)。

5 結(jié)語

綜上所述，如今學(xué)校的教學(xué)工作越來越離不開校園局域網(wǎng)的參與，同時校園局域網(wǎng)所面臨的網(wǎng)絡(luò)安全威脅也越來越多樣，為了進(jìn)一步提升校園局域網(wǎng)計算機網(wǎng)絡(luò)的安全性與穩(wěn)定性，相關(guān)工作者就應(yīng)全面分析對校園局域網(wǎng)計算機網(wǎng)絡(luò)安全造成威脅的主要隱患，并采取行之有效的計算機網(wǎng)絡(luò)安全防護(hù)措施，保證校園局域網(wǎng)環(huán)境下的計算機網(wǎng)絡(luò)安全。