毛方明

浙江農(nóng)業(yè)商貿(mào)職業(yè)學(xué)院 浙江 312000

0 引言

校園網(wǎng)絡(luò)的應(yīng)用是衡量高職院校辦學(xué)效果的重要指標(biāo)，而其安全性則是影響成效的至關(guān)重要因素。在現(xiàn)有基礎(chǔ)上，如何讓不斷膨脹的數(shù)據(jù)信息流與網(wǎng)絡(luò)系統(tǒng)安全達(dá)到一個(gè)動態(tài)的平衡，使得校園網(wǎng)絡(luò)能夠更好的為師生教與學(xué)服務(wù)，這已成為高職院校當(dāng)前教學(xué)工作中的一個(gè)迫切問題。

高等職業(yè)院校作為教學(xué)、科研、實(shí)訓(xùn)、考核的場所，對于互聯(lián)網(wǎng)的應(yīng)用尤為重要，每天都有大量的數(shù)據(jù)傳遞、存儲和使用。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)是開放、互動、共享式的，再加上網(wǎng)絡(luò)技術(shù)本身不是很完善，存在技術(shù)缺陷和漏洞，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、木馬以及黑客的侵害。另外，高職院校的大學(xué)生，往往具有青年人強(qiáng)烈的好奇心、求知欲以及較強(qiáng)的動手操作能力，經(jīng)常會利用校園網(wǎng)絡(luò)進(jìn)行一些多角度、多方位的試驗(yàn)和實(shí)踐，這就使校園網(wǎng)絡(luò)產(chǎn)生了極大的安全負(fù)荷。

校園網(wǎng)絡(luò)安全至關(guān)重要。通常意義上的校園網(wǎng)絡(luò)安全可分為網(wǎng)絡(luò)系統(tǒng)安全和信息安全兩部分，主要包含硬件安全、軟件安全、運(yùn)行服務(wù)安全以及數(shù)據(jù)安全。其中，保證數(shù)據(jù)安全則是所有安全措施的根本目的。

1 網(wǎng)絡(luò)安全面臨的問題

1.1 技術(shù)層面

很多網(wǎng)站不注重安全防護(hù)，或限于資金匱乏，一些能夠保護(hù)網(wǎng)站運(yùn)行安全的硬件設(shè)施沒有配備，導(dǎo)致黑客訪問時(shí)如入無人之境。個(gè)別站點(diǎn)管理維護(hù)人員技術(shù)實(shí)力不夠，不知道如何應(yīng)付網(wǎng)絡(luò)攻擊或病毒感染，安全策略缺乏。

Internet上網(wǎng)站繁多，陷阱與危險(xiǎn)也是眾多，掛馬網(wǎng)站、釣魚網(wǎng)站時(shí)有發(fā)現(xiàn)。瀏覽部分網(wǎng)站會被有意無意地傳染計(jì)算機(jī)病毒或木馬，造成許多不良后果。

1.2 管理層面

管理和維護(hù)人員方面的投入明顯不足，一個(gè)高職院?？梢杂谐砂偕锨_計(jì)算機(jī)，而專職網(wǎng)絡(luò)安全維護(hù)人員只有寥寥幾人甚至一個(gè)也沒有。

據(jù)調(diào)查，70%的安全問題來自網(wǎng)絡(luò)內(nèi)部的攻擊。對于高職校園網(wǎng)絡(luò)而言，一種可能性是因?yàn)閷W(xué)生的好奇心而對校園網(wǎng)絡(luò)嘗試進(jìn)行攻擊。高職學(xué)生正處于身心發(fā)育成型時(shí)期，他們渴望嘗試、期望了解與之相關(guān)的一切信息，所以，對于學(xué)校網(wǎng)絡(luò)服務(wù)器的攻擊就成了一種了解校園、證明自我的有效方式。然而這種方式對校園網(wǎng)絡(luò)而言，危害極大。

2 網(wǎng)絡(luò)安全體系建設(shè)

針對高職院校的實(shí)際情況，為了保證校園網(wǎng)絡(luò)的正常運(yùn)行，除了增加資金投入外，還應(yīng)從多方面規(guī)劃，從而構(gòu)建一個(gè)安全、開放、穩(wěn)定的信息平臺，為師生的教學(xué)、生活服務(wù)。

2.1 成立網(wǎng)絡(luò)管理中心，統(tǒng)一規(guī)劃、管理、維護(hù)校園網(wǎng)絡(luò)

成立校園網(wǎng)絡(luò)管理中心，負(fù)責(zé)或指導(dǎo)校園所有網(wǎng)絡(luò)設(shè)置、布局、安裝、管理、維護(hù)等工作。這是解決網(wǎng)絡(luò)安全問題的關(guān)鍵。網(wǎng)絡(luò)管理中心主要完成下列工作：

(1) 規(guī)劃全校網(wǎng)絡(luò)布局，合理分配網(wǎng)絡(luò)資源。

(2) 負(fù)責(zé)或指導(dǎo)校園網(wǎng)絡(luò)的日常管理及維護(hù)。包括對各院、系網(wǎng)絡(luò)管理員進(jìn)行專業(yè)再培訓(xùn)；對師生進(jìn)行網(wǎng)絡(luò)安全教育；發(fā)布相關(guān)信息公告及系統(tǒng)資源下載，對學(xué)校機(jī)房進(jìn)行日常管理，等等。

(3) 制定相關(guān)管理制度，包括網(wǎng)絡(luò)管理員獎(jiǎng)懲制度、學(xué)生用機(jī)制度、用戶上網(wǎng)制度等。

(4) 學(xué)校網(wǎng)站的建設(shè)及日常管理、維護(hù)工作等。

2.2 統(tǒng)一身份認(rèn)證識別方式，確保有序上網(wǎng)

大學(xué)生思想活躍、好奇心強(qiáng)。同時(shí)高職院校又是一個(gè)集教學(xué)、科研、實(shí)訓(xùn)、考核、生活于一體的特殊場合。建立身份識別上網(wǎng)系統(tǒng)，對于規(guī)范學(xué)生上網(wǎng)行為，凈化網(wǎng)絡(luò)環(huán)境，防止某些關(guān)鍵信息、數(shù)據(jù)泄露或丟失，都是非常必要的。

要建立校園范圍內(nèi)一個(gè)統(tǒng)一的上網(wǎng)身份認(rèn)證識別系統(tǒng)，只有通過該系統(tǒng)才能連接上校園網(wǎng)，進(jìn)而接入Internet。建立全校性的用戶數(shù)據(jù)庫，包括用戶名、密碼以及學(xué)生詳細(xì)個(gè)人信息。學(xué)生必須通過該系統(tǒng)才能上網(wǎng)，同時(shí)系統(tǒng)自動生成日志，記錄相關(guān)上網(wǎng)時(shí)間、用戶名、IP地址、訪問歷史等基本信息。

使用該系統(tǒng)，如同在雜亂無章的市場上確立了一些必備的交易公德，讓學(xué)生知道在網(wǎng)絡(luò)虛擬社會也不能肆無忌憚、無法無天，減少了一些不必要的資源浪費(fèi)。這是現(xiàn)代高校管理校園用戶上網(wǎng)的一種流行趨勢。經(jīng)驗(yàn)證明，使用統(tǒng)一身份認(rèn)證識別系統(tǒng)，對于凈化網(wǎng)絡(luò)、校園有限資源的合理使用有著很大的推力。

2.3 設(shè)置用戶權(quán)限分級系統(tǒng)，按最小化原則進(jìn)行授權(quán)

根據(jù)不同的用戶需求，創(chuàng)建不同級別的用戶組，讓不同用戶得到不同的服務(wù)，從而使校園網(wǎng)得到最大的安全度。如果讓外網(wǎng)“游客”能夠輕而易舉地訪問校園網(wǎng)核心內(nèi)容，顯而易見，這就是一個(gè)安全性能低劣的站點(diǎn)。

在制定安全策略時(shí)，應(yīng)該遵守一條原則：盡可能地給用戶完成任務(wù)所需的最少的權(quán)限以及最小的服務(wù)。唯有如此，才會有最大的安全度。

例如，普通學(xué)生權(quán)限禁止修改計(jì)算機(jī)BIOS設(shè)置；機(jī)房管理員可以更改IP地址；唯有網(wǎng)絡(luò)管理中心允許在校園主頁上發(fā)布信息，等等。

2.4 防火墻技術(shù)

防火墻是絕大多數(shù)站點(diǎn)都采用的一種網(wǎng)絡(luò)安全保護(hù)技術(shù)。它是在校園局域網(wǎng)與外部 Internet之間建立了一道安全屏障，發(fā)生在內(nèi)外網(wǎng)間的所有數(shù)據(jù)流都必須強(qiáng)制性地接受這一保護(hù)層的檢查，只有被確認(rèn)的數(shù)據(jù)流才允許通過。

防火墻既可以對非授權(quán)外網(wǎng)用戶訪問校園網(wǎng)做出限制，也可以禁止校園網(wǎng)用戶對外網(wǎng)中的黑名單網(wǎng)站進(jìn)行瀏覽。另外，它同時(shí)對網(wǎng)絡(luò)動作進(jìn)行記錄，寫入日志中，并會提供相關(guān)訪問說明。

通過防火墻，我們可以設(shè)立禁止訪問的網(wǎng)站IP，設(shè)置敏感關(guān)鍵字、禁止訪問色情站點(diǎn)，監(jiān)控訪問記錄，阻擋部分網(wǎng)絡(luò)攻擊，從而降低了校園網(wǎng)的風(fēng)險(xiǎn)。

根據(jù)實(shí)際比較說明，購買一臺多功能的硬件防火墻產(chǎn)品，就可以極大地提升校園網(wǎng)絡(luò)的安全。

2.5 入侵檢測技術(shù)

入侵檢測系統(tǒng)(Intrusion Detection System，IDS) 是一種主動檢測技術(shù)，它通過分析網(wǎng)絡(luò)信息流、服務(wù)器日志、程序執(zhí)行等進(jìn)程對黑客的攻擊進(jìn)行監(jiān)測，而后做出相應(yīng)的安全策略，比如阻止源地址發(fā)出的訪問請求等。使用 IDS技術(shù)，能夠發(fā)現(xiàn)正在進(jìn)行的攻擊，并自動做出適當(dāng)?shù)姆磻?yīng)，以此來保護(hù)網(wǎng)站服務(wù)器?，F(xiàn)在的硬件防火墻一般都帶有IDS功能。

2.6 防病毒技術(shù)

病毒是現(xiàn)在網(wǎng)絡(luò)的一個(gè)常見病。按照業(yè)界的觀點(diǎn)，防病毒技術(shù)總是滯后于病毒技術(shù)，所以，最好的防病毒措施是盡可能的做到從源頭上控制病毒的傳染。

硬件方面，一般可以在 Internet接口處安裝硬件病毒網(wǎng)關(guān)，對外網(wǎng)數(shù)據(jù)流進(jìn)行檢查、過濾，這種方法可以有效地阻止病毒庫中已知的病毒，減少了資源損耗。還可以通過設(shè)置防火墻來阻擋攔截病毒。

另外，要對上網(wǎng)用戶進(jìn)行安全教育培訓(xùn)，禁止訪問非法或不安全網(wǎng)站，養(yǎng)成良好上網(wǎng)習(xí)慣。還可以在校園網(wǎng)的每臺計(jì)算機(jī)上安裝殺病毒軟件，定期升級病毒庫、定期查殺病毒。對于校園網(wǎng)來說，網(wǎng)絡(luò)版的殺毒軟件性價(jià)比顯然比單機(jī)版的要高得多。

2.7 入侵防御技術(shù)

我們可以采取多種技術(shù)手段來防御外部的攻擊，將躲避過防火墻及殺毒軟件的非法外部攻擊阻擋、攔截。

2.7.1 虛擬局域網(wǎng)(VLAN)

虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)是由位于不同物理局域網(wǎng)段的網(wǎng)絡(luò)設(shè)備組成。VLAN所連接的計(jì)算機(jī)一般來自不同的網(wǎng)段，但是相互之間可以進(jìn)行直接通信，就好像處于同一網(wǎng)段中一樣。通過VLAN，用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路，但可以減少部分網(wǎng)絡(luò)攻擊。

我們把整個(gè)高職校園網(wǎng)劃分為多個(gè)性質(zhì)相關(guān)的虛擬網(wǎng)并隔離，通過技術(shù)手段控制各個(gè)虛擬區(qū)域間的通信，把問題控制在相對較小范圍內(nèi)的網(wǎng)絡(luò)區(qū)域內(nèi)，從而能夠有效地防止危害擴(kuò)散到整個(gè)網(wǎng)絡(luò)。

2.7.2 地址翻譯

網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)，它允許內(nèi)部網(wǎng)段以一個(gè)公用IP地址出現(xiàn)在Internet上，是一種把內(nèi)網(wǎng)地址翻譯成合法外網(wǎng)IP的技術(shù)。通過地址轉(zhuǎn)換，可以隱藏內(nèi)網(wǎng)上主機(jī)的真實(shí)IP地址，不讓外部直接訪問對應(yīng)IP，從而提高網(wǎng)絡(luò)的安全性。

2.7.3 蜜罐

蜜罐是一種可以監(jiān)視觀察攻擊者行為的系統(tǒng)，其目的是為了將攻擊者的注意力從更有價(jià)值的系統(tǒng)引開，設(shè)置陷阱，增加管理者反應(yīng)時(shí)間，讓其能對網(wǎng)絡(luò)入侵及時(shí)布控。

可以在一些關(guān)鍵部門或站點(diǎn)處設(shè)置蜜罐，從而增加系統(tǒng)的安全性。

2.8 信息加密

利用一定的加密算法，將信息轉(zhuǎn)換成不可直接讀取的秘文，以防止非法用戶獲取和理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。理論上，一種優(yōu)秀的加密算法，攻擊者可能窮盡一生也不能破解。因此，即使數(shù)據(jù)被竊取，也毋需擔(dān)心信息安全問題，這是一種主動的信息安全防范措施。

信息加密往往用在比較重要的部門或數(shù)據(jù)，比如院長室、招生辦、教務(wù)處、學(xué)生處等等。

2.9 創(chuàng)建數(shù)據(jù)備份，定人、定時(shí)、定機(jī)器備份

數(shù)據(jù)備份，是指為防止系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，將全部或部分?jǐn)?shù)據(jù)復(fù)制到其它的存儲介質(zhì)的過程。高職校園網(wǎng)絡(luò)因?yàn)槭芄艋虮徊《靖腥荆嬖谥罎⒌目赡苄?。為了保證能快速的恢復(fù)網(wǎng)站的正常運(yùn)行，數(shù)據(jù)備份是必不可少的一個(gè)環(huán)節(jié)。為此，應(yīng)該專人定期對所有服務(wù)器資料進(jìn)行備份，將其備份數(shù)據(jù)存入專用的存儲區(qū)域或其它機(jī)器。要注意的是，有時(shí)候不僅僅是對數(shù)據(jù)文件的備份，還要對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行備份，只有這樣，才能在系統(tǒng)崩潰后快速地恢復(fù)原狀。

3 結(jié)束語

高職院校的發(fā)展離不開網(wǎng)絡(luò)，而網(wǎng)絡(luò)的發(fā)展卻是建立在信息安全基礎(chǔ)之上的。要從技術(shù)與管理兩方面著手，盡可能的把高職校園網(wǎng)絡(luò)建設(shè)成為安全、開放、可擴(kuò)展的信息平臺。只有信息安全了，才能進(jìn)一步讓網(wǎng)絡(luò)為師生服務(wù)，讓信息流暢到校園的每一個(gè)角落。

[1]李旭良,任曉黎,李欣.校園網(wǎng)安全管理中的問題與對策[J].白求恩軍醫(yī)學(xué)院學(xué)報(bào).2010.

[2]毛方明.中小型網(wǎng)絡(luò)信息安全策略[J].企業(yè)技術(shù)開發(fā).2009.

[3]蔣建春,楊凡,文偉平等.計(jì)算機(jī)網(wǎng)絡(luò)信息安全理論與實(shí)踐教程[M].西安電子科技大學(xué)出版社.2005.

[4]劉春生.高職院校網(wǎng)絡(luò)安全防范體系的構(gòu)建[J].職業(yè)技術(shù)教育.2008.

[5]梁亞聲,王永益.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)教程[M].北京：機(jī)械工業(yè)出版社.2004．

[6]甄靜.高職院校網(wǎng)絡(luò)安全現(xiàn)狀及防護(hù)策略綜合分析[J].遼寧高職學(xué)報(bào).2010.

[7]周宇.校園網(wǎng)絡(luò)安全工程的實(shí)踐與研究[D].華東師范大學(xué).2007.

[8]侯振興.主動型網(wǎng)絡(luò)安全防御技術(shù)分析[J].甘肅科技.2006.