王園園

（淮北職業(yè)技術(shù)學(xué)院，安徽 淮北 235000）

1 網(wǎng)絡(luò)環(huán)境下威脅學(xué)校網(wǎng)絡(luò)信息安全的主要問題

1．1 信息管理系統(tǒng)的漏洞

在沒有經(jīng)過授權(quán)的情況下，用戶就可以獲得訪問信息管理系統(tǒng)的權(quán)限，或者可以提高訪問權(quán)限，這就是信息管理系統(tǒng)的安全漏洞，是計(jì)算機(jī)系統(tǒng)自身的硬件和軟件屬性，也可以看做信息系統(tǒng)自身的脆弱性。在校園信息管理系統(tǒng)中，其網(wǎng)絡(luò)結(jié)構(gòu)、防火墻和服務(wù)器中均潛在著安全漏洞。目前，我們已經(jīng)知道的系統(tǒng)安全漏洞就有一百多處，日后將會(huì)發(fā)現(xiàn)更多的安全漏洞。

1．2 計(jì)算機(jī)病毒的威脅

當(dāng)前網(wǎng)絡(luò)病毒的種類和數(shù)量越來越多，危害也更加嚴(yán)重，并且病毒的發(fā)生更為頻繁。計(jì)算機(jī)病毒一般會(huì)和黑客技術(shù)結(jié)合在一起，在計(jì)算機(jī)中毒后，容易出現(xiàn)服務(wù)器癱瘓、DoS攻擊等，并累及整個(gè)服務(wù)器。網(wǎng)絡(luò)病毒在以前多通過復(fù)制的方式進(jìn)入其他程序中，但目前大部分為蠕蟲病毒，他們可以在網(wǎng)絡(luò)中像蠕蟲一樣到處爬動(dòng)。部分網(wǎng)絡(luò)病毒中被植入了黑客程序，在入侵信息系統(tǒng)后，這些病毒可以對(duì)入侵系統(tǒng)進(jìn)行遠(yuǎn)程控制，進(jìn)而竊取重要信息。

1．3 外部入侵和內(nèi)部攻擊

學(xué)校信息管理系統(tǒng)受到來自外部的攻擊等惡意行為，部分系統(tǒng)在受到黑客等外部入侵或者攻擊后，可能變?yōu)楹诳屠玫墓ぞ?，然后再次攻擊其它?jì)算機(jī)。而學(xué)校信息系統(tǒng)的內(nèi)部攻擊主要是內(nèi)部用戶的不當(dāng)行為，內(nèi)部用戶的嘗試授權(quán)訪問、探測(cè)預(yù)攻擊等行為，如Satan掃描等都可能影響到校園網(wǎng)絡(luò)的正常運(yùn)行。

1．4 資源濫用和不良信息的傳播

校園網(wǎng)中的一些內(nèi)部用戶濫用網(wǎng)絡(luò)資源，如利用校園網(wǎng)下載商業(yè)資料等，這樣就讓大量校園信息資源被占用。同時(shí)一些用戶會(huì)在有意識(shí)或者無意識(shí)的情況下，在校園網(wǎng)絡(luò)中傳播不良信息，或者發(fā)送垃圾郵件，這些行為都增加了安全隱患。

2 學(xué)校信息管理系統(tǒng)的安全防護(hù)體系模型

學(xué)校信息管理系統(tǒng)的安全建設(shè)屬于一個(gè)系統(tǒng)而復(fù)雜的工程，需要根據(jù)信息系統(tǒng)的實(shí)際需求，構(gòu)建動(dòng)態(tài)的安全防護(hù)體系調(diào)整策略。信息系統(tǒng)的安全建設(shè)過程不屬于單純的技術(shù)問題，也并非將技術(shù)與產(chǎn)品簡(jiǎn)單堆砌在一起，而是需要我們積極轉(zhuǎn)變思想觀念，綜合策略、技術(shù)和管理等多方面的因素，進(jìn)一步形成動(dòng)態(tài)的、可持續(xù)發(fā)展的過程。學(xué)校信息管理系統(tǒng)的主要服務(wù)對(duì)象是教學(xué)和學(xué)生，而大學(xué)生是網(wǎng)絡(luò)中十分活躍的群體，因此，構(gòu)建校園網(wǎng)絡(luò)信息安全防護(hù)體系是十分必要的。本文結(jié)合P2DR模型，構(gòu)建出了一個(gè)動(dòng)態(tài)、多層次的校園網(wǎng)絡(luò)信息安全防護(hù)體系模型如圖1所示。

圖1 校園網(wǎng)絡(luò)信息安全防護(hù)體系模型

計(jì)算機(jī)系統(tǒng)中會(huì)出現(xiàn)很多新的漏洞，新的病毒以及黑客攻擊手法也不斷涌現(xiàn)，同時(shí)校園網(wǎng)絡(luò)自身也是動(dòng)態(tài)變化的，因此，在構(gòu)建好一個(gè)校園網(wǎng)絡(luò)信息安全防護(hù)體系后，網(wǎng)絡(luò)管理者必須對(duì)該防護(hù)體系進(jìn)行實(shí)時(shí)更新，并定期進(jìn)行維護(hù)，以此保障該防范體系的穩(wěn)定運(yùn)行，進(jìn)而保障校園網(wǎng)絡(luò)的安全性和有效性。在校園網(wǎng)絡(luò)信息安全防范體系中，將安全策略作為中心內(nèi)容，而安全技術(shù)為該體系提供支持，安全管理是一種執(zhí)行手段，并積極開展安全培訓(xùn)，提高用戶的網(wǎng)絡(luò)信息安全意識(shí)，以此讓安全防范體系得以不斷完善。在這個(gè)信息安全防范體系中，安全策略是最為基礎(chǔ)和核心的部分，它可以在檢測(cè)、保護(hù)等過程中指導(dǎo)和規(guī)范文件?？梢哉f該體系中所有活動(dòng)的開展實(shí)施，都是在安全策略的架構(gòu)下完成的。安全技術(shù)為信息安全的實(shí)現(xiàn)提供了支撐，其中涵蓋了產(chǎn)品、工具和服務(wù)等內(nèi)容。信息系統(tǒng)中常用的安全技術(shù)有入侵檢測(cè)、漏洞掃描和系統(tǒng)防火墻等，這些技術(shù)手段是安全防范體系中較為直觀的構(gòu)成部分，也是其中必不可少的內(nèi)容，缺少了任何一項(xiàng)都有可能引發(fā)巨大的威脅。由于學(xué)校的資金等條件有限，在構(gòu)建安全防范體系過程中，對(duì)于部分技術(shù)無法及時(shí)部署，這時(shí)候就需要以安全策略作為參考，制定合理的實(shí)施方案，讓所有的安全技術(shù)構(gòu)成一個(gè)有機(jī)整體。

3 建設(shè)校園網(wǎng)絡(luò)信息安全防護(hù)體系的目標(biāo)與策略

3．1 網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)目標(biāo)

根據(jù)學(xué)校信息管理系統(tǒng)中存在的安全問題，綜合考慮安全策略、技術(shù)和管理等多方面的內(nèi)容，制定出一個(gè)動(dòng)態(tài)的信息安全防范方案，并根據(jù)該方案構(gòu)建安全、穩(wěn)定、易于管理的數(shù)字化校園，保障學(xué)校信息管理系統(tǒng)的正常運(yùn)行，這就是網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)目標(biāo)。具體來講，就是首先提高學(xué)校主干網(wǎng)絡(luò)的穩(wěn)定性，以此保障校園信息系統(tǒng)的可靠性。其次，不斷完善學(xué)校網(wǎng)絡(luò)信息安全管理體制，運(yùn)用有效的安全防護(hù)手段，嚴(yán)格控制訪問并核實(shí)用戶身份，確保信息的保密性和真實(shí)性。第三，避免校園網(wǎng)絡(luò)中內(nèi)部或者外部的攻擊、破壞，維護(hù)系統(tǒng)的穩(wěn)定、安全運(yùn)行。第四，在保障安全的基礎(chǔ)上，防護(hù)體系應(yīng)該盡可能地為系統(tǒng)的各項(xiàng)應(yīng)用提供便利，全網(wǎng)的身份認(rèn)證應(yīng)該統(tǒng)一，并對(duì)角色訪問進(jìn)行適當(dāng)控制。第五，構(gòu)建穩(wěn)定、安全和操作性強(qiáng)的網(wǎng)絡(luò)信息平臺(tái)，為學(xué)校的管理、教學(xué)等活動(dòng)提供支撐。

3．2 網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)策略

結(jié)合相關(guān)的安全防范體系模型，我們可以從安全策略、技術(shù)和管理等方面開展安全防護(hù)體系的建設(shè)工作。安全策略是建設(shè)工作的核心內(nèi)容，所有的工作都應(yīng)該以此為參考。在建設(shè)過程中，首先應(yīng)該制定總體的安全防護(hù)體系建設(shè)方針，然后構(gòu)建網(wǎng)絡(luò)信息安全防范體系，并在這個(gè)基礎(chǔ)上制定相關(guān)的網(wǎng)絡(luò)安全策略，如病毒防護(hù)、系統(tǒng)和數(shù)據(jù)安全等。在這個(gè)過程中為了確保安全策略的順利實(shí)施，也需要制定相應(yīng)的安全管理體制，并給出規(guī)范的操作流程。

4 校園網(wǎng)絡(luò)信息安全防護(hù)體系的總體架構(gòu)

4．1 劃分安全區(qū)域

在網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)過程中，分層和分區(qū)防護(hù)是其較為基本的原則，要想保障信息安全防護(hù)體系的完整性，應(yīng)該綜合考慮安全防護(hù)層次和區(qū)域這兩個(gè)方面。根據(jù)校園信息管理系統(tǒng)的實(shí)際需求，可以把安全防護(hù)體系劃分為5個(gè)安全區(qū)域（如下圖2），然后根據(jù)每一個(gè)安全區(qū)域的具體特征，制定相關(guān)的安全防護(hù)策略。在每一個(gè)劃分的安全區(qū)域中，其安全防護(hù)也可以分為物理、系統(tǒng)、應(yīng)用和數(shù)據(jù)安全這5個(gè)層次。

4．2 互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)安全區(qū)域的架構(gòu)

圖2 安全區(qū)域劃分的模型

為了保障互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)中數(shù)據(jù)的可靠傳輸，以及保障各項(xiàng)業(yè)務(wù)的正常運(yùn)作，可以根據(jù)網(wǎng)絡(luò)的實(shí)際需求，將雙核心冗余結(jié)構(gòu)應(yīng)用于核心交換設(shè)備中，讓核心交換設(shè)備與每一個(gè)匯聚交換設(shè)備實(shí)現(xiàn)雙上聯(lián)。將帶寬管理設(shè)備、防火墻和鏈路負(fù)載均衡設(shè)備設(shè)置在互聯(lián)網(wǎng)邊界上，并在防火墻的隔離區(qū)設(shè)置域名解析和郵件服務(wù)等公共服務(wù)器。首先將防DDoS設(shè)備設(shè)置于外部網(wǎng)絡(luò)中，以此避免校園網(wǎng)絡(luò)以及內(nèi)部用戶受到外界攻擊；將基于端口的地址轉(zhuǎn)換應(yīng)用于互聯(lián)網(wǎng)的出口，這樣外部用戶就得不到真實(shí)的內(nèi)部用戶地址；在系統(tǒng)數(shù)據(jù)中心防火墻的隔離區(qū)放置公共服務(wù)器。

4．3 校園數(shù)據(jù)中心安全區(qū)域的架構(gòu)

根據(jù)學(xué)校建設(shè)數(shù)字化校園的實(shí)際情況，以及信息系統(tǒng)各服務(wù)器之間的關(guān)系，可以將校園數(shù)據(jù)中心劃分為多個(gè)安全子區(qū)域，如應(yīng)用服務(wù)器外區(qū)和內(nèi)區(qū)、公共服務(wù)器區(qū)和數(shù)據(jù)庫(kù)服務(wù)區(qū)。其中公共服務(wù)器中有電子郵件、Web等重要服務(wù)器，因此需要配備2臺(tái)以上檔次相同的物理服務(wù)器，服務(wù)器的高性能主要通過系統(tǒng)的負(fù)載均衡設(shè)備來體現(xiàn)。在防火墻的隔離區(qū)設(shè)置校園托管服務(wù)器，以避免外部用戶的訪問。要想將校園數(shù)據(jù)中心網(wǎng)絡(luò)和校園網(wǎng)連接起來，需要經(jīng)過核心交換機(jī)中的虛擬防火墻，防火墻隔離區(qū)的公共服務(wù)器能夠?yàn)橥獠烤W(wǎng)絡(luò)提供服務(wù)，并可以保護(hù)網(wǎng)絡(luò)免受外界攻擊。數(shù)據(jù)中心的服務(wù)器可以通過負(fù)載均衡設(shè)備來均衡負(fù)載，以此優(yōu)化網(wǎng)絡(luò)服務(wù)，并發(fā)揮安全冗余的作用；由IPS實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的阻斷，防止超文本傳輸服務(wù)器在統(tǒng)一身份認(rèn)證等過程中外部用戶的訪問。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全是數(shù)字化校園建設(shè)中研究的重點(diǎn)課題，在建設(shè)學(xué)校網(wǎng)絡(luò)信息安全防護(hù)體系過程中應(yīng)該做好管理工作。相信隨著信息技術(shù)的不斷發(fā)展與進(jìn)步，以及學(xué)校信息系統(tǒng)安全管理水平的不斷提高，校園網(wǎng)絡(luò)信息安全防護(hù)體系將得到進(jìn)一步完善，以此為學(xué)校網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定、安全運(yùn)行提供有力的保障。

［1］黨齊民，李志華，湯云劍．校園數(shù)據(jù)中心建設(shè)的研究和實(shí)踐［J］．化工高等教育，2011（02）．

［2］徐鳳亮，史斌斌．高校數(shù)字化校園建設(shè)的現(xiàn)狀與探索［J］．中國(guó)現(xiàn)代教育裝備，2009（15）．

［3］顧偉正．高職院校數(shù)字化校園建設(shè)的現(xiàn)狀和展望［J］．中國(guó)教育信息化，2011（07）．

［4］張曉焱，朱蘭．提升校園網(wǎng)應(yīng)用價(jià)值的探討［J］．南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009（02）．

［5］肖俊宇，楊章偉．高職高專數(shù)字化校園建設(shè)若干問題研究［J］．萍鄉(xiāng)高等?？茖W(xué)校學(xué)報(bào)，2010（03）．