黎建耀

摘 要：基于大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)在科技發(fā)展過(guò)程中的不斷成熟，給校園網(wǎng)安全提出了新的挑戰(zhàn)和機(jī)遇，高職院校的校園網(wǎng)要在大數(shù)據(jù)環(huán)境利好的技術(shù)條件下實(shí)時(shí)監(jiān)測(cè)，及時(shí)處理，建設(shè)更智能、更科技、更安全的校園網(wǎng)。

關(guān)鍵詞：數(shù)據(jù)挖掘；危機(jī)預(yù)測(cè)訪(fǎng)問(wèn)控制；安全防護(hù)

1 大數(shù)據(jù)環(huán)境下校園網(wǎng)安全面臨的新挑戰(zhàn)

1.1 用戶(hù)生成內(nèi)容，也稱(chēng)UGC（User-generated content）

數(shù)據(jù)大爆炸時(shí)代，UGC通常指用戶(hù)將自己原創(chuàng)的內(nèi)容通過(guò)互聯(lián)網(wǎng)平臺(tái)進(jìn)行展示或者提供給其他用戶(hù)，這區(qū)別于傳統(tǒng)的由后臺(tái)編輯人員組織語(yǔ)言并審核過(guò)關(guān)之后再發(fā)布展示出來(lái)的信息流通模式。新興的以UGC為主流的媒體資源及自媒體知識(shí)是以用戶(hù)為主導(dǎo)的交流與互動(dòng)。這對(duì)于傳統(tǒng)的校園網(wǎng)防火墻、IPS防護(hù)機(jī)制等是一個(gè)很大的考驗(yàn)，順勢(shì)而來(lái)的就是對(duì)校園網(wǎng)的建設(shè)與防護(hù)提出了新的要求，需要引入實(shí)時(shí)監(jiān)測(cè)機(jī)制及時(shí)過(guò)濾和清洗數(shù)據(jù)，更要做好危機(jī)預(yù)測(cè)，安全防御先行。從技術(shù)層面加強(qiáng)對(duì)校園網(wǎng)用戶(hù)文明用網(wǎng)的監(jiān)督力度。

1.2 人為的惡意攻擊或者無(wú)意失誤

惡意攻擊分為以破壞信息的有效性和完整性的主動(dòng)攻擊和采取盜竊、破譯等手段的被動(dòng)攻擊等兩種類(lèi)型；無(wú)意失誤包括管理人員配置不當(dāng)、用戶(hù)安全意識(shí)差等造成的安全問(wèn)題，讓外部人員遠(yuǎn)程到校園網(wǎng)內(nèi)部進(jìn)行篡改程序及數(shù)據(jù)庫(kù)操作等。面對(duì)這些不同的網(wǎng)絡(luò)危機(jī)，對(duì)我們平臺(tái)維護(hù)人員的專(zhuān)業(yè)技能及個(gè)人素養(yǎng)提出了更高的要求，不僅要對(duì)即將發(fā)生危機(jī)有一個(gè)預(yù)警能力，也要在面對(duì)已發(fā)生的危機(jī)時(shí)有杰出的解決能力。

1.3 網(wǎng)絡(luò)系統(tǒng)端口掃描攻擊和拒絕服務(wù)攻擊

網(wǎng)絡(luò)軟件和業(yè)務(wù)系統(tǒng)不可避免地存在一些漏洞和后門(mén)，這些缺陷往往成為黑客進(jìn)行攻擊的突破口。每一個(gè)系統(tǒng)都需要做到及時(shí)更新，及時(shí)維護(hù)，爭(zhēng)取把工作做在黑客進(jìn)攻之前。讓校園網(wǎng)在不斷地更新維護(hù)中更加安全。端口掃描攻擊是運(yùn)用網(wǎng)絡(luò)探測(cè)技術(shù)，掃描網(wǎng)絡(luò)上的服務(wù)和安全漏洞，雖然可能對(duì)系統(tǒng)本身沒(méi)有直接威脅，但是可以讓有意攻擊者找到發(fā)起攻擊的端口和服務(wù)。拒絕服務(wù)攻擊（Denial of Service）的目的是通過(guò)消耗帶寬資源等使計(jì)算機(jī)或者網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。

2 校園網(wǎng)各層安全問(wèn)題分析

2.1 物理層安全問(wèn)題

無(wú)論是人為操作不當(dāng)還是自然環(huán)境等不可抗力造成的破壞，均會(huì)對(duì)校園網(wǎng)造成不同程度的影響，輕則線(xiàn)路、設(shè)備被改變，重則可以導(dǎo)致校園網(wǎng)整個(gè)癱瘓，一旦物理層遭到破壞，一切的防御手段都無(wú)濟(jì)于事，所有的安全防御手段都建立在物理層完好的狀態(tài)下才能發(fā)揮作用。在校園網(wǎng)的日常使用及維護(hù)中，一定要建立一套完備的應(yīng)急監(jiān)測(cè)系統(tǒng)，比如溫控、風(fēng)控、線(xiàn)路布控等等，做到實(shí)時(shí)預(yù)警。

2.2 數(shù)據(jù)鏈路層安全問(wèn)題

各種網(wǎng)站在數(shù)據(jù)鏈路層都會(huì)面臨一些由許多協(xié)議安全漏洞引發(fā)的安全威脅，有基于ARP的廣播欺騙、邏輯地址（Mac）泛洪等多種攻擊。我們的校園網(wǎng)也不例外，面對(duì)諸多來(lái)歷不明的鏈接及時(shí)不時(shí)彈出的可疑對(duì)話(huà)框，一方面要求我們的校園網(wǎng)終端管理人員對(duì)校園網(wǎng)的每一個(gè)頁(yè)面進(jìn)行全面的檢測(cè)及監(jiān)督，不給不法分子有任何的可乘之機(jī)，另一方面也要求我們的用戶(hù)提高自身警覺(jué)性，不點(diǎn)擊、不操作、不理會(huì)。

2.3 網(wǎng)絡(luò)層存在安全問(wèn)題

在網(wǎng)絡(luò)互聯(lián)協(xié)議設(shè)計(jì)初期，并沒(méi)有考慮到網(wǎng)絡(luò)運(yùn)用時(shí)的安全性，作為網(wǎng)絡(luò)層的主要協(xié)議，協(xié)議本身的漏洞也是每一個(gè)蠢蠢欲動(dòng)的攻擊者所瞄準(zhǔn)的渠道。針對(duì)這些問(wèn)題，結(jié)合現(xiàn)階段的網(wǎng)絡(luò)情況，校園網(wǎng)可以使用安全的虛擬主機(jī)，比如構(gòu)建云機(jī)房等。

2.4 傳輸層安全問(wèn)題

物聯(lián)網(wǎng)作為一個(gè)多網(wǎng)多端多媒體的縱橫交融的結(jié)構(gòu)，面臨的攻擊更是來(lái)自多方面。除了基于傳輸控制協(xié)議（TCP）和用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）存在漏洞發(fā)起的攻擊，還有握手信號(hào)（SYN）攻擊、異常包、LAND攻擊、FLOOD攻擊、端口掃描、TCP掃描、TCP緊急指針等等，針對(duì)傳輸層里面存在的多種不同的攻擊方式，而我們的校園網(wǎng)在建設(shè)過(guò)程中必須要全方位從技術(shù)層面規(guī)避這種風(fēng)險(xiǎn)，準(zhǔn)備多種防御手段，從而在數(shù)據(jù)傳輸過(guò)程中提高數(shù)據(jù)的安全系數(shù)。

2.5 應(yīng)用層安全問(wèn)題

所有的網(wǎng)絡(luò)應(yīng)用程序在應(yīng)用層均會(huì)存在這樣或那樣的安全問(wèn)題，校園網(wǎng)也不例外，常見(jiàn)的有針對(duì)設(shè)計(jì)漏洞發(fā)起的攻擊和針對(duì)協(xié)議缺口發(fā)起的攻擊，所有的疑點(diǎn)或者可被利用的漏洞均會(huì)讓被攻擊者利用，繼而威脅到整個(gè)應(yīng)用程序的安全。針對(duì)本層面的一些安全問(wèn)題，應(yīng)當(dāng)根據(jù)安全問(wèn)題的嚴(yán)重性及時(shí)作出處理，如切斷主機(jī)應(yīng)用層的所有服務(wù)，禁止從主機(jī)的所有端口收發(fā)數(shù)據(jù)等。

3 校園網(wǎng)安全防護(hù)策略

3.1 借鑒傳統(tǒng)數(shù)據(jù)挖掘技術(shù)

麥肯錫早已對(duì)數(shù)據(jù)對(duì)于每一個(gè)行業(yè)和領(lǐng)域的重要性做出過(guò)定義，誰(shuí)能更好的發(fā)掘數(shù)據(jù)并運(yùn)用數(shù)據(jù)，誰(shuí)就能成為大數(shù)據(jù)浪潮中的弄潮兒。數(shù)據(jù)安全的重要性重于泰山，比較常見(jiàn)的就是采用數(shù)據(jù)加密技術(shù)，比如DES、IDEA、RSA、DSA、PKCS和PGP算法等。

3.2 引入身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是最基礎(chǔ)最有效的確認(rèn)操作者身份的方之一，未來(lái)智能化校園網(wǎng)的運(yùn)用者不乏校外的社會(huì)人員等，我們秉承兼容并包開(kāi)放納新的態(tài)度歡迎每一位社會(huì)人士前來(lái)瀏覽我們的校園網(wǎng)站，針對(duì)這個(gè)問(wèn)題，應(yīng)當(dāng)采用多元化的身份認(rèn)證技術(shù)，無(wú)論是人臉識(shí)別、IC卡認(rèn)證還是動(dòng)態(tài)口令、生物特征認(rèn)證等，其目的都是為了保證數(shù)據(jù)的安全，保護(hù)所有用戶(hù)的隱私。

3.3 加強(qiáng)入侵檢測(cè)

入侵檢測(cè)包括誤用檢測(cè)和異常檢測(cè)兩大類(lèi)。誤用檢測(cè)又稱(chēng)特征檢測(cè)，它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法不適用；異常檢測(cè)則認(rèn)為可能是“入侵”活動(dòng)，其較誤用檢測(cè)的優(yōu)點(diǎn)就是不受系統(tǒng)以前是否被此種活動(dòng)入侵過(guò)，一定程度上可以預(yù)測(cè)即將發(fā)生的入侵。兩種檢測(cè)方法相輔相成，為構(gòu)建網(wǎng)絡(luò)應(yīng)用程序的安全大環(huán)境作出了重要的貢獻(xiàn)，在校園網(wǎng)的運(yùn)用期間，加強(qiáng)入侵檢測(cè)也是必然。

3.4 制定校園網(wǎng)安全管理制度和規(guī)范

針對(duì)校園網(wǎng)的建設(shè)使用過(guò)程中可能會(huì)出現(xiàn)的這樣或那樣的安全問(wèn)題，學(xué)校應(yīng)成立專(zhuān)項(xiàng)信息安全小組，由校長(zhǎng)直接擔(dān)責(zé)，以示對(duì)智慧校園的重視，下屬的安全管理人員必須經(jīng)過(guò)嚴(yán)格的信息安全培訓(xùn)才能上崗，對(duì)上網(wǎng)數(shù)據(jù)層層把關(guān)嚴(yán)格篩選和監(jiān)控。另需針對(duì)校園網(wǎng)的用戶(hù)制定一些約束和提醒的條款，比如不得隨意將自己的用戶(hù)名轉(zhuǎn)借給他人，不得以各種目的盜取校園網(wǎng)數(shù)據(jù)，經(jīng)常更換密碼等等，同時(shí)我們的網(wǎng)絡(luò)監(jiān)管人員也要對(duì)校園網(wǎng)用戶(hù)的素質(zhì)及安全防范意識(shí)加以提醒。

4 結(jié)束語(yǔ)

大數(shù)據(jù)時(shí)代的井噴式涌來(lái)，給物聯(lián)網(wǎng)帶來(lái)的新的生機(jī)與活力的同時(shí)也給校園網(wǎng)維護(hù)工作帶來(lái)了前所未有的挑戰(zhàn)，另一方面，數(shù)據(jù)存儲(chǔ)安全和數(shù)據(jù)訪(fǎng)問(wèn)安全應(yīng)該引入新的防御技術(shù)。校園網(wǎng)對(duì)于整個(gè)大數(shù)據(jù)時(shí)代而言是滄海一粟，但是對(duì)于智慧校園的建設(shè)而言，其重要性就不可言喻。充分發(fā)揮校園網(wǎng)管理者的主觀能動(dòng)性，通過(guò)海量的數(shù)據(jù)化異常分析，安全防御先行，預(yù)警監(jiān)測(cè)并舉，從而提升校園網(wǎng)絡(luò)安全級(jí)別。

參考文獻(xiàn)

[1]孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2013，54（1）.

[2]曹哲學(xué)，曹付元，李俊杰，等.面向大數(shù)據(jù)的還云數(shù)據(jù)系統(tǒng)關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)新媒體技術(shù)，2012，1（6）.

[3]魏智靈，鐘帥.淺析高校校園網(wǎng)安全現(xiàn)狀與管理策略[J].信息安全與技術(shù)，2011，10（07）.