王蓉

摘 要：網(wǎng)絡(luò)安全已成為計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵問題。各種網(wǎng)絡(luò)故障極為普遍，種類也多種多樣，要在網(wǎng)絡(luò)出現(xiàn)故障時(shí)做出準(zhǔn)確的判斷并進(jìn)行維護(hù)，快速診斷、及時(shí)修復(fù)，掌握一套行之有效的網(wǎng)絡(luò)安全理論、方法和技術(shù)是關(guān)鍵。校園計(jì)算機(jī)網(wǎng)絡(luò)安全管理涉及高校數(shù)字化校園建設(shè)各部門，要求有完善的管理制度和可靠的技術(shù)手段，構(gòu)建完整的校園網(wǎng)絡(luò)安全體系。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)故障

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-291X（2017）18-0167-02

引言

人類已進(jìn)入信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已成為當(dāng)今社會(huì)必不可少的工具之一。由于網(wǎng)絡(luò)具有的開放性，它在為人類帶來(lái)便利的同時(shí)，也帶來(lái)了眾多安全隱患。高等院校在日常教學(xué)和管理中，無(wú)論教師還是學(xué)生已經(jīng)非常依賴校園計(jì)算機(jī)網(wǎng)絡(luò)。因此，校園網(wǎng)絡(luò)已成為各大專院校的重要基礎(chǔ)設(shè)施之一。而校園網(wǎng)絡(luò)覆蓋范圍廣，用戶使用量大，各種網(wǎng)絡(luò)故障極為普遍，種類也多種多樣，要在網(wǎng)絡(luò)出現(xiàn)故障時(shí)對(duì)出現(xiàn)故障做出準(zhǔn)確的判斷并進(jìn)行維護(hù)，快速診斷、及時(shí)修復(fù)，掌握一套行之有效的網(wǎng)絡(luò)維護(hù)理論、方法和技術(shù)是關(guān)鍵。同時(shí)，感染病毒，黑客竊取密碼或資料等問題層出不窮，校園計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)的危害也越來(lái)越嚴(yán)重，如何保障網(wǎng)絡(luò)安全已成為亟待解決的問題。所以，在校園網(wǎng)絡(luò)建設(shè)中加強(qiáng)網(wǎng)絡(luò)安全已經(jīng)成為關(guān)鍵問題。

一、校園網(wǎng)安全策略的制定

校園網(wǎng)安全策略的制定包括制度安全和技術(shù)安全兩方面的內(nèi)容。

制度安全策略的制定是根據(jù)高校的具體情況，明確和細(xì)化校園網(wǎng)的安全內(nèi)容，制定行之有效的管理體系，明確各級(jí)管理員的用戶分級(jí)和職責(zé)，針對(duì)不同用戶提供對(duì)應(yīng)的使用說明書，全面指導(dǎo)和規(guī)范校園網(wǎng)各級(jí)用戶的網(wǎng)絡(luò)行為。

技術(shù)安全策略通過校園網(wǎng)的安全設(shè)備和安全軟件來(lái)實(shí)現(xiàn)。具體采取以下安全設(shè)備和安全軟件：（1）設(shè)備的物理安全；（2）設(shè)備安全特性；（3）設(shè)置防火墻；（4）校園網(wǎng)路由器；（5）遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)集中器；（6）校園網(wǎng)入侵檢測(cè)系統(tǒng)；（7）校園網(wǎng)郵件過濾系統(tǒng)和網(wǎng)頁(yè)內(nèi)容過濾系統(tǒng)；（8）驗(yàn)證、授權(quán)和記賬服務(wù)器和其余相關(guān)網(wǎng)絡(luò)的驗(yàn)證、授權(quán)和記賬服務(wù)器；（9）不同網(wǎng)絡(luò)設(shè)備上的訪問控制和訪問限制機(jī)制，比如 ACL 和 CAR；（10）校園網(wǎng)設(shè)備配置的安全管理軟件和數(shù)據(jù)備份系統(tǒng)；（11）校園網(wǎng)服務(wù)器和終端的安全管理系統(tǒng)。

二、安全管理措施

校園網(wǎng)安全管理的工作非常復(fù)雜，所面臨的威脅主要來(lái)源于人為的無(wú)意失誤，人為的惡意攻擊，各種軟件的漏洞和“后門”，非授權(quán)訪問，信息泄露或丟失，數(shù)據(jù)完整性遭到破壞等各個(gè)方面。涉及學(xué)校各部門的人員和業(yè)務(wù)，必須由決策層統(tǒng)一領(lǐng)導(dǎo)，由專門的信息安全管理委員會(huì)具體負(fù)責(zé)。根據(jù)“統(tǒng)一領(lǐng)導(dǎo)、層層落實(shí)、外防內(nèi)審”的原則，成立包括決策機(jī)構(gòu)、執(zhí)行機(jī)構(gòu)、應(yīng)急響應(yīng)小組等各級(jí)網(wǎng)絡(luò)安全責(zé)任機(jī)構(gòu)。校園網(wǎng)絡(luò)系統(tǒng)中的各種硬件設(shè)備、軟件、技術(shù)資料以及機(jī)房場(chǎng)地等是重要的校園網(wǎng)安全保護(hù)對(duì)象，需要采取有效措施進(jìn)行管理，其主要有以下方面：

1.人員的管理。人是各個(gè)安全環(huán)節(jié)中最重要的因素，對(duì)人員的管理包括對(duì)網(wǎng)絡(luò)管理、維護(hù)者的管理和對(duì)網(wǎng)絡(luò)使用者的管理。重點(diǎn)需要加強(qiáng)對(duì)網(wǎng)絡(luò)管理、維護(hù)者的管理。許多安全事件都是由內(nèi)部人員引起的，正所謂堡壘最容易從內(nèi)部攻破。因此，需要明確管理員分級(jí)制度，建立有效的監(jiān)督機(jī)制，全面提高網(wǎng)絡(luò)管理、維護(hù)人員的安全意識(shí)、政治覺悟和道德品質(zhì)。

2.硬件的管理。為了對(duì)硬件設(shè)備的購(gòu)置、使用、維修、儲(chǔ)存等各環(huán)節(jié)進(jìn)行有效管理。對(duì)所有設(shè)備均應(yīng)建立項(xiàng)目齊全、管理嚴(yán)格的登記制度，嚴(yán)格控制硬件設(shè)備購(gòu)置、移交、使用、維護(hù)、維修和報(bào)廢等各環(huán)節(jié)，管理工作正規(guī)化、日?；?，而且應(yīng)由第三方機(jī)構(gòu)做好檢查、監(jiān)督工作。每臺(tái)或每套設(shè)備的使用均應(yīng)指定專人負(fù)責(zé)，并建立詳細(xì)的運(yùn)行日志，由責(zé)任人進(jìn)行設(shè)備的日常清洗及定期保養(yǎng)維護(hù)，保證設(shè)備處于最佳狀態(tài)。

3.機(jī)房的管理。機(jī)房場(chǎng)地的選擇、內(nèi)部裝修、供配電系統(tǒng)要滿足防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊等要求，安置電磁屏蔽網(wǎng)，防止電磁波的干擾和泄露。重要部位需要設(shè)置有可靠的報(bào)警和消防設(shè)施。進(jìn)入機(jī)房的人員必須經(jīng)過有關(guān)安全管理人員的批準(zhǔn)，進(jìn)入和退出時(shí)間及進(jìn)入理由要進(jìn)行登記。同時(shí)，關(guān)鍵部位要設(shè)置門衛(wèi)或者電子報(bào)警裝置，防止非法闖入。

4.軟件的管理。軟件的管理對(duì)象包括操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)、安全軟件、工具軟件等，軟件管理要由責(zé)任心強(qiáng)、工作及業(yè)務(wù)能力高的專人負(fù)責(zé)。合理設(shè)置各種軟件的使用權(quán)限。建立安全日志，對(duì)系統(tǒng)升級(jí)、軟件的安裝和更新、軟件的各種異常情況的處理做到有據(jù)可查。

5.重要信息文件的管理。網(wǎng)絡(luò)管理中涉及的重要信息文件包括口令、配置、權(quán)威數(shù)據(jù)、重要技術(shù)文檔等，應(yīng)該分級(jí)保存、做好備份文件。同時(shí)，采取切實(shí)有效的加密措施，防止重要信息的外泄。

三、安全設(shè)置原則

路由器、防火墻、網(wǎng)絡(luò)交換機(jī)、VPN 集中器等組成了校園網(wǎng)絡(luò)的關(guān)鍵設(shè)備，這些網(wǎng)絡(luò)設(shè)備有著共同的安全設(shè)置原則。

1.備份配置管理。備份配置能夠允許在發(fā)生網(wǎng)絡(luò)攻擊導(dǎo)致配置被破壞或者被以某種方式修改時(shí)，快速恢復(fù)網(wǎng)絡(luò)設(shè)備。因此，路由器的配置在路由器的非易失性隨機(jī)存儲(chǔ)器中保存的同時(shí)，還需要在一個(gè)適當(dāng)?shù)奈恢帽４嬉粋€(gè)路由器配置副本。

2.控制關(guān)鍵設(shè)備的訪問。通過虛擬類型終端端口和控制臺(tái)和輔助端口兩種主要機(jī)制來(lái)防止對(duì)任何資源進(jìn)行未授權(quán)的訪問，實(shí)現(xiàn)對(duì)校園網(wǎng)設(shè)備的訪問進(jìn)行控制。

3.網(wǎng)絡(luò)設(shè)備的安全訪問。為防止遠(yuǎn)程管理過程中的信息泄露問題，除了在網(wǎng)絡(luò)設(shè)備上建立用戶認(rèn)證系統(tǒng)外，還應(yīng)該考慮使用安全外殼協(xié)議（SSH）或者類似的方法對(duì)網(wǎng)絡(luò)設(shè)備的通信會(huì)話加密。

4.設(shè)備的密碼管理。使用加密機(jī)、動(dòng)態(tài)口令、密碼鍵盤、密鑰分發(fā)器進(jìn)行密碼的分級(jí)管理，放置密碼的最好位置是認(rèn)證服務(wù)器，對(duì)于需要在設(shè)備自身放置的密碼應(yīng)適當(dāng)?shù)丶用?，防止窺探，以確保密碼安全。

5.開啟網(wǎng)絡(luò)設(shè)備的日志功能。日志記錄是網(wǎng)絡(luò)設(shè)備安全機(jī)制的重要組成部分。建立網(wǎng)絡(luò)的統(tǒng)一的日志主機(jī)，將網(wǎng)絡(luò)設(shè)備的日志按照統(tǒng)一格式上傳到日志服務(wù)器。利用信息完整日志的文件能夠?yàn)槲覀兎治?、查找相關(guān)信息提供重要的數(shù)據(jù)來(lái)源。

6.禁用不需要的服務(wù)。禁用不需要的服務(wù)，可提高安全性及系統(tǒng)運(yùn)行速度，具體根據(jù)實(shí)際情況，如果網(wǎng)絡(luò)設(shè)備上的一些服務(wù)是不需要的，就應(yīng)該禁用它們。

四、網(wǎng)絡(luò)設(shè)備的安全設(shè)置

1.路由體系結(jié)構(gòu)。合理的路由過濾對(duì)于任何一個(gè)校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)都是重要的，尤其當(dāng)校園網(wǎng)與外部公共網(wǎng)絡(luò)連接時(shí)路由的結(jié)構(gòu)設(shè)置中尤為重要。安全的路由體系結(jié)構(gòu)不易受攻擊，同時(shí)也不易出現(xiàn)體系結(jié)構(gòu)的漏洞。一個(gè)好的路由基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)能夠在網(wǎng)絡(luò)遭受攻擊期間幫助管理員降低網(wǎng)絡(luò)風(fēng)險(xiǎn)和縮短故障時(shí)間。在校園網(wǎng)絡(luò)中，需要確保只有真正包含在內(nèi)部網(wǎng)絡(luò)上的路由才能正常運(yùn)行。

使用靜態(tài)路由是確保安全的有效方法。靜態(tài)路由能夠使路由表中的代碼信息在網(wǎng)絡(luò)攻擊中不受影響，防止網(wǎng)絡(luò)中其他部分出現(xiàn)的安全問題對(duì)整個(gè)網(wǎng)絡(luò)的影響。另外，為確保安全使用靜態(tài)路由有必要定義默認(rèn)路由信息。

目前主要有兩種提供安全使用路由器間交換路由的方法：（1）認(rèn)證共享路由信息的路由器，確定是同一個(gè)可信源在進(jìn)行交談。（2）認(rèn)證共享路由信息的準(zhǔn)確性，確保在傳輸時(shí)數(shù)據(jù)信息沒有被竄改。

2.防火墻的設(shè)置。防火墻的正確設(shè)置原則如下：（1）將防火墻設(shè)置校園網(wǎng)邊界。為保證校園網(wǎng)中的設(shè)備受到防火墻保護(hù)，防火墻的位置應(yīng)盡可能在接近網(wǎng)絡(luò)最終出口和最初入口。這樣做也有助于校園網(wǎng)和公用網(wǎng)絡(luò)保持明確的分界。分界不清楚的網(wǎng)絡(luò)很容易遭到來(lái)自外部的攻擊。（2）為了保護(hù)重要信息和關(guān)鍵網(wǎng)段有時(shí)還需要將防火墻設(shè)置在校園網(wǎng)內(nèi)部。比如在校園網(wǎng)中財(cái)務(wù)處、圖書館或教務(wù)處服務(wù)器這些需要特殊保護(hù)隔離的網(wǎng)段，需要通過防火墻設(shè)置防止其他非法用戶訪問。（3）為了防止防火墻被旁路，不應(yīng)該將防火墻與路由器等其他的網(wǎng)絡(luò)設(shè)備并行設(shè)置，同時(shí)避免任何可能導(dǎo)致防火墻被旁路的設(shè)備在網(wǎng)絡(luò)拓?fù)渲屑尤?。?）校園網(wǎng)與公用網(wǎng)絡(luò)之間應(yīng)建立隔離區(qū)，例如通過 Web 服務(wù)器與校園網(wǎng)設(shè)備間建立聯(lián)系時(shí)，應(yīng)把防火墻建立在這些服務(wù)器的隔離區(qū)之上。將外部服務(wù)器放置在與校園網(wǎng)分離的隔離區(qū)中，可迫使擁有外部服務(wù)器控制權(quán)的人員，訪問校園網(wǎng)絡(luò)時(shí)必須通過防火墻。

3.遠(yuǎn)程訪問設(shè)置?，F(xiàn)在高?？梢圆捎媒⑦h(yuǎn)程服務(wù)器的辦法解決遠(yuǎn)程管理、維護(hù)、使用的問題。但是，為防止校園網(wǎng)受到遠(yuǎn)程網(wǎng)絡(luò)攻擊，校園網(wǎng)必須設(shè)置防火墻，并且對(duì)通過遠(yuǎn)程訪問服務(wù)器進(jìn)入校園網(wǎng)的請(qǐng)求進(jìn)行限定。同時(shí)，還應(yīng)該在遠(yuǎn)程訪問服務(wù)器上進(jìn)行訪問過濾配置，限制非法連接的進(jìn)入。

結(jié)語(yǔ)

保證校園網(wǎng)絡(luò)的高速正常運(yùn)行涉及到教育教學(xué)、行政辦公、后勤生活的方方面面，對(duì)于學(xué)校的教學(xué)、科研、管理具有重要意義。網(wǎng)絡(luò)安全是通過各種科學(xué)手段使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，從本質(zhì)上來(lái)講就是保護(hù)網(wǎng)絡(luò)上的信息安全，確保網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常地運(yùn)行。如何建立一套完善可靠的校園網(wǎng)絡(luò)安全體系，需要各級(jí)部門高度重視，通過有效手段和科技創(chuàng)新在不斷的實(shí)踐中總結(jié)提高網(wǎng)絡(luò)的安全性能。

參考文獻(xiàn)：

[1] 李賀華.校園網(wǎng)安全管理機(jī)構(gòu)與制度建設(shè)的探討[J].中國(guó)公共安全：學(xué)術(shù)版，2009，（9）.

[2] 劉趙，孫海波.校園網(wǎng)信息系統(tǒng)安全管理策略研究[J].信息與電腦：理論版，2010，（2）.

[責(zé)任編輯 李曉群]