郝亞平

摘要：隨著各行各業(yè)信息化程度的提高，尤其在高校教學(xué)改革中信息化的普遍使用，帶動(dòng)了高校學(xué)生信息化水平的提高，但是隨之而來的卻是信息安全問題。如何構(gòu)建一個(gè)安全的校園網(wǎng)環(huán)境是目前各個(gè)學(xué)校面臨的一個(gè)迫切的問題，文章通過對(duì)校園網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析，給出一個(gè)校園網(wǎng)絡(luò)安全防護(hù)方案。

關(guān)鍵詞：信息化； 校園網(wǎng)； 網(wǎng)絡(luò)安全； 風(fēng)險(xiǎn)分析； 防護(hù)方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）29-0018-02

Abstract： With the improvement of information technology in all walks of life， especially in the teaching reform in Colleges and universities， the widespread use of information has led to the improvement of the university students' information level， but it has been followed by information security problems. How to build a safe campus network environment is an urgent problem for all schools. This paper gives a campus network security protection scheme through the analysis of campus network security risk.

Key words： information technology；campus network；network security；risk analysis；protection scheme

1 概述

在校園網(wǎng)中，無論是學(xué)生有意無意或是好奇與嘗試引起的誤操作，都可能給校園網(wǎng)信息系統(tǒng)帶來損失。攻擊者能監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)男畔?、修改?shù)據(jù)庫里的數(shù)據(jù)信息、偽造用戶的簽名，更嚴(yán)重的是攻擊者可以破壞網(wǎng)絡(luò)節(jié)點(diǎn)、上傳電腦病毒等。校園網(wǎng)信息系統(tǒng)管理人員可以更改系統(tǒng)配置、操作核心管理數(shù)據(jù)，任何誤操作都可能會(huì)導(dǎo)致信息系統(tǒng)的崩潰從而導(dǎo)致校園網(wǎng)穩(wěn)定性受到影響。

2 校園網(wǎng)安全設(shè)計(jì)目標(biāo)

1） 網(wǎng)絡(luò)系統(tǒng)保密性

保證校園網(wǎng)中的信息資源不會(huì)被越權(quán)訪問，做到信息系統(tǒng)訪問可控，只有授權(quán)用戶才可以對(duì)信息系統(tǒng)管理、配置及數(shù)據(jù)操作。

2） 網(wǎng)絡(luò)系統(tǒng)可用性

確保校園網(wǎng)合法使用者可以安全及時(shí)地在需要時(shí)候訪問校園網(wǎng)相關(guān)網(wǎng)絡(luò)資源。

3） 網(wǎng)絡(luò)系統(tǒng)完整性

保證校園網(wǎng)內(nèi)的信息資源的完整性及準(zhǔn)確性。

3 校園網(wǎng)安全風(fēng)險(xiǎn)分析

根據(jù)校園網(wǎng)信息安全的分析具體情況，從信息系統(tǒng)弱點(diǎn)、安全威脅等方面出發(fā)，歸納出校園網(wǎng)存在的潛在的安全風(fēng)險(xiǎn)，從而引導(dǎo)出校園網(wǎng)絡(luò)防護(hù)需求。

3.1風(fēng)險(xiǎn)分析方法

根據(jù)標(biāo)準(zhǔn)化組織的ISO13335網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法，從網(wǎng)絡(luò)威脅、系統(tǒng)漏洞、信息資產(chǎn)及安全風(fēng)險(xiǎn)等多個(gè)要素進(jìn)行評(píng)估（如圖1所示）。

根據(jù)模型分析可推導(dǎo)出以下結(jié)論：

1） 校園網(wǎng)安全面臨的風(fēng)險(xiǎn)大小對(duì)應(yīng)校園網(wǎng)具有的信息資產(chǎn)，而信息資產(chǎn)增加了安全風(fēng)險(xiǎn)的等級(jí)；

2） 校園網(wǎng)信息系統(tǒng)總會(huì)存在漏洞，而這些漏洞被利用后，會(huì)造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的增加；

3） 對(duì)于校園網(wǎng)的信息資源，會(huì)有一些人為或非人為的安全因素，在利用了信息資源的弱點(diǎn)之后會(huì)把安全因素轉(zhuǎn)換為安全風(fēng)險(xiǎn)；

4） 為降低校園網(wǎng)絡(luò)存在安全風(fēng)險(xiǎn)，校園網(wǎng)管理部門要做好網(wǎng)絡(luò)安全防護(hù)；采取必要的安全措施保障校園網(wǎng)的正常運(yùn)行。

3.2安全風(fēng)險(xiǎn)分析

針對(duì)校園網(wǎng)安全威脅特點(diǎn)，從各個(gè)角度對(duì)信息資源安全分析，提出校園網(wǎng)安全防范措施方案，用于保障校園網(wǎng)信息的完整性、可用性及保密性。

1） 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

由于校園網(wǎng)使用的TCP/ IP網(wǎng)絡(luò)協(xié)議自身就存在一些安全隱患，導(dǎo)致很多網(wǎng)絡(luò)安全問題都是通過網(wǎng)絡(luò)層來進(jìn)行傳播，網(wǎng)絡(luò)黑客會(huì)利用協(xié)議上漏洞發(fā)起網(wǎng)絡(luò)攻擊，有些嚴(yán)重的攻擊行會(huì)導(dǎo)致校園網(wǎng)癱瘓，影響師生工作與學(xué)習(xí)造成不良的影響。

2） 系統(tǒng)層安全風(fēng)險(xiǎn)

在校園網(wǎng)中，所有的信息系統(tǒng)應(yīng)用都是基于各種網(wǎng)絡(luò)操作系統(tǒng)，而很多操作系統(tǒng)自身就存在許多安全漏洞。操作系統(tǒng)的參數(shù)配置及其應(yīng)用內(nèi)容決定了操作系統(tǒng)的安全程度，如果操作系統(tǒng)沒有完善相關(guān)的安全配置，則漏洞就會(huì)被入侵者利用，給校園網(wǎng)的正常運(yùn)行造成極大的破壞。操作系統(tǒng)是各種信息系統(tǒng)的重要支撐，如果因各種原因受到入侵和破壞，則很容易對(duì)信息系統(tǒng)在安全性方面造成威脅，產(chǎn)生信息外泄或者系統(tǒng)癱瘓的結(jié)果，使整個(gè)學(xué)校無法開展正常的教學(xué)任務(wù)。

3） 應(yīng)用層安全風(fēng)險(xiǎn)

對(duì)支撐校園網(wǎng)內(nèi)重要業(yè)務(wù)的信息系統(tǒng)，如WEB、郵件系統(tǒng)、域名解析服務(wù)等網(wǎng)絡(luò)基本服務(wù)以及各業(yè)務(wù)系統(tǒng)如OA、財(cái)務(wù)系統(tǒng)、教務(wù)系統(tǒng)等構(gòu)成了最重要的校園網(wǎng)信息資源，因?yàn)檫@些信息系統(tǒng)與整個(gè)校園內(nèi)的各業(yè)務(wù)關(guān)聯(lián)緊密，當(dāng)受到入侵后將影響學(xué)校的正常教學(xué)活動(dòng)，所以要重點(diǎn)加以防護(hù)。

目前業(yè)務(wù)系統(tǒng)的安全依賴于網(wǎng)絡(luò)層、操作系統(tǒng)及數(shù)據(jù)庫的安全，因?yàn)闃I(yè)務(wù)系統(tǒng)種類繁多，現(xiàn)在還沒有特定的安全解決方案來完全解決所有業(yè)務(wù)系統(tǒng)的安全問題。

4 校園網(wǎng)安全防護(hù)設(shè)計(jì)

4.1設(shè)計(jì)原則

校園網(wǎng)安全體系的構(gòu)建應(yīng)參照教育行業(yè)等級(jí)保護(hù)的要求和國家信息安全保障體系建設(shè)的原則，按照統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)劃、適度超前，重點(diǎn)部門推進(jìn)、分步實(shí)施；以業(yè)務(wù)安全需求為導(dǎo)向，遵從以下的信息系統(tǒng)建設(shè)原則：endprint

1） 堅(jiān)持綜合防范的原則

通過主動(dòng)防御、全面防范的策略，增強(qiáng)信息系統(tǒng)安全防護(hù)能力，重點(diǎn)防護(hù)校園網(wǎng)主干網(wǎng)絡(luò)和關(guān)鍵業(yè)務(wù)系統(tǒng)的安全，凈化校園網(wǎng)絡(luò)環(huán)境，保障信息化發(fā)展，保護(hù)校園網(wǎng)信息資產(chǎn)的安全，維護(hù)國家信息安全。

2） 管理與技術(shù)并進(jìn)的原則

校園網(wǎng)是一個(gè)技術(shù)含量相對(duì)較高的綜合工程，要做到校園網(wǎng)即有較高的運(yùn)行速度又要保障其安全，需要采用先進(jìn)的網(wǎng)絡(luò)安全防護(hù)策略，對(duì)已建立的信息系統(tǒng)實(shí)施高效管理。在進(jìn)行項(xiàng)目建設(shè)時(shí)應(yīng)建立相應(yīng)的安全管理機(jī)制。

3） 經(jīng)濟(jì)實(shí)用性原則

在做安全整體規(guī)劃時(shí)，不僅要考慮校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和需求，還要考慮建設(shè)成本。在滿足校園網(wǎng)安全的前提下，盡量減少不必要的人力及物力的投入，優(yōu)化安全體系設(shè)計(jì)，合理的配置信息系統(tǒng)各項(xiàng)參數(shù)，使用的安全產(chǎn)品要實(shí)用高效便于操作。

4） 標(biāo)準(zhǔn)化原則

標(biāo)準(zhǔn)化是校園網(wǎng)信息系統(tǒng)建設(shè)的前提條件。校園網(wǎng)的安全體系建設(shè)是一個(gè)涉及面比較廣的系統(tǒng)工程，安全設(shè)備種類多，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，各種業(yè)務(wù)應(yīng)用多種多樣。為了確保業(yè)務(wù)系統(tǒng)的信息能安全的互通互連，保障校園網(wǎng)絡(luò)安全體系建設(shè)，要嚴(yán)格遵循有關(guān)部門關(guān)于信息系統(tǒng)安全管理和建設(shè)規(guī)范，按照統(tǒng)一的標(biāo)準(zhǔn)規(guī)劃設(shè)計(jì)。

5） 適度安全原則

在安全規(guī)劃建設(shè)時(shí)不能做到校園網(wǎng)中的信息系統(tǒng)都絕對(duì)的安全，所以在安全體系規(guī)劃設(shè)計(jì)時(shí)，在滿足安全需求、降低安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過量的安全需要會(huì)造成系統(tǒng)運(yùn)行的復(fù)雜性和建設(shè)成本的迅速增加。

6） 分期分步實(shí)施原則

校園網(wǎng)信息安全體系建設(shè)是一個(gè)龐大的、復(fù)雜的系統(tǒng)工程，安全體系建設(shè)時(shí)需要根據(jù)校園網(wǎng)運(yùn)行的實(shí)際情況提出項(xiàng)目應(yīng)分系統(tǒng)、分階段實(shí)施。

4.2 業(yè)務(wù)系統(tǒng)安全防護(hù)設(shè)計(jì)

1） 網(wǎng)絡(luò)安全邊界設(shè)計(jì)

校園網(wǎng)的出入口安全是校園網(wǎng)安全建設(shè)的重點(diǎn)之一，需要在互聯(lián)網(wǎng)總出口部署防火墻系統(tǒng)，以便根據(jù)不同安全要求設(shè)定相應(yīng)的安全規(guī)則，在保障內(nèi)外網(wǎng)絡(luò)通訊的同時(shí)阻止非法用戶的入侵和破壞行為。

2） 網(wǎng)絡(luò)入侵防御設(shè)計(jì)

入侵防御系統(tǒng)主要防范網(wǎng)絡(luò)攻擊行為，特別是對(duì)網(wǎng)絡(luò)應(yīng)用層協(xié)議分析，能阻斷惡意攻擊。入侵防御系統(tǒng)可以提供主動(dòng)防御，預(yù)先對(duì)入侵行為和攻擊性數(shù)據(jù)包進(jìn)行阻攔，防止網(wǎng)絡(luò)信息系統(tǒng)造成損失，在惡意網(wǎng)絡(luò)流量通過時(shí)發(fā)出警報(bào)。

3） 網(wǎng)絡(luò)入侵檢測(cè)設(shè)計(jì)

入侵檢測(cè)系統(tǒng)（IDS）能根據(jù)特征庫自動(dòng)識(shí)別業(yè)務(wù)系統(tǒng)被入侵的狀態(tài)，它可以監(jiān)視活動(dòng)的網(wǎng)絡(luò)流量，發(fā)現(xiàn)有攻擊意圖和非法的訪問活動(dòng)。使用入侵檢測(cè)系統(tǒng)的目的是防止業(yè)務(wù)系統(tǒng)被入侵及入侵時(shí)提供相應(yīng)的防護(hù)措施。入侵檢測(cè)系統(tǒng)以主動(dòng)防御、動(dòng)態(tài)檢測(cè)及實(shí)時(shí)響應(yīng)為特點(diǎn)，很好地填補(bǔ)了防火墻等安全設(shè)備動(dòng)態(tài)防御功能的不足。

4） 上網(wǎng)行為管理設(shè)計(jì)

校園網(wǎng)絡(luò)管理人員可以通過上網(wǎng)行為管理系統(tǒng)了解網(wǎng)絡(luò)使用帶寬資源的情況，并根據(jù)網(wǎng)絡(luò)帶寬使用情況制定管理策略，驗(yàn)證策略有效性。上網(wǎng)行為管理系統(tǒng)可以保障核心用戶及核心業(yè)務(wù)所需帶寬，同時(shí)可以在網(wǎng)絡(luò)帶寬利用率低時(shí)實(shí)現(xiàn)資源再分配，以充分利用網(wǎng)絡(luò)資源。

5） 漏洞掃描設(shè)計(jì)

校園網(wǎng)信息系統(tǒng)的安全是動(dòng)態(tài)變化發(fā)展的，選用合適的防火墻與制定安全策略是系統(tǒng)安全防護(hù)的開始，這種方式能解決60%至80%的網(wǎng)絡(luò)安全問題，剩下的仍需其他安全系統(tǒng)來配合。漏洞掃描是對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要手段，通過掃描，能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)中薄弱的環(huán)節(jié)，檢查存在的不安全配置及漏洞，并給出對(duì)應(yīng)安全解決策略和補(bǔ)救措施，從而達(dá)到保障業(yè)務(wù)信息系統(tǒng)安全的目的。

6） 網(wǎng)站防護(hù)系統(tǒng)設(shè)計(jì)

網(wǎng)站防護(hù)系統(tǒng)（WAF）主要用于保護(hù)B/S架構(gòu)業(yè)務(wù)系統(tǒng)的安全性和可靠性，提升網(wǎng)站型業(yè)務(wù)系統(tǒng)的運(yùn)行質(zhì)量。WAF可以監(jiān)視網(wǎng)站型業(yè)務(wù)系統(tǒng)的流量、運(yùn)行動(dòng)態(tài)，資源使用情況，實(shí)時(shí)監(jiān)測(cè)服務(wù)質(zhì)量和服務(wù)能力，并建立網(wǎng)絡(luò)安全威脅預(yù)警機(jī)制。從網(wǎng)站威脅防御、防篡改、防拒絕服務(wù)攻擊和網(wǎng)站應(yīng)用優(yōu)化等多個(gè)角度保障業(yè)務(wù)系統(tǒng)網(wǎng)站的運(yùn)行質(zhì)量。

7） 日志審計(jì)系統(tǒng)部署設(shè)計(jì)

日志審計(jì)系統(tǒng)建設(shè)應(yīng)能采集和分析操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)，當(dāng)系統(tǒng)出現(xiàn)異常時(shí)能根據(jù)日志記錄信息還原事件發(fā)生經(jīng)過。

8） 流量控制系統(tǒng)設(shè)計(jì)

流量控制系統(tǒng)可以通過對(duì)數(shù)據(jù)包檢測(cè)及流量狀態(tài)監(jiān)測(cè)等方式對(duì)校園網(wǎng)絡(luò)的應(yīng)用深度解析，實(shí)現(xiàn)從數(shù)據(jù)鏈路層到應(yīng)用層的應(yīng)用識(shí)別分類、流量策略管理、流量屬性分析、分類統(tǒng)計(jì)報(bào)告以及安全狀態(tài)預(yù)警等多種功能。通過對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流量分析從而達(dá)到控制的目的，增強(qiáng)網(wǎng)絡(luò)的安全管理能力。

9） 網(wǎng)絡(luò)安全管理系統(tǒng)

校園網(wǎng)的管理是網(wǎng)絡(luò)構(gòu)建中非常重要的組成部分。一個(gè)良好的網(wǎng)絡(luò)管理系統(tǒng)可以在很大程度上幫助校園網(wǎng)系統(tǒng)管理人員優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、預(yù)防和及時(shí)排除故障，減少網(wǎng)絡(luò)的維護(hù)費(fèi)用。校園網(wǎng)如果缺少網(wǎng)絡(luò)管理和網(wǎng)絡(luò)控制的功能將導(dǎo)致網(wǎng)絡(luò)運(yùn)行效率低下，難以診斷網(wǎng)絡(luò)故障及運(yùn)行狀態(tài)，也難以實(shí)現(xiàn)網(wǎng)絡(luò)計(jì)費(fèi)等功能。

5 結(jié)束語

在校園網(wǎng)中部署安全防護(hù)系統(tǒng)以一種立體的組合型角度從數(shù)據(jù)鏈路層到應(yīng)用層全面地保護(hù)了整個(gè)應(yīng)用系統(tǒng)的運(yùn)行。但是校園網(wǎng)安全會(huì)隨著應(yīng)用環(huán)境、使用時(shí)間的變化而變化的，在特定的環(huán)境下是安全的系統(tǒng)，如果環(huán)境發(fā)生變化，原來安全的信息系統(tǒng)可能就會(huì)變的不安全了。在特定時(shí)間里安全的信息系統(tǒng)，如果時(shí)間發(fā)生變化了，原來的信息系統(tǒng)就會(huì)變的不安全，因此在新的安全系統(tǒng)部署的同時(shí)，安全服務(wù)和策略調(diào)整也要隨之跟上。建立好的校園網(wǎng)安全體系結(jié)構(gòu)不是一勞永逸的事情，只有好的安全系統(tǒng)與安全管理相結(jié)合才能保證安全技術(shù)得到正確、合理和及時(shí)的使用，三分技術(shù)，七分管理就是這樣來的。應(yīng)當(dāng)通過安全管理和安全技術(shù)的有效結(jié)合，實(shí)現(xiàn)動(dòng)態(tài)的、可持續(xù)發(fā)展的安全循環(huán)。

參考文獻(xiàn)：

[1] 李海光. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略[J]. 電子技術(shù)與軟件工程， 2017，（01）：210-211.

[2] 韓雨橋， 范宏. 校園網(wǎng)中網(wǎng)絡(luò)安全技術(shù)的應(yīng)用策略[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2016（03）：91-91.

[3] 謝暉輝. 網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J]. 電腦知識(shí)與技術(shù)， 2009， 5（9）：2087-2088.

[4] 辛皓煒. 校園網(wǎng)中網(wǎng)絡(luò)安全技術(shù)及策略的應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2015（05）：91-93.endprint