高职院校网络安全体系研究

2011-03-20毛方明

网络安全技术与应用 2011年6期

毛方明

浙江农业商贸职业学院浙江 312000

0 引言

校园网络的应用是衡量高职院校办学效果的重要指标，而其安全性则是影响成效的至关重要因素。在现有基础上，如何让不断膨胀的数据信息流与网络系统安全达到一个动态的平衡，使得校园网络能够更好的为师生教与学服务，这已成为高职院校当前教学工作中的一个迫切问题。

高等职业院校作为教学、科研、实训、考核的场所，对于互联网的应用尤为重要，每天都有大量的数据传递、存储和使用。然而，由于计算机网络是开放、互动、共享式的，再加上网络技术本身不是很完善，存在技术缺陷和漏洞，致使网络易受计算机病毒、木马以及黑客的侵害。另外，高职院校的大学生，往往具有青年人强烈的好奇心、求知欲以及较强的动手操作能力，经常会利用校园网络进行一些多角度、多方位的试验和实践，这就使校园网络产生了极大的安全负荷。

校园网络安全至关重要。通常意义上的校园网络安全可分为网络系统安全和信息安全两部分，主要包含硬件安全、软件安全、运行服务安全以及数据安全。其中，保证数据安全则是所有安全措施的根本目的。

1 网络安全面临的问题

1.1 技术层面

很多网站不注重安全防护，或限于资金匮乏，一些能够保护网站运行安全的硬件设施没有配备，导致黑客访问时如入无人之境。个别站点管理维护人员技术实力不够，不知道如何应付网络攻击或病毒感染，安全策略缺乏。

Internet上网站繁多，陷阱与危险也是众多，挂马网站、钓鱼网站时有发现。浏览部分网站会被有意无意地传染计算机病毒或木马，造成许多不良后果。

1.2 管理层面

管理和维护人员方面的投入明显不足，一个高职院校可以有成百上千台计算机，而专职网络安全维护人员只有寥寥几人甚至一个也没有。

据调查，70%的安全问题来自网络内部的攻击。对于高职校园网络而言，一种可能性是因为学生的好奇心而对校园网络尝试进行攻击。高职学生正处于身心发育成型时期，他们渴望尝试、期望了解与之相关的一切信息，所以，对于学校网络服务器的攻击就成了一种了解校园、证明自我的有效方式。然而这种方式对校园网络而言，危害极大。

2 网络安全体系建设

针对高职院校的实际情况，为了保证校园网络的正常运行，除了增加资金投入外，还应从多方面规划，从而构建一个安全、开放、稳定的信息平台，为师生的教学、生活服务。

2.1 成立网络管理中心，统一规划、管理、维护校园网络

成立校园网络管理中心，负责或指导校园所有网络设置、布局、安装、管理、维护等工作。这是解决网络安全问题的关键。网络管理中心主要完成下列工作：

(1) 规划全校网络布局，合理分配网络资源。

(2) 负责或指导校园网络的日常管理及维护。包括对各院、系网络管理员进行专业再培训；对师生进行网络安全教育；发布相关信息公告及系统资源下载，对学校机房进行日常管理，等等。

(3) 制定相关管理制度，包括网络管理员奖惩制度、学生用机制度、用户上网制度等。

(4) 学校网站的建设及日常管理、维护工作等。

2.2 统一身份认证识别方式，确保有序上网

大学生思想活跃、好奇心强。同时高职院校又是一个集教学、科研、实训、考核、生活于一体的特殊场合。建立身份识别上网系统，对于规范学生上网行为，净化网络环境，防止某些关键信息、数据泄露或丢失，都是非常必要的。

要建立校园范围内一个统一的上网身份认证识别系统，只有通过该系统才能连接上校园网，进而接入Internet。建立全校性的用户数据库，包括用户名、密码以及学生详细个人信息。学生必须通过该系统才能上网，同时系统自动生成日志，记录相关上网时间、用户名、IP地址、访问历史等基本信息。

使用该系统，如同在杂乱无章的市场上确立了一些必备的交易公德，让学生知道在网络虚拟社会也不能肆无忌惮、无法无天，减少了一些不必要的资源浪费。这是现代高校管理校园用户上网的一种流行趋势。经验证明，使用统一身份认证识别系统，对于净化网络、校园有限资源的合理使用有着很大的推力。

2.3 设置用户权限分级系统，按最小化原则进行授权

根据不同的用户需求，创建不同级别的用户组，让不同用户得到不同的服务，从而使校园网得到最大的安全度。如果让外网“游客”能够轻而易举地访问校园网核心内容，显而易见，这就是一个安全性能低劣的站点。

在制定安全策略时，应该遵守一条原则：尽可能地给用户完成任务所需的最少的权限以及最小的服务。唯有如此，才会有最大的安全度。

例如，普通学生权限禁止修改计算机BIOS设置；机房管理员可以更改IP地址；唯有网络管理中心允许在校园主页上发布信息，等等。

2.4 防火墙技术

防火墙是绝大多数站点都采用的一种网络安全保护技术。它是在校园局域网与外部 Internet之间建立了一道安全屏障，发生在内外网间的所有数据流都必须强制性地接受这一保护层的检查，只有被确认的数据流才允许通过。

防火墙既可以对非授权外网用户访问校园网做出限制，也可以禁止校园网用户对外网中的黑名单网站进行浏览。另外，它同时对网络动作进行记录，写入日志中，并会提供相关访问说明。

通过防火墙，我们可以设立禁止访问的网站IP，设置敏感关键字、禁止访问色情站点，监控访问记录，阻挡部分网络攻击，从而降低了校园网的风险。

根据实际比较说明，购买一台多功能的硬件防火墙产品，就可以极大地提升校园网络的安全。

2.5 入侵检测技术

入侵检测系统(Intrusion Detection System，IDS) 是一种主动检测技术，它通过分析网络信息流、服务器日志、程序执行等进程对黑客的攻击进行监测，而后做出相应的安全策略，比如阻止源地址发出的访问请求等。使用 IDS技术，能够发现正在进行的攻击，并自动做出适当的反应，以此来保护网站服务器。现在的硬件防火墙一般都带有IDS功能。

2.6 防病毒技术

病毒是现在网络的一个常见病。按照业界的观点，防病毒技术总是滞后于病毒技术，所以，最好的防病毒措施是尽可能的做到从源头上控制病毒的传染。

硬件方面，一般可以在 Internet接口处安装硬件病毒网关，对外网数据流进行检查、过滤，这种方法可以有效地阻止病毒库中已知的病毒，减少了资源损耗。还可以通过设置防火墙来阻挡拦截病毒。

另外，要对上网用户进行安全教育培训，禁止访问非法或不安全网站，养成良好上网习惯。还可以在校园网的每台计算机上安装杀病毒软件，定期升级病毒库、定期查杀病毒。对于校园网来说，网络版的杀毒软件性价比显然比单机版的要高得多。

2.7 入侵防御技术

我们可以采取多种技术手段来防御外部的攻击，将躲避过防火墙及杀毒软件的非法外部攻击阻挡、拦截。

2.7.1 虚拟局域网(VLAN)

虚拟局域网(Virtual Local Area Network，VLAN)是由位于不同物理局域网段的网络设备组成。VLAN所连接的计算机一般来自不同的网段，但是相互之间可以进行直接通信，就好像处于同一网段中一样。通过VLAN，用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路，但可以减少部分网络攻击。

我们把整个高职校园网划分为多个性质相关的虚拟网并隔离，通过技术手段控制各个虚拟区域间的通信，把问题控制在相对较小范围内的网络区域内，从而能够有效地防止危害扩散到整个网络。

2.7.2 地址翻译

网络地址转换(Network Address Translation，NAT)，它允许内部网段以一个公用IP地址出现在Internet上，是一种把内网地址翻译成合法外网IP的技术。通过地址转换，可以隐藏内网上主机的真实IP地址，不让外部直接访问对应IP，从而提高网络的安全性。

2.7.3 蜜罐

蜜罐是一种可以监视观察攻击者行为的系统，其目的是为了将攻击者的注意力从更有价值的系统引开，设置陷阱，增加管理者反应时间，让其能对网络入侵及时布控。

可以在一些关键部门或站点处设置蜜罐，从而增加系统的安全性。

2.8 信息加密

利用一定的加密算法，将信息转换成不可直接读取的秘文，以防止非法用户获取和理解原始数据，从而确保数据的保密性。理论上，一种优秀的加密算法，攻击者可能穷尽一生也不能破解。因此，即使数据被窃取，也毋需担心信息安全问题，这是一种主动的信息安全防范措施。

信息加密往往用在比较重要的部门或数据，比如院长室、招生办、教务处、学生处等等。

2.9 创建数据备份，定人、定时、定机器备份

数据备份，是指为防止系统故障导致数据丢失，将全部或部分数据复制到其它的存储介质的过程。高职校园网络因为受攻击或被病毒感染，存在着崩溃的可能性。为了保证能快速的恢复网站的正常运行，数据备份是必不可少的一个环节。为此，应该专人定期对所有服务器资料进行备份，将其备份数据存入专用的存储区域或其它机器。要注意的是，有时候不仅仅是对数据文件的备份，还要对整个网络系统进行备份，只有这样，才能在系统崩溃后快速地恢复原状。