校园网信息安全策略<br/>——以淮南职业技术学院校园网为例

校园网信息安全策略
——以淮南职业技术学院校园网为例

2012-09-11陈辉

淮南师范学院学报 2012年4期

关键词：校园网备份信息安全

陈辉

(淮南职业技术学院图书馆，安徽淮南 232001)

校园网信息安全策略
——以淮南职业技术学院校园网为例

陈辉

(淮南职业技术学院图书馆，安徽淮南 232001)

校园网在高校的作用日益突出，同时，校园网信息安全面临严峻的威胁。通过制定完善严格的规章制度、合理配置硬件的信息安全策略、合理配置校园网局域网策略、及时清除校园网内不安全因素毒等方式，保障校园网的信息安全。

病毒；局域网；防火墙；信息；安全

随着科技的发展，高校教育、科研越来越向依赖自动化、无纸化的校园网络，校园网络的健康运行，是高校正常运营的重要因子，校园网的各种病毒、非法访问、恶意攻击等直接威胁着校园网信息的安全，如何防范这些不安全因子、保障校园网的信息安全是高校面临的共同难题。

一、校园信息安全状况

近几年年以来，随着计算机病毒、木马数量呈爆炸式增长，病毒制造的模块化、专业化以及病毒“运营”模式的互联网化的特征[1]，非法获取信息的手段多样化，恶意攻击方式的隐蔽化，校园网已经成为被攻击的主体。无论是对单机、网络、还是服务器的攻击，都造成不同程度的破坏，严重影响校园网的信息安全，尤其是校园网的发布平台，更是直接关系到高校乃至社会宣传效果，其信息安全更是重中之重。这些信息安全隐患具体表现为：

1、占用资源

计算机单机病毒或网络病毒都会大量占用资源，甚至控制网络资源，使有效数据暴漏，威胁到校园网的信息安全。

2、破坏数据

计算机病毒会修改、删除或破坏校园网有用数据信息，妨碍高校校园网正常运行。

3、非法访问

攻击者能越过校园网权限设置，通过非法访问获得信息，给校园网信息安全带来破坏，影响高校的日常教学和科研，也为管理带来不便。

4、恶意攻击

病毒或攻击者利用校园网网络设置漏洞，攻击校园网，使校园网信息泄露，数据丢失，甚至使校园网瘫痪，影响校园网的正常工作。

总体来说，病毒和各种攻击手段的多样化，让校园网面临更多的隐患，这就要求我们把校园网信息安全提升到严控的高度，只有保障校园网信息的安全，才能保障高校校园网在教学、科研和日常工作平稳运行。

二、校园网信息安全策略

针对日益猖獗的计算机病毒，日益隐蔽的攻击手段，高校要根据自身特点，采取合理的信息安全策略配置，保障校园网的安全。

1、制定严格的校园网信息安全规章制度

校园网网络管理部门制定严格的校园网信息安全制度，针对校园网各网段实施严格管理，本着谁使用谁负责、谁管理谁负责，明确问责制度，严格管理各个网段；校园网管理部门采取实时监控策略，从各个网段抽样数据包，定期分析数据包；系统管理中心实时监控网络的信息安全状态，并记录日志。

2、校园网外网信息安全策略

校园网外网是校园网和互联网沟通的渠道，它给高校的教育、科研和日常生活带来便利的同时，也让校园网信息可能泄露给外界，给校园网信息安全带来隐患，只有对校园网采取合理的配置，才能保障校园网信息免受外界攻击。

防火墙是校园网和外界的信息交换的屏障，是校园网的第一层防御阵地，合理的配置防火墙的安全策略，就可以防范校园网信息受到外部的攻击。

（1）包过滤规则

包过滤规则就是在防火墙上配置数据包收发规则，当防火墙接收到访问要求时，把接收到的访问包和自己的规则库匹配，如果匹配成功的放行，匹配不成功的则拒绝。只要及时更新防火墙的包过滤规则库，就可以有效地避免病毒攻击，保护校园网的运行。淮南职业技术学院包过滤规则的配置如下表1：

表1 包过滤规则

高校根据自身校园网提供的服务，设置相应的报过滤规则，主机只响应合法的请求，从而保障主机信息不受外界攻击。

（2） NAT 规则

NAT规则就是将外部网的公有IP地址和端口号与内部网络的私有网络IP地址及端口号相互映射，使服务器和内部网络只响应防火墙放行的访问，从而保护服务器和校园网的网络安全。合理的配置防火墙的NAT规则，可以把校园网主机隐藏，使针对主机信息的攻击无从下手，保护校园网的安全。淮南职业技术学院的NAT规则的配置如下表2：

表2 NAT规则

3、校园网内网信息安全策略

校园网信息不仅遭受外部的攻击，同时也会不同程度的遭受内部局域网感染的攻击。局域网病毒一般通过发布虚假网关，破坏交换机和客户机的网关设置，造成网络混乱，获取非法信息，内部恶意攻击会利用主机漏洞，破坏主机信息。合理规划校园网，合理配置校园网内网信息安全策略，就可以降低校园网被攻击的概率，保障校园网信息安全。

（1）VLAN 划分

VLAN的作用是使同一个VLAN中的成员之间能够通信，而不同VLAN用户之间可以根据策略允许访问或不允许访问。根据校园网的使用情况划分不同权限的VLAN，即使一个VLAN遭受病毒攻击，其他VLAN的网络不受影响，保障了校园网的运营。淮南职业技术学院的VLAN配置如下表3：

表3 VLAN配置

（2）网络安全协议配置

网络安全协议是定义通过网络进行通信的规则，接收方的发送方同层的协议必须一致，否则一方将无法识别另一方发出的信息，以这种规则规定双方完成信息在计算机之间的传送过程[3]。

IPSec是一个工业标准网络安全协议，它是一种开放标准的框架结构，它是基于端对端的安全模式，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施[4]。

IPSec安全体系结构包含:

安全体系结构：包含了安全体系结构的概念、安全需求、定义和定义IPSec的技术机制、数据完整性、数据加密、预置共享密钥、公钥加密、和动态密钥管理；

数据包结构：封装安全有效载荷(ESP)协议、ESP隧道模式和AH隧道模式；

SSL安全协议又叫 “安全套接层(Secure Sockets Layer)协议”，它为网络的通信提供私密性。SSL使应用程序在通信时不用担心被窃听和篡改。主要用于提高应用程序之间的数据的安全系数。它的原理是：在客户端和服务器用该协议进行通信，保证客户和服务器间事务安全的协议，它涉及所有TC/IP应用程序[5]。

SSL协议的实现属于SOCKET层，处于应用层和传输层之间，由SSL记录协议和SSL握手协议组成的。它弥补了TCP/IP协议安全性较差的弱点。

高校依据自身校园网配置特点，配置自身的网络协议，保障校园网网络安全。常见网络安全协议配置如下：

4、校园网主机信息安全策略

校园网主机是校园网信息的交换平台，在校园网中占重要地位，保障主机信息安全，在某种意义上说，就是保障了校园网信息的安全。

（1）服务器群配置

校园网主机是校园网的核心，主机的正常运行基本上就保障了校园网的正常运行，主机是校园网遭受攻击的焦点，再严格的防空都有别攻击的机会，所以有条件的高校一般采用服务器群，服务器群一般采用分层的网络结构，配置容错、镜像功能，IPS深度防护功能，一旦一台服务器被攻击，其它服务器可以代替受攻击的服务器，保障校园网信息的安全。

（2）主机信息安全策略

主机信息是校园网的信息核心，主机信息安全是校园网的核心事件。通过正确的策略配置，就能保障主机信息安全。

对数据进行分类保护是计算机信息系统实施安全等级保护的基本原则。按照数据的价值划分类别，对不同类别的数据，应按照不同的安全等级保护，对不同安全等级的数据进行备份，要求也不能相同[6]。其数据分类和对应的安全等级备份要求如下：

公开数据，这类数据是用户自己的数据，按照用户自主保护级别进行安全设计，对数据进行常规备份；一般数据，这类数据一般只具有使用价值，该类数据需要保护但是不要求特别保护，通常设计对数据进行定时重点备份；重要数据，这类数据具有重要价值，要进行重点保护，一般设计对数据应进行冗余备份（一式两份）；关键数据。这类数据具有很高使用价值或机密程度，要进行特别保护，一般设计为对数据应进行冗余备份并异地存放；核心数据，这类数据具有最高使用价值或机密程度，要进行绝对保护，一般设计为对数据的备份按一式多份并异地存放的原则实施。合理给校园网数据分类，进行相应备份，一般数据定期备份、重要数据冗余备份、核心数据异地备份，确保校园网信息安全。

数据备份就是为防止由于出现系统操作失误或系统故障导致数据丢失，而将重要数据集合打包，从主机的硬盘或阵列中复制到其他存储介质的措施。一般把其分为三种方式：

差分备份；它是备份和上一次标准备份之后有差别数据；

增量备份；它是备份上一次备份后增加的和修改过的数据；

标准备份；它是对要保护的整个系统进行完全备份，包括操作系统和数据。一旦发生数据丢失的灾难时，可以把灾难发生之前的备份完整的还原回去，从而保护数据；

校园网根据自身数据安全等级，采用相应备份方式，以备恢复使用。