■大连外国语大学 严军鹏

高校校园网络安全技术浅析

■大连外国语大学 严军鹏

1.高校校园网络安全分析

随着电子产品的不断更新，高校校园网络发展迅猛。针对高校校园网络安全来说，电子产品、计算机和网络设备都具有脆弱性，它们共同构成了高校校园网络的不安全因素，形成潜在威胁。高校校园网络安全是一门非常复杂繁琐的技术，在此，本文从高校校园网络的自身出发来研究和分析校园网络安全问题。

（1）高校校园网络与安全风险

高校校园网络提供各种信息，包括校园新闻、学生成绩查询、各种资讯等等，是一种提供综合信息服务的网络，具有很强的开放性，同时也要有很强的保密性。高校校园网络一般采用TCP／IP协议，本文以TCP／IP协议网络模型来分析高校校园网络的安全，其风险可能存在的环节见表1。

表1 TCP／IP协议网络模型下可能存在安全风险的环节

?

从上表可以看出，高校校园网络分为物理层、网络层、传输层、数据链四个层次，每个层次都存在安全风险的环节，高校校园网络的安全风险也是由各层次环节的安全风险综合产生的，比如数据传输过程中的窃听、IP伪装、病毒攻击等等，因此高校校园网络系统的安全措施是一项负责而又繁琐的综合措施。

（2）高校校园网络与安全风险的关系

高校校园网络的特点是集中与分布相结合，其网络安全的风险主要存在于上表的位置。

（3）高校校园网络安全危险的说明

高校校园网络可分为受控区域和不受控区域，受控区域是指高校校园网络系统中，可由高校校园网络的管理员直接可进行管理的区域，包括校园网页、各系部网页等等；不受控区域是指不受高校校园网络管理员管理的区域，比如学生论坛、网络经销商提供的传输系统等等。

高校校园网络受控区域的安全风险一般有：校园网页受到学生、教师的攻击；数据在网内传输过程中被窃听、截留等。物理层方面，数据传输的线路要防止被人窃听；网络层方面，IP的分配一般是动态的，由OSPF来实现的，要防止认为伪造OSPF路由更新信息；数据链方面，网络设备是通过MAC地址来标识通信的来源与目的，切勿将网卡设为“混杂”状态，防止网上数据被侦听。

高校校园网络非受控区域的安全风险一般有：物理层和数据链方面的线路窃听、拨号攻击等；IP控制方面必须使用加密方式，防止被攻击；外部攻击方面要做好多重措施的防范，在管理与技术方面加强管理。

2.高校校园网络安全的对策

从高校校园网络的根本出发，针对各个层次的不安全环节提出高校网络安全的解决方案。

①高校校园网络的布线系统：加强高校校园网络布线系统的管理；

②传输介质：在高校校园网络布线中使用光缆；

③拨号备份：在拨号过程中使用认证功能；

④IP分配：使用最优化的IP分配方案，采用访问控制技术；

⑤数据传输：在数据传输过程用使用加密；

⑥IP路由：控制路由技术

⑦设备管理：加强连接设备的管理，严格控制主机和终端。

3.高校校园网络安全的设计方案

高校校园网络的设计方案中可采用以下措施进行安全防护。

（1）DMZ和防火墙的安装

由下面高校校园网络工作示意图可以看出，外部的攻击想要进入高校校园网络的内网服务器必须首先攻破DMZ的三个关卡，需要的时间较长，如果管理员能够发现及时，可以进行补救，也就是说DMZ是高校校园网络的外部防火墙。此外，在数据库服务器前段加上防火墙，这样就给高校校园网络加上了双层保护，即便外部攻击已经成功，也不至于马上危及到数据库服务器。

（2）IDS（入侵检测系统）的安装

安装入侵检测系统后，它在后台运行，不间断的对高校校园网络的通讯和系统日志进行监视，能够及时发现外部入侵，通过管理分析，查找问题进行补救。对系统的入侵有外部的，也有内部的，在攻击过程中，攻击者都会留下一些痕迹，IDS系统可以及时捕捉到入侵痕迹，从而可以让管理员采取措施。

（3）对远程访问的安全控制

由于特殊原因，高校校园网络系统需要允许外部用户远程访问，比如：在线教育的学员需采用拨号上网方式，对于该种上网方式其安全性必须包含认证和授权两个步骤进行。再比如：在外地出差或者访学的教师进行访问也属于外部用户远程访问。针对于远程访问，当前用的表较多的接入方式是VPN，即虚拟私用网络。VPN在数据通信方面采用的是高强度的加密，安全性能强，但是VPN接入的节点必须专门进行有效的管理，防止该节点被利用，成为攻击的跳板。因此在VPN接入方式的远程访问下，禁止在高校校园网络内部计算机上使用拨号上网。同时确保在远程访问过程中，凡是需要保密的材料在传输过程中都必须加密。

（4）高校校园网络设备的安全硬化

高校校园网络系统的安装和硬件必须遵循高标准高需求原则，对高校校园网络系统需要的网络功能进行核查，根据较高的标准进行配置，同事尽可能减少与外界接触的通道，对各种数据传输进行加密，对各种访问进行控制。高校校园网络安全硬化的重中之重在于高校校园网络操作系统的配置、路由器的配置、交换机的配置、服务器的配置等等，只有这些配置达到了需求，才能确保高校校园网络的正常运转和安全。

（5）高校校园的各种业务实行分离

高校的业务非常广泛，根据不同的业务、人员等进行分类，不同的业务都建立自己的局域网络，不同的业务服务分配不同的服务器，都有着自身的防御系统。比如：对学生，要有成绩查询系统、选课系统等等；对教师，要有开课系统，成绩输入系统；对校办企业，要有相对的考核和管理系统；宿舍、餐厅等还要专门的网络系统。

（6）加强高校校园网络物理层的安全管理

高校校园网络的设施是非常复杂和重要的，加强对高校校园网络系统主机、交换机、路由器、线路等各种硬件设施的管理，防止设施被破坏、偷窃、非发接入等等。

（7）高校校园网络实行机构分隔

高校的职能部门很多，有处室、教学系部、学生管理中心、后勤管理中心等等，他们都具有不同的职责，因此各部门需要的资源不太相同，所需要的网络也不尽相同，所以高校校园网络的机密信息仅供特殊部门使用，公共的信息和资源能够被所有部门和处室查看。因此，实行高校校园网络的机构分隔是非常有必要的。高校校园网络的机构分隔是水平分隔，即各部分之间的分隔，数据在传输过程中必须经过同一交换机，这样的高校校园网络更加安全稳定。

（8）对高校校园网络进行定期测试，以确定安全性，及时采取补救措施

高校校园网络必须经常进行系统的安全测试，查找系统的漏洞和不足，采用各种工具和方法进行补救，要每天都要有记录，对其网络系统的管理进行评价，查找不足，对已知的漏洞或者补丁及时更新，对于不能解决的问题要及时上报。

高校校园网络的安全问题是一项系统的工程，在设计网络安全方案和措施时要全面考虑整个校园网络，要涉及到各个方面，兼顾各种资源的配备，进行详细的规划，逐步完善安全防御体系，进行不安全因素追踪记录。

高校校园网络的安全问题是一个永无终止的工作，要求高校必须不断改进，加强管理，增强技术，坚持不懈，及时更新网络设施，确保校园网络的安全。