计算机网络安全面临的威胁与防范技术
2020-06-11乔畅骞宪忠曾超
文/乔畅 骞宪忠 曾超
(山西医科大学 山西省太原市 030001)
研究生导师立德树人评价体系平台是高校教务系统的重要组成部分。在互联网环境下,校园网络平台面临着一定的安全风险,直接影响着立德树人评价体系平台的稳定运行。
在高校教务系统中,研究生导师立德树人评价体系平台主要用于记录和自动统计校内各类导师人员在立德树人中的考核结果,将其作为导师年度工作考核和工作量评定的重要依据。但是,在互联网环境下,校园内部网络与外网对接,易受到黑客攻击、非授权访问、网络病毒入侵以及系统平台漏洞等安全风险因素的影响,对立德树人评价体系平台构成安全威胁。为此,高校有必要针对立德树人评价体系平台构建起完善的安全防护技术体系。
1 立德树人评价体系平台概述
研究生导师立德树人评价系统基于WAMP 平台进行开发,采用PHP 程序设计语言、MySQL 数据库管理系统和MVC 模式架构。本评价体系平台的开发过程如下:
1.1 需求调研
利用软件工程需求分析的方法,深入调研学校各学院研究生导师的日常管理工作内容,并整合研究生导师、研究生管理层、导师部门领导以及人事工作人员的需求,确定立德树人评价体系平台的设计理念、计算方法和功能模块。
1.2 功能模块
本平台在整合使用者需求的基础上,将平台设计成五大功能模块,具体包括基础数据设置管理模块、立德树人申报模块、立德树人算分及结果模块、多级审批模块、人事统计模块。在系统平台的功能模块中,需对研究生导师项目经费、科研论文、学术论著、研究成果奖励、授权专利、成果应用、研究基地、学会任职、项目申报、学术交流等相关信息内容进行管理。
1.3 设计与运行
本平台采用三层结构,如图1 所示,具体包括:
(1)使用者层,用户为研究生导师、研究生管理层、导师部门领导以及人事工作人员;
(2)业务逻辑层,包括上述五大功能模块;
(3)数据访问层,包括基础数据、业务数据和管理数据。本平台采用统一的数据接口,可与学校教务系统进行对接。
本平台能够对研究生导师教学工作、实验工作、德育工作以及科研工作进行评价,完成对研究生导师的年度考核。
2 计算机网络安全面临的威胁
在开放式的网络环境下,研究生导师立德树人评价体系平台的运行易受到计算机网络安全隐患的威胁,出现平台运行故障、信息丢失、数据篡改等问题。具体体现在以下方面:
2.1 黑客攻击
立德树人评价体系平台运行于校园内部网,链接于外网,方便用户利用内外部网络登录系统。在这种情况下,使得该平台易受到黑客的攻击,增大了计算机网络安全风险。如,黑客针对Web 应用程序中的安全漏洞进行攻击,向目标服务器发送大量垃圾信息,造成服务器超负荷运行,导致服务器死机,进而造成立德树人评价体系平台无法正常运行;黑客利用分布式拒绝服务攻击(DDoS攻击)对网络服务终端进行入侵,致使主机无法正常获取信息。
2.2 非授权访问
立德树人评价体系平台以校园网为依托运行,只有拥有相应权限的人员,才能对本平台进行访问,而非授权访问会对本平台的运行安全构成一定的威胁。非授权访问是在未经授权的前提条件下,对本平台中的资源进行非法访问,越权访问也属于非授权访问的范畴。由此可能会导致本平台中重要的信息丢失,并且还可能造成系统的安全机制遭到破坏。IP 地址欺骗及利用平台漏洞获得控制权是非授权访问较为常用的两种攻击手段。
2.3 网络病毒入侵
立德树人评价体系平台是一个依托校园网运行的计算机信息系统,并与外网相连接,由此使得该平台容易受到网络病毒的入侵,一旦有病毒侵入本平台当中,轻则会对平台的正常使用造成影响,严重时可能会导致整个平台崩溃。由此可见,网络病毒是本平台运行中面临的主要安全威胁之一。网络病毒具有潜伏性、传播性等特点,不仅如此,病毒的种类相对较多,还会不断更新,并且部分病毒会产生变异,这在一定程度上增大了病毒入侵的防范难度。
2.4 系统平台漏洞
立德树人评价体系平台在建立的过程中,程序编辑人员为了方便编程,会留下一些后门,当程序编写完毕后,需要将后门全部关闭,如果某个后门没有关闭,则会使其成为系统平台的漏洞。而非法人员可以利用这个漏洞,对本平台进行攻击,从而使平台的运行安全受到威胁。漏洞是本平台自身的安全隐患,通过升级、更新等方法,能够对漏洞进行及时修补,但若是忘记升级或更新,则会使漏洞始终存在,由此会给攻击者入侵本平台提供渠道,当攻击者经漏洞侵入平台后,除了能对其中的信息进行获取之外,还能修改程序,将会给本平台造成会毁灭性的打击。
3 计算机网络安全防范技术
3.1 登录认证技术
为保证立德树人评价体系平台安全运行,防范网络攻击入侵行为,本平台可采用令牌认证加密技术、生物特征认证技术等身份认证技术。针对本平台可能面临的定向威胁攻击(APT 攻击),可设计USB Key 定点登录认证系统,提高本平台的安全等级。USB Key 定点登录认证系统只能由指定用户使用特定的USB Key 和计算机登录平台,并且要求用户输入正确的Key PIN 码,以完成登录认证过程。在该认证系统中,只有用户知道自己的USB PIN 码,且USB Key 设置为只读模式,不可删除和修改。当用户使用USB Key 和PIN 码登录系统时,USB Key 可向数据库发出验证请求,当序列号与预留用户信息相符时,才能认定为客户端用户为合法用户。通过在以德树人评价体系中运用登录认证技术,可有效防范APT攻击入侵校园内部网络。
3.2 物理隔离技术
为给立德树人评价体系平台提供一个安全的运行环境,并对来自于外网的威胁进行有效地防范和规避,本平台可以采用物理隔离技术,这是一种较为有效的安全防范技术措施,通过它的应用能够避免平台中重要信息泄露的情况发生。
3.2.1 隔离卡
在本平台中可加装物理隔离卡,通过物理隔离卡能够将平台中的主机系统分成两台虚拟机,这样便可以实现物理隔离。具体做法如下:在主机系统中增设一个的硬盘,以控制硬盘和切换网线的方法,在校园网与外网环境中汇总,使硬盘只对一个网络有效,它的网络物理连线为完全分离状态,其中不存在公用的存储信息,从而实现校园网与外网之间的物理隔离,这样黑客很难经外网对本平台进行攻击,平台的安全性得到保障。
3.2.2 隔离网闸
在物理隔离技术中,隔离网闸的效果非常好,并且相关的产品也比较多。因此,在本平台中,可以安装隔离网闸,由此可将校园网与外网的物理连接断开,从而避免数据包在校园网与外网之间流动,网络威胁随之消除,平台中重要信息的安全性得到保障。为使隔离网闸的作用得以最大限度地发挥,要选择性能过硬的产品。可选用联想网御SIS 系列产品,以此作为本平台网络链路层的物理隔离装置,与普通的防火墙相比,该隔离网闸的安全性能更高。该隔离网闸采用的是专属通信协议,能够随时完成校园网与外网的物理隔离。在数据信息传输方面,该网闸使用的是信息摆渡机制,大幅度提升数据传输的安全性。该网闸的操作系统为嵌入式,能够确保平台系统的安全性。
3.3 防火墙技术
立德树人评价体系平台是在校园网中运行,并与外网相连接,平台的运行会受到来自于外网的威胁,为提高平台的运行安全性,可对防火墙技术进行应用。防火墙是不同网络间的访问控制设备,能对网络访问行为进行控制。传统的防火墙虽然在网络安全防护方面具有一定的效果,但其缺陷较多。因此,可选用智能防火墙,此类防火墙适用于教育领域,能够对网络攻击和高级威胁进行全面应对,它集多种防御能力于一身,如精细化访问控制、深度应用识别、高性能应用层威胁防御等等,可对网络中的异常行为进行自动分析,通过与云端联动,可在网络边界构建起以大数据为核心的动态防御体系,并且可以针对全网威胁进行智能防御。智能防火墙采用的操作系统可靠性非常高,借助SMAC(安全管理分析中心)能够对平台中的所有网络设备进行集中管理,可对安全策略进行批量下发,在提高网络设备管理效率的基础上,使网络安全得到有效保障。
3.4 漏洞扫描技术
为避免立德树人评价体系平台中的系统漏洞给攻击者提供入侵的渠道,本平台可以对漏洞扫描技术进行应用。借助功能强大的漏洞扫描软件,对本平台中关键的网络设备进行全面的漏洞扫描,如交换机、服务器、终端等。当软件完成扫描之后,会自行对结果进行分析,从中找出存在的漏洞问题,提供相应的修补方案。为使漏洞扫描软件的作用得以最大限度地发挥,可按照如下方案对扫描软件进行部署:由于本平台中的节点较多,为使扫描软件能够同时满足不同节点的扫描需要,可将软件安装到本平台中的高性能主机上,以此来实现全方位的漏洞扫描,从而达到增强系统平台安全性的目的。为杜绝平台中安全漏洞的产生,可引入虚拟主机IP 地址,并在这一基础上对MAC 地址加以隐藏。因部分漏洞能够通过升级和更新进行修复,所以要及时对系统进行升级,消除漏洞,不给攻击者以可乘之机,保证立德树人评价体系平台的运行安全性。
3.5 入侵检测技术
对于立德树人评价体系平台而言,非法入侵是其安全运行的主要威胁之一,为有效解决这一问题,本平台可以采用入侵检测技术。通过入侵检测技术的应用,能够对网络传输进行实时监视,当发现其中存在可疑的传输时,入侵检测系统会自行发出报警提示,并作出主动防御。为使入侵检测系统在保障本平台运行安全方面的作用得以最大限度地发挥,可以将入侵检测系统安装在交换机上。这是因为交换机中汇集了大量的网络流量,并且外网也是经智能防火墙与交换机进行互连,从而使得交换机成为数据信息的重要节点,也是黑客非法入侵的主要对象。所以,为对入侵与攻击行为进行全面监测,可将入侵检测系统安装在交换机上。除此之外,本平台在管理上可以采用如下安全措施:信息分流、权限管理、密码管理等,避免非授权人员对平台内的重要信息进行访问,进一步保证本平台的运行安全。
3.6 防病毒技术
网络病毒对立德树人评价体系平台的安全性具有一定的威胁,尤其是一些顽固和变异的病毒,为降低网络病毒对本平台安全运行的影响程度,可以采用防病毒技术。在本平台中,对防病毒系统进行部署时,应当选取性能可靠的防病毒产品,通过对不同产品的技术性能进行比较,从中选出性价比最高的产品。如果没有适合本平台的产品,学校可与国内知名的厂商取得联系,针对本平台的特点,开发定制版的防病毒系统,这样可以使网络病毒的防范更加全面、具体。虽然定制版的防病毒系统开发需要投入一定的资金,但由于是量身定做,所以在病毒的防范上效果更佳,平台基本上不会受到病毒的威胁,安全性得到保障。
4 结论
总而言之,高校要加强研究生导师立德树人评价体系平台的安全防范,在平台安全防范体系建设中,合理运用登录认证技术、物理隔离技术、漏洞扫描技术、入侵检测技术以及防病毒技术等先进的防范技术,不断提高系统平台的安全防护能力,从而保证系统平台安全、稳定运行,这对于平台作用的发挥具有重要的现实意义。