梁艳 李亚亭

（1.新疆医科大学厚博学院 新疆维吾尔自治区克拉玛依市 834000 2.新疆师范大学 新疆维吾尔自治区乌鲁木齐市 830017）

在人们的生活、工作中计算机发挥出了非常重要的作用和价值，计算机网络在带给人们便利的同时，也给人们带来了一些问题，其中最为明显和突出就是计算机网络信息安全问题，对人们的生活和工作产生了很大的困扰。所以，完善计算机网络信息安全系统，提高计算机网络的安全成为计算机网络安全工作人员需要重点思考的问题。计算机网络有着很强的开放性，所以，网络信息的安全性受到了很大的威胁和挑战。基于此，本文以高校计算机网络信息安全及防护措施为研究对象，对提高高校计算机网络信息安全进行了详细的分析和讨论。

1 高校计算机网络信息安全的意义

1.1 保障高校教学活动的有序开展

随着科学技术在教育领域中的广泛应用，我国高校使用计算机网络教学成为一种普遍现象，在教学过程中，网络中的丰富信息和数据资源为教学工作的开展提供了众多的便利[1]。但是，如果高校计算机网络中出现了一些信息安全威胁，那么势必会影响到高校教学的质量，所以，加强高校计算机网络信息安全对确保高校教学活动的开展提供了重要的技术支撑。

1.2 为高校信息化建设提供基础保障

高校信息化建设需要安全完善的计算机网络信息环境，所以，只有保障高校计算机网络信息安全，才可以实现高校信息化的发展。

1.3 净化高校校园网络环境

良好的校园环境对提升学生们的思想品德和道德素养有着非常重要的作用。在计算机网络信息时代的发展下，大学生们和网络的接触日益紧密，但是网络中的不良文化会对大学生的价值观、人生观和世界观产生很大的不良影响，所以，加强高校计算机网络信息安全，可以在很大的程度上净化校园网络环境，避免一些不良文化对大学生产生干扰，从而构建起洁净的校园网络环境[2]。

2 高校计算机网络信息安全现状及需求

2.1 高校计算机校园网络信息安全现状和问题

2.1.1 校园网络信息安全建设的现状

现在，在我国很多高校中，校园网络主要的类型是星型拓扑结构，主要是在学校各个教学楼和宿舍楼之间铺设光缆，和网络、电信等第三方之间建立起合作关系，并根据技术的完善情况来进行网络优化和升级，目前，各大高校中已经实现了千兆光纤。

2.1.2 校园网络系统安全保护等级

按照《信息系统安全等级保护顶级指南》需要对学校的实际规模情况、影响力情况和学校网络业务类型的情况进行分析，根据受到入侵后对学校师生、学校自身、其他组织、社会秩序、公共利益，以及国家安全的影响情况进行不同安全等级的划分。而目前，大部分的高校校园网络信息安全等级如表1所示。

2.1.3 高校网络信息安全中的问题和不足

在各个高校信息化技术不断发展的影响下，很多高校建立起了IDC机房、智慧化校园网络等，对校园网络信息的安全采取了一系列的措施和方法，但是，在网络信息安全方面仍然存在着一些不足和问题。

（1）随着学校的发展，学校的规模在不断的加大，学校校园网络中的用户也在不断的增加，出口带宽也在不断的优化和升级，信息存储的空间也在不断的加大，这些在无形中就增加了学校网络信息安全的压力；

（2）计算机系统管理越来越复杂，但是因为在安全管理上并没有形成同意的设备管理和维护，一旦出现计算机感染病毒的情况，将会影响到其他网络的安全；

（3）现阶段，很多高校大学生们对新鲜事物的兴趣都非常浓厚，对于网络新鲜事物的探索比较频繁，如果没有对其进行引导，学生们势必会被网络中的一些不良文化所误导，在校园中传播，再加上一些校园网络中有很大的信息量，非常容易遭受到恶意系统的攻击，对校园网络产生不良的影响；

（4）校园网络的环境是开放的，每个学校中都会有很多教学和科研实验室，这些实验室大多是开放式的，在管理上有所欠缺，这样就为恶意系统的攻击创造了便利条件，但是，如果对这些实验室过于限制，在很大程度上会限制各种科研技术和教学成果的共享和使用[3]。

表1：校园网络信息系统安全等级一览表

表2：主机安全检查范围表

表3：DMZ区域服务器巡检工作内容

2.2 高校计算机网络信息安全技术的需求

从技术的角度上来说，高校计算机网络信息安全设计需要具备应用安全层、数据安全层、网络安全层、主机安全层、物理安全层等多项技术，以此来保障高校计算机网络信息安全。

（1）物理安全层主要是对计算机各种硬件基础设施的安全防护，避免因人为、自然灾害受到损害。通常情况下，物理安全层的设计建设需要满足配点要求、环境要求、照明要求接地系统要求等。

（2）网络安全层主要是指需要对高校的通信安全进行解决，如访问控制的部署、机密的认证、病毒防御和相关的入侵检测等。如果按照划分区域隔离和访问控制的需求，需要对不同安全等级的系统进行隔离划分，并且还要对不同区域的通信业务进行授权控制，可以使用VLAN、VPN等隔离技术。在入侵检测和防御方面，需要跳过防火墙的攻击防御厚，进行相关的防御措施。

（3）主机安全层指的是校园计算机网络信息安全中，不同操作下的系统安全需求。主机安全层可以更好的保障校园网络信息安全。一般情况下，学校主机安全检查包括表2中的内容[4]。

（4）应用安全层；指的是计算机主机中所有的应用软件，需要对这些软件登录、使用、退出等操作进行记录，对一些非法的访问及时通知系统管理员，并在发生安全隐患的情况下提供举证参考。

（5）数据安全层是指高校正常教学、科研、以及其他业务正常运行的基础，所以，要保障其完整性、保密性和安全性。

（6）安全管理层指的是高校计算机网络安全中专业的技术管理人员和管理部门。对学校计算机网络信息的安全需要采取一系列的保护措施。

3 高校计算机网络信息安全策略

3.1 设计完整的校园网络信息安全防护整体方案

首先，要设计符合学校网络安全的网络拓扑；以保护学校的信息系统为主，根据学校的网络保护等级的标准来进行拓扑设计和建设，把高校网络信息系统分为一个主干网络和多个安全区域，其中主干网络要实现高校各个干网网络的相互连通，另外一些安全区域要形成外网区域、内网区域和DMZ区域；外网区域主要是指防火墙外联区域，保障用户对外网资源的访问安全；内网区域是防火墙内部联系区域，主要连接的是高校中的所有本地计算机主机；DMZ区域是一组服务器，形成的是对外开放访问资源的接入性服务。

其次，科学选择合理的设备；在进行设备选择时要以节约资源经费的原则，要从防病毒官网、防火墙、入侵防御、上网行为管理与流控、漏洞扫描和机房动力环境监控系统、以及WAF等方面进行选择。

另外，在进行防御设计的过程中，高校计算机网络信息安全防御主要是以整个网络环境的变化情况和技术的完善来进行优化和完善的，所以，在进行防御设计的过程中，需要坚持整体性原则，按照需求、代价和风险平衡的原则，分级授权和整体性综合分析的原则，便于用户使用的原则，可实施的原则，灵活适应性原则，可维护评估的原则来进行设计。

3.2 网络安全层的设计

（1）合理划分VLAN；要对计算机网络中的IPv4和IPv6地址进行合理的划分和管理，从最早的自动获取逐渐发展，最终取代代理和NAT，实现各个楼宇、教室、宿舍和机房等空间的计算机智能设备地址的认证和关联性的管理，让无序和无规律的地址区域划分更加合理化。

（2）安装VPN设备；加强学校计算机网络信息安全，还需要在学校网络出口旁路的位置设置1台VPN设备，同时管理人员还需要多设置一些访问账户或者是多个服务器，这样外部用户在进行访问的过程中，就需要得到该计算机访问的授权资格，形成一种独立的加膜隧道。一些信息数据仅可以在隧道内部进行传输，这样在很大的程度上提升了计算机网络信息的安全性，同时还保障了访问权限的内部活动[5]。

3.3 完善主机安全层设计

在进行主机安全层设计的过程中，服务器安装的操作系统包括了Windows系统、Linux系统、Unix系统等等，在这些系统安装结束之后，需要定期对这些系统进行漏洞系统的扫描，不断的优化补丁，保障系统的安全性。

高校中计算机的使用量是非常大的，所以，学校信息化建设部门需要对各自层面的安全进行保障，在解决安全问题的基础上，还要在校园中积极组织和开展计算机网络信息安全知识的讲座，根据高校计算机网络信息的实际使用情况来进行相关内容的宣传和介绍；例如，在Windows系统中，要从以下几个方面来实施；

（1）保障每一台计算机中所安装使用的系统和应用软件都是正版系统；

（2）在进行相关安全配置测试的过程中，要严格的按照服务器系统的安全配置来实施；

（3）对日志，以及日期记录功能的信息存储在3个月以上；

（4）定期对各个计算机系统中的补丁和漏洞进行安全补丁升级；

（5）确保计算机防火墙系统的正常运行，关闭一些存在安全隐患的窗口；

（6）定期对计算机系统进行漏洞的安全扫描和检查；

（7）对病毒查杀软件及时进行更新；

（8）对终端系统的上网行为进行IDP设备和管理设备的检测和防护。

此外，还要对DMZ区服务器进行相关的巡检工作[6]，如表3所示。

4 结语

高校计算机网络信息安全直接关系到高校的教学质量和科研成果的安全，在一定程度上还关系到社会公共利益的安全，所以，要加强高校计算机网络信息安全防护工作，根据高校计算机网络信息安全的现状和其中存在的问题，不断的完善计算机网络信息安全设计，提高计算机网络信息安全防范水平，为高校教学工作的开展提供良好的环境，为大学生的健康发展提供有力的保障。