随着现代计算机计算的不断发展与普及应用,信息技术也得到了飞速进步,特别是近年来,计算机在全国范围内开始普及,同时信息技术与网络资源也已经得到了有效的联合。虽然信息网络技术的发展让人们的生活和工作有了翻天覆地的变化,也在很大程度上改变了校园环境。但网络资源在缺乏防护或者安全保护不充分的情况下,依旧可能受到来自于黑客的攻击,从而导致网络资源的泄露或破坏。所以,做好校园网的信息安全防护非常重要。
1高校校园网信息安全现状
随着近年来我国高校信息化水平的不断提升,国内高校校园网中所运行的应用也持续增多,校园网信息系统变得更加复杂,甚至很多高校把一些十分重要的科研成果、科研课题以及很多关键的技术资料都存储于校园网中的服务器内。现阶段校园网很容易受到诸如病毒、黑客等攻击,校园网中应用了大量的服务器,安装了各种应用软件,存储了很多宝贵的资料数据,其中主要有Web、FTP、邮件服务器以及办公自动化等。这些服务器也很容易成为不法分子攻击的目标。随着高校网络出口宽带的不断加大,应用服务系统还会持续增多,校园网用户的数量也持上升趋势,与校园网相关的信息安全问题开始凸显出来。部分高校对校园网信息安全不是非常重视,相关的信息安全技术员的防范意识薄弱,这就导致攻击者有机可乘;还有部分高校并未添置确保信息安全的硬件设备,针对校园网信息安全的资金投入比较缺乏,甚至根本没有预算,校园网硬件设备陈旧老化,软件系统漏洞百出,存在非常大的安全隐患。校园网内所安装的应用软件也存在漏洞,这些漏洞很容易导致校园网的故障甚至瘫痪。据相关数据显示,全球范围内基本上所有高校的服务器都曾经受到过黑客的入侵或不同程度的攻击,可见校园网信息安全问题已经成为了一个迫切需要解决的关键问题[1]。
2校园网信息安全风险因素
校园网的网络连接形式相对复杂,系统中涉及到的设备数量较多,这些因素都会在一定程度上给校园网信息安全产生很多风险因素,这些风险通常来自于下面几个方面:(1)互联网带来的风险。校园网的建设基本上都需要借助于Internet技术,同时还需要与互联网相连接。网络用户能够直接对互联网资源进行访问,同理互联网用户也能够通过一些手段来访问校园网的资源。互联网中的信息不能够百分之百确信,因为网络信息的安全性存在隐患,是否会带来网络攻击也无法预料。因此在使用校园网的过程中必须要真正抓好安全防范工作,预防可能存在的安全风险。(2)病毒带来的风险。病毒属于非法程序,通常是为了实现某些不法企图而编写的,具有极强的复制能力。病毒可能会对校园网造成毁灭性的损害。特别是现阶段计算机网络技术的飞速发展,电子邮件用户逐渐增多,让互联网变成了病毒扩散的主要载体,很多病毒都能够借助于互联网和计算机这一平台来肆意传播,因此,校园网中的数据信息在日益开放的网络环境下很容易受到病毒的破坏。(3)系统可能产生的安全风险。这一风险因素通常来源于数据库系统、操作系统或者应用系统。大部分校园网通常都会用到Linux、Unix或者Windows系统,最常见的为Win-dows系统。任何操作系统其自身都不会做到完美无缺,或多或少都会存在很多未知的安全隐患,同时也有很多第三方软件或安全组织已经对其中存在的漏洞进行了披露,发布了一些修复补丁。但黑客会利用一些未知的漏洞嵌入到校园网中,对系统进行破坏[2]。(4)管理方面存在的安全风险。管理工作在校园网信息安全防范中占据着非常关键的地位。很多学校都把校园网的建设放在首位而忽略了对其的安全管理。产生安全隐患的一个非常关键的原因便是学校并未建立全面的网络信息安全管理机制。比如说校园网用户的安全防范意识薄弱,校园网没有完善的管理制度,校园网信息安全技术人员用户口令设置不合理等,这些都可能给校园网信息安全造成威胁。
3校园网信息安全技术的应用
3.1网络层安全技术
确保网络层的安全是保障校园网基础设施安全性与稳定性的重要手段,它能够有效防范外部非法接入。(1)以技术实现架构的方向来说,校园网网络框架的层次清晰,采取核心层、汇聚层以及接入层的结构;其中的重要设备能够实现冗余设置;(2)其网络边界必须明确,必须与IATF的网络基础设施、计算环境以及支撑基础设置防御原则相符合,从而更加有助于进行安全控制。从设备的方向上而言,各个层次的设备所需求的安全实现方式是各不相同。1)校园网核心设备的防护指的是避免核心设备受到物理损坏或者网络攻击所导致的设备性能受到影响。所以我们可以采取以下策略:①无阻塞交换设备;②应用分布处理技术或QOS技术;③节点关键设备冗余备份,当系统产生故障现象之后能够第一时间切换备用模块;④网络设备应用多极安全密码体系,防止非法用户登录。2)汇聚层设备应当强调其流量控制以及做好用户管理工作,以实现如下功能:①确保接入侧用户之间隔离,避免IP地址被复制盗用,避免用户之间进行相互攻击;②IP地址和MAC地址进行绑定,端口或者MAC地址绑定,能够提供追踪非法用户的途径;③能够限制最大接入的IP地址数、TCP/UDP连接数等,从而避免DOS类攻击;④能够对控制列表进行访问,比如说在虚拟路由器内建立控制列表,借助多种网络安全层业务支撑安全层、网络监控以及身份认证系统、远程教育教学管理等主机、操作系统、设备、网络线路等校园网信息安全层次模型过滤规则,对于目标网络可以提供多层次全方位的安全保护,还可以直接禁止一部分用户进行访问,有选择性地对一些网络服务进行屏蔽等[3]。对接入层设备来说,可以通过用户隔离;用户流量带宽控制等方式来对其进行安全防护。网络边界可以选择使用防火墙技术、入侵检测技术以及VPN接入来确保其安全。
3.2业务支撑层安全技术
业务支撑层属于应用层的基础,其中主要包含了主机(提供网络服务的服务器)、资源(提供可以被用户使用的系统设备和服务,诸如CPU资源、内存资源以及网络服务等)、操作系统以及基础数据库(诸如教学资源数据库、教学管理信息库)等。业务支撑层的安全必须要根据校园网特性以及操作系统的实际情况,在用户与主机之间、主机与主机之间,进行更加严格的访问控制,利用加密技术构建更为安全的数据传输通道,能够实现不同用户在不受限制的时间地点对校园网内的资源进行不同权限访问。另外,主机还应当应用入侵检测技术,可以第一时间找到网络攻击和其他入侵行为并快速地进行响应,比如说切断用户连接处理。对于现阶段日益严重的计算机网络病毒,应当设置网络化的校园网防毒系统,避免对系统内的数据造成损害。此外,还应当做好下面几点工作:(1)操作系统漏洞的修复与完善;(2)校园网内基础应用程序的升级与修复;(3)数据库和其他守护进程的完善修复;(4)数据安全保护工作,比如说数据库的访问控制、数据完整性、数据监控与审计以及数据的备份安全等。
3.3网络监控与身份认证
网络监控系统的本质属于技术安全手段,它借助于完善的安保功能来确保网内安全,其中主要包含漏洞管理、威胁管理或者配置管理等。网络监控系统通常来说是从网络交换设备、安全设备、主机系统、应用系统或者数据库等方面进行部署。利用分析路由器交换机的访问日志的方式来检查接入情况;通过防护设备报警信息和防火墙非正常连接现象来判定校园网的实际安全状况;对服务器的监控主要是利用性能检查、日志和系统错误报警以及应用错误报警等进行识别;对于关键应用以及核心数据的访问日志和报警来判定系统内的安全情况。身份认证系统贯穿于整个校园网系统之内,它可以帮助我们很好地处理访问者物理身份与数字身份一致性的问题。因为校园网内存在诸多的应用系统,每个系统具备独立的安全策略,利用统一的身份认证,选择单点登录机制,应用单一帐号,系统维护自动接驳到后台各个应用系统的帐号管理。在具体实施的过程中要建立身份认证数据库,把访问信息进行集中独立管理;建立单一的目录来充当数据源;身份认证技术可以很好地帮助校园网信息安全技术人员创建与销毁网络账户[4]。
3.4防火墙安全技术的应用
防火墙可以说是网络信息安全的屏障,只有被允许的应用协议才能够通过防火墙,因此它能够保证校园网环境变得更加安全。软件防火墙应当基于校园网的操作系统,若操作系统受到影响,则防火墙的运行便会失去稳定性。软件防火墙会占用服务器资源,而硬件防火墙属于专用设备,其效率与性能更高,且具备更高的安全性。所以学校在需要进行保护的服务器前应接入硬件防火墙。在对防火墙策略进行配置的过程中必须要细化到服务器的各个端口。Windows系统默认有很多服务端口,可对部分不必要的端口予以关闭处理。比如说基于包过滤的防火墙,在对其中某一台服务器进行设置时,需要何种服务再开启什么端口,选择最小授权的方式。针对部分关键的应用来说,基于包过滤的防火墙的过滤规则为:(1)允许外网对校园网中WWW服务器的HTTP连接,开放80端口;(2)允许外网对校园网中电子邮件服务的P0P3以及SMTP连接,开放22、25、110、80连接;(3)允许外网对校园网中DNS查询,开放53端口;(4)允许校园网中的用户使用FTP服务,开放21端口。
4结语
校园网信息安全工作是一项长期性的系统工程,校园网的运行环境是复杂多变的,任何不安全因素的干扰,比如说人为恶意破坏、管理人员操作失误、黑客侵入、操作系统漏洞、网络环境波动等,都可能会对校园网的安全稳定运行产生较大的影响。随着计算机信息技术的飞速发展,校园网信息安全所面临的威胁也在逐渐增多,所以我们必须要努力创新防范管理技术,不断完善校园网中心管理制度,努力提升信息安全技术管理人员的专业水平,同时还应当加快校园网信息安全技术手段的研究,真正确保校园网的安全稳定运行。
作者:陈韵 单位:河南大学计算机与信息工程学院
