【高校網(wǎng)絡(luò)安全問題與應(yīng)對策略11000字（論文）】

高校網(wǎng)絡(luò)安全問題與應(yīng)對策略目錄TOC\o"1-2"\h\u14588引言 II摘要：隨著網(wǎng)絡(luò)的普及和發(fā)展，大學(xué)校園網(wǎng)作為校園重要的信息化和數(shù)字化基礎(chǔ)設(shè)施，服務(wù)于學(xué)校教學(xué)、科研、管理、對外交流等方面的重要項目，為辦學(xué)提供了良好的保障。大學(xué)校園網(wǎng)現(xiàn)已加入所有大學(xué)部門，成為所有大學(xué)校園的基礎(chǔ)設(shè)備。學(xué)校需要越來越多的可操作性和網(wǎng)絡(luò)安全性，因此構(gòu)建合理的網(wǎng)絡(luò)安全性體系尤為重要。本文首先闡述了高校校園網(wǎng)安全的背景、意義和計算機網(wǎng)絡(luò)的發(fā)展趨勢；其次分析了高校校園網(wǎng)絡(luò)的安全形勢以及校園網(wǎng)網(wǎng)絡(luò)在實際應(yīng)用中存在安全問題，并探討和改進了目前存在的部分問題。最后，針對存在的問題提出了設(shè)置白名單機制、最小權(quán)限法則、縱深防御等安全原則，采取相應(yīng)的措施改進校園網(wǎng)網(wǎng)絡(luò)存在的問題，有利于維護校園網(wǎng)的安全。關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；校園網(wǎng)；網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全；安全策略引言網(wǎng)絡(luò)的快速普及和發(fā)展也加快了信息的傳播速度和校園的數(shù)字化進程，作為大學(xué)網(wǎng)絡(luò)信息化和數(shù)字化的基礎(chǔ)設(shè)施，提供學(xué)校教育管理、科研和外匯業(yè)務(wù)方面的項目。如今，大學(xué)校園網(wǎng)絡(luò)已在各院系普及，大學(xué)校園網(wǎng)絡(luò)已成為校園發(fā)展的基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全方面應(yīng)該加大重視的力度，而對該方面的重視集中表現(xiàn)在網(wǎng)絡(luò)安全和可管理上。從現(xiàn)如今的的網(wǎng)絡(luò)攻擊和威脅來看，如果只依靠單一的網(wǎng)絡(luò)設(shè)備或簡單的安全技術(shù)是無法保證高校校園網(wǎng)的安全。隨著網(wǎng)絡(luò)安全技術(shù)的吧進步和發(fā)展，校園網(wǎng)內(nèi)部的情況也會變得復(fù)雜，由此，對于校園網(wǎng)安全體系的建設(shè)和規(guī)劃，要從整體安全狀況出發(fā)，層層建設(shè)，從核心到終端的綜合部署，從而減少整個高校校園網(wǎng)的安全威脅，給校園網(wǎng)用戶提供有力保障。網(wǎng)絡(luò)空間安全行業(yè)作為國家支持和發(fā)展的高新技術(shù)產(chǎn)業(yè)和戰(zhàn)略性產(chǎn)業(yè)之一，由國家政策大力扶持。自2016年以來，我國政府頒布了《網(wǎng)絡(luò)安全法》等重要法規(guī)并制定了《“十三五”國家信息化規(guī)劃》《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃(2016-2020)年》《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016-2020)年》等政策規(guī)劃，從政策、制度以及法規(guī)等多個方面促進國內(nèi)網(wǎng)絡(luò)安全行業(yè)的發(fā)展，對政府、企業(yè)等網(wǎng)絡(luò)安全有了更高的要求。隨著我國《網(wǎng)絡(luò)安全法》的頒布實施和相關(guān)規(guī)劃的持續(xù)推進，相關(guān)政策也為安全行業(yè)的發(fā)展提供了新的機遇和更有力的支持。國家政策從兩個大的方面推動了我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，一方面，對網(wǎng)絡(luò)安全的重視程度要加強，網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用規(guī)模需要提高；另一方面，從硬件設(shè)備等基礎(chǔ)設(shè)施上杜絕和消除網(wǎng)絡(luò)信息安全隱患。確保大學(xué)校園網(wǎng)絡(luò)將改善學(xué)習(xí)環(huán)境和學(xué)術(shù)交流，并影響大學(xué)的未來和發(fā)展。學(xué)校網(wǎng)絡(luò)的發(fā)展不僅可以保證現(xiàn)有學(xué)校資源的安全和完善，還可以改善網(wǎng)絡(luò)的工作環(huán)境，提高網(wǎng)絡(luò)的管理和維護能力，增加網(wǎng)絡(luò)的可靠性。這就是為什么大學(xué)網(wǎng)絡(luò)的安全性非常重要的原因。一、高校校園網(wǎng)絡(luò)安全問題概述（一）網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全概念1.網(wǎng)絡(luò)的功能在互聯(lián)網(wǎng)信息技術(shù)的推動下，人類社會科學(xué)技術(shù)發(fā)展迅速，人們的生活、教學(xué)和工作都發(fā)生了變化。如今，大多數(shù)學(xué)校都使用網(wǎng)絡(luò)技術(shù)，因此教育不僅限于課堂，許多學(xué)校都有在線課程，并且可以在所有專業(yè)中完成高質(zhì)量的在線課程，而不僅僅是在某些學(xué)校的網(wǎng)站上進行學(xué)習(xí)，自己感興趣的課程也可以研究學(xué)習(xí)。同時，高校教師也在不斷探索新的教學(xué)方法，不僅將教學(xué)任務(wù)融入教學(xué)，更便于網(wǎng)絡(luò)分享教學(xué)信息，這對教學(xué)質(zhì)量大有裨益。2.網(wǎng)絡(luò)安全的內(nèi)涵所謂網(wǎng)絡(luò)安全，就是為了保護計算機網(wǎng)絡(luò)系統(tǒng)的軟硬件免受外部因素的影響，防止數(shù)據(jù)損壞和被盜，使所有網(wǎng)絡(luò)系統(tǒng)都是安全的和健康的。信息安全就是保護信息的完整性、機密性和可用性。網(wǎng)絡(luò)安全性的含義非常廣泛，不僅限于計算機技術(shù)和網(wǎng)絡(luò)系統(tǒng)的集成，還涵蓋了以下領(lǐng)域：信息和通信、數(shù)學(xué)和保密工程領(lǐng)域。3.常用網(wǎng)絡(luò)安全技術(shù)（1）防火墻防火墻是一個保護屏障，由軟件和硬件的組合組成，建立在內(nèi)聯(lián)網(wǎng)和外網(wǎng)之間的接口上，以及私人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間。網(wǎng)絡(luò)防火墻是一種網(wǎng)絡(luò)安全系統(tǒng)，它監(jiān)控并依據(jù)預(yù)定義的規(guī)則控制進入和外發(fā)的網(wǎng)絡(luò)流量。防火墻系統(tǒng)尤其包括服務(wù)訪問、身份驗證工具、數(shù)據(jù)包過濾器和應(yīng)用程序奴役的規(guī)則。防火墻是計算機上連接到網(wǎng)絡(luò)的軟件或硬件。進出這臺計算機的所有網(wǎng)絡(luò)流量和數(shù)據(jù)包都通過此防火墻。至于硬件防火墻，有許多來自國內(nèi)外制造商的防火墻產(chǎn)品值得使用。例如：以華為防火墻產(chǎn)品USG6325E-AC來看，作為下一代防火墻的的代表之一，第一時間獲取新威脅信息、準(zhǔn)確檢測并防御針對漏洞的攻擊等重要的功能。軟件防火墻的產(chǎn)品也是非常多的，這些軟件防火墻針對不同的攻擊方式啟用相關(guān)的防范措施。比如下面一款叫做火絨劍的網(wǎng)絡(luò)監(jiān)控軟件，如圖1所示。通過時時監(jiān)控與網(wǎng)絡(luò)連接的進程以及跟蹤敏感進程的網(wǎng)絡(luò)流量信息。達到對涉及到主機的提權(quán)、敏感文件的防護功能。圖1火絨劍網(wǎng)絡(luò)監(jiān)控軟件（2）VPNVPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是架設(shè)在共享的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施上，在非受信任的網(wǎng)絡(luò)上建立私有的和安全的連接，把分布在不同地域的信息基礎(chǔ)設(shè)施、辦公場所、用戶或商業(yè)伙伴互聯(lián)起來。VPN是擴展網(wǎng)絡(luò)不可分割的一部分，它確保了網(wǎng)絡(luò)的安全，同時擴展了網(wǎng)絡(luò)的要素。（3）入侵檢測根據(jù)部署的位置，入侵檢測系統(tǒng)大致可以分為網(wǎng)絡(luò)入侵檢測和主機入侵檢測。網(wǎng)絡(luò)入侵檢測系統(tǒng)安裝在網(wǎng)絡(luò)邊界，提供整個網(wǎng)絡(luò)的入侵檢測功能和服務(wù)，分析網(wǎng)絡(luò)流量，識別入侵。主機入侵檢測系統(tǒng)獨立安裝在每臺主機上，提供入侵檢測功能和服務(wù)，通過解析文件特征、網(wǎng)絡(luò)流量和連接活動、進程行為、日志字符串匹配等，判斷是否發(fā)生掃描器掃描或入侵。在系統(tǒng)發(fā)生故障的情況下，冗余設(shè)備會介入并負責(zé)有缺陷的設(shè)備的工作。盡管安全技術(shù)和措施可以減少網(wǎng)絡(luò)攻擊并保護系統(tǒng)的大部分漏洞，但如果沒有過度的系統(tǒng)設(shè)計或安全性，任何技術(shù)或措施都無法阻止或阻止已知或未知的威脅或可能的攻擊，系統(tǒng)安全也得不到保證。正常的工作設(shè)備保證了系統(tǒng)的可靠性和穩(wěn)定性，使網(wǎng)絡(luò)管理員能夠創(chuàng)建網(wǎng)絡(luò)保護系統(tǒng)以節(jié)省時間，這一點很重要。（二）高校校園網(wǎng)絡(luò)概述1.校園網(wǎng)的用途大學(xué)校園網(wǎng)絡(luò)可為教師、學(xué)生和其他教職員工提供全校范圍內(nèi)的寬帶多媒體網(wǎng)絡(luò)服務(wù)。大學(xué)校園網(wǎng)絡(luò)是一個具有信息交換、信息共享等特點的局域網(wǎng)，非常特殊且專業(yè)。大學(xué)校園網(wǎng)絡(luò)是連接多媒體學(xué)習(xí)的信息平臺、教師研究平臺和校園服務(wù)平臺，校園網(wǎng)絡(luò)也是一個大型的本地網(wǎng)絡(luò)，由多個小型本地網(wǎng)絡(luò)通過無線或有線連接，這個小型內(nèi)部本地網(wǎng)絡(luò)可以是大學(xué)、專業(yè)或院系。為了方便大學(xué)管理和服務(wù)人員的工作，大學(xué)網(wǎng)絡(luò)應(yīng)該有綜合的教學(xué)、行政和管理工作，以便更好地進行教學(xué)管理、資產(chǎn)管理、后勤管理等。因此，大學(xué)校園網(wǎng)絡(luò)應(yīng)該有更好的互聯(lián)網(wǎng)帶寬和較強的專業(yè)性、交互性。2.高校校園網(wǎng)的設(shè)計及原則我們將按照以下原則設(shè)計大學(xué)的網(wǎng)絡(luò)安全體系，提供較為全面、系統(tǒng)的網(wǎng)絡(luò)安全解決方案：（1）體系化設(shè)計原則在分析網(wǎng)絡(luò)層次結(jié)構(gòu)和安全需求的基礎(chǔ)上，提出了科學(xué)的安全體系和模型。根據(jù)安全模型和原則，分析了高校網(wǎng)絡(luò)中可能存在的安全威脅。提出全面的網(wǎng)絡(luò)安全措施，以此將未來可能發(fā)生的安全方面的問題解決。（2）全局性、均衡性原則為了平衡信息資產(chǎn)的價值和安全風(fēng)險，根據(jù)資產(chǎn)價值的風(fēng)險準(zhǔn)則，采用由高到低的預(yù)防方案，使最終的解決方案產(chǎn)生最佳效果。（3）可行性、可靠性原則更新后的網(wǎng)絡(luò)安全政策應(yīng)用后，不影響原高校網(wǎng)絡(luò)和應(yīng)用系統(tǒng)。在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運行的情況下，網(wǎng)絡(luò)安全強度非常好和數(shù)據(jù)資產(chǎn)的安全性。3.高校校園網(wǎng)特殊的安全性校園網(wǎng)絡(luò)安全的主要目的是在大學(xué)網(wǎng)絡(luò)中實施各種組織措施，特別是提供網(wǎng)絡(luò)安全服務(wù)。因此，校園網(wǎng)絡(luò)必須實現(xiàn)以下安全目標(biāo)：校園的可訪問性和完整性；大學(xué)校園網(wǎng)絡(luò)物理設(shè)備的可靠性和完整性；學(xué)校網(wǎng)絡(luò)數(shù)據(jù)和信息的機密性和完整性；大學(xué)網(wǎng)絡(luò)系統(tǒng)運行的完整性；網(wǎng)絡(luò)操作系統(tǒng)的完整性，以校園的角度出發(fā)，對校園網(wǎng)絡(luò)進行可控管理。（三）高校校園網(wǎng)安全的需求分析大學(xué)校園網(wǎng)絡(luò)的發(fā)展不僅搭建了硬件平臺，還為應(yīng)用系統(tǒng)搭建了軟件平臺，大學(xué)網(wǎng)絡(luò)的主要作用是服務(wù)，所有師生都是大學(xué)網(wǎng)絡(luò)的用戶。為適應(yīng)現(xiàn)代校園的教學(xué)需求，實現(xiàn)教學(xué)現(xiàn)代化需求，利用計算機信息系統(tǒng)實施教育現(xiàn)代化，提高教育的整體水平，精簡日常學(xué)校管理，提高管理方面的效率，強化各個學(xué)校之間的資源共享，并通過計算機網(wǎng)絡(luò)加強學(xué)校和家長之間的溝通交流。為此，校園網(wǎng)應(yīng)實現(xiàn)以下目標(biāo)：1.教育管理需要網(wǎng)絡(luò)化來完成高校教育管理信息的采集、預(yù)處理、處理、統(tǒng)計和分析。它還提高了學(xué)校各部門辦公室的自動化程度，并簡化了學(xué)校的管理，提高了效率，收集和維護行政、人力資源、財務(wù)、薪酬、教育管理、學(xué)生、后勤等高校數(shù)據(jù)的各種數(shù)據(jù)，并根據(jù)用戶需求授權(quán)查詢和維護。2.它充分發(fā)揮高校校園網(wǎng)絡(luò)化的作用，涉及多媒體網(wǎng)絡(luò)的制作，完成教師信息和多媒體備課。3.校園需要建立內(nèi)部電子郵件服務(wù)，以方便訪問大學(xué)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。接入中國教研網(wǎng)和互聯(lián)網(wǎng)進行實時數(shù)據(jù)交換、信息共享。（四）校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全問題分析隨著高校的快速發(fā)展，高校紛紛提出“建設(shè)數(shù)字校園”的口號。作為大學(xué)網(wǎng)絡(luò)的重要組成部分和基礎(chǔ)平臺，我們構(gòu)建了一個完整、先進、高效的大學(xué)網(wǎng)絡(luò)。每個計算機室都可以與互聯(lián)網(wǎng)相連接，多媒體室的一部分可以根據(jù)教師的需要連接到互聯(lián)網(wǎng)。在一門課程結(jié)束后，可以通過學(xué)校的無線和無線網(wǎng)絡(luò)，對其進行申請和學(xué)習(xí)，從而將工作和學(xué)習(xí)效率提高。學(xué)?？梢哉埱蠼逃W(wǎng)絡(luò)和域名的路徑，并在網(wǎng)絡(luò)中心的云計算機上創(chuàng)建虛擬服務(wù)。虛擬化服務(wù)中心可以提高服務(wù)器性能，提高容錯能力，將數(shù)據(jù)速度提高到萬兆，連接基礎(chǔ)設(shè)備，提高數(shù)據(jù)響應(yīng)能力。網(wǎng)絡(luò)拓撲如圖2所示。圖2網(wǎng)絡(luò)拓撲圖整個校園網(wǎng)絡(luò)構(gòu)成了核心、融合和分布式訪問設(shè)計，多鏈路災(zāi)難恢復(fù)設(shè)計，大型融合和分區(qū)模塊化網(wǎng)絡(luò)設(shè)計，靈活簡單的管理策略；可以拓展網(wǎng)絡(luò)靈活性，并且還強調(diào)性能和應(yīng)用程序；最后，基本設(shè)備設(shè)計有許多鏈路分區(qū)模塊化，并實現(xiàn)了分區(qū)管理。分區(qū)管理的引入使得網(wǎng)絡(luò)管理能夠統(tǒng)一控制，對網(wǎng)絡(luò)策略的設(shè)計可以定制化。由于分區(qū)域，可以引導(dǎo)用戶的網(wǎng)絡(luò)并分擔(dān)用戶的數(shù)據(jù)負載。這些網(wǎng)設(shè)備為現(xiàn)有IPv4網(wǎng)絡(luò)之間的通信以及IPv4與IPv6之間的轉(zhuǎn)換提供了最便捷、最靈活的支持和保障。二、高校校園網(wǎng)安全現(xiàn)狀分析隨著計算機網(wǎng)絡(luò)的發(fā)展，高校建立了管理學(xué)生信息的大學(xué)校園網(wǎng)絡(luò)，使學(xué)生更容易管理，同時，也為教師建立了一個教學(xué)的交流平臺，一方面，大學(xué)網(wǎng)絡(luò)有很多優(yōu)勢，另一方面，大學(xué)網(wǎng)絡(luò)是開放的，來自大學(xué)網(wǎng)絡(luò)的數(shù)據(jù)越來越重要，很容易改變或竊取，對學(xué)校造成或多或少的損害。在網(wǎng)絡(luò)上，病毒不僅是互聯(lián)網(wǎng)的唯一敵人，從安全的角度來看，它還有間諜插件、廣告植入物和一些網(wǎng)絡(luò)釣魚軟件等同伙，他們一起對互聯(lián)網(wǎng)攻擊，間諜插件對互聯(lián)網(wǎng)的傷害最大，是影響網(wǎng)絡(luò)安全的主要力量。經(jīng)過文獻綜述總結(jié)了校園網(wǎng)現(xiàn)存以下主要安全問題。（一）硬件方面1.硬件設(shè)備自身存在漏洞在建設(shè)大學(xué)網(wǎng)絡(luò)時，由于大學(xué)網(wǎng)絡(luò)管理的建設(shè)設(shè)計不重視或存在困難，呈現(xiàn)出各種形式，使大學(xué)網(wǎng)絡(luò)物理層的數(shù)據(jù)傳輸不順暢；此外，資金方面的嚴重缺少，使校園網(wǎng)的硬件安全性也會受到影響，網(wǎng)絡(luò)設(shè)備的冗余設(shè)計成為高校校園網(wǎng)設(shè)計者考慮的一個問題，影響了高校校園網(wǎng)正常工作的穩(wěn)定性和可行性。服務(wù)器機房管理系統(tǒng)相對薄弱，容易遭受黑客攻擊。系統(tǒng)的設(shè)計過程非常復(fù)雜，經(jīng)常會有大量的監(jiān)控，會有各種各樣的認證和服務(wù)限制。在此過程中，整個網(wǎng)絡(luò)抵抗外部攻擊的能力非常弱，因此經(jīng)常被一些動機不純者用來攻擊計算機系統(tǒng)。2.星型結(jié)構(gòu)的冗余設(shè)計和相關(guān)設(shè)備的邏輯缺陷現(xiàn)階段校園網(wǎng)絡(luò)結(jié)構(gòu)主要采用星型結(jié)構(gòu)，如圖3所示。如果中心交換機出現(xiàn)故障，沒有適當(dāng)?shù)娜哂嘣O(shè)計，整個大學(xué)網(wǎng)絡(luò)就會癱瘓。由于校園網(wǎng)絡(luò)環(huán)境的物理因素（如溫度、濕度、機房監(jiān)控等），以及人工使用，都會造成設(shè)備損壞和安全問題，因此校園網(wǎng)絡(luò)的物理設(shè)備的安全性是不容忽視的。在高校校園網(wǎng)絡(luò)安全領(lǐng)域有一種誤解，那就是“我使用了主流的基礎(chǔ)設(shè)備，例如網(wǎng)站服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器，因此再不需要額外的防護應(yīng)用了?！蔽覀儼阎髁鞯木W(wǎng)絡(luò)安全設(shè)備在設(shè)計和實現(xiàn)時放在重要的位置，但健壯的驗證機制和安全控制措施是必不可少的，這些設(shè)備中的漏洞反而會成為明顯的攻擊點，黑客通過設(shè)備漏洞完全控制高校的物理設(shè)備。2017年5月中旬，中國大陸部分高校發(fā)現(xiàn)電腦被攻擊，文檔被加密，高校校園網(wǎng)用戶首當(dāng)其沖，受害嚴重，大量實驗數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密，這是著名的“永恒之藍”。事實上早在2017年3月，微軟官方已經(jīng)放出針對這一漏洞的補丁。這個事件告訴我們要密切關(guān)注基礎(chǔ)設(shè)備的安全，及時修復(fù)設(shè)備中存在的安全漏洞。圖3典型的星型結(jié)構(gòu)3.高校校園網(wǎng)絡(luò)異常信息的植入和信息泄露高校校園網(wǎng)絡(luò)異常信息的植入大多為注入漏洞和跨站腳本漏洞。注入漏洞的產(chǎn)生是因為進行了未授權(quán)的數(shù)據(jù)訪問或應(yīng)用程序未對輸入的數(shù)據(jù)進行嚴格驗證而導(dǎo)致執(zhí)行了預(yù)期之外的程序。任何數(shù)據(jù)源都可能是一種注入的載體，可能導(dǎo)致未經(jīng)授權(quán)的各方修改、刪除或泄漏數(shù)據(jù)，也可能導(dǎo)致拒絕不需要的服務(wù)。網(wǎng)站之間的腳本攻擊，當(dāng)用戶提交的數(shù)據(jù)不可避免或沒有過濾規(guī)則允許惡意黑客在網(wǎng)頁上顯示惡意代碼并且安裝的代碼在其他用戶在場的情況下運行時，就會存在漏洞。信息泄露是指與應(yīng)用程序交互時，利用應(yīng)用程序的反常行為提取出有價值的信息。這一般有以下場景：一是用戶讀取到了應(yīng)用程序未封裝的出錯信息，泄露了應(yīng)用程序版本和配置信息以及調(diào)用的第三方接口等；二是因為操作不規(guī)范或配置不合理導(dǎo)致源代碼、應(yīng)用程序配置文件可以被直接下載。例如，把Web可訪問目錄中的config.php復(fù)制成config.php.bak，而導(dǎo)致可直接下載config.php.bak；三是核心數(shù)據(jù)未使用強散列算法存儲或強加密，從而導(dǎo)致被惡意讀取后利用。例如，在高校校園網(wǎng)絡(luò)日志或者數(shù)據(jù)庫中用明文記錄老師和學(xué)生完整的身份證號碼、電話號碼和密碼原文等，都是極其可能帶來的信息泄露的問題。（二）軟件方面1.非正版軟件的使用非正版版軟件在高校計算機實驗室、教師、學(xué)生私人電腦尤其泛濫，因此非正版軟件也成為眾多木馬和病毒的載體，而安裝了這些載有惡意代碼的非正版軟件后，可能會直接突破網(wǎng)絡(luò)邊界上的安全控制，直接影響到服務(wù)器和數(shù)據(jù)的安全。對于服務(wù)器管理和操作系統(tǒng)來說，使用非正版軟件的風(fēng)險尤其嚴重。2.釣魚郵件攻擊高校校園網(wǎng)絡(luò)常見被攻擊的方式還有釣魚郵件，通過社會工程方式發(fā)送的釣魚郵件是黑客組織最常用的攻擊手段。這種以釣魚郵件為載體的攻擊方式又被稱為“魚叉攻擊”。社會工程攻擊手法的逐漸成熟，電子郵件幾乎很難辨別真假。從一些受到網(wǎng)絡(luò)威脅攻擊的高校可以發(fā)現(xiàn)，這些高校受到威脅的關(guān)鍵因素都與老師或者學(xué)生遭遇的社會工程的惡意郵件相關(guān)。攻擊者剛一開始，就是針對特定老師和學(xué)生發(fā)送釣魚郵件，以此作為攻擊的源頭。例如OceanLotus（海蓮花）組織所使用的60%左右的攻擊都是將木馬程序作為電子郵件的附件發(fā)送給特定的攻擊目標(biāo)，并誘使目標(biāo)打開附件。在一個典型的釣魚郵件攻擊中，攻擊者可以通過一封看似正常但卻極具偽裝性和迷惑性標(biāo)題和附件的郵件就可以讓服務(wù)器失陷。因此，我們要培養(yǎng)老師和學(xué)生的網(wǎng)絡(luò)安全意識，在不知道郵件的來源或者和工作無關(guān)的郵件，不要隨便打開，尤其是不要被具有誘惑性的標(biāo)題所迷惑。此外，在日常工作中發(fā)現(xiàn)釣魚郵件時，要及時告知網(wǎng)絡(luò)安全管理人員進行調(diào)查。3.密碼安全性不高大量的高校校園網(wǎng)絡(luò)安全事件表明，弱密碼問題是導(dǎo)致眾多校園網(wǎng)絡(luò)安全事件的罪魁禍?zhǔn)?。很多時候，黑客入侵并不需要高超的技術(shù)能力，他們僅僅從弱密碼這個入口突破就可以攻破校園網(wǎng)以及企業(yè)的整個信息基礎(chǔ)設(shè)施。因此，高校及企業(yè)應(yīng)該特別注意弱密碼的問題。（三）管理方面高校建立互聯(lián)網(wǎng)后，管理工作少了很多，但目前的安全狀況遠不如其他方面。高校一般都有一定數(shù)量的校園網(wǎng)管理的維護人員，但他們的大部分職責(zé)是檢查計算機的日常運行情況，當(dāng)互聯(lián)網(wǎng)系統(tǒng)在檢查維護方面出現(xiàn)問題時，在專門負責(zé)互聯(lián)網(wǎng)安全的人員往往不足的情況下，校園網(wǎng)安全問題就會暴露。1.專業(yè)人員缺乏目前，我國許多高校在配備網(wǎng)絡(luò)安全管理人員的同時，往往缺乏對網(wǎng)絡(luò)安全維護的良好掌握。因此，高校負責(zé)網(wǎng)絡(luò)監(jiān)控的人員缺乏安全管理技能，當(dāng)黑客攻擊大學(xué)網(wǎng)絡(luò)時，他們往往未能及時采取適當(dāng)?shù)姆烙胧?.相關(guān)人員保密性差關(guān)于在互聯(lián)網(wǎng)上設(shè)置的密碼，不能向公眾披露的信息不得嚴格保密，不得向他人任意披露，專用文件的透明度等問題，是互聯(lián)網(wǎng)監(jiān)管機構(gòu)自身的問題。作為一名網(wǎng)絡(luò)管理員，他沒有積極的工作情緒，對任意破壞與互聯(lián)網(wǎng)有關(guān)的設(shè)備也不太認真。目前，我國校園網(wǎng)建設(shè)的重點是校園網(wǎng)管理服務(wù)和學(xué)校信息化建設(shè)，沒有專門的系統(tǒng)來保護網(wǎng)絡(luò)的安全性。3.工作人員安全意識弱網(wǎng)絡(luò)工作人員的技術(shù)知識并不好，尤其是對重要的機密文件，有時無法將準(zhǔn)確的信息發(fā)送給需要的人，而是發(fā)送給其他人，這勢必會降低文件的機密性。日常數(shù)據(jù)管理中，需要對各類信息進行分類存儲，但實際上對重要文件和普通文件往往沒有明確的區(qū)別，它們放在一個磁盤上，或者在計算機的每個磁盤上按順序分發(fā)，從而損害了重要文件的機密性，沒有任何好處。（四）校園網(wǎng)使用者不安全因素目前，大學(xué)生是校園網(wǎng)的主要用戶。學(xué)生對互聯(lián)網(wǎng)安全的意識通常很低。只有計算機相關(guān)專業(yè)的學(xué)生才能擁有一些互聯(lián)網(wǎng)安全性意識，其他專業(yè)學(xué)生對網(wǎng)絡(luò)的安全毫不在意。他認為，大學(xué)有受過專業(yè)培訓(xùn)的技術(shù)人員，他們應(yīng)該負責(zé)維護大學(xué)網(wǎng)絡(luò)的安全，而不是他們自己的責(zé)任，因此這是大學(xué)網(wǎng)絡(luò)的不確定性問題。大多數(shù)學(xué)生將大學(xué)網(wǎng)絡(luò)視為訓(xùn)練場，學(xué)生的好奇心使他們能夠?qū)⒋髮W(xué)網(wǎng)絡(luò)形象化，并探索輕松訪問所需資源的好處，而無需任何管轄權(quán)。校園網(wǎng)系統(tǒng)本身容易受到攻擊，校園網(wǎng)監(jiān)控人員應(yīng)對外部攻擊時，不能以任何方式改變、靈活采取的措施，不能有效遏制攻擊，甚至無法及時發(fā)現(xiàn)互聯(lián)網(wǎng)威脅，導(dǎo)致網(wǎng)絡(luò)安全性低下的惡性循環(huán)。其次，必須尊重相關(guān)的安全法律法規(guī)，學(xué)校在對網(wǎng)絡(luò)安全上的宣傳是不夠的，我國也有關(guān)于互聯(lián)網(wǎng)使用的規(guī)則和法律，學(xué)校通常不會告知學(xué)生這個問題，也沒有制定規(guī)章制度。規(guī)章制度應(yīng)明確網(wǎng)絡(luò)安全問題需要考慮的事項，對破壞安全的學(xué)生的處罰，除法律法規(guī)外，學(xué)生還應(yīng)具有一定的特點，請勿瀏覽互聯(lián)網(wǎng)不健康的網(wǎng)站，請勿濫用校園網(wǎng)資源，請勿散布不健康的信息。三、高校網(wǎng)絡(luò)校園網(wǎng)網(wǎng)絡(luò)安全問題對策在建設(shè)高校校園網(wǎng)絡(luò)的設(shè)計方案中，為解決校園網(wǎng)絡(luò)中將會遇到的網(wǎng)絡(luò)安全問題，采取合理規(guī)劃VLAN、NAT技術(shù)與VPN結(jié)合、使用防火墻技術(shù)、縱深防御、最小權(quán)限法則、白名單機制以此來保證高校校園網(wǎng)絡(luò)的穩(wěn)定、安全的運作。（一）部署安全策略1.合理劃分VLAN核心聚集層模塊是大學(xué)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備，核心層功能保證了大學(xué)網(wǎng)絡(luò)的速度和連續(xù)傳輸。有了核心設(shè)備的基本保護，就可以在不影響系統(tǒng)運行的情況下激活安全計劃。匯聚層具有可靠性、高性能和冗余性的特點，由于網(wǎng)絡(luò)的特性，原設(shè)計中的匯聚層應(yīng)該在一定程度上減少接入層中不必要的連接，從而可以擴展核心層，雙層網(wǎng)絡(luò)實現(xiàn)校園骨干相關(guān)的安全性和可靠性，在匯聚層上進行端口和雙機備份的重新定位設(shè)計，實現(xiàn)了核心層的穩(wěn)定性，保證大學(xué)網(wǎng)絡(luò)的正常運行。此外，終端的訪問控制解決方案將采用核心匯聚層模塊部署來實現(xiàn)。VLAN劃分的目的是限制廣播域，防止病毒和木馬在校園校園網(wǎng)中傳播，同時根據(jù)校園網(wǎng)的實際情況，適合加強管理和組織，制定方案以及實施。VLAN劃分的方案，說明如下：大學(xué)網(wǎng)絡(luò)有實時交互性的特點，學(xué)生每天通過大學(xué)網(wǎng)絡(luò)發(fā)送大量信息，所以根據(jù)學(xué)生主系的分布特點，將VLAN劃分為不同的系，相同的系劃分為一個VLAN組件，將VLAN劃分的更加具體；出于安全考慮，辦公室和宿舍可能被劃分為單獨的VLAN，學(xué)生無法訪問教師，以確保教師終端的科研資料和數(shù)據(jù)的安全；為方便教學(xué)實驗，可將VLAN劃分到每個教室，將各樓層功能相同的教室劃分為一個VLAN；為方便網(wǎng)絡(luò)管理，可以通過樓棟來劃分VLAN，然后由各個部門的不同功能劃分VLAN。由于新生入學(xué)和畢業(yè)生離校的情況，人員變動頻繁，人員流動性大，VLAN劃分困難，所以即使在大學(xué)中學(xué)生人數(shù)和班級發(fā)生變化，也只有管理員必須通過端口重新分配已配置的VLAN，以便易于配置和監(jiān)視。將訪問控制與VLAN空間規(guī)劃結(jié)合使用，會限制VLAN之間的數(shù)據(jù)流量。例如，禁用財務(wù)訪問、禁用在不同服務(wù)的VLAN通信以及設(shè)置ACL對以防止病毒通過某些端口傳播。2.NAT技術(shù)與VPN結(jié)合網(wǎng)絡(luò)邊界模塊位于校內(nèi)網(wǎng)與校外網(wǎng)的交匯處，如圖4所示。其目的是將邊界的各個部件互連起來，保證教育網(wǎng)絡(luò)的主動接入和電子通信的接入，網(wǎng)絡(luò)、遠程訪問、網(wǎng)絡(luò)托管等。由于大學(xué)網(wǎng)絡(luò)連接快速且容易，它們還提供了一個網(wǎng)絡(luò)入侵通道，需要網(wǎng)絡(luò)安全模塊，這些模塊不僅提供與高風(fēng)險外部網(wǎng)絡(luò)的連接，還需要校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全性。圖4網(wǎng)絡(luò)邊界安全模塊因此對網(wǎng)絡(luò)邊界板塊做以下安全部署：使用NAT技術(shù)設(shè)置訪問路由隱藏校園內(nèi)網(wǎng)IP地址。安裝網(wǎng)絡(luò)防火墻，保護內(nèi)外網(wǎng)，防止外網(wǎng)破壞內(nèi)網(wǎng)重要數(shù)據(jù)。使用ACL訪問控制來防止對外部網(wǎng)絡(luò)的非法和未經(jīng)授權(quán)的訪問，并防止對內(nèi)部網(wǎng)絡(luò)的非法外部連接。架設(shè)Nginx反向代理服務(wù)器，在防火墻和服務(wù)器之間架設(shè)Nginx反向代理服務(wù)器，解決外網(wǎng)訪問慢的問題，保證對服務(wù)器的保護。引入入侵防御和防火墻，作為防病毒和防火墻軟件的強大補充。通過實施網(wǎng)絡(luò)流量管理策略，實施流量分析和監(jiān)控措施，包括高校網(wǎng)絡(luò)上因被破解軟件和P2P軟件誤用而導(dǎo)致的校園安全問題，可控軟件可以管理高校內(nèi)的第三方軟件。設(shè)置網(wǎng)絡(luò)邊界安全板塊，可以有效防范非法越權(quán)訪問、仿冒ARP、文件上傳、DDOS攻擊等網(wǎng)絡(luò)威脅。3.使用防火墻技術(shù)服務(wù)器的安全保障了最終用戶和設(shè)備提供應(yīng)用程序服務(wù)，并在此基礎(chǔ)上架設(shè)終端控制對服務(wù)器方案的訪問。校園網(wǎng)絡(luò)服務(wù)區(qū)管理單元一般分為外部服務(wù)器區(qū)和內(nèi)部服務(wù)器區(qū)兩個區(qū)域，外部服務(wù)器區(qū)為外部用戶提供訪問大學(xué)網(wǎng)絡(luò)的服務(wù)，雖然有一定的局限性，但內(nèi)部與大學(xué)網(wǎng)絡(luò)的通信存在局限性，服務(wù)器外部區(qū)域仍然是風(fēng)險高發(fā)區(qū)域；服務(wù)器的內(nèi)部區(qū)域主要供內(nèi)部用戶使用，由于該領(lǐng)域的應(yīng)用系統(tǒng)和服務(wù)的數(shù)量以及安全級別的不同，內(nèi)部服務(wù)器必須相互隔離，以防止服務(wù)在故障后作為跳板攻擊另一臺內(nèi)部服務(wù)器。因此，本模塊定義了安全中心（內(nèi)部）、隔離區(qū)（內(nèi)部）和DMZ（隔離區(qū)）。設(shè)置三個接口防火墻隔離區(qū)，每個防火墻接口分別連接解決方案區(qū)和隔離區(qū)，三個接口分別連接內(nèi)網(wǎng)、外網(wǎng)和隔離區(qū)以及各隔離區(qū)之間的防火墻。網(wǎng)絡(luò)服務(wù)器設(shè)置在隔離區(qū)域，方便外部用戶訪問校園，攻擊者也會在校園內(nèi)開火。在防火墻和隔離區(qū)之間安裝入侵檢測系統(tǒng)或Web應(yīng)用程序防火墻，以方便收集攻擊者的信息。網(wǎng)絡(luò)管理員可以根據(jù)當(dāng)前的位置信息重置安全策略，Web應(yīng)用防火墻可以主動防御各種針對Web的網(wǎng)絡(luò)攻擊，例如“阻止”行為，并在這些攻擊到達服務(wù)器之前將其阻止。這確保了Web服務(wù)器的安全性并減少了威脅。由于內(nèi)部隔離區(qū)與安全中心之間的安全級別不一樣，安全中心的防盜系統(tǒng)正在引入，對加強有效保護提出了更高的要求；隔離區(qū)只能設(shè)置入侵檢測系統(tǒng)，收集入侵檢測攻擊信息。（二）操作系統(tǒng)安全策略在校園網(wǎng)的日常工作中，我們首先要認識到只有保障了操作系統(tǒng)安全，才能保障依賴于其他提供服務(wù)的信息安全。信息安全是有生命周期的。從其生產(chǎn)、收集、處理、傳輸、分析到銷毀或者存檔，每個階段都有可能有大量的設(shè)備、平臺、應(yīng)用介入。而為這些設(shè)備、平臺、應(yīng)用提供底層支持的，往往有大量的操作系統(tǒng)，其為信息的整個生命周期提供源源不斷的動力支撐。如果一個操作系統(tǒng)上沒有儲存任何有價值的信息，不生產(chǎn)或者傳輸有價值的信息，不處理和分析有價值的信息，那么這個系統(tǒng)也就失去了價值。1.最小權(quán)限和權(quán)限分離原則最小權(quán)限原則是指恰好給予對使用操作系統(tǒng)的人員、系統(tǒng)、程序最小的僅僅能夠完成任務(wù)的權(quán)限。最小權(quán)限和權(quán)限分離原則在等保測評和安全運維的工作中經(jīng)常用到，高校校園網(wǎng)在管理和維護時建議使用此安全策略。（1）程序在Chroot環(huán)境下運行程序執(zhí)行在經(jīng)過Chroot后，此時程序所能讀寫的目錄和文件在一個新的位置而不是原來的位置。（2）訪問數(shù)據(jù)庫的控制在進行數(shù)據(jù)庫的訪問時，比如一般情況下，針對高校教務(wù)系統(tǒng)MySQL數(shù)據(jù)庫的訪問，只給予SELECT權(quán)限而不是ALL的權(quán)限。（3）運行應(yīng)用程序時使用普通用戶權(quán)限使用普通用戶權(quán)限可以有效減少程序漏洞帶來的威脅。（4）校園服務(wù)器網(wǎng)絡(luò)訪問權(quán)限控制在建設(shè)校園網(wǎng)時，大多數(shù)后端服務(wù)器不需要被外界訪問，就無需公網(wǎng)IP,比如內(nèi)網(wǎng)API服務(wù)器。2.設(shè)置白名單原則白名單原則和黑名單原則恰恰相反，白名單原則能阻止未預(yù)期的威脅。黑名單原則則是明確什么是不被允許的，而其他所有情況是允許的。黑名單原則的缺陷很明顯，單一使用黑名單原則在大多數(shù)情況下，無法阻止所有可能的威脅。比如在設(shè)置校園網(wǎng)防火墻規(guī)則時，白名單原則就顯得更加有效，相對最優(yōu)的規(guī)則是拒絕其他所有連接。白名單原則可以防御校園網(wǎng)0Day漏洞和有針對性攻擊擊，在默認的情況下，任何未經(jīng)授權(quán)的軟件工具和進程都不能在操作系統(tǒng)上運行。當(dāng)啟用了白名單后有惡意進程在運行時，白名單原則可以確定這是不可信的進程，并拒絕其運行。3.縱深防御原則縱深防御原則是指應(yīng)用安全、主機安全、網(wǎng)絡(luò)安全、物理安全多層安全機制下的安全防護。在給校園網(wǎng)提供了冗余的安全機制后，一種安全防御失效后或者被打穿后，可以運用其他的安全機制來降低風(fēng)險。比如主機安全層面，我們在校園內(nèi)網(wǎng)和外網(wǎng)之間部署蜜罐以及防病毒網(wǎng)關(guān)，及時更新安全策略和蜜罐告警可以確保校園內(nèi)部網(wǎng)絡(luò)安全，還可以校園網(wǎng)主機安全上添加多因子認證技術(shù)，通常利用兩種及兩種以上的規(guī)則對用戶進行驗證，以此來提高校園網(wǎng)的安全性。四、總結(jié)計算機技術(shù)的安全性是影響