【高校網(wǎng)絡(luò)安全問題與應(yīng)對(duì)策略11000字（論文）】

高校網(wǎng)絡(luò)安全問題與應(yīng)對(duì)策略目錄TOC\o"1-2"\h\u14588引言 II摘要：隨著網(wǎng)絡(luò)的普及和發(fā)展，大學(xué)校園網(wǎng)作為校園重要的信息化和數(shù)字化基礎(chǔ)設(shè)施，服務(wù)于學(xué)校教學(xué)、科研、管理、對(duì)外交流等方面的重要項(xiàng)目，為辦學(xué)提供了良好的保障。大學(xué)校園網(wǎng)現(xiàn)已加入所有大學(xué)部門，成為所有大學(xué)校園的基礎(chǔ)設(shè)備。學(xué)校需要越來越多的可操作性和網(wǎng)絡(luò)安全性，因此構(gòu)建合理的網(wǎng)絡(luò)安全性體系尤為重要。本文首先闡述了高校校園網(wǎng)安全的背景、意義和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展趨勢(shì)；其次分析了高校校園網(wǎng)絡(luò)的安全形勢(shì)以及校園網(wǎng)網(wǎng)絡(luò)在實(shí)際應(yīng)用中存在安全問題，并探討和改進(jìn)了目前存在的部分問題。最后，針對(duì)存在的問題提出了設(shè)置白名單機(jī)制、最小權(quán)限法則、縱深防御等安全原則，采取相應(yīng)的措施改進(jìn)校園網(wǎng)網(wǎng)絡(luò)存在的問題，有利于維護(hù)校園網(wǎng)的安全。關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；校園網(wǎng)；網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全；安全策略引言網(wǎng)絡(luò)的快速普及和發(fā)展也加快了信息的傳播速度和校園的數(shù)字化進(jìn)程，作為大學(xué)網(wǎng)絡(luò)信息化和數(shù)字化的基礎(chǔ)設(shè)施，提供學(xué)校教育管理、科研和外匯業(yè)務(wù)方面的項(xiàng)目。如今，大學(xué)校園網(wǎng)絡(luò)已在各院系普及，大學(xué)校園網(wǎng)絡(luò)已成為校園發(fā)展的基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全方面應(yīng)該加大重視的力度，而對(duì)該方面的重視集中表現(xiàn)在網(wǎng)絡(luò)安全和可管理上。從現(xiàn)如今的的網(wǎng)絡(luò)攻擊和威脅來看，如果只依靠單一的網(wǎng)絡(luò)設(shè)備或簡(jiǎn)單的安全技術(shù)是無法保證高校校園網(wǎng)的安全。隨著網(wǎng)絡(luò)安全技術(shù)的吧進(jìn)步和發(fā)展，校園網(wǎng)內(nèi)部的情況也會(huì)變得復(fù)雜，由此，對(duì)于校園網(wǎng)安全體系的建設(shè)和規(guī)劃，要從整體安全狀況出發(fā)，層層建設(shè)，從核心到終端的綜合部署，從而減少整個(gè)高校校園網(wǎng)的安全威脅，給校園網(wǎng)用戶提供有力保障。網(wǎng)絡(luò)空間安全行業(yè)作為國家支持和發(fā)展的高新技術(shù)產(chǎn)業(yè)和戰(zhàn)略性產(chǎn)業(yè)之一，由國家政策大力扶持。自2016年以來，我國政府頒布了《網(wǎng)絡(luò)安全法》等重要法規(guī)并制定了《“十三五”國家信息化規(guī)劃》《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃(2016-2020)年》《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016-2020)年》等政策規(guī)劃，從政策、制度以及法規(guī)等多個(gè)方面促進(jìn)國內(nèi)網(wǎng)絡(luò)安全行業(yè)的發(fā)展，對(duì)政府、企業(yè)等網(wǎng)絡(luò)安全有了更高的要求。隨著我國《網(wǎng)絡(luò)安全法》的頒布實(shí)施和相關(guān)規(guī)劃的持續(xù)推進(jìn)，相關(guān)政策也為安全行業(yè)的發(fā)展提供了新的機(jī)遇和更有力的支持。國家政策從兩個(gè)大的方面推動(dòng)了我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，一方面，對(duì)網(wǎng)絡(luò)安全的重視程度要加強(qiáng)，網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用規(guī)模需要提高；另一方面，從硬件設(shè)備等基礎(chǔ)設(shè)施上杜絕和消除網(wǎng)絡(luò)信息安全隱患。確保大學(xué)校園網(wǎng)絡(luò)將改善學(xué)習(xí)環(huán)境和學(xué)術(shù)交流，并影響大學(xué)的未來和發(fā)展。學(xué)校網(wǎng)絡(luò)的發(fā)展不僅可以保證現(xiàn)有學(xué)校資源的安全和完善，還可以改善網(wǎng)絡(luò)的工作環(huán)境，提高網(wǎng)絡(luò)的管理和維護(hù)能力，增加網(wǎng)絡(luò)的可靠性。這就是為什么大學(xué)網(wǎng)絡(luò)的安全性非常重要的原因。一、高校校園網(wǎng)絡(luò)安全問題概述（一）網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全概念1.網(wǎng)絡(luò)的功能在互聯(lián)網(wǎng)信息技術(shù)的推動(dòng)下，人類社會(huì)科學(xué)技術(shù)發(fā)展迅速，人們的生活、教學(xué)和工作都發(fā)生了變化。如今，大多數(shù)學(xué)校都使用網(wǎng)絡(luò)技術(shù)，因此教育不僅限于課堂，許多學(xué)校都有在線課程，并且可以在所有專業(yè)中完成高質(zhì)量的在線課程，而不僅僅是在某些學(xué)校的網(wǎng)站上進(jìn)行學(xué)習(xí)，自己感興趣的課程也可以研究學(xué)習(xí)。同時(shí)，高校教師也在不斷探索新的教學(xué)方法，不僅將教學(xué)任務(wù)融入教學(xué)，更便于網(wǎng)絡(luò)分享教學(xué)信息，這對(duì)教學(xué)質(zhì)量大有裨益。2.網(wǎng)絡(luò)安全的內(nèi)涵所謂網(wǎng)絡(luò)安全，就是為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟硬件免受外部因素的影響，防止數(shù)據(jù)損壞和被盜，使所有網(wǎng)絡(luò)系統(tǒng)都是安全的和健康的。信息安全就是保護(hù)信息的完整性、機(jī)密性和可用性。網(wǎng)絡(luò)安全性的含義非常廣泛，不僅限于計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)系統(tǒng)的集成，還涵蓋了以下領(lǐng)域：信息和通信、數(shù)學(xué)和保密工程領(lǐng)域。3.常用網(wǎng)絡(luò)安全技術(shù)（1）防火墻防火墻是一個(gè)保護(hù)屏障，由軟件和硬件的組合組成，建立在內(nèi)聯(lián)網(wǎng)和外網(wǎng)之間的接口上，以及私人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間。網(wǎng)絡(luò)防火墻是一種網(wǎng)絡(luò)安全系統(tǒng)，它監(jiān)控并依據(jù)預(yù)定義的規(guī)則控制進(jìn)入和外發(fā)的網(wǎng)絡(luò)流量。防火墻系統(tǒng)尤其包括服務(wù)訪問、身份驗(yàn)證工具、數(shù)據(jù)包過濾器和應(yīng)用程序奴役的規(guī)則。防火墻是計(jì)算機(jī)上連接到網(wǎng)絡(luò)的軟件或硬件。進(jìn)出這臺(tái)計(jì)算機(jī)的所有網(wǎng)絡(luò)流量和數(shù)據(jù)包都通過此防火墻。至于硬件防火墻，有許多來自國內(nèi)外制造商的防火墻產(chǎn)品值得使用。例如：以華為防火墻產(chǎn)品USG6325E-AC來看，作為下一代防火墻的的代表之一，第一時(shí)間獲取新威脅信息、準(zhǔn)確檢測(cè)并防御針對(duì)漏洞的攻擊等重要的功能。軟件防火墻的產(chǎn)品也是非常多的，這些軟件防火墻針對(duì)不同的攻擊方式啟用相關(guān)的防范措施。比如下面一款叫做火絨劍的網(wǎng)絡(luò)監(jiān)控軟件，如圖1所示。通過時(shí)時(shí)監(jiān)控與網(wǎng)絡(luò)連接的進(jìn)程以及跟蹤敏感進(jìn)程的網(wǎng)絡(luò)流量信息。達(dá)到對(duì)涉及到主機(jī)的提權(quán)、敏感文件的防護(hù)功能。圖1火絨劍網(wǎng)絡(luò)監(jiān)控軟件（2）VPNVPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是架設(shè)在共享的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施上，在非受信任的網(wǎng)絡(luò)上建立私有的和安全的連接，把分布在不同地域的信息基礎(chǔ)設(shè)施、辦公場(chǎng)所、用戶或商業(yè)伙伴互聯(lián)起來。VPN是擴(kuò)展網(wǎng)絡(luò)不可分割的一部分，它確保了網(wǎng)絡(luò)的安全，同時(shí)擴(kuò)展了網(wǎng)絡(luò)的要素。（3）入侵檢測(cè)根據(jù)部署的位置，入侵檢測(cè)系統(tǒng)大致可以分為網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安裝在網(wǎng)絡(luò)邊界，提供整個(gè)網(wǎng)絡(luò)的入侵檢測(cè)功能和服務(wù)，分析網(wǎng)絡(luò)流量，識(shí)別入侵。主機(jī)入侵檢測(cè)系統(tǒng)獨(dú)立安裝在每臺(tái)主機(jī)上，提供入侵檢測(cè)功能和服務(wù)，通過解析文件特征、網(wǎng)絡(luò)流量和連接活動(dòng)、進(jìn)程行為、日志字符串匹配等，判斷是否發(fā)生掃描器掃描或入侵。在系統(tǒng)發(fā)生故障的情況下，冗余設(shè)備會(huì)介入并負(fù)責(zé)有缺陷的設(shè)備的工作。盡管安全技術(shù)和措施可以減少網(wǎng)絡(luò)攻擊并保護(hù)系統(tǒng)的大部分漏洞，但如果沒有過度的系統(tǒng)設(shè)計(jì)或安全性，任何技術(shù)或措施都無法阻止或阻止已知或未知的威脅或可能的攻擊，系統(tǒng)安全也得不到保證。正常的工作設(shè)備保證了系統(tǒng)的可靠性和穩(wěn)定性，使網(wǎng)絡(luò)管理員能夠創(chuàng)建網(wǎng)絡(luò)保護(hù)系統(tǒng)以節(jié)省時(shí)間，這一點(diǎn)很重要。（二）高校校園網(wǎng)絡(luò)概述1.校園網(wǎng)的用途大學(xué)校園網(wǎng)絡(luò)可為教師、學(xué)生和其他教職員工提供全校范圍內(nèi)的寬帶多媒體網(wǎng)絡(luò)服務(wù)。大學(xué)校園網(wǎng)絡(luò)是一個(gè)具有信息交換、信息共享等特點(diǎn)的局域網(wǎng)，非常特殊且專業(yè)。大學(xué)校園網(wǎng)絡(luò)是連接多媒體學(xué)習(xí)的信息平臺(tái)、教師研究平臺(tái)和校園服務(wù)平臺(tái)，校園網(wǎng)絡(luò)也是一個(gè)大型的本地網(wǎng)絡(luò)，由多個(gè)小型本地網(wǎng)絡(luò)通過無線或有線連接，這個(gè)小型內(nèi)部本地網(wǎng)絡(luò)可以是大學(xué)、專業(yè)或院系。為了方便大學(xué)管理和服務(wù)人員的工作，大學(xué)網(wǎng)絡(luò)應(yīng)該有綜合的教學(xué)、行政和管理工作，以便更好地進(jìn)行教學(xué)管理、資產(chǎn)管理、后勤管理等。因此，大學(xué)校園網(wǎng)絡(luò)應(yīng)該有更好的互聯(lián)網(wǎng)帶寬和較強(qiáng)的專業(yè)性、交互性。2.高校校園網(wǎng)的設(shè)計(jì)及原則我們將按照以下原則設(shè)計(jì)大學(xué)的網(wǎng)絡(luò)安全體系，提供較為全面、系統(tǒng)的網(wǎng)絡(luò)安全解決方案：（1）體系化設(shè)計(jì)原則在分析網(wǎng)絡(luò)層次結(jié)構(gòu)和安全需求的基礎(chǔ)上，提出了科學(xué)的安全體系和模型。根據(jù)安全模型和原則，分析了高校網(wǎng)絡(luò)中可能存在的安全威脅。提出全面的網(wǎng)絡(luò)安全措施，以此將未來可能發(fā)生的安全方面的問題解決。（2）全局性、均衡性原則為了平衡信息資產(chǎn)的價(jià)值和安全風(fēng)險(xiǎn)，根據(jù)資產(chǎn)價(jià)值的風(fēng)險(xiǎn)準(zhǔn)則，采用由高到低的預(yù)防方案，使最終的解決方案產(chǎn)生最佳效果。（3）可行性、可靠性原則更新后的網(wǎng)絡(luò)安全政策應(yīng)用后，不影響原高校網(wǎng)絡(luò)和應(yīng)用系統(tǒng)。在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的情況下，網(wǎng)絡(luò)安全強(qiáng)度非常好和數(shù)據(jù)資產(chǎn)的安全性。3.高校校園網(wǎng)特殊的安全性校園網(wǎng)絡(luò)安全的主要目的是在大學(xué)網(wǎng)絡(luò)中實(shí)施各種組織措施，特別是提供網(wǎng)絡(luò)安全服務(wù)。因此，校園網(wǎng)絡(luò)必須實(shí)現(xiàn)以下安全目標(biāo)：校園的可訪問性和完整性；大學(xué)校園網(wǎng)絡(luò)物理設(shè)備的可靠性和完整性；學(xué)校網(wǎng)絡(luò)數(shù)據(jù)和信息的機(jī)密性和完整性；大學(xué)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的完整性；網(wǎng)絡(luò)操作系統(tǒng)的完整性，以校園的角度出發(fā)，對(duì)校園網(wǎng)絡(luò)進(jìn)行可控管理。（三）高校校園網(wǎng)安全的需求分析大學(xué)校園網(wǎng)絡(luò)的發(fā)展不僅搭建了硬件平臺(tái)，還為應(yīng)用系統(tǒng)搭建了軟件平臺(tái)，大學(xué)網(wǎng)絡(luò)的主要作用是服務(wù)，所有師生都是大學(xué)網(wǎng)絡(luò)的用戶。為適應(yīng)現(xiàn)代校園的教學(xué)需求，實(shí)現(xiàn)教學(xué)現(xiàn)代化需求，利用計(jì)算機(jī)信息系統(tǒng)實(shí)施教育現(xiàn)代化，提高教育的整體水平，精簡(jiǎn)日常學(xué)校管理，提高管理方面的效率，強(qiáng)化各個(gè)學(xué)校之間的資源共享，并通過計(jì)算機(jī)網(wǎng)絡(luò)加強(qiáng)學(xué)校和家長之間的溝通交流。為此，校園網(wǎng)應(yīng)實(shí)現(xiàn)以下目標(biāo)：1.教育管理需要網(wǎng)絡(luò)化來完成高校教育管理信息的采集、預(yù)處理、處理、統(tǒng)計(jì)和分析。它還提高了學(xué)校各部門辦公室的自動(dòng)化程度，并簡(jiǎn)化了學(xué)校的管理，提高了效率，收集和維護(hù)行政、人力資源、財(cái)務(wù)、薪酬、教育管理、學(xué)生、后勤等高校數(shù)據(jù)的各種數(shù)據(jù)，并根據(jù)用戶需求授權(quán)查詢和維護(hù)。2.它充分發(fā)揮高校校園網(wǎng)絡(luò)化的作用，涉及多媒體網(wǎng)絡(luò)的制作，完成教師信息和多媒體備課。3.校園需要建立內(nèi)部電子郵件服務(wù)，以方便訪問大學(xué)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。接入中國教研網(wǎng)和互聯(lián)網(wǎng)進(jìn)行實(shí)時(shí)數(shù)據(jù)交換、信息共享。（四）校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全問題分析隨著高校的快速發(fā)展，高校紛紛提出“建設(shè)數(shù)字校園”的口號(hào)。作為大學(xué)網(wǎng)絡(luò)的重要組成部分和基礎(chǔ)平臺(tái)，我們構(gòu)建了一個(gè)完整、先進(jìn)、高效的大學(xué)網(wǎng)絡(luò)。每個(gè)計(jì)算機(jī)室都可以與互聯(lián)網(wǎng)相連接，多媒體室的一部分可以根據(jù)教師的需要連接到互聯(lián)網(wǎng)。在一門課程結(jié)束后，可以通過學(xué)校的無線和無線網(wǎng)絡(luò)，對(duì)其進(jìn)行申請(qǐng)和學(xué)習(xí)，從而將工作和學(xué)習(xí)效率提高。學(xué)?？梢哉?qǐng)求教育網(wǎng)絡(luò)和域名的路徑，并在網(wǎng)絡(luò)中心的云計(jì)算機(jī)上創(chuàng)建虛擬服務(wù)。虛擬化服務(wù)中心可以提高服務(wù)器性能，提高容錯(cuò)能力，將數(shù)據(jù)速度提高到萬兆，連接基礎(chǔ)設(shè)備，提高數(shù)據(jù)響應(yīng)能力。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。圖2網(wǎng)絡(luò)拓?fù)鋱D整個(gè)校園網(wǎng)絡(luò)構(gòu)成了核心、融合和分布式訪問設(shè)計(jì)，多鏈路災(zāi)難恢復(fù)設(shè)計(jì)，大型融合和分區(qū)模塊化網(wǎng)絡(luò)設(shè)計(jì)，靈活簡(jiǎn)單的管理策略；可以拓展網(wǎng)絡(luò)靈活性，并且還強(qiáng)調(diào)性能和應(yīng)用程序；最后，基本設(shè)備設(shè)計(jì)有許多鏈路分區(qū)模塊化，并實(shí)現(xiàn)了分區(qū)管理。分區(qū)管理的引入使得網(wǎng)絡(luò)管理能夠統(tǒng)一控制，對(duì)網(wǎng)絡(luò)策略的設(shè)計(jì)可以定制化。由于分區(qū)域，可以引導(dǎo)用戶的網(wǎng)絡(luò)并分擔(dān)用戶的數(shù)據(jù)負(fù)載。這些網(wǎng)設(shè)備為現(xiàn)有IPv4網(wǎng)絡(luò)之間的通信以及IPv4與IPv6之間的轉(zhuǎn)換提供了最便捷、最靈活的支持和保障。二、高校校園網(wǎng)安全現(xiàn)狀分析隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，高校建立了管理學(xué)生信息的大學(xué)校園網(wǎng)絡(luò)，使學(xué)生更容易管理，同時(shí)，也為教師建立了一個(gè)教學(xué)的交流平臺(tái)，一方面，大學(xué)網(wǎng)絡(luò)有很多優(yōu)勢(shì)，另一方面，大學(xué)網(wǎng)絡(luò)是開放的，來自大學(xué)網(wǎng)絡(luò)的數(shù)據(jù)越來越重要，很容易改變或竊取，對(duì)學(xué)校造成或多或少的損害。在網(wǎng)絡(luò)上，病毒不僅是互聯(lián)網(wǎng)的唯一敵人，從安全的角度來看，它還有間諜插件、廣告植入物和一些網(wǎng)絡(luò)釣魚軟件等同伙，他們一起對(duì)互聯(lián)網(wǎng)攻擊，間諜插件對(duì)互聯(lián)網(wǎng)的傷害最大，是影響網(wǎng)絡(luò)安全的主要力量。經(jīng)過文獻(xiàn)綜述總結(jié)了校園網(wǎng)現(xiàn)存以下主要安全問題。（一）硬件方面1.硬件設(shè)備自身存在漏洞在建設(shè)大學(xué)網(wǎng)絡(luò)時(shí)，由于大學(xué)網(wǎng)絡(luò)管理的建設(shè)設(shè)計(jì)不重視或存在困難，呈現(xiàn)出各種形式，使大學(xué)網(wǎng)絡(luò)物理層的數(shù)據(jù)傳輸不順暢；此外，資金方面的嚴(yán)重缺少，使校園網(wǎng)的硬件安全性也會(huì)受到影響，網(wǎng)絡(luò)設(shè)備的冗余設(shè)計(jì)成為高校校園網(wǎng)設(shè)計(jì)者考慮的一個(gè)問題，影響了高校校園網(wǎng)正常工作的穩(wěn)定性和可行性。服務(wù)器機(jī)房管理系統(tǒng)相對(duì)薄弱，容易遭受黑客攻擊。系統(tǒng)的設(shè)計(jì)過程非常復(fù)雜，經(jīng)常會(huì)有大量的監(jiān)控，會(huì)有各種各樣的認(rèn)證和服務(wù)限制。在此過程中，整個(gè)網(wǎng)絡(luò)抵抗外部攻擊的能力非常弱，因此經(jīng)常被一些動(dòng)機(jī)不純者用來攻擊計(jì)算機(jī)系統(tǒng)。2.星型結(jié)構(gòu)的冗余設(shè)計(jì)和相關(guān)設(shè)備的邏輯缺陷現(xiàn)階段校園網(wǎng)絡(luò)結(jié)構(gòu)主要采用星型結(jié)構(gòu)，如圖3所示。如果中心交換機(jī)出現(xiàn)故障，沒有適當(dāng)?shù)娜哂嘣O(shè)計(jì)，整個(gè)大學(xué)網(wǎng)絡(luò)就會(huì)癱瘓。由于校園網(wǎng)絡(luò)環(huán)境的物理因素（如溫度、濕度、機(jī)房監(jiān)控等），以及人工使用，都會(huì)造成設(shè)備損壞和安全問題，因此校園網(wǎng)絡(luò)的物理設(shè)備的安全性是不容忽視的。在高校校園網(wǎng)絡(luò)安全領(lǐng)域有一種誤解，那就是“我使用了主流的基礎(chǔ)設(shè)備，例如網(wǎng)站服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器，因此再不需要額外的防護(hù)應(yīng)用了?！蔽覀儼阎髁鞯木W(wǎng)絡(luò)安全設(shè)備在設(shè)計(jì)和實(shí)現(xiàn)時(shí)放在重要的位置，但健壯的驗(yàn)證機(jī)制和安全控制措施是必不可少的，這些設(shè)備中的漏洞反而會(huì)成為明顯的攻擊點(diǎn)，黑客通過設(shè)備漏洞完全控制高校的物理設(shè)備。2017年5月中旬，中國大陸部分高校發(fā)現(xiàn)電腦被攻擊，文檔被加密，高校校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密，這是著名的“永恒之藍(lán)”。事實(shí)上早在2017年3月，微軟官方已經(jīng)放出針對(duì)這一漏洞的補(bǔ)丁。這個(gè)事件告訴我們要密切關(guān)注基礎(chǔ)設(shè)備的安全，及時(shí)修復(fù)設(shè)備中存在的安全漏洞。圖3典型的星型結(jié)構(gòu)3.高校校園網(wǎng)絡(luò)異常信息的植入和信息泄露高校校園網(wǎng)絡(luò)異常信息的植入大多為注入漏洞和跨站腳本漏洞。注入漏洞的產(chǎn)生是因?yàn)檫M(jìn)行了未授權(quán)的數(shù)據(jù)訪問或應(yīng)用程序未對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格驗(yàn)證而導(dǎo)致執(zhí)行了預(yù)期之外的程序。任何數(shù)據(jù)源都可能是一種注入的載體，可能導(dǎo)致未經(jīng)授權(quán)的各方修改、刪除或泄漏數(shù)據(jù)，也可能導(dǎo)致拒絕不需要的服務(wù)。網(wǎng)站之間的腳本攻擊，當(dāng)用戶提交的數(shù)據(jù)不可避免或沒有過濾規(guī)則允許惡意黑客在網(wǎng)頁上顯示惡意代碼并且安裝的代碼在其他用戶在場(chǎng)的情況下運(yùn)行時(shí)，就會(huì)存在漏洞。信息泄露是指與應(yīng)用程序交互時(shí)，利用應(yīng)用程序的反常行為提取出有價(jià)值的信息。這一般有以下場(chǎng)景：一是用戶讀取到了應(yīng)用程序未封裝的出錯(cuò)信息，泄露了應(yīng)用程序版本和配置信息以及調(diào)用的第三方接口等；二是因?yàn)椴僮鞑灰?guī)范或配置不合理導(dǎo)致源代碼、應(yīng)用程序配置文件可以被直接下載。例如，把Web可訪問目錄中的config.php復(fù)制成config.php.bak，而導(dǎo)致可直接下載config.php.bak；三是核心數(shù)據(jù)未使用強(qiáng)散列算法存儲(chǔ)或強(qiáng)加密，從而導(dǎo)致被惡意讀取后利用。例如，在高校校園網(wǎng)絡(luò)日志或者數(shù)據(jù)庫中用明文記錄老師和學(xué)生完整的身份證號(hào)碼、電話號(hào)碼和密碼原文等，都是極其可能帶來的信息泄露的問題。（二）軟件方面1.非正版軟件的使用非正版版軟件在高校計(jì)算機(jī)實(shí)驗(yàn)室、教師、學(xué)生私人電腦尤其泛濫，因此非正版軟件也成為眾多木馬和病毒的載體，而安裝了這些載有惡意代碼的非正版軟件后，可能會(huì)直接突破網(wǎng)絡(luò)邊界上的安全控制，直接影響到服務(wù)器和數(shù)據(jù)的安全。對(duì)于服務(wù)器管理和操作系統(tǒng)來說，使用非正版軟件的風(fēng)險(xiǎn)尤其嚴(yán)重。2.釣魚郵件攻擊高校校園網(wǎng)絡(luò)常見被攻擊的方式還有釣魚郵件，通過社會(huì)工程方式發(fā)送的釣魚郵件是黑客組織最常用的攻擊手段。這種以釣魚郵件為載體的攻擊方式又被稱為“魚叉攻擊”。社會(huì)工程攻擊手法的逐漸成熟，電子郵件幾乎很難辨別真假。從一些受到網(wǎng)絡(luò)威脅攻擊的高校可以發(fā)現(xiàn)，這些高校受到威脅的關(guān)鍵因素都與老師或者學(xué)生遭遇的社會(huì)工程的惡意郵件相關(guān)。攻擊者剛一開始，就是針對(duì)特定老師和學(xué)生發(fā)送釣魚郵件，以此作為攻擊的源頭。例如OceanLotus（海蓮花）組織所使用的60%左右的攻擊都是將木馬程序作為電子郵件的附件發(fā)送給特定的攻擊目標(biāo)，并誘使目標(biāo)打開附件。在一個(gè)典型的釣魚郵件攻擊中，攻擊者可以通過一封看似正常但卻極具偽裝性和迷惑性標(biāo)題和附件的郵件就可以讓服務(wù)器失陷。因此，我們要培養(yǎng)老師和學(xué)生的網(wǎng)絡(luò)安全意識(shí)，在不知道郵件的來源或者和工作無關(guān)的郵件，不要隨便打開，尤其是不要被具有誘惑性的標(biāo)題所迷惑。此外，在日常工作中發(fā)現(xiàn)釣魚郵件時(shí)，要及時(shí)告知網(wǎng)絡(luò)安全管理人員進(jìn)行調(diào)查。3.密碼安全性不高大量的高校校園網(wǎng)絡(luò)安全事件表明，弱密碼問題是導(dǎo)致眾多校園網(wǎng)絡(luò)安全事件的罪魁禍?zhǔn)?。很多時(shí)候，黑客入侵并不需要高超的技術(shù)能力，他們僅僅從弱密碼這個(gè)入口突破就可以攻破校園網(wǎng)以及企業(yè)的整個(gè)信息基礎(chǔ)設(shè)施。因此，高校及企業(yè)應(yīng)該特別注意弱密碼的問題。（三）管理方面高校建立互聯(lián)網(wǎng)后，管理工作少了很多，但目前的安全狀況遠(yuǎn)不如其他方面。高校一般都有一定數(shù)量的校園網(wǎng)管理的維護(hù)人員，但他們的大部分職責(zé)是檢查計(jì)算機(jī)的日常運(yùn)行情況，當(dāng)互聯(lián)網(wǎng)系統(tǒng)在檢查維護(hù)方面出現(xiàn)問題時(shí)，在專門負(fù)責(zé)互聯(lián)網(wǎng)安全的人員往往不足的情況下，校園網(wǎng)安全問題就會(huì)暴露。1.專業(yè)人員缺乏目前，我國許多高校在配備網(wǎng)絡(luò)安全管理人員的同時(shí)，往往缺乏對(duì)網(wǎng)絡(luò)安全維護(hù)的良好掌握。因此，高校負(fù)責(zé)網(wǎng)絡(luò)監(jiān)控的人員缺乏安全管理技能，當(dāng)黑客攻擊大學(xué)網(wǎng)絡(luò)時(shí)，他們往往未能及時(shí)采取適當(dāng)?shù)姆烙胧?.相關(guān)人員保密性差關(guān)于在互聯(lián)網(wǎng)上設(shè)置的密碼，不能向公眾披露的信息不得嚴(yán)格保密，不得向他人任意披露，專用文件的透明度等問題，是互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)自身的問題。作為一名網(wǎng)絡(luò)管理員，他沒有積極的工作情緒，對(duì)任意破壞與互聯(lián)網(wǎng)有關(guān)的設(shè)備也不太認(rèn)真。目前，我國校園網(wǎng)建設(shè)的重點(diǎn)是校園網(wǎng)管理服務(wù)和學(xué)校信息化建設(shè)，沒有專門的系統(tǒng)來保護(hù)網(wǎng)絡(luò)的安全性。3.工作人員安全意識(shí)弱網(wǎng)絡(luò)工作人員的技術(shù)知識(shí)并不好，尤其是對(duì)重要的機(jī)密文件，有時(shí)無法將準(zhǔn)確的信息發(fā)送給需要的人，而是發(fā)送給其他人，這勢(shì)必會(huì)降低文件的機(jī)密性。日常數(shù)據(jù)管理中，需要對(duì)各類信息進(jìn)行分類存儲(chǔ)，但實(shí)際上對(duì)重要文件和普通文件往往沒有明確的區(qū)別，它們放在一個(gè)磁盤上，或者在計(jì)算機(jī)的每個(gè)磁盤上按順序分發(fā)，從而損害了重要文件的機(jī)密性，沒有任何好處。（四）校園網(wǎng)使用者不安全因素目前，大學(xué)生是校園網(wǎng)的主要用戶。學(xué)生對(duì)互聯(lián)網(wǎng)安全的意識(shí)通常很低。只有計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生才能擁有一些互聯(lián)網(wǎng)安全性意識(shí)，其他專業(yè)學(xué)生對(duì)網(wǎng)絡(luò)的安全毫不在意。他認(rèn)為，大學(xué)有受過專業(yè)培訓(xùn)的技術(shù)人員，他們應(yīng)該負(fù)責(zé)維護(hù)大學(xué)網(wǎng)絡(luò)的安全，而不是他們自己的責(zé)任，因此這是大學(xué)網(wǎng)絡(luò)的不確定性問題。大多數(shù)學(xué)生將大學(xué)網(wǎng)絡(luò)視為訓(xùn)練場(chǎng)，學(xué)生的好奇心使他們能夠?qū)⒋髮W(xué)網(wǎng)絡(luò)形象化，并探索輕松訪問所需資源的好處，而無需任何管轄權(quán)。校園網(wǎng)系統(tǒng)本身容易受到攻擊，校園網(wǎng)監(jiān)控人員應(yīng)對(duì)外部攻擊時(shí)，不能以任何方式改變、靈活采取的措施，不能有效遏制攻擊，甚至無法及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)威脅，導(dǎo)致網(wǎng)絡(luò)安全性低下的惡性循環(huán)。其次，必須尊重相關(guān)的安全法律法規(guī)，學(xué)校在對(duì)網(wǎng)絡(luò)安全上的宣傳是不夠的，我國也有關(guān)于互聯(lián)網(wǎng)使用的規(guī)則和法律，學(xué)校通常不會(huì)告知學(xué)生這個(gè)問題，也沒有制定規(guī)章制度。規(guī)章制度應(yīng)明確網(wǎng)絡(luò)安全問題需要考慮的事項(xiàng)，對(duì)破壞安全的學(xué)生的處罰，除法律法規(guī)外，學(xué)生還應(yīng)具有一定的特點(diǎn)，請(qǐng)勿瀏覽互聯(lián)網(wǎng)不健康的網(wǎng)站，請(qǐng)勿濫用校園網(wǎng)資源，請(qǐng)勿散布不健康的信息。三、高校網(wǎng)絡(luò)校園網(wǎng)網(wǎng)絡(luò)安全問題對(duì)策在建設(shè)高校校園網(wǎng)絡(luò)的設(shè)計(jì)方案中，為解決校園網(wǎng)絡(luò)中將會(huì)遇到的網(wǎng)絡(luò)安全問題，采取合理規(guī)劃VLAN、NAT技術(shù)與VPN結(jié)合、使用防火墻技術(shù)、縱深防御、最小權(quán)限法則、白名單機(jī)制以此來保證高校校園網(wǎng)絡(luò)的穩(wěn)定、安全的運(yùn)作。（一）部署安全策略1.合理劃分VLAN核心聚集層模塊是大學(xué)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備，核心層功能保證了大學(xué)網(wǎng)絡(luò)的速度和連續(xù)傳輸。有了核心設(shè)備的基本保護(hù)，就可以在不影響系統(tǒng)運(yùn)行的情況下激活安全計(jì)劃。匯聚層具有可靠性、高性能和冗余性的特點(diǎn)，由于網(wǎng)絡(luò)的特性，原設(shè)計(jì)中的匯聚層應(yīng)該在一定程度上減少接入層中不必要的連接，從而可以擴(kuò)展核心層，雙層網(wǎng)絡(luò)實(shí)現(xiàn)校園骨干相關(guān)的安全性和可靠性，在匯聚層上進(jìn)行端口和雙機(jī)備份的重新定位設(shè)計(jì)，實(shí)現(xiàn)了核心層的穩(wěn)定性，保證大學(xué)網(wǎng)絡(luò)的正常運(yùn)行。此外，終端的訪問控制解決方案將采用核心匯聚層模塊部署來實(shí)現(xiàn)。VLAN劃分的目的是限制廣播域，防止病毒和木馬在校園校園網(wǎng)中傳播，同時(shí)根據(jù)校園網(wǎng)的實(shí)際情況，適合加強(qiáng)管理和組織，制定方案以及實(shí)施。VLAN劃分的方案，說明如下：大學(xué)網(wǎng)絡(luò)有實(shí)時(shí)交互性的特點(diǎn)，學(xué)生每天通過大學(xué)網(wǎng)絡(luò)發(fā)送大量信息，所以根據(jù)學(xué)生主系的分布特點(diǎn)，將VLAN劃分為不同的系，相同的系劃分為一個(gè)VLAN組件，將VLAN劃分的更加具體；出于安全考慮，辦公室和宿舍可能被劃分為單獨(dú)的VLAN，學(xué)生無法訪問教師，以確保教師終端的科研資料和數(shù)據(jù)的安全；為方便教學(xué)實(shí)驗(yàn)，可將VLAN劃分到每個(gè)教室，將各樓層功能相同的教室劃分為一個(gè)VLAN；為方便網(wǎng)絡(luò)管理，可以通過樓棟來劃分VLAN，然后由各個(gè)部門的不同功能劃分VLAN。由于新生入學(xué)和畢業(yè)生離校的情況，人員變動(dòng)頻繁，人員流動(dòng)性大，VLAN劃分困難，所以即使在大學(xué)中學(xué)生人數(shù)和班級(jí)發(fā)生變化，也只有管理員必須通過端口重新分配已配置的VLAN，以便易于配置和監(jiān)視。將訪問控制與VLAN空間規(guī)劃結(jié)合使用，會(huì)限制VLAN之間的數(shù)據(jù)流量。例如，禁用財(cái)務(wù)訪問、禁用在不同服務(wù)的VLAN通信以及設(shè)置ACL對(duì)以防止病毒通過某些端口傳播。2.NAT技術(shù)與VPN結(jié)合網(wǎng)絡(luò)邊界模塊位于校內(nèi)網(wǎng)與校外網(wǎng)的交匯處，如圖4所示。其目的是將邊界的各個(gè)部件互連起來，保證教育網(wǎng)絡(luò)的主動(dòng)接入和電子通信的接入，網(wǎng)絡(luò)、遠(yuǎn)程訪問、網(wǎng)絡(luò)托管等。由于大學(xué)網(wǎng)絡(luò)連接快速且容易，它們還提供了一個(gè)網(wǎng)絡(luò)入侵通道，需要網(wǎng)絡(luò)安全模塊，這些模塊不僅提供與高風(fēng)險(xiǎn)外部網(wǎng)絡(luò)的連接，還需要校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全性。圖4網(wǎng)絡(luò)邊界安全模塊因此對(duì)網(wǎng)絡(luò)邊界板塊做以下安全部署：使用NAT技術(shù)設(shè)置訪問路由隱藏校園內(nèi)網(wǎng)IP地址。安裝網(wǎng)絡(luò)防火墻，保護(hù)內(nèi)外網(wǎng)，防止外網(wǎng)破壞內(nèi)網(wǎng)重要數(shù)據(jù)。使用ACL訪問控制來防止對(duì)外部網(wǎng)絡(luò)的非法和未經(jīng)授權(quán)的訪問，并防止對(duì)內(nèi)部網(wǎng)絡(luò)的非法外部連接。架設(shè)Nginx反向代理服務(wù)器，在防火墻和服務(wù)器之間架設(shè)Nginx反向代理服務(wù)器，解決外網(wǎng)訪問慢的問題，保證對(duì)服務(wù)器的保護(hù)。引入入侵防御和防火墻，作為防病毒和防火墻軟件的強(qiáng)大補(bǔ)充。通過實(shí)施網(wǎng)絡(luò)流量管理策略，實(shí)施流量分析和監(jiān)控措施，包括高校網(wǎng)絡(luò)上因被破解軟件和P2P軟件誤用而導(dǎo)致的校園安全問題，可控軟件可以管理高校內(nèi)的第三方軟件。設(shè)置網(wǎng)絡(luò)邊界安全板塊，可以有效防范非法越權(quán)訪問、仿冒ARP、文件上傳、DDOS攻擊等網(wǎng)絡(luò)威脅。3.使用防火墻技術(shù)服務(wù)器的安全保障了最終用戶和設(shè)備提供應(yīng)用程序服務(wù)，并在此基礎(chǔ)上架設(shè)終端控制對(duì)服務(wù)器方案的訪問。校園網(wǎng)絡(luò)服務(wù)區(qū)管理單元一般分為外部服務(wù)器區(qū)和內(nèi)部服務(wù)器區(qū)兩個(gè)區(qū)域，外部服務(wù)器區(qū)為外部用戶提供訪問大學(xué)網(wǎng)絡(luò)的服務(wù)，雖然有一定的局限性，但內(nèi)部與大學(xué)網(wǎng)絡(luò)的通信存在局限性，服務(wù)器外部區(qū)域仍然是風(fēng)險(xiǎn)高發(fā)區(qū)域；服務(wù)器的內(nèi)部區(qū)域主要供內(nèi)部用戶使用，由于該領(lǐng)域的應(yīng)用系統(tǒng)和服務(wù)的數(shù)量以及安全級(jí)別的不同，內(nèi)部服務(wù)器必須相互隔離，以防止服務(wù)在故障后作為跳板攻擊另一臺(tái)內(nèi)部服務(wù)器。因此，本模塊定義了安全中心（內(nèi)部）、隔離區(qū)（內(nèi)部）和DMZ（隔離區(qū)）。設(shè)置三個(gè)接口防火墻隔離區(qū)，每個(gè)防火墻接口分別連接解決方案區(qū)和隔離區(qū)，三個(gè)接口分別連接內(nèi)網(wǎng)、外網(wǎng)和隔離區(qū)以及各隔離區(qū)之間的防火墻。網(wǎng)絡(luò)服務(wù)器設(shè)置在隔離區(qū)域，方便外部用戶訪問校園，攻擊者也會(huì)在校園內(nèi)開火。在防火墻和隔離區(qū)之間安裝入侵檢測(cè)系統(tǒng)或Web應(yīng)用程序防火墻，以方便收集攻擊者的信息。網(wǎng)絡(luò)管理員可以根據(jù)當(dāng)前的位置信息重置安全策略，Web應(yīng)用防火墻可以主動(dòng)防御各種針對(duì)Web的網(wǎng)絡(luò)攻擊，例如“阻止”行為，并在這些攻擊到達(dá)服務(wù)器之前將其阻止。這確保了Web服務(wù)器的安全性并減少了威脅。由于內(nèi)部隔離區(qū)與安全中心之間的安全級(jí)別不一樣，安全中心的防盜系統(tǒng)正在引入，對(duì)加強(qiáng)有效保護(hù)提出了更高的要求；隔離區(qū)只能設(shè)置入侵檢測(cè)系統(tǒng)，收集入侵檢測(cè)攻擊信息。（二）操作系統(tǒng)安全策略在校園網(wǎng)的日常工作中，我們首先要認(rèn)識(shí)到只有保障了操作系統(tǒng)安全，才能保障依賴于其他提供服務(wù)的信息安全。信息安全是有生命周期的。從其生產(chǎn)、收集、處理、傳輸、分析到銷毀或者存檔，每個(gè)階段都有可能有大量的設(shè)備、平臺(tái)、應(yīng)用介入。而為這些設(shè)備、平臺(tái)、應(yīng)用提供底層支持的，往往有大量的操作系統(tǒng)，其為信息的整個(gè)生命周期提供源源不斷的動(dòng)力支撐。如果一個(gè)操作系統(tǒng)上沒有儲(chǔ)存任何有價(jià)值的信息，不生產(chǎn)或者傳輸有價(jià)值的信息，不處理和分析有價(jià)值的信息，那么這個(gè)系統(tǒng)也就失去了價(jià)值。1.最小權(quán)限和權(quán)限分離原則最小權(quán)限原則是指恰好給予對(duì)使用操作系統(tǒng)的人員、系統(tǒng)、程序最小的僅僅能夠完成任務(wù)的權(quán)限。最小權(quán)限和權(quán)限分離原則在等保測(cè)評(píng)和安全運(yùn)維的工作中經(jīng)常用到，高校校園網(wǎng)在管理和維護(hù)時(shí)建議使用此安全策略。（1）程序在Chroot環(huán)境下運(yùn)行程序執(zhí)行在經(jīng)過Chroot后，此時(shí)程序所能讀寫的目錄和文件在一個(gè)新的位置而不是原來的位置。（2）訪問數(shù)據(jù)庫的控制在進(jìn)行數(shù)據(jù)庫的訪問時(shí)，比如一般情況下，針對(duì)高校教務(wù)系統(tǒng)MySQL數(shù)據(jù)庫的訪問，只給予SELECT權(quán)限而不是ALL的權(quán)限。（3）運(yùn)行應(yīng)用程序時(shí)使用普通用戶權(quán)限使用普通用戶權(quán)限可以有效減少程序漏洞帶來的威脅。（4）校園服務(wù)器網(wǎng)絡(luò)訪問權(quán)限控制在建設(shè)校園網(wǎng)時(shí)，大多數(shù)后端服務(wù)器不需要被外界訪問，就無需公網(wǎng)IP,比如內(nèi)網(wǎng)API服務(wù)器。2.設(shè)置白名單原則白名單原則和黑名單原則恰恰相反，白名單原則能阻止未預(yù)期的威脅。黑名單原則則是明確什么是不被允許的，而其他所有情況是允許的。黑名單原則的缺陷很明顯，單一使用黑名單原則在大多數(shù)情況下，無法阻止所有可能的威脅。比如在設(shè)置校園網(wǎng)防火墻規(guī)則時(shí)，白名單原則就顯得更加有效，相對(duì)最優(yōu)的規(guī)則是拒絕其他所有連接。白名單原則可以防御校園網(wǎng)0Day漏洞和有針對(duì)性攻擊擊，在默認(rèn)的情況下，任何未經(jīng)授權(quán)的軟件工具和進(jìn)程都不能在操作系統(tǒng)上運(yùn)行。當(dāng)啟用了白名單后有惡意進(jìn)程在運(yùn)行時(shí)，白名單原則可以確定這是不可信的進(jìn)程，并拒絕其運(yùn)行。3.縱深防御原則縱深防御原則是指應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、物理安全多層安全機(jī)制下的安全防護(hù)。在給校園網(wǎng)提供了冗余的安全機(jī)制后，一種安全防御失效后或者被打穿后，可以運(yùn)用其他的安全機(jī)制來降低風(fēng)險(xiǎn)。比如主機(jī)安全層面，我們?cè)谛@內(nèi)網(wǎng)和外網(wǎng)之間部署蜜罐以及防病毒網(wǎng)關(guān)，及時(shí)更新安全策略和蜜罐告警可以確保校園內(nèi)部網(wǎng)絡(luò)安全，還可以校園網(wǎng)主機(jī)安全上添加多因子認(rèn)證技術(shù)，通常利用兩種及兩種以上的規(guī)則對(duì)用戶進(jìn)行驗(yàn)證，以此來提高校園網(wǎng)的安全性。四、總結(jié)計(jì)算機(jī)技術(shù)的安全性是影響