高校校园网络信息安全技术与策略研究_什么是信息安全技术

　　摘要：随着网络技术发展和应用，教育信息化发展不断加深加快，高校校园网的建设也在不断进行中。但是，由于高校校园网络在建设中存在一些不合理的建设策略和架构，其面临的安全问题也日益突出。高校校园网的安全与教学、科研和学校管理等密切相关，构建安全的高校校园网络具有重要的意义。对高校校园网的安全现状作以简单分析，提出了构建高效安全的校园网络的相关策略。
　　
　　关键词：校园网络 网络安全 管理
　　高校校园网作为高校这个特殊环境中传递信息的媒介，是学校重要的教学、科研信息基础设施，它提供教学，科研，娱乐，教育管理，招生。随着校园网的逐步发展，网络应用的逐渐普及，校内部的网络越来越多的暴露给了外部世界。因此，在校园网络及其信息系统中如何设置自己的安全措施，使它安全、稳定、高效地运转，发挥其应有的作用，成为各校越来越重视的问题。
　　针对层出不穷的校园网络安全问题，高校内设办公机构和部门都购置了各种网络安全产品，如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑，这些产品分别在不同的侧面保护着网络系统。但是，从系统整体安全考虑，这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素，更多的在网络安全的管理、部署和操作方面，因此，将技术和管理相结合，建立一个多层次的校园网安全防御体系，对于构建安全的校园网环境有着重大的意义。
　　保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强，安全策略是先导，先进的网络安全技术是根本。
　　网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络，构建了一个多层次的校园网安全主动防御体系模型。
　　一、依托网络安全技术构建网络安全堡垒
　　1.合理规划设计校园网络物理结构
　　校园网络是教学，科研，娱乐，教务管理、图书管管理等活动的基础设施。特别地，在科研、教务管理、图书馆管理等方面，对校园网络安全要求很高。对这些关键部门，构建相应的办公网络时，应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离，这样的物理安全设计为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。
　　计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。
　　正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。
　　2.构建应用级网关、实时入侵检测(IDS)
　　应用级网关作为防火墙（Firewall）中的一个主要类型，它通过侦听网络内部客户的服务请求，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。对于内部客户而言，应用级网关好像原始的公共服务器，对于公共服务器而言，代理服务器好像原始的客户一样，亦即应用级网关充当了双重身份，并将内部系统与外界完全隔离开来，外面只能看到代理服务器，而看不到任何内部资源。
　　
　　IDS作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面，而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动，能更有效地阻止攻击事件，把网络隐患降至较低程度。
　　3.建立多层次的病毒防护体系
　　这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件；在服务器上安装基于服务器的反病毒软件；在校园网的每个台式机上安装台式机的反病毒软件。同时，还需要做好如下工作：定时对网络进行杀毒；对每台计算机都开启病毒监控；经常对服务器和客户机的杀毒软件进行升级。
　　二、加强和规范校园网络安全管理
　　1.加强黑客入侵检测与防范
　　校园网入侵者一般为校园网内部用户，有着窥探他人隐私的好奇性，攻入私人计算机。有的入侵者希望通过入侵学校数据库，以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵，引起他人注意，以显示自己的能力，这样的人不会盗取别人的电脑资料，但会故意留下“足迹”，如进行破坏或是“留言”。
　　为了维护高校教务系统及图书馆管理系统安全，应该特别加强黑客入侵检测，并严格防范。主要可以采取以下几方面的措施：
　　(1)检测网络嗅探程序
　　网络嗅探是一种常用的收集网络数据包的方法，其基本原理是对经过网卡的数据包进行捕获和解码，从链路层协议开始进行解码分析，一直到应用层的协议，最后获取数据包中需要的内容，如账号、口令等。
　　当电脑系统被一些网络嗅探程序跟踪时，可能会出现网络通讯丢包率非常高或是网络带宽出现反常，这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常，可以在关键的系统上部署检测嗅探器工具，例如AntiSniff工具，来自动检测网络嗅探程序。
　　(2)及时更新IIS漏洞
　　由于宽带的普及，给自己的计算机装上简单易学的IIS，搭建一个ftp或是web站点，已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施：关注微软官方站点，及时安装IIS的漏洞补丁。
　　(3)选择性关闭IPC$共享、防止IPC$共享入侵
　　IPC$ (Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$，d$，e$)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享，最好的方法是给自己的账户加上强口令，并不定期地更换。
　　2.加强校园网络中服务器安全规范
　　(1)制定缜密的服务器管理制度，对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件，及时更新，打上漏洞补丁。各种密码必须做到定期更换，经常对服务器进行漏洞扫描，确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　(2)建立定期备份制度，服务器可以采用RAID5（磁盘阵列）技术，或者是双机容错技术等等，确保系统能不间断运行。
　　(3)根据分配工作的不同，赋予操作人员不同级别的权限，同时建立完备的日志系统，做到出现问题能立马有迹可循。
　　3.建立校园网的统一认证系统
　　认证是网络信息安全的关键技术之一，其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。校园网与 Internet没有实施物理隔离。但是，对于运行内部管理信息系统的内网，建立其统一的身份认证系统仍然是非常必要的，以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
　　三、加强高校网络安全教育
　　要确保高校网络安全，除了依赖最新的网络安全技术去构建网络安全屏障外，还要加强高校网络安全教育。主要有以下几方面的措施：
　　1.对网络管理员定期进行专业培训
　　有些网络管理员专业知识和技能不够、责任心不强，部分网络管理员在工作之前没有受过系统的专业培训。所以，不能很好地胜任本职工作。
　　严格的管理是校园网安全的重要措施。事实上，很多学校都疏于这方面的管理，对网络安全保护不够重视。为了确保整个网络的安全有效运行，有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
　　2.在高校师生中普遍开展网络安全教育
　　高校中教师作为知识的引导传播者，在信息化教育不断发展的高校教育中，教师网络安全意识的提高，首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规，如内容分级过滤制度等。教师应意识到无论是在学校还是家庭，都应加强网络安全和道德教育，积极、耐心的引导学生，使他们形成正确的态度和观念去面对网络。同时，给学生提供丰富、健康的网络资源，为学生营造良好的网络学习氛围，并教育学生在网上自觉遵守道德规范，维护自身和他人的合法权益。
　　四、总结
　　高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范，目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念，采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系，另外，我们在思想上要认识到网络安全的重要性，在校园网络安全建设硬件方面不但要有资金投入，还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训，树立大家的网络安全防范意识。这样，就可以使网络安全事故发生的可能性降低到最小。我们相信，随着教育信息化的发展，校园网络安全也越来越受到大家的关注，校园网也会越来越安全。
　　参考文献：
　　[1]陈新建.校园网的安全现状和改进对策[J]．网络安全技术与运用．
　　[2]刘建炜．基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究，2010，(3)．
　　[3]谢希仁.计算机网络[M]．大连：大连理工大学出版社，2003．
　　[4]戚文静.网络安全与管理[M].中国水利水电出版社，2003．
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文