IT工程師數位筆記本

摘 要： 深入研究了現代校園網信息安全化。對現代校園網的各層安全隱患進行了詳細的風險分析，在全網動態安全體系模型（APPDRR）的指導下，通過對現代校園網主流網絡信息安全化技術的研究，提出現代校園網絡安全問題的各層解決方案，并綜合應用到現代校園網的各個層面上，構筑現代校園網的整體安全防御體系。

　　關鍵詞： 安全隱患； 全網動態安全體系模型； 信息安全化； 安全防御
　　中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）12-46-03
　　Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.
　　Key words： hidden danger； APPDRR； information security； security defense
　　0 引言
　　隨著現代校園網接入互聯網以及各種應用急劇增加，在享受高速互聯網帶來無限方便的同時，我們也被各種層次的安全問題困擾著。現代校園網絡安全是一個整體系統工程，必須要對現代校園網進行全方位多層次安全分析，綜合運用先進的安全技術和產品，制定相應的安全策略，建立一套深度防御體系[1]，以自動適應現代校園網的動態安全需求。
　　1 現代校園網絡的安全隱患分析
　　現代校園網作為信息交換平臺重要的基礎設施，承擔著教學、科研、辦公等各種應用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。
　　⑴ 物理層的安全分析：物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞，造成現代校園網不能正常運行。在考慮現代校園網安全時，首先要考慮到物理安全風險，它是整個網絡系統安全的前提保障。
　　⑵ 網絡層的安全分析：網絡層處于網絡體系結構中物理層和傳輸層之間，是網絡入侵者進入信息系統的渠道和通路，網絡核心協議TCP/IP并非專為安全通信而設計，所以網絡系統存在大量安全隱患和威脅。
　　⑶ 系統層的安全分析：現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性，并且當今漏洞被發現與漏洞被利用之間的時間差越來越小，這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。
　　⑷ 數據層的安全分析：數據審計平臺的原始數據來源各種應用系統及設備，采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集，采用多種方式和被收集設備進行數據交互，主要面臨著基于應用層數據的攻擊。
　　⑸ 應用層的安全分析[2]：為滿足學校教學、科研、辦公等需要，在現代校園網中提供了各層次的網絡應用，用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患，主機系統上運行的應用軟件系統采購自第三方，直接使用造成諸多安全要素。
　　⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發的安全問題。
　　⑺ 非法入侵后果風險分析：非法入侵者一旦獲得對資源的控制權，就可以隨意對數據和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。
　　2 現代校園網安全APPDRR模型提出
　　全網動態安全體系模型[3]（APPDRR）從建立全網自適應的、動態安全體系的角度出發，充分考慮了涉及網絡安全技術的六方面，如風險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應（Response）、數據恢復（Recovery）等，并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示，該模型緊緊圍繞安全策略構建了五道防線：第一道防線是風險分析，這是整體安全的前提和基礎；第二道防線是安全防護，阻止對現代校園網的入侵和破壞；第三道防線是安全監測，及時跟蹤發現；第四道防線是實時響應，保證現代校園網的可用性和可靠性；第五道防線是數據恢復，保證有用的數據在系統被入侵后能迅速恢復，并把災難降到最低程度。
　　3 現代校園網主流網絡信息安全化的技術研究
　　為了保護現代校園網的信息安全，結合福建農業職業技術學院網絡的實際需求，現代校園網信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現代校園網安全防御體系，主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等，如圖2所示。
　　3.1 加解密技術
　　現代校園網中將部署各種應用系統，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。 　　3.2 防火墻技術
　　防火墻技術是網絡基礎設施必要的不可分割的組成元素，是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則，對進出內外網之間的信息數據流進行監測、限制和過濾，只允許匹配規則的數據通過，并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件，以便管理員分析檢測、迅速響應和反饋調整。
　　3.3 防病毒系統
　　抗病毒技術可以及時發現內外網病毒的入侵和破壞，并通過以下兩種有效的手段進行相應地控制：一是有效阻止網絡病毒的廣泛傳播，采用蜜罐技術、隔離技術等；二是殺毒技術，使用網絡型防病毒系統進行預防、實時檢測和殺毒技術，讓現代校園網系統免受其危害。
　　3.4 虛擬專用網
　　虛擬專用網（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率，而且學校各校區間的連接更加靈活。只要能夠上網，各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸，保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有：①數據鏈路層有PPTP、L2F和L2TP；②網絡層有GRE、IPSEC、 MPLS和DMVPN；③應用層有SSL。
　　3.5 入侵防護技術
　　入侵防護技術包含入侵檢測系統（IDS）和入侵防御系統（IPS）。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權對象（人或程序）針對系統的入侵企圖或行為，同時能監控授權對象對系統資源的非法操作，提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和及時響應），提高現代校園網基礎結構的完整性。
　　3.6 身份認證系統
　　現代校園網中特殊部門（如檔案、財務、招生等）要建設成涉密系統。要采用身份認證系統[5]，應建立相應的身份認證基礎平臺，加強用戶的身份認證，防止對網絡資源的非授權訪問以及越權操作，加強口令的管理。
　　3.7 數據備份系統
　　在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段，可保證在災難突發時，系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份，備份策略采用完全備份與增量備份相結合的方式。
　　3.8 預警防控系統
　　現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級，嚴格履行國家標準的信息安全管理制度，構建現代校園網統一的安全管理與監控機制，能實行現代校園網統一安全配置，調控多層面分布式的安全問題，提高現代校園網的安全預警能力，加強對現代校園網應急事件的處理能力，切實建立起一個方便快捷、安全高效的現代校園網預警防控系統，實現現代校園網信息安全化的可控性。
　　4 現代校園網絡安全問題的解決方案
　　通過對現代校園網主流網絡信息安全化技術的深入研究，針對現代校園網的安全隱患，提出現代校園網絡安全問題的各層解決方案。
　　⑴ 物理層安全：主要指物理設備的安全，機房的安全等，包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。
　　⑵ 網絡層安全：針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分，并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。
　　⑶ 系統層安全：現代校園網管理平臺的主機選擇安全可靠的操作系統，采取以下技術手段進行安全防護：補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。
　　⑷ 數據層安全：主要使用數據庫審計系統進行監控管理，對審計記錄結果進行保存，檢索和查詢，按需審計；同時還能夠對危險行為進行報警及阻斷，并提供對數據庫訪問的統計和分析，實現分析結果的可視化，能夠針對數據庫性能進行改進提供參考依據。
　　⑸ 應用層安全：應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務請求和資源訪問的防抵賴。
　　⑹ 管理層安全：現代校園網應依法來制訂安全管理制度，提供數據審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。另一方面，當事故發生后，提供黑客攻擊行為的追蹤線索及破案依據，實現對網絡的可控性與可審查性。
　　5 構筑現代校園網的整體安全防御體系
　　現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中，在配套安全管理制度規范下[7]，現代校園網可實現全方位多層次的信息安全化管理，配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系，可有效防范、阻止和切斷各種入侵者，構筑現代校園網的整體安全屏障。
　　6 結束語
　　信息安全化是現代校園網實施安全的有效舉措，并建立一套切實可行的現代校園網絡安全保護措施，提高現代校園網信息和應急處置能力，發揮現代校園網服務教學、科研和辦公管理的作用。現代網絡的高速發展同時伴隨著種種不確定的安全因素，時時威脅現代校園網的健康發展，要至始至終保持與時俱進的思想，適時調整相應的網絡安全設備。
　　參考文獻（Reference）：
　　[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網絡安全體系結
　　構[M].人民郵電出版社，2005.
　　[2] Cbris McNab著，王景新譯.網絡安全評估[M].中國電力出版
　　社，2006.
　　[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學
　　位論文，2010.
　　[4] Teare D.著，袁國忠譯.Cisco CCNP Route學習指南[M].北京
　　人民郵電出版社.2011.
　　[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].
　　電子科技大學碩士學位論文，2015.5.
　　[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術，
　　2012.11.
　　[7] 李飛.高校校園計算機網絡設計與實現的研究[J].電子制作，
　　2013.7.
百度搜索“就愛閱讀”,專業資料、生活學習,盡在看文倉kanwencang.com,您的在線圖書館!
歡迎轉載：http://www.kanwencang.com/xuexi/20170118/89082.html

文章列表

---

Avast 防毒軟體已檢查此封電子郵件的病毒。 www.avast.com