校园网络安全防范体系的构建与策略

2013-10-16陈锦琪陈晓语

计算机与网络 2013年2期

陈锦琪陈晓语

（江苏省杨州技师学院江苏扬州225003）

1 引言

伴随着教育信息化的高速发展，校园网络的普及率和应用率越来越高，这就使得很多学校在教学管理活动中对计算机和校园网络的依赖程度与日俱增，这就对校园网络的安全防范水平和信息服务质量提出了更高的要求。尤其是随着校园网络遭受攻击的越来越频繁，受到攻击威胁程度的提高，校园网络的系统安全问题已经成为当前热议的话题。

2 校园网络安全存在的问题

2.1 网络安全意识相对薄弱

在当前的校园网络中，服务对象主要是在校的教师和学生，但这些用户的信息化素质和计算机网络水平却存在很大的差异，大部分用户在使用计算机网络时缺乏应有的网络安全防范意识，导致计算机病毒较多，传播起来造成的不良影响也比较大。例如，有的学生在上网或使用计算机的过程中，经常使用简单的密码，在使用U 盘等移动存储设备时忽略了病毒的查杀，这都给黑客盗取或篡改个人信息提供了空间。怎样提升在校师生的安全意识和信息化素质，通过有效的网络安全维护策略确保校园网络的安全运行，已经成为当前校园网络管理人员需要重点面对的问题[1]。

2.2 网络安全管理的投入相对不足

在当前的校园网建设活动中，很多学校将主要精力放在了安全设备和安全技术的投入上，对校园网络的安全管理却不够重视，通常借助架设出口防火墙对校园网的安全进行保护，但是很多学校并没有及时建立病毒防御和安全漏洞分析等安全体系。同时，由于受到组织机构建设和经济投入等因素的影响，有些学校的网络安全管理人员相对不足，经常出现一人身兼数职的情况[2]。此外，还有的学校并没有建立相应的信息安全管理机构，网络安全制度与管理规范的上的缺陷，也容易带来校园网络安全管理上的弊端。

2.3 网络终端数量众多

一般的校园网络用户，都是成千上万个，尤其是一些大型的高校，在校师生和管理人员高达几万人，所以使得校园网的用户比较集中，网络终端数量庞大，尤其是随着无线的普及，智能手机和平板电脑也成为重要的网络终端设备，从而使得校园网络的网络终端数量越来越多。

3 P2DR 安全模型

校园网络的安全威胁是来自多方面的，加上校园网络安全防范体系的构建与完善已经成为是一项长期和复杂的系统工程，单纯依赖安全技术或者安全产品都很难完全实现校园网络安全管理的目标。因此，网络安全防范体系应该是动态变化的，在完成安全防范体系的设计后，必须不断适应安全环境的变化[3]。

在构建校园安全防范体系时，可以参照美国国际互联网安全系统公司（ISS）提出的P2DR 模型，主要包括策略、防护、检测和响应4个模块。①策略：该模块的主要功能是根据计算机与网络风险分析理清需要保护的资源和对象，以及该采取怎样的保护措施等。策略模块是P2DR 模型的核心，其他模块的功能都要依据安全策略才可以得以有效的实施。具体说来，网络安全策略可分为具体安全策略和总体安全策略；②防护：该模块的主要功能是借助对校园网络系统漏洞的修复，系统的正确设计和合理安装，网络安全教育，运用访问控制和监视等手段对恶意威胁或攻击事件进行有效的防护；③检测：该模块作为加强防护和动态响应的主要依据，其功能主要体现在通过对校园网络系统的监控和检测，及时发现新的系统弱点和网络威胁，通过循环反馈做出及时、快速的反映，可以同防护模块的功能形成有效的互补；④响应：该模块的功能在于当校园网络系统一旦检测到入侵，响应系统就开始工作，确保事件的处理和网络的安全。P2DR 是一个完整的和动态的安全循环，有效地保障了保证网络信息系统的安全[4]。

4 安全防范体系的构建与完善策略

图1 校园网络安全防范体系模型图

根据传统的网络安全体系结构，结合P2DR 模型可构建一种动态的、可靠的和实用性较强的校园网络安全防范体系模型，如图1 所示。

4.1 安全策略体系

安全策略体系主要是指服务于校园网络安全管理的一系列的规章制度，主要会涉及到校园网络安全管理的长远规划和网络安全管理的目标，还应当包括校园网络安全事故爆发时的应急处理制度和事后恢复制度等内容。

4.2 安全技术体系

安全技术是指根据安全目标需要，通过部署安全设备和采用技术策略来对校园网进行安全防护，其包括的设备或采用的技术主要包括入侵检测、防病毒网关、防火墙、通信加密、漏洞扫描和安全审计等。①入侵检测技术是指对网络入侵行为的发觉技术[5]，该技术可以使计算机网络或计算机系统中若干关键点收集信息并对其进行分析，进而可及时发现校园网络或计算机系统中的各种违法安全策略的行为以及可能遭受网络攻击的迹象；②防病毒网关是作为一种新型的网络设备，可以对进行校园网的数据安全进行有效的保护，如所具有的关键词过滤、病毒查杀和垃圾邮件拒绝等功能；③防火墙技术指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，其目的就是防止外部网络用户未经授权的访问[6]；④通信加密技术主要是通过物理或者数学手段，实现对数字信息在网络传输过程中和存储设备中的安全保护的技术。计算机密钥、保密通信和防复制软盘等都属于通信加密技术。⑤漏洞扫描技术主要是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为；⑥安全审计主要是指通过多样化的技术系统如：数据库管理系统、操作系统、网络管理系统提供的专门管理程序以及审计模块的相关功能，对系统的日常使用情况进行日志式的记录，进而实现对校园网络的实时监控和及时报警和事后分析与统计。同时，只有加强这些设备和技术在整体上的使用才能实现更好的安全防范效果，这就需要学校要结合自身校园网络建设和安全管理的需要，部署和构建有针对性的安全技术体系[7]。

4.3 安全管理体系

安全管理是校园安全防范体系构建的基础和主线，贯穿于整个体系建设的始末，安全管理体系的构建，不仅仅包括技术和设备要素，还包括人的要素，是确保校园安全防范体系能够发挥作用和职能的重要前提，如果在校园网络安全管理中缺少了人的主动管理和规章制度的有效约束，那么再好的硬件设备和软件防范技术都难以发挥应有的效能。基于校园网络安全体系建设的复杂性，安全管理体系的构建必须建立规范、全面和科学的管理制度，充分发挥"人"在校园网络安全管理中的重要作用，将设备技术与安全管理机制有机地结合起来，进而实现更好的管理效果[8]。

4.4 安全培训

由于校园网络安全防范体系的构建会涉及到很多环节和多个用户，无论是学校的领导，还是校园网络用户和网络管理员，都是其中的重要组成部分，只有通过一系列的安全教育与培训措施，不断加强和提高用户的网络安全意识和安全风险防控能力，才能确保各项安全防范措施的有效贯彻与执行。尤其是在病毒泛滥的校园网络环境下，只有不断通过定期培训、病毒及时发布和促使用户修复漏洞等措施，增强校园网用户的安全风险应对能力，才能有效减少各类网络安全事件，避免很多不必要的损失[9]。

4.5 安全服务

为了充分发挥校园网络安全防范体系的职能，校园网的管理人员还需要严格遵循用于校园网安全检测、预防非法攻击或者响应及时恢复系统的安全机制，如定期做好服务器、工作站和交换机等网络设备的安全检查工作，及时处理掉可能存在的安全隐患，对来自外部网和校园网内部的各种操作行为进行实时检测等，这样有助于对各类校园网的安全攻击事件进行防御，提高校园网在数据处理、数据传输以及系统维护方面的安全效能。