校园网络安全需求及应对策略

2016-03-14李玉杰

网络安全技术与应用 2016年12期

关键词：校园网信息安全服务器

◆李玉杰

（甘肃省理工中等专业学校甘肃 733000）

校园网络安全需求及应对策略

◆李玉杰

（甘肃省理工中等专业学校甘肃 733000）

网络安全是数字化校园健康运行的基本保证，校园网络安全主要包括软硬件系统的安全和信息安全。随着数字化校园应用的普及，网络安全成为校园安全的一个突出问题。如何确保校园网络安全稳定的运行，是校园网建设中必须解决的问题。本文对中职学校网络安全需求进行了分析并提出建立一个全面的网络安全体系的具体措施。

校园网；网络安全

0 引言

随着信息技术的日益发展和广泛应用，中职学校已经建成了门户网站和数字化校园平台，服务于学校的招生宣传、办公和教育教学工作，但随着应用的深入，校园网上的各种数据急剧增加，随之而来的网络安全问题也日益突显，黑客攻击、入侵破坏、发布有害信息等信息网络安全事件频繁发生，既损害了中职学校形象，也影响了正常的教育教学工作，必须采取有效措施，加固网络和信息安全、提高安全保护等级，保障网络正常、可靠、稳定运行。

1 校园网络安全需求

1.1 安全性

当前的互联网内存在着不计其数的各种各样的病毒，木马，恶意插件脚本，黑客攻击等，安全的网络建设，必然要求在学校互联网出口和数据中心，建立一整套的安全防护体系，不仅要防护这些恶意攻击，同时，也要保护门户网站不被恶意篡改，以及数据中心的敏感信息不被外泄。

1.2 易用性

考虑到学校办公、教学和学习的需求，要使在校内外移动办公、教学和学习的用户能够安全，方便的通过各种终端，例如：iphone、iPad、安卓智能手机、笔记本等接入校园网络，并且网络管理员可以简单便捷地对其进行管理。

1.3 高效性

不仅要提升用户在访问不同运营商资源，或者通过不同运营商接入访问内部系统的访问速度，同时，在做安全防护的时候，也要考虑防护的高效性，避免因为安全防护设备的性能瓶颈，影响正常的办公、教育教学。

1.4 可管理性

对内网的上网行为可以进行可视化的监控和管理，通过对P2P等上传和下载行为的控制，保证核心业务的带宽，提升用户上网体验，提高工作效率。同时，避免由于发布非法言论而召之法律责任。要通过对IM聊天，微博，网站和论坛访问等等网络行为的审计，提升网络的可管理性。

2 应对策略

学校要保障信息安全经费投入充足和信息安全管理人员配备齐全。完善信息安全设施。密切监测、监控学校网络，从访问控制、入侵检测、行为审计、防病毒保护、网站保护等方面建立了一个全面的安全体系。

2.1 建立健全校园网络和信息安全制度和运维机制，保障网络正常运行

要建立网络和信息安全领导小组，负责网络和信息安全的领导和监督检查。要有负责学校网络安全管理工作的内设机构，配备相对固定的专职技术人员，采取有效的网络管理策略与技术组织措施，制定并落实诸如《校园网络安全管理办法》、《校园网信息发布管理办法》、《校园网入网信息安全协议书》、《计算机信息系统病毒预防和控制管理办法》、《网络信息安全突发事件应急预案》等制度。要定期开展网络安全检测，对网络系统漏洞、非法入侵、病毒侵害等进行检查分析，定期对整个网络的安全状况进行评估，及时弥补出现的漏洞；开展网络安全应急演练，对全校师生开展网络安全教育培训，提高校园网系统全体人员的网络安全意识和防范技术。另外，在网络安全方面每年要有一定的运行维护费用，为中职学校网络安全提供保障。

2.2 加强软硬件安全体系建设，有效保障校园网络安全

安装防火墙、应用防火墙、身份认证系统、行为审计系统、防病毒及容灾备份系统。

（1）在互联网出口，部署高性能的防火墙。将内部网络、对外服务器网络和外网进行有效隔离，避免与外部网络直接通信；并通过其内部集成的IPS，WAF，传统墙功能，以及反病毒模块等，建立一套在互联网出口的一体化防护系统，有效的防止学校门户网站不被篡改，以及对外发布的敏感信息的拦截。

（2）部署上网行为管理，形成一个完善的审计体系，对内网用户的上网行为进行管控。严格记录用户访问日志、规范网络用户的上网行为，避免网络攻击。行为审计系统可以通过应用识别和智能识别封堵各类已知和未知的P2P软件，并通过动态流控的方式，在保证核心业务的带宽的同时，对网络用户进行灵活，人性化的管控。行为审计系统灵活精细的网络准入策略，可以保证上网终端的安全，以及对各类上网应用的授权，最重要的是，可以审计到各类IM聊天，加密网站，论坛，邮箱，解决传统上网行为管理加密识别难的问题。

（3）在数据中心前部署高性能防火墙，建立一套在数据中心的一体化防护系统，可以对数据中心外发的敏感信息进行有效地拦截和控制。同时也可部署服务器负载均衡，保证服务器资源均衡调动，在服务器繁忙之时不会导致内部资源访问缓慢；针对服务器集群采用服务器虚拟化技术，保障用户核心应用不会因为单台服务器的损坏导致业务中断及数据丢失。

（4）在服务器群前部署IPS入侵检测检测系统，利用入侵检测系统监测对内，对外服务器的访问；对服务请求内容进行控制，使非法访问在到达主机前被阻断；防范外网和内网对服务器的攻击，保护服务器群的安全和DDoS攻击。

（5）校园网应用操作系统尽量采用开源Linux操作系统，减少对windows操作系统的依赖性。要对服务器进行定期和不定期安全检查，主要内容包括：SQL注入攻击，跨站脚本攻击，弱密码，杀毒软件安装和升级，病毒木马检测、端口开放，网页篡改。并认真做好系统安全日志。

（6）使用安全加固手段对现有服务器进行安全配置，保障服务器本身的安全性。对接入校园网的计算机要通过VLAN技术按不同工作部门或功能等划分在不同的网段中，使不同的使用者访问不同的资源，避免发生网络数据风暴和资源外泄情况。可以把同一个建筑物中的用户划分在一个网段中，也可以按职能部门划分网段，这样可以有效避免一些网络安全问题的发生。同时，可以采取网络用户与IP地址绑定的策略，对网络用户采用实名认证，一旦网内主机发生不安全因素，可以快速追踪其使用者，使其终止危害，避免更大的网络损害。

（7）应用病毒防护和容灾备份系统。选用功能相对完善的网络查杀病毒软件，采取必要的病毒检测和监控措施，实时查杀网络和主机病毒，对接入网络的各种存储介质进行杀病毒管理。对服务器资料和重要数据定期进行及时的备份，最好使用专业的容灾备份软硬件系统，在网络和信息系统遭到严重摧毁后能及时恢复，将损失降低到最小。

2.3 严格执行信息发布审批制度，规范信息发布工作

学校网站信息发布要实行领导审核签名制度。在学校网站上传的信息，要经相关部门领导的审核后才可以上传。学校要实行校园网络信息安全管理机制，开发校园网站信息发布系统，并要通过激励机制保证网站内容的及时更新。

2.4 涉密计算机和信息要严格与校园网络物理隔离

涉密计算机及相关存储介质的利用和管理，要选择专人保存，涉密文件要独立寄存,禁止携带保存有涉密内容的存储介质到上网的电脑上加工、储存、传递和处理文件。对涉密计算机要实行与国际互联网及其他公共信息网物理隔离,确保学校信息安全。

2.5 严格规范办公计算机管理

学校要对办公用计算机及其设备实行“谁使用、谁管理、谁负责”的管理制度。一要加强信息安全教育，提高教学人员的计算机技能；二要要求所有的办公电脑都安装杀毒软件和独立的防火墙；三要在学校开展网络安全知识宣传，使全校师生意识到计算机网络安全的重要性，提高信息安全的技能，主动，自觉做好网络安全工作，学校要将利用计算机进行犯罪活动作为安全保卫工作的重要内容；四是在计算机网络维护中，专门设置网络设备故障登记簿、电脑维护和维修表，对设备故障和维护进行认真的登记，并及时处理。