张晓+曹伟平+赵鑫+张媛

[摘 要]随着现代校园的无纸化办公的不断推行，我们的整个校园的运行越来越依赖于内部建构的高性能网络环境，那么与之而来的就是校方不得不首要考虑的自身网络的安全和稳定性问题，而这也是当下高校经常会遇到的一个工作难题。文章在此背景之下，首先分析了校园内部网络容易遇到的是何种安全问题，从物理层到最终的用户端，然后针对每一类安全问题提出解决方案，希望能够为我们的高校建设工作提供一些参考。

[关键词]高校内部网络；安全分析；解决方案

[DOI]10.13939/j.cnki.zgsc.2018.04.267

1 高校内部网络安全隐患综合分析

1.1 网络设备的安全问题

如今随着互联网时代的不断发展，校内用户的需求不断增长，所以各大高校为了满足自己的网络需求在近些年都不断地增设各种高级网络设备，并且将这些设备安置在校园的各个地方。由于校园的物理距离限制和设备本身的复杂度限制，导致了整个校园网络环境的维护难度与日俱增，通信用的光纤电缆、交换机、路由器、网关等，这些设备很多由于需求导致其暴露在露天环境下，无论是恶劣天气还是人为导致的损害都是非常容易发生的。这是物理层面上最直观和最容易想到的维护问题，我们高校来制定自己的高校校园网络环境安全维护方案的时候，同样是需要首先考虑清楚的。

1.2 系统和应用软件存在的漏洞

从最近的比特币勒索病毒来看，其实我们高校内使用的教学网络软件系统本身存在着很大的问题，无论是设备所使用的操作系统存在的漏洞，还是我们日常办公工作使用到的应用软件，这些软件无论是正版授权的还是违规盗版的，它们都存在着很大的安全隐患，一些不怀好意的人最想要找到并利用的也是这些漏洞，从而来达到自己的一些不可告人的目的。

1.3 计算机病毒和来自内、外网络恶意攻击

网络环境下鱼龙混杂，木马、病毒充斥其中，而校园网络从某种角度来看又是一个整体，一旦有一台设备受到了病毒的感染，就很容易导致在整个网络上的链式传播，甚至最后导致整个网络的瘫痪。更为令人头疼的是，高校网络并不能像一些保密单位那样进行物理网络隔绝，只做成自己的内部网络，所以等于我们的高校网络必须暴露在开放的环境下。对于此方面的防范，一般是教育我们的员工和学生合理正确地进行上网活动，同时严令禁止一些有能力进行相关操作的学生出好奇或者好玩的目的对校园网进行一些违规的操作。

1.4 内部用户滥用网络资源

高校内部的网络在近些年由于新媒体时代的兴起，导致其内部的大部分带宽资源被用于各种资源的下载，而且还很难以组织，因为近些年各种P2P、BT之类的下载软件的迅速扩张，这些长期存在并占用了大量贷款的下载行为，使得我们内部网络的一些正常工作无法高效进行。

2 相应的解决策略

2.1 硬件保护策略

对于那些重要的核心设备，高校一般是放置在一个单独的具有一定安保等级的机房内进行统一的维护，同时相关楼栋也会进行更为高等级的防潮、防震、防火等防范加强措施，最大可能避免由于客观条件导致的机房内设备的损坏。而对于那些需要安置在露天环境下的设备，在布置的时候就要对其外部增加金属或者其他钢性材质的保护扩展，并没有移动或者频繁拆卸需求的设备，也可以直接固定在对应的环境内防止偷盗，而对于路由器或者交换机这类设备，一旦固定了就不方便更换的情况，我们尽可能将其安置在高处，也是为了防止偷盗行为。并且所有的电子设备都应该保证其出于一个干燥、干警、防静电的环境内，露天设备一般需要增设避雷针之类的装置才能保证效果。

2.2 访问监管和控制策略

2.2.1 利用网络防火墙和防毒墙技术

“防火墙”在网络工程里是一个专有名词，专门指的是在单位或者团体的内部网和其相连的外部网络之间增设一层自动的保护系统，这样就可以在一定程度上保证了默认网络环境的安全等级。防火墙并不是单一的软件或者硬件，而是软硬件结合形成的整体性网络，整个网络可以保证校园网跟因特网之间的交互在一定等级上的安全性，其完成的功能主要有4个部分：服务访问策略、验证工具、数据包过滤和应用网关，而其中最大量产生信息交换的数据包过滤是最重要的安全保障策略。包过滤在指定好了一套切实有效的过滤原则之后，就可以自动地检索每个流通的数据包，根据数据包的包头里的各类信息进行分析，来判断该数据包能不能通过网关从而进入内网。但是包过滤只是能够防止那些未经过内网用户允许从而展开的数据链路，而对于那些由内网用户主动发起的数据链路是否包含由计算机病毒却无能为力，所以我们在防火墙之后我们往往还要增设一层防毒墙，专门在防火墙检验了各类数据和链路的合法性之后，再来检测这些链路和数据的干净程度，防毒墙一般用的是签名检索验证，跟国际上开源的各类病毒库进行对比，从而保证了在网络里流通的大部分传统病毒无法真正侵入内网环境。当然这都是比较浅层次的讨论，实际在应用的时候，整个TCP/IP网络的各个层次的各类主要协议的安全性都是我们的关注范围，也都有针对性的应对措施来保障安全。

2.2.2 服务器访问控制策略

由于防火墙或者防毒墙都是被动地进行防范，从安全保护的角度来看，被动的防御总是会出现纰漏，所以我们还要主动地去限制内网用户本身的使用权限，这往往是通过服务器访问控制来实现的。不同等级的内网用户，其可以访问的外网是受到了不同程度的限制的，因为一些大量的木马和病毒就是通过那些自身安全措施做得很差，却又比较受到用户欢迎的网站进行传播的，我们如果限制了用户对于这些网络的访问，自然就可以减少防御层面的工作压力。

2.3 病毒防护策略

病毒主要由数据破坏和删除、后门攻击、垃圾邮件传播、不断自我复制耗尽资源等几种方式的在网络进行传播和破坏，造成线路堵塞和数据丢失损坏。那么建立的一套完整的网络病毒防范体系是对高校内部网络整体病毒防护策略。具体包括：①未知病毒查杀技术：也就是主动病毒防御技术，它通过虚拟技术和人工智能技术结合，解决了原先依赖病毒库查询病毒的缺点，实现了对未知病毒的准确查杀。②智能引擎技术：智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。

2.4 不良信息的防护策略

因特网上有很多淫秽色情、暴力反动的信息，我们的校园里都是正在处于“三观”成长状态的大学生，我们的校方有义务有责任将这些不良信息抵制在校园网之外，这不仅仅是为了保证我们大学生身心健康不会受到污染，同时也是防止大学生在访问这些充斥着大量病毒和木马的网站时，将这些病毒带到内网中去。

2.5 建立安全评估策略

整套不同层次的安全防护策略不仅仅依赖于其独立的技术优越性，同时还要考虑到整个系统内部的相互配合，最好的技术也需要最好的团队来使用才能达到最好的效果，所以我们的高校还要专门成立一个校园网络安全管理团队，利用自己采购和建构的整个安全防护系统，建立一个真正高效、稳定的安全维护系统，并且对于各类安全事件进行评测和重要性排序，在发生不同等级的事件时，采取针对性的措施，将人力和物力的使用率最大化。

3 结 论

随着高校内部网络功能和规模的扩展，它的安全问题越来越受到重视，网络环境的复杂性、多变性，以及计算机系统的脆弱性，决定了高校校园的网络不能仅仅依靠防火墙，而应涉及管理和技术等多方面的配合。需要仔细分析系统的安全需求，建立完善的管理制度，并将各种安全技术与管理手段综合在一起，才能建立一个高效、通用、安全的高校内部网络系统。

参考文献：

[1]高薇，許浩，宁玉文，等.基于安全态势感知平台的高校网络SOC研究1——以第四军医大学为例[J].计算机技术与发展，2018（1）：1-7.

[2]张云飞.探索高校网络中心机房安全防护策略分析[J].电脑知识与技术，2016，12（1）：55-56.

[3]吕绍鑫.高校数字校园网络安全体系的设计与策略分析[J].无线互联科技，2016（7）：31-32.endprint