数字校园网络安全策略探讨

摘要：本文分析了数字校园环境下的校园网面临的安全问题，并针对如何构建一个安全的网络体系进行了探讨。

关键词：网络；安全；策略

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）66-0214-02

0引言

目前，国内各大高校普遍已建成校园基础网络，随着信息化建设的不断发展，数字校园建设已逐步成为信息化建设的工作重点。数字校园就是以高性能的校园网络为基础，将学院的各项资源、管理及服务数字化，实现学院办公、教育教学管理、教学质量工程、人力资源开发、财务管理、后勤服务、产学合作等方面的数字资源的全面整合，为教学、科研、管理及生活提供了更加快捷便利的手段。

随着数字校园在高校中的不断深入，校园网已成为日常工作和生活中不可或缺的基础设施，可以说数字化办公和生活已经离不开基础网络的技术支持，这使得校园网面临的环境更加严峻和复杂，网络安全成为数字校园的一个严重隐患，尤其是信息泄露、非法入侵、计算机病毒、不良信息等安全隐患对网络安全构成了非常大的威胁。如何保证校园网络的安全可靠，是数字校园建设发展到今天必须要解决的重要问题。

1 数字校园网络安全隐患

1.1病毒危害

计算机病毒是一种具有破坏性、寄生性、传染性、潜伏性和可触发性的程序代码或计算机指令，它能通过各种手段破坏计算机的功能和数据，并且可以在计算机之间广泛传播。

随着数字校园的普及，校内用户越来越依赖网络，这使得计算机病毒的传播范围扩大、传播速度增加、病毒破坏力增强。除了网络传播之外，各式各样的移动存储设备的使用，也增加了计算机感染病毒的风险。如果处于数字校园系统中的服务器、计算机遭到病毒侵害，则会造成数据丢失、文件损坏甚至系统瘫痪崩溃，这将严重影响数字校园的运行，对高校的正常教学、工作管理将造成严重的干扰。

1.2系统漏洞

操作系统或软件自身都存在一些的漏洞，特别是一些刚上市的软件或新的操作系统，漏洞很容易就能被找出来。操作系统和软件都是由许多行代码写成，一些代码免不了会出现错误，也就是说，任何一个系统都有存在漏洞的可能，这就给黑客提供了很多入侵系统的机会，使校园网络安全受到严重威胁。

1.3恶意攻击

人为操作的恶意攻击是校园网所面临的最大威胁之一，它能造成服务器无法正常运行或破坏、控制服务器，在隐蔽情况下进行重要信息的截获、窃取和破译，或者通过各种手段破坏网络信息的完整性和有效性。黑客可借助网络工具，伪装成校园网合法用户进入数字校园网络，并占用大量的网络资源、窃取机密资料、修改网络信息、直至整个网络系统被破坏。这些恶意攻击对整个数字校园网络将造成不可估量的危害。

1.4安全意识淡薄

校园网用户的主要群体是教师和学生，由于学校一般很少对师生进行个人计算机安全管理教育，导致目前高校师生普遍缺乏信息安全保护意识，对个人的电脑没有采取基本的防护措施，对重要的信息资料也没有保护意识，这样不但机器容易被入侵，信息资源也容易泄密或被破坏。

2 数字校园网络安全体系构建

网络系统安全问题主要是由网络本身所具有的开放性、自由性和无边界性的特性造成的，解决网络安全问题的关键是把网络从开放的、无边界的和自由的环境中独立出来，使网络能够被控制和管理，主要有以下几种解决方式：

2.1网络冗余

数字校园对网络的实时性要求非常高，通常不允许网络出现线路故障，因为一旦出现故障，将给学校的教学和日常工作带来不便，情况严重者将造成教学事故或造成日常工作被迫停止。然而，网络涉及到的节点非常多，任何一个节点出现问题都会导致整个网络信息传输停止。因此，可以运用网络冗余来解决网络系统的单点故障，在校园网建设初期或改建时，应对关键性的网络线路设置冗余，对重要设备采用双机备份或多备份，在网络运行时对运行状态实时监控并自动调整，在网络在某一个节点发生故障时能够实时进行网络切换分配，以保证网络正常运行。

2.2风险评估

网络安全漏洞扫描风险评估技术能够预测主体资源可能受到攻击的风险大小并指出将要发生的行为和产生的后果。它能够识别检测网络对象系统资源，并能分析该资源可能被攻击的指数，评估资源存在的安全风险，同时对支撑系统本身所具有的脆弱性进行全面了解，能够测试和评价系统的安全性，并及时发现漏洞。这一技术的实现，包括了网络漏洞检测、网络模拟攻击、提取资源信息、报告服务进程等技术，提供风险测评以及提供安全建议和改进措施等功能，最大范围内消除网络安全隐患，从而帮助用户控制可能发生的安全问题。

针对网络设备的安全漏洞进行检测和分析，包括网络通信服务、路由器、防火墙、邮件、WEB服务器等，从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告，包括位置、详细描述和建议的改进方案，使网管能检测和管理安全风险信息。

2.3隔离技术

系统隔离技术主要分为逻辑隔离和物理隔离两类，根据网络安全等级划分出网络安全边界，将安全等级不同的系统和网络隔离起来，使之无法相互访问，从而达到安全的目的。可以通过VLAN技术对业务网络和办公网络实行逻辑隔离划分不同的子网，将安全等级相同或具有相似网络权限的用户分至同一个VLAN子网，与网络其余部分隔离起来，从而增强局域网的安全性。对于非常重要的系统，可以实行物理隔离。例如学校的财务系统，可以将其与数字校园的其他业务系统进行严格的物理隔离，存储媒介则根据系统的重要程度严格区分开，并只能通过第三方进行资源交换。

2.4访问控制

访问控制是保证网络安全的主要策略，该技术只允许授权用户访问受保护的网络资源，从而防止受保护的网络资源被非法使用和访问。它针对网络中不同的信任域使用双向控制或有限访问原则，使受控制的主机或者子网的访问权限和信息流向得到有效控制。对网络资源提供访问权限，信息流向可根据具体安全需求实现单向或双向控制。目前实现访问控制的策略主要有防火墙控制、网络端口和节点安全控制、入网访问控制、网络权限控制、属性安全控制等。

2.5防火墙技术

防火墙是网络层实施访问控制最核心的设备，它由硬件设备与软件组合而成，利用防火墙技术，经过一定的配置，通常能够在内网与外网之间建立起一个屏障以提供安全的网络保护，降低网络安全的风险。在数字校园环境下，防火墙设备可以安置在数字校园平台对外的出口上，按照已制定的校园网络安全策略进行信息流的控制，并对进出校园网的IP信息包进行过滤，实现实时信息审计警告等功能，以保证系统被合法使用。

2.6加密技术

在校园网中，对用户的用户名和密码进行验证是保证系统被合法访问的第一关，用户想要进行合法访问，必须输入用户名和密码，服务器对其合法性进行验证，如果验证不合法，用户将被拒于网络之外。因此，用户的口令是用户入网的关键。用户口令通常需要经过加密后存储在主机系统中，即便是系统管理员也很难破解。但是传统的因特网传输的是明文，这导致网络窃听可以非常容易地得到明文数据。为了防止网络上的窃听、泄漏、篡改和破坏，保证信息传输安全，对网上数据使用加密手段是最为有效的方式。

3 结论

随着教育改革的不断深化和信息技术的飞速发展，数字校园建设已成为国内外高校现代化建设的核心内容，并逐步成为高校综合实力和现代化水平的重要标志之一，它在带给高校教学、科研、管理以及服务等多方面前所未有的方便的同时，也制造了诸多安全隐患，校园网络安全成为数字校园急需解决的一个重要问题。为保证校园网络的安全，应同时考虑多种防护策略相结合，通过技术、维护、管理和使用等各层面方法相结合来加强校园网的安全性。

参考文献

[1]邵雪.数据加密技术在计算机网络安全领域的应用探讨，中国市场，2011(45).

[2]平，李旎，刘青凤，等.网络安全，清华大学出版社，2011.