論校園網絡安全體系的技防策略

前言：尋找寫作靈感？中文期刊網用心挑選的論校園網絡安全體系的技防策略，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：黨的二十大報告旗幟鮮明地提出要實施人才強國、優化職業教育定位和全面貫徹國家安全觀三個重要論述。對于全國的職業教育工作者來說，這三個論述既是工作的方向，也是需要認真思考并提交合格答卷的總動員令。職業院校校園網的建設既具有教育性又具有安全性，同時更具有時代特征，如何搭建能夠適應并緊跟現代技術發展的網絡安全體系架構，成為當前各學校面臨的一個課題。本文以校園網絡為基礎，就構建一個較為完善的校園網安全體系從技防策略的角度進行研究和分析。

關鍵詞：校園網絡安全；ARP欺騙防護；防火墻；技防策略

1前言

黨的二十大報告旗幟鮮明地提出要實施人才強國、優化職業教育定位和全面貫徹國家安全觀三個重要論述，對于全國的職業教育工作者來說，這三個重要論述給我們提時代之問，并需要我們作出符合中國實際和時代要求的正確回答。如何回答這一問題，需要我們每個教育工作者全面學習二十大報告，深刻領會報告精神，運用中國化時代化的馬克思主義世界觀和方法論，結合自身的情境和視域，給出真正解決問題的新理念新思路新辦法。面對后疫情時代的國際國內大環境，校園網的安全問題日益凸顯，2021年，全國發生校園網安全事件（含詐騙）791萬起，受害的學生群體達428萬余人。2022年9月5日，國家計算機病毒應急處理中心和360公司分別發布了關于西北工業大學遭受境外網絡攻擊的調查報告。從這一報告我們可以得出，針對學生群體和校園網絡環境的各種攻擊、釣魚、詐騙、竊取的范圍之大、時間之長令人觸目驚心，建立完善的校園網安全管理體系迫在眉睫。當然，網絡安全體系架構的建設涉及人防、物防和技防等多個方面，本文著重就技防策略問題展開分析。

2技防策略分析

2.1校園網安全技術分析

學校的校園網根據互聯網接入路由器—核心層交換機—匯聚層交換機—用戶使用的接入層交換機形成星形網絡拓撲。核心網絡需要連接到核心交換機上，再由核心交換分配給服務器及主要建筑的匯聚交換機上。集中式網絡結構簡單，便于管理人員的管理和控制。網絡核心設備是相互分開的，以確保服務器的正常運作。

2.2網絡邊界出口安全設計

網絡與網絡之間的連接設備是路由器。轉換和轉換數據信息可以在多個網絡或網段之間，以便對方可以讀取兩者之間的信息，這就可以在多個網絡中建立并匯聚形成一個大規模的網絡。路由器還需具備數據通道功能和控制功能。其中數據通道功能由硬件操作完成，硬件中還可以實現轉發和轉發決策。由軟件實現數據控制功能，可以實現系統管理，不同的路由器需要配置不同的交換信息。路由器是連接內外網的主要核心。它本身需要配置路由表進行網絡訪問路徑的確認，路由還分為靜態和動態兩種。其中靜態路由是默認的，不做配置時是不會發生變化的；動態路由是根據配置時在不斷的學習變化。靜態路由配置、RIP路由協議配置和OSPF路由協議配置的相關策略如下。（1）靜態路由策略。由用戶或網絡管理員手動配置的路由信息。當網絡的拓撲結構或鏈路的狀態發生變化時，網絡管理員需要手動去修改路由表中相關的靜態路由信息。靜態路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。當然，網絡管理員也可以通過對路由器進行設置使之成為共享的。靜態路由一般適用于比較簡單的網絡環境，在這樣的環境中，網絡管理員易于清楚地了解網絡的拓撲結構，便于設置正確的路由信息。（2）Rip協議配置策略。RIP協議是一個距離矢量協議，路由選擇協議的度量值為跳步數，最大允許的跳步數是16，缺省情況下每隔30s廣播一次路由更新，它有在多條鏈路上進行負載均衡的功能。（3）路由的防環路（路由毒化）機制。當路由器A檢測到一個路由條目不可達的時候不會直接刪除，而是會將該路由條目的metric置為16跳（毒化），然后再泛洪給其他所有路由器，保證其他路由器同樣可以收到該條目不可達的消息。確保接口打開能夠被訪問是能夠成功通信的根本。訪問時優先確認接口是否正常，才會有數據傳輸。內網內想要訪問其他網段時，可直接到達需求所在的網段。外網想要訪問內網時，需要逐層篩選方可抵達目標網段。查找導出路由表網關信息指定路徑到達下一個地址，如果下一跳是PC設備，網關和路由將被反向搜索，然后跳轉到源IP；下一跳是網絡設備時會直接跳轉到源地址并自行尋找路徑，此時通信已經連接成功。學校通過訪問控制列表策略進行網絡管理，使其提升網絡性能，能夠更好地在各個網絡中進行數據轉發并記錄標識信息與訪問對象。其中數據包會根據優先級進行轉發，從而使得更好地利用網絡資源，減輕了網絡訪問壓力，都是通過ACL來完成的，它還可以允許或阻止一些不必要的數據流量。

2.3防火墻安全部署

已經發展了很多年的主動防御概念，但是許多障礙都存在于理論到應用中。指定程序或線程的行為需通過分析和掃描，危險程序確認后需要主動防御及清除。技術的不斷革新，使得安全設備有了自動監視、分析及診斷的功能，提高了病毒、蠕蟲和特洛伊木馬等惡意攻擊的有效防護，大大提高了校園網絡的安全，所以防火墻的部署成為必然的趨勢。使用訪問控制列表AccessControlListACL策略進行設置安全級別和權限，IP、TCP、UDP、ICMP和其他協議類型有選擇地過濾。如果受到IP地址欺騙攻擊時，防火墻的攻擊防御系統需要進行IP、端口、Teardrop、DMZ、ICMPFlood、SYNFlood、UDPFlood、PingofDeath的掃描檢測。配置安全域模式時，安全域的所有攻擊防護功能可以打開，具體參數要求可以根據各種攻擊防護功能進行配置。

2.4核心層交換機安全部署

整個園區網絡的骨干是核心層交換設備，其性能的穩定及快速使數據交互更加安全有效，并支持雙主控、電源冗余、分布式轉發和風扇冗余等功能。將網絡分別規劃管理，使得整個局域網和服務器能夠實現有效通信，為學校院網絡交互帶來了極大的便利。具體包括虛擬局域網(VirtualLocalAreaNetwork,VLAN)的劃分和DMZ（非軍事化區域）區的劃分及安全策略。DMZ是用來進行安全性的隔離策略，其特性與VLAN相似，同樣是在防火墻中配置。安全策略DMZ區主要實現以下功能：（1）可以從內部網絡開始訪問外部網絡。這是一種基本策略，需要經過防火墻的篩選檢測，使得學生、老師更加方便地使用網絡。（2）Intranet和外部局域網都不能對DMZ訪問，目的是為了保護DMZ區域內的數據，但如果郵件服務器位于DMZ中時，外部網絡需要訪問時就無法工作，因此，需對郵件服務器另行安置。

2.5匯聚層交換機安全部署

匯聚交換機連接核心層和接入層用戶，使其能夠通信。匯聚層的流量、匯總、轉發和數據信息的傳輸，都需要路由協議轉換。因此，匯聚層可以使用OSPF和STP動態路由協議配置，進行優先打開最短路徑，為網絡提供路徑冗余，同時防止環路產生。

3結語

多層次的三維保護結構使學校的網絡系統安全性得到了較大的提升。外部小型組織的威脅源發起的惡意攻擊得到保護，重要資源相對減少有害的威脅，安全漏洞和安全事件可以及時發現。系統損壞后，通過配置的策略恢復網絡正常運行。安全策略的配置減少了被入侵的次數，有效地提高了安全等級。使用VLAN劃分與ARP部署，使得校園網內網攻擊得到了遏制，最大程度的控制ARP病毒的傳播，有效地遏制了學校濫用IP地址的現象。系統的配置提供了安全保障，使得有惡意的用戶訪問時被限制在外。

參考文獻：

[1]柴雅欣,李云舒.為何是“西工大”[N].中國紀檢監察報，2022-09-07(004).

[2]李曉霞.校園網絡安全體系分析與架構[D].大連海事大學，2011.

[3]溫冠明.高校校園網絡安全現狀及防范措施[J].電腦迷，2018(01):35+56.

[4]陳超.高校信息化建設中網絡安全管理與對策研究[J].網絡安全技術與應用，2021(04):79-80.

[5]基礎知識：動態路由與靜態路由的區別[OE/L].https://www.qqread.co,2022-7-5.

[6]丁康健.智慧校園環境下網絡安全防范預警與應急體系研究[J].黑龍江科學,2021,12(07):114-115.

[7]蔡豪.高校網絡意識形態安全體系構建與管理[J].數碼世界，2021(4):216-217.

[8]洪亞玲.高校網絡安全問題分析與防范策略[J].電腦知識與技術，2021,17(8):41-42,53.

[9]狄永財.信息安全治理及高校信息安全治理建議探討[J].數碼世界，2021(3):254-255.

作者：宋曉峰 單位：上海市西南工程學校