傳統高校校園網絡安全分析

前言：尋找寫作靈感？中文期刊網用心挑選的傳統高校校園網絡安全分析，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

高校在建設的時候，網絡規劃、網絡安全設計等都是根據當時的實際情況再預計未來一段時間的擴展性來設計，許多網絡系統、設備等到目前為止已經開始落后。網絡數據的井噴與網絡應用的飛速發展，更是進一步考驗高?，F有網絡的安全性、可靠性和穩定性。雖然，許多高校隨著時代的不斷發展，也在不斷地更新換代新的設備，但是更換新一代的設備只是性能上的進一步提升，對于數據處理、轉發是跟得上時代的發展，不過對于網絡安全來說卻遠遠不足。

關鍵詞：

網絡安全；校園網；策略

1校園網絡基礎網絡架構

早期大部分高等院校校園建設的時候，信息化規劃跟不上學校教育的擴展，許多高等院校的基礎網絡架構都是簡單的層次化網絡結構（見圖1）：接入層、匯聚層、核心層級聯，再通過防火墻出口外部網絡，同時保證外部網絡對內部網絡的威脅被阻止，相對高級一些的設計還可能包括IDS（入侵檢測系統），隨著學校的不斷發展，一步步在原有的基礎網絡上添加新設備來豐富網絡組成，并提供更多的網絡服務。

2傳統網絡攻擊過程

在從前，主要的網絡安全威脅來自基于各種漏洞而進行的網絡攻擊和下載帶病毒的軟件包而導致的系統病毒感染。而這些傳統的網絡攻擊手段之后，才是在被攻破的系統中留下木馬、后門，或者破壞、竊取數據。這些傳統的攻擊手段是層層遞進式的（見圖2），從攻擊的開始到結束以遞進的形式進行，如果前面的步驟無法實現，則整個網絡攻擊過程將會中斷。這些傳統的網絡攻擊包括諸如DoS攻擊、DDoS攻擊、系統入侵、網絡滲透等。不斷重復這樣的一個網絡攻擊過程，當累積到一定的量后所組成的網絡僵尸大軍將對整個網絡造成非常嚴重的影響。

3傳統校園網絡安全防范體系

根據傳統的網絡攻擊過程，在許多的院校的基礎網絡中都會加入相應的網絡安全防范措施，這些網絡安全防范措施就構成了常見的校園網絡安全防范體系。而在傳統的高校校園網絡安全防范體系中，將網絡安全防御定義為外部網絡、內部網絡和用戶3個層次，而每個層次中有針對該層次的網絡安全設備和措施。對于外部網絡這一個層面，直接面對的是防火墻，很多的院校網絡都采用防火墻作網絡出口，承擔著網關與防火墻的雙重功能。采用防火墻作為外部網絡與內部網絡的邊界，可以有效地阻止大部分來自于外部網絡的惡意攻擊，保證內部網絡的穩定。在防火墻之后部署一臺入侵防御系統，可以進一步檢測可能避過防火墻的安全檢測而進入網絡的惡意流量。在內部網絡這個層面，傳統的網絡安全體系中一般沒有什么網絡安全設備，在這個層次主要采用的是基于策略的網絡安全措施，也就是所謂的軟設備。通過網絡設備中進行軟件層面的安全策略設計，保證內部網絡流量的正常穩定的轉發。例如，采用訪問控制列表來對網絡進行一些控制，不允許學生訪問教師網絡資源；使用QoS功能保證數據的高效轉發，設置安全端口，MAC與IP地址的綁定，甚至更高級的基于802.1x的認證。到了用戶層面，主要確保的是操作系統的安全，因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統漏洞進行滲透破壞的，所以在用戶這個層面，針對操作系統要打好操作系統的補丁、安裝功能強大的殺毒軟件，開啟操作系統自帶的軟件防火墻或者殺毒軟件的防火墻，進一步，加強用戶層面的安全性。即使用有瞞過防火墻，混過入侵防護系統的漏網之魚，也可以在用戶層面進行補救。采用這種傳統的網絡安全體系進行網絡安全的設計部署，在以前的網絡時代還是有很好的效果的，但是，現今進入了網絡時代2.0，新的技術、新的威脅層出不窮，此時舊的網絡安全體系在網絡安全防護上表現得就有些捉襟見肘了。校園網絡需要推陳出新，結合現在的校園網絡及互聯網絡的發展趨勢，設計更合適更合理的網絡安全解決方案。

4傳統網絡安全策略應用分析

傳統校園網絡安全解決方案使用的網絡安全策略應用是基于不同層面進行區分的，針對不同層面分別部署相對應的網絡安全設備或網絡安全策略。這種網絡安全策略應用主要是針對從外部網絡進入內部網絡的流量進行檢測控制，正如防火墻功能一樣，定義了外部非安全區域、內部安全區域和DMZ區域，然后給這些區域定義安全等級和默認策略。這種安全體系的設計對于以前的網絡攻擊過程（見圖4）來說是可以滿足校園網絡安全的需求的。在以前的網絡環境中，攻擊主要來自外部，內部的安全等級是可信的，所以外部的攻擊流量經過防火墻后，基本上已經抵御了，再經過IPS或IDS設備后，到達用戶層面時還要經過操作系統或殺毒軟件防火墻后，可以成功攻擊目標的惡意行為已經降到了可接受層面范圍。所以，從前的校園網絡安全情況比現在相對要好一些。如圖4的攻擊過程示意所示，基于原有的網絡安全策略應用對于起源自外部網絡的攻擊可以做到有效防范，但是正如前文提到的，現在越來越多的現象是，內部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后，從內部發起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統，并以此為跳板，從內部網絡感染、攻擊其他用戶主機、學校服務器等設備，導致學校網絡受到嚴重影響進一步影響學校的正常教學秩序。原有的校園網絡安全策略應用基于單向防護、由3個獨立層面以遞進的方式構建的校園網絡防御系統，其性能已經無法適應現時復雜多樣化的校園網絡環境。因此，針對這個舊的網絡安全策略應用的不足，需要一個更合適更優秀的校園網絡安全策略。

5傳統網絡安全策略架構分析

在院校用的舊的校園網絡解決方案中，采用的基礎架構簡單實用，在從前的網絡時代，無論是外部網絡還是內部網絡的數據流量都不并是很大，而且那時候無論是師生的日常生活還是教學活動中，對網絡的依賴程度也不高。不過，隨著人們對網絡的依賴性的不斷加強，以及信息化教學的廣泛推廣，校園網絡中產生了越來越多的數據，并且日常教學也有絕大部分是基于網絡的。這個時候，傳統的網絡架構就存在不足，主要體現在網絡單點故障現象導致的網絡中斷而影響師生的生活學習和學校的教學秩序?，F在新規劃的校園網絡中，校園網絡基礎架構相對復雜，但是性能和安全性都有所提升。現有校園網絡基本上都是基于雙網絡核心熱備以提高網絡的安全性和可靠性的設計，根據學校的需求，可以選擇在關鍵節點部署雙機熱備提供安全可靠性，避免了原有基礎網絡架構的不足。

6網絡安全策略應用技術分析

經過調查了解，現在校園網絡中采用的技術有很多都不符合標準，例如密碼的復雜性，這個最基本的一條都做不到。另外，學校管理中使用的技術不足，如管理網絡設備使用telnet協議而不是采用ssh，對管理流量與數據流量沒有區分控制，無線網絡的加密算法采用容易破解的算法等等。這些技術細節上的不足，也會導致校園網絡安全受到威脅。因此，在新的網絡安全策略應用中，應該注意相關網絡安全技術的使用是否符合安全等級的要求。

7傳統高校校園網絡安全策略應用的優點

對于傳統的高校校園網絡安全解決辦法來說，好處就是學校的信息化建設方案相對簡單，管理相對便捷，在數據量以及網絡依賴性不高的院校，或資金不足的院校具有一定的參考作用。

8傳統高校校園網絡安全策略應用的缺點

對于傳統的高校校園網絡安全解決辦法來說，弊端就是學校校園網絡安全受到嚴重威脅，來自校園網絡外部、內部、系統自身產生的安全威脅匯集起來使用整個校園網絡的復雜性、不穩定性大大增加，最后導致網絡安全性大大降低。

作者：周怡燕 單位：南華工商學院

[參考文獻]

[1]鄒縣芳，孫道德.高校校園網絡安全問題及策略研究[J].阜陽師范學院學報：自然科學版，2010（27）：87-90.

[2]杜蕓.高校校園網網絡安全隱患與解決策略探析[J].信息安全與技術，2015（6）：13-15.

[3]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（7）：160-161.

[4]杜波.高校校園網絡信息安全技術與策略研究[J].中國校外教育，2011（6）：165-166.

[5]王濤.高校校園網絡安全策略分析[J].硅谷，2009（9）：174.