现代校园网信息安全化的研究

黄宏杰+陈永清

摘 要： 深入研究了现代校园网信息安全化。对现代校园网的各层安全隐患进行了详细的风险分析，在全网动态安全体系模型（APPDRR）的指导下，通过对现代校园网主流网络信息安全化技术的研究，提出现代校园网络安全问题的各层解决方案，并综合应用到现代校园网的各个层面上，构筑现代校园网的整体安全防御体系。

关键词： 安全隐患； 全网动态安全体系模型； 信息安全化； 安全防御

中图分类号：TP393 文献标志码：A 文章编号：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

随着现代校园网接入互联网以及各种应用急剧增加，在享受高速互联网带来无限方便的同时，我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程，必须要对现代校园网进行全方位多层次安全分析，综合运用先进的安全技术和产品，制定相应的安全策略，建立一套深度防御体系[1]，以自动适应现代校园网的动态安全需求。

1 现代校园网络的安全隐患分析

现代校园网作为信息交换平台重要的基础设施，承担着教学、科研、办公等各种应用，信息安全隐患重重，面临的安全威胁可以分为以下几个层面。

⑴ 物理层的安全分析：物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏，造成现代校园网不能正常运行。在考虑现代校园网安全时，首先要考虑到物理安全风险，它是整个网络系统安全的前提保障。

⑵ 网络层的安全分析：网络层处于网络体系结构中物理层和传输层之间，是网络入侵者进入信息系统的渠道和通路，网络核心协议TCP/IP并非专为安全通信而设计，所以网络系统存在大量安全隐患和威胁。

⑶ 系统层的安全分析：现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性，并且当今漏洞被发现与漏洞被利用之间的时间差越来越小，这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。

⑷ 数据层的安全分析：数据审计平台的原始数据来源各种应用系统及设备，采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集，采用多种方式和被收集设备进行数据交互，主要面临着基于应用层数据的攻击。

⑸ 应用层的安全分析[2]：为满足学校教学、科研、办公等需要，在现代校园网中提供了各层次的网络应用，用户提交的业务信息被监听或篡改等存在很多的信息安全隐患，主机系统上运行的应用软件系统采购自第三方，直接使用造成诸多安全要素。

⑹ 管理层的安全分析：人员有各种层次，对人员的管理和安全制度的制订是否有效，影响由这一层次所引发的安全问题。

⑺ 非法入侵后果风险分析：非法入侵者一旦获得对资源的控制权，就可以随意对数据和文件进行删除和修改，主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。

2 现代校园网安全APPDRR模型提出

全网动态安全体系模型[3]（APPDRR）从建立全网自适应的、动态安全体系的角度出发，充分考虑了涉及网络安全技术的六方面，如风险分析（Analysis）、安全策略（Policy）、安全防护（Protection）、安全检测（Detection）、实时响应（Response）、数据恢复（Recovery）等，并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示，该模型紧紧围绕安全策略构建了五道防线：第一道防线是风险分析，这是整体安全的前提和基础；第二道防线是安全防护，阻止对现代校园网的入侵和破坏；第三道防线是安全监测，及时跟踪发现；第四道防线是实时响应，保证现代校园网的可用性和可靠性；第五道防线是数据恢复，保证有用的数据在系统被入侵后能迅速恢复，并把灾难降到最低程度。

3 现代校园网主流网络信息安全化的技术研究

为了保护现代校园网的信息安全，结合福建农业职业技术学院网络的实际需求，现代校园网信息中心将多种安全措施进行整合，建立一个立体的、完善的、多层次的现代校园网安全防御体系，主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等，如图2所示。

3.1 加解密技术

现代校园网中将部署各种应用系统，许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性，需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。

3.2 防火墙技术

防火墙技术是网络基础设施必要的不可分割的组成元素，是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则，对进出内外网之间的信息数据流进行监测、限制和过滤，只允许匹配规则的数据通过，并能够记录相关的访问连接信息、通信服务量以及试图入侵事件，以便管理员分析检测、迅速响应和反馈调整。

3.3 防病毒系统

抗病毒技术可以及时发现内外网病毒的入侵和破坏，并通过以下两种有效的手段进行相应地控制：一是有效阻止网络病毒的广泛传播，采用蜜罐技术、隔离技术等；二是杀毒技术，使用网络型防病毒系统进行预防、实时检测和杀毒技术，让现代校园网系统免受其危害。

3.4 虚拟专用网

虚拟专用网（全称为Virtual Private NetWork，简称VPN）指的是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展，由若干个不同的站点组成的集合，一个站点可以属于不同的VPN，站点具有IP连通性，VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率，而且学校各校区间的连接更加灵活。只要能够上网，各校区均可以安全访问到主校区网。使用VPN数据加密传输，保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有：①数据链路层有PPTP、L2F和L2TP；②网络层有GRE、IPSEC、 MPLS和DMVPN；③应用层有SSL。

3.5 入侵防护技术

入侵防护技术包含入侵检测系统（IDS）和入侵防御系统（IPS）。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为，并能对此及时作出防控。IDS不仅能够检测未授权对象（人或程序）针对系统的入侵企图或行为，同时能监控授权对象对系统资源的非法操作，提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和及时响应），提高现代校园网基础结构的完整性。

3.6 身份认证系统

现代校园网中特殊部门（如档案、财务、招生等）要建设成涉密系统。要采用身份认证系统[5]，应建立相应的身份认证基础平台，加强用户的身份认证，防止对网络资源的非授权访问以及越权操作，加强口令的管理。

3.7 数据备份系统

在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段，可保证在灾难突发时，系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份，备份策略采用完全备份与增量备份相结合的方式。

3.8 预警防控系统

现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级，严格履行国家标准的信息安全管理制度，构建现代校园网统一的安全管理与监控机制，能实行现代校园网统一安全配置，调控多层面分布式的安全问题，提高现代校园网的安全预警能力，加强对现代校园网应急事件的处理能力，切实建立起一个方便快捷、安全高效的现代校园网预警防控系统，实现现代校园网信息安全化的可控性。

4 现代校园网络安全问题的解决方案

通过对现代校园网主流网络信息安全化技术的深入研究，针对现代校园网的安全隐患，提出现代校园网络安全问题的各层解决方案。

⑴ 物理层安全：主要指物理设备的安全，机房的安全等，包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。

⑵ 网络层安全：针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分，并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6]，采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。

⑶ 系统层安全：现代校园网管理平台的主机选择安全可靠的操作系统，采取以下技术手段进行安全防护：补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。

⑷ 数据层安全：主要使用数据库审计系统进行监控管理，对审计记录结果进行保存，检索和查询，按需审计；同时还能够对危险行为进行报警及阻断，并提供对数据库访问的统计和分析，实现分析结果的可视化，能够针对数据库性能进行改进提供参考依据。

⑸ 应用层安全：应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服务请求和资源访问的防抵赖。

⑹ 管理层安全：现代校园网应依法来制订安全管理制度，提供数据审计平台。一方面，对站点的访问活动进行多层次的记录，及时发现非法入侵行为。另一方面，当事故发生后，提供黑客攻击行为的追踪线索及破案依据，实现对网络的可控性与可审查性。

5 构筑现代校园网的整体安全防御体系

现代校园网络安全问题的各层解决方案综合应用到实际工作环境中，在配套安全管理制度规范下[7]，现代校园网可实现全方位多层次的信息安全化管理，配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系，可有效防范、阻止和切断各种入侵者，构筑现代校园网的整体安全屏障。

6 结束语

信息安全化是现代校园网实施安全的有效举措，并建立一套切实可行的现代校园网络安全保护措施，提高现代校园网信息和应急处置能力，发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素，时时威胁现代校园网的健康发展，要至始至终保持与时俱进的思想，适时调整相应的网络安全设备。

参考文献（Reference）：

[1] [美]Sean Convery著，王迎春，谢琳，江魁译.网络安全体系结

构[M].人民邮电出版社，2005.

[2] Cbris McNab著，王景新译.网络安全评估[M].中国电力出版

社，2006.

[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学

位论文，2010.

[4] Teare D.著，袁国忠译.Cisco CCNP Route学习指南[M].北京

人民邮电出版社.2011.

[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].

电子科技大学硕士学位论文，2015.5.

[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术，

2012.11.

[7] 李飞.高校校园计算机网络设计与实现的研究[J].电子制作，

2013.7.