罗全珍 李迎国 段小焕 王鹏
摘要:信息技术有效促进了职业院校的教学质量和管理效率,针对网络安全面临的风险,分析网络安全防护建设的关键技术,并给出相关的安全防护措施。
关键词:职业院校;信息安全;校园网安全防护
中图分类号:TP393.1 文献标识码:A 文章编号:1674-9324(2020)22-0365-02
云计算、大数据、物联网、移动互联网等新一代信息技术的飞速发展,有效推动了职业院校教育信息化的进程。然而,教育信息化在提高职业院校教学科研、行政管理效率的同时,也面临着巨大的信息安全风险。国家互联网应急中心(CNCERT)2018年公布的数据显示,全年捕获计算机恶意程序样本数量超过1亿个,全年计算机恶意程序传播次数日均达500万余次。
现阶段,部分职业院校对校园网络安全和信息安全的重视程度不高。例如校园网络建设仍局限于有线网络和无线网络的畅通;仅限于购置防火墙用于网络出口的保护;或者购置部署的防火墙、入侵检测系统(IDS)、WEB应用防火墙(WAF)等安全设施大多采用缺省配置,没能充分发挥应有的功能。随着职业院校网站和各类应用平台数量的不断增加,其所受到的攻击也越来越多。本文试图对职业院校校园网安全防护建设的关键技术和主要内容进行探讨,期望对相关职业院校或同行研究者提供参考借鉴。
一、信息安全面临的主要威脅
(一)黑客攻击
黑客一词原本是指一群利用自己的技术专长渗透测试目标计算机,研究发现计算机和网络漏洞的计算机爱好者。随着黑客群体的不断增多、黑客工具的不断丰富,黑客技术逐渐被越来越多的人掌握,网络攻击的方式越来越多,受到攻击的可能性也越来越大。没有防火墙等网络安全防护设备的网站或系统,很容易遭到黑客的攻击和破坏。
(二)WEB漏洞
常见的WEB漏洞有SQL注入漏洞、命令注入漏洞、XSS漏洞、文件上传漏洞、CSRF等。随着WEB技术的广泛采用,一些恶意软件伪装成WEB应用,让传统基于端口的协议识别变得无能为力。一般院校原有的传统的安全措施主要集中在网络层上,无法对应用层的WEB攻击进行有效的监控和防护。师生在享受互联网带来的极大便利的同时,也面临着日趋严重的安全威胁问题。
(三)DDOS攻击
拒绝服务攻击(DOS)是利用操作系统和网络协议的一些缺陷,采用欺骗或伪装的策略来进行网络攻击,通过消耗网络带宽或系统资源,使网络或服务器不能提供正常的服务。对于早期的计算机网络,服务器配置较低,网络带宽有限,利用一对一的DOS攻击就可以实现。现如今,基于分布式、协同分布式拒绝服务攻击(DDOS)更为厉害。DDOS攻击可以分为流量型攻击、连接型攻击和特殊协议缺陷,常见攻击手段有SYN泛洪(SYN Flood)、UDP泛洪、Http泛洪、Land攻击、Smurf攻击、泪滴攻击、死亡之ping、CC攻击等。
(四)其他方式的攻击
除以上几点,职业院校校园网及信息系统面临的安全威胁还有很多,比如缓冲区溢出漏洞、口令暴力破解、网络监听、蠕虫病毒、恶意软件攻击、内部人员攻击等。
二、校园网安全防护的关键技术
(一)防火墙系统
防火墙是不同网络间信息的唯一出口,根据校园网的安装策略配置,对出入网络的信息流采取允许或拒绝的处理,从而可以阻挡外部不安全因素,防止外部网络用户未经授权的访问,保护内部网络的安全。根据过滤和检测方式不同,我们可以将防火墙分为包过滤型和状态检测型。
(二)密码技术
对数据进行加密处理,是保护数据在传输、存储、处理过程中安全可靠的重要手段。对称密码体制的加密密钥和解密密钥是相同的,因此,通信的双方必须很好地保存他们共同的密钥。常见的对称密钥算法有DES、3DES、AES、IDEA等。非对称密码体制也叫公钥密码体制,密钥对中一个密钥由所有者保管,称之私钥,另一个密钥可以公开,称之公钥。当使用公钥加密时,只有私钥拥有者能用对应的私钥解密;当用私钥加密时,大家可以用对应的公钥解密,这就是数字认证和签名技术的基础。公共密钥体制中最著名的算法是RSA算法。
(三)认证技术
认证技术可以分为身分认证和报文认证。身分认证技术可以有效地对用户身分进行识别,并分配相应的权限,其实施方式包括了RADIUS认证、WEB/POTRAL认证、PPPOE认证和802.1X认证等。报文认证主要是对数据真实性和完整性的验证,比如MD5算法和SHA算法。
(四)VPN技术
VPN即虚拟专用网技术,是依靠ISP或NSP在公共网络中建立安全的数据通信网络。VPN技术对网络的连接可分为传输模式和隧道模式。根据OSI协议层的不同,可以在数据链路层采用PPTP及L2TP技术实现VPN连接,在网络层采用IPSEC VPN技术,在应用层采用SSL技术进行连接。
三、校园网安全防护体系建设
(一)部署高性能安全防护设备
目前常见的网络安全设备有防火墙、入侵检测系统、入侵防御系统、WEB应用防火墙、上网行为审计、统一威胁管理、安全网管等。部署这些专业的网络安全防护设备,可以对用户的异常行为进行模式匹配和检测,识别和阻止SQL注入攻击、跨站攻击、批量挂马、敏感信息泄露、盗链行为等,有效防护0day攻击,可以进行关键字过滤、上网行为管理和审计、流量分析和优化,并能及时通过多种手段告知网管。
(二)保障移动互联的安全接入
当前的无线网络还没有启用准入机制,只在校园网出口进行准出认证,因此保障师生的无线终端接入安全很有必要。随着校园无线网的快速建设,移动应用日趋丰富,校园网接入层应做好第一道安全关卡,使用完善的用户及终端准入机制非常重要。无线网络可以与核心BRAS系统进行联动配合,实现准入和准出的一体化认证,同时能够和学校现有的身分认证系统进行对接,实现无感知认证。
(三)统一安全运维管理平台
部署统一、规范、高效的安全运维管理平台,能够对校园网中的网络设备和安全设备进行管理,提供实时监控、事件快照、综合分析、策略下发、统计分析以及日志审计等功能,能够根据实时监控的网络数据生成动态或网络入侵行为来规范和管理网络,方便院校管理人员随时了解网络安全状况。
(四)建设信息安全等级保护
随着等保2.0的到来,职业院校在信息系统建设和运维过程中,必须考虑系统的重要程度和保护等级,并选择相关的安全保护措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改。建立统一的智能化网站安全监测管理平台,对WEB业务的运行状态进行监控,绘制网站安全地图,通过图形化界面快速定位有安全风险的网站,实时预知网络可能发生的各种风险。提供网站历史安全势态的跟踪功能,提供横向安全对比报告便于监管人员对网站进行考评、跟踪网站的安全处理情况。
四、结语
在校园网服务于教学、科研、生活和管理的同时,职业院校应充分认识网络安全工作的重要性和紧迫性,全面实施信息系统安全等级保护制度,构建符合教育行业特色的安全标准规范体系。综合运用新一代防火墙、入侵防御、WEB防护等技术实现校园网各种业务的安全防护。面对多样化的移动智能终端,需要从安全接入、身分认证、权限控制、业务应用访问、用户数据保护等角度进行安全加固,确保师生可以随时随地安全快速地接入校园网,部署统一的安全运维管理平台,提供对各种安全事件的全面管理,提高网络的安全性、可管理性和可维护性。
参考文献:
[1]王安.X高校智慧校园建设项目方案规划与实施研究[D].青岛:青岛科技大学,2018.
[2]罗全珍.职业院校教育信息化建设方案浅析[J].科教导刊(中旬刊),2019,(05):13-14.
[3]白海.“十三五”智慧校园建设研究[J].电脑知识与技术,2018, 14(15):28-29+32.
[4]罗全珍,张燕州,张士辉,王玮璟.高等职业院校ICT专业群建设探索[J].实验技术与管理,2017,34(03):158-160.
Analysis on the Construction of Network Security Protection in Vocational Colleges
LUO Quan-zhen, LI Ying-guo, DUAN Xiao-huan, WANG Peng
(Gansu Vocational and Technical College of Communications, Lanzhou, Gansu 730070, China)
Abstract: Information technology has effectively promoted the teaching quality and management efficiency of vocational colleges. Based on the risks faced by network security, this paper analyses the key technology of network security protection construction, and gives the relevant security protection measures.
Key words: vocational colleges; information security; campus network security protection
收稿日期:2019-10-24
基金項目:2019年度甘肃省职业教育教学改革研究项目“发挥甘肃省信息技术职教集团优势,构建开放、共享、共赢的ICT人才生态体系”(编号:2019gszyjy-33);2019年度甘肃省高等学校创新能力提升项目“基于以太网+云平台+手机APP的家庭智慧安防系统设计与实现”(编号:2019B-266)
作者简介:罗全珍(1981-)男(汉族),甘肃永登人,硕士研究生,甘肃交通职业技术学院讲师、工程师,研究方向:信息安全、职业教育。