校园网网络安全策略的研究

◆韦 娟 周晓雨



校园网网络安全策略的研究

◆韦 娟 周晓雨

（江苏财经职业技术学院 江苏 223000）

0 前言

学校近几年大力发展智慧校园，网络已经成为师生正常生活中不可缺少的一部门。习近平总书记“没有网络安全就没有国家安全”的重要论断，为学校网络安全建设各项工作提供了根本遵循。但由于网络的信息高度共享和易于扩散的特性，教师和学生网络的安全与否，直接影响到教学与科研的正常进行。江苏财经职业技术学院校园网（以下称校园网）校园网网络安全全局管理问题。严格落实信息系统安全责任机制，从源头做起、从基础抓起，全力构建全方位立体化的信息安全保障体系。

分析校园网络存在的安全隐患，将学校内部的校园局域网、各信息系统的服务群，外部的Internent网络进行符合安全策略情况下的互联互通。针对学校校园网存在的安全隐患，主要分为以下几个方面着手分析：（1）物理网络的安全；（2）网络结构的安全；（3）网络操作系统的安全；（4）信息系统的安全；（5）网络安全管理。结合校园网的设计情况，具体分析网络安全的安全策略。

1 物理网络的安全

机房的物理安全是校园网安全系统的第一道防线。校园网的核心设备服务器主要存放于中心机房。接入层设备分布在各楼宇的弱电间。机房的环境及报警系统、安全意识。它是整个校园网安全的前提。机房采用中央空调和精密同时工作，互作备份。精密空调控制温度湿度，有异常及时发送消息至机房管理员手机。机房的UPS电源单独存放。机房机房的配电柜采用顶部风扇，前后门网状门，及时排除设备的热量。核心设备采用双机热备。防止设置的意外事故，门禁使用电子锁方便管理，机房有专门管理员进行负责。

2 网络结构的安全风险

网络结构主要涉及到校园网网络拓扑结构，拓扑结构的设计涉及到校园网的安全性，内外网通信时，内部网的终端，服务器等会受到威胁，因此，设计校园网时，有必要将要公开的资源服务器进行隔离，避免遭到外界的攻击。只允许正常的信息通过网络到达相应服务器。将校园网分为数据中心核心区域、业务专网、校园网出口区域和运行维护区和校内局域网，如图1为校园网的网络拓扑结构。

图1 校园网拓扑结构

3 网络层的安全

网络操作系统是校园网与网络用户的接口。目前常用的网络操作系统是微软的windows系列操作系统和UNIX操作系统。它们都存在一些安全隐患。可能有恶意用户恶意破坏系统资源或系统的正常运行，破坏系统完成指定的功能，在多用户程序执行过程中操作手段相互间会产生不良影响。我们需要对加载在硬件设备上的所有操作系统进行安全配置，根据需要停止GUEST账号、开启账户策略、密码策略和备份敏感文件。最小化用户的数量。更改默认权限，关闭不必要的端口，操作系统安全策略，关闭不必要的服务。运行硬件防火墙和确保备份盘的安全。设置硬件防护设备，并定期更新检测规则库，在重要时期以便与互联网隔离。对服务器、网络设备、安全设备等定期进行安全漏洞检查，及时更新操作系统和补丁，配置口令策略保证更新频度。

IP数据的管理。整理学校运行商出口IP，实时监控各IP数据，出现问题能及时找到根源，排查故障。校园网用户接入校园网络均需通过登录认证，当发现问题时可以账号与日志追查到个人。通过在网关防火墙设置关键字过滤，可以阻止非法违规及敏感信息的传出与流入；建立完善的行为日志记录机制，通过安全审计、防火墙等设备，对用户上网的行为数据根据要求，保存30天以上的时间，可以做到发现问题有据可查。

4 信息系统的安全

信息系统的安全性主要跟具体的应用相关。校园网中主要信息系统有网站系统，图书系统，财务系统，办公系统等。对新入的信息系统必须经过管理员的测试才准入校园网，北塔监控，IPS、WAF、ADS、漏扫等设备。学校所有的对外访问的信息系统（网站）进行了梳理。对存在安全威胁长期不修复，所占资源长期处于空闲状态，运行维护停止更新服务的“僵尸”信息系统（网站）进行了清理。

建立对学院网站及业务系统的防护与监控机制：通过网站群系统对学院的各级网站进行集中管理，实现对网站内容的实时监控、定期汇总；通过WAF系统对网站及重要的业务系统进行实时保护，防止网站、系统被篡改；通过VPN系统对内外网进行有效隔离；通过行为审计系统实时记录网站与业务系统的访问信息，做到发现问题有据可查。

5 网络安全管理

网络安全管理是网络安全中重要的部门。管理混乱，责权不明，制度不健全急缺乏可操作性都可能导致校园网的安全风险。校园网网络信息安全工作实行“三级”管理。学校设有信息化工作领导小组。制定了《信息技术安全管理办法》，明确按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，各处室、学院承担本单位信息系统和网站信息内容的直接安全责任。

[1] 陈越.浅谈网络操作系统自身安全[J].网络安全技术与应用，2017.