基于校园网信息安全管理及网络安全实践课程的研究

曲文亮 郭巍 关兴卓

摘 要：随着计算机网络的不断发展，网络安全成为校园网管理中非常重要的一环。本文首先论述了校园网信息安全管理的管理策略、技术策略和用户策略，然后从网络安全的设计原则，从物理层安全、系统安全、web应用安全、管理安全四个方面阐明了具体的设计方法，又从入侵监测系统和防火墙两个方面分析了网络安全设备的具体应用，最后针对网络安全实践课程进行了研究。

关键词：信息安全;设计原则;入侵检测系统;网络安全实践课程

随着计算机网络的不断应用和发展，校园网已经成为高校发展的一面旗帜，能够拥有便捷安全的校园网不仅可以促进高校信息化教学，而且可以为智慧校园的建设提供坚实的基础。但是，如果不能确保校园网络系统的安全，常常会引起非常严重的后果，不仅会影响教学的正常进行，严重的甚至会被不法分子所利用，从而引起网络舆情。

校园网承担的校内各种应用越来越多，还有无线网的广泛部署，导致校园网的信息安全是否稳定，已经可以直接影响全校师生甚至相关社会人员的学习、生活和工作。特别是近年来，国家高度重视网络安全，已经成为校园网稳定运行的关键因素，各类新应用、新业务的普及，在网络建设中制定防护方案，研究网络安全策略，部署相应产品，以保证校园网络安全稳定运行已成为必须需要解决的问题。网络安全事件一旦发生，传播快，影响大，必须引起高度重视。因此，本文将在管理策略上、技术策略上、用户策略上，分别进行说明，以促进校园网的管理安全。

一、从管理策略考虑

首先要建立整体网络安全管理体系，合理规划校园网安全体系架构是建设的首要任务，需要建立安全管理的组织机构，明确安全管理的范围和内容，可以分层次规划。从安全管理制度和技术防范手段入手，形成完整、可行的网络安全管理体系。要强化组织领导、强化制度建设，落实责任，不能存在侥幸心理。完整的网络安全管理体系要包含组织、管理、技术三方面内容，组成完整的组织架构、管理方法和技术支持。对学校信息安全管理的组织结构进行从上至下的包含决策、管理、运营和应用等层次在内的分工，明确组织结构各层人员的工作职责。

首先，由校领导等人组建网络安全与信息化领导小组，领导小组的职责是宣传和贯彻落实国家网络安全和信息化建设的方针、政策;着眼于校园网的建设与发展的需要，协调学校网络安全和信息化建设过程中的各种问题;考察并制定校园网安全和信息化建设的长远发展、规划和政策;统筹协调校园网安全和信息化建设整体工作。其次，由各处室各学院领导人员组建安全工作小组，执行平时的网络安全工作落实和部署。再次，由包括机房的管理人员、网络的管理人员、服务器的管理人员、数据库管理人员等组成运营层面的管理队伍，具体实施系统运营层面各岗位工作人员的职责。最后，组件应用层人员。落实各信息系统及用户的安全责任，可以与各应用系统管理人员签订安全责任书，同时必须明确各应用系统的网络安全工作职责，这一层面各岗位的工作人员是网络安全工作最基础的保障。

还要根据国家相关法律法规进行校园网的合规性建设和应用。例如《网络安全法》第二十五条就有关于应急预案、处理系统漏洞等相关规定。在此基础上，不仅是建立应急预案，还需定时对应急预案进行演练，及时发现问题，解决问题，不断完善网络安全防护的内容[1]。

另外，信息安全等级保护工作也需纳入校园网安全的日常管理中。根据《信息安全等级保护管理办法》有关要求，开展基础网络和重要信息系统信息安全等级保护工作，进一步提高基础网络和重要信息系统的安全保障能力。

二、从技术策略考虑

校园网机房需保证物理环境安全，配备环境监控系统对机房的温度和湿度进行24小时实时的监控，并且有大容量不间断电源系统，能够在市电短时間中断的情况下，提供对核心设备的电力支撑。中心机房需具有门禁系统对进入机房的人员进行审核，并提供完整的用户上机记录。所有的核心网络设备、汇聚层网络设备以及接入层网络设备，均需由专人调试并且管理，交换机可以使用访问控制列表等技术配合AAA验证等方式管理以上网络设备，密码也需进行复杂度管理，防止被恶意试探。核心层与汇聚层的网络线路一般需要做到双链路冗余备份，以保障基础网络物理层面的基本安全。

对于网络安全技术层面，可以使用各类网络安全设备配合管理人员进行网络安全管理工作。例如使用防火墙根据校园网的安全要求设置最大带宽、进行最大连接数限制等安全操作。并且可以定期查看防火墙访问日志，能够及时发现攻击行为和不良上网记录;使用上网行为管理设备，利用设备精细化管理的功能，管控“登录”“浏览”“发表”“上传”等行为，利用通道化的QoS控制，实现基于源地址、用户、服务、应用、时间进行带宽控制和保障带宽、限制带宽、带宽借用、每个IP带宽、流量限额、带宽优先级等QoS动作，能有效地监控、管理、分析校内所有用户的上网行为;使用堡垒机面向运维安全，进行远程维护，过程可回放。校园网内各级管理员均登录堡垒机实施运维，通过堡垒机整合全部可管理资源，分类授权给不同用户账户，提升安全性，细化管理颗粒度;使用IPS实现流量清洗，对骨干流量进行过滤，减少内网遭受的来自互联网威胁可能性;使用DDOS重点清洗来自互联网的DDOS攻击流;使用Web防火墙对http请求检测分析，拦截常见的web漏洞攻击，例如SQL注入攻击、XSS跨站攻击用开源组件漏洞等常见的攻击行为;还可以使用漏扫系统，对各类物理机或虚拟机进行定期扫描，及时发现最新的漏洞并进行补丁更新等。

另外，《网络安全法》第二十一条也规定，网络运营者应当制定各类制度、防计算机病毒、监测并记录网络运行状态、留存网络日志、重要数据备份等。因此，对于这些项目还需配备网络审计、数据库审计等日志类防护设备，实现可回放、可溯源、可追责，为证据采集、规范数据访问提供有力手段。

对于数据可靠性上，可以通过数据中心虚拟化的部署，提高服务器的利用率和工作效率。并且数据中心需专网管理，利用防火墙等安全设备单独进行数据安全管理。所有服务器都必须设有符合安全规范的登录密码，由服务器管理员专人进行保管，并定期更换。对服务器管理员应定期培训，使其具有比较高的系统安全管理水平，满足对服务器进行细致的安全配置工作条件。可以实施日常对服务器的监控、对于重要系统的保障、平日进行日常巡查等。

并且，《网络安全法》第三十四条还规定，对重要系统和数据库进行容灾备份等要求。依据此要求，校园网需要对重要数据库进行定期备份，防止服务器数据丢失。对重要资料除常规数据自动备份外，还需各应用系统管理员专人手工备份，以防重要数据遗失，降低或消除网络威胁对重要数据的影响。

三、从用户策略考虑

网络安全关系到校园网运行的稳定，随着网络安全法的颁布，对于校园网用户的接入也有了更高的要求，需实名制接入校园网，做到可溯源。对全网用户要做到入网身份认证，每个用户都对应唯一的入网标识，配合地址转换日志、上网行为管理、日志审计系统等，做到对每个用户的上网行为有据可查，上网行为日志留存90天备查。

网络安全知识的宣传也必不可少，每年可组织定期的网络安全宣传，例如网络安全周等校园活动对学校师生进行宣传网络安全政策和知识。经常组织网站管理员、应用系统管理员参与技术培训，进一步增加管理人员的安全能力与安全意识。积极开展网络安全资料、故事进校园活动，可以在校内张贴海报、发放宣传材料，通过微信、微博、邮件等宣传形式网络安全知识，把网络安全教育作为教职工和学生教育的一项重要内容，增强师生网络安全意识，提升网络安全风险防范能力，形成长效机制。

四、设计原则

因此，为了确保校园网的网络安全，在规划校园网的安全架构时，应该着眼于保护内网重要资源的安全以及合理管控用户上网的行为。其中，应该重点考虑以下几个方面：

（1）可持续性。由于近年来高校的信息化建设普遍迎来了高速发展的时期，因此在规划校园网的安全系统时，应该充分考虑到高校未来的发展，确保至少满足未来5年的校园网网络用户数量和网络带宽等因素，从而保证校园网的安全运行。

（2）资源安全。高校在教学和管理所用到的教学平台、管理系统、网站等重要资源通常会部署在校园网的内部服务器上。因此，网络安全系统应该保证这些资源不被攻击、篡改和丢失，并合理控制不同用户对资源的访问和使用。

（3）网络接入安全。由于校园网的开放性较高，为了避免非法用户进入局域网络，可以在接入层交换机上部署局域网接入身份验证，保证合法的校园网用户接入校园网。

（4）上网行为管理。鉴于校园网的用户较多，必须对内网用户的访问行为进行有效管控，从而确保文明安全使用校园网。因此，可以借助防火墙、流控设备等对师生经常访问的站点进行统计分析，及时掌握学生的学习和生活动向，为校园大数据分析提供支撑[2]。

了解以上设计原则后，可以从以下4个方面来分析设计。

（1）物理层安全。机房的环境安全是网络安全的基础保障。网络中心机房应该按照相应的计算机机房设计规范的要求进行建设，做到线路规范、通风良好、防火防盗。

（2）系统层安全。系统层安全主要指的是各种操作系统、应用系统、数据库系统的安全漏洞所造成的网络威胁。可以由系统管理员定期进行系统漏洞的扫描和病毒的查杀工作，并且严格遵守网络中心的管理条例，严禁向他人泄露系统管理员的账号和密码。

（3）Web应用安全。由于web服务器逐渐成为网络攻击发的目标，因此对web应用提供安全防护是网络安全防御体系里重要的一环。可以通过设置web应用防火墙，即WAF对来自web应用程序客户端的各类请求进行检测和验证，确保安全性和合法性。对于非法的请求予以实时阻断，为web应用提供安全防护。

（4）管理安全。建立完备的安全管理体制。通过建立一套完善的安全管理制度，并落实到相关责任人，可以提高网络安全人员的管理水平。同时，网络中心应定期对网路安全相关人员进行技术培训，增强网络安全意识。

五、网络安全设备的应用

为了更好地解决黑客攻击、蠕虫、木马等网络病毒对网络安全带来的侵害，网络中心通常会部署入侵防御系统和防火墙来主动防护网络，为网络安全提供最大的保障。

其中，入侵防御系统可以在线地检测网络数据异常和资源变化，发现攻击后能够有效阻断，阻止攻击到达目标网络或主机。入侵检测系统通常具备攻击防御、病毒过滤和异常行为检测三大功能特点。

入侵检测系统提供的是一种主动的、实时的防护，对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动判断和拦截，以免造成损失，而不是简单的监测和报警。入侵检测系统是网络安全主干系统的一部分，不仅仅是一个被动的监测设备，它还要对进出网络的数据包进行深层检查，例如特征检测、异常检测、Dos/DDos检测等，一旦发现入侵，立刻阻断攻击者对攻击目标的访问，从而达到防御攻击的目的。

入侵檢测系统具有灵活高效的防病毒能力，实现针对HTTP、SMTP、POP3、FTP等协议的病毒流量控制和监测，能够在第一时间完成对各种病毒的查杀，消除病毒对网络安全的危害。入侵检测系统一般会内置庞大的特征库，特征库主要用于检测各类已知攻击，对网络传输的数据包进行高度匹配，可以准确、快速地检测到同类攻击，包括病毒木、木马等，并通过不断升级攻击特征，从而保证第一时间检测到攻击行为。

入侵检测系统通常支持各种复杂的网络环境，提供灵活的部署方式，以铱迅的入侵防御系统为例，针对校园网，可以在核心交换机和核心路由器的中间插入入侵防御系统，但是对流量并不产生影响。由此，入侵防御系统可以阻断、过滤各种攻击，而让其他正常的流量通过。这种模式的最大特点就是快速、简便，可以实现先部署后配置，做到即插即用[3]。

防火墙也是一款协助保障网络安全的设备，它通常部署在内网和外网之间，通过定义接入访问控制规则，保证仅当流量或数据匹配要求时才能穿越防火墙或接入被保护的系统，从而达到管理和控制网络流量、保护资源的目的。随着防火墙技术的不断进步，目前许多路由器已经集成了防火墙的功能，通过在路由器上配置访问控制列表等策略来对数据包进行过滤，进而实现防火墙的功能。

六、网络安全实践课程研究

网络安全实践课程是以问题为基础的研究性实验课程，旨在推进以问题为核心的课外探究性、实践性学习，激发学生的学习兴趣及研究问题的主动性。把针对校园网的信息安全管理的研究依托学校大数据与智慧校园管理中心信息安全云实验系统，采用基于SPOC的网络安全实践课程混合学习平台，使学生利用SPOC课程资源，主动参与并提出疑问、发表观点、共同解决问题，由被动的知识灌输对象转变为学习活动主体。形成学生自助互动、教师深度参与的学与教模式的深度融合，同时采用有效的实验场景创设模式，促进学生对网络安全实践的技能训练。

综上所述，信息安全与网络安全工作不仅是一项复杂而又烦琐的任务，还具有很重要的现实意义，必须要高度重视。在实际工作中，从标准、操作、技术、制度等各方面保障网络与信息系统的安全运行。总之，随着国家对信息安全的不断重视，网络安全已经成为高校工作中的一个非常重要的方面。高校的网络工作人员肩负着重要的责任，要时刻秉承着网络安全理念，以网络安全为己任，以网络安全技术为依托，不断开拓，不断创新，不断进取。

参考文献：

[1]王茂臣.高校网络安全管理问题及对策研究[J].网络安全技术与应用，2020（09）.

[2]倪东.校园网安全防御体系的构建和实施[J].遵义师范学院学报，2021，23（01）.

[3]李国瑜.浅析入侵检测技术在校园网中的应用[J].信息通信，2020（11）.

基金项目：北华大学2021年教育教学改革研究课题“基于SPOC的网络安全实践课程混合学习平台研究”，项目负责人：曲文亮

作者简介：曲文亮（1980— ），男，汉族，吉林人，本科，高级实验师，教师，研究方向：计算机网络及应用。