【校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題與優(yōu)化建議分析8300字（論文）】

校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題與完善對(duì)策研究目錄TOC\o"1-3"\h\u16116一、引言 121347二、高校校園網(wǎng)安全現(xiàn)狀分析 222284（一）硬件方面 2101471.硬件設(shè)備自身存在漏洞 220112.星型結(jié)構(gòu)的冗余設(shè)計(jì)和相關(guān)設(shè)備的邏輯缺陷 28153.高校校園網(wǎng)絡(luò)異常信息的植入和信息泄露 318285（二）軟件方面 3310931.非正版軟件的使用 3170932.釣魚(yú)郵件攻擊 3300963.密碼安全性不高 427178（三）管理方面 4311971.專業(yè)人員缺乏 412632.相關(guān)人員保密性差 4279383.工作人員安全意識(shí)弱 412416（四）校園網(wǎng)使用者不安全因素 427121三、高校網(wǎng)絡(luò)校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題對(duì)策 63248（一）部署安全策略 6271861.合理劃分VLAN 6101412.NAT技術(shù)與VPN結(jié)合 6143323.使用防火墻技術(shù) 73500（二）操作系統(tǒng)安全策略 856641.最小權(quán)限和權(quán)限分離原則 8180262.設(shè)置白名單原則 8261263.縱深防御原則 93403五、總結(jié) 1032263參考文獻(xiàn) 11

摘要隨著互聯(lián)網(wǎng)的普及和發(fā)展，高校校園網(wǎng)網(wǎng)絡(luò)作為重要的校園信息化和數(shù)字化基礎(chǔ)設(shè)施，承擔(dān)著學(xué)校在教學(xué)、科研、管理和對(duì)外交流中的重要任務(wù)，為教育提供了良好的保證。目前，校園網(wǎng)已擴(kuò)展到學(xué)校的所有部門，并已成為整個(gè)校園的基本設(shè)備。學(xué)校需要越來(lái)越多的可操作性和網(wǎng)絡(luò)安全性，因此構(gòu)建合理的網(wǎng)絡(luò)安全性體系尤為重要。本文首先闡述了高校校園網(wǎng)安全的背景、意義和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展趨勢(shì)；其次分析了高校校園網(wǎng)絡(luò)的安全形勢(shì)以及校園網(wǎng)網(wǎng)絡(luò)在實(shí)際應(yīng)用中存在安全問(wèn)題，并探討和改進(jìn)了目前存在的部分問(wèn)題。最后，針對(duì)存在的問(wèn)題提出了設(shè)置白名單機(jī)制、最小權(quán)限法則、縱深防御等安全原則，采取相應(yīng)的措施改進(jìn)校園網(wǎng)網(wǎng)絡(luò)存在的問(wèn)題，有利于維護(hù)校園網(wǎng)的安全。關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；校園網(wǎng)；網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全；安全策略一、引言隨著網(wǎng)絡(luò)的普及和快速發(fā)展，高校校園的信息化、數(shù)字化建設(shè)的速度也在加快，校園網(wǎng)作為信息化和數(shù)字化高校校園網(wǎng)絡(luò)的重要基礎(chǔ)設(shè)施，保障了學(xué)校在教學(xué)管理、科研和對(duì)外交流等方面的任務(wù)。目前，校園網(wǎng)已經(jīng)普及到學(xué)校的各部門，校園網(wǎng)已經(jīng)成為校園建設(shè)的基礎(chǔ)設(shè)施，高校對(duì)于構(gòu)建合理可靠的網(wǎng)絡(luò)安全體系更加重視，這主要體現(xiàn)在校園網(wǎng)安全性和可管理性上。當(dāng)前從各個(gè)方面的網(wǎng)絡(luò)攻擊和威脅來(lái)看，如果只依靠單一的網(wǎng)絡(luò)設(shè)備或簡(jiǎn)單的安全技術(shù)是無(wú)法保證高校校園網(wǎng)的安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步和發(fā)展，校園網(wǎng)內(nèi)部也變得越來(lái)越復(fù)雜，因此，對(duì)于校園網(wǎng)安全體系的建設(shè)和規(guī)劃，要從整體安全狀況出發(fā)，層層建設(shè)，從核心到終端的綜合部署，從而減少整個(gè)高校校園網(wǎng)的安全威脅，給校園網(wǎng)用戶提供有力保障。網(wǎng)絡(luò)空間安全行業(yè)作為國(guó)家支持和發(fā)展的高新技術(shù)產(chǎn)業(yè)和戰(zhàn)略性產(chǎn)業(yè)之一，由國(guó)家政策大力扶持。自2016年以來(lái)，我國(guó)政府頒布了《網(wǎng)絡(luò)安全法》等重要法規(guī)并制定了《“十三五”國(guó)家信息化規(guī)劃》《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃(2016-2020)年》《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016-2020)年》等政策規(guī)劃，從政策、制度以及法規(guī)等多個(gè)方面促進(jìn)國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)的發(fā)展，對(duì)政府、企業(yè)等網(wǎng)絡(luò)安全有了更高的要求。隨著我國(guó)《網(wǎng)絡(luò)安全法》的頒布實(shí)施和相關(guān)規(guī)劃的持續(xù)推進(jìn)，與其相關(guān)的政策也為安全行業(yè)的發(fā)展提供了新的機(jī)會(huì)和更有力的支持。國(guó)家政策從兩個(gè)大的方面推動(dòng)了我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，一方面，對(duì)網(wǎng)絡(luò)安全的重視程度要加強(qiáng)，網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用規(guī)模需要提高；另一方面，從硬件設(shè)備等基礎(chǔ)設(shè)施上杜絕和消除網(wǎng)絡(luò)信息安全隱患。校園網(wǎng)網(wǎng)絡(luò)的安全將會(huì)改善教學(xué)和學(xué)術(shù)交流的環(huán)境以及影響學(xué)校的未來(lái)和發(fā)展。校園網(wǎng)網(wǎng)絡(luò)的建設(shè)不僅可以安全、充分地利用學(xué)?，F(xiàn)有的資源，而且可以改善網(wǎng)絡(luò)的工作環(huán)境，促進(jìn)網(wǎng)絡(luò)的管理和維護(hù)，提高網(wǎng)絡(luò)的可靠性。因此，校園網(wǎng)安全顯得非常重要。

二、高校校園網(wǎng)安全現(xiàn)狀分析隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，高校都引入了校園網(wǎng)網(wǎng)絡(luò)來(lái)管理學(xué)生的信息，以便利學(xué)生對(duì)臨時(shí)通知的調(diào)查，此外，校園網(wǎng)網(wǎng)絡(luò)的建立也為教師提供了一個(gè)教學(xué)交流的平臺(tái)，從這一方面來(lái)看校園網(wǎng)具有許多優(yōu)勢(shì)，另一方面來(lái)看，由于校園網(wǎng)的開(kāi)放，校園網(wǎng)的數(shù)據(jù)變得越來(lái)越重要，很容易被操縱或竊取，這些數(shù)據(jù)可能會(huì)對(duì)學(xué)校造成或多或少的損害。病毒不僅是唯一的敵人，從互聯(lián)網(wǎng)安全的角度來(lái)看，它的同伙也有間諜插件、廣告植入物和一些網(wǎng)絡(luò)釣魚(yú)軟件等，他們共同攻擊互聯(lián)網(wǎng)，其中最大的威脅是間諜插件，它已經(jīng)成為互聯(lián)網(wǎng)安全的最大力量。經(jīng)過(guò)文獻(xiàn)綜述總結(jié)了校園網(wǎng)現(xiàn)存以下主要安全問(wèn)題。（一）硬件方面1.硬件設(shè)備自身存在漏洞在校園網(wǎng)建設(shè)中，由于缺乏重視或建筑設(shè)計(jì)中存在的問(wèn)題，導(dǎo)致校園網(wǎng)的線路外形各異，使得校園網(wǎng)物理層的數(shù)據(jù)傳輸不暢；另外，由于資金缺乏，使校園網(wǎng)的硬件安全性也會(huì)受到影響，網(wǎng)絡(luò)設(shè)備的冗余設(shè)計(jì)成為高校校園網(wǎng)設(shè)計(jì)者考慮的一個(gè)問(wèn)題，影響了高校校園網(wǎng)正常工作的穩(wěn)定性和可行性。服務(wù)器機(jī)房管理系統(tǒng)相對(duì)薄弱，容易遭受黑客攻擊。系統(tǒng)的設(shè)計(jì)過(guò)程非常復(fù)雜，經(jīng)常會(huì)有大量的監(jiān)控，會(huì)有各種各樣的認(rèn)證和服務(wù)限制。在此過(guò)程中，整個(gè)網(wǎng)絡(luò)抵抗外部攻擊的能力非常弱，因此經(jīng)常被一些動(dòng)機(jī)不純者用來(lái)攻擊計(jì)算機(jī)系統(tǒng)。2.星型結(jié)構(gòu)的冗余設(shè)計(jì)和相關(guān)設(shè)備的邏輯缺陷現(xiàn)階段高校校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)主要采用星型結(jié)構(gòu)，如圖3所示。在沒(méi)有合適的冗余設(shè)計(jì)的情況下，如果中央交換機(jī)出現(xiàn)故障，則整個(gè)校園網(wǎng)絡(luò)將會(huì)癱瘓。由于校園網(wǎng)絡(luò)環(huán)境的物理因素（例如溫度、濕度和機(jī)房的監(jiān)控）的影響，以及手動(dòng)操作，設(shè)備將出現(xiàn)故障和安全問(wèn)題，因此校園網(wǎng)絡(luò)的物理設(shè)備的安全性是不容忽視的。在高校校園網(wǎng)絡(luò)安全領(lǐng)域有一種誤解，那就是“我使用了主流的基礎(chǔ)設(shè)備，例如網(wǎng)站服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、緩存服務(wù)器，因此再不需要額外的防護(hù)應(yīng)用了?！蔽覀儼阎髁鞯木W(wǎng)絡(luò)安全設(shè)備在設(shè)計(jì)和實(shí)現(xiàn)時(shí)放在重要的位置，但健壯的驗(yàn)證機(jī)制和安全控制措施是必不可少的，這些設(shè)備中的漏洞反而會(huì)成為明顯的攻擊點(diǎn)，黑客通過(guò)設(shè)備漏洞完全控制高校的物理設(shè)備。2017年5月中旬，中國(guó)大陸部分高校發(fā)現(xiàn)電腦被攻擊，文檔被加密，高校校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密，這是著名的“永恒之藍(lán)”。事實(shí)上早在2017年3月，微軟官方已經(jīng)放出針對(duì)這一漏洞的補(bǔ)丁。這個(gè)事件告訴我們要密切關(guān)注基礎(chǔ)設(shè)備的安全，及時(shí)修復(fù)設(shè)備中存在的安全漏洞。圖3典型的星型結(jié)構(gòu)3.高校校園網(wǎng)絡(luò)異常信息的植入和信息泄露高校校園網(wǎng)絡(luò)異常信息的植入大多為注入漏洞和跨站腳本漏洞。注入漏洞的產(chǎn)生是因?yàn)檫M(jìn)行了未授權(quán)的數(shù)據(jù)訪問(wèn)或應(yīng)用程序未對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格驗(yàn)證而導(dǎo)致執(zhí)行了預(yù)期之外的程序。任何數(shù)據(jù)源都有可能成為注入的載體，注入能導(dǎo)致數(shù)據(jù)被修改、被刪除或泄露給未授權(quán)方，也可能導(dǎo)致拒絕服務(wù)缺乏可審計(jì)性。跨站腳本攻擊是指用戶提交的數(shù)據(jù)網(wǎng)站未進(jìn)行轉(zhuǎn)義處理，或者過(guò)濾規(guī)則缺少導(dǎo)致惡意黑客可以將一些惡意代碼嵌入Web頁(yè)面中，當(dāng)其他用戶訪問(wèn)時(shí)就會(huì)執(zhí)行對(duì)應(yīng)嵌入代碼的漏洞。信息泄露是指與應(yīng)用程序交互時(shí)，利用應(yīng)用程序的反常行為提取出有價(jià)值的信息。這一般有以下場(chǎng)景：一是用戶讀取到了應(yīng)用程序未封裝的出錯(cuò)信息，泄露了應(yīng)用程序版本和配置信息以及調(diào)用的第三方接口等；二是因?yàn)椴僮鞑灰?guī)范或配置不合理導(dǎo)致源代碼、應(yīng)用程序配置文件可以被直接下載。例如，把Web可訪問(wèn)目錄中的config.php復(fù)制成config.php.bak，而導(dǎo)致可直接下載config.php.bak；三是核心數(shù)據(jù)未使用強(qiáng)散列算法存儲(chǔ)或強(qiáng)加密，從而導(dǎo)致被惡意讀取后利用。例如，在高校校園網(wǎng)絡(luò)日志或者數(shù)據(jù)庫(kù)中用明文記錄老師和學(xué)生完整的身份證號(hào)碼、電話號(hào)碼和密碼原文等，都是極其可能帶來(lái)的信息泄露的問(wèn)題。（二）軟件方面1.非正版軟件的使用非正版版軟件在高校計(jì)算機(jī)實(shí)驗(yàn)室、教師、學(xué)生私人電腦尤其泛濫，因此非正版軟件也成為眾多木馬和病毒的載體，而安裝了這些載有惡意代碼的非正版軟件后，可能會(huì)直接突破網(wǎng)絡(luò)邊界上的安全控制，直接影響到服務(wù)器和數(shù)據(jù)的安全。對(duì)于服務(wù)器管理和操作系統(tǒng)來(lái)說(shuō)，使用非正版軟件的風(fēng)險(xiǎn)尤其嚴(yán)重。2.釣魚(yú)郵件攻擊高校校園網(wǎng)絡(luò)常見(jiàn)被攻擊的方式還有釣魚(yú)郵件，通過(guò)社會(huì)工程方式發(fā)送的釣魚(yú)郵件是黑客組織最常用的攻擊手段。這種以釣魚(yú)郵件為載體的攻擊方式又被稱為“魚(yú)叉攻擊”。社會(huì)工程攻擊手法的逐漸成熟，電子郵件幾乎很難辨別真假。從一些受到網(wǎng)絡(luò)威脅攻擊的高?？梢园l(fā)現(xiàn)，這些高校受到威脅的關(guān)鍵因素都與老師或者學(xué)生遭遇的社會(huì)工程的惡意郵件相關(guān)。攻擊者剛一開(kāi)始，就是針對(duì)特定老師和學(xué)生發(fā)送釣魚(yú)郵件，以此作為攻擊的源頭。例如OceanLotus（海蓮花）組織所使用的60%左右的攻擊都是將木馬程序作為電子郵件的附件發(fā)送給特定的攻擊目標(biāo)，并誘使目標(biāo)打開(kāi)附件。在一個(gè)典型的釣魚(yú)郵件攻擊中，攻擊者可以通過(guò)一封看似正常但卻極具偽裝性和迷惑性標(biāo)題和附件的郵件就可以讓服務(wù)器失陷。因此，我們要培養(yǎng)老師和學(xué)生的網(wǎng)絡(luò)安全意識(shí)，在不知道郵件的來(lái)源或者和工作無(wú)關(guān)的郵件，不要隨便打開(kāi)，尤其是不要被具有誘惑性的標(biāo)題所迷惑。此外，在日常工作中發(fā)現(xiàn)釣魚(yú)郵件時(shí)，要及時(shí)告知網(wǎng)絡(luò)安全管理人員進(jìn)行調(diào)查。3.密碼安全性不高大量的高校校園網(wǎng)絡(luò)安全事件表明，弱密碼問(wèn)題是導(dǎo)致眾多校園網(wǎng)絡(luò)安全事件的罪魁禍?zhǔn)住：芏鄷r(shí)候，黑客入侵并不需要高超的技術(shù)能力，他們僅僅從弱密碼這個(gè)入口突破就可以攻破校園網(wǎng)以及企業(yè)的整個(gè)信息基礎(chǔ)設(shè)施。因此，高校及企業(yè)應(yīng)該特別注意弱密碼的問(wèn)題。（三）管理方面高校建立互聯(lián)網(wǎng)后，管理工作少了很多，但目前的安全狀況遠(yuǎn)不如其他方面。高校一般都有一定數(shù)量的校園網(wǎng)管理的維護(hù)人員，但他們的大部分職責(zé)是檢查計(jì)算機(jī)的日常運(yùn)行情況，當(dāng)互聯(lián)網(wǎng)系統(tǒng)在檢查維護(hù)方面出現(xiàn)問(wèn)題時(shí)，在專門負(fù)責(zé)互聯(lián)網(wǎng)安全的人員往往不足的情況下，校園網(wǎng)安全問(wèn)題就會(huì)暴露。1.專業(yè)人員缺乏目前，我國(guó)許多高校在配備網(wǎng)絡(luò)安全管理人員的同時(shí)，往往缺乏對(duì)網(wǎng)絡(luò)安全維護(hù)的良好掌握。因此，高等教育機(jī)構(gòu)負(fù)責(zé)互聯(lián)網(wǎng)監(jiān)管的人員缺乏相應(yīng)的安全管理能力，當(dāng)校園網(wǎng)受到黑客攻擊時(shí)，往往沒(méi)有及時(shí)采取相應(yīng)的防御措施。2.相關(guān)人員保密性差關(guān)于在互聯(lián)網(wǎng)上設(shè)置的密碼，不能向公眾披露的信息不得嚴(yán)格保密，不得向他人任意披露，專用文件的透明度等問(wèn)題，是互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)自身的問(wèn)題。作為一名網(wǎng)絡(luò)管理員，他沒(méi)有積極的工作情緒，對(duì)任意破壞與互聯(lián)網(wǎng)有關(guān)的設(shè)備也不太認(rèn)真。目前，我國(guó)校園網(wǎng)建設(shè)的重點(diǎn)是校園網(wǎng)管理服務(wù)和學(xué)校信息化建設(shè)，沒(méi)有專門的系統(tǒng)來(lái)保護(hù)網(wǎng)絡(luò)的安全性。3.工作人員安全意識(shí)弱互聯(lián)網(wǎng)工作人員缺乏良好的技術(shù)知識(shí)，特別是在涉及重要機(jī)密文件的情況下，有時(shí)無(wú)法將準(zhǔn)確的信息發(fā)送給需要接收信息的人，而是由他人接收，這無(wú)疑會(huì)降低文件的保密性。在日常數(shù)據(jù)管理中，各種信息都應(yīng)該分類存儲(chǔ)，但實(shí)際上對(duì)重要文件和普通文件往往沒(méi)有明確的區(qū)別，它們放在一個(gè)磁盤上，或者在計(jì)算機(jī)的每個(gè)磁盤上按順序分發(fā)，從而損害了重要文件的機(jī)密性，沒(méi)有任何好處。（四）校園網(wǎng)使用者不安全因素目前，大學(xué)生是校園網(wǎng)的主要用戶。學(xué)生對(duì)互聯(lián)網(wǎng)安全的意識(shí)通常很低。只有計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生才能擁有一些互聯(lián)網(wǎng)安全性意識(shí)，其他專業(yè)學(xué)生幾乎都不會(huì)在意。他們認(rèn)為，學(xué)校有專業(yè)技術(shù)人員應(yīng)該負(fù)責(zé)維護(hù)校園網(wǎng)網(wǎng)絡(luò)的安全，而不是自己的責(zé)任，因此成為校園網(wǎng)網(wǎng)絡(luò)不安全的一個(gè)因素。很大一部分大學(xué)生將校園網(wǎng)網(wǎng)絡(luò)視為自己的實(shí)踐之所，大學(xué)生的好奇心使他們能夠在校園網(wǎng)網(wǎng)絡(luò)中進(jìn)行反思，并探索可以輕松獲得所需資源的優(yōu)勢(shì)，而無(wú)需任何管轄權(quán)。校園網(wǎng)系統(tǒng)本身容易受到攻擊，校園網(wǎng)監(jiān)控人員應(yīng)對(duì)外部攻擊時(shí)，不能以任何方式改變、靈活采取的措施，不能有效遏制攻擊，甚至不能及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)威脅，造成互聯(lián)網(wǎng)安全水平低下的惡性循環(huán)。其次，應(yīng)遵循相關(guān)的安全法律法規(guī)，學(xué)校宣傳力度不足，我國(guó)在互聯(lián)網(wǎng)使用方面也有相關(guān)的政策和法律，學(xué)校通常沒(méi)有向?qū)W生通報(bào)這些問(wèn)題，并且還沒(méi)有制定一套規(guī)章制度。這些規(guī)章制度應(yīng)說(shuō)明互聯(lián)網(wǎng)安全問(wèn)題應(yīng)注意的事項(xiàng)，對(duì)違反安全的學(xué)生的制裁措施，除法律法規(guī)外，學(xué)生還應(yīng)具有一定的素質(zhì)，請(qǐng)勿瀏覽互聯(lián)網(wǎng)不健康的網(wǎng)站，請(qǐng)勿濫用校園網(wǎng)資源，請(qǐng)勿散布不健康的信息。三、高校網(wǎng)絡(luò)校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題對(duì)策在建設(shè)高校校園網(wǎng)絡(luò)的設(shè)計(jì)方案中，為解決校園網(wǎng)絡(luò)中將會(huì)遇到的網(wǎng)絡(luò)安全問(wèn)題，采取合理規(guī)劃VLAN、NAT技術(shù)與VPN結(jié)合、使用防火墻技術(shù)、縱深防御、最小權(quán)限法則、白名單機(jī)制以此來(lái)保證高校校園網(wǎng)絡(luò)的穩(wěn)定、安全的運(yùn)作。（一）部署安全策略1.合理劃分VLAN核心聚集層模塊是校園網(wǎng)絡(luò)的基本設(shè)備，核心層功能提供校園網(wǎng)網(wǎng)絡(luò)的快速穩(wěn)定地傳輸。通過(guò)使用核心設(shè)備本身保護(hù)能力，可以在不影響系統(tǒng)性能的情況下激活安全戰(zhàn)略。匯聚層有可靠性、高性能、冗余性，根據(jù)網(wǎng)絡(luò)的特點(diǎn)，設(shè)計(jì)初期的匯聚層應(yīng)在一定程度上減少接入層的不必要的連接，使得核心層得到緩解，實(shí)現(xiàn)雙層網(wǎng)絡(luò)的安全和可靠的校園網(wǎng)接入校園骨干網(wǎng)中，在匯聚層上進(jìn)行端口和雙機(jī)備份的重新定位設(shè)計(jì)，以實(shí)現(xiàn)核心匯集層模塊的穩(wěn)定性，并保證校園網(wǎng)網(wǎng)絡(luò)的正常運(yùn)行。此外，終端訪問(wèn)控制解決方案將通過(guò)核心匯聚層模塊部署。VLAN劃分的目的是以減少?gòu)V播域，防止病毒及木馬基于廣播域在高校校園網(wǎng)中進(jìn)行傳播，同時(shí)根據(jù)高校校園網(wǎng)的實(shí)際情況方便加強(qiáng)管理，來(lái)進(jìn)行方案的設(shè)計(jì)與部署。VLAN劃分的方案，說(shuō)明如下：（1）高校校園網(wǎng)具有實(shí)時(shí)交互性，學(xué)生每天通過(guò)校園網(wǎng)絡(luò)傳輸?shù)男畔⒘看螅虼烁鶕?jù)高校學(xué)生專業(yè)系別的分布特點(diǎn)，以不同的系別進(jìn)行VLAN劃分，將同一系別劃分成一個(gè)VLAN，再以具體專業(yè)進(jìn)行VLAN的劃分；（2）以資產(chǎn)安全為目的，可將教師的辦公室及寢室單獨(dú)劃為一個(gè)VLAN，并且學(xué)生不能訪問(wèn)教師，以此來(lái)保證教師終端的科研資料及試題資料的安全；（3）便于教學(xué)實(shí)驗(yàn)為目的，可以按照教學(xué)樓的樓層劃分VLAN，將每個(gè)樓層中具有相同功能的教室劃分為一個(gè)VLAN；（4）便于網(wǎng)絡(luò)管理為目的，可以按照每棟樓劃分VLAN，再根據(jù)每個(gè)部門不同的工作性質(zhì)劃為一個(gè)VLAN。由于存在大一新生入學(xué)和大學(xué)畢業(yè)生離校等情況，由于人員頻繁變動(dòng)和流動(dòng)性大，很難劃分VLAN，所以即使在大學(xué)中學(xué)生人數(shù)和班級(jí)發(fā)生變化，也只有管理員必須通過(guò)端口重新分配已配置的VLAN，以便易于配置和監(jiān)視。在訪問(wèn)控制與VLAN分區(qū)同時(shí)部署，這限制了VLAN之間的數(shù)據(jù)通信。例如，禁止使用財(cái)務(wù)處訪問(wèn)，禁止在具有不同服務(wù)的VLAN之間進(jìn)行通信，并部署ACL對(duì)以防止病毒通過(guò)特定端口傳播。2.NAT技術(shù)與VPN結(jié)合網(wǎng)絡(luò)邊界模塊位于內(nèi)部網(wǎng)絡(luò)和外部校園網(wǎng)絡(luò)之間的交界處，如圖4所示。目標(biāo)是聚集邊界中不同組件的連接，以提供功能訪問(wèn)教育網(wǎng)絡(luò)并進(jìn)行電信網(wǎng)絡(luò)的訪問(wèn)，連接內(nèi)部網(wǎng)絡(luò)，共享內(nèi)網(wǎng)，提供遠(yuǎn)程訪問(wèn)，提供WWW服務(wù)等。由于校園網(wǎng)網(wǎng)絡(luò)速度較快且易于連接，因此它還提供了一個(gè)用于網(wǎng)絡(luò)入侵的通道，這就需要網(wǎng)絡(luò)邊界安全模塊，不僅要確保與高風(fēng)險(xiǎn)外部網(wǎng)絡(luò)的連接，還需要校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全性。圖4網(wǎng)絡(luò)邊界安全模塊因此對(duì)網(wǎng)絡(luò)邊界板塊做以下安全部署：（1）部署接入路由，隱藏校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的IP地址使用NAT技術(shù)。（2）部署網(wǎng)絡(luò)防火墻，保護(hù)內(nèi)部和外部網(wǎng)絡(luò)，抵御外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)重要數(shù)據(jù)的破壞。（3）使用訪問(wèn)控制ACL策略，阻止外網(wǎng)的非法和未授權(quán)訪問(wèn)，禁止內(nèi)網(wǎng)的非法外連。（4）部署Nginx反向代理服務(wù)器，在防火墻與服務(wù)器之間部署一臺(tái)Nginx反向代理服務(wù)器，用來(lái)解決外網(wǎng)訪問(wèn)速度緩慢的問(wèn)題，并為服務(wù)器提供防護(hù)。（5）部署入侵防御系統(tǒng)，與防火墻結(jié)合，作為對(duì)殺毒軟件和防火墻的強(qiáng)力補(bǔ)充。（6）部署上網(wǎng)流量控制策略，實(shí)現(xiàn)流量分析和監(jiān)控等功能，其中在校園網(wǎng)中破解版軟件和P2P軟件的濫用導(dǎo)致的校園安全問(wèn)題，可控軟件技術(shù)可以對(duì)高校校園網(wǎng)內(nèi)的非正版軟件進(jìn)行管理。網(wǎng)絡(luò)邊界安全板塊的部署可以有效的阻止非法授權(quán)訪問(wèn)、ARP欺騙、文件上傳、DDOS攻擊等網(wǎng)絡(luò)威脅。3.使用防火墻技術(shù)服務(wù)器的安全保障了最終用戶和設(shè)備提供應(yīng)用程序服務(wù)，并在此基礎(chǔ)上部署終端訪問(wèn)控制解決方案服務(wù)器。校園網(wǎng)網(wǎng)絡(luò)服務(wù)區(qū)域管理模塊一般劃分為兩個(gè)區(qū)域：服務(wù)器外部區(qū)域和服務(wù)器內(nèi)部區(qū)域，服務(wù)器外部區(qū)域的功能是在外部用戶訪問(wèn)校園網(wǎng)網(wǎng)絡(luò)時(shí)為他們提供服務(wù)，由于面向外部，雖然存在一些限制，但與校園網(wǎng)絡(luò)有內(nèi)部通信限制，服務(wù)器外部區(qū)域仍是高風(fēng)險(xiǎn)區(qū)域；服務(wù)器內(nèi)部區(qū)域主要面向內(nèi)部用戶，由于該地區(qū)應(yīng)用系統(tǒng)和服務(wù)數(shù)量眾多，安全級(jí)別不同，內(nèi)部服務(wù)器必須彼此隔絕，以防止服務(wù)被用作入侵后攻擊下一個(gè)內(nèi)部服務(wù)器的跳板。因此，在此模塊中定義了安全中心（內(nèi)部）、隔離區(qū)（內(nèi)部）和DMZ（隔離區(qū)）。部署一個(gè)帶三個(gè)接口的防火墻隔離區(qū)，防火墻的每個(gè)接口都連接到一個(gè)解決方案區(qū)和一個(gè)隔離區(qū)域，三個(gè)接口分別連接到內(nèi)網(wǎng)、外網(wǎng)和隔離區(qū)域，每個(gè)隔離區(qū)之間防火墻提供隔離。在隔離區(qū)部署WWW服務(wù)器，便于網(wǎng)絡(luò)外部用戶提供對(duì)校園網(wǎng)站的訪問(wèn)，校園網(wǎng)站也可能成為攻擊者的目標(biāo)。在防火墻和隔離區(qū)之間的旁路上布置入侵檢測(cè)系統(tǒng)或Web應(yīng)用程序防火墻，方便收集有關(guān)攻擊者的信息。網(wǎng)絡(luò)管理員可以根據(jù)當(dāng)前位置信息重新配置保護(hù)策略，Web應(yīng)用防火墻可以主動(dòng)保護(hù)自己免受指向網(wǎng)絡(luò)服務(wù)器的各種網(wǎng)絡(luò)攻擊，如“攔截”行為，并停止攻擊，并且在攻擊到達(dá)服務(wù)器之前。這確保了Web服務(wù)器的安全性，并減輕了威脅。由于內(nèi)部隔離區(qū)與安全中心的安全等級(jí)的不同，對(duì)于要求較高的安全中心部署入侵防御系統(tǒng)，增強(qiáng)主動(dòng)防御；隔離區(qū)只需部署入侵檢測(cè)系統(tǒng)，收集入侵檢測(cè)攻擊信息即可。（二）操作系統(tǒng)安全策略在校園網(wǎng)的日常工作中，我們首先要認(rèn)識(shí)到只有保障了操作系統(tǒng)安全，才能保障依賴于其他提供服務(wù)的信息安全。信息安全是有生命周期的。從其生產(chǎn)、收集、處理、傳輸、分析到銷毀或者存檔，每個(gè)階段都有可能有大量的設(shè)備、平臺(tái)、應(yīng)用介入。而為這些設(shè)備、平臺(tái)、應(yīng)用提供底層支持的，往往有大量的操作系統(tǒng)，其為信息的整個(gè)生命周期提供源源不斷的動(dòng)力支撐。如果一個(gè)操作系統(tǒng)上沒(méi)有儲(chǔ)存任何有價(jià)值的信息，不生產(chǎn)或者傳輸有價(jià)值的信息，不處理和分析有價(jià)值的信息，那么這個(gè)系統(tǒng)也就失去了價(jià)值。1.最小權(quán)限和權(quán)限分離原則最小權(quán)限原則是指恰好給予對(duì)使用操作系統(tǒng)的人員、系統(tǒng)、程序最小的僅僅能夠完成任務(wù)的權(quán)限。最小權(quán)限和權(quán)限分離原則在等保測(cè)評(píng)和安全運(yùn)維的工作中經(jīng)常用到，高校校園網(wǎng)在管理和維護(hù)時(shí)建議使用此安全策略。（1）程序在Chroot環(huán)境下運(yùn)行程序執(zhí)行在經(jīng)過(guò)Chroot后，此時(shí)程序所能讀寫的目錄和文件在一個(gè)新的位置而不是原來(lái)的位置。（2）訪問(wèn)數(shù)據(jù)庫(kù)的控制在進(jìn)行數(shù)據(jù)庫(kù)的訪問(wèn)時(shí)，比如一般情況下，針對(duì)高校教務(wù)系統(tǒng)MySQL數(shù)據(jù)庫(kù)的訪問(wèn)，只給予SELECT權(quán)限而不是ALL的權(quán)限。（3）運(yùn)行應(yīng)用程序時(shí)使用普通用戶權(quán)限使用普通用戶權(quán)限可以有效減少程序漏洞帶來(lái)的威脅。（4）校園服務(wù)器網(wǎng)絡(luò)訪問(wèn)權(quán)限控制在建設(shè)校園網(wǎng)時(shí)，大多數(shù)后端服務(wù)器不需要被外界訪問(wèn)，就無(wú)需公網(wǎng)IP,比如內(nèi)網(wǎng)API服務(wù)器。2.設(shè)置白名單原則白名單原則和黑名單原則恰恰相反，白名單原則能阻止未預(yù)期的威脅。黑名單原則則是明確什么是不被允許的，而其他所有情況是允許的。黑名單原則的缺陷很明顯，單一使用黑名單原則在大多數(shù)情況下，無(wú)法阻止所有可能的威脅。比如在設(shè)置校園網(wǎng)防火墻規(guī)則時(shí)，白名單原則就顯得更加有效，相對(duì)最優(yōu)的規(guī)則是拒絕其他所有連接。白名單原則可以防御校園網(wǎng)0Day漏洞和有針對(duì)性攻擊擊，在默認(rèn)的情況下，任何未經(jīng)授權(quán)的軟件工具和進(jìn)程都不能在操作系統(tǒng)上運(yùn)行。當(dāng)啟用了白名單后有惡意進(jìn)程在運(yùn)行時(shí)，白名單原則可以確定這是不可信的進(jìn)程，并拒絕其運(yùn)行。3.縱深防御原則縱深防御原則是指應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、物理安全多層安全機(jī)制下的安全防護(hù)。在給校園網(wǎng)提供了冗余的安全機(jī)制后，一種安全防御失效后或者被打穿后，可以運(yùn)用其他的安全機(jī)制來(lái)降低風(fēng)險(xiǎn)。比如主機(jī)安全層面，我們?cè)谛@內(nèi)網(wǎng)和外網(wǎng)之間部署蜜罐以及防病毒網(wǎng)關(guān)，及時(shí)更新安全策略和蜜罐告警可以確保校園內(nèi)部網(wǎng)絡(luò)安全，還可以校園網(wǎng)主