高校校園網信息安全研究

摘要：針對我國高等院校校園網信息安全薄弱的現狀，本論文詳細探討了高校校園網的信息安全的實現，簡單分析了當前高校下愿望信息安全防護現狀，在此基礎上闡述了校園網信息安全防護的基本原則，并有針對性的構建了校園網信息安全防護網絡體系，從技術角度給出了校園網信息安全防護技術應用方案，對于進一步

關鍵詞：校園網；網絡工程；信息安全

中圖分類號：TP393.18 文獻標識碼：A文章編號：1007-9599(2012)04-0000-02

一、引言

隨著信息技術的飛速發展，社會對計算機網絡的依賴日益增強，人們在享受網絡帶來巨大利益的同時，也面臨著網絡管理方面的嚴峻考驗，網絡的設計不可避免的涉及到網絡管理的方便性及安全性，網絡管理包括網絡技術的應用和網絡安全的設計，尤其是對于高等學校而言，校園網的信息安全一直是被廣大網絡工作者忽視的環節之一，而高校校園網恰恰包含了諸多敏感的涉及安全事業的信息，因此，必須要加強對高校校園網的信息安全方面的應用研究。

本論文主要結合高校校園網的信息安全特點，對高校校園網開展信息安全網絡設計與應用的分析探討，以期從中能夠找到合理有效且可靠的校園網信息安全網絡應用方法和模式，并以此和廣大同行分享。

二、我國高校校園網信息安全防護現狀

我國高?，F有的計算機安全防護管理措施，主要是借助于防火墻技術、路由器加密技術等措施實現對計算機系統的安全防護，但是究其本質而言，這些借助于外在設備而實現的計算機系統防護，只是在信息傳輸通道上實現了隔離、加密或者其他安全防護措施，并沒有從本質上實現對計算機系統的安全防護，因此，從實際的應用來說，目前針對計算機采用的一些安全防護技術手段，主要存在以下幾個方面的問題與不足：

（一）安全防護功能有限

這一類的安全防護技術手段，只能根據現有的各種信息安全漏洞有針對性的進行安全防護與管理，無法對未出現的安全漏洞進行預測和管理，總是出現一種信息安全威脅，就需要對系統進行一次補丁，即使是采用硬件技術實現信息隔離加密，也極易遭到別人的竊取，因此，現有的計算機安全防護技術其功能十分有限。

（二）安全防護成本高昂

為了構建全面的計算機安全防護系統，需要從各個不同方面、從信息傳輸的不同渠道構建，導致整個計算機安全應用管理系統需要配備十分多的儀器設備，有些網絡設備成本十分高，進而導致計算機安全防護系統構建成本十分高昂。

三、高校校園網信息安全技術的應用

（一）校園網信息安全防護原則

1.物理隔離原則

由于很多高校的敏感信息不經維護，都極容易出現在校園網上傳輸，因此對于校園網的信息安全防護，首要的原則就是對信息安全進行物理隔離，只有實現敏感信息與公共教學信息的物理隔離，才能夠有效防范黑客對敏感信息的竊取。

2.分域分級原則

在高校校園網內部，也需要對不同的管理部門設置不同的信息安全防護等級，對同一部門內的人員要設置不同等級的信息安全使用權限，從而有效的控制了高校校園網內部信息的安全應用。

3.信息流向控制原則

對高校校園網的信息傳輸和實行信息流向控制原則，也就是說，凡是涉密的信息，其網絡傳輸流向都必須有針對性的進行控制，同時還要注意避免高保密級別的信息禁止流向低保密級別，有效實現涉密信息在不同流域內的流向控制。

（二）高校校園網安全防護網絡體系構建

1.校園網信息安全網絡構建

由于高校校園網涉及非常多的部門，傳統的信息安全防護體系不一定能夠完全適應高校校園網的信息安全需求，因此，必須結合高校校園網的信息安全需求構建立體的防護體系。如下圖1所示，是針對高校校園網所設計的信息安全立體防護體系。

如上圖所示，對校園網采用立體式信息安全防護，主要是從以下幾個方面實施的：

①在校園網與外部網絡之間架設硬件防火墻和軟件防火墻，以確保校園網與外部因特網的物理隔離，從根本上保證信息的安全；

②在校園網內部交換機、WEB服務器、數據庫服務器設置冗余備份模式，以防信息安全泄露之后所帶來的信息丟失，確保信息在訪問過程中的安全；

③對關鍵信息傳輸節點設置模擬攻擊子系統，確保校園網信息傳輸過程中的可靠性和抵御風險的能力，從而保障了信息的安全。

(2)校園網信息安全保密框架設計

根據BMB17-2006和BMB20-2007的具體規定，在滿足物理隔離與違規外聯監控、邊界防護與控制、密級標識與密碼保護、用戶身份鑒別與訪問控制、電磁泄漏發射防護、安全保密產品選擇、安全保密管理機構、安全保密管理制度和安全管理人員等基本測評項的基礎上，依據“規范定密，準確定級；依據標準，同步建設；突出重點，確保核心；明確責任，加強監督”的指導思想，從物理安全、運行安全、信息安全保密、安全保密管理、產品選型與安全服務等方面，設計涉密信息系統的安全保密防護框架。

（三）高校校園網安全防護技術應用措施

1.物理隔離

按照BMB17-2006標準，涉密系統不得直接或間接連入互聯網，應實現物理隔離。高校校園網電子涉密信息系統為獨立網絡，與互聯網物理隔離。在對涉密單機上部署主機監控與審計系統，禁止使用非授權的外設端口。

2.密級標識

高校校園網應對涉密信息系統中的文檔類信息進行相應的密級標識。各產生國家秘密信息的部門，根據相關的國家秘密事項及其密級具體范圍和保密期限的規定和每年確定的科研任務等密級范圍規定，對產生的涉密信息進行定密，并對相應的文件進行規范標密。

由于沒有很好的辦法防止密級標識被篡改，因此存在密級標識篡改的殘余風險。安全保密辦按照相關規定定期對涉密信息系統中的電子文檔從產生到銷毀的全過程進行檢查，督促不斷規范定密、標密，對情節嚴重的違規行為進行處罰。

3.身份鑒別

應根據保護等級，具體依據BMB17-2006和BMB20-2007中的相應要求，至少從以下方面對涉密信息系統的身份鑒別措施進行詳細設計：

①用戶終端、服務器、移動計算設備的啟動；

②安全保密設備的啟動、關機以及管理界面的登錄；

③操作系統、應用系統的本地和遠程登錄；

④外來設備的系統接入。

設計方案通過部署統一身份認證系統，采用口令+USB KEY認證機制，審計涉密信息系統內人員身份。

4.訪問控制

高校校園網內部應該分區管理，分為涉密區域和非涉密區域，其中內部涉密區域內均為涉密單機，所以訪問控制主要集中在系統層的訪問控制，即使用帶USB-Key身份認證系統實現本地的訪問控制；通過審計系統與安全策略關閉端口、服務；所有用戶終端和服務器系統禁止遠程訪問控制。

5.電磁泄漏防護

涉密辦公室、重要保密部位等地點的最小不可控距離都較短，存在較大的電磁泄露的風險。因此，通過部署視頻干擾器、紅黑隔離插座，來屏蔽電磁泄漏發射的發生。

其他的技術措施這里不一一贅述。

四、結語

隨著我國對信息安全和網絡安全應用的重視，高校網絡信息安全一直是信息安全事業中的一塊薄弱環節，因此，加強對高校校園網信息安全方面的研究，對于提高校園網信息安全防護的應用水平，是具有較好的指導意義的。本論文詳細分析了高校校園網信息安全設計的基本原則，在此基礎上從技術應用的角度給出了高校校園網信息安全的網絡應用方案，無論是對于理論研究還是實際應用，本論文所提出的方案都是具有一定的實用性和應用價值的，因此是值得推廣應用的。當然，關于高校校園網更多的信息安全應用技術的開發和應用，還有待于廣大網絡信息安全工作人員的共同努力，才能夠最終實現我國高校校園網信息的安全防護應用。

參考文獻：

[1]黃小華.智能化入侵檢測與防御系統的設計實現[D].成都:電子科技大學,2005

[2]許蘭川.構建辦公信息網絡安全防護體系[J].網絡安全技術與應用,2004,(3):67-68

[3]臧學范.企業計算機應用安全管理[M].長春:遼寧人民出版社,2002

[4]李志敏,曾一,羅軍,王義平等.建設工程招投標微機網絡管理信息系統[J].重慶大學學報, 2003,24(5):26-25