【校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策12000字（論文）】

目錄TOC\o"1-3"\h\u1001一、引言 校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策研究一、引言（一）研究背景及意義隨著網(wǎng)絡(luò)的普及和快速發(fā)展，高校校園的信息化、數(shù)字化建設(shè)的速度也在加快，校園網(wǎng)作為信息化和數(shù)字化高校校園網(wǎng)絡(luò)的重要基礎(chǔ)設(shè)施，保障了學(xué)校在教學(xué)管理、科研和對(duì)外交流等方面的任務(wù)。目前，校園網(wǎng)已經(jīng)普及到學(xué)校的各部門，校園網(wǎng)已經(jīng)成為校園建設(shè)的基礎(chǔ)設(shè)施，高校對(duì)于構(gòu)建合理可靠的網(wǎng)絡(luò)安全體系更加重視，這主要體現(xiàn)在校園網(wǎng)安全性和可管理性上。當(dāng)前從各個(gè)方面的網(wǎng)絡(luò)攻擊和威脅來(lái)看，如果只依靠單一的網(wǎng)絡(luò)設(shè)備或簡(jiǎn)單的安全技術(shù)是無(wú)法保證高校校園網(wǎng)的安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步和發(fā)展，校園網(wǎng)內(nèi)部也變得越來(lái)越復(fù)雜，因此，對(duì)于校園網(wǎng)安全體系的建設(shè)和規(guī)劃，要從整體安全狀況出發(fā)，層層建設(shè)，從核心到終端的綜合部署，從而減少整個(gè)高校校園網(wǎng)的安全威脅，給校園網(wǎng)用戶提供有力保障。網(wǎng)絡(luò)空間安全行業(yè)作為國(guó)家支持和發(fā)展的高新技術(shù)產(chǎn)業(yè)和戰(zhàn)略性產(chǎn)業(yè)之一，由國(guó)家政策大力扶持。自2016年以來(lái)，我國(guó)政府頒布了《網(wǎng)絡(luò)安全法》等重要法規(guī)并制定了《“十三五”國(guó)家信息化規(guī)劃》《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃(2016-2020)年》《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016-2020)年》等政策規(guī)劃，從政策、制度以及法規(guī)等多個(gè)方面促進(jìn)國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)的發(fā)展，對(duì)政府、企業(yè)等網(wǎng)絡(luò)安全有了更高的要求。隨著我國(guó)《網(wǎng)絡(luò)安全法》的頒布實(shí)施和相關(guān)規(guī)劃的持續(xù)推進(jìn)，與其相關(guān)的政策也為安全行業(yè)的發(fā)展提供了新的機(jī)會(huì)和更有力的支持。國(guó)家政策從兩個(gè)大的方面推動(dòng)了我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，一方面，對(duì)網(wǎng)絡(luò)安全的重視程度要加強(qiáng)，網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用規(guī)模需要提高；另一方面，從硬件設(shè)備等基礎(chǔ)設(shè)施上杜絕和消除網(wǎng)絡(luò)信息安全隱患。校園網(wǎng)網(wǎng)絡(luò)的安全將會(huì)改善教學(xué)和學(xué)術(shù)交流的環(huán)境以及影響學(xué)校的未來(lái)和發(fā)展。校園網(wǎng)網(wǎng)絡(luò)的建設(shè)不僅可以安全、充分地利用學(xué)?，F(xiàn)有的資源，而且可以改善網(wǎng)絡(luò)的工作環(huán)境，促進(jìn)網(wǎng)絡(luò)的管理和維護(hù)，提高網(wǎng)絡(luò)的可靠性。因此，校園網(wǎng)安全顯得非常重要。（二）國(guó)內(nèi)外研究現(xiàn)狀計(jì)算機(jī)技術(shù)的運(yùn)用經(jīng)歷了一個(gè)從無(wú)到有、從零到局部再到完整的發(fā)展過(guò)程。計(jì)算機(jī)網(wǎng)絡(luò)在學(xué)校的普及，有效地促進(jìn)了教育管理的發(fā)展，為教育管理的研究與發(fā)展提供了相應(yīng)的支持。1980年，中國(guó)制定了國(guó)家網(wǎng)絡(luò)信息管理計(jì)劃，1990年，從國(guó)外的優(yōu)秀管理經(jīng)驗(yàn)和對(duì)中國(guó)實(shí)際發(fā)展情況的比較分析中吸取了教訓(xùn)，創(chuàng)建了計(jì)算機(jī)網(wǎng)絡(luò)安全管理實(shí)施方案。雖然基礎(chǔ)的信息技術(shù)已經(jīng)得到支持和管理，但沒有起到一定的作用，運(yùn)營(yíng)管理人員也沒有重視這一內(nèi)容。我國(guó)大多數(shù)校園管理建設(shè)都處于起步階段，沒有直接關(guān)注到這一方面，因此安全問(wèn)題很容易被忽略，隨后出現(xiàn)的安全問(wèn)題才意識(shí)到這方面缺乏深入的研究。我國(guó)相關(guān)研究部門已經(jīng)發(fā)布了有關(guān)校園網(wǎng)網(wǎng)絡(luò)安全的介紹。校園網(wǎng)網(wǎng)絡(luò)安全管理門主要包括計(jì)算機(jī)軟件系統(tǒng)和網(wǎng)絡(luò)的安全性、是否可以防止他人惡意篡改和竊取、以及具體的安全問(wèn)題分析和處理。校園終端計(jì)算機(jī)能否以穩(wěn)定、安全的方式運(yùn)行，能否中斷與網(wǎng)絡(luò)的連接，都需要進(jìn)一步的研究。隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大和平臺(tái)的逐步開放，大部分校園網(wǎng)的建設(shè)和管理還處于發(fā)展的初級(jí)階段，安全管理在這一領(lǐng)域還沒有得到足夠的重視。在重視校園網(wǎng)建設(shè)的同時(shí)，雖然校園網(wǎng)建設(shè)的配置比較復(fù)雜，但校園網(wǎng)安全事故時(shí)有發(fā)生，這對(duì)校園網(wǎng)建設(shè)來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn)。國(guó)外計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)的發(fā)展水平較高，校園網(wǎng)絡(luò)的特定發(fā)展環(huán)境較為穩(wěn)定，能夠滿足師生之間信息交流的基本功能。通過(guò)對(duì)國(guó)外良好發(fā)展?fàn)顩r的分析，我們可以得出校園網(wǎng)安全管理與計(jì)算機(jī)基本信息之間存在著必然聯(lián)系的結(jié)論，這明確表明我們要嚴(yán)格遵守網(wǎng)絡(luò)的相關(guān)管理，以適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)技術(shù)的發(fā)展要求，培養(yǎng)良好的技術(shù)管理能力。美國(guó)的校園網(wǎng)管理建設(shè)與中國(guó)基本相似，包括教育資源、郵件、Web、BBS、FTP和網(wǎng)絡(luò)通信平臺(tái)的管理。其中大部分是在我國(guó)高校開展的，如基礎(chǔ)網(wǎng)絡(luò)管理的建設(shè)、校園網(wǎng)的全球研究概況、校園網(wǎng)安全管理措施等。網(wǎng)絡(luò)是在安全管理體系結(jié)構(gòu)和安全標(biāo)準(zhǔn)的某種管理框架內(nèi)進(jìn)行的，而在實(shí)踐中則是校園網(wǎng)網(wǎng)絡(luò)的穩(wěn)定、高效的發(fā)展。正是這些網(wǎng)絡(luò)環(huán)境的不斷發(fā)展，使得網(wǎng)絡(luò)安全技術(shù)逐步規(guī)范化。二、高校校園網(wǎng)絡(luò)安全問(wèn)題概述在網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)飛速發(fā)展的今天，人們的生產(chǎn)、工作、生活、學(xué)習(xí)和社會(huì)發(fā)展也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們之間的距離也因互聯(lián)網(wǎng)的發(fā)展而不斷擴(kuò)大，網(wǎng)絡(luò)數(shù)據(jù)流的傳輸速度也越來(lái)越快各種，各種各樣的信息都可以用于人們的互動(dòng)。網(wǎng)絡(luò)也促進(jìn)了經(jīng)濟(jì)增長(zhǎng)，原有企業(yè)的生產(chǎn)能力大大提高，消費(fèi)者的需求也大大增加，他們存在于產(chǎn)品迅速增加的今天，不同文化階層的人也可以通過(guò)網(wǎng)絡(luò)的中介進(jìn)行交流與合作。（一）網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全概念1.網(wǎng)絡(luò)的功能在互聯(lián)網(wǎng)信息技術(shù)的推動(dòng)下，人類社會(huì)科學(xué)技術(shù)發(fā)展迅速，人們的生活、教學(xué)和工作都發(fā)生了變化?，F(xiàn)今，大部分學(xué)校都使用互聯(lián)網(wǎng)技術(shù)，使教育不局限于學(xué)校的課堂，許多學(xué)校都有在線課程，任何年齡的專業(yè)都可以在大學(xué)校園內(nèi)參加高質(zhì)量的在線課程，不僅可以在幾所學(xué)校的網(wǎng)站上學(xué)習(xí)，還可以學(xué)習(xí)自己感興趣的課程。同樣，高校的教學(xué)管理人員也找到了新的教學(xué)方式，不僅僅是把教學(xué)工作放在了課堂上，而且更容易在互聯(lián)網(wǎng)上共享教學(xué)信息資源，這對(duì)教學(xué)質(zhì)量非常有用。2.網(wǎng)絡(luò)安全的內(nèi)涵所謂網(wǎng)絡(luò)安全，就是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟件和硬件設(shè)備以及輔助設(shè)備免受外界因素的影響，網(wǎng)絡(luò)上的信息不會(huì)被惡意篡改和竊取，從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)處于一個(gè)安全、健康的環(huán)境中。信息安全就是保護(hù)信息的完整性、機(jī)密性和可用性。網(wǎng)絡(luò)安全性的含義非常廣泛，不僅限于計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)系統(tǒng)的集成，還涵蓋了以下領(lǐng)域：信息和通信、數(shù)學(xué)和保密工程領(lǐng)域。3.常用網(wǎng)絡(luò)安全技術(shù)（1）防火墻防火墻是一個(gè)保護(hù)屏障，由軟件和硬件的組合組成，建立在內(nèi)聯(lián)網(wǎng)和外網(wǎng)之間的接口上，以及私人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間。網(wǎng)絡(luò)防火墻是一種網(wǎng)絡(luò)安全系統(tǒng)，它監(jiān)控并依據(jù)預(yù)定義的規(guī)則控制進(jìn)入和外發(fā)的網(wǎng)絡(luò)流量。防火墻系統(tǒng)主要包括訪問(wèn)服務(wù)、身份驗(yàn)證工具、數(shù)據(jù)包過(guò)濾器和應(yīng)用程序奴役的規(guī)則。防火墻是位于計(jì)算機(jī)及其連接的網(wǎng)絡(luò)上的一個(gè)軟件或硬件。進(jìn)出此計(jì)算機(jī)的所有網(wǎng)絡(luò)流量和包均通過(guò)此防火墻。至于硬件防火墻，有許多來(lái)自國(guó)內(nèi)外制造商的防火墻產(chǎn)品值得使用。例如：以華為防火墻產(chǎn)品USG6325E-AC來(lái)看，作為下一代防火墻的的代表之一，第一時(shí)間獲取新威脅信息、準(zhǔn)確檢測(cè)并防御針對(duì)漏洞的攻擊等重要的功能。軟件防火墻的產(chǎn)品也是非常多的，這些軟件防火墻針對(duì)不同的攻擊方式啟用相關(guān)的防范措施。比如下面一款叫做火絨劍的網(wǎng)絡(luò)監(jiān)控軟件，如圖1所示。通過(guò)時(shí)時(shí)監(jiān)控與網(wǎng)絡(luò)連接的進(jìn)程以及跟蹤敏感進(jìn)程的網(wǎng)絡(luò)流量信息。達(dá)到對(duì)涉及到主機(jī)的提權(quán)、敏感文件的防護(hù)功能。圖1火絨劍網(wǎng)絡(luò)監(jiān)控軟件（2）VPNVPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是架設(shè)在共享的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施上，在非受信任的網(wǎng)絡(luò)上建立私有的和安全的連接，把分布在不同地域的信息基礎(chǔ)設(shè)施、辦公場(chǎng)所、用戶或商業(yè)伙伴互聯(lián)起來(lái)。VPN是擴(kuò)展網(wǎng)絡(luò)不可分割的一部分，它確保了網(wǎng)絡(luò)的安全，同時(shí)擴(kuò)展了網(wǎng)絡(luò)的要素。（3）入侵檢測(cè)根據(jù)部署的位置，入侵檢測(cè)系統(tǒng)一般可分為網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署在網(wǎng)絡(luò)邊界上，為整個(gè)網(wǎng)絡(luò)提供入侵檢測(cè)功能和服務(wù)，檢測(cè)網(wǎng)絡(luò)流量，判別入侵行為。主機(jī)入侵檢測(cè)系統(tǒng)安裝在每臺(tái)獨(dú)立的主機(jī)上，為該主機(jī)提供入侵檢測(cè)功能和服務(wù)，通過(guò)分析文件特征、網(wǎng)絡(luò)流量和連接活動(dòng)、進(jìn)程行為、日志字符串匹配等，判斷是否發(fā)生掃描器掃描或入侵。在系統(tǒng)發(fā)生故障的情況下，冗余設(shè)備會(huì)介入并負(fù)責(zé)有缺陷的設(shè)備的工作。盡管安全技術(shù)和安全措施可以緩解網(wǎng)絡(luò)攻擊并保護(hù)大多數(shù)系統(tǒng)漏洞，但如果沒有部署冗余設(shè)計(jì)或確保系統(tǒng)的安全性，任何技術(shù)或措施都無(wú)法阻止或抵抗已知或未知的威脅或潛在攻擊，也不能保證系統(tǒng)安全。正常工作設(shè)備確保系統(tǒng)的可靠性和穩(wěn)定性，同時(shí)允許網(wǎng)絡(luò)管理員建立網(wǎng)絡(luò)保護(hù)機(jī)制以節(jié)省時(shí)間，這一點(diǎn)很重要。（二）高校校園網(wǎng)絡(luò)概述1.校園網(wǎng)的用途校園網(wǎng)絡(luò)可以提供一個(gè)寬帶多媒體網(wǎng)絡(luò)服務(wù)的學(xué)校規(guī)模，網(wǎng)絡(luò)服務(wù)是為學(xué)校的教師和學(xué)生以及學(xué)校的其他工作人員。校園網(wǎng)絡(luò)是具有信息共享、信息交流等功能的本地網(wǎng)絡(luò)，具有很強(qiáng)的專業(yè)性。校園網(wǎng)絡(luò)是連接多媒體教育的信息平臺(tái)、教師研究平臺(tái)、校園服務(wù)平臺(tái)，校園網(wǎng)絡(luò)也是一個(gè)大型的本地網(wǎng)絡(luò)，由多個(gè)小型本地網(wǎng)絡(luò)通過(guò)無(wú)線或有線連接組成，這些小型內(nèi)部本地網(wǎng)絡(luò)可以是一所大學(xué)、一個(gè)專業(yè)或一個(gè)系。為了方便學(xué)院的行政和服務(wù)人員的工作，校園網(wǎng)網(wǎng)絡(luò)應(yīng)切實(shí)具有教學(xué)管理、行政和綜合管理等職能，以便更好地管理教職工、資產(chǎn)管理、后勤管理等。因此，校園網(wǎng)應(yīng)具有較好的網(wǎng)絡(luò)帶寬和較強(qiáng)的專業(yè)性、交互性。2.高校校園網(wǎng)的設(shè)計(jì)及原則我們將按照以下原則規(guī)劃高校網(wǎng)絡(luò)安全系統(tǒng)，提供相對(duì)完善的、體系化的網(wǎng)絡(luò)安全解決方案：（1）體系化設(shè)計(jì)原則通過(guò)分析網(wǎng)絡(luò)層次結(jié)構(gòu)和安全需求，提出了科學(xué)的安全體系和模型。按照安全模型和原則，分析了校園網(wǎng)絡(luò)中可能存在的安全威脅。在整個(gè)實(shí)施過(guò)程中，提出了一種綜合的網(wǎng)絡(luò)安全措施，以解決最可能出現(xiàn)的安全問(wèn)題。（2）全局性、均衡性原則為了平衡信息資產(chǎn)的價(jià)值和安全風(fēng)險(xiǎn)之間的關(guān)系，按照資產(chǎn)價(jià)值風(fēng)險(xiǎn)的大小，采取由高到低不同強(qiáng)度的預(yù)先安全方案，為最終的解決方案提供最佳效果。（3）可行性、可靠性原則采用了更新的網(wǎng)絡(luò)安全策略后，對(duì)原來(lái)高校校園網(wǎng)絡(luò)和應(yīng)用系統(tǒng)影響不大。在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的條件下，極大提高網(wǎng)絡(luò)安全強(qiáng)度和數(shù)據(jù)資產(chǎn)的安全性。3.高校校園網(wǎng)特殊的安全性高校園網(wǎng)安全的最終目標(biāo)是：正常開展校園網(wǎng)各項(xiàng)組織活動(dòng)，主要提供網(wǎng)絡(luò)安全服務(wù)。因此，高校校園網(wǎng)應(yīng)實(shí)現(xiàn)以下安全目標(biāo)：校園網(wǎng)的可用性和完整性；校園網(wǎng)物理設(shè)備的可靠性和完整性；校園網(wǎng)數(shù)據(jù)和信息的機(jī)密性和完整性；網(wǎng)絡(luò)運(yùn)行系統(tǒng)和應(yīng)用軟件的完整性從校園出發(fā)，對(duì)校園網(wǎng)絡(luò)進(jìn)行可控管理。（三）高校校園網(wǎng)安全的需求分析校園網(wǎng)的建設(shè)不僅是硬件平臺(tái)的建設(shè)，更是應(yīng)用系統(tǒng)軟件平臺(tái)的建設(shè)，校園網(wǎng)的主要功能是服務(wù)，校園網(wǎng)的用戶包括所有的教師和學(xué)生。為適應(yīng)高校教學(xué)管理現(xiàn)代化的需要，通過(guò)計(jì)算機(jī)信息管理系統(tǒng)，實(shí)現(xiàn)教育現(xiàn)代化，提高教學(xué)水平，提高學(xué)校日常管理效率，加強(qiáng)校內(nèi)及與其他高校的資源共享，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)加強(qiáng)學(xué)校與家長(zhǎng)之間的溝通。為此，校園網(wǎng)應(yīng)達(dá)到以下目標(biāo)：1.教育管理應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)化，完成高校教育管理信息的收集、預(yù)處理、推理、統(tǒng)計(jì)和分析。同時(shí)，提高學(xué)院各部門的辦公自動(dòng)化水平，提高學(xué)院的管理效率。收集和整理有關(guān)行政、人事、財(cái)務(wù)、薪金、教育管理、學(xué)生、后勤和其他大學(xué)數(shù)據(jù)的各種數(shù)據(jù)，并根據(jù)用戶需求提供查詢和所需維護(hù)的權(quán)限。2.充分發(fā)揮校園網(wǎng)在高校中的作用，實(shí)現(xiàn)網(wǎng)絡(luò)化的多媒體課件制作，實(shí)現(xiàn)教師備課信息化和多媒體化。3.高校校園應(yīng)建立學(xué)校內(nèi)部電子郵件服務(wù)，全面實(shí)現(xiàn)校園網(wǎng)與Internet的接入。接入中國(guó)教育科研網(wǎng)和因特網(wǎng)，實(shí)現(xiàn)真正意義上的數(shù)據(jù)共享、信息共享。（四）校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全問(wèn)題分析隨著高校的快速發(fā)展，高校提出了“建設(shè)數(shù)字化校園”的口號(hào)。作為校園網(wǎng)的重要組成部分和基礎(chǔ)平臺(tái)，我們構(gòu)建了一個(gè)統(tǒng)一、先進(jìn)、高效的校園網(wǎng)。每個(gè)機(jī)房都可以連接到互聯(lián)網(wǎng)，多媒體教室的一部分可以連接到互聯(lián)網(wǎng)，以滿足教師的需要。課程結(jié)束后，教師和學(xué)生可以通過(guò)學(xué)校提供的無(wú)線和有線校園網(wǎng)絡(luò)查詢和學(xué)習(xí)，從而提高工作和學(xué)習(xí)效率。學(xué)?？梢陨暾?qǐng)教育網(wǎng)線路和域名，并建立了一個(gè)網(wǎng)絡(luò)中心的云計(jì)算虛擬化服務(wù)。云計(jì)算虛擬化服務(wù)中心可以大大提高服務(wù)器的效率，增強(qiáng)容錯(cuò)能力，數(shù)據(jù)傳輸速度提高到萬(wàn)兆，與基礎(chǔ)設(shè)備連接，提高數(shù)據(jù)響應(yīng)能力。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。圖2網(wǎng)絡(luò)拓?fù)鋱D整個(gè)校園網(wǎng)絡(luò)構(gòu)成了核心、融合和分布式訪問(wèn)設(shè)計(jì)，多鏈路災(zāi)難恢復(fù)設(shè)計(jì)，大型融合和分區(qū)模塊化網(wǎng)絡(luò)設(shè)計(jì)，管理策略靈活而簡(jiǎn)單；網(wǎng)絡(luò)的靈活性是可擴(kuò)展的，并且還強(qiáng)調(diào)性能和應(yīng)用程序；最后，對(duì)基本設(shè)備進(jìn)行了多鏈路分區(qū)模塊化網(wǎng)絡(luò)設(shè)計(jì)，分區(qū)管理的實(shí)現(xiàn)。實(shí)行分區(qū)管理，能夠統(tǒng)一控制網(wǎng)絡(luò)，并定制化的網(wǎng)絡(luò)策略設(shè)計(jì)。由于分區(qū)域，可以重新定位用戶網(wǎng)絡(luò)的路由并共享用戶的數(shù)據(jù)負(fù)載。該網(wǎng)絡(luò)設(shè)備為現(xiàn)有IPv4網(wǎng)絡(luò)之間的通信以及IPv4和IPv6之間的轉(zhuǎn)換提供最后、最方便和最靈活的支持和保證。三、高校校園網(wǎng)安全現(xiàn)狀分析隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，高校都引入了校園網(wǎng)網(wǎng)絡(luò)來(lái)管理學(xué)生的信息，以便利學(xué)生對(duì)臨時(shí)通知的調(diào)查，此外，校園網(wǎng)網(wǎng)絡(luò)的建立也為教師提供了一個(gè)教學(xué)交流的平臺(tái)，從這一方面來(lái)看校園網(wǎng)具有許多優(yōu)勢(shì)，另一方面來(lái)看，由于校園網(wǎng)的開放，校園網(wǎng)的數(shù)據(jù)變得越來(lái)越重要，很容易被操縱或竊取，這些數(shù)據(jù)可能會(huì)對(duì)學(xué)校造成或多或少的損害。病毒不僅是唯一的敵人，從互聯(lián)網(wǎng)安全的角度來(lái)看，它的同伙也有間諜插件、廣告植入物和一些網(wǎng)絡(luò)釣魚軟件等，他們共同攻擊互聯(lián)網(wǎng)，其中最大的威脅是間諜插件，它已經(jīng)成為互聯(lián)網(wǎng)安全的最大力量。經(jīng)過(guò)文獻(xiàn)綜述總結(jié)了校園網(wǎng)現(xiàn)存以下主要安全問(wèn)題。（一）硬件方面1.硬件設(shè)備自身存在漏洞在校園網(wǎng)建設(shè)中，由于缺乏重視或建筑設(shè)計(jì)中存在的問(wèn)題，導(dǎo)致校園網(wǎng)的線路外形各異，使得校園網(wǎng)物理層的數(shù)據(jù)傳輸不暢；另外，由于資金缺乏，使校園網(wǎng)的硬件安全性也會(huì)受到影響，網(wǎng)絡(luò)設(shè)備的冗余設(shè)計(jì)成為高校校園網(wǎng)設(shè)計(jì)者考慮的一個(gè)問(wèn)題，影響了高校校園網(wǎng)正常工作的穩(wěn)定性和可行性。服務(wù)器機(jī)房管理系統(tǒng)相對(duì)薄弱，容易遭受黑客攻擊。系統(tǒng)的設(shè)計(jì)過(guò)程非常復(fù)雜，經(jīng)常會(huì)有大量的監(jiān)控，會(huì)有各種各樣的認(rèn)證和服務(wù)限制。在此過(guò)程中，整個(gè)網(wǎng)絡(luò)抵抗外部攻擊的能力非常弱，因此經(jīng)常被一些動(dòng)機(jī)不純者用來(lái)攻擊計(jì)算機(jī)系統(tǒng)。2.星型結(jié)構(gòu)的冗余設(shè)計(jì)和相關(guān)設(shè)備的邏輯缺陷現(xiàn)階段高校校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)主要采用星型結(jié)構(gòu)，如圖3所示。在沒有合適的冗余設(shè)計(jì)的情況下，如果中央交換機(jī)出現(xiàn)故障，則整個(gè)校園網(wǎng)絡(luò)將會(huì)癱瘓。由于校園網(wǎng)絡(luò)環(huán)境的物理因素（例如溫度、濕度和機(jī)房的監(jiān)控）的影響，以及手動(dòng)操作，設(shè)備將出現(xiàn)故障和安全問(wèn)題，因此校園網(wǎng)絡(luò)的物理設(shè)備的安全性是不容忽視的。在高校校園網(wǎng)絡(luò)安全領(lǐng)域有一種誤解，那就是“我使用了主流的基礎(chǔ)設(shè)備，例如網(wǎng)站服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、緩存服務(wù)器，因此再不需要額外的防護(hù)應(yīng)用了?！蔽覀儼阎髁鞯木W(wǎng)絡(luò)安全設(shè)備在設(shè)計(jì)和實(shí)現(xiàn)時(shí)放在重要的位置，但健壯的驗(yàn)證機(jī)制和安全控制措施是必不可少的，這些設(shè)備中的漏洞反而會(huì)成為明顯的攻擊點(diǎn)，黑客通過(guò)設(shè)備漏洞完全控制高校的物理設(shè)備。2017年5月中旬，中國(guó)大陸部分高校發(fā)現(xiàn)電腦被攻擊，文檔被加密，高校校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密，這是著名的“永恒之藍(lán)”。事實(shí)上早在2017年3月，微軟官方已經(jīng)放出針對(duì)這一漏洞的補(bǔ)丁。這個(gè)事件告訴我們要密切關(guān)注基礎(chǔ)設(shè)備的安全，及時(shí)修復(fù)設(shè)備中存在的安全漏洞。圖3典型的星型結(jié)構(gòu)3.高校校園網(wǎng)絡(luò)異常信息的植入和信息泄露高校校園網(wǎng)絡(luò)異常信息的植入大多為注入漏洞和跨站腳本漏洞。注入漏洞的產(chǎn)生是因?yàn)檫M(jìn)行了未授權(quán)的數(shù)據(jù)訪問(wèn)或應(yīng)用程序未對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格驗(yàn)證而導(dǎo)致執(zhí)行了預(yù)期之外的程序。任何數(shù)據(jù)源都有可能成為注入的載體，注入能導(dǎo)致數(shù)據(jù)被修改、被刪除或泄露給未授權(quán)方，也可能導(dǎo)致拒絕服務(wù)缺乏可審計(jì)性。跨站腳本攻擊是指用戶提交的數(shù)據(jù)網(wǎng)站未進(jìn)行轉(zhuǎn)義處理，或者過(guò)濾規(guī)則缺少導(dǎo)致惡意黑客可以將一些惡意代碼嵌入Web頁(yè)面中，當(dāng)其他用戶訪問(wèn)時(shí)就會(huì)執(zhí)行對(duì)應(yīng)嵌入代碼的漏洞。信息泄露是指與應(yīng)用程序交互時(shí)，利用應(yīng)用程序的反常行為提取出有價(jià)值的信息。這一般有以下場(chǎng)景：一是用戶讀取到了應(yīng)用程序未封裝的出錯(cuò)信息，泄露了應(yīng)用程序版本和配置信息以及調(diào)用的第三方接口等；二是因?yàn)椴僮鞑灰?guī)范或配置不合理導(dǎo)致源代碼、應(yīng)用程序配置文件可以被直接下載。例如，把Web可訪問(wèn)目錄中的config.php復(fù)制成config.php.bak，而導(dǎo)致可直接下載config.php.bak；三是核心數(shù)據(jù)未使用強(qiáng)散列算法存儲(chǔ)或強(qiáng)加密，從而導(dǎo)致被惡意讀取后利用。例如，在高校校園網(wǎng)絡(luò)日志或者數(shù)據(jù)庫(kù)中用明文記錄老師和學(xué)生完整的身份證號(hào)碼、電話號(hào)碼和密碼原文等，都是極其可能帶來(lái)的信息泄露的問(wèn)題。（二）軟件方面1.非正版軟件的使用非正版版軟件在高校計(jì)算機(jī)實(shí)驗(yàn)室、教師、學(xué)生私人電腦尤其泛濫，因此非正版軟件也成為眾多木馬和病毒的載體，而安裝了這些載有惡意代碼的非正版軟件后，可能會(huì)直接突破網(wǎng)絡(luò)邊界上的安全控制，直接影響到服務(wù)器和數(shù)據(jù)的安全。對(duì)于服務(wù)器管理和操作系統(tǒng)來(lái)說(shuō)，使用非正版軟件的風(fēng)險(xiǎn)尤其嚴(yán)重。2.釣魚郵件攻擊高校校園網(wǎng)絡(luò)常見被攻擊的方式還有釣魚郵件，通過(guò)社會(huì)工程方式發(fā)送的釣魚郵件是黑客組織最常用的攻擊手段。這種以釣魚郵件為載體的攻擊方式又被稱為“魚叉攻擊”。社會(huì)工程攻擊手法的逐漸成熟，電子郵件幾乎很難辨別真假。從一些受到網(wǎng)絡(luò)威脅攻擊的高?？梢园l(fā)現(xiàn)，這些高校受到威脅的關(guān)鍵因素都與老師或者學(xué)生遭遇的社會(huì)工程的惡意郵件相關(guān)。攻擊者剛一開始，就是針對(duì)特定老師和學(xué)生發(fā)送釣魚郵件，以此作為攻擊的源頭。例如OceanLotus（海蓮花）組織所使用的60%左右的攻擊都是將木馬程序作為電子郵件的附件發(fā)送給特定的攻擊目標(biāo)，并誘使目標(biāo)打開附件。在一個(gè)典型的釣魚郵件攻擊中，攻擊者可以通過(guò)一封看似正常但卻極具偽裝性和迷惑性標(biāo)題和附件的郵件就可以讓服務(wù)器失陷。因此，我們要培養(yǎng)老師和學(xué)生的網(wǎng)絡(luò)安全意識(shí)，在不知道郵件的來(lái)源或者和工作無(wú)關(guān)的郵件，不要隨便打開，尤其是不要被具有誘惑性的標(biāo)題所迷惑。此外，在日常工作中發(fā)現(xiàn)釣魚郵件時(shí)，要及時(shí)告知網(wǎng)絡(luò)安全管理人員進(jìn)行調(diào)查。3.密碼安全性不高大量的高校校園網(wǎng)絡(luò)安全事件表明，弱密碼問(wèn)題是導(dǎo)致眾多校園網(wǎng)絡(luò)安全事件的罪魁禍?zhǔn)?。很多時(shí)候，黑客入侵并不需要高超的技術(shù)能力，他們僅僅從弱密碼這個(gè)入口突破就可以攻破校園網(wǎng)以及企業(yè)的整個(gè)信息基礎(chǔ)設(shè)施。因此，高校及企業(yè)應(yīng)該特別注意弱密碼的問(wèn)題。（三）管理方面高校建立互聯(lián)網(wǎng)后，管理工作少了很多，但目前的安全狀況遠(yuǎn)不如其他方面。高校一般都有一定數(shù)量的校園網(wǎng)管理的維護(hù)人員，但他們的大部分職責(zé)是檢查計(jì)算機(jī)的日常運(yùn)行情況，當(dāng)互聯(lián)網(wǎng)系統(tǒng)在檢查維護(hù)方面出現(xiàn)問(wèn)題時(shí)，在專門負(fù)責(zé)互聯(lián)網(wǎng)安全的人員往往不足的情況下，校園網(wǎng)安全問(wèn)題就會(huì)暴露。1.專業(yè)人員缺乏目前，我國(guó)許多高校在配備網(wǎng)絡(luò)安全管理人員的同時(shí)，往往缺乏對(duì)網(wǎng)絡(luò)安全維護(hù)的良好掌握。因此，高等教育機(jī)構(gòu)負(fù)責(zé)互聯(lián)網(wǎng)監(jiān)管的人員缺乏相應(yīng)的安全管理能力，當(dāng)校園網(wǎng)受到黑客攻擊時(shí)，往往沒有及時(shí)采取相應(yīng)的防御措施。2.相關(guān)人員保密性差關(guān)于在互聯(lián)網(wǎng)上設(shè)置的密碼，不能向公眾披露的信息不得嚴(yán)格保密，不得向他人任意披露，專用文件的透明度等問(wèn)題，是互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)自身的問(wèn)題。作為一名網(wǎng)絡(luò)管理員，他沒有積極的工作情緒，對(duì)任意破壞與互聯(lián)網(wǎng)有關(guān)的設(shè)備也不太認(rèn)真。目前，我國(guó)校園網(wǎng)建設(shè)的重點(diǎn)是校園網(wǎng)管理服務(wù)和學(xué)校信息化建設(shè)，沒有專門的系統(tǒng)來(lái)保護(hù)網(wǎng)絡(luò)的安全性。3.工作人員安全意識(shí)弱互聯(lián)網(wǎng)工作人員缺乏良好的技術(shù)知識(shí)，特別是在涉及重要機(jī)密文件的情況下，有時(shí)無(wú)法將準(zhǔn)確的信息發(fā)送給需要接收信息的人，而是由他人接收，這無(wú)疑會(huì)降低文件的保密性。在日常數(shù)據(jù)管理中，各種信息都應(yīng)該分類存儲(chǔ)，但實(shí)際上對(duì)重要文件和普通文件往往沒有明確的區(qū)別，它們放在一個(gè)磁盤上，或者在計(jì)算機(jī)的每個(gè)磁盤上按順序分發(fā)，從而損害了重要文件的機(jī)密性，沒有任何好處。（四）校園網(wǎng)使用者不安全因素目前，大學(xué)生是校園網(wǎng)的主要用戶。學(xué)生對(duì)互聯(lián)網(wǎng)安全的意識(shí)通常很低。只有計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生才能擁有一些互聯(lián)網(wǎng)安全性意識(shí)，其他專業(yè)學(xué)生幾乎都不會(huì)在意。他們認(rèn)為，學(xué)校有專業(yè)技術(shù)人員應(yīng)該負(fù)責(zé)維護(hù)校園網(wǎng)網(wǎng)絡(luò)的安全，而不是自己的責(zé)任，因此成為校園網(wǎng)網(wǎng)絡(luò)不安全的一個(gè)因素。很大一部分大學(xué)生將校園網(wǎng)網(wǎng)絡(luò)視為自己的實(shí)踐之所，大學(xué)生的好奇心使他們能夠在校園網(wǎng)網(wǎng)絡(luò)中進(jìn)行反思，并探索可以輕松獲得所需資源的優(yōu)勢(shì)，而無(wú)需任何管轄權(quán)。校園網(wǎng)系統(tǒng)本身容易受到攻擊，校園網(wǎng)監(jiān)控人員應(yīng)對(duì)外部攻擊時(shí)，不能以任何方式改變、靈活采取的措施，不能有效遏制攻擊，甚至不能及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)威脅，造成互聯(lián)網(wǎng)安全水平低下的惡性循環(huán)。其次，應(yīng)遵循相關(guān)的安全法律法規(guī)，學(xué)校宣傳力度不足，我國(guó)在互聯(lián)網(wǎng)使用方面也有相關(guān)的政策和法律，學(xué)校通常沒有向?qū)W生通報(bào)這些問(wèn)題，并且還沒有制定一套規(guī)章制度。這些規(guī)章制度應(yīng)說(shuō)明互聯(lián)網(wǎng)安全問(wèn)題應(yīng)注意的事項(xiàng)，對(duì)違反安全的學(xué)生的制裁措施，除法律法規(guī)外，學(xué)生還應(yīng)具有一定的素質(zhì)，請(qǐng)勿瀏覽互聯(lián)網(wǎng)不健康的網(wǎng)站，請(qǐng)勿濫用校園網(wǎng)資源，請(qǐng)勿散布不健康的信息。四、高校網(wǎng)絡(luò)校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題對(duì)策在建設(shè)高校校園網(wǎng)絡(luò)的設(shè)計(jì)方案中，為解決校園網(wǎng)絡(luò)中將會(huì)遇到的網(wǎng)絡(luò)安全問(wèn)題，采取合理規(guī)劃VLAN、NAT技術(shù)與VPN結(jié)合、使用防火墻技術(shù)、縱深防御、最小權(quán)限法則、白名單機(jī)制以此來(lái)保證高校校園網(wǎng)絡(luò)的穩(wěn)定、安全的運(yùn)作。（一）部署安全策略1.合理劃分VLAN核心聚集層模塊是校園網(wǎng)絡(luò)的基本設(shè)備，核心層功能提供校園網(wǎng)網(wǎng)絡(luò)的快速穩(wěn)定地傳輸。通過(guò)使用核心設(shè)備本身保護(hù)能力，可以在不影響系統(tǒng)性能的情況下激活安全戰(zhàn)略。匯聚層有可靠性、高性能、冗余性，根據(jù)網(wǎng)絡(luò)的特點(diǎn)，設(shè)計(jì)初期的匯聚層應(yīng)在一定程度上減少接入層的不必要的連接，使得核心層得到緩解，實(shí)現(xiàn)雙層網(wǎng)絡(luò)的安全和可靠的校園網(wǎng)接入校園骨干網(wǎng)中，在匯聚層上進(jìn)行端口和雙機(jī)備份的重新定位設(shè)計(jì)，以實(shí)現(xiàn)核心匯集層模塊的穩(wěn)定性，并保證校園網(wǎng)網(wǎng)絡(luò)的正常運(yùn)行。此外，終端訪問(wèn)控制解決方案將通過(guò)核心匯聚層模塊部署。VLAN劃分的目的是以減少?gòu)V播域，防止病毒及木馬基于廣播域在高校校園網(wǎng)中進(jìn)行傳播，同時(shí)根據(jù)高校校園網(wǎng)的實(shí)際情況方便加強(qiáng)管理，來(lái)進(jìn)行方案的設(shè)計(jì)與部署。VLAN劃分的方案，說(shuō)明如下：（1）高校校園網(wǎng)具有實(shí)時(shí)交互性，學(xué)生每天通過(guò)校園網(wǎng)絡(luò)傳輸?shù)男畔⒘看螅虼烁鶕?jù)高校學(xué)生專業(yè)系別的分布特點(diǎn)，以不同的系別進(jìn)行VLAN劃分，將同一系別劃分成一個(gè)VLAN，再以具體專業(yè)進(jìn)行VLAN的劃分；（2）以資產(chǎn)安全為目的，可將教師的辦公室及寢室單獨(dú)劃為一個(gè)VLAN，并且學(xué)生不能訪問(wèn)教師，以此來(lái)保證教師終端的科研資料及試題資料的安全；（3）便于教學(xué)實(shí)驗(yàn)為目的，可以按照教學(xué)樓的樓層劃分VLAN，將每個(gè)樓層中具有相同功能的教室劃分為一個(gè)VLAN；（4）便于網(wǎng)絡(luò)管理為目的，可以按照每棟樓劃分VLAN，再根據(jù)每個(gè)部門不同的工作性質(zhì)劃為一個(gè)VLAN。由于存在大一新生入學(xué)和大學(xué)畢業(yè)生離校等情況，由于人員頻繁變動(dòng)和流動(dòng)性大，很難劃分VLAN，所以即使在大學(xué)中學(xué)生人數(shù)和班級(jí)發(fā)生變化，也只有管理員必須通過(guò)端口重新分配已配置的VLAN，以便易于配置和監(jiān)視。在訪問(wèn)控制與VLAN分區(qū)同時(shí)部署，這限制了VLAN之間的數(shù)據(jù)通信。例如，禁止使用財(cái)務(wù)處訪問(wèn)，禁止在具有不同服務(wù)的VLAN之間進(jìn)行通信，并部署ACL對(duì)以防止病毒通過(guò)特定端口傳播。2.NAT技術(shù)與VPN結(jié)合網(wǎng)絡(luò)邊界模塊位于內(nèi)部網(wǎng)絡(luò)和外部校園網(wǎng)絡(luò)之間的交界處，如圖4所示。目標(biāo)是聚集邊界中不同組件的連接，以提供功能訪問(wèn)教育網(wǎng)絡(luò)并進(jìn)行電信網(wǎng)絡(luò)的訪問(wèn)，連接內(nèi)部網(wǎng)絡(luò)，共享內(nèi)網(wǎng)，提供遠(yuǎn)程訪問(wèn)，提供WWW服務(wù)等。由于校園網(wǎng)網(wǎng)絡(luò)速度較快且易于連接，因此它還提供了一個(gè)用于網(wǎng)絡(luò)入侵的通道，這就需要網(wǎng)絡(luò)邊界安全模塊，不僅要確保與高風(fēng)險(xiǎn)外部網(wǎng)絡(luò)的連接，還需要校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全性。圖4網(wǎng)絡(luò)邊界安全模塊因此對(duì)網(wǎng)絡(luò)邊界板塊做以下安全部署：（1）部署接入路由，隱藏校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的IP地址使用NAT技術(shù)。（2）部署網(wǎng)絡(luò)防火墻，保護(hù)內(nèi)部和外部網(wǎng)絡(luò)，抵御外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)重要數(shù)據(jù)的破壞。（3）使用訪問(wèn)控制ACL策略，阻止外網(wǎng)的非法和未授權(quán)訪問(wèn)，禁止內(nèi)網(wǎng)的非法外連。（4）部署Nginx反向代理服務(wù)器，在防火墻與服務(wù)器之間部署一臺(tái)Nginx反向代理服務(wù)器，用來(lái)解決外網(wǎng)訪問(wèn)速度緩慢的問(wèn)題，并為服務(wù)器提供防護(hù)。（5）部署入侵防御系統(tǒng)，與防火墻結(jié)合，作為對(duì)殺毒軟件和防火墻的強(qiáng)力補(bǔ)充。（6）部署上網(wǎng)流量控制策略，實(shí)現(xiàn)流量分析和監(jiān)控等功能，其中在校園網(wǎng)中破解版軟件和P2P軟件的濫用導(dǎo)致的校園安全問(wèn)題，可控軟件技術(shù)可以對(duì)高校校園網(wǎng)內(nèi)的非正版軟件進(jìn)行管理。網(wǎng)絡(luò)邊界安全板塊的部署可以有效的阻止非法授權(quán)訪問(wèn)、ARP欺騙、文件上傳、DDOS攻擊等網(wǎng)絡(luò)威脅。3.使用防火墻技術(shù)服務(wù)器的安全保障了最終用戶和設(shè)備提供應(yīng)用程序服務(wù)，并在此基礎(chǔ)上部署終端訪問(wèn)控制解決方案服務(wù)器。校園網(wǎng)網(wǎng)絡(luò)服務(wù)區(qū)域管理模塊一般劃分為兩個(gè)區(qū)域：服務(wù)器外部區(qū)域和服務(wù)器內(nèi)部區(qū)域，服務(wù)器外部區(qū)域的功能是在外部用戶訪問(wèn)校園網(wǎng)網(wǎng)絡(luò)時(shí)為他們提供服務(wù)，由于面向外部，雖然存在一些限制，但與校園網(wǎng)絡(luò)有內(nèi)部通信限制，服務(wù)器外部區(qū)域仍是高風(fēng)險(xiǎn)區(qū)域；服務(wù)器內(nèi)部區(qū)域主要面向內(nèi)部用戶，由于該地區(qū)應(yīng)用系統(tǒng)和服務(wù)數(shù)量眾多，安全級(jí)別不同，內(nèi)部服務(wù)器必須彼此隔絕，以防止服務(wù)被用作入侵后攻擊下一個(gè)內(nèi)部服務(wù)器的跳板。因此，在此模塊中定義了安全中心（內(nèi)部）、隔離區(qū)（內(nèi)部）和DMZ（隔離區(qū)）。部署一個(gè)帶三個(gè)接口的防火墻隔離區(qū)，防火墻的每個(gè)接口都連接到一個(gè)解決方案區(qū)和一個(gè)隔離區(qū)域，三個(gè)接口分別連接到內(nèi)網(wǎng)、外網(wǎng)和隔離區(qū)域，每個(gè)隔離區(qū)之間防火墻提供隔離。在隔離區(qū)部署WWW服務(wù)器，便于網(wǎng)絡(luò)外部用戶提供對(duì)校園網(wǎng)站的訪問(wèn)，校園網(wǎng)站也可能成為攻擊者的目標(biāo)。在防火墻和隔離區(qū)之間的旁路上布置入侵檢測(cè)系統(tǒng)或Web應(yīng)用程序防火墻，方便收集有關(guān)攻擊者的信息。網(wǎng)絡(luò)管理員可以根據(jù)當(dāng)前位置信息重新配置保護(hù)策略，Web應(yīng)用防火墻可以主動(dòng)保護(hù)自己免受指向網(wǎng)絡(luò)服務(wù)器的各種網(wǎng)絡(luò)攻擊，如“攔截”行為，并停止攻擊，并且在攻擊到達(dá)服務(wù)器之前。這確保了Web服務(wù)器的安全性，并減輕了威脅。由于內(nèi)部隔離區(qū)與安全中心的安全等級(jí)的不同，對(duì)于要求較高的安全中心部署入侵防御系統(tǒng)，增強(qiáng)主動(dòng)防御；隔離區(qū)只需部署入侵檢測(cè)系統(tǒng)，收集入侵檢測(cè)攻擊信息即可。（二）操作系統(tǒng)安全策略在校園網(wǎng)的日常工作中，我們首先要認(rèn)識(shí)到只有保障了操作系統(tǒng)安全，才能保障依賴于其他提供服務(wù)的信息安全。信息安全是有生命周期的。從其生產(chǎn)、收集、處理、傳輸、分析到銷毀或者存檔，每個(gè)階段都有可能有大量的設(shè)備、平臺(tái)、應(yīng)用介入。而為這些設(shè)備、平臺(tái)、應(yīng)用提供底層支持的，往往有大量的操作系統(tǒng)，其為信息的整個(gè)生命周期提供源源不斷的動(dòng)力支撐。如果一個(gè)操作系統(tǒng)上沒有儲(chǔ)存任何有價(jià)值的信息，不生產(chǎn)或者傳輸有價(jià)值的信息，不處理和分析有價(jià)值的信息，那么這個(gè)系統(tǒng)也就失去了價(jià)值。1.最小權(quán)限和權(quán)限分離原則最小權(quán)限原則是指恰好給予對(duì)使用操作系統(tǒng)的人員、系統(tǒng)、程序最小的僅僅能夠完成任務(wù)的權(quán)限。最小權(quán)限和權(quán)限分離原則在等保測(cè)評(píng)和安全運(yùn)維的工作中經(jīng)常用到，高校校園網(wǎng)在管理和維護(hù)時(shí)建議使用此安全策略。（1）程序在Chroot環(huán)境下運(yùn)行程序執(zhí)行在經(jīng)過(guò)Chroot后，此時(shí)程序所能讀寫的目錄和文件在一個(gè)新的位置而不是原來(lái)的位置。（2）訪問(wèn)數(shù)據(jù)庫(kù)的控制在進(jìn)行數(shù)據(jù)庫(kù)的訪問(wèn)時(shí)，比如一般情況下，針對(duì)高校教務(wù)系統(tǒng)MySQL數(shù)據(jù)庫(kù)的訪問(wèn)，只給予SELECT權(quán)限而不是ALL的權(quán)限。（3）運(yùn)行應(yīng)用程序時(shí)使用普通用戶權(quán)限使用普通用戶權(quán)限可以有效減少程序漏洞帶來(lái)的威脅。（4）校園服務(wù)器網(wǎng)絡(luò)訪問(wèn)權(quán)限控制在建設(shè)校園網(wǎng)時(shí)，大多數(shù)后端服務(wù)器不需要被外界訪問(wèn)，就無(wú)需公網(wǎng)IP,比如內(nèi)網(wǎng)API服務(wù)器。2.設(shè)置白名單原則白名單原則和黑名單原則恰恰相反，白名單原則能阻止未預(yù)期的威脅。黑名單原則則是明確什么是不被允許的，而其他所有情況是允許的。黑名單原則的缺陷很明顯，單一使用黑名單原則在大多數(shù)情況下，無(wú)法阻止所有可能的威脅。比如在設(shè)置校園網(wǎng)防火墻規(guī)則時(shí)，白名單原則就顯得更加有效，相對(duì)最優(yōu)的規(guī)則是拒絕其他所有連接。白名單原則可以防御校園網(wǎng)0Day漏洞和有針對(duì)性攻擊擊，在默認(rèn)的情況下，任何未經(jīng)授權(quán)的軟件工具和進(jìn)程都不能在操作系統(tǒng)上運(yùn)行。當(dāng)啟用了白名單后有惡意進(jìn)程在運(yùn)行時(shí)，白名單原則可以確定這是不可信的進(jìn)程，并拒絕其運(yùn)行。3.縱深防御原則縱深防御原則是指應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、物理安全多層安全機(jī)制下的安全防護(hù)。在給校園網(wǎng)提供了冗余的安全機(jī)制后，一種安全防御失效后或者被打穿后，可以運(yùn)用其他的安全機(jī)制來(lái)降低風(fēng)險(xiǎn)。比如主機(jī)安全層面，我們?cè)?/p>