高校網絡安全問題與應對策略目錄TOC\o"1-2"\h\u14588引言 II摘要：隨著網絡的普及和發展，大學校園網作為校園重要的信息化和數字化基礎設施，服務于學校教學、科研、管理、對外交流等方面的重要項目，為辦學提供了良好的保障。大學校園網現已加入所有大學部門，成為所有大學校園的基礎設備。學校需要越來越多的可操作性和網絡安全性，因此構建合理的網絡安全性體系尤為重要。本文首先闡述了高校校園網安全的背景、意義和計算機網絡的發展趨勢；其次分析了高校校園網絡的安全形勢以及校園網網絡在實際應用中存在安全問題，并探討和改進了目前存在的部分問題。最后，針對存在的問題提出了設置白名單機制、最小權限法則、縱深防御等安全原則，采取相應的措施改進校園網網絡存在的問題，有利于維護校園網的安全。關鍵詞：網絡技術；校園網；網絡管理；網絡安全；安全策略引言網絡的快速普及和發展也加快了信息的傳播速度和校園的數字化進程，作為大學網絡信息化和數字化的基礎設施，提供學校教育管理、科研和外匯業務方面的項目。如今，大學校園網絡已在各院系普及，大學校園網絡已成為校園發展的基礎設施，在網絡安全方面應該加大重視的力度，而對該方面的重視集中表現在網絡安全和可管理上。從現如今的的網絡攻擊和威脅來看，如果只依靠單一的網絡設備或簡單的安全技術是無法保證高校校園網的安全。隨著網絡安全技術的吧進步和發展，校園網內部的情況也會變得復雜，由此，對于校園網安全體系的建設和規劃，要從整體安全狀況出發，層層建設，從核心到終端的綜合部署，從而減少整個高校校園網的安全威脅，給校園網用戶提供有力保障。網絡空間安全行業作為國家支持和發展的高新技術產業和戰略性產業之一，由國家政策大力扶持。自2016年以來，我國政府頒布了《網絡安全法》等重要法規并制定了《“十三五”國家信息化規劃》《軟件和信息技術服務業發展規劃(2016-2020)年》《信息通信網絡與信息安全規劃(2016-2020)年》等政策規劃，從政策、制度以及法規等多個方面促進國內網絡安全行業的發展，對政府、企業等網絡安全有了更高的要求。隨著我國《網絡安全法》的頒布實施和相關規劃的持續推進，相關政策也為安全行業的發展提供了新的機遇和更有力的支持。國家政策從兩個大的方面推動了我國網絡安全產業的發展，一方面，對網絡安全的重視程度要加強，網絡安全產品的應用規模需要提高；另一方面，從硬件設備等基礎設施上杜絕和消除網絡信息安全隱患。確保大學校園網絡將改善學習環境和學術交流，并影響大學的未來和發展。學校網絡的發展不僅可以保證現有學校資源的安全和完善，還可以改善網絡的工作環境，提高網絡的管理和維護能力，增加網絡的可靠性。這就是為什么大學網絡的安全性非常重要的原因。一、高校校園網絡安全問題概述（一）網絡技術與網絡安全概念1.網絡的功能在互聯網信息技術的推動下，人類社會科學技術發展迅速，人們的生活、教學和工作都發生了變化。如今，大多數學校都使用網絡技術，因此教育不僅限于課堂，許多學校都有在線課程，并且可以在所有專業中完成高質量的在線課程，而不僅僅是在某些學校的網站上進行學習，自己感興趣的課程也可以研究學習。同時，高校教師也在不斷探索新的教學方法，不僅將教學任務融入教學，更便于網絡分享教學信息，這對教學質量大有裨益。2.網絡安全的內涵所謂網絡安全，就是為了保護計算機網絡系統的軟硬件免受外部因素的影響，防止數據損壞和被盜，使所有網絡系統都是安全的和健康的。信息安全就是保護信息的完整性、機密性和可用性。網絡安全性的含義非常廣泛，不僅限于計算機技術和網絡系統的集成，還涵蓋了以下領域：信息和通信、數學和保密工程領域。3.常用網絡安全技術（1）防火墻防火墻是一個保護屏障，由軟件和硬件的組合組成，建立在內聯網和外網之間的接口上，以及私人網絡和公共網絡之間。網絡防火墻是一種網絡安全系統，它監控并依據預定義的規則控制進入和外發的網絡流量。防火墻系統尤其包括服務訪問、身份驗證工具、數據包過濾器和應用程序奴役的規則。防火墻是計算機上連接到網絡的軟件或硬件。進出這臺計算機的所有網絡流量和數據包都通過此防火墻。至于硬件防火墻，有許多來自國內外制造商的防火墻產品值得使用。例如：以華為防火墻產品USG6325E-AC來看，作為下一代防火墻的的代表之一，第一時間獲取新威脅信息、準確檢測并防御針對漏洞的攻擊等重要的功能。軟件防火墻的產品也是非常多的，這些軟件防火墻針對不同的攻擊方式啟用相關的防范措施。比如下面一款叫做火絨劍的網絡監控軟件，如圖1所示。通過時時監控與網絡連接的進程以及跟蹤敏感進程的網絡流量信息。達到對涉及到主機的提權、敏感文件的防護功能。圖1火絨劍網絡監控軟件（2）VPNVPN（VirtualPrivateNetwork，虛擬專用網絡）是架設在共享的互聯網基礎設施上，在非受信任的網絡上建立私有的和安全的連接，把分布在不同地域的信息基礎設施、辦公場所、用戶或商業伙伴互聯起來。VPN是擴展網絡不可分割的一部分，它確保了網絡的安全，同時擴展了網絡的要素。（3）入侵檢測根據部署的位置，入侵檢測系統大致可以分為網絡入侵檢測和主機入侵檢測。網絡入侵檢測系統安裝在網絡邊界，提供整個網絡的入侵檢測功能和服務，分析網絡流量，識別入侵。主機入侵檢測系統獨立安裝在每臺主機上，提供入侵檢測功能和服務，通過解析文件特征、網絡流量和連接活動、進程行為、日志字符串匹配等，判斷是否發生掃描器掃描或入侵。在系統發生故障的情況下，冗余設備會介入并負責有缺陷的設備的工作。盡管安全技術和措施可以減少網絡攻擊并保護系統的大部分漏洞，但如果沒有過度的系統設計或安全性，任何技術或措施都無法阻止或阻止已知或未知的威脅或可能的攻擊，系統安全也得不到保證。正常的工作設備保證了系統的可靠性和穩定性，使網絡管理員能夠創建網絡保護系統以節省時間，這一點很重要。（二）高校校園網絡概述1.校園網的用途大學校園網絡可為教師、學生和其他教職員工提供全校范圍內的寬帶多媒體網絡服務。大學校園網絡是一個具有信息交換、信息共享等特點的局域網，非常特殊且專業。大學校園網絡是連接多媒體學習的信息平臺、教師研究平臺和校園服務平臺，校園網絡也是一個大型的本地網絡，由多個小型本地網絡通過無線或有線連接，這個小型內部本地網絡可以是大學、專業或院系。為了方便大學管理和服務人員的工作，大學網絡應該有綜合的教學、行政和管理工作，以便更好地進行教學管理、資產管理、后勤管理等。因此，大學校園網絡應該有更好的互聯網帶寬和較強的專業性、交互性。2.高校校園網的設計及原則我們將按照以下原則設計大學的網絡安全體系，提供較為全面、系統的網絡安全解決方案：（1）體系化設計原則在分析網絡層次結構和安全需求的基礎上，提出了科學的安全體系和模型。根據安全模型和原則，分析了高校網絡中可能存在的安全威脅。提出全面的網絡安全措施，以此將未來可能發生的安全方面的問題解決。（2）全局性、均衡性原則為了平衡信息資產的價值和安全風險，根據資產價值的風險準則，采用由高到低的預防方案，使最終的解決方案產生最佳效果。（3）可行性、可靠性原則更新后的網絡安全政策應用后，不影響原高校網絡和應用系統。在網絡和應用系統正常運行的情況下，網絡安全強度非常好和數據資產的安全性。3.高校校園網特殊的安全性校園網絡安全的主要目的是在大學網絡中實施各種組織措施，特別是提供網絡安全服務。因此，校園網絡必須實現以下安全目標：校園的可訪問性和完整性；大學校園網絡物理設備的可靠性和完整性；學校網絡數據和信息的機密性和完整性；大學網絡系統運行的完整性；網絡操作系統的完整性，以校園的角度出發，對校園網絡進行可控管理。（三）高校校園網安全的需求分析大學校園網絡的發展不僅搭建了硬件平臺，還為應用系統搭建了軟件平臺，大學網絡的主要作用是服務，所有師生都是大學網絡的用戶。為適應現代校園的教學需求，實現教學現代化需求，利用計算機信息系統實施教育現代化，提高教育的整體水平，精簡日常學校管理，提高管理方面的效率，強化各個學校之間的資源共享，并通過計算機網絡加強學校和家長之間的溝通交流。為此，校園網應實現以下目標：1.教育管理需要網絡化來完成高校教育管理信息的采集、預處理、處理、統計和分析。它還提高了學校各部門辦公室的自動化程度，并簡化了學校的管理，提高了效率，收集和維護行政、人力資源、財務、薪酬、教育管理、學生、后勤等高校數據的各種數據，并根據用戶需求授權查詢和維護。2.它充分發揮高校校園網絡化的作用，涉及多媒體網絡的制作，完成教師信息和多媒體備課。3.校園需要建立內部電子郵件服務，以方便訪問大學網絡和互聯網。接入中國教研網和互聯網進行實時數據交換、信息共享。（四）校園網環境下網絡安全問題分析隨著高校的快速發展，高校紛紛提出“建設數字校園”的口號。作為大學網絡的重要組成部分和基礎平臺，我們構建了一個完整、先進、高效的大學網絡。每個計算機室都可以與互聯網相連接，多媒體室的一部分可以根據教師的需要連接到互聯網。在一門課程結束后，可以通過學校的無線和無線網絡，對其進行申請和學習，從而將工作和學習效率提高。學校可以請求教育網絡和域名的路徑，并在網絡中心的云計算機上創建虛擬服務。虛擬化服務中心可以提高服務器性能，提高容錯能力，將數據速度提高到萬兆，連接基礎設備，提高數據響應能力。網絡拓撲如圖2所示。圖2網絡拓撲圖整個校園網絡構成了核心、融合和分布式訪問設計，多鏈路災難恢復設計，大型融合和分區模塊化網絡設計，靈活簡單的管理策略；可以拓展網絡靈活性，并且還強調性能和應用程序；最后，基本設備設計有許多鏈路分區模塊化，并實現了分區管理。分區管理的引入使得網絡管理能夠統一控制，對網絡策略的設計可以定制化。由于分區域，可以引導用戶的網絡并分擔用戶的數據負載。這些網設備為現有IPv4網絡之間的通信以及IPv4與IPv6之間的轉換提供了最便捷、最靈活的支持和保障。二、高校校園網安全現狀分析隨著計算機網絡的發展，高校建立了管理學生信息的大學校園網絡，使學生更容易管理，同時，也為教師建立了一個教學的交流平臺，一方面，大學網絡有很多優勢，另一方面，大學網絡是開放的，來自大學網絡的數據越來越重要，很容易改變或竊取，對學校造成或多或少的損害。在網絡上，病毒不僅是互聯網的唯一敵人，從安全的角度來看，它還有間諜插件、廣告植入物和一些網絡釣魚軟件等同伙，他們一起對互聯網攻擊，間諜插件對互聯網的傷害最大，是影響網絡安全的主要力量。經過文獻綜述總結了校園網現存以下主要安全問題。（一）硬件方面1.硬件設備自身存在漏洞在建設大學網絡時，由于大學網絡管理的建設設計不重視或存在困難，呈現出各種形式，使大學網絡物理層的數據傳輸不順暢；此外，資金方面的嚴重缺少，使校園網的硬件安全性也會受到影響，網絡設備的冗余設計成為高校校園網設計者考慮的一個問題，影響了高校校園網正常工作的穩定性和可行性。服務器機房管理系統相對薄弱，容易遭受黑客攻擊。系統的設計過程非常復雜，經常會有大量的監控，會有各種各樣的認證和服務限制。在此過程中，整個網絡抵抗外部攻擊的能力非常弱，因此經常被一些動機不純者用來攻擊計算機系統。2.星型結構的冗余設計和相關設備的邏輯缺陷現階段校園網絡結構主要采用星型結構，如圖3所示。如果中心交換機出現故障，沒有適當的冗余設計，整個大學網絡就會癱瘓。由于校園網絡環境的物理因素（如溫度、濕度、機房監控等），以及人工使用，都會造成設備損壞和安全問題，因此校園網絡的物理設備的安全性是不容忽視的。在高校校園網絡安全領域有一種誤解，那就是“我使用了主流的基礎設備，例如網站服務器、數據庫服務器、緩存服務器，因此再不需要額外的防護應用了。”我們把主流的網絡安全設備在設計和實現時放在重要的位置，但健壯的驗證機制和安全控制措施是必不可少的，這些設備中的漏洞反而會成為明顯的攻擊點，黑客通過設備漏洞完全控制高校的物理設備。2017年5月中旬，中國大陸部分高校發現電腦被攻擊，文檔被加密，高校校園網用戶首當其沖，受害嚴重，大量實驗數據和畢業設計被鎖定加密，這是著名的“永恒之藍”。事實上早在2017年3月，微軟官方已經放出針對這一漏洞的補丁。這個事件告訴我們要密切關注基礎設備的安全，及時修復設備中存在的安全漏洞。圖3典型的星型結構3.高校校園網絡異常信息的植入和信息泄露高校校園網絡異常信息的植入大多為注入漏洞和跨站腳本漏洞。注入漏洞的產生是因為進行了未授權的數據訪問或應用程序未對輸入的數據進行嚴格驗證而導致執行了預期之外的程序。任何數據源都可能是一種注入的載體，可能導致未經授權的各方修改、刪除或泄漏數據，也可能導致拒絕不需要的服務。網站之間的腳本攻擊，當用戶提交的數據不可避免或沒有過濾規則允許惡意黑客在網頁上顯示惡意代碼并且安裝的代碼在其他用戶在場的情況下運行時，就會存在漏洞。信息泄露是指與應用程序交互時，利用應用程序的反常行為提取出有價值的信息。這一般有以下場景：一是用戶讀取到了應用程序未封裝的出錯信息，泄露了應用程序版本和配置信息以及調用的第三方接口等；二是因為操作不規范或配置不合理導致源代碼、應用程序配置文件可以被直接下載。例如，把Web可訪問目錄中的config.php復制成config.php.bak，而導致可直接下載config.php.bak；三是核心數據未使用強散列算法存儲或強加密，從而導致被惡意讀取后利用。例如，在高校校園網絡日志或者數據庫中用明文記錄老師和學生完整的身份證號碼、電話號碼和密碼原文等，都是極其可能帶來的信息泄露的問題。（二）軟件方面1.非正版軟件的使用非正版版軟件在高校計算機實驗室、教師、學生私人電腦尤其泛濫，因此非正版軟件也成為眾多木馬和病毒的載體，而安裝了這些載有惡意代碼的非正版軟件后，可能會直接突破網絡邊界上的安全控制，直接影響到服務器和數據的安全。對于服務器管理和操作系統來說，使用非正版軟件的風險尤其嚴重。2.釣魚郵件攻擊高校校園網絡常見被攻擊的方式還有釣魚郵件，通過社會工程方式發送的釣魚郵件是黑客組織最常用的攻擊手段。這種以釣魚郵件為載體的攻擊方式又被稱為“魚叉攻擊”。社會工程攻擊手法的逐漸成熟，電子郵件幾乎很難辨別真假。從一些受到網絡威脅攻擊的高校可以發現，這些高校受到威脅的關鍵因素都與老師或者學生遭遇的社會工程的惡意郵件相關。攻擊者剛一開始，就是針對特定老師和學生發送釣魚郵件，以此作為攻擊的源頭。例如OceanLotus（海蓮花）組織所使用的60%左右的攻擊都是將木馬程序作為電子郵件的附件發送給特定的攻擊目標，并誘使目標打開附件。在一個典型的釣魚郵件攻擊中，攻擊者可以通過一封看似正常但卻極具偽裝性和迷惑性標題和附件的郵件就可以讓服務器失陷。因此，我們要培養老師和學生的網絡安全意識，在不知道郵件的來源或者和工作無關的郵件，不要隨便打開，尤其是不要被具有誘惑性的標題所迷惑。此外，在日常工作中發現釣魚郵件時，要及時告知網絡安全管理人員進行調查。3.密碼安全性不高大量的高校校園網絡安全事件表明，弱密碼問題是導致眾多校園網絡安全事件的罪魁禍首。很多時候，黑客入侵并不需要高超的技術能力，他們僅僅從弱密碼這個入口突破就可以攻破校園網以及企業的整個信息基礎設施。因此，高校及企業應該特別注意弱密碼的問題。（三）管理方面高校建立互聯網后，管理工作少了很多，但目前的安全狀況遠不如其他方面。高校一般都有一定數量的校園網管理的維護人員，但他們的大部分職責是檢查計算機的日常運行情況，當互聯網系統在檢查維護方面出現問題時，在專門負責互聯網安全的人員往往不足的情況下，校園網安全問題就會暴露。1.專業人員缺乏目前，我國許多高校在配備網絡安全管理人員的同時，往往缺乏對網絡安全維護的良好掌握。因此，高校負責網絡監控的人員缺乏安全管理技能，當黑客攻擊大學網絡時，他們往往未能及時采取適當的防御措施。2.相關人員保密性差關于在互聯網上設置的密碼，不能向公眾披露的信息不得嚴格保密，不得向他人任意披露，專用文件的透明度等問題，是互聯網監管機構自身的問題。作為一名網絡管理員，他沒有積極的工作情緒，對任意破壞與互聯網有關的設備也不太認真。目前，我國校園網建設的重點是校園網管理服務和學校信息化建設，沒有專門的系統來保護網絡的安全性。3.工作人員安全意識弱網絡工作人員的技術知識并不好，尤其是對重要的機密文件，有時無法將準確的信息發送給需要的人，而是發送給其他人，這勢必會降低文件的機密性。日常數據管理中，需要對各類信息進行分類存儲，但實際上對重要文件和普通文件往往沒有明確的區別，它們放在一個磁盤上，或者在計算機的每個磁盤上按順序分發，從而損害了重要文件的機密性，沒有任何好處。（四）校園網使用者不安全因素目前，大學生是校園網的主要用戶。學生對互聯網安全的意識通常很低。只有計算機相關專業的學生才能擁有一些互聯網安全性意識，其他專業學生對網絡的安全毫不在意。他認為，大學有受過專業培訓的技術人員，他們應該負責維護大學網絡的安全，而不是他們自己的責任，因此這是大學網絡的不確定性問題。大多數學生將大學網絡視為訓練場，學生的好奇心使他們能夠將大學網絡形象化，并探索輕松訪問所需資源的好處，而無需任何管轄權。校園網系統本身容易受到攻擊，校園網監控人員應對外部攻擊時，不能以任何方式改變、靈活采取的措施，不能有效遏制攻擊，甚至無法及時發現互聯網威脅，導致網絡安全性低下的惡性循環。其次，必須尊重相關的安全法律法規，學校在對網絡安全上的宣傳是不夠的，我國也有關于互聯網使用的規則和法律，學校通常不會告知學生這個問題，也沒有制定規章制度。規章制度應明確網絡安全問題需要考慮的事項，對破壞安全的學生的處罰，除法律法規外，學生還應具有一定的特點，請勿瀏覽互聯網不健康的網站，請勿濫用校園網資源，請勿散布不健康的信息。三、高校網絡校園網網絡安全問題對策在建設高校校園網絡的設計方案中，為解決校園網絡中將會遇到的網絡安全問題，采取合理規劃VLAN、NAT技術與VPN結合、使用防火墻技術、縱深防御、最小權限法則、白名單機制以此來保證高校校園網絡的穩定、安全的運作。（一）部署安全策略1.合理劃分VLAN核心聚集層模塊是大學網絡的基礎設備，核心層功能保證了大學網絡的速度和連續傳輸。有了核心設備的基本保護，就可以在不影響系統運行的情況下激活安全計劃。匯聚層具有可靠性、高性能和冗余性的特點，由于網絡的特性，原設計中的匯聚層應該在一定程度上減少接入層中不必要的連接，從而可以擴展核心層，雙層網絡實現校園骨干相關的安全性和可靠性，在匯聚層上進行端口和雙機備份的重新定位設計，實現了核心層的穩定性，保證大學網絡的正常運行。此外，終端的訪問控制解決方案將采用核心匯聚層模塊部署來實現。VLAN劃分的目的是限制廣播域，防止病毒和木馬在校園校園網中傳播，同時根據校園網的實際情況，適合加強管理和組織，制定方案以及實施。VLAN劃分的方案，說明如下：大學網絡有實時交互性的特點，學生每天通過大學網絡發送大量信息，所以根據學生主系的分布特點，將VLAN劃分為不同的系，相同的系劃分為一個VLAN組件，將VLAN劃分的更加具體；出于安全考慮，辦公室和宿舍可能被劃分為單獨的VLAN，學生無法訪問教師，以確保教師終端的科研資料和數據的安全；為方便教學實驗，可將VLAN劃分到每個教室，將各樓層功能相同的教室劃分為一個VLAN；為方便網絡管理，可以通過樓棟來劃分VLAN，然后由各個部門的不同功能劃分VLAN。由于新生入學和畢業生離校的情況，人員變動頻繁，人員流動性大，VLAN劃分困難，所以即使在大學中學生人數和班級發生變化，也只有管理員必須通過端口重新分配已配置的VLAN，以便易于配置和監視。將訪問控制與VLAN空間規劃結合使用，會限制VLAN之間的數據流量。例如，禁用財務訪問、禁用在不同服務的VLAN通信以及設置ACL對以防止病毒通過某些端口傳播。2.NAT技術與VPN結合網絡邊界模塊位于校內網與校外網的交匯處，如圖4所示。其目的是將邊界的各個部件互連起來，保證教育網絡的主動接入和電子通信的接入，網絡、遠程訪問、網絡托管等。由于大學網絡連接快速且容易，它們還提供了一個網絡入侵通道，需要網絡安全模塊，這些模塊不僅提供與高風險外部網絡的連接，還需要校園網內部網絡的安全性。圖4網絡邊界安全模塊因此對網絡邊界板塊做以下安全部署：使用NAT技術設置訪問路由隱藏校園內網IP地址。安裝網絡防火墻，保護內外網，防止外網破壞內網重要數據。使用ACL訪問控制來防止對外部網絡的非法和未經授權的訪問，并防止對內部網絡的非法外部連接。架設Nginx反向代理服務器，在防火墻和服務器之間架設Nginx反向代理服務器，解決外網訪問慢的問題，保證對服務器的保護。引入入侵防御和防火墻，作為防病毒和防火墻軟件的強大補充。通過實施網絡流量管理策略，實施流量分析和監控措施，包括高校網絡上因被破解軟件和P2P軟件誤用而導致的校園安全問題，可控軟件可以管理高校內的第三方軟件。設置網絡邊界安全板塊，可以有效防范非法越權訪問、仿冒ARP、文件上傳、DDOS攻擊等網絡威脅。3.使用防火墻技術服務器的安全保障了最終用戶和設備提供應用程序服務，并在此基礎上架設終端控制對服務器方案的訪問。校園網絡服務區管理單元一般分為外部服務器區和內部服務器區兩個區域，外部服務器區為外部用戶提供訪問大學網絡的服務，雖然有一定的局限性，但內部與大學網絡的通信存在局限性，服務器外部區域仍然是風險高發區域；服務器的內部區域主要供內部用戶使用，由于該領域的應用系統和服務的數量以及安全級別的不同，內部服務器必須相互隔離，以防止服務在故障后作為跳板攻擊另一臺內部服務器。因此，本模塊定義了安全中心（內部）、隔離區（內部）和DMZ（隔離區）。設置三個接口防火墻隔離區，每個防火墻接口分別連接解決方案區和隔離區，三個接口分別連接內網、外網和隔離區以及各隔離區之間的防火墻。網絡服務器設置在隔離區域，方便外部用戶訪問校園，攻擊者也會在校園內開火。在防火墻和隔離區之間安裝入侵檢測系統或Web應用程序防火墻，以方便收集攻擊者的信息。網絡管理員可以根據當前的位置信息重置安全策略，Web應用防火墻可以主動防御各種針對Web的網絡攻擊，例如“阻止”行為，并在這些攻擊到達服務器之前將其阻止。這確保了Web服務器的安全性并減少了威脅。由于內部隔離區與安全中心之間的安全級別不一樣，安全中心的防盜系統正在引入，對加強有效保護提出了更高的要求；隔離區只能設置入侵檢測系統，收集入侵檢測攻擊信息。（二）操作系統安全策略在校園網的日常工作中，我們首先要認識到只有保障了操作系統安全，才能保障依賴于其他提供服務的信息安全。信息安全是有生命周期的。從其生產、收集、處理、傳輸、分析到銷毀或者存檔，每個階段都有可能有大量的設備、平臺、應用介入。而為這些設備、平臺、應用提供底層支持的，往往有大量的操作系統，其為信息的整個生命周期提供源源不斷的動力支撐。如果一個操作系統上沒有儲存任何有價值的信息，不生產或者傳輸有價值的信息，不處理和分析有價值的信息，那么這個系統也就失去了價值。1.最小權限和權限分離原則最小權限原則是指恰好給予對使用操作系統的人員、系統、程序最小的僅僅能夠完成任務的權限。最小權限和權限分離原則在等保測評和安全運維的工作中經常用到，高校校園網在管理和維護時建議使用此安全策略。（1）程序在Chroot環境下運行程序執行在經過Chroot后，此時程序所能讀寫的目錄和文件在一個新的位置而不是原來的位置。（2）訪問數據庫的控制在進行數據庫的訪問時，比如一般情況下，針對高校教務系統MySQL數據庫的訪問，只給予SELECT權限而不是ALL的權限。（3）運行應用程序時使用普通用戶權限使用普通用戶權限可以有效減少程序漏洞帶來的威脅。（4）校園服務器網絡訪問權限控制在建設校園網時，大多數后端服務器不需要被外界訪問，就無需公網IP,比如內網API服務器。2.設置白名單原則白名單原則和黑名單原則恰恰相反，白名單原則能阻止未預期的威脅。黑名單原則則是明確什么是不被允許的，而其他所有情況是允許的。黑名單原則的缺陷很明顯，單一使用黑名單原則在大多數情況下，無法阻止所有可能的威脅。比如在設置校園網防火墻規則時，白名單原則就顯得更加有效，相對最優的規則是拒絕其他所有連接。白名單原則可以防御校園網0Day漏洞和有針對性攻擊擊，在默認的情況下，任何未經授權的軟件工具和進程都不能在操作系統上運行。當啟用了白名單后有惡意進程在運行時，白名單原則可以確定這是不可信的進程，并拒絕其運行。3.縱深防御原則縱深防御原則是指應用安全、主機安全、網絡安全、物理安全多層安全機制下的安全防護。在給校園網提供了冗余的安全機制后，一種安全防御失效后或者被打穿后，可以運用其他的安全機制來降低風險。比如主機安全層面，我們在校園內網和外網之間部署蜜罐以及防病毒網關，及時更新安全策略和蜜罐告警可以確保校園內部網絡安全，還可以校園網主機安全上添加多因子認證技術，通常利用兩種及兩種以上的規則對用戶進行驗證，以此來提高校園網的安全性。四、總結計算機技術的安全性是影響