基于數(shù)字化校園的安全解決方案研究與設計

趙 婕

（陜西工業(yè)職業(yè)技術(shù)學院，陜西咸陽，712000）

隨著信息技術(shù)的迅猛發(fā)展，政府極為重視信息化工作，明確提出要信息化、工業(yè)化并重，以信息化推進工業(yè)化，實現(xiàn)跨越式發(fā)展。加入世貿(mào)組織后,中國的教育特別是高等教育面臨海外教育服務開放的情況。為了得到最新的信息在第一時間,為了充分利用信息技術(shù)來進一步促進我國高校的改革,為了探索適應未來信息社會要求的高等學校人才培養(yǎng)模式和管理模式，為了在國際化進程中進一步增強我國高校的競爭力，加強建設數(shù)字化校園、校園網(wǎng)絡、辦公自動化、教學信息化尤其重要。高校擴招和合并也是加快數(shù)字化校園的建設的原由。到目前為止，全國主要高校都建立了與CERNET 相鏈接的校園網(wǎng)，實現(xiàn)了高校數(shù)字化校園的建設。

1 數(shù)字化校園的概念

數(shù)字化校園是以數(shù)字化信息和網(wǎng)絡為基礎(chǔ)，基于計算機和網(wǎng)絡技術(shù)建立起來的對教學、科研、管理、技術(shù)服務、生活服務等校園信息的收集、處理、整合、存儲、傳輸和應用，使數(shù)字資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。實現(xiàn)從環(huán)境（包括設備、教室等）、資源（如圖書、講義、課件等）到活動（包括教、學、管理、服務、辦公等）的全部數(shù)字化，在傳統(tǒng)校園基礎(chǔ)上構(gòu)建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，提升傳統(tǒng)校園的運行效率，擴展傳統(tǒng)校園的業(yè)務功能，最終實現(xiàn)教育過程的全面信息化，從而達到提高管理水平和效率的目的；把學校建設成面向校園內(nèi)，也面向社會的一個超越時間、超越空間的虛擬大學。

2 數(shù)字化校園安全存在的問題

高校校園網(wǎng)絡無處不在、無時不用的現(xiàn)狀,也反應了學校對這一系統(tǒng)的高度依賴。數(shù)字化校園給學生和教師的學習和工作帶來巨大效益的同時，它帶來的一些負面影響也不容忽視。因數(shù)字化校園自身的復雜性,導致其存在眾多的安全隱患,校園網(wǎng)絡安全已經(jīng)成為當前數(shù)字化校園建設中不可忽視的重要問題。因此校院網(wǎng)只有安全、可靠地運行,才能保障學院工作的順利開展。為此,構(gòu)建校園網(wǎng)安全體系成為建設高校網(wǎng)絡研究的重要課題。大多數(shù)數(shù)字化校園網(wǎng)絡安全問題主要集中在下面幾個方面。

2.1 系統(tǒng)漏洞

目前很多院校在網(wǎng)絡構(gòu)建的時候，只注意購買服務器等主要設備，而忽視了網(wǎng)絡安全，對網(wǎng)絡安全的建設沒有系統(tǒng)的投入。系統(tǒng)軟件和應用軟件的存在不安全因素，計算機使用的操作系統(tǒng)存在安全漏洞、瀏覽器的漏洞、服務安全的漏洞等都對現(xiàn)用網(wǎng)絡安全構(gòu)成威脅。

2.2 計算機病毒的危害

數(shù)字化校園很重要的一個特征就是用戶數(shù)比較多，會有很多的PC 機缺乏有效的病毒防范手段這樣，當用戶在頻繁的訪問INTERNET 的時候，通過局域網(wǎng)共享文件的時候，通過U 盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向院校的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器，影響網(wǎng)絡正常運行。網(wǎng)絡病毒泛濫，造成網(wǎng)絡性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。

2.3 外來系統(tǒng)的入侵、攻擊等惡意破壞行為

系統(tǒng)入侵通過網(wǎng)絡探測、欺騙、緩沖區(qū)溢出、口令破譯等方法非法獲取系統(tǒng)的管理員權(quán)限進行安放惡意代碼如木馬、病毒等、獲取重要數(shù)據(jù)或者實施系統(tǒng)破環(huán)。有些計算機已經(jīng)被攻破，用作黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對重點高校的網(wǎng)站和服務器。網(wǎng)絡攻擊通過拒絕服務等方法攻擊一個系統(tǒng)使該系統(tǒng)限于癱瘓或崩潰。

2.4 數(shù)字化校園內(nèi)部用戶網(wǎng)絡安全意識淡薄，沒有指定完善的網(wǎng)絡安全管理制度，對網(wǎng)絡資源的濫用

有的院校用戶利用免費的校園網(wǎng)絡資源提供商業(yè)的或者免費的視頻、軟件資源下載，占用了大量的網(wǎng)絡帶寬；還有的學生在校園網(wǎng)內(nèi)濫用一些聊天軟件、BT 下載 等對網(wǎng)絡的不當使用行為，影響了數(shù)字化校園的正常運轉(zhuǎn)。

2.5 垃圾郵件、不良信息的傳播

大多數(shù)校園網(wǎng)郵件系統(tǒng)采用互聯(lián)網(wǎng)上下載的免費版本的郵件系統(tǒng)，由于是免費的軟件，既不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段。

有些人會通過監(jiān)聽和分析網(wǎng)絡數(shù)據(jù)包來獲取有關(guān)重要信息如用戶名和口令、重要數(shù)據(jù)等，利用校園網(wǎng)內(nèi)無人管理的服務器作為中轉(zhuǎn)嚴重影響學校的聲譽。

3 數(shù)字化校園安全解決方案

根據(jù)特殊情況下的數(shù)字化校園用戶,互聯(lián)網(wǎng)用戶大多是學校的教學、科研和行政機關(guān)的教師和管理人員,我們不能太多的限制用戶。數(shù)字化校園網(wǎng)絡雖然比較復雜，但從整體技術(shù)架構(gòu)來看，還是屬于局域網(wǎng)范疇，因此，在局域網(wǎng)和外部網(wǎng)絡接口處配置統(tǒng)一的網(wǎng)絡安全控制和監(jiān)管設備即可將絕大多數(shù)外部攻擊拒之門外。所以方案的制訂必須依據(jù)以下原則進行，對用戶的硬件要求較低；盡可能利用原有設備，充分發(fā)揮原有設備的技術(shù)潛力下，同時考慮添置設備的先進性和可擴展性，為今后網(wǎng)絡的不斷發(fā)展創(chuàng)造良好的條件。要想讓網(wǎng)絡安全真正做到“滴水不漏”，除了要使網(wǎng)絡安全、可信之外更要達到可控、可管。

3.1 防火墻部署使用

防火墻技術(shù)(firewall)是建立在現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎(chǔ)上的應用性安全技術(shù)，是一種有助于確保信息安全的設備，按照特定的規(guī)則，允許或者限制傳輸數(shù)據(jù)的通過，幫助計算機系統(tǒng)抵御用戶、計算機病毒和蠕蟲的破壞性的惡意侵入攻擊，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中。防火墻可以是一臺專屬的硬件設備，也可以是一套軟件，現(xiàn)在針對防火墻的軟件非常多，一般的殺毒軟件都具有防火墻的功能。

3.2 建立一個有效合理的病毒防御和查殺機制

通過在網(wǎng)絡中使用分布式、網(wǎng)絡化的防病毒系統(tǒng)，不僅可以讓單個服務器有效地防止病毒入侵，而且可以使管理員從中央位置對整個網(wǎng)絡進行實時狀態(tài)下的病毒防護。由于操作系統(tǒng)本身不提供測試或刪除計算機病毒軟件，因此局域網(wǎng)應該安裝正版殺毒軟件，并且及時升級版本。采用這種方式的升級，一方面確保校園網(wǎng)內(nèi)的殺毒軟件保持同步的更新，使整個校園網(wǎng)都具有最強的防病毒能力；另一方面，因為整個網(wǎng)絡的升級、更新都是由程序自動和智能地完成，可以避免由于人為因素導致一些用戶在因為沒有及時升級為最新的病毒定義碼和掃描引擎，而失去較強的防病毒能力。同時，為了防止ARP 攻擊，360 安全衛(wèi)士和其他防護軟件應該安裝,并且打開360 安全衛(wèi)士的“實時保護”中的“局域網(wǎng)ARP 攻擊攔截”，通過系統(tǒng)內(nèi)核攔截ARP 攻擊包，確保網(wǎng)關(guān)正確的，MC 地址不被篡改。確保數(shù)據(jù)流向正確，通訊數(shù)據(jù)不受第三方控制，從而保證網(wǎng)絡暢通。

3.3 及時安裝系統(tǒng)補丁

任何操作系統(tǒng)版本，如果發(fā)現(xiàn)程序中有些漏洞，會及時發(fā)布一些應用程序來修復這些漏洞，所以在裝好系統(tǒng)以后一定要進行升級和打補丁。管理員也要經(jīng)常關(guān)注操作系統(tǒng)的網(wǎng)站，及時下載最新的操作系統(tǒng)補丁。當系統(tǒng)安裝補丁后,黑客就不會利用這些漏洞來攻擊用戶。

3.4 做好系統(tǒng)備份與維護

為了保證局域網(wǎng)的安全，防止意想不到的系統(tǒng)故障或用戶不小心的非法操作，堅持隨時做好網(wǎng)絡數(shù)據(jù)、資料的備份是非常重要的。所謂網(wǎng)絡備份，指的是在網(wǎng)絡系統(tǒng)發(fā)生黑客攻擊、病毒感染、操作失誤、軟件系統(tǒng)錯誤等意外事故情況下，應急恢復系統(tǒng)的一種處理方案。當前有很多種備份系統(tǒng)的方法、方式，最簡單實用的如GHOST 軟件等。除了每月一次完整的系統(tǒng)備份外還應對修改過的數(shù)據(jù)進行備份。同時應該在不同的服務器上存放修改過的重要系統(tǒng)文件，以便出現(xiàn)系統(tǒng)崩潰時可以及時恢復系統(tǒng)到正常狀態(tài)。

3.5 用戶訪問權(quán)限的控制

訪問控制技術(shù)是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。訪問控制本質(zhì)上是限制對資源使用，決定主體是否被授權(quán)對客體執(zhí)行某種操作，只有經(jīng)過授權(quán)的用戶在向系統(tǒng)正確提交并驗證通過身份后，才允許訪特定的系統(tǒng)資源。在校園網(wǎng)中，不同用戶的訪問權(quán)限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶應該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權(quán)限進行嚴格的控制

3.6 監(jiān)測系統(tǒng)日志

監(jiān)測是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部、外部攻擊和誤操作的實時保護，可在系統(tǒng)受到攻擊之前攔截和響應入侵。通過運行系統(tǒng)日志程序，系統(tǒng)將記錄下所有用戶使用系統(tǒng)的情況，包括最近登錄的時間、使用的賬號、進行的活動等等。日志程序?qū)ㄆ谏蓤蟾?，通過分析報告可以知道是否有異?，F(xiàn)象發(fā)生。

3.7 內(nèi)部安全管理提高用戶的安全意識

當使用外來移動存儲設備（U 盤、移動硬盤等）時，應確保沒有病毒以后才在校內(nèi)計算機上使用，防止病毒通過利用校園網(wǎng)絡進行傳播擴散。用戶只能自己控制所用電子郵件的安全，在瀏覽網(wǎng)頁時可能會遇上陷阱或病毒等，這些都要求用戶具有高度的安全意識，保持高度警惕。

4 結(jié)論

互聯(lián)網(wǎng)絡的飛速發(fā)展對數(shù)字化校園中教師、學生的生活和學習有著深遠的影響?；ヂ?lián)網(wǎng)的各種安全威脅在數(shù)字化校園網(wǎng)的運行和管理中表現(xiàn)得尤為突出，加強數(shù)字化校園網(wǎng)絡的安全管理是當前非常迫切、充滿挑戰(zhàn)的任務。數(shù)字化校園的網(wǎng)絡安全問題的解決并不是一勞永逸的，校園網(wǎng)絡本身是變化的,新的安全問題,必須根據(jù)形勢的變化和現(xiàn)有解決方案中暴露出的一些問題,持續(xù)維護和及時更新,確保良性發(fā)展的網(wǎng)絡安全系統(tǒng),以確保其有效性和先進性。各高校校園網(wǎng)絡應加強安全政策、安全管理組織和技術(shù)培訓，增大安全管理的投入，共同做好數(shù)字化校園網(wǎng)絡的安全管理工作，建設一個安全、可信的教育和科研網(wǎng)絡環(huán)境。

[1]王霞.數(shù)字化校園中網(wǎng)絡與信息安全問題及其解決方案[J].科技信息.2012(07)

[2]張鴻軍,張新剛.數(shù)字化校園中典型安全問題分析及防御對策[J].中國電化教育.2009(06)

[3]黃正鵬.高校校園網(wǎng)絡安全問題研究[J].考試周刊.2010(19)

[4]蔡林毅.校園網(wǎng)絡安全問題分析與對策[J].陜西廣播電視大學學報.2009(03)