校園網絡安全需求及應對策略

◆李玉杰

（甘肅省理工中等專業(yè)學校 甘肅 733000）

校園網絡安全需求及應對策略

◆李玉杰

（甘肅省理工中等專業(yè)學校 甘肅 733000）

網絡安全是數字化校園健康運行的基本保證，校園網絡安全主要包括軟硬件系統(tǒng)的安全和信息安全。隨著數字化校園應用的普及，網絡安全成為校園安全的一個突出問題。如何確保校園網絡安全穩(wěn)定的運行，是校園網建設中必須解決的問題。本文對中職學校網絡安全需求進行了分析并提出建立一個全面的網絡安全體系的具體措施。

校園網；網絡安全

0 引言

隨著信息技術的日益發(fā)展和廣泛應用，中職學校已經建成了門戶網站和數字化校園平臺，服務于學校的招生宣傳、辦公和教育教學工作，但隨著應用的深入，校園網上的各種數據急劇增加，隨之而來的網絡安全問題也日益突顯，黑客攻擊、入侵破壞、發(fā)布有害信息等信息網絡安全事件頻繁發(fā)生，既損害了中職學校形象，也影響了正常的教育教學工作，必須采取有效措施，加固網絡和信息安全、提高安全保護等級，保障網絡正常、可靠、穩(wěn)定運行。

1 校園網絡安全需求

1.1 安全性

當前的互聯網內存在著不計其數的各種各樣的病毒，木馬，惡意插件腳本，黑客攻擊等，安全的網絡建設，必然要求在學校互聯網出口和數據中心，建立一整套的安全防護體系，不僅要防護這些惡意攻擊，同時，也要保護門戶網站不被惡意篡改，以及數據中心的敏感信息不被外泄。

1.2 易用性

考慮到學校辦公、教學和學習的需求，要使在校內外移動辦公、教學和學習的用戶能夠安全，方便的通過各種終端，例如：iphone、iPad、安卓智能手機、筆記本等接入校園網絡，并且網絡管理員可以簡單便捷地對其進行管理。

1.3 高效性

不僅要提升用戶在訪問不同運營商資源，或者通過不同運營商接入訪問內部系統(tǒng)的訪問速度，同時，在做安全防護的時候，也要考慮防護的高效性，避免因為安全防護設備的性能瓶頸，影響正常的辦公、教育教學。

1.4 可管理性

對內網的上網行為可以進行可視化的監(jiān)控和管理，通過對P2P等上傳和下載行為的控制，保證核心業(yè)務的帶寬，提升用戶上網體驗，提高工作效率。同時，避免由于發(fā)布非法言論而召之法律責任。要通過對IM聊天，微博，網站和論壇訪問等等網絡行為的審計，提升網絡的可管理性。

2 應對策略

學校要保障信息安全經費投入充足和信息安全管理人員配備齊全。完善信息安全設施。密切監(jiān)測、監(jiān)控學校網絡，從訪問控制、入侵檢測、行為審計、防病毒保護、網站保護等方面建立了一個全面的安全體系。

2.1 建立健全校園網絡和信息安全制度和運維機制，保障網絡正常運行

要建立網絡和信息安全領導小組，負責網絡和信息安全的領導和監(jiān)督檢查。要有負責學校網絡安全管理工作的內設機構，配備相對固定的專職技術人員，采取有效的網絡管理策略與技術組織措施，制定并落實諸如《校園網絡安全管理辦法》、《校園網信息發(fā)布管理辦法》、《校園網入網信息安全協(xié)議書》、《計算機信息系統(tǒng)病毒預防和控制管理辦法》、《網絡信息安全突發(fā)事件應急預案》等制度。要定期開展網絡安全檢測，對網絡系統(tǒng)漏洞、非法入侵、病毒侵害等進行檢查分析，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；開展網絡安全應急演練，對全校師生開展網絡安全教育培訓，提高校園網系統(tǒng)全體人員的網絡安全意識和防范技術。另外，在網絡安全方面每年要有一定的運行維護費用，為中職學校網絡安全提供保障。

2.2 加強軟硬件安全體系建設，有效保障校園網絡安全

安裝防火墻、應用防火墻、身份認證系統(tǒng)、行為審計系統(tǒng)、防病毒及容災備份系統(tǒng)。

（1）在互聯網出口，部署高性能的防火墻。將內部網絡、對外服務器網絡和外網進行有效隔離，避免與外部網絡直接通信；并通過其內部集成的IPS，WAF，傳統(tǒng)墻功能，以及反病毒模塊等，建立一套在互聯網出口的一體化防護系統(tǒng)，有效的防止學校門戶網站不被篡改，以及對外發(fā)布的敏感信息的攔截。

（2）部署上網行為管理，形成一個完善的審計體系，對內網用戶的上網行為進行管控。嚴格記錄用戶訪問日志、規(guī)范網絡用戶的上網行為，避免網絡攻擊。行為審計系統(tǒng)可以通過應用識別和智能識別封堵各類已知和未知的P2P軟件，并通過動態(tài)流控的方式，在保證核心業(yè)務的帶寬的同時，對網絡用戶進行靈活，人性化的管控。行為審計系統(tǒng)靈活精細的網絡準入策略，可以保證上網終端的安全，以及對各類上網應用的授權，最重要的是，可以審計到各類IM聊天，加密網站，論壇，郵箱，解決傳統(tǒng)上網行為管理加密識別難的問題。

（3）在數據中心前部署高性能防火墻，建立一套在數據中心的一體化防護系統(tǒng)，可以對數據中心外發(fā)的敏感信息進行有效地攔截和控制。同時也可部署服務器負載均衡，保證服務器資源均衡調動，在服務器繁忙之時不會導致內部資源訪問緩慢；針對服務器集群采用服務器虛擬化技術，保障用戶核心應用不會因為單臺服務器的損壞導致業(yè)務中斷及數據丟失。

（4）在服務器群前部署IPS入侵檢測檢測系統(tǒng)，利用入侵檢測系統(tǒng)監(jiān)測對內，對外服務器的訪問；對服務請求內容進行控制，使非法訪問在到達主機前被阻斷；防范外網和內網對服務器的攻擊，保護服務器群的安全和DDoS攻擊。

（5）校園網應用操作系統(tǒng)盡量采用開源Linux操作系統(tǒng)，減少對windows操作系統(tǒng)的依賴性。要對服務器進行定期和不定期安全檢查，主要內容包括：SQL注入攻擊，跨站腳本攻擊，弱密碼，殺毒軟件安裝和升級，病毒木馬檢測、端口開放，網頁篡改。并認真做好系統(tǒng)安全日志。

（6）使用安全加固手段對現有服務器進行安全配置，保障服務器本身的安全性。對接入校園網的計算機要通過VLAN技術按不同工作部門或功能等劃分在不同的網段中，使不同的使用者訪問不同的資源，避免發(fā)生網絡數據風暴和資源外泄情況?？梢园淹粋€建筑物中的用戶劃分在一個網段中，也可以按職能部門劃分網段，這樣可以有效避免一些網絡安全問題的發(fā)生。同時，可以采取網絡用戶與IP地址綁定的策略，對網絡用戶采用實名認證，一旦網內主機發(fā)生不安全因素，可以快速追蹤其使用者，使其終止危害，避免更大的網絡損害。

（7）應用病毒防護和容災備份系統(tǒng)。選用功能相對完善的網絡查殺病毒軟件，采取必要的病毒檢測和監(jiān)控措施，實時查殺網絡和主機病毒，對接入網絡的各種存儲介質進行殺病毒管理。對服務器資料和重要數據定期進行及時的備份，最好使用專業(yè)的容災備份軟硬件系統(tǒng)，在網絡和信息系統(tǒng)遭到嚴重摧毀后能及時恢復，將損失降低到最小。

2.3 嚴格執(zhí)行信息發(fā)布審批制度，規(guī)范信息發(fā)布工作

學校網站信息發(fā)布要實行領導審核簽名制度。在學校網站上傳的信息，要經相關部門領導的審核后才可以上傳。學校要實行校園網絡信息安全管理機制，開發(fā)校園網站信息發(fā)布系統(tǒng)，并要通過激勵機制保證網站內容的及時更新。

2.4 涉密計算機和信息要嚴格與校園網絡物理隔離

涉密計算機及相關存儲介質的利用和管理，要選擇專人保存，涉密文件要獨立寄存,禁止攜帶保存有涉密內容的存儲介質到上網的電腦上加工、儲存、傳遞和處理文件。對涉密計算機要實行與國際互聯網及其他公共信息網物理隔離,確保學校信息安全。

2.5 嚴格規(guī)范辦公計算機管理

學校要對辦公用計算機及其設備實行“誰使用、誰管理、誰負責”的管理制度。一要加強信息安全教育，提高教學人員的計算機技能；二要要求所有的辦公電腦都安裝殺毒軟件和獨立的防火墻；三要在學校開展網絡安全知識宣傳，使全校師生意識到計算機網絡安全的重要性，提高信息安全的技能，主動，自覺做好網絡安全工作，學校要將利用計算機進行犯罪活動作為安全保衛(wèi)工作的重要內容；四是在計算機網絡維護中，專門設置網絡設備故障登記簿、電腦維護和維修表，對設備故障和維護進行認真的登記，并及時處理。

3 結語

校園網絡安全是數字化校園健康運行的基本保證。網絡數據安全和信息保護形勢日趨嚴峻，網絡安全風險和威脅已涉及到學校的安全和穩(wěn)定。各中職學校要高度重視校園網絡安全，健全管理體制機制，保障資金投入，采用科學有效的措施，加強校園網絡安全，將學校信息化發(fā)展和網絡安全同步建設。

[1]闞明.中職學校校園網絡安全探析[J].電子技術與軟件工程，2014.

[2]周倩倩.中職學校數字化校園的網絡安全問題探析[J].黑龍江科技信息，2015.

[3]張猛.中職校園網絡安全管理的措施與策略[J].信息安全與技術，2016.