校園網絡管理及其安全防護模式構建

孫中全

(滁州職業(yè)技術學院，安徽 滁州 239000)

美國在20世紀90年代興建“信息高速公路”過程中，提出了“教育信息化”和“校園信息化”的概念，并將其納入學校長遠發(fā)展規(guī)劃中，以提高師生信息科技素養(yǎng).伴隨著信息科技的發(fā)展及其在社會各領域的廣泛應用，世界各國的教育信息化建設步伐也不斷加快，使得教育現代化進程得到了極大的推動.現在，各國都將教育信息化建設視為建設人力資源強國、實現經濟快速發(fā)展的前瞻性戰(zhàn)略選擇.2011年，我國印發(fā)《國家中長期教育改革和發(fā)展規(guī)劃綱要》，提出“加快教育信息基礎設施建設、加強優(yōu)質教育資源開發(fā)與應用、構建國家教育管理信息系統(tǒng)”三大發(fā)展任務，為我國教育信息化建設指明了發(fā)展的主流方向.在2012年時，國家發(fā)布了《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》，進一步加快了我國教育信息化建設.兩年后，《構建利用信息化手段擴大優(yōu)質教育資源覆蓋面有效機制的實施方案》發(fā)布，其提出要通過教育信息化來促進教育現代化發(fā)展，提高教育信息化水平，是我國教育改革的戰(zhàn)略選擇，有助于優(yōu)化教育資源配置，促進教育公平與創(chuàng)新、提升教育質量源配置.十八大提出深化教育改革，就要科學、合理、有針對地進行教育信息化建設；十九大強調要以教育信息化全面推動教育現代化.在此背景下，校園網絡建設水平成了衡量學校整體辦學實力及學術地位的重要標志.校園網絡建設的主要目的，是利用信息科技和網絡技術來促進教育目標順利達成，推動學校實現可持續(xù)發(fā)展.校園網絡集成了互聯網技術、信息技術及多媒體技術等多種技術手段，融合了多種教育管理與教學資源，具有良好的開放性、交互性和共享性，可以開發(fā)更多教學資源，實現教育管理與教學方式、方法的變革.不同用戶憑借相應的權限，通過統(tǒng)一的入口，能獲取不同的信息和業(yè)務服務.如今，我國校園信息化建設已取得豐碩的階段性成果，相關理論研究也日趨成熟和完善.然而，在校園網絡建設中，也出現了一些問題，其中，最為突出的是網絡安全問題，因網絡安全防護不當，導致校園網絡安全事件頻發(fā)，不僅系統(tǒng)存在漏洞，也容易導致黑客攻擊、病毒感染及非法入侵、垃圾郵件等，尤其是職專學校存在資金不足、技術水平有限、領導重視不足等問題，導致網絡安全防護已成為校園網絡建設的瓶頸.為提高校園網絡可靠性，讓校園網絡環(huán)境更加“綠色安全”，使學校的各項教學資源得到合理、安全、有效的利用，同時，為教學與學術交流打造完全、可靠、方便維護的線上環(huán)境，本文著重探討校園網絡管理及其安全防護問題，希冀能構建一個有深度的全局安全防護方案，確保校園網絡安全.

1 校園網絡安全防護管理現狀

校園網絡能為學校的師生及相關工作人員提供寬帶多媒體網絡服務，是在校學生、教師和科研人員的專用網絡，具有綜合信息服務的特性.其屬于局域網，可以進行信息共享和信息交換，專業(yè)性比較強.校園網絡內通常會鏈接多媒體教學平臺、教師科研平臺、校園服務平臺等，其下又細分為多個小型局域網，如學院網、專業(yè)網或系網等.校園網絡還具有教務、行政和總務管理功能，為學校人事、資產、后勤管理等提供支持.校園網絡的特點是環(huán)境復雜、建設整體規(guī)劃欠缺、用戶群密集且存在上網高峰期、校園網絡資源豐富但存在大量安全漏洞等.校園網絡安全是指校園網絡中軟、硬件及一切數據資源安全、完整，能最大程度地防范和抵御網絡入侵和篡改、泄密等，使網絡系統(tǒng)可以連續(xù)、可靠、正常地運行.校園網絡安全也包括相關網絡系統(tǒng)設備的保護與管理.

校園網絡對于校園信息化建設，具有重要的支撐作用，其對學校教學、科研及管理等工作，都起到了基礎的保障作用.校園網絡服務對象數量比較多，經常出現帶寬不足的問題；網絡應用數量增加迅速，盜版應用也呈泛濫之勢，病毒、黑客以及木馬帶來的威脅多而頻繁，校園網絡安全性問題令人堪憂.盡管校園信息化建設逐漸完善，各種網絡設備、設施及軟件等也配備良好，保障網絡運行的基礎技術手段也已具備.有的學校還設置了防火墻及綠盟 NIPS，不過有效安全策略配置不是很理想.另外，專業(yè)網絡安全管理人員也比較缺乏，服務器安全防護不到位，網絡中存在單點故障、無負載的隱患，網站經常受內網用戶的入侵.內網安裝應用了360 防病毒軟件等進行病毒安全防范，不過，還是無法解決病毒泛濫的問題.

2 當前校園網絡面臨的安全威脅分析

雖然學校在建設校園網絡的過程中，會安裝防火墻，使用殺毒軟件等安全防護工具，實行用戶身份認證等，但網絡安全保障能力仍然存在很多問題：

2.1 學校網絡安全防護能力比較弱

缺乏網管與安管系統(tǒng)、網絡安全威脅響應和處理欠缺科學性、網絡整體安全性監(jiān)測不到位、風險管理滯后等，學校部署的網絡安全防護設備也較少.

2.2 系統(tǒng)漏洞及網絡協議存在缺陷

所有的網絡都需要使用操作系統(tǒng)，但操作系統(tǒng)都會存在缺陷或漏洞，不管是多么先進的操作系統(tǒng).可以說，沒有100%安全的操作系統(tǒng)，源代碼、模型、不正確的配置等這些缺陷與漏洞，都給網絡入侵者帶來了可乘之機.網絡通信協議是網絡傳輸的必要條件，在各個層次和方面，網絡通信協議也會存在漏洞.因為TCP/IP協議具有通用型與開放性特點，很多網絡都選擇使用該協議，校園網絡也是如此.然而，TCP/IP協議是以明碼形式傳輸數據包的，數據包沒有封裝，導致信息在傳輸過程中，極易被修改、竊聽或偽造，導致數據信息失真或網絡被攻擊.

2.3 外部網絡安全威脅比較多

互聯網具有無國界性、開放性、無時空性等，這使得其會面臨各種各樣的威脅.這類威脅以炫技、惡意破壞、篡改數據、敲詐錢財等為目的，可以利用網絡系統(tǒng)漏洞攻擊各種網絡設備，還能利用內網用戶，來對校園網進行攻擊.這種攻擊不是有針對性的，而且比較隨機，沒有明確的方向，攻擊的復雜程度也比較高，其造成的后果往往都比較嚴重.信息泄漏和拒絕服務是最常見的兩種威脅.例如，木馬程序已經廣泛地存在于我國網絡資源應用領域的各個層面，直接威脅著計算機應用程序.由于校園網絡的應用通常都不是非常先進，傳統(tǒng)操作系統(tǒng)占據多數，因而對病毒的處理能力不足，進而影響校園網絡的質量.另外，一些校園網絡服務器比較脆弱，難以應對惡性攻擊等問題.

2.4 內部網絡存在安全威脅

校園內有的學生可能會因為各種心理，例如，試驗、好奇、炫技等，對校園網絡進行入侵.部分教職工網絡安全意識不強，在瀏覽網頁或使用網絡進行辦公、教學時，有可能會無意點開非法鏈接、不明郵件或掛馬網站等，進而導致校園網絡遭受攻擊，產生堵塞或網絡癱瘓等問題.由于校園網絡的交互性，網絡中應用系統(tǒng)呈現多樣化，學生的鑒別能力有限，下載的應用軟件也無法判斷其質量，容易導致用戶終端感染病毒，繼而導致病毒木馬等在校園網絡內傳播，影響校園網絡的正常使用.

2.5 校園網絡監(jiān)管工作實效有待提升

校園網絡的整體運行質量會受到多種因素的影響，但由于學校對于網絡安全問題重視不夠，導致校園網絡監(jiān)管工作比較低效.此外，在教學改革的推動下，“慕課”、“微課”等網絡視頻教學系統(tǒng)也接入校園網絡，進一步加大了校園網絡管理以及維護的難度系數.

除了上文所述的網絡安全威脅之外，在當今云數據中心組網模式下，還有很多新的網絡安全威脅出現，例如，資源池不可用；利用傳統(tǒng)的安全技術，不能有效保護云主機安全；云環(huán)境輕邊界的模式，如果遭受泛洪攻擊，斷網問題將不可避免.

3 校園網絡管理及其安全防護模式構建策略

3.1構建目標及原則

分析校園網絡存在的諸多安全問題，可以看出，少部分是因用戶操作導致，大部分是因缺乏安全防護造成.建立綜合性校園網絡安全管理與防護系統(tǒng)，必須要瞄準前沿技術、立足學校信息化建設需求，有針對性地打造集多功能于一體的安全防護模式，真正實現校園網絡安全，達到“非法用戶進不來、秘密信息取不走、網絡基礎摧不垮”目的.安全防護模式需要為終端用戶提供一組方便的管理工具，為信息安全管理員提供一組管理工具和終端控制和審計功能，在系統(tǒng)內提供各類與信息安全保密相關的查詢功能和統(tǒng)計報表，這樣才能進一步提升安全管理和防護能力.

在構建防護模式時，需要堅持如下幾個原則：第一，實用性與先進性原則.只有實用才能使系統(tǒng)得到廣泛應用，采用先進成熟的技術，也才能使系統(tǒng)具有先進性；第二，可靠性與安全性原則.可靠性是系統(tǒng)穩(wěn)定運行的關鍵，系統(tǒng)所用軟件和硬件都應經過嚴格檢驗與測試，以保證安全管理與防護確實有效；第四，系統(tǒng)完整性與可擴展性原則.前者是指系統(tǒng)要具有完全的獨立開展安全管理與防護的能力，還要為數據統(tǒng)計、分析及審計提供支持.信息安全理論與技術發(fā)展日新月異，只有具備良好的可擴展性，才能靈活、自適應地進行升級和擴展.

3.2 構建策略

3.2.1 安全防護模式構建

(1)第一層防線：構筑校園網絡防火墻，防火墻能阻止外部用戶訪問校園網絡，并且能有針對性地屏蔽外界網絡信息，確保校園網絡信息安全.通過第一層防線，能夠有針對性地制定網絡安全策略，這樣可以加強對訪問者的控制.這是基礎安全防線，具有至關重要的基礎作用.

(2)第二層防線：主動防御.這是一種動態(tài)網絡安全防護技術，其能快速發(fā)現網絡入侵行為，并向用戶發(fā)出警示.主動防御還能對本地入侵數據庫進行搜索，分類識別各種常見的入侵數據，為用戶及時發(fā)出警示，并能發(fā)現新的入侵行為，安全防護能力比較強大.

(3)第三層防線：這層防線主要是由系統(tǒng)漏洞掃描體系組成的，能夠抵御多種入侵，實踐證明其防護能力比較可靠.各操作系統(tǒng)、防火墻系統(tǒng)、WEB站點等，都不可避免地會存在漏洞，定期進行漏洞掃描，可以發(fā)現系統(tǒng)存在的漏洞，并及時下載補丁進行修復，從而提高校園網絡的風險抵御能力，有效避免發(fā)生利用漏洞進行的惡意入侵.

(4)第四層防線：主要是獲得入侵特征信息，反擊外界入侵行為.該層防線能有針對性地制定反擊非法入侵者的供給策略，使入侵者不能在校園網絡中通信，進而保障校園網絡的安全、穩(wěn)定、有序地運行，保證校園網絡中的數據能在各通道中安全傳輸.

3.2.2 安全防護管理策略

(1)在校園內進行網絡安全教育與宣傳.學校管理層要重視校園網絡安全防護工作，通過立體式的宣傳教育，引導廣大師生主動增強網絡安全意識和防護能力，提高對非法鏈接、郵件等的警惕性，實現文明上網.

(2)加大對校園網絡安全防護資金支持.建設校園網絡安全防護模式，需要花費一定的資金，來完善和改進防護設備與系統(tǒng)，還需要引進專業(yè)維護管理人才，這都需要投入資金，學校應從資金、物力和人力上給予充分的支持.

(3)完善安全防護技術手段.在校園網絡安全防護管理中，要采用防火墻、入侵檢測、防病毒等多元技術，切實保障校園網絡安全.

(4)對重要數據傳輸進行加密.在鏈路層和網絡層，要盡量使用密碼設備，對于那些非常重要的或機密的數據信息，進行傳輸時，必須要嚴格進行加密處理.要對終端用戶行為進行監(jiān)控，規(guī)范其上網行為.科學劃分VLAN，根據安全級別及應用業(yè)務種類，合理控制交互訪問，分段隔離網絡，防止發(fā)生數據泄密.

(5)強化校園網絡安全防護制度管理.網絡安全是一項任重而道遠的工作，而且這項工作是全面的、動態(tài)的，學校要立足信息安全建設實際需要，組建專業(yè)網絡安全管理隊伍，全面管理校園網絡安全防護工作.根據校園網絡安全防護管理實際，科學制定和完善相關的管理、檢查、獎懲等制度，構建完善的安全保障體系，并在實踐中落實到位.定期開展網絡安全檢查，強化對計算機安全防護工作監(jiān)督，一旦發(fā)現問題，應立即采取對策進行及時整改，做到防患于未然.

4 結 語

綜上所述，在校園信息化建設進程不斷加快的背景下，學校對于網絡的可管理性與安全性的需求越來越高.學校管理層必須要從思想意識上重視校園網絡安全防護管理工作，結合學校的實際情況，探尋最適合學校的校園信息化建設的網絡安全防護方案，以最大限度地維護校園網路安全.