高校校園網(wǎng)安全問(wèn)題及防護(hù)措施分析

翁花群 許麗光

摘? ?要：隨著互聯(lián)網(wǎng)的普及、發(fā)展和教育信息化的不斷推進(jìn)，高等院校相繼建成了各自規(guī)模的校園網(wǎng)。作為信息化建設(shè)的基礎(chǔ)設(shè)施平臺(tái)，校園網(wǎng)已深入到高校教學(xué)、科研、管理等各個(gè)方面，為廣大師生的工作、學(xué)習(xí)和生活帶來(lái)了極大的便利。與此同時(shí)，校園網(wǎng)的安全問(wèn)題也日漸突出，如何確保校園網(wǎng)安全運(yùn)行顯得尤為重要。文章著重分析了高校校園網(wǎng)普遍存在的安全問(wèn)題，并給出相關(guān)的安全防護(hù)措施。

關(guān)鍵詞：高校校園網(wǎng);網(wǎng)絡(luò)安全;防護(hù)措施;應(yīng)急響應(yīng)

1? ? 高校校園網(wǎng)概述

1994年，我國(guó)政府開(kāi)始投資建設(shè)中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（China Education and Research Network，CERNET）[1]。在該工程建設(shè)的大力推動(dòng)下，國(guó)內(nèi)各高校的校園網(wǎng)建設(shè)工作也相繼地開(kāi)展，這標(biāo)志著我國(guó)高校進(jìn)入了校園網(wǎng)絡(luò)時(shí)代。

高校校園網(wǎng)不同于其他類型的網(wǎng)絡(luò)，它不僅包括CERNET，還包括中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通等其他網(wǎng)絡(luò)服務(wù)提供商。它的網(wǎng)絡(luò)規(guī)模大，具有多樣性、復(fù)雜性和開(kāi)放性等特點(diǎn)。

2? ? 高校校園網(wǎng)安全問(wèn)題分析

高校校園網(wǎng)處于一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，用戶眾多，網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，維護(hù)和管理相對(duì)困難，這些特點(diǎn)決定了它必然存在著安全方面的問(wèn)題。

2.1? 物理破壞

高校校園網(wǎng)絡(luò)環(huán)境內(nèi)有許多硬件設(shè)備和網(wǎng)絡(luò)線纜等設(shè)施，它們?cè)谑褂眠^(guò)程中可能遭受到水災(zāi)、火災(zāi)、地震等自然災(zāi)害以及一些人為因素的破壞。這些物理破壞都可能影響校園網(wǎng)的正常運(yùn)行，甚至造成校園網(wǎng)絡(luò)癱瘓的嚴(yán)重后果。

2.2? 計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒是威脅校園網(wǎng)安全的一大隱患，它們可以通過(guò)存儲(chǔ)介質(zhì)、系統(tǒng)漏洞、電子郵件等途徑在校園網(wǎng)內(nèi)傳播，常見(jiàn)的有木馬、蠕蟲、后門等。計(jì)算機(jī)病毒的傳播速度快、破壞性強(qiáng)、清除難度大，給校園網(wǎng)的安全造成了嚴(yán)重的威脅。

2.3? 網(wǎng)絡(luò)攻擊

高校校園網(wǎng)具有開(kāi)放性的特點(diǎn)，這就導(dǎo)致它容易遭受外部網(wǎng)絡(luò)的一些惡意攻擊，比如DDos攻擊、ARP攻擊和SQL注入攻擊等。此外，在校園網(wǎng)內(nèi)部同樣存在攻擊行為，比如一些學(xué)生出于好奇或是實(shí)踐的欲望，會(huì)利用課堂上學(xué)到的知識(shí)，嘗試著對(duì)校園網(wǎng)發(fā)起攻擊。更有甚者，在一些利益的驅(qū)動(dòng)下，非法攻擊服務(wù)器，盜取內(nèi)部數(shù)據(jù)。這些內(nèi)外攻擊行為都將干擾校園網(wǎng)的正常運(yùn)行，甚至造成更嚴(yán)重的后果。

2.4? 終端漏洞

高校校園網(wǎng)絡(luò)環(huán)境內(nèi)存在的終端漏洞主要有操作系統(tǒng)漏洞、硬件設(shè)備漏洞、網(wǎng)站以及基于Web應(yīng)用的信息系統(tǒng)等代碼漏洞。這些漏洞是潛在于校園網(wǎng)內(nèi)的安全隱患，黑客等不法分子利用這些漏洞可以對(duì)校園網(wǎng)發(fā)起惡意攻擊。計(jì)算機(jī)病毒也可以利用這些漏洞進(jìn)行傳播，威脅校園網(wǎng)的安全。

2.5? 不良信息的傳播

互聯(lián)網(wǎng)上充斥著垃圾郵件、暴力色情甚至反動(dòng)等不良信息，這些信息通過(guò)互聯(lián)網(wǎng)可在高校校園網(wǎng)內(nèi)傳播，對(duì)學(xué)生的身心發(fā)展產(chǎn)生不利于健康的影響。此外，這些信息往往攜帶木馬和病毒，對(duì)校園網(wǎng)的安全也造成了嚴(yán)重的威脅。

2.6? 網(wǎng)絡(luò)安全意識(shí)薄弱

校園網(wǎng)用戶大都認(rèn)為網(wǎng)絡(luò)安全是由學(xué)校網(wǎng)絡(luò)中心等部門專門負(fù)責(zé)，跟個(gè)人無(wú)關(guān)，因此他們普遍都缺乏網(wǎng)絡(luò)安全意識(shí)。比如一些學(xué)生經(jīng)常會(huì)瀏覽一些不安全的網(wǎng)頁(yè)、打開(kāi)來(lái)歷不明的垃圾郵件、下載隱藏病毒的文件、安裝帶有病毒的軟件等。這種安全意識(shí)上的疏忽給校園網(wǎng)的安全也埋下了隱患。

2.7? 校園網(wǎng)安全管理缺陷

校園網(wǎng)的安全威脅也來(lái)自于管理上出現(xiàn)的問(wèn)題。高校普遍存在重運(yùn)行、輕管理的現(xiàn)象，上層領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全工作的認(rèn)知和重視程度不夠，安全工作的投入也相對(duì)較低。校園網(wǎng)管理隊(duì)伍人員不足，尤其缺少專業(yè)的網(wǎng)絡(luò)安全人才，大多數(shù)的網(wǎng)絡(luò)管理員專業(yè)技術(shù)不高，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范和處置缺乏過(guò)硬的本領(lǐng)。此外，校園網(wǎng)的安全管理制度也不完善，不能有效地約束和規(guī)范學(xué)生、教職工的上網(wǎng)行為。

3? ? 高校校園網(wǎng)安全防護(hù)措施

基于高校校園網(wǎng)面臨的這些安全問(wèn)題，本研究將從物理環(huán)境、技術(shù)和管理等方面提出相關(guān)的防護(hù)措施。

3.1? 做好物理安全防護(hù)

物理安全防護(hù)是保障高校校園網(wǎng)安全運(yùn)行的基本前提，主要是指通過(guò)采用輻射防護(hù)、屏幕口令、狀態(tài)檢測(cè)、報(bào)警確認(rèn)、應(yīng)急恢復(fù)等手段，保護(hù)網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實(shí)體，使其免受自然災(zāi)害、物理?yè)p壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊等的破壞[2]。學(xué)校應(yīng)該將服務(wù)器、交換機(jī)和防火墻等網(wǎng)絡(luò)核心設(shè)備集中放在網(wǎng)絡(luò)中心機(jī)房，提供一個(gè)良好的機(jī)房環(huán)境，包括UPS電源、正常的溫濕度、防火、防水、防靜電、防盜等。對(duì)于光纖等網(wǎng)絡(luò)通信線路，采取架空、穿線或深埋等方式，以防線路遭受物理破壞。

3.2? 實(shí)行校園網(wǎng)實(shí)名制認(rèn)證

為落實(shí)《網(wǎng)絡(luò)安全法》關(guān)于實(shí)名制的要求，高校應(yīng)做好校園網(wǎng)用戶上網(wǎng)實(shí)名認(rèn)證工作。通過(guò)部署校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)系統(tǒng)，對(duì)接入校園網(wǎng)的所有終端、設(shè)備進(jìn)行統(tǒng)一的認(rèn)證授權(quán)。所有校園網(wǎng)用戶須通過(guò)實(shí)名制認(rèn)證來(lái)開(kāi)通校園網(wǎng)賬號(hào)，教職工可以使用個(gè)人工號(hào)作為上網(wǎng)賬號(hào)，學(xué)生則使用學(xué)號(hào)作為上網(wǎng)賬號(hào)。對(duì)于一些外來(lái)人員或是特殊情況，可以根據(jù)實(shí)際需要，申請(qǐng)開(kāi)通臨時(shí)的實(shí)名制賬號(hào)或者采用無(wú)感知身份認(rèn)證。同時(shí)，考慮到用戶有搭接路由器使用WiFi上網(wǎng)的需求，可以在認(rèn)證系統(tǒng)上配置一個(gè)賬號(hào)多終端，方便教職工及家屬使用。

3.3? 部署網(wǎng)絡(luò)安全設(shè)備，合理配置安全策略

高校應(yīng)該根據(jù)學(xué)校的實(shí)際情況，采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，建設(shè)一套合理完善的網(wǎng)絡(luò)安全設(shè)施，并合理配置相關(guān)的安全策略，以確保整個(gè)校園網(wǎng)絡(luò)環(huán)境的基礎(chǔ)安全防護(hù)，具體主要包括以下4點(diǎn)。

（1）部署防火墻和網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)整個(gè)校園網(wǎng)絡(luò)安全的基本防護(hù)。在防火墻上配置訪問(wèn)控制策略，防止校內(nèi)資源被非法訪問(wèn)和使用。通過(guò)端口配置，關(guān)閉和限定一些特定端口，如445、3389、22、135、136、137、139等的訪問(wèn)。在網(wǎng)絡(luò)防病毒系統(tǒng)上設(shè)置策略，定期更新病毒庫(kù)，實(shí)現(xiàn)全網(wǎng)內(nèi)所有終端自動(dòng)統(tǒng)一升級(jí)，以防御新型病毒的入侵攻擊。

（2）部署Web應(yīng)用防火墻，有效防御Web應(yīng)用攻擊。部署入侵檢測(cè)和入侵防御系統(tǒng)，聯(lián)合防火墻系統(tǒng)，基本實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的深度防護(hù)。

（3）部署漏洞掃描系統(tǒng)，主動(dòng)檢測(cè)潛在的安全漏洞并提供安全評(píng)估報(bào)告。

（4）部署堡壘機(jī)，建立運(yùn)維審計(jì)制度。通過(guò)權(quán)限分配和訪問(wèn)策略配置，實(shí)現(xiàn)對(duì)校內(nèi)校外運(yùn)維工作的管理和安全審計(jì)。

3.4? 購(gòu)買專業(yè)的網(wǎng)絡(luò)安全服務(wù)

高校網(wǎng)絡(luò)信息中心通常都面臨著人員不足和安全專業(yè)技術(shù)能力不足的困境，為此高校可以拓展渠道，通過(guò)購(gòu)買服務(wù)的方式，將一部分網(wǎng)絡(luò)安全工作外包給專業(yè)的安全公司。尤其是在一些重大事件中或敏感時(shí)期內(nèi)，可以借助這些專業(yè)、可信、優(yōu)秀的網(wǎng)絡(luò)安全公司，共同做好高校校園網(wǎng)的安全保障工作。

3.5? 做好校園網(wǎng)安全管理工作

“三分技術(shù)，七分管理”。高校校園網(wǎng)的安全不單單依靠技術(shù)防御手段，更重要的是管理上的安全保障。

3.5.1? 建立安全管理機(jī)構(gòu)

網(wǎng)絡(luò)安全工作的開(kāi)展，需要有一個(gè)權(quán)威的、自上而下的管理機(jī)構(gòu)作為組織保障。高校應(yīng)該建立專門的網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，由學(xué)校一把手擔(dān)任組長(zhǎng)。同時(shí)，下設(shè)辦公室和網(wǎng)絡(luò)安全工作組等機(jī)構(gòu)，明確分工、各司其職，共同做好校園網(wǎng)絡(luò)安全工作。

3.5.2? 制定安全管理制度

為了推動(dòng)校園網(wǎng)絡(luò)安全工作的有序進(jìn)行，高校應(yīng)根據(jù)國(guó)家相關(guān)法律法規(guī)和學(xué)校的實(shí)際情況，制定并嚴(yán)格執(zhí)行有效的安全管理制度，規(guī)范和明確網(wǎng)絡(luò)安全工作中各單位、各崗位的工作范圍和職責(zé)等內(nèi)容。

3.5.3? 加強(qiáng)網(wǎng)絡(luò)安全教育，提高安全防范意識(shí)和防范能力

高校網(wǎng)絡(luò)安全管理的一個(gè)重要方面就是要加強(qiáng)校園網(wǎng)用戶的網(wǎng)絡(luò)安全教育，提高其安全防范意識(shí)和防范能力。針對(duì)不同的校園網(wǎng)用戶群體，采取不同的措施。對(duì)于校領(lǐng)導(dǎo)，著重向他們介紹網(wǎng)絡(luò)安全的重要性、緊迫性等，不斷地提高他們對(duì)網(wǎng)絡(luò)安全工作的認(rèn)知和重視程度。對(duì)于廣大師生，通過(guò)開(kāi)展網(wǎng)絡(luò)安全知識(shí)普及教育和培訓(xùn)活動(dòng)，一方面使其了解網(wǎng)絡(luò)安全方面的法律法規(guī)，提高他們的網(wǎng)絡(luò)安全意識(shí)，另一方面，促使他們學(xué)習(xí)掌握一些基本的網(wǎng)絡(luò)安全技能，提升他們的網(wǎng)絡(luò)安全防范能力。針對(duì)網(wǎng)絡(luò)管理員、安全管理員等專業(yè)技術(shù)人員，則要求他們時(shí)刻保持對(duì)網(wǎng)絡(luò)安全方面的敏感性和警惕性，加強(qiáng)網(wǎng)絡(luò)安全專業(yè)知識(shí)和技能的學(xué)習(xí)，不斷地提升應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題、維護(hù)校園網(wǎng)安全的業(yè)務(wù)能力。

3.5.4? 建立安全檢查機(jī)制，以查促改

安全檢查是安全管理當(dāng)中很重要的一個(gè)環(huán)節(jié)，不容忽視。高校應(yīng)該綜合考慮不同部門的實(shí)際情況，建立一套合理的安全檢查機(jī)制。比如在重要活動(dòng)期間以及每月固定某個(gè)時(shí)間段，對(duì)學(xué)校所有網(wǎng)站以及應(yīng)用信息系統(tǒng)進(jìn)行安全巡檢。此外，還可以不定期地開(kāi)展?jié)B透、測(cè)試等安全檢查工作。通過(guò)這些常態(tài)化的工作，可以及時(shí)有效地發(fā)現(xiàn)問(wèn)題，并督促落實(shí)整改。

3.5.5? 建立應(yīng)急響應(yīng)機(jī)制

“道高一尺，魔高一丈”。很多網(wǎng)絡(luò)安全威脅防不勝防，為此，高校應(yīng)該建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的工作機(jī)制。學(xué)校要立足于自身網(wǎng)絡(luò)的特點(diǎn)，制定切合學(xué)校實(shí)際的應(yīng)急處置預(yù)案。定期開(kāi)展應(yīng)急演練，在具體的實(shí)踐過(guò)程中不斷改進(jìn)和完善應(yīng)急響應(yīng)機(jī)制。

3.5.6? 做好校園網(wǎng)容災(zāi)備份建設(shè)

容災(zāi)備份指的是在災(zāi)難事件發(fā)生時(shí)，可以通過(guò)容災(zāi)機(jī)制，最大限度地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)，保證工作單位的正常運(yùn)行[3]。數(shù)據(jù)容災(zāi)備份，是保障網(wǎng)絡(luò)信息安全的最后一道防線，因此，做好容災(zāi)備份的建設(shè)至關(guān)重要。高校應(yīng)該結(jié)合學(xué)校的實(shí)際需求和資金預(yù)算等情況，合理規(guī)劃、循序漸進(jìn)、分級(jí)建設(shè)，比如根據(jù)不同業(yè)務(wù)系統(tǒng)的重要性、復(fù)雜度等實(shí)際情況來(lái)確定災(zāi)備方案。對(duì)于那些關(guān)鍵的核心業(yè)務(wù)系統(tǒng)，除了本地?cái)?shù)據(jù)備份以外，還需要進(jìn)行異地災(zāi)備。其他非關(guān)鍵的應(yīng)用系統(tǒng)，可以先做本地?cái)?shù)據(jù)備份。下一階段，在資金許可的情況下，可以進(jìn)一步考慮建設(shè)異地容災(zāi)中心，實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)程異地備份。

4? ? 結(jié)語(yǔ)

高校校園網(wǎng)的安全問(wèn)題是一個(gè)動(dòng)態(tài)的、復(fù)雜的系統(tǒng)工程，需要全方位、多層次的防范。學(xué)校必須高度重視校園網(wǎng)安全工作，通過(guò)宣傳、教育、培訓(xùn)等方式，提高校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)和防范能力。從技術(shù)和管理方面雙管齊下，建立一套以先進(jìn)的網(wǎng)絡(luò)安全技術(shù)為支撐，科學(xué)的安全管理手段相配合的校園網(wǎng)安全防護(hù)措施。同時(shí)，還應(yīng)與時(shí)俱進(jìn)，不斷地更新和完善校園網(wǎng)安全防護(hù)體系，不斷地提升校園網(wǎng)的安全防御能力，確保校園網(wǎng)更加安全地運(yùn)行，進(jìn)而更好地服務(wù)于學(xué)校的教學(xué)、科研和管理等方面。作者簡(jiǎn)介：翁花群（1987— ），女，福建莆田人，實(shí)驗(yàn)師，碩士;研究方向：多媒體通信，無(wú)線傳輸。