翁花群 許麗光
摘? ?要:隨著互聯(lián)網(wǎng)的普及、發(fā)展和教育信息化的不斷推進(jìn),高等院校相繼建成了各自規(guī)模的校園網(wǎng)。作為信息化建設(shè)的基礎(chǔ)設(shè)施平臺(tái),校園網(wǎng)已深入到高校教學(xué)、科研、管理等各個(gè)方面,為廣大師生的工作、學(xué)習(xí)和生活帶來(lái)了極大的便利。與此同時(shí),校園網(wǎng)的安全問(wèn)題也日漸突出,如何確保校園網(wǎng)安全運(yùn)行顯得尤為重要。文章著重分析了高校校園網(wǎng)普遍存在的安全問(wèn)題,并給出相關(guān)的安全防護(hù)措施。
關(guān)鍵詞:高校校園網(wǎng);網(wǎng)絡(luò)安全;防護(hù)措施;應(yīng)急響應(yīng)
1? ? 高校校園網(wǎng)概述
1994年,我國(guó)政府開(kāi)始投資建設(shè)中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(China Education and Research Network,CERNET)[1]。在該工程建設(shè)的大力推動(dòng)下,國(guó)內(nèi)各高校的校園網(wǎng)建設(shè)工作也相繼地開(kāi)展,這標(biāo)志著我國(guó)高校進(jìn)入了校園網(wǎng)絡(luò)時(shí)代。
高校校園網(wǎng)不同于其他類型的網(wǎng)絡(luò),它不僅包括CERNET,還包括中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通等其他網(wǎng)絡(luò)服務(wù)提供商。它的網(wǎng)絡(luò)規(guī)模大,具有多樣性、復(fù)雜性和開(kāi)放性等特點(diǎn)。
2? ? 高校校園網(wǎng)安全問(wèn)題分析
高校校園網(wǎng)處于一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境,用戶眾多,網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,維護(hù)和管理相對(duì)困難,這些特點(diǎn)決定了它必然存在著安全方面的問(wèn)題。
2.1? 物理破壞
高校校園網(wǎng)絡(luò)環(huán)境內(nèi)有許多硬件設(shè)備和網(wǎng)絡(luò)線纜等設(shè)施,它們?cè)谑褂眠^(guò)程中可能遭受到水災(zāi)、火災(zāi)、地震等自然災(zāi)害以及一些人為因素的破壞。這些物理破壞都可能影響校園網(wǎng)的正常運(yùn)行,甚至造成校園網(wǎng)絡(luò)癱瘓的嚴(yán)重后果。
2.2? 計(jì)算機(jī)病毒威脅
計(jì)算機(jī)病毒是威脅校園網(wǎng)安全的一大隱患,它們可以通過(guò)存儲(chǔ)介質(zhì)、系統(tǒng)漏洞、電子郵件等途徑在校園網(wǎng)內(nèi)傳播,常見(jiàn)的有木馬、蠕蟲、后門等。計(jì)算機(jī)病毒的傳播速度快、破壞性強(qiáng)、清除難度大,給校園網(wǎng)的安全造成了嚴(yán)重的威脅。
2.3? 網(wǎng)絡(luò)攻擊
高校校園網(wǎng)具有開(kāi)放性的特點(diǎn),這就導(dǎo)致它容易遭受外部網(wǎng)絡(luò)的一些惡意攻擊,比如DDos攻擊、ARP攻擊和SQL注入攻擊等。此外,在校園網(wǎng)內(nèi)部同樣存在攻擊行為,比如一些學(xué)生出于好奇或是實(shí)踐的欲望,會(huì)利用課堂上學(xué)到的知識(shí),嘗試著對(duì)校園網(wǎng)發(fā)起攻擊。更有甚者,在一些利益的驅(qū)動(dòng)下,非法攻擊服務(wù)器,盜取內(nèi)部數(shù)據(jù)。這些內(nèi)外攻擊行為都將干擾校園網(wǎng)的正常運(yùn)行,甚至造成更嚴(yán)重的后果。
2.4? 終端漏洞
高校校園網(wǎng)絡(luò)環(huán)境內(nèi)存在的終端漏洞主要有操作系統(tǒng)漏洞、硬件設(shè)備漏洞、網(wǎng)站以及基于Web應(yīng)用的信息系統(tǒng)等代碼漏洞。這些漏洞是潛在于校園網(wǎng)內(nèi)的安全隱患,黑客等不法分子利用這些漏洞可以對(duì)校園網(wǎng)發(fā)起惡意攻擊。計(jì)算機(jī)病毒也可以利用這些漏洞進(jìn)行傳播,威脅校園網(wǎng)的安全。
2.5? 不良信息的傳播
互聯(lián)網(wǎng)上充斥著垃圾郵件、暴力色情甚至反動(dòng)等不良信息,這些信息通過(guò)互聯(lián)網(wǎng)可在高校校園網(wǎng)內(nèi)傳播,對(duì)學(xué)生的身心發(fā)展產(chǎn)生不利于健康的影響。此外,這些信息往往攜帶木馬和病毒,對(duì)校園網(wǎng)的安全也造成了嚴(yán)重的威脅。
2.6? 網(wǎng)絡(luò)安全意識(shí)薄弱
校園網(wǎng)用戶大都認(rèn)為網(wǎng)絡(luò)安全是由學(xué)校網(wǎng)絡(luò)中心等部門專門負(fù)責(zé),跟個(gè)人無(wú)關(guān),因此他們普遍都缺乏網(wǎng)絡(luò)安全意識(shí)。比如一些學(xué)生經(jīng)常會(huì)瀏覽一些不安全的網(wǎng)頁(yè)、打開(kāi)來(lái)歷不明的垃圾郵件、下載隱藏病毒的文件、安裝帶有病毒的軟件等。這種安全意識(shí)上的疏忽給校園網(wǎng)的安全也埋下了隱患。
2.7? 校園網(wǎng)安全管理缺陷
校園網(wǎng)的安全威脅也來(lái)自于管理上出現(xiàn)的問(wèn)題。高校普遍存在重運(yùn)行、輕管理的現(xiàn)象,上層領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全工作的認(rèn)知和重視程度不夠,安全工作的投入也相對(duì)較低。校園網(wǎng)管理隊(duì)伍人員不足,尤其缺少專業(yè)的網(wǎng)絡(luò)安全人才,大多數(shù)的網(wǎng)絡(luò)管理員專業(yè)技術(shù)不高,對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范和處置缺乏過(guò)硬的本領(lǐng)。此外,校園網(wǎng)的安全管理制度也不完善,不能有效地約束和規(guī)范學(xué)生、教職工的上網(wǎng)行為。
3? ? 高校校園網(wǎng)安全防護(hù)措施
基于高校校園網(wǎng)面臨的這些安全問(wèn)題,本研究將從物理環(huán)境、技術(shù)和管理等方面提出相關(guān)的防護(hù)措施。
3.1? 做好物理安全防護(hù)
物理安全防護(hù)是保障高校校園網(wǎng)安全運(yùn)行的基本前提,主要是指通過(guò)采用輻射防護(hù)、屏幕口令、狀態(tài)檢測(cè)、報(bào)警確認(rèn)、應(yīng)急恢復(fù)等手段,保護(hù)網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實(shí)體,使其免受自然災(zāi)害、物理?yè)p壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊等的破壞[2]。學(xué)校應(yīng)該將服務(wù)器、交換機(jī)和防火墻等網(wǎng)絡(luò)核心設(shè)備集中放在網(wǎng)絡(luò)中心機(jī)房,提供一個(gè)良好的機(jī)房環(huán)境,包括UPS電源、正常的溫濕度、防火、防水、防靜電、防盜等。對(duì)于光纖等網(wǎng)絡(luò)通信線路,采取架空、穿線或深埋等方式,以防線路遭受物理破壞。
3.2? 實(shí)行校園網(wǎng)實(shí)名制認(rèn)證
為落實(shí)《網(wǎng)絡(luò)安全法》關(guān)于實(shí)名制的要求,高校應(yīng)做好校園網(wǎng)用戶上網(wǎng)實(shí)名認(rèn)證工作。通過(guò)部署校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)系統(tǒng),對(duì)接入校園網(wǎng)的所有終端、設(shè)備進(jìn)行統(tǒng)一的認(rèn)證授權(quán)。所有校園網(wǎng)用戶須通過(guò)實(shí)名制認(rèn)證來(lái)開(kāi)通校園網(wǎng)賬號(hào),教職工可以使用個(gè)人工號(hào)作為上網(wǎng)賬號(hào),學(xué)生則使用學(xué)號(hào)作為上網(wǎng)賬號(hào)。對(duì)于一些外來(lái)人員或是特殊情況,可以根據(jù)實(shí)際需要,申請(qǐng)開(kāi)通臨時(shí)的實(shí)名制賬號(hào)或者采用無(wú)感知身份認(rèn)證。同時(shí),考慮到用戶有搭接路由器使用WiFi上網(wǎng)的需求,可以在認(rèn)證系統(tǒng)上配置一個(gè)賬號(hào)多終端,方便教職工及家屬使用。
3.3? 部署網(wǎng)絡(luò)安全設(shè)備,合理配置安全策略
高校應(yīng)該根據(jù)學(xué)校的實(shí)際情況,采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù),建設(shè)一套合理完善的網(wǎng)絡(luò)安全設(shè)施,并合理配置相關(guān)的安全策略,以確保整個(gè)校園網(wǎng)絡(luò)環(huán)境的基礎(chǔ)安全防護(hù),具體主要包括以下4點(diǎn)。
(1)部署防火墻和網(wǎng)絡(luò)防病毒系統(tǒng),實(shí)現(xiàn)對(duì)整個(gè)校園網(wǎng)絡(luò)安全的基本防護(hù)。在防火墻上配置訪問(wèn)控制策略,防止校內(nèi)資源被非法訪問(wèn)和使用。通過(guò)端口配置,關(guān)閉和限定一些特定端口,如445、3389、22、135、136、137、139等的訪問(wèn)。在網(wǎng)絡(luò)防病毒系統(tǒng)上設(shè)置策略,定期更新病毒庫(kù),實(shí)現(xiàn)全網(wǎng)內(nèi)所有終端自動(dòng)統(tǒng)一升級(jí),以防御新型病毒的入侵攻擊。
(2)部署Web應(yīng)用防火墻,有效防御Web應(yīng)用攻擊。部署入侵檢測(cè)和入侵防御系統(tǒng),聯(lián)合防火墻系統(tǒng),基本實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的深度防護(hù)。
(3)部署漏洞掃描系統(tǒng),主動(dòng)檢測(cè)潛在的安全漏洞并提供安全評(píng)估報(bào)告。
(4)部署堡壘機(jī),建立運(yùn)維審計(jì)制度。通過(guò)權(quán)限分配和訪問(wèn)策略配置,實(shí)現(xiàn)對(duì)校內(nèi)校外運(yùn)維工作的管理和安全審計(jì)。
3.4? 購(gòu)買專業(yè)的網(wǎng)絡(luò)安全服務(wù)
高校網(wǎng)絡(luò)信息中心通常都面臨著人員不足和安全專業(yè)技術(shù)能力不足的困境,為此高校可以拓展渠道,通過(guò)購(gòu)買服務(wù)的方式,將一部分網(wǎng)絡(luò)安全工作外包給專業(yè)的安全公司。尤其是在一些重大事件中或敏感時(shí)期內(nèi),可以借助這些專業(yè)、可信、優(yōu)秀的網(wǎng)絡(luò)安全公司,共同做好高校校園網(wǎng)的安全保障工作。
3.5? 做好校園網(wǎng)安全管理工作
“三分技術(shù),七分管理”。高校校園網(wǎng)的安全不單單依靠技術(shù)防御手段,更重要的是管理上的安全保障。
3.5.1? 建立安全管理機(jī)構(gòu)
網(wǎng)絡(luò)安全工作的開(kāi)展,需要有一個(gè)權(quán)威的、自上而下的管理機(jī)構(gòu)作為組織保障。高校應(yīng)該建立專門的網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組,由學(xué)校一把手擔(dān)任組長(zhǎng)。同時(shí),下設(shè)辦公室和網(wǎng)絡(luò)安全工作組等機(jī)構(gòu),明確分工、各司其職,共同做好校園網(wǎng)絡(luò)安全工作。
3.5.2? 制定安全管理制度
為了推動(dòng)校園網(wǎng)絡(luò)安全工作的有序進(jìn)行,高校應(yīng)根據(jù)國(guó)家相關(guān)法律法規(guī)和學(xué)校的實(shí)際情況,制定并嚴(yán)格執(zhí)行有效的安全管理制度,規(guī)范和明確網(wǎng)絡(luò)安全工作中各單位、各崗位的工作范圍和職責(zé)等內(nèi)容。
3.5.3? 加強(qiáng)網(wǎng)絡(luò)安全教育,提高安全防范意識(shí)和防范能力
高校網(wǎng)絡(luò)安全管理的一個(gè)重要方面就是要加強(qiáng)校園網(wǎng)用戶的網(wǎng)絡(luò)安全教育,提高其安全防范意識(shí)和防范能力。針對(duì)不同的校園網(wǎng)用戶群體,采取不同的措施。對(duì)于校領(lǐng)導(dǎo),著重向他們介紹網(wǎng)絡(luò)安全的重要性、緊迫性等,不斷地提高他們對(duì)網(wǎng)絡(luò)安全工作的認(rèn)知和重視程度。對(duì)于廣大師生,通過(guò)開(kāi)展網(wǎng)絡(luò)安全知識(shí)普及教育和培訓(xùn)活動(dòng),一方面使其了解網(wǎng)絡(luò)安全方面的法律法規(guī),提高他們的網(wǎng)絡(luò)安全意識(shí),另一方面,促使他們學(xué)習(xí)掌握一些基本的網(wǎng)絡(luò)安全技能,提升他們的網(wǎng)絡(luò)安全防范能力。針對(duì)網(wǎng)絡(luò)管理員、安全管理員等專業(yè)技術(shù)人員,則要求他們時(shí)刻保持對(duì)網(wǎng)絡(luò)安全方面的敏感性和警惕性,加強(qiáng)網(wǎng)絡(luò)安全專業(yè)知識(shí)和技能的學(xué)習(xí),不斷地提升應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題、維護(hù)校園網(wǎng)安全的業(yè)務(wù)能力。
3.5.4? 建立安全檢查機(jī)制,以查促改
安全檢查是安全管理當(dāng)中很重要的一個(gè)環(huán)節(jié),不容忽視。高校應(yīng)該綜合考慮不同部門的實(shí)際情況,建立一套合理的安全檢查機(jī)制。比如在重要活動(dòng)期間以及每月固定某個(gè)時(shí)間段,對(duì)學(xué)校所有網(wǎng)站以及應(yīng)用信息系統(tǒng)進(jìn)行安全巡檢。此外,還可以不定期地開(kāi)展?jié)B透、測(cè)試等安全檢查工作。通過(guò)這些常態(tài)化的工作,可以及時(shí)有效地發(fā)現(xiàn)問(wèn)題,并督促落實(shí)整改。
3.5.5? 建立應(yīng)急響應(yīng)機(jī)制
“道高一尺,魔高一丈”。很多網(wǎng)絡(luò)安全威脅防不勝防,為此,高校應(yīng)該建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的工作機(jī)制。學(xué)校要立足于自身網(wǎng)絡(luò)的特點(diǎn),制定切合學(xué)校實(shí)際的應(yīng)急處置預(yù)案。定期開(kāi)展應(yīng)急演練,在具體的實(shí)踐過(guò)程中不斷改進(jìn)和完善應(yīng)急響應(yīng)機(jī)制。
3.5.6? 做好校園網(wǎng)容災(zāi)備份建設(shè)
容災(zāi)備份指的是在災(zāi)難事件發(fā)生時(shí),可以通過(guò)容災(zāi)機(jī)制,最大限度地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù),保證工作單位的正常運(yùn)行[3]。數(shù)據(jù)容災(zāi)備份,是保障網(wǎng)絡(luò)信息安全的最后一道防線,因此,做好容災(zāi)備份的建設(shè)至關(guān)重要。高校應(yīng)該結(jié)合學(xué)校的實(shí)際需求和資金預(yù)算等情況,合理規(guī)劃、循序漸進(jìn)、分級(jí)建設(shè),比如根據(jù)不同業(yè)務(wù)系統(tǒng)的重要性、復(fù)雜度等實(shí)際情況來(lái)確定災(zāi)備方案。對(duì)于那些關(guān)鍵的核心業(yè)務(wù)系統(tǒng),除了本地?cái)?shù)據(jù)備份以外,還需要進(jìn)行異地災(zāi)備。其他非關(guān)鍵的應(yīng)用系統(tǒng),可以先做本地?cái)?shù)據(jù)備份。下一階段,在資金許可的情況下,可以進(jìn)一步考慮建設(shè)異地容災(zāi)中心,實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)程異地備份。
4? ? 結(jié)語(yǔ)
高校校園網(wǎng)的安全問(wèn)題是一個(gè)動(dòng)態(tài)的、復(fù)雜的系統(tǒng)工程,需要全方位、多層次的防范。學(xué)校必須高度重視校園網(wǎng)安全工作,通過(guò)宣傳、教育、培訓(xùn)等方式,提高校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)和防范能力。從技術(shù)和管理方面雙管齊下,建立一套以先進(jìn)的網(wǎng)絡(luò)安全技術(shù)為支撐,科學(xué)的安全管理手段相配合的校園網(wǎng)安全防護(hù)措施。同時(shí),還應(yīng)與時(shí)俱進(jìn),不斷地更新和完善校園網(wǎng)安全防護(hù)體系,不斷地提升校園網(wǎng)的安全防御能力,確保校園網(wǎng)更加安全地運(yùn)行,進(jìn)而更好地服務(wù)于學(xué)校的教學(xué)、科研和管理等方面。作者簡(jiǎn)介:翁花群(1987— ),女,福建莆田人,實(shí)驗(yàn)師,碩士;研究方向:多媒體通信,無(wú)線傳輸。