王喜東+路兆銘+溫向明+趙君

摘要：信息技術(shù)的發(fā)展深刻影響著國(guó)家教育方針、人才培養(yǎng)策略的制定，為了有效應(yīng)對(duì)信息技術(shù)的高速發(fā)展，我國(guó)于2012年提出了“三通兩平臺(tái)”的教育信息化建設(shè)目標(biāo)，教育信息網(wǎng)絡(luò)的基礎(chǔ)建設(shè)是教育信息化發(fā)展的基石，本著有線無(wú)線一體化管理思路，該文分析了教育信息網(wǎng)絡(luò)發(fā)展過(guò)程中出現(xiàn)的安全問(wèn)題，同時(shí)提出了相應(yīng)的安全應(yīng)對(duì)策略，為“三通兩平臺(tái)”的建設(shè)保駕護(hù)航。

關(guān)鍵詞：三通兩平臺(tái)；教育信息網(wǎng)絡(luò)；安全問(wèn)題及應(yīng)對(duì)策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）10-0047-02

為了在新環(huán)境下，在現(xiàn)有的教育信息化基礎(chǔ)設(shè)施的基礎(chǔ)上，有效地應(yīng)對(duì)信息技術(shù)的發(fā)展對(duì)教育事業(yè)的影響，進(jìn)一步完善教育信息化基礎(chǔ)設(shè)施，更新國(guó)家人才培養(yǎng)策略，我國(guó)于2012年提出了“三通兩平臺(tái)”的教育信息化建設(shè)目標(biāo)[1，2]。

由于使用教育信息網(wǎng)絡(luò)的多為教職人員以及各中、小學(xué)以及高校的在校學(xué)生，這些學(xué)生對(duì)網(wǎng)絡(luò)資源的需求非常高，對(duì)網(wǎng)絡(luò)信息的好奇性非常強(qiáng)，同時(shí)考慮教育信息網(wǎng)絡(luò)共享資源多為教育資源，這些資源的優(yōu)良程度關(guān)系到國(guó)家人才培養(yǎng)的最終質(zhì)量。

鑒于教育信息網(wǎng)絡(luò)的特殊性，及其主要依托的無(wú)線校園網(wǎng)絡(luò)的安全性不是太高，教育信息網(wǎng)絡(luò)極易受到網(wǎng)絡(luò)黑客攻擊，產(chǎn)生安全問(wèn)題，因此在推動(dòng)“三通兩平臺(tái)”建設(shè)的過(guò)程中，教育信息網(wǎng)絡(luò)的安全問(wèn)題不容忽視。本文就以“三通兩平臺(tái)”的建設(shè)宗旨出發(fā)，分析了教育信息網(wǎng)絡(luò)潛在的安全問(wèn)題，并提出了相應(yīng)的應(yīng)對(duì)策略，為“三通兩平臺(tái)”的建設(shè)保駕護(hù)航。

1 “三通兩平臺(tái)”建設(shè)

“三通兩平臺(tái)”是教育部“十二五”期間教育信息化核心目標(biāo)，其本質(zhì)是創(chuàng)新教育信息發(fā)展機(jī)制，提高教育信息化發(fā)展水平，不斷促進(jìn)信息技術(shù)與教育教學(xué)的深度融合，進(jìn)一步將信息技術(shù)變革的優(yōu)良產(chǎn)物深入應(yīng)用到教學(xué)實(shí)踐活動(dòng)中，提高人才培養(yǎng)的質(zhì)量和效率，最終達(dá)到提升我國(guó)綜合國(guó)力的目標(biāo)[1-3]。

“三通兩平臺(tái)”中三通包括“寬帶網(wǎng)絡(luò)校校通”、“優(yōu)質(zhì)資源班班通”以及“網(wǎng)絡(luò)學(xué)習(xí)空間人人通”，三通具體內(nèi)涵可以表述如下[4，5]：

“寬帶網(wǎng)絡(luò)校校通”：基于學(xué)校教育信息化軟硬件基礎(chǔ)設(shè)施建設(shè)，2015年之前基本解決各級(jí)各類學(xué)校寬帶接入問(wèn)題，初步完成各級(jí)各類學(xué)校網(wǎng)絡(luò)條件下基本的教學(xué)和學(xué)習(xí)環(huán)境建設(shè)，在以校為本的教育信息化網(wǎng)絡(luò)中不僅通寬帶，最重要的是要通資源，達(dá)到各級(jí)各類學(xué)校教學(xué)資源的有效共享。

“優(yōu)質(zhì)資源班班通”：加強(qiáng)優(yōu)質(zhì)數(shù)字資源的建設(shè)，形成豐富的各級(jí)各類優(yōu)質(zhì)教學(xué)資源，并且將這些資源送到每一個(gè)班級(jí)，在教學(xué)、學(xué)習(xí)過(guò)程中得到普遍使用，實(shí)現(xiàn)虛擬教育資源的有效共享和互補(bǔ)。

“網(wǎng)絡(luò)學(xué)習(xí)空間人人通”：加強(qiáng)信息技術(shù)應(yīng)用能力建設(shè)，逐步為學(xué)生和教師建立網(wǎng)絡(luò)學(xué)習(xí)空間。大力開(kāi)展跨區(qū)域網(wǎng)絡(luò)協(xié)作教研，促進(jìn)技術(shù)與教學(xué)實(shí)踐的融合落實(shí)到每個(gè)教師和學(xué)生的日常教學(xué)、學(xué)習(xí)活動(dòng)之中，創(chuàng)新教學(xué)模式。

“三通兩平臺(tái)”中兩平臺(tái)包括數(shù)字教育資源公共服務(wù)平臺(tái)和教育管理信息系統(tǒng)平臺(tái)[4，5]。數(shù)字教育資源公共服務(wù)平臺(tái)是一個(gè)集合了學(xué)生學(xué)習(xí)資源、教師教學(xué)資源的教育資源云服務(wù)平臺(tái)，是為了達(dá)到教育資源互通及互補(bǔ)的目的而建立。教育管理信息系統(tǒng)平臺(tái)也就是學(xué)校中使用的辦公、門戶、教務(wù)等信息化系統(tǒng)平臺(tái)，該平臺(tái)的建設(shè)要為各級(jí)各類學(xué)校提供校務(wù)管理服務(wù)，為地方各級(jí)教育行政部門提供教育基礎(chǔ)信息管理和決策支持，為社會(huì)公眾提供教育公共信息服務(wù)，同時(shí)其在一定程度上有資源共享的作用。

“三通兩平臺(tái)”將以“兩平臺(tái)”作為基礎(chǔ)，并且緊緊圍繞各級(jí)各類教育質(zhì)量水平的提升，通過(guò)信息化建設(shè)不斷加強(qiáng)并完善優(yōu)質(zhì)教育資源開(kāi)發(fā)與應(yīng)用。

2教育信息網(wǎng)絡(luò)安全問(wèn)題

隨著無(wú)線網(wǎng)絡(luò)的大規(guī)模部署及信息技術(shù)的高速發(fā)展，無(wú)線網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重。不同于一般無(wú)線網(wǎng)絡(luò)，教育信息網(wǎng)絡(luò)共享的資源主要是教學(xué)資源，參與的用戶主要是教職工和學(xué)生，教育信息網(wǎng)絡(luò)的安全關(guān)系到國(guó)家人才培養(yǎng)的質(zhì)量和效率，因此在“三通兩平臺(tái)”的建設(shè)中急需關(guān)注教育信息網(wǎng)絡(luò)的安全問(wèn)題，安全問(wèn)題主要包括以下幾個(gè)方面[6-8]：

安全問(wèn)題一：用戶身份認(rèn)證

由于教育信息網(wǎng)絡(luò)擁有特定的使用人群，一般來(lái)說(shuō)局限于學(xué)生、教職工、相關(guān)教育信息工作者，因此需要對(duì)接入教育信息網(wǎng)絡(luò)的用戶進(jìn)行認(rèn)證。同時(shí)由于教育信息網(wǎng)絡(luò)的開(kāi)放性以及三通兩平臺(tái)中多個(gè)學(xué)校間教育信息網(wǎng)絡(luò)互聯(lián)互通的特點(diǎn)，登陸無(wú)線校園網(wǎng)絡(luò)的用戶身份就容易被非法的、未授權(quán)的用戶篡改或者盜用。非法用戶可以偽裝成合法用戶，侵入教育信息網(wǎng)絡(luò)，盜用教育信息網(wǎng)絡(luò)資源，篡改網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息，在其中加入不良信息，影響學(xué)生身心健康發(fā)展，對(duì)教學(xué)工作產(chǎn)生負(fù)面影響。

安全問(wèn)題二：網(wǎng)絡(luò)攻擊

由于網(wǎng)絡(luò)的互聯(lián)互通性，教育信息網(wǎng)絡(luò)勢(shì)必會(huì)受到網(wǎng)絡(luò)病毒的污染及網(wǎng)絡(luò)攻擊，盜取網(wǎng)絡(luò)用戶信息，影響網(wǎng)絡(luò)存儲(chǔ)資源，降低網(wǎng)絡(luò)服務(wù)質(zhì)量，最終影響教學(xué)工作，不利于教育信息網(wǎng)絡(luò)的發(fā)展及“三通兩平臺(tái)”的建設(shè)。

安全問(wèn)題三：設(shè)備安全

設(shè)備安全主要考慮AP（Access Point，無(wú)線設(shè)備接入點(diǎn)）的安全，不法分子通過(guò)在教育信息網(wǎng)絡(luò)覆蓋范圍內(nèi)秘密安裝無(wú)線AP，也就是偽基站，接入教育信息網(wǎng)絡(luò)，竊取登錄用戶的各類信息。同時(shí)，由于教育信息網(wǎng)絡(luò)覆蓋的廣泛性，很多部署在室外環(huán)境中的AP容易受到外界損壞，對(duì)教育信息網(wǎng)絡(luò)的有效部署造成一定的影響。

3教育信息網(wǎng)絡(luò)安全應(yīng)對(duì)機(jī)制

針對(duì)教育信息網(wǎng)絡(luò)的特殊性，本文在分析教育信息網(wǎng)絡(luò)完全問(wèn)題的基礎(chǔ)上，從用戶認(rèn)證授權(quán)、用戶接入控制、網(wǎng)絡(luò)管理等方面為教育信息網(wǎng)絡(luò)的發(fā)展提出了相應(yīng)的安全應(yīng)對(duì)機(jī)制，總結(jié)如下：

應(yīng)對(duì)機(jī)制一：完善的用戶認(rèn)證與授權(quán)系統(tǒng)

解決教育信息網(wǎng)絡(luò)的安全問(wèn)題，首先需要設(shè)計(jì)完善的無(wú)線用戶認(rèn)證與授權(quán)系統(tǒng)，該系統(tǒng)的設(shè)計(jì)可以采用IEEE 802.1x認(rèn)證技術(shù)?；谟芯€無(wú)線一體化部署思路，為了同時(shí)有效的支持教育信息網(wǎng)絡(luò)中的無(wú)線用戶和有線用戶，認(rèn)證系統(tǒng)需要兼容現(xiàn)有的有線網(wǎng)絡(luò)的認(rèn)證系統(tǒng)，用戶可以通過(guò)有線接入又可以通過(guò)無(wú)線接入方式訪問(wèn)教育信息網(wǎng)絡(luò)資源。由于三通兩平臺(tái)中要求寬帶網(wǎng)絡(luò)校校通，同時(shí)網(wǎng)絡(luò)用戶數(shù)量是非常眾多的，并不是所有用戶的終端設(shè)備上都安裝有客戶端，所以為了用戶接入網(wǎng)絡(luò)的便利性，傾向于使用Web+Portal的認(rèn)證方式[9]。

此外，在認(rèn)證和授權(quán)系統(tǒng)設(shè)計(jì)中可以采用WAPI（Wireless LAN Authentication and Privacy Infrastructure，無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）[10]。當(dāng)前全球無(wú)線局域網(wǎng)領(lǐng)域有且僅有兩個(gè)標(biāo)準(zhǔn)，分別是美國(guó)行業(yè)標(biāo)準(zhǔn)組織提出的IEEE 802.11系列標(biāo)準(zhǔn)（即WiFi，包括802.11a/b/g/n/ac等），以及中國(guó)提出的WAPI標(biāo)準(zhǔn)，WAPI同時(shí)也是中國(guó)無(wú)線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)。與WIFI的單向加密認(rèn)證不同，WAPI在用戶接入過(guò)程中采用雙向認(rèn)證，不僅僅是網(wǎng)絡(luò)對(duì)用戶進(jìn)行鑒別，用戶也要對(duì)網(wǎng)絡(luò)進(jìn)行鑒別。WAPI安全系統(tǒng)采用公鑰密碼技術(shù)，鑒權(quán)服務(wù)器負(fù)責(zé)證書的頒發(fā)、驗(yàn)證與吊銷等，無(wú)線客戶端與無(wú)線接入點(diǎn)AP上都安裝有鑒權(quán)服務(wù)器頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。當(dāng)無(wú)線客戶端登錄至無(wú)線接入點(diǎn)AP時(shí)，在訪問(wèn)網(wǎng)絡(luò)之前必須通過(guò)鑒別服務(wù)器對(duì)雙方進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，持有合法證書的移動(dòng)終端才能接入持有合法證書的無(wú)線接入點(diǎn)AP。避免用戶接入不合法的網(wǎng)絡(luò)或者偽造的網(wǎng)絡(luò)，圓滿的解決了無(wú)線網(wǎng)絡(luò)接入中“合法用戶接入合法網(wǎng)絡(luò)”的問(wèn)題，從而保證傳輸?shù)陌踩浴?/p>

應(yīng)對(duì)機(jī)制二：用戶接入控制

在Web+Portal認(rèn)證過(guò)程中，為了阻止非法用戶接入，要求AC（Access Control，接入控制）支持基于AP的無(wú)線用戶接入控制機(jī)制，可以在接入層采用瘦 AP與AC集中式控制相結(jié)合的方式，通過(guò)AC來(lái)集中管理所有 AP。此外，用戶的接入控制還可以根據(jù)SSID（Service Set Identifier，服務(wù)集標(biāo)識(shí)）匹配以及MAC（Media Access Control，硬件地址）地址過(guò)濾機(jī)制。SSID匹配就是當(dāng)用戶接入教育信息網(wǎng)絡(luò)時(shí)，無(wú)線接入端與AP的SSID必須匹配，才能與AP建立連接。同時(shí)在SSID匹配機(jī)制中，為了對(duì)用戶進(jìn)行有效地管理，可按照用戶的類別對(duì)其SSID加以區(qū)分，比如教職工、學(xué)生、網(wǎng)絡(luò)臨時(shí)訪問(wèn)人員具有不同的SSID，其次可以根據(jù)SSID限制用戶對(duì)網(wǎng)絡(luò)中某些資源的訪問(wèn)，同時(shí)可以阻止非法用戶的接入，達(dá)到用戶接入的安全性。在MAC地址過(guò)濾機(jī)制中，將所有允許接入網(wǎng)絡(luò)的用戶設(shè)備的MAC地址匯總成MAC地址列表，當(dāng)有設(shè)備請(qǐng)求訪問(wèn)網(wǎng)絡(luò)時(shí)，就將其MAC地址與MAC地址列表中的MAC地址進(jìn)行匹配，如果匹配成功，說(shuō)明是授權(quán)用戶，允許接入，否則禁止接入。但是由于教育信息網(wǎng)絡(luò)訪問(wèn)用戶的眾多性，同時(shí)由于用戶的流動(dòng)性以及網(wǎng)絡(luò)終端設(shè)備的跟新?lián)Q代的頻繁性，在用戶接入過(guò)程中，匹配用戶設(shè)備MAC地址與MAC地址列表中的MAC地址顯然是不可行的，因此，在一些特定場(chǎng)所，如會(huì)議室、教師、教研室等人員比較少，并且比較固定的場(chǎng)所可以采用MAC地址過(guò)濾的方式對(duì)用戶進(jìn)行接入控制。另外，可以將某些網(wǎng)絡(luò)禁止訪問(wèn)的用戶的終端MAC地址加入MAC地址列表中，將其標(biāo)識(shí)為禁止接入，達(dá)到快速匹配。

應(yīng)對(duì)機(jī)制三：設(shè)置防火墻及入侵檢測(cè)系統(tǒng)

由于教育信息網(wǎng)絡(luò)上共享資源的特殊性，學(xué)生的教育關(guān)系到國(guó)家的未來(lái)，為了有效地阻止不良信息進(jìn)入教育信息網(wǎng)絡(luò)，需強(qiáng)化防火墻的功能，為教育信息網(wǎng)絡(luò)增加屏障，要求教育信息網(wǎng)絡(luò)內(nèi)部和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻，并且只有符合安全策略、適合于在教育信息網(wǎng)絡(luò)上傳播的信息才能經(jīng)過(guò)防火墻，過(guò)濾掉不良信息。

其次，為了加強(qiáng)對(duì)AP的管理，限制偽基站的接入，并能夠快速有效的發(fā)現(xiàn)接入網(wǎng)絡(luò)中的偽基站，需要設(shè)置有效地入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)無(wú)線AP的集中控制，AC可以自動(dòng)檢測(cè)網(wǎng)絡(luò)中的偽基站等非法設(shè)備，并實(shí)時(shí)上報(bào)網(wǎng)管中心。同時(shí)網(wǎng)絡(luò)還應(yīng)具有較強(qiáng)的自治愈能力，對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，并且能夠自動(dòng)恢復(fù)，最大程度的保護(hù)教育信息網(wǎng)絡(luò)的安全。

應(yīng)對(duì)機(jī)制四：網(wǎng)絡(luò)共享資源的安全性

教育關(guān)系著國(guó)家的未來(lái)，不同于傳統(tǒng)的教育方式，學(xué)生可以通過(guò)教育信息網(wǎng)絡(luò)中共享的資源進(jìn)行學(xué)習(xí)，教師也可以借助教育信息網(wǎng)絡(luò)進(jìn)行教學(xué)工作，為了保障良好的教育，確保在教育信息網(wǎng)絡(luò)中共享的教育資源的安全性就顯得尤為重要了。前述安全機(jī)制都可以確保網(wǎng)絡(luò)共享資源的安全性，除了前述機(jī)制外，有效地網(wǎng)絡(luò)管理在確保網(wǎng)絡(luò)資源共享的安全性方面發(fā)揮著重要的作用，通過(guò)對(duì)網(wǎng)絡(luò)有效地人工管理，一方面可以保證網(wǎng)絡(luò)運(yùn)行的有效性，在網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)作出應(yīng)急預(yù)案，另一方面網(wǎng)絡(luò)管理人員可以根據(jù)用戶的投訴，用戶信息的反饋，對(duì)網(wǎng)絡(luò)的管理及早發(fā)現(xiàn)并刪除網(wǎng)絡(luò)中存在的不良信息。

4結(jié)束語(yǔ)

基于現(xiàn)有的有線無(wú)線網(wǎng)絡(luò)一體化建設(shè)及管理機(jī)制，在推動(dòng)“三通兩平臺(tái)”建設(shè)的過(guò)程中，教育信息網(wǎng)絡(luò)的安全問(wèn)題不容忽視。保障教育信息網(wǎng)絡(luò)的安全需要在深入分析無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀，深入研究無(wú)線網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，創(chuàng)新教育信息網(wǎng)絡(luò)用戶接入技術(shù)、認(rèn)證與授權(quán)系統(tǒng)，創(chuàng)新網(wǎng)絡(luò)管理技術(shù)，有效地推動(dòng)“三通兩平臺(tái)”的建設(shè)。

參考文獻(xiàn)：

[1] 教育部.教育部關(guān)于印發(fā)《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》的通知[DB/OL].[2012-03-13].http：//www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s3342/201203/xxgk_133322.html.

[2] 教育部.教育信息化十年發(fā)展規(guī)劃（2011-2020年）[R]. 北京：教育部，2012.

[3] 劉延?xùn)|.把握機(jī)遇、加快推進(jìn)，開(kāi)創(chuàng)教育信息化工作新局面[EB/OL].[2012-09-05]. http：//www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s3342/201211/xxgk_144240.html.

[4] 蔣東興，吳海燕，袁芳. "三通兩平臺(tái)"建設(shè)內(nèi)容與實(shí)施模式分析[J].中國(guó)教育信息化，2014（318）：7-10.

[5] 袁燕.三通兩平臺(tái)，大力推進(jìn)教育信息化[J].中小企業(yè)管理與科技，2014，2014（17）：298-299.

[6] 江肖強(qiáng).無(wú)線校園網(wǎng)絡(luò)安全與應(yīng)對(duì)策略[J].中國(guó)教育網(wǎng)絡(luò)，2014（5）：41-42.

[7] 王宇.無(wú)線校園網(wǎng)絡(luò)安全與應(yīng)對(duì)策略[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014（12）：38-39.

[8] 趙琴.淺談無(wú)線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開(kāi)發(fā)，2008，23（1）：89-90.

[9] 黃榮.基于802.1x和Web Portal認(rèn)證技術(shù)的校園網(wǎng)用戶端點(diǎn)準(zhǔn)入控制系統(tǒng)的設(shè)計(jì)及應(yīng)用[J].福州大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，36（5）：673-676.

[10] 張帆，馬建峰.WAPI認(rèn)證機(jī)制的性能和安全性分析[J].西安電子科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2005，32（2）：210-215.