◆肖坤峨

高校校園網絡安全分析及策略研究

◆肖坤峨

（德宏師范高等?？茖W校 云南 678400）

隨著校園信息化的建設和使用，高校校園網絡與學校的教學、科研、管理等工作聯(lián)系越來越緊密，網絡的正常運轉深深地影響著學校的各項工作，一旦網絡出現(xiàn)安全問題，后果不堪設想。本文從高校的網絡特點出發(fā)分析了目前高校網絡面臨的安全威脅，并提出了解決網絡安全問題的對策和措施。

高校；網絡安全；對策研究

0 引言

隨著計算機技術和網絡技術的快速發(fā)展，計算機網絡對我們的衣食住行等方方面面產生了非常大的影響，同時也賦予了教育新的內涵和要求，不斷地在改變著教師的教育方式和學生的學習方式，特別在高等教育領域，網絡規(guī)模大、信息點多，承載了高校教學、科研、管理及服務等數字化應用。高校校園網絡覆蓋了高校的每個角落，在辦公、教學、科研、學生管理、資產管理、人事管理、財務管理、圖書借閱、食堂、超市等各個方面，甚至實現(xiàn)了各網絡應用子系統(tǒng)的綜合集成和互連互通，信息化建設投入少則幾百萬、多則幾千萬，成為了高校的重要基礎設施。如圖1所示，某高校的校園網絡組織結構。高校校園網絡的信息化建設提高了管理部門的管理效率和決策水平，提升了教師的教育科研能力，豐富了高校校園文化生活。學校師生的工作、生活、學習越來越離不開校園局域網，網絡的正常運轉深深地影響著學校的各項工作，一旦出現(xiàn)故障，會波及到學校各項工作的正常進行，隨著學校規(guī)模的不斷擴大、網絡節(jié)點不斷增多，網絡安全問題越發(fā)突出。因此，如何構建一個安全的高校校園網絡，是每一個高校領導和網絡部門負責人需要面對和解決的問題。

圖1 某高校網絡組織結構

1 高校校園網絡安全現(xiàn)狀及存在問題

目前很多高校的網絡主干都實現(xiàn)光纖專線接入運營商，網速普遍達到上萬兆，園區(qū)普遍實現(xiàn)100M甚至1000M到樓到桌面，而且大部分高校已經建成覆蓋整個校園的無線網絡，存在網絡建設投入力度大，用戶信息點多，應用范圍廣等特點，但同時也存在很多安全方面的隱患，比如火災、斷電、黑客攻擊、病毒感染及其它很多人為方面的因素。主要存在以下幾個方面的安全問題：

1.1自然威脅因素

自然威脅指可能來自于各種自然災害，如地震、火災、水災、靜電、雷擊等。網絡設備在惡劣的環(huán)境下會對數據的傳輸造成不小影響，還有如電磁輻射和干擾、網絡設備老化等因素都會影響網絡安全。據教育部門對高校的安全隱患調查反映，部分高校信息化建設時考慮不充分、綜合布線不規(guī)范，中心機房及學生機房、實驗室沒有考慮UPS不間斷電源，中心機房及各管理間、設備間缺少防火措施及環(huán)境的溫濕度控制，無網絡監(jiān)控系統(tǒng)，樓道、機房排線時，沒有考慮強電線路對弱電線路的電磁干擾。

1.2使用主體網絡安全意識薄弱

高校的師生是網絡使用的主體，數量成千上萬，網絡終端多種多樣（計算機、手機及其它智能設備），主要以計算機為主，數量巨大。師生員工都掌握一定的計算機基礎知識，但水平層次不齊，部分師生員工在校園網內使用的計算機連最基本的殺毒軟件都沒有安裝，電腦或系統(tǒng)設置過于簡單的密碼或沒有設置，共享文件時沒有考慮權限，沒有及時為系統(tǒng)“打補丁”或封掉不常用的端口，隨意拔插移動存儲設備等，使用時沒有較強的網絡安全意識和處理問題的能力。部分師生認為自己使用的電腦處于校園網的內部，認為有學校在保護我們，缺乏網絡安全常識，意識淡薄。另高校是培養(yǎng)高素質專業(yè)技術人才的地方，經過幾年的學習大部分同學都掌握了一定的專業(yè)知識，少數專業(yè)能力突出的同學出于好奇通過編寫程序或使用工具對校園網絡進行攻擊，竊取機密數據或導致校園網絡癱瘓。

1.3高校校園網絡管理存在缺陷

雖然各高校都有相關部門如網絡中心、信息中心來負責校園網絡的建設與維護，但大部分高校都存在重建設、輕管理現(xiàn)象，缺少一套完善的校園網絡安全管理制度。很多高校投入重金，由運營商或公司負責建設數字校園或智慧校園，實現(xiàn)了高校校園網絡的信息化、數字化、智慧化，由于相關網絡管理制度建設跟不上步伐，隨后使用過程中出現(xiàn)很多網絡安全隱患，如隨意私接網線，部門個人私自安裝接入層網絡設備，網絡管理員無暇顧及這些問題，他們大部分時間忙于處理各種日常的電腦故障、網絡接入、應用系統(tǒng)及服務器日常維護工作，點多面大。高校校園面積大，網絡設備間分散在各教學樓、實驗樓、宿舍樓，防護措施簡易，有的設備間門鎖形同虛設，強電弱電管理共用房間，涉及多個部門，缺少安全管理主體，出現(xiàn)事故時容易出現(xiàn)推諉。

1.4黑客網絡攻擊

黑客利用系統(tǒng)存在的漏洞或其它安全缺陷對校園網內的硬件和軟件進行攻擊，攻擊目的明確，非法獲取服務器或主機上的重要數據，如科研數據、學生基本信息、成績等，或通過信息炸彈、拒絕服務等手段攻擊服務器、網絡設備，造成服務器癱瘓、網絡堵塞，攻擊手段多種多樣、目的各異，甚至反動分子攻擊學校的校園主站以宣傳反面政治思想，影響學生的人生觀、價值觀和世界觀。當然也存在來自校園內部師生的攻擊，好奇心強的學生利用相關工具對教務系統(tǒng)進行非授權訪問，進而修改成績數據，對學校心存不滿的職工對應用系統(tǒng)進行非授權訪問，竊取機密數據或破壞系統(tǒng)。

1.5計算機病毒入侵

病毒是社會生活中最常見的一大網絡安全威脅，它是對計算機、網絡具有破壞性的一組程序代碼或指令，它能通過某種途徑潛伏在計算機的存儲介質或程序里，當達到某種條件時即被激活，通過修改其他程序的方法將自己復制或者可能演化的形式方式其他程序中，從而感染其他程序，對計算機資源進行破壞，輕則計算機速度變慢，重則系統(tǒng)崩潰、硬件損壞、網絡癱瘓。在高校校園網絡中也經常發(fā)生病毒感染的現(xiàn)象，如2017年5爆發(fā)的勒索病毒，高校是重災區(qū)，部分高校的師生受到該病毒的攻擊之后文件、論文不能正常打開，給師生造成了很嚴重的損失。學校的各項工作與網絡運轉息息相關，一旦校園網絡受到病毒感染，如果不能及時查殺及清除，勢必會對學校的教學、科研、管理造成很大的影響。

1.6軟件系統(tǒng)存在漏洞

任何軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件都或多或少存在一些漏洞，然而在高校校園里90%以上的師生使用的都是Windows系列的操作系統(tǒng)，使用用戶多，是黑客分析找漏洞的重點，一旦找到，黑客就會編寫程序利用漏洞來攻擊用戶的電腦，攻擊網絡。服務器的網絡操作系統(tǒng)相對較安全，但也同樣存在這樣那樣的缺點和不足，部分網絡操作系統(tǒng)安全性相對較高，如Linux、UNIX、Solaris，都是命令方式操作，非網絡管理人員不易掌握，對管理員是一種挑戰(zhàn)。高校老師或學生自己也研發(fā)部分軟件系統(tǒng)，少數應用系統(tǒng)開發(fā)時只考慮功能的實現(xiàn)，沒有考慮其安全性，使用過程中問題層出不窮，成為黑客攻擊的重點目標。

2 高校校園網絡安全的對策研究

2.1加強網絡安全意識，健全網絡安全管理制度

加強網絡管理者和使用者的網絡安全意識。首先，強化網絡管理員的責任意識，愛崗敬業(yè)，制定相應獎懲措施，不斷提高網絡管理員的技術水平，包括到企業(yè)頂崗鍛煉或外出參加網絡相關的技術培訓，或通過網絡在線學習、自學等方式提升自己的業(yè)務水平，學校應該出臺相應政策鼓勵網絡管理員去獲取網絡方面的認證，通過以考促學的方式，切實提升專業(yè)技術能力，建立一支業(yè)務水平高、分工明確的專業(yè)網絡維護隊伍，確保高校校園網絡的安全。其次，通過培訓、講座、專題網站等多種手段向使用者宣傳網絡安全知識、網絡安全法律法規(guī)，如不隨意打開來歷不明的電子郵件及文件，不隨意從Internet上下載軟件，密碼設置要達到一定的復雜度要求，及時下載和安裝系統(tǒng)補丁程序，經常使用掃描工具，及時發(fā)現(xiàn)漏洞和采取相應措施，文明上網、安全用網，提高使用者網絡安全意識。第三，制定網絡安全管理制度，建立數據中心機房網絡管理制度，規(guī)范中心管理，如未經允許不得隨意進入機房，網絡設備及服務器操作規(guī)范、排線規(guī)范、故障處理或檢查有日志記錄，機房衛(wèi)生干凈整潔，設備外借管理，經常定期檢查。加強防火意識，實時通過網絡監(jiān)控軟件對中心機房進行監(jiān)控，掌握機房溫度、濕度及設備運轉情況，入網軟件、個人備案或向相關部門申請；建立違規(guī)使用校園網的懲罰措施，杜絕不安全不文明的網絡行為；建立校園網絡維護分級維護辦法，校系兩級分級負責，職責清晰；建立網絡設備和服務器維護管理方案，使用網絡管理系統(tǒng)實時加強網絡設備的管理，及時掌握故障點，未經允許不得對服務器或設備進行配置，服務器做到專機專用；建立各實驗室、機房、處室計算機設備故障、線路故障處理辦法，讓師生員工知道找誰進行處理，建立健全網絡管理人員及部門負責人的職責，確保網絡管理無死角。

2.2部署防火墻和設置訪問控制策略

在高校的內部網和外網之間建立一道屏障，即安裝防火墻設備，監(jiān)視通過防火墻的每一個數據包和異常行為，設置防火墻訪問控制策略，防止校園外部用戶通過非法手段攻擊內網，非法訪問內部資源，從而保護校園內部的網絡安全。在校內重要業(yè)務部門和其它部門之間也可建立防火墻，或在主干核心交換機上安裝防火墻卡，防止內部人員的攻擊。通過防火墻檢查數據包包頭信息可以過濾掉一些不安全的服務和非法用戶，防止非授權訪問，可以保護校內的部分服務器、主機或網站不能被外部用戶訪問，但有的是防火墻不能阻擋的，如受病毒感染的文件的傳遞，木馬程序，所以還需要殺毒軟件、入侵檢測系統(tǒng)的配合使用。

2.3安裝殺毒軟件

計算機病毒傳播速度快、破壞性強，高校相關部門需要出臺相應措施進行預防，除了建立安全管理制度外，還需要選擇使用合適的防病毒軟件，考慮軟件的查殺病毒能力、占用資源情況、價格等因素。然而，高校內部網絡終端多，一部分是學校統(tǒng)一購買統(tǒng)一維護，一部分是師生自己購買維護，計算機系統(tǒng)復雜。根據該特點，高校一般選擇使用網絡版的殺毒軟件，建立服務器端，終端安裝客戶端軟件，實現(xiàn)對聯(lián)網電腦統(tǒng)一查殺，及時自動更新病毒庫，提高病毒預防預警能力。

2.4應用入侵檢測系統(tǒng)和網絡管理系統(tǒng)

入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測不僅可以檢測來自外部的異常，也可以檢測校園網絡內部的異常行為，通過安裝入侵檢測系統(tǒng)可以防止來自外部的攻擊和內部的攻擊，只要有異常，系統(tǒng)及時發(fā)出報警，網絡管理員及時處理。網絡管理系統(tǒng)實現(xiàn)對校園網絡系統(tǒng)的實施監(jiān)控，監(jiān)控校園網絡的軟件和硬件系統(tǒng)，對網絡進行故障管理、性能管理、安全管理、配置管理等，保證網絡安全可靠正常運行，保護網絡中的資源不被非法入侵和獲取。

2.5合理劃分VLAN

利用交換機、路由器的功能配置把在不同物理位置的計算機根據功能或部門劃分在同一個邏輯組中，形成一個個虛擬局域網，即VLAN的劃分。高校校園網絡是基于TCP/IP協(xié)議的交換式以太網，校園網絡規(guī)模大、廣播域范圍大、設備及線路中信息流量大，容易發(fā)生網絡風暴，易導致網絡速度慢。因此，根據交換機的端口、計算機物理地址或網段劃分VLAN之后，原來較大的廣播域就劃分為一個個小的廣播域，VLAN內部的廣播和單播流量不會轉發(fā)到其它VLAN中，一個VLAN中的成員也不能訪問其它VLAN中的成員，從而控制了網絡流量，通過合理劃分VLAN和劃分網段，可以防止網絡監(jiān)聽和未經授權的訪問，提高了一些重要部門的信息安全性。

2.6應用VPN技術

虛擬專用網(VPN)是指通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。它通過“隧道”技術將數據包進行加密和封裝，利用Internet傳輸校園內部私有數據。部分老師不在校園內住宿或在外出差時，可以通過VPN隧道安全的訪問校園網絡數據，數據不容易被竊取、篡改，提高數據的完整性和安全性。

3 結束語

隨著高校校園規(guī)模的擴大和信息化建設，師生員工的教學、科研、學習及生活對網絡產生了強烈的依賴性，網絡安全深深地影響了高校各項工作的順利開展。文章從高校的網絡特點出發(fā)分析了目前高校網絡面臨的安全威脅，并提出了解決網絡安全問題的對策和措施，有助于促進校園網絡的安全建設，確保校園各項工作正常運行。

[1]李彥，高博.高校校園網絡安全分析及防范體系研究.現(xiàn)代教育技術[J]，2011.

[2]潘小星.高校校園網絡安全分析與解決方案.科技信息[J]，2015.

[3]鄒縣芳.高校校園網絡安全及策略研究.阜陽師范學院學報（自然科學版）[J]，2010.

[4]蔡燕，杜翔.勒索病毒背景下的贛州高校校園網絡安全策略研究.信息與電腦[J]，2017.

云南省教育廳科學研究基金項目（2016ZDX196）。