孫中全

(滁州職業(yè)技術(shù)學(xué)院，安徽 滁州 239000)

美國在20世紀(jì)90年代興建“信息高速公路”過程中，提出了“教育信息化”和“校園信息化”的概念，并將其納入學(xué)校長遠(yuǎn)發(fā)展規(guī)劃中，以提高師生信息科技素養(yǎng).伴隨著信息科技的發(fā)展及其在社會各領(lǐng)域的廣泛應(yīng)用，世界各國的教育信息化建設(shè)步伐也不斷加快，使得教育現(xiàn)代化進(jìn)程得到了極大的推動(dòng).現(xiàn)在，各國都將教育信息化建設(shè)視為建設(shè)人力資源強(qiáng)國、實(shí)現(xiàn)經(jīng)濟(jì)快速發(fā)展的前瞻性戰(zhàn)略選擇.2011年，我國印發(fā)《國家中長期教育改革和發(fā)展規(guī)劃綱要》，提出“加快教育信息基礎(chǔ)設(shè)施建設(shè)、加強(qiáng)優(yōu)質(zhì)教育資源開發(fā)與應(yīng)用、構(gòu)建國家教育管理信息系統(tǒng)”三大發(fā)展任務(wù)，為我國教育信息化建設(shè)指明了發(fā)展的主流方向.在2012年時(shí)，國家發(fā)布了《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》，進(jìn)一步加快了我國教育信息化建設(shè).兩年后，《構(gòu)建利用信息化手段擴(kuò)大優(yōu)質(zhì)教育資源覆蓋面有效機(jī)制的實(shí)施方案》發(fā)布，其提出要通過教育信息化來促進(jìn)教育現(xiàn)代化發(fā)展，提高教育信息化水平，是我國教育改革的戰(zhàn)略選擇，有助于優(yōu)化教育資源配置，促進(jìn)教育公平與創(chuàng)新、提升教育質(zhì)量源配置.十八大提出深化教育改革，就要科學(xué)、合理、有針對地進(jìn)行教育信息化建設(shè)；十九大強(qiáng)調(diào)要以教育信息化全面推動(dòng)教育現(xiàn)代化.在此背景下，校園網(wǎng)絡(luò)建設(shè)水平成了衡量學(xué)校整體辦學(xué)實(shí)力及學(xué)術(shù)地位的重要標(biāo)志.校園網(wǎng)絡(luò)建設(shè)的主要目的，是利用信息科技和網(wǎng)絡(luò)技術(shù)來促進(jìn)教育目標(biāo)順利達(dá)成，推動(dòng)學(xué)校實(shí)現(xiàn)可持續(xù)發(fā)展.校園網(wǎng)絡(luò)集成了互聯(lián)網(wǎng)技術(shù)、信息技術(shù)及多媒體技術(shù)等多種技術(shù)手段，融合了多種教育管理與教學(xué)資源，具有良好的開放性、交互性和共享性，可以開發(fā)更多教學(xué)資源，實(shí)現(xiàn)教育管理與教學(xué)方式、方法的變革.不同用戶憑借相應(yīng)的權(quán)限，通過統(tǒng)一的入口，能獲取不同的信息和業(yè)務(wù)服務(wù).如今，我國校園信息化建設(shè)已取得豐碩的階段性成果，相關(guān)理論研究也日趨成熟和完善.然而，在校園網(wǎng)絡(luò)建設(shè)中，也出現(xiàn)了一些問題，其中，最為突出的是網(wǎng)絡(luò)安全問題，因網(wǎng)絡(luò)安全防護(hù)不當(dāng)，導(dǎo)致校園網(wǎng)絡(luò)安全事件頻發(fā)，不僅系統(tǒng)存在漏洞，也容易導(dǎo)致黑客攻擊、病毒感染及非法入侵、垃圾郵件等，尤其是職專學(xué)校存在資金不足、技術(shù)水平有限、領(lǐng)導(dǎo)重視不足等問題，導(dǎo)致網(wǎng)絡(luò)安全防護(hù)已成為校園網(wǎng)絡(luò)建設(shè)的瓶頸.為提高校園網(wǎng)絡(luò)可靠性，讓校園網(wǎng)絡(luò)環(huán)境更加“綠色安全”，使學(xué)校的各項(xiàng)教學(xué)資源得到合理、安全、有效的利用，同時(shí)，為教學(xué)與學(xué)術(shù)交流打造完全、可靠、方便維護(hù)的線上環(huán)境，本文著重探討校園網(wǎng)絡(luò)管理及其安全防護(hù)問題，希冀能構(gòu)建一個(gè)有深度的全局安全防護(hù)方案，確保校園網(wǎng)絡(luò)安全.

1 校園網(wǎng)絡(luò)安全防護(hù)管理現(xiàn)狀

校園網(wǎng)絡(luò)能為學(xué)校的師生及相關(guān)工作人員提供寬帶多媒體網(wǎng)絡(luò)服務(wù)，是在校學(xué)生、教師和科研人員的專用網(wǎng)絡(luò)，具有綜合信息服務(wù)的特性.其屬于局域網(wǎng)，可以進(jìn)行信息共享和信息交換，專業(yè)性比較強(qiáng).校園網(wǎng)絡(luò)內(nèi)通常會鏈接多媒體教學(xué)平臺、教師科研平臺、校園服務(wù)平臺等，其下又細(xì)分為多個(gè)小型局域網(wǎng)，如學(xué)院網(wǎng)、專業(yè)網(wǎng)或系網(wǎng)等.校園網(wǎng)絡(luò)還具有教務(wù)、行政和總務(wù)管理功能，為學(xué)校人事、資產(chǎn)、后勤管理等提供支持.校園網(wǎng)絡(luò)的特點(diǎn)是環(huán)境復(fù)雜、建設(shè)整體規(guī)劃欠缺、用戶群密集且存在上網(wǎng)高峰期、校園網(wǎng)絡(luò)資源豐富但存在大量安全漏洞等.校園網(wǎng)絡(luò)安全是指校園網(wǎng)絡(luò)中軟、硬件及一切數(shù)據(jù)資源安全、完整，能最大程度地防范和抵御網(wǎng)絡(luò)入侵和篡改、泄密等，使網(wǎng)絡(luò)系統(tǒng)可以連續(xù)、可靠、正常地運(yùn)行.校園網(wǎng)絡(luò)安全也包括相關(guān)網(wǎng)絡(luò)系統(tǒng)設(shè)備的保護(hù)與管理.

校園網(wǎng)絡(luò)對于校園信息化建設(shè)，具有重要的支撐作用，其對學(xué)校教學(xué)、科研及管理等工作，都起到了基礎(chǔ)的保障作用.校園網(wǎng)絡(luò)服務(wù)對象數(shù)量比較多，經(jīng)常出現(xiàn)帶寬不足的問題；網(wǎng)絡(luò)應(yīng)用數(shù)量增加迅速，盜版應(yīng)用也呈泛濫之勢，病毒、黑客以及木馬帶來的威脅多而頻繁，校園網(wǎng)絡(luò)安全性問題令人堪憂.盡管校園信息化建設(shè)逐漸完善，各種網(wǎng)絡(luò)設(shè)備、設(shè)施及軟件等也配備良好，保障網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)技術(shù)手段也已具備.有的學(xué)校還設(shè)置了防火墻及綠盟 NIPS，不過有效安全策略配置不是很理想.另外，專業(yè)網(wǎng)絡(luò)安全管理人員也比較缺乏，服務(wù)器安全防護(hù)不到位，網(wǎng)絡(luò)中存在單點(diǎn)故障、無負(fù)載的隱患，網(wǎng)站經(jīng)常受內(nèi)網(wǎng)用戶的入侵.內(nèi)網(wǎng)安裝應(yīng)用了360 防病毒軟件等進(jìn)行病毒安全防范，不過，還是無法解決病毒泛濫的問題.

2 當(dāng)前校園網(wǎng)絡(luò)面臨的安全威脅分析

雖然學(xué)校在建設(shè)校園網(wǎng)絡(luò)的過程中，會安裝防火墻，使用殺毒軟件等安全防護(hù)工具，實(shí)行用戶身份認(rèn)證等，但網(wǎng)絡(luò)安全保障能力仍然存在很多問題：

2.1 學(xué)校網(wǎng)絡(luò)安全防護(hù)能力比較弱

缺乏網(wǎng)管與安管系統(tǒng)、網(wǎng)絡(luò)安全威脅響應(yīng)和處理欠缺科學(xué)性、網(wǎng)絡(luò)整體安全性監(jiān)測不到位、風(fēng)險(xiǎn)管理滯后等，學(xué)校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備也較少.

2.2 系統(tǒng)漏洞及網(wǎng)絡(luò)協(xié)議存在缺陷

所有的網(wǎng)絡(luò)都需要使用操作系統(tǒng)，但操作系統(tǒng)都會存在缺陷或漏洞，不管是多么先進(jìn)的操作系統(tǒng).可以說，沒有100%安全的操作系統(tǒng)，源代碼、模型、不正確的配置等這些缺陷與漏洞，都給網(wǎng)絡(luò)入侵者帶來了可乘之機(jī).網(wǎng)絡(luò)通信協(xié)議是網(wǎng)絡(luò)傳輸?shù)谋匾獥l件，在各個(gè)層次和方面，網(wǎng)絡(luò)通信協(xié)議也會存在漏洞.因?yàn)門CP/IP協(xié)議具有通用型與開放性特點(diǎn)，很多網(wǎng)絡(luò)都選擇使用該協(xié)議，校園網(wǎng)絡(luò)也是如此.然而，TCP/IP協(xié)議是以明碼形式傳輸數(shù)據(jù)包的，數(shù)據(jù)包沒有封裝，導(dǎo)致信息在傳輸過程中，極易被修改、竊聽或偽造，導(dǎo)致數(shù)據(jù)信息失真或網(wǎng)絡(luò)被攻擊.

2.3 外部網(wǎng)絡(luò)安全威脅比較多

互聯(lián)網(wǎng)具有無國界性、開放性、無時(shí)空性等，這使得其會面臨各種各樣的威脅.這類威脅以炫技、惡意破壞、篡改數(shù)據(jù)、敲詐錢財(cái)?shù)葹槟康模梢岳镁W(wǎng)絡(luò)系統(tǒng)漏洞攻擊各種網(wǎng)絡(luò)設(shè)備，還能利用內(nèi)網(wǎng)用戶，來對校園網(wǎng)進(jìn)行攻擊.這種攻擊不是有針對性的，而且比較隨機(jī)，沒有明確的方向，攻擊的復(fù)雜程度也比較高，其造成的后果往往都比較嚴(yán)重.信息泄漏和拒絕服務(wù)是最常見的兩種威脅.例如，木馬程序已經(jīng)廣泛地存在于我國網(wǎng)絡(luò)資源應(yīng)用領(lǐng)域的各個(gè)層面，直接威脅著計(jì)算機(jī)應(yīng)用程序.由于校園網(wǎng)絡(luò)的應(yīng)用通常都不是非常先進(jìn)，傳統(tǒng)操作系統(tǒng)占據(jù)多數(shù)，因而對病毒的處理能力不足，進(jìn)而影響校園網(wǎng)絡(luò)的質(zhì)量.另外，一些校園網(wǎng)絡(luò)服務(wù)器比較脆弱，難以應(yīng)對惡性攻擊等問題.

2.4 內(nèi)部網(wǎng)絡(luò)存在安全威脅

校園內(nèi)有的學(xué)生可能會因?yàn)楦鞣N心理，例如，試驗(yàn)、好奇、炫技等，對校園網(wǎng)絡(luò)進(jìn)行入侵.部分教職工網(wǎng)絡(luò)安全意識不強(qiáng)，在瀏覽網(wǎng)頁或使用網(wǎng)絡(luò)進(jìn)行辦公、教學(xué)時(shí)，有可能會無意點(diǎn)開非法鏈接、不明郵件或掛馬網(wǎng)站等，進(jìn)而導(dǎo)致校園網(wǎng)絡(luò)遭受攻擊，產(chǎn)生堵塞或網(wǎng)絡(luò)癱瘓等問題.由于校園網(wǎng)絡(luò)的交互性，網(wǎng)絡(luò)中應(yīng)用系統(tǒng)呈現(xiàn)多樣化，學(xué)生的鑒別能力有限，下載的應(yīng)用軟件也無法判斷其質(zhì)量，容易導(dǎo)致用戶終端感染病毒，繼而導(dǎo)致病毒木馬等在校園網(wǎng)絡(luò)內(nèi)傳播，影響校園網(wǎng)絡(luò)的正常使用.

2.5 校園網(wǎng)絡(luò)監(jiān)管工作實(shí)效有待提升

校園網(wǎng)絡(luò)的整體運(yùn)行質(zhì)量會受到多種因素的影響，但由于學(xué)校對于網(wǎng)絡(luò)安全問題重視不夠，導(dǎo)致校園網(wǎng)絡(luò)監(jiān)管工作比較低效.此外，在教學(xué)改革的推動(dòng)下，“慕課”、“微課”等網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)也接入校園網(wǎng)絡(luò)，進(jìn)一步加大了校園網(wǎng)絡(luò)管理以及維護(hù)的難度系數(shù).

除了上文所述的網(wǎng)絡(luò)安全威脅之外，在當(dāng)今云數(shù)據(jù)中心組網(wǎng)模式下，還有很多新的網(wǎng)絡(luò)安全威脅出現(xiàn)，例如，資源池不可用；利用傳統(tǒng)的安全技術(shù)，不能有效保護(hù)云主機(jī)安全；云環(huán)境輕邊界的模式，如果遭受泛洪攻擊，斷網(wǎng)問題將不可避免.

3 校園網(wǎng)絡(luò)管理及其安全防護(hù)模式構(gòu)建策略

3.1構(gòu)建目標(biāo)及原則

分析校園網(wǎng)絡(luò)存在的諸多安全問題，可以看出，少部分是因用戶操作導(dǎo)致，大部分是因缺乏安全防護(hù)造成.建立綜合性校園網(wǎng)絡(luò)安全管理與防護(hù)系統(tǒng)，必須要瞄準(zhǔn)前沿技術(shù)、立足學(xué)校信息化建設(shè)需求，有針對性地打造集多功能于一體的安全防護(hù)模式，真正實(shí)現(xiàn)校園網(wǎng)絡(luò)安全，達(dá)到“非法用戶進(jìn)不來、秘密信息取不走、網(wǎng)絡(luò)基礎(chǔ)摧不垮”目的.安全防護(hù)模式需要為終端用戶提供一組方便的管理工具，為信息安全管理員提供一組管理工具和終端控制和審計(jì)功能，在系統(tǒng)內(nèi)提供各類與信息安全保密相關(guān)的查詢功能和統(tǒng)計(jì)報(bào)表，這樣才能進(jìn)一步提升安全管理和防護(hù)能力.

在構(gòu)建防護(hù)模式時(shí)，需要堅(jiān)持如下幾個(gè)原則：第一，實(shí)用性與先進(jìn)性原則.只有實(shí)用才能使系統(tǒng)得到廣泛應(yīng)用，采用先進(jìn)成熟的技術(shù)，也才能使系統(tǒng)具有先進(jìn)性；第二，可靠性與安全性原則.可靠性是系統(tǒng)穩(wěn)定運(yùn)行的關(guān)鍵，系統(tǒng)所用軟件和硬件都應(yīng)經(jīng)過嚴(yán)格檢驗(yàn)與測試，以保證安全管理與防護(hù)確實(shí)有效；第四，系統(tǒng)完整性與可擴(kuò)展性原則.前者是指系統(tǒng)要具有完全的獨(dú)立開展安全管理與防護(hù)的能力，還要為數(shù)據(jù)統(tǒng)計(jì)、分析及審計(jì)提供支持.信息安全理論與技術(shù)發(fā)展日新月異，只有具備良好的可擴(kuò)展性，才能靈活、自適應(yīng)地進(jìn)行升級和擴(kuò)展.

3.2 構(gòu)建策略

3.2.1 安全防護(hù)模式構(gòu)建

(1)第一層防線：構(gòu)筑校園網(wǎng)絡(luò)防火墻，防火墻能阻止外部用戶訪問校園網(wǎng)絡(luò)，并且能有針對性地屏蔽外界網(wǎng)絡(luò)信息，確保校園網(wǎng)絡(luò)信息安全.通過第一層防線，能夠有針對性地制定網(wǎng)絡(luò)安全策略，這樣可以加強(qiáng)對訪問者的控制.這是基礎(chǔ)安全防線，具有至關(guān)重要的基礎(chǔ)作用.

(2)第二層防線：主動(dòng)防御.這是一種動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)，其能快速發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，并向用戶發(fā)出警示.主動(dòng)防御還能對本地入侵?jǐn)?shù)據(jù)庫進(jìn)行搜索，分類識別各種常見的入侵?jǐn)?shù)據(jù)，為用戶及時(shí)發(fā)出警示，并能發(fā)現(xiàn)新的入侵行為，安全防護(hù)能力比較強(qiáng)大.

(3)第三層防線：這層防線主要是由系統(tǒng)漏洞掃描體系組成的，能夠抵御多種入侵，實(shí)踐證明其防護(hù)能力比較可靠.各操作系統(tǒng)、防火墻系統(tǒng)、WEB站點(diǎn)等，都不可避免地會存在漏洞，定期進(jìn)行漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)存在的漏洞，并及時(shí)下載補(bǔ)丁進(jìn)行修復(fù)，從而提高校園網(wǎng)絡(luò)的風(fēng)險(xiǎn)抵御能力，有效避免發(fā)生利用漏洞進(jìn)行的惡意入侵.

(4)第四層防線：主要是獲得入侵特征信息，反擊外界入侵行為.該層防線能有針對性地制定反擊非法入侵者的供給策略，使入侵者不能在校園網(wǎng)絡(luò)中通信，進(jìn)而保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、有序地運(yùn)行，保證校園網(wǎng)絡(luò)中的數(shù)據(jù)能在各通道中安全傳輸.

3.2.2 安全防護(hù)管理策略

(1)在校園內(nèi)進(jìn)行網(wǎng)絡(luò)安全教育與宣傳.學(xué)校管理層要重視校園網(wǎng)絡(luò)安全防護(hù)工作，通過立體式的宣傳教育，引導(dǎo)廣大師生主動(dòng)增強(qiáng)網(wǎng)絡(luò)安全意識和防護(hù)能力，提高對非法鏈接、郵件等的警惕性，實(shí)現(xiàn)文明上網(wǎng).

(2)加大對校園網(wǎng)絡(luò)安全防護(hù)資金支持.建設(shè)校園網(wǎng)絡(luò)安全防護(hù)模式，需要花費(fèi)一定的資金，來完善和改進(jìn)防護(hù)設(shè)備與系統(tǒng)，還需要引進(jìn)專業(yè)維護(hù)管理人才，這都需要投入資金，學(xué)校應(yīng)從資金、物力和人力上給予充分的支持.

(3)完善安全防護(hù)技術(shù)手段.在校園網(wǎng)絡(luò)安全防護(hù)管理中，要采用防火墻、入侵檢測、防病毒等多元技術(shù)，切實(shí)保障校園網(wǎng)絡(luò)安全.

(4)對重要數(shù)據(jù)傳輸進(jìn)行加密.在鏈路層和網(wǎng)絡(luò)層，要盡量使用密碼設(shè)備，對于那些非常重要的或機(jī)密的數(shù)據(jù)信息，進(jìn)行傳輸時(shí)，必須要嚴(yán)格進(jìn)行加密處理.要對終端用戶行為進(jìn)行監(jiān)控，規(guī)范其上網(wǎng)行為.科學(xué)劃分VLAN，根據(jù)安全級別及應(yīng)用業(yè)務(wù)種類，合理控制交互訪問，分段隔離網(wǎng)絡(luò)，防止發(fā)生數(shù)據(jù)泄密.

(5)強(qiáng)化校園網(wǎng)絡(luò)安全防護(hù)制度管理.網(wǎng)絡(luò)安全是一項(xiàng)任重而道遠(yuǎn)的工作，而且這項(xiàng)工作是全面的、動(dòng)態(tài)的，學(xué)校要立足信息安全建設(shè)實(shí)際需要，組建專業(yè)網(wǎng)絡(luò)安全管理隊(duì)伍，全面管理校園網(wǎng)絡(luò)安全防護(hù)工作.根據(jù)校園網(wǎng)絡(luò)安全防護(hù)管理實(shí)際，科學(xué)制定和完善相關(guān)的管理、檢查、獎(jiǎng)懲等制度，構(gòu)建完善的安全保障體系，并在實(shí)踐中落實(shí)到位.定期開展網(wǎng)絡(luò)安全檢查，強(qiáng)化對計(jì)算機(jī)安全防護(hù)工作監(jiān)督，一旦發(fā)現(xiàn)問題，應(yīng)立即采取對策進(jìn)行及時(shí)整改，做到防患于未然.

4 結(jié) 語

綜上所述，在校園信息化建設(shè)進(jìn)程不斷加快的背景下，學(xué)校對于網(wǎng)絡(luò)的可管理性與安全性的需求越來越高.學(xué)校管理層必須要從思想意識上重視校園網(wǎng)絡(luò)安全防護(hù)管理工作，結(jié)合學(xué)校的實(shí)際情況，探尋最適合學(xué)校的校園信息化建設(shè)的網(wǎng)絡(luò)安全防護(hù)方案，以最大限度地維護(hù)校園網(wǎng)路安全.