翁花群 許麗光

摘? ?要：隨著互聯(lián)網(wǎng)的普及、發(fā)展和教育信息化的不斷推進，高等院校相繼建成了各自規(guī)模的校園網(wǎng)。作為信息化建設的基礎設施平臺，校園網(wǎng)已深入到高校教學、科研、管理等各個方面，為廣大師生的工作、學習和生活帶來了極大的便利。與此同時，校園網(wǎng)的安全問題也日漸突出，如何確保校園網(wǎng)安全運行顯得尤為重要。文章著重分析了高校校園網(wǎng)普遍存在的安全問題，并給出相關的安全防護措施。

關鍵詞：高校校園網(wǎng);網(wǎng)絡安全;防護措施;應急響應

1? ? 高校校園網(wǎng)概述

1994年，我國政府開始投資建設中國教育和科研計算機網(wǎng)（China Education and Research Network，CERNET）[1]。在該工程建設的大力推動下，國內各高校的校園網(wǎng)建設工作也相繼地開展，這標志著我國高校進入了校園網(wǎng)絡時代。

高校校園網(wǎng)不同于其他類型的網(wǎng)絡，它不僅包括CERNET，還包括中國移動、中國電信、中國聯(lián)通等其他網(wǎng)絡服務提供商。它的網(wǎng)絡規(guī)模大，具有多樣性、復雜性和開放性等特點。

2? ? 高校校園網(wǎng)安全問題分析

高校校園網(wǎng)處于一個開放的網(wǎng)絡環(huán)境，用戶眾多，網(wǎng)絡結構較為復雜，維護和管理相對困難，這些特點決定了它必然存在著安全方面的問題。

2.1? 物理破壞

高校校園網(wǎng)絡環(huán)境內有許多硬件設備和網(wǎng)絡線纜等設施，它們在使用過程中可能遭受到水災、火災、地震等自然災害以及一些人為因素的破壞。這些物理破壞都可能影響校園網(wǎng)的正常運行，甚至造成校園網(wǎng)絡癱瘓的嚴重后果。

2.2? 計算機病毒威脅

計算機病毒是威脅校園網(wǎng)安全的一大隱患，它們可以通過存儲介質、系統(tǒng)漏洞、電子郵件等途徑在校園網(wǎng)內傳播，常見的有木馬、蠕蟲、后門等。計算機病毒的傳播速度快、破壞性強、清除難度大，給校園網(wǎng)的安全造成了嚴重的威脅。

2.3? 網(wǎng)絡攻擊

高校校園網(wǎng)具有開放性的特點，這就導致它容易遭受外部網(wǎng)絡的一些惡意攻擊，比如DDos攻擊、ARP攻擊和SQL注入攻擊等。此外，在校園網(wǎng)內部同樣存在攻擊行為，比如一些學生出于好奇或是實踐的欲望，會利用課堂上學到的知識，嘗試著對校園網(wǎng)發(fā)起攻擊。更有甚者，在一些利益的驅動下，非法攻擊服務器，盜取內部數(shù)據(jù)。這些內外攻擊行為都將干擾校園網(wǎng)的正常運行，甚至造成更嚴重的后果。

2.4? 終端漏洞

高校校園網(wǎng)絡環(huán)境內存在的終端漏洞主要有操作系統(tǒng)漏洞、硬件設備漏洞、網(wǎng)站以及基于Web應用的信息系統(tǒng)等代碼漏洞。這些漏洞是潛在于校園網(wǎng)內的安全隱患，黑客等不法分子利用這些漏洞可以對校園網(wǎng)發(fā)起惡意攻擊。計算機病毒也可以利用這些漏洞進行傳播，威脅校園網(wǎng)的安全。

2.5? 不良信息的傳播

互聯(lián)網(wǎng)上充斥著垃圾郵件、暴力色情甚至反動等不良信息，這些信息通過互聯(lián)網(wǎng)可在高校校園網(wǎng)內傳播，對學生的身心發(fā)展產生不利于健康的影響。此外，這些信息往往攜帶木馬和病毒，對校園網(wǎng)的安全也造成了嚴重的威脅。

2.6? 網(wǎng)絡安全意識薄弱

校園網(wǎng)用戶大都認為網(wǎng)絡安全是由學校網(wǎng)絡中心等部門專門負責，跟個人無關，因此他們普遍都缺乏網(wǎng)絡安全意識。比如一些學生經(jīng)常會瀏覽一些不安全的網(wǎng)頁、打開來歷不明的垃圾郵件、下載隱藏病毒的文件、安裝帶有病毒的軟件等。這種安全意識上的疏忽給校園網(wǎng)的安全也埋下了隱患。

2.7? 校園網(wǎng)安全管理缺陷

校園網(wǎng)的安全威脅也來自于管理上出現(xiàn)的問題。高校普遍存在重運行、輕管理的現(xiàn)象，上層領導對網(wǎng)絡安全工作的認知和重視程度不夠，安全工作的投入也相對較低。校園網(wǎng)管理隊伍人員不足，尤其缺少專業(yè)的網(wǎng)絡安全人才，大多數(shù)的網(wǎng)絡管理員專業(yè)技術不高，對網(wǎng)絡安全風險的防范和處置缺乏過硬的本領。此外，校園網(wǎng)的安全管理制度也不完善，不能有效地約束和規(guī)范學生、教職工的上網(wǎng)行為。

3? ? 高校校園網(wǎng)安全防護措施

基于高校校園網(wǎng)面臨的這些安全問題，本研究將從物理環(huán)境、技術和管理等方面提出相關的防護措施。

3.1? 做好物理安全防護

物理安全防護是保障高校校園網(wǎng)安全運行的基本前提，主要是指通過采用輻射防護、屏幕口令、狀態(tài)檢測、報警確認、應急恢復等手段，保護網(wǎng)絡服務器、計算機系統(tǒng)、網(wǎng)絡交換路由等網(wǎng)絡設備和網(wǎng)絡線纜等硬件實體，使其免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊等的破壞[2]。學校應該將服務器、交換機和防火墻等網(wǎng)絡核心設備集中放在網(wǎng)絡中心機房，提供一個良好的機房環(huán)境，包括UPS電源、正常的溫濕度、防火、防水、防靜電、防盜等。對于光纖等網(wǎng)絡通信線路，采取架空、穿線或深埋等方式，以防線路遭受物理破壞。

3.2? 實行校園網(wǎng)實名制認證

為落實《網(wǎng)絡安全法》關于實名制的要求，高校應做好校園網(wǎng)用戶上網(wǎng)實名認證工作。通過部署校園網(wǎng)用戶認證計費系統(tǒng)，對接入校園網(wǎng)的所有終端、設備進行統(tǒng)一的認證授權。所有校園網(wǎng)用戶須通過實名制認證來開通校園網(wǎng)賬號，教職工可以使用個人工號作為上網(wǎng)賬號，學生則使用學號作為上網(wǎng)賬號。對于一些外來人員或是特殊情況，可以根據(jù)實際需要，申請開通臨時的實名制賬號或者采用無感知身份認證。同時，考慮到用戶有搭接路由器使用WiFi上網(wǎng)的需求，可以在認證系統(tǒng)上配置一個賬號多終端，方便教職工及家屬使用。

3.3? 部署網(wǎng)絡安全設備，合理配置安全策略

高校應該根據(jù)學校的實際情況，采用先進的網(wǎng)絡安全技術，建設一套合理完善的網(wǎng)絡安全設施，并合理配置相關的安全策略，以確保整個校園網(wǎng)絡環(huán)境的基礎安全防護，具體主要包括以下4點。

（1）部署防火墻和網(wǎng)絡防病毒系統(tǒng)，實現(xiàn)對整個校園網(wǎng)絡安全的基本防護。在防火墻上配置訪問控制策略，防止校內資源被非法訪問和使用。通過端口配置，關閉和限定一些特定端口，如445、3389、22、135、136、137、139等的訪問。在網(wǎng)絡防病毒系統(tǒng)上設置策略，定期更新病毒庫，實現(xiàn)全網(wǎng)內所有終端自動統(tǒng)一升級，以防御新型病毒的入侵攻擊。

（2）部署Web應用防火墻，有效防御Web應用攻擊。部署入侵檢測和入侵防御系統(tǒng)，聯(lián)合防火墻系統(tǒng)，基本實現(xiàn)對網(wǎng)絡攻擊的深度防護。

（3）部署漏洞掃描系統(tǒng)，主動檢測潛在的安全漏洞并提供安全評估報告。

（4）部署堡壘機，建立運維審計制度。通過權限分配和訪問策略配置，實現(xiàn)對校內校外運維工作的管理和安全審計。

3.4? 購買專業(yè)的網(wǎng)絡安全服務

高校網(wǎng)絡信息中心通常都面臨著人員不足和安全專業(yè)技術能力不足的困境，為此高?？梢酝卣骨?，通過購買服務的方式，將一部分網(wǎng)絡安全工作外包給專業(yè)的安全公司。尤其是在一些重大事件中或敏感時期內，可以借助這些專業(yè)、可信、優(yōu)秀的網(wǎng)絡安全公司，共同做好高校校園網(wǎng)的安全保障工作。

3.5? 做好校園網(wǎng)安全管理工作

“三分技術，七分管理”。高校校園網(wǎng)的安全不單單依靠技術防御手段，更重要的是管理上的安全保障。

3.5.1? 建立安全管理機構

網(wǎng)絡安全工作的開展，需要有一個權威的、自上而下的管理機構作為組織保障。高校應該建立專門的網(wǎng)絡安全工作領導小組，由學校一把手擔任組長。同時，下設辦公室和網(wǎng)絡安全工作組等機構，明確分工、各司其職，共同做好校園網(wǎng)絡安全工作。

3.5.2? 制定安全管理制度

為了推動校園網(wǎng)絡安全工作的有序進行，高校應根據(jù)國家相關法律法規(guī)和學校的實際情況，制定并嚴格執(zhí)行有效的安全管理制度，規(guī)范和明確網(wǎng)絡安全工作中各單位、各崗位的工作范圍和職責等內容。

3.5.3? 加強網(wǎng)絡安全教育，提高安全防范意識和防范能力

高校網(wǎng)絡安全管理的一個重要方面就是要加強校園網(wǎng)用戶的網(wǎng)絡安全教育，提高其安全防范意識和防范能力。針對不同的校園網(wǎng)用戶群體，采取不同的措施。對于校領導，著重向他們介紹網(wǎng)絡安全的重要性、緊迫性等，不斷地提高他們對網(wǎng)絡安全工作的認知和重視程度。對于廣大師生，通過開展網(wǎng)絡安全知識普及教育和培訓活動，一方面使其了解網(wǎng)絡安全方面的法律法規(guī)，提高他們的網(wǎng)絡安全意識，另一方面，促使他們學習掌握一些基本的網(wǎng)絡安全技能，提升他們的網(wǎng)絡安全防范能力。針對網(wǎng)絡管理員、安全管理員等專業(yè)技術人員，則要求他們時刻保持對網(wǎng)絡安全方面的敏感性和警惕性，加強網(wǎng)絡安全專業(yè)知識和技能的學習，不斷地提升應對網(wǎng)絡安全問題、維護校園網(wǎng)安全的業(yè)務能力。

3.5.4? 建立安全檢查機制，以查促改

安全檢查是安全管理當中很重要的一個環(huán)節(jié)，不容忽視。高校應該綜合考慮不同部門的實際情況，建立一套合理的安全檢查機制。比如在重要活動期間以及每月固定某個時間段，對學校所有網(wǎng)站以及應用信息系統(tǒng)進行安全巡檢。此外，還可以不定期地開展?jié)B透、測試等安全檢查工作。通過這些常態(tài)化的工作，可以及時有效地發(fā)現(xiàn)問題，并督促落實整改。

3.5.5? 建立應急響應機制

“道高一尺，魔高一丈”。很多網(wǎng)絡安全威脅防不勝防，為此，高校應該建立網(wǎng)絡安全應急響應的工作機制。學校要立足于自身網(wǎng)絡的特點，制定切合學校實際的應急處置預案。定期開展應急演練，在具體的實踐過程中不斷改進和完善應急響應機制。

3.5.6? 做好校園網(wǎng)容災備份建設

容災備份指的是在災難事件發(fā)生時，可以通過容災機制，最大限度地實現(xiàn)數(shù)據(jù)的恢復，保證工作單位的正常運行[3]。數(shù)據(jù)容災備份，是保障網(wǎng)絡信息安全的最后一道防線，因此，做好容災備份的建設至關重要。高校應該結合學校的實際需求和資金預算等情況，合理規(guī)劃、循序漸進、分級建設，比如根據(jù)不同業(yè)務系統(tǒng)的重要性、復雜度等實際情況來確定災備方案。對于那些關鍵的核心業(yè)務系統(tǒng)，除了本地數(shù)據(jù)備份以外，還需要進行異地災備。其他非關鍵的應用系統(tǒng)，可以先做本地數(shù)據(jù)備份。下一階段，在資金許可的情況下，可以進一步考慮建設異地容災中心，實現(xiàn)數(shù)據(jù)遠程異地備份。

4? ? 結語

高校校園網(wǎng)的安全問題是一個動態(tài)的、復雜的系統(tǒng)工程，需要全方位、多層次的防范。學校必須高度重視校園網(wǎng)安全工作，通過宣傳、教育、培訓等方式，提高校園網(wǎng)用戶的網(wǎng)絡安全意識和防范能力。從技術和管理方面雙管齊下，建立一套以先進的網(wǎng)絡安全技術為支撐，科學的安全管理手段相配合的校園網(wǎng)安全防護措施。同時，還應與時俱進，不斷地更新和完善校園網(wǎng)安全防護體系，不斷地提升校園網(wǎng)的安全防御能力，確保校園網(wǎng)更加安全地運行，進而更好地服務于學校的教學、科研和管理等方面。作者簡介：翁花群（1987— ），女，福建莆田人，實驗師，碩士;研究方向：多媒體通信，無線傳輸。