摘?要：隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展與普及，中學(xué)校園網(wǎng)建設(shè)水平獲得長足進(jìn)展，在現(xiàn)代校園中網(wǎng)絡(luò)信息技術(shù)應(yīng)用范圍不斷擴(kuò)大，從傳統(tǒng)的PC端再到移動端，多終端的信息流互通互聯(lián)給師生的教育教學(xué)工作和學(xué)習(xí)生活帶來了極大便利，與此同時(shí)校園網(wǎng)絡(luò)信息安全問題與風(fēng)險(xiǎn)也在增加。本文通過所在區(qū)域城區(qū)中小學(xué)校園網(wǎng)絡(luò)安全情況的了解，對其中存在的問題進(jìn)行分析，并就如何增強(qiáng)校園網(wǎng)絡(luò)安全提出具體防范對策，文中包含筆者對當(dāng)前校園網(wǎng)絡(luò)安全技術(shù)問題的看法和見解，探討有效防范與控制校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的對策。

關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò)安全;分析;防范對策

校園網(wǎng)作為提高教育教學(xué)和管理質(zhì)量的重要手段，已經(jīng)成為學(xué)校教學(xué)與行政辦公最基本設(shè)施之一，它的安全問題直接與全校師生的教學(xué)和學(xué)習(xí)相關(guān)，沒有校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，教育教學(xué)工作就無法正常持續(xù)開展。特別是在城區(qū)的中小學(xué)校園不斷地往數(shù)字校園和智慧校園演進(jìn)，其中涉及的網(wǎng)絡(luò)綜合布線更復(fù)雜，信息應(yīng)用系統(tǒng)更龐大，同時(shí)網(wǎng)絡(luò)安全問題也更為突出，一旦發(fā)生校園網(wǎng)絡(luò)安全事件，將極大影響全校師生的教育教學(xué)工作和學(xué)習(xí)生活。

一、 校園網(wǎng)絡(luò)安全現(xiàn)狀及問題

目前筆者所在區(qū)域城區(qū)中小學(xué)校的校園網(wǎng)絡(luò)主干線路都已經(jīng)實(shí)現(xiàn)光纖專線接入，因特網(wǎng)出口帶寬均達(dá)到百兆以上，校園樓宇樓層之間實(shí)現(xiàn)百兆甚至千兆對接，至少百兆到桌面，逐步實(shí)現(xiàn)千兆到終端，隨著教育信息化的發(fā)展，在城市一級的中小學(xué)校，已經(jīng)越來越重視數(shù)字校園的建設(shè)，有一些學(xué)校無線網(wǎng)絡(luò)已覆蓋校園，網(wǎng)絡(luò)建設(shè)投入力度大，用戶信息點(diǎn)多應(yīng)用系統(tǒng)范圍廣等，與此同時(shí)安全方面隱患問題也很突出，比如網(wǎng)絡(luò)黑客攻擊、計(jì)算機(jī)病毒感染、地震火災(zāi)、水災(zāi)斷電等自然災(zāi)害和人為原因等，經(jīng)過分析主要有如下幾方面的網(wǎng)絡(luò)安全問題。

（一）校園網(wǎng)絡(luò)安全制度不到位，網(wǎng)絡(luò)管理與技術(shù)能力不足

我國于2016年11月7日發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》并規(guī)定此法2017年6月1日起生效施行。許多學(xué)校投入大量資金建設(shè)數(shù)字校園或智慧校園，實(shí)現(xiàn)了校園網(wǎng)絡(luò)的信息化、數(shù)字化、智能化，雖然大部分學(xué)校有專門的網(wǎng)絡(luò)信息中心來統(tǒng)籌學(xué)校網(wǎng)絡(luò)的建設(shè)和管理，但重建設(shè)輕管理現(xiàn)象還比較突出，沒有建立完善的網(wǎng)絡(luò)安全管理規(guī)章制度，缺少專業(yè)并且固定的網(wǎng)絡(luò)管理人員，在技術(shù)能力方面存在不足。

（二）網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)不合理

由于學(xué)校內(nèi)部缺乏專業(yè)技術(shù)力量支撐，很多中小學(xué)的校園網(wǎng)絡(luò)規(guī)劃很零散，只考慮最近需求，不考慮后續(xù)建設(shè)擴(kuò)展，東建一塊西建一塊，沒有網(wǎng)絡(luò)整體架構(gòu)規(guī)劃設(shè)計(jì)思想。學(xué)校通常采用集成商承建的方式進(jìn)行校園網(wǎng)建設(shè)，由于設(shè)計(jì)方案和具體施工主要交由集成商來負(fù)責(zé)，在設(shè)計(jì)的時(shí)候，集成商的整體設(shè)計(jì)思路可能存在缺陷，缺乏對整個(gè)校園網(wǎng)網(wǎng)絡(luò)安全需求的全面分析，以及和學(xué)校各科室部門網(wǎng)絡(luò)用戶的溝通不足，最終導(dǎo)致了校園網(wǎng)絡(luò)的設(shè)計(jì)方案與實(shí)際應(yīng)用存在偏差甚至不適用，特別是整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的不合理帶來了很大的安全隱患。

（三）網(wǎng)絡(luò)黑客攻擊與入侵

現(xiàn)在的網(wǎng)絡(luò)攻擊門檻很低，腳本小子可以輕易地在網(wǎng)絡(luò)上下載到自動化、傻瓜化的黑客工具，然后運(yùn)行開始自動化掃描探測攻擊，針對某些未打漏洞補(bǔ)丁或者存在其他安全缺陷的機(jī)器進(jìn)行入侵，被入侵后黑客非法獲取服務(wù)器或PC上的重要敏感數(shù)據(jù)，如教師和學(xué)生的身份信息、學(xué)生成績數(shù)據(jù)等。還有通過劫持信息、投放惡意代碼、DDOS等方式攻擊校園網(wǎng)站服務(wù)器和網(wǎng)絡(luò)設(shè)備，造成服務(wù)器癱瘓、門戶網(wǎng)站不能運(yùn)行、網(wǎng)絡(luò)擁塞等，黑客攻擊手段花樣很多，所要達(dá)到的目的各不相同。校園內(nèi)部也會有網(wǎng)絡(luò)攻擊的問題，有極個(gè)別學(xué)生受好奇心驅(qū)使然后利用網(wǎng)上現(xiàn)成的黑客工具，對本校的門戶網(wǎng)站或其他信息系統(tǒng)進(jìn)行攻擊入侵，并非法訪問服務(wù)器和相關(guān)信息系統(tǒng)，目的是為了修改數(shù)據(jù)或者炫耀自己掛一張黑頁，甚至破壞信息系統(tǒng)，造成很壞的影響。

（四）計(jì)算機(jī)病毒入侵

計(jì)算機(jī)病毒是所有網(wǎng)絡(luò)正常穩(wěn)定運(yùn)行最大的一個(gè)威脅，它是對計(jì)算機(jī)和網(wǎng)絡(luò)具有破壞作用的一段惡意代碼，常見的傳播方式有：利用瀏覽器漏洞定點(diǎn)投毒;潛藏在U盤等移動存儲介質(zhì)里面;把惡意病毒代碼捆綁在應(yīng)用軟件放到網(wǎng)絡(luò)上提供下載;通過被控制的計(jì)算機(jī)主動掃描薄弱機(jī)器進(jìn)一步傳播;利用發(fā)送特定惡意代碼病毒郵件進(jìn)行釣魚攻擊傳播等等。以上各種手段傳播的計(jì)算機(jī)病毒在條件合適的時(shí)候就會被激活執(zhí)行。計(jì)算機(jī)病毒會對系統(tǒng)資源進(jìn)行破壞，輕則計(jì)算機(jī)運(yùn)行速度變很慢，重則網(wǎng)絡(luò)堵塞、操作系統(tǒng)崩潰、設(shè)備硬件損壞、整個(gè)網(wǎng)絡(luò)陷入癱瘓狀態(tài)。

（五）軟件系統(tǒng)存在缺陷和漏洞

我們知道任何軟件系統(tǒng)，比如操作系統(tǒng)和應(yīng)用軟件多少都會存在一些已知或未知的漏洞，驗(yàn)證一句話就是系統(tǒng)應(yīng)用的多，使用的人多，發(fā)現(xiàn)的漏洞也會多。當(dāng)前中小學(xué)校園里的計(jì)算機(jī)95%以上使用的都是Windows系列操作系統(tǒng)，該操作系統(tǒng)在全球范圍都是絕對主流的操作系統(tǒng)，用戶數(shù)量龐大，使用和研究它的人非常多，是極客和黑客分析找漏洞的最主要目標(biāo)之一，一旦黑客找到漏洞，他們就會想方設(shè)法編寫利用程序（也稱為Exploit Code）來攻擊存在漏洞的計(jì)算機(jī)或者網(wǎng)絡(luò)終端。其他非Windows操作系統(tǒng)主要用在服務(wù)器領(lǐng)域，比如Linux/UNIX操作系統(tǒng)，雖然這些操作系統(tǒng)相對較安全，但也同樣也存在不少缺陷和漏洞。除了操作系統(tǒng)存在漏洞，應(yīng)用級別的軟件也同樣會存在缺陷漏洞，比如IE、FireFox、Chrome瀏覽器，微軟Office辦公軟件、下載工具、聊天程序等應(yīng)用軟件，它們同樣也存在風(fēng)險(xiǎn)。

二、 校園網(wǎng)絡(luò)安全防范對策

（一）健全校園網(wǎng)絡(luò)安全制度，增強(qiáng)網(wǎng)絡(luò)安全意識

保障校園網(wǎng)絡(luò)信息安全除了專門的網(wǎng)管人員和自動化技術(shù)手段外，規(guī)范的規(guī)章制度與管理制度才是根本。學(xué)校應(yīng)根據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)》等法律法規(guī)及標(biāo)準(zhǔn)文件，制定出適合本?？尚械男@網(wǎng)絡(luò)安全管理規(guī)章制度和執(zhí)行辦法，成立專門的以校長一把手為組長的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，在強(qiáng)有力的機(jī)構(gòu)保障下，后續(xù)網(wǎng)絡(luò)安全工作才好開展，才能做實(shí)做細(xì)。校園網(wǎng)的網(wǎng)絡(luò)樞紐重地中心機(jī)房，應(yīng)針對機(jī)房的防火、防水以及網(wǎng)絡(luò)攻擊入侵等安全事件，制定出周全的應(yīng)急處理預(yù)案，并定期開展預(yù)案的實(shí)操演練，不斷提高網(wǎng)絡(luò)安全事件的應(yīng)急處理能力。通過專門的會議、培訓(xùn)或者講座，對全校教職員工和學(xué)生進(jìn)行網(wǎng)絡(luò)安全宣傳，持續(xù)增強(qiáng)校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識。在日常網(wǎng)絡(luò)使用中，不隨意打開來歷不明的鏈接地址、可執(zhí)行文件和電子郵件等操作;不隨意從因特網(wǎng)上下載安裝軟件;U盤等移動存儲介質(zhì)使用時(shí)注意安全掃描，防止通過U盤傳播計(jì)算機(jī)病毒;不同用途的系統(tǒng)登錄賬號，設(shè)置不同的密碼，同時(shí)密碼長度和強(qiáng)度要達(dá)到一定的復(fù)雜度要求。

（二）規(guī)劃好網(wǎng)絡(luò)整體架構(gòu)，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。

在進(jìn)行校園網(wǎng)建設(shè)時(shí)要有整體規(guī)劃思想，為了避免規(guī)劃設(shè)計(jì)的不合理和片面性，應(yīng)該在前期調(diào)研物色一家專業(yè)的校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)可研機(jī)構(gòu)，讓專業(yè)的公司和專業(yè)人員來做網(wǎng)絡(luò)架構(gòu)整體合理規(guī)劃的工作，這樣有利于后續(xù)一系列依托該網(wǎng)絡(luò)架構(gòu)的應(yīng)用和拓展建設(shè)，避免出現(xiàn)混亂和重復(fù)建設(shè)情況，節(jié)省資金和人力物力的浪費(fèi)投入。網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化可以考慮用核心交換機(jī)的VLAN功能合理劃分虛擬局域網(wǎng)，把不同樓宇和使用用途的網(wǎng)段邏輯上獨(dú)立出來，保障了校園內(nèi)部局域網(wǎng)的安全，在某個(gè)網(wǎng)段出問題，不至于影響全校的網(wǎng)絡(luò)運(yùn)行，提高了網(wǎng)絡(luò)安全水平。

（三）部署硬件防火墻和入侵檢測系統(tǒng)

部署硬件網(wǎng)絡(luò)防火墻在校園網(wǎng)與英特網(wǎng)之間構(gòu)筑一道特殊的防護(hù)墻，對內(nèi)對外進(jìn)行訪問策略控制，通過前期對內(nèi)部應(yīng)用系統(tǒng)和終端的使用范圍劃分，以此設(shè)置對外訪問和外界對內(nèi)部訪問的策略控制。有了網(wǎng)絡(luò)硬件防火墻，就可以保護(hù)我們的內(nèi)部網(wǎng)絡(luò)不會輕易地受到外部網(wǎng)絡(luò)黑客的攻擊，假如黑客的技術(shù)非常高超，那么這道防護(hù)墻無形當(dāng)中提高了許多攻擊成本。

應(yīng)用入侵檢測系統(tǒng)（IDS）對網(wǎng)絡(luò)傳輸數(shù)據(jù)流進(jìn)行檢測監(jiān)控，它會對數(shù)據(jù)包進(jìn)行拆解，當(dāng)發(fā)現(xiàn)有異常的網(wǎng)絡(luò)攻擊數(shù)據(jù)流和規(guī)則匹配時(shí)，將啟動保護(hù)機(jī)制模塊，把攻擊行為攔截下來，不作進(jìn)一步傳輸并把日志記錄下來給網(wǎng)絡(luò)管理人員發(fā)送告警信息。入侵檢測系統(tǒng)可以在網(wǎng)絡(luò)出現(xiàn)問題時(shí)得到及時(shí)有效處理，提高網(wǎng)絡(luò)安全事件應(yīng)急處置能力，保護(hù)校園網(wǎng)內(nèi)的軟資產(chǎn)不被非法攻擊入侵和竊取。

（四）部署網(wǎng)絡(luò)殺毒軟件

計(jì)算機(jī)病毒在網(wǎng)絡(luò)中傳播速度非?？炱茐男砸埠軓?qiáng)，校園的終端點(diǎn)多面廣，根據(jù)實(shí)際情況可以考慮部署能集中統(tǒng)一管理的網(wǎng)絡(luò)版殺毒軟件。校園辦公和機(jī)房計(jì)算機(jī)數(shù)量比較多，如果是單機(jī)安裝維護(hù)，勢必造成運(yùn)維煩瑣費(fèi)時(shí)費(fèi)力，因此選擇使網(wǎng)絡(luò)版殺毒軟件是合適的，把核心殺毒引擎安裝在專人維護(hù)的服務(wù)器中，校園網(wǎng)終端只需安裝指定的客戶端程序，便可實(shí)現(xiàn)對校園所有聯(lián)網(wǎng)的計(jì)算機(jī)實(shí)施統(tǒng)一查殺工作。作為網(wǎng)絡(luò)安全運(yùn)維人員只需對服務(wù)器端的殺毒引擎進(jìn)行專業(yè)維護(hù)即可，這樣就能一處及時(shí)更新病毒庫和特征碼就能實(shí)現(xiàn)全校的自動更新，極大地提高了計(jì)算機(jī)病毒防控和查殺能力。

（五）及時(shí)更新設(shè)備系統(tǒng)與應(yīng)用程序，完善數(shù)據(jù)備份機(jī)制

校園網(wǎng)絡(luò)中相關(guān)設(shè)備很多，比如核心交換機(jī)、路由器、服務(wù)器、防火墻、入侵檢測、行為管理以及辦公和教學(xué)用PC等，它們的軟件版本都是動態(tài)變化的，版本升級與更新速度很快。這么多系統(tǒng)軟件和應(yīng)用程序，它們在使用過程中會被不斷地挖掘出缺陷和漏洞，為了與黑客賽跑爭取時(shí)間，必須做到及時(shí)更新系統(tǒng)與應(yīng)用程序的版本和補(bǔ)丁。

做好數(shù)據(jù)備份是校園網(wǎng)絡(luò)數(shù)據(jù)安全當(dāng)中非常重要的工作，而且要做到多種備份方式并行，包括本地備份、本地異機(jī)備份和遠(yuǎn)程異地備份等。本地備份是數(shù)據(jù)災(zāi)備最重要的一個(gè)環(huán)節(jié)，如果是門戶站點(diǎn)的數(shù)據(jù)盡量做到雙活熱備，即使是受到黑客攻擊也可以立即切換服務(wù)器，保障門戶服務(wù)不間斷;如果是個(gè)人自身的重要數(shù)據(jù)，可以通過本機(jī)或者移動存儲介質(zhì)進(jìn)行多模式備份，總之有備無患這是最重要的。

三、 網(wǎng)絡(luò)空間安全感想

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用，給我們的工作和生活不但提供了極大的便利，并且提高了工作效率和生活水平。近年來校園網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化應(yīng)用程度的不斷提高，給師生的教育和學(xué)習(xí)帶來深刻的變革，讓我們切身感受到離開校園網(wǎng)我們的教育教學(xué)工作將無法順利開展，因此確保校園網(wǎng)絡(luò)安全是一項(xiàng)非常重要的工作。本文從中小學(xué)校園網(wǎng)絡(luò)特點(diǎn)出發(fā)分析了當(dāng)前校園網(wǎng)絡(luò)安全存在的問題以及面臨的威脅，并提出防范網(wǎng)絡(luò)安全問題的具體對策和措施，希望能在校園網(wǎng)絡(luò)安全建設(shè)，確保校園網(wǎng)安全穩(wěn)定運(yùn)行工作中提供一些借鑒作用。沒有網(wǎng)絡(luò)安全就沒有國家安全，在這邊我們可以說沒有網(wǎng)絡(luò)安全就沒有校園安全，網(wǎng)絡(luò)安全將是一個(gè)持續(xù)不斷的話題。

作者簡介：鄒文筆，福建省漳州市，漳州市教育裝備中心（漳州市電化教育館）。