摘要：教育信息化促進(jìn)了校園網(wǎng)的普及，使校園網(wǎng)逐漸成為學(xué)校教育不可或缺的重要設(shè)施之一。校園網(wǎng)連接了學(xué)校所有的信息系統(tǒng)、計算機(jī)、手機(jī)等，存儲了學(xué)校的數(shù)字教育資源、重要的文件資料以及學(xué)生和教師的隱私信息等，但隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，外網(wǎng)攻擊日益頻繁，以及校園網(wǎng)內(nèi)部工作人員或?qū)W生操作不規(guī)范等問題，提高了校園網(wǎng)信息安全風(fēng)險。因此，針對校園網(wǎng)信息安全發(fā)展現(xiàn)狀與發(fā)展瓶頸、問題的分析，明確當(dāng)下校園網(wǎng)信息安全保護(hù)存在的不足，面臨的信息安全威脅與管理上的漏洞，為校園網(wǎng)信息安全優(yōu)化方案的制定提供建設(shè)性的意見。本文基于某校園網(wǎng)信息安全優(yōu)化實例，進(jìn)行其防火墻、交換機(jī)、病毒防御機(jī)制的優(yōu)化改造，提升校園網(wǎng)信息安全防范水平，實現(xiàn)校園網(wǎng)信息安全優(yōu)化的最大價值，以期作為校園網(wǎng)信息安全改造升級中的經(jīng)驗借鑒。

關(guān)鍵詞：校園網(wǎng)；信息安全；信息安全管理；信息安全優(yōu)化方案

校園網(wǎng)是學(xué)校師生溝通交流、獲取教學(xué)資源，以及學(xué)校教學(xué)管理的重要渠道。在互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)全面普及，隨之而來的是網(wǎng)絡(luò)信息安全問題，因特網(wǎng)為開放環(huán)境，使用了開放架構(gòu)與開發(fā)接口，本身存在一定的安全漏洞，而校園網(wǎng)運(yùn)行于因特網(wǎng)環(huán)境中，時時面臨著信息安全威脅，校園網(wǎng)被攻擊事件時有發(fā)生，迫切需要通過校園網(wǎng)信息安全的優(yōu)化，提高校園網(wǎng)防范網(wǎng)絡(luò)攻擊、計算機(jī)病毒攻擊能力，以維持校園網(wǎng)的安全可靠運(yùn)行，保護(hù)校園網(wǎng)內(nèi)部的信息安全。

一、校園網(wǎng)信息安全發(fā)展現(xiàn)狀

因特網(wǎng)本身結(jié)構(gòu)脆弱，安全防護(hù)能力有限，并且因特網(wǎng)開放性的特點，使其易于遭受網(wǎng)絡(luò)攻擊。教育領(lǐng)域的校園網(wǎng)覆蓋整個校園，主要服務(wù)于學(xué)校的師生，但是在校園網(wǎng)絡(luò)運(yùn)行過程中，同時面臨著校園網(wǎng)內(nèi)部與外部兩個方面的信息安全威脅，外部主要是網(wǎng)絡(luò)攻擊、計算機(jī)病毒等，校園內(nèi)部主要是來自學(xué)生方面的攻擊與破壞。比如學(xué)生中網(wǎng)絡(luò)信息安全技術(shù)的愛好者，使用系統(tǒng)漏洞掃描軟件掃描校園網(wǎng)漏洞，或是在校園網(wǎng)環(huán)境中編寫傳播計算機(jī)病毒等，以及教師或?qū)W生在不知情的情況下訪問了病毒木馬、黑客入侵等惡意網(wǎng)站，均會威脅到校園網(wǎng)的信息安全。

校園網(wǎng)的用戶定位是學(xué)生及往屆畢業(yè)生，且每個網(wǎng)絡(luò)用戶也均有可能是校園網(wǎng)的用戶，每個校園網(wǎng)用戶都可使用手機(jī)連接校園網(wǎng)絡(luò)，具備資源共享、信息交流、協(xié)同工作等基本功能。但從校園網(wǎng)信息安全方面來看，在校園網(wǎng)絡(luò)建設(shè)階段，網(wǎng)絡(luò)信息安全保護(hù)設(shè)計較為薄弱，再加上校園網(wǎng)用戶安全意識不夠，以及校園網(wǎng)采用了開放結(jié)構(gòu)、開放技術(shù)、開放接口等，在網(wǎng)絡(luò)頻繁攻擊環(huán)境下，形成校園網(wǎng)較高的信息安全風(fēng)險。從校園網(wǎng)信息安全事件來看，有信息中心服務(wù)器宕機(jī)、校園網(wǎng)服務(wù)器被病毒攻擊、外部人員入侵學(xué)校網(wǎng)站，以及數(shù)據(jù)服務(wù)器突發(fā)斷電，導(dǎo)致數(shù)據(jù)庫數(shù)據(jù)丟失等。引起校園網(wǎng)信息安全事件的主要原因是由于其本身防護(hù)措施的不足，使病毒趁機(jī)而入，由于網(wǎng)絡(luò)安全管理不到位，安全管理手段的缺失，導(dǎo)致人員操作失誤引發(fā)安全事件，還有校園WiFi網(wǎng)絡(luò)安全及安全防護(hù)的不足，出現(xiàn)外網(wǎng)與內(nèi)網(wǎng)入侵事件。校園網(wǎng)信息安全事件種類較多，引發(fā)原因復(fù)雜，影響到校園網(wǎng)的正常運(yùn)行，甚至是數(shù)據(jù)的丟失及物理設(shè)備的損壞。

二、校園網(wǎng)信息安全發(fā)展瓶頸與問題

（一）技術(shù)層面的瓶頸與問題

1.計算機(jī)病毒

計算機(jī)病毒具有傳染性、隱蔽性、潛伏性等特點，對信息數(shù)據(jù)破壞力極大，其實質(zhì)是程序代碼，通過網(wǎng)絡(luò)入侵計算機(jī)，在計算機(jī)的文件資料中潛伏，不斷地復(fù)制病毒程序，逐漸擴(kuò)大感染的范圍。計算機(jī)在中病毒后，會直接影響計算機(jī)的運(yùn)行效率，甚至是死機(jī)、操作系統(tǒng)崩潰等。病毒的類型主要有網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒、木馬病毒、蠕蟲病毒等，計算機(jī)感染病毒種類的不同，表現(xiàn)出的癥狀也不相同，現(xiàn)階段新型計算機(jī)病毒隱蔽性更強(qiáng)、傳播感染速度更快，破壞力變大。因此，校園網(wǎng)信息安全優(yōu)化首先要解決的是計算機(jī)病毒問題，需加強(qiáng)計算機(jī)病毒的研究，根據(jù)其傳播途徑及病毒類型構(gòu)建校園網(wǎng)的信息安全防范措施，如安裝殺毒軟件，增強(qiáng)學(xué)生的信息安全意識等。

2.系統(tǒng)漏洞

計算機(jī)主要依靠操作系統(tǒng)運(yùn)行，校園網(wǎng)計算機(jī)使用的操作系統(tǒng)主要是Windows或Linux，操作系統(tǒng)基于計算機(jī)硬件運(yùn)行，系統(tǒng)本身就存在著安全漏洞，系統(tǒng)需定期升級或打補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞。網(wǎng)絡(luò)攻擊者利用系統(tǒng)漏洞入侵計算機(jī)及網(wǎng)絡(luò)較為常見，尤其是高危漏洞的存在，一旦被攻擊者掃描到漏洞，其通過因特網(wǎng)入侵校園網(wǎng)，就可隨意操作校園網(wǎng)的服務(wù)器，破壞校園網(wǎng)信息系統(tǒng)、篡改刪除服務(wù)器中的信息等，對于校園網(wǎng)信息安全優(yōu)化提出了嚴(yán)峻的考驗，需要通過校園網(wǎng)的優(yōu)化修補(bǔ)漏洞，建立校園網(wǎng)內(nèi)部與外部的信息安全屏障，保護(hù)校園網(wǎng)的信息安全。

3.黑客攻擊

黑客以攻擊別人為生，盜取有價值的數(shù)據(jù)信息，或者是破壞被攻擊者的網(wǎng)絡(luò)、服務(wù)器等，對于網(wǎng)絡(luò)信息安全危害極大。黑客IT技術(shù)水平超高，精通各種編程語言和各類操作系統(tǒng)，可利用公共通訊網(wǎng)路，攻擊破壞任何系統(tǒng)、軟件、資料，可以說是校園網(wǎng)信息安全最大的威脅。通過近幾年黑客攻擊校園網(wǎng)的行為來看主要有以下兩種，一種是惡意主動攻擊，有目的、有針對性的攻擊，數(shù)據(jù)信息損壞較大[1]；另一種是惡意被動攻擊，在信息傳輸過程中攔截并破解信息，以獲取目標(biāo)信息數(shù)據(jù)，影響到因特網(wǎng)正常的運(yùn)行秩序。無論是主動攻擊還是被動攻擊都會導(dǎo)致數(shù)據(jù)信息的損失，危及網(wǎng)絡(luò)信息的安全，校園網(wǎng)比較常見的黑客攻擊方式是其入侵校園網(wǎng)站后，在網(wǎng)站上發(fā)布反動、有害信息，或者是入侵校園網(wǎng)站服務(wù)器，攻擊服務(wù)器系統(tǒng)漏洞，導(dǎo)致學(xué)校網(wǎng)站服務(wù)崩潰。

（二）管理層面的瓶頸與問題

校園網(wǎng)中的無線及有線設(shè)備分散設(shè)置在學(xué)校內(nèi)部，為學(xué)生創(chuàng)造良好的上網(wǎng)環(huán)境，但是由于學(xué)生網(wǎng)絡(luò)信息安全意識、計算機(jī)操作水平上的不足，影響到校園網(wǎng)的信息安全，比如學(xué)生U盤感染病毒后插入學(xué)校內(nèi)部計算機(jī)，病毒會在校園內(nèi)部網(wǎng)絡(luò)中傳播，導(dǎo)致校園網(wǎng)數(shù)據(jù)庫中的數(shù)據(jù)信息被篡改、刪除，校園網(wǎng)管理人員在維護(hù)校園網(wǎng)過程中，誤刪后臺數(shù)據(jù)引起服務(wù)器運(yùn)行故障。以及物理安全事件，像是校園內(nèi)部斷電、基礎(chǔ)物理安全保障等級不夠等，也會引起數(shù)據(jù)信息的丟失問題。以上問題需在校園網(wǎng)信息安全優(yōu)化過程中，通過校園網(wǎng)信息安全管理措施的加強(qiáng)予以解決，如校園網(wǎng)訪問權(quán)限的設(shè)計、登錄賬號密碼的管理，以及采用統(tǒng)一的身份認(rèn)證系統(tǒng)進(jìn)行學(xué)校信息系統(tǒng)登錄的安全把關(guān)。針對校園網(wǎng)內(nèi)外采取信息安全技術(shù)與安全管理措施，進(jìn)一步優(yōu)化校園網(wǎng)信息安全防護(hù)體系，最大程度降低校園網(wǎng)服務(wù)器、信息系統(tǒng)被攻擊的概率。

三、基于校園網(wǎng)信息安全問題的應(yīng)對措施

（一）校園網(wǎng)優(yōu)化實例分析

以某校園網(wǎng)信息安全優(yōu)化為例，前期就該校園網(wǎng)進(jìn)行了深入全面的業(yè)務(wù)需求分析，總結(jié)出以下三點問題，一是該校園網(wǎng)建設(shè)時間較早，后期維護(hù)升級跟進(jìn)不到位，硬件設(shè)施較為老舊，部分設(shè)備性能指標(biāo)較差，軟硬件之間兼容性不夠，無法滿足學(xué)校信息系統(tǒng)及學(xué)生的用網(wǎng)需求；二是軟件信息安全問題較為嚴(yán)重，采用的是TCP/IP協(xié)議，但沒有采用安全防護(hù)機(jī)制，存在被攻擊的漏洞。交換機(jī)上設(shè)置的密碼過于簡單，攻擊者采用密碼破解滲透測試工具、密碼破解工具就可輕易破解密碼，進(jìn)而控制校園網(wǎng)絡(luò)；三是用戶終端多樣，校園網(wǎng)中有學(xué)生自己購置的計算機(jī)、手機(jī)、平板電腦等，也有學(xué)校統(tǒng)一采購的計算機(jī)、網(wǎng)絡(luò)設(shè)備，并由專人維護(hù)；教師自己使用的終端有學(xué)校配置的電腦，也有自己購置的筆記本電腦，自己負(fù)責(zé)維護(hù)。在此種情況下，大量的用戶終端學(xué)校無法統(tǒng)一集中維護(hù)，如殺毒軟件的安裝、系統(tǒng)漏洞的修補(bǔ)等，大量的終端分散在校園中并與校園網(wǎng)建立連接，增加了校園網(wǎng)優(yōu)化的復(fù)雜程度，以上問題需在校園網(wǎng)優(yōu)化中進(jìn)行逐一解決。

（二）校園網(wǎng)具體優(yōu)化方案

1.優(yōu)化思路

校園網(wǎng)覆蓋了學(xué)校所有的建筑，信息系統(tǒng)分散在教學(xué)樓、圖書館、辦公樓等，并且學(xué)校各部門信息安全需求也不相同，尤其是學(xué)校財務(wù)系統(tǒng)和辦公系統(tǒng)。因此校園網(wǎng)優(yōu)化采用部門獨(dú)立且分散的網(wǎng)絡(luò)架構(gòu)，針對有特殊需求部門（財務(wù)部、圖書館）的信息系統(tǒng)，建立相對獨(dú)立的網(wǎng)絡(luò)安全體系，其他信息系統(tǒng)集中統(tǒng)一管理。一是校園主干網(wǎng)絡(luò)，采用企業(yè)級防火墻，匯聚交換機(jī)選擇使用主流交換機(jī)，整體提高校園網(wǎng)的網(wǎng)速。二是著重排除校園網(wǎng)的信息安全隱患，①來自Internet外網(wǎng)攻擊隱患；②校園網(wǎng)內(nèi)部攻擊風(fēng)險；③校園網(wǎng)節(jié)點接入信息安全威脅，以上三點是引發(fā)校園網(wǎng)信息安全事件的主要途徑，應(yīng)基于以上三點進(jìn)行優(yōu)化方案的制定。

2.設(shè)置企業(yè)級防火墻

防火墻建立校園內(nèi)網(wǎng)與因特網(wǎng)之間的安全屏障，對于通過防火墻不當(dāng)訪問行為非常敏感，而企業(yè)級防火墻是保護(hù)校園內(nèi)部網(wǎng)絡(luò)信息安全的首選產(chǎn)品，實現(xiàn)了校園內(nèi)外網(wǎng)絡(luò)的物理隔離[2]，可有效控制內(nèi)外網(wǎng)訪問行為，保護(hù)內(nèi)網(wǎng)的信息安全。企業(yè)級防火墻的型號可根據(jù)校園網(wǎng)的規(guī)模進(jìn)行選擇，如銳捷、華為、思科等品牌的千兆級或萬兆級防火墻。以萬兆級企業(yè)防火墻為例，支持2000M以上帶寬，千兆網(wǎng)口，防火墻吞吐量可達(dá)40Gbit/s，全面支持IPV4/IPV6下多種路由協(xié)議，預(yù)置常用防護(hù)場景模板，快速完成安全部署，并可自動評估安全防護(hù)策略的不足，給出優(yōu)化建議，以及支持多種用戶認(rèn)證方式，檢測并防御外來訪問風(fēng)險，主要有入侵防御、病毒防御、內(nèi)容過濾、URL過濾等保護(hù)機(jī)制。將防火墻安裝在因特網(wǎng)與校園網(wǎng)之間，隔離內(nèi)外網(wǎng)訪問，外部訪問只能到達(dá)校園網(wǎng)公開的網(wǎng)絡(luò)，無法訪問內(nèi)部網(wǎng)絡(luò)，以此形成對內(nèi)網(wǎng)信息的保護(hù)作用。

3.升級交換機(jī)

校園網(wǎng)匯聚交換機(jī)選擇網(wǎng)管型交換機(jī)，傳輸速率需在千兆以上，升級校園網(wǎng)速的同時，提高校園網(wǎng)的安全性。根據(jù)該校園網(wǎng)的實際情況，采用VLAN劃分方法，靈活布置交換機(jī)端口，對校園網(wǎng)內(nèi)不同部門系統(tǒng)進(jìn)行物理隔離，并控制內(nèi)網(wǎng)流量。匯聚交換機(jī)還是選擇口碑、信譽(yù)良好的品牌，以確保匯聚交換機(jī)運(yùn)行的穩(wěn)定性，比如銳捷24口全萬兆匯聚交換機(jī)、華為4萬兆光口企業(yè)級管理型接入?yún)R聚交換機(jī)等，均具有完備的安全防護(hù)策略，多重的硬件防護(hù)設(shè)計，支持IPV4/IPV6雙協(xié)議棧，交換容量達(dá)到了T級，完全滿足校園網(wǎng)信息流量控制的需要。

4.設(shè)置校園網(wǎng)殺毒服務(wù)器

在校園網(wǎng)的服務(wù)器中，使用360企業(yè)安全云，由其負(fù)責(zé)終端安全與運(yùn)維管理，提供網(wǎng)絡(luò)殺毒服務(wù)，解決校園網(wǎng)終端統(tǒng)一安裝病毒軟件難的問題，使用一臺主機(jī)就可完成校園網(wǎng)內(nèi)部所有電腦管理，避免U盤拷貝中毒、電腦中毒等問題，使校園網(wǎng)信息安全傳輸。也可專門選擇一個主機(jī)安裝網(wǎng)絡(luò)版殺毒軟件，該主機(jī)聯(lián)網(wǎng)運(yùn)行升級，分別在服務(wù)器端與客戶端安裝殺毒軟件，設(shè)置相同網(wǎng)段就可實現(xiàn)全網(wǎng)殺毒?；谠撔@網(wǎng)復(fù)雜的客戶端，綜合考慮后該校園網(wǎng)采用校園網(wǎng)殺毒服務(wù)器優(yōu)化方案，專門制定系統(tǒng)安裝、升級與校園網(wǎng)病毒防范措施[3]。一是系統(tǒng)中心統(tǒng)一管理，由于計算機(jī)病毒全網(wǎng)傳播，不能僅針對幾臺電腦安裝殺毒軟件，而是在校園網(wǎng)所有的計算機(jī)終端上安裝殺毒軟件，專門設(shè)置校園網(wǎng)殺毒服務(wù)器，集中管理校園網(wǎng)所有安裝病毒軟件客戶端的計算機(jī)，使用殺毒服務(wù)器遠(yuǎn)程控制計算機(jī)殺毒，同一時間消除所有隱藏在計算機(jī)中的病毒，避免了計算機(jī)病毒的傳播擴(kuò)散。二是遠(yuǎn)程安裝升級，校園網(wǎng)中的計算機(jī)處于一個局域網(wǎng)環(huán)境下，實現(xiàn)了互通互聯(lián)，由殺毒服務(wù)器遠(yuǎn)程統(tǒng)一升級所有安裝病毒軟件的計算機(jī)，無需逐臺升級客戶端病毒軟件。三是加強(qiáng)針對性設(shè)計，校園網(wǎng)中有大量的計算機(jī)終端與較多的服務(wù)器，需建立校園網(wǎng)防病毒體系，由中心機(jī)房統(tǒng)一管理客戶端與服務(wù)器端，并且中心機(jī)房設(shè)置身份認(rèn)證服務(wù)器，通過認(rèn)證后方可訪問校園網(wǎng)絡(luò)，并設(shè)置日志記錄服務(wù)器，記錄訪問校園網(wǎng)的所有IP地址，在校園網(wǎng)遭受網(wǎng)絡(luò)攻擊后，用于追溯攻擊源頭。

四、結(jié)束語

校園網(wǎng)是學(xué)校重要的基礎(chǔ)設(shè)施，為學(xué)校師生提供優(yōu)質(zhì)的教育資源，并為學(xué)校日常辦公運(yùn)行提供基礎(chǔ)支撐。但是當(dāng)下互聯(lián)網(wǎng)環(huán)境復(fù)雜，網(wǎng)絡(luò)攻擊頻繁，危及校園網(wǎng)信息安全，需在原有校園網(wǎng)的基礎(chǔ)上進(jìn)行升級、改造、優(yōu)化，提高校園網(wǎng)信息安全防護(hù)水平。本文基于校園網(wǎng)優(yōu)化實例，進(jìn)行校園網(wǎng)防火墻、交換機(jī)、殺毒措施的改進(jìn)，整體上提高了該校園網(wǎng)運(yùn)行質(zhì)量。在校園網(wǎng)信息安全優(yōu)化過程中還需注意一點，應(yīng)采用超前的設(shè)計思想，最新的技術(shù)與網(wǎng)絡(luò)設(shè)備，同時還要考慮到因特網(wǎng)新型攻擊方式與攻擊技術(shù)的迭代速度，采取超前、嚴(yán)謹(jǐn)、科學(xué)、切合實際的優(yōu)化方案，以及在校園網(wǎng)運(yùn)行過程中堅持不懈地優(yōu)化升級，以保障校園網(wǎng)長久的信息安全。

作者單位：都業(yè)濤 黑龍江科技大學(xué)信息網(wǎng)絡(luò)中心

參? 考? 文? 獻(xiàn)

[1]紀(jì)紅亮.信息化視角下校園網(wǎng)絡(luò)信息安全問題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（07）：76-78.

[2]戚小俊.高校校園網(wǎng)絡(luò)安全優(yōu)化應(yīng)用探討[J].中國新通信，2021，23（02）：127-128.

[3]王應(yīng)求.高校校園網(wǎng)規(guī)劃設(shè)計及智能化改造分析[J].現(xiàn)代信息科技，2022，6（04）：88-90.

[3]楊洋.信息化管理視角下校園網(wǎng)絡(luò)信息安全問題探析[J].數(shù)字通信世界，2018，168（12）：161-161

[4]黃宏杰，陳永清.現(xiàn)代校園網(wǎng)信息安全化的研究[J].計算機(jī)時代，2016（12）：46-48，52.

[5]關(guān)德君.校園網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].無線互聯(lián)科技，2021，18（07）：29-30.

[6]薛榮，王浩波.網(wǎng)絡(luò)信息安全技術(shù)優(yōu)化與防范措施[J].信息周刊，2020（06）：1.

[7]史玉鋒，鄧成飛，李明，等.論網(wǎng)絡(luò)信息安全技術(shù)優(yōu)化與防范措施[J].電子技術(shù)與軟件工程，2015（22）：206.

[8]劉穎.智慧校園環(huán)境下高校網(wǎng)絡(luò)信息安全優(yōu)化研究[J].科教導(dǎo)刊：電子版，2019（04）：281.

都業(yè)濤（1981-），男，漢族，遼寧丹東，助理工程師，碩士研究生，研究方向：校園網(wǎng)優(yōu)化、虛擬機(jī)技術(shù)應(yīng)用、網(wǎng)絡(luò)安全。