高校校園網(wǎng)絡(luò)安全分析及策略研究

◆肖坤峨

高校校園網(wǎng)絡(luò)安全分析及策略研究

◆肖坤峨

（德宏師范高等?？茖W(xué)校 云南 678400）

隨著校園信息化的建設(shè)和使用，高校校園網(wǎng)絡(luò)與學(xué)校的教學(xué)、科研、管理等工作聯(lián)系越來越緊密，網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)深深地影響著學(xué)校的各項(xiàng)工作，一旦網(wǎng)絡(luò)出現(xiàn)安全問題，后果不堪設(shè)想。本文從高校的網(wǎng)絡(luò)特點(diǎn)出發(fā)分析了目前高校網(wǎng)絡(luò)面臨的安全威脅，并提出了解決網(wǎng)絡(luò)安全問題的對(duì)策和措施。

高校；網(wǎng)絡(luò)安全；對(duì)策研究

0 引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)我們的衣食住行等方方面面產(chǎn)生了非常大的影響，同時(shí)也賦予了教育新的內(nèi)涵和要求，不斷地在改變著教師的教育方式和學(xué)生的學(xué)習(xí)方式，特別在高等教育領(lǐng)域，網(wǎng)絡(luò)規(guī)模大、信息點(diǎn)多，承載了高校教學(xué)、科研、管理及服務(wù)等數(shù)字化應(yīng)用。高校校園網(wǎng)絡(luò)覆蓋了高校的每個(gè)角落，在辦公、教學(xué)、科研、學(xué)生管理、資產(chǎn)管理、人事管理、財(cái)務(wù)管理、圖書借閱、食堂、超市等各個(gè)方面，甚至實(shí)現(xiàn)了各網(wǎng)絡(luò)應(yīng)用子系統(tǒng)的綜合集成和互連互通，信息化建設(shè)投入少則幾百萬、多則幾千萬，成為了高校的重要基礎(chǔ)設(shè)施。如圖1所示，某高校的校園網(wǎng)絡(luò)組織結(jié)構(gòu)。高校校園網(wǎng)絡(luò)的信息化建設(shè)提高了管理部門的管理效率和決策水平，提升了教師的教育科研能力，豐富了高校校園文化生活。學(xué)校師生的工作、生活、學(xué)習(xí)越來越離不開校園局域網(wǎng)，網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)深深地影響著學(xué)校的各項(xiàng)工作，一旦出現(xiàn)故障，會(huì)波及到學(xué)校各項(xiàng)工作的正常進(jìn)行，隨著學(xué)校規(guī)模的不斷擴(kuò)大、網(wǎng)絡(luò)節(jié)點(diǎn)不斷增多，網(wǎng)絡(luò)安全問題越發(fā)突出。因此，如何構(gòu)建一個(gè)安全的高校校園網(wǎng)絡(luò)，是每一個(gè)高校領(lǐng)導(dǎo)和網(wǎng)絡(luò)部門負(fù)責(zé)人需要面對(duì)和解決的問題。

圖1 某高校網(wǎng)絡(luò)組織結(jié)構(gòu)

1 高校校園網(wǎng)絡(luò)安全現(xiàn)狀及存在問題

目前很多高校的網(wǎng)絡(luò)主干都實(shí)現(xiàn)光纖專線接入運(yùn)營商，網(wǎng)速普遍達(dá)到上萬兆，園區(qū)普遍實(shí)現(xiàn)100M甚至1000M到樓到桌面，而且大部分高校已經(jīng)建成覆蓋整個(gè)校園的無線網(wǎng)絡(luò)，存在網(wǎng)絡(luò)建設(shè)投入力度大，用戶信息點(diǎn)多，應(yīng)用范圍廣等特點(diǎn)，但同時(shí)也存在很多安全方面的隱患，比如火災(zāi)、斷電、黑客攻擊、病毒感染及其它很多人為方面的因素。主要存在以下幾個(gè)方面的安全問題：

1.1自然威脅因素

自然威脅指可能來自于各種自然災(zāi)害，如地震、火災(zāi)、水災(zāi)、靜電、雷擊等。網(wǎng)絡(luò)設(shè)備在惡劣的環(huán)境下會(huì)對(duì)數(shù)據(jù)的傳輸造成不小影響，還有如電磁輻射和干擾、網(wǎng)絡(luò)設(shè)備老化等因素都會(huì)影響網(wǎng)絡(luò)安全。據(jù)教育部門對(duì)高校的安全隱患調(diào)查反映，部分高校信息化建設(shè)時(shí)考慮不充分、綜合布線不規(guī)范，中心機(jī)房及學(xué)生機(jī)房、實(shí)驗(yàn)室沒有考慮UPS不間斷電源，中心機(jī)房及各管理間、設(shè)備間缺少防火措施及環(huán)境的溫濕度控制，無網(wǎng)絡(luò)監(jiān)控系統(tǒng)，樓道、機(jī)房排線時(shí)，沒有考慮強(qiáng)電線路對(duì)弱電線路的電磁干擾。

1.2使用主體網(wǎng)絡(luò)安全意識(shí)薄弱

高校的師生是網(wǎng)絡(luò)使用的主體，數(shù)量成千上萬，網(wǎng)絡(luò)終端多種多樣（計(jì)算機(jī)、手機(jī)及其它智能設(shè)備），主要以計(jì)算機(jī)為主，數(shù)量巨大。師生員工都掌握一定的計(jì)算機(jī)基礎(chǔ)知識(shí)，但水平層次不齊，部分師生員工在校園網(wǎng)內(nèi)使用的計(jì)算機(jī)連最基本的殺毒軟件都沒有安裝，電腦或系統(tǒng)設(shè)置過于簡(jiǎn)單的密碼或沒有設(shè)置，共享文件時(shí)沒有考慮權(quán)限，沒有及時(shí)為系統(tǒng)“打補(bǔ)丁”或封掉不常用的端口，隨意拔插移動(dòng)存儲(chǔ)設(shè)備等，使用時(shí)沒有較強(qiáng)的網(wǎng)絡(luò)安全意識(shí)和處理問題的能力。部分師生認(rèn)為自己使用的電腦處于校園網(wǎng)的內(nèi)部，認(rèn)為有學(xué)校在保護(hù)我們，缺乏網(wǎng)絡(luò)安全常識(shí)，意識(shí)淡薄。另高校是培養(yǎng)高素質(zhì)專業(yè)技術(shù)人才的地方，經(jīng)過幾年的學(xué)習(xí)大部分同學(xué)都掌握了一定的專業(yè)知識(shí)，少數(shù)專業(yè)能力突出的同學(xué)出于好奇通過編寫程序或使用工具對(duì)校園網(wǎng)絡(luò)進(jìn)行攻擊，竊取機(jī)密數(shù)據(jù)或?qū)е滦@網(wǎng)絡(luò)癱瘓。

1.3高校校園網(wǎng)絡(luò)管理存在缺陷

雖然各高校都有相關(guān)部門如網(wǎng)絡(luò)中心、信息中心來負(fù)責(zé)校園網(wǎng)絡(luò)的建設(shè)與維護(hù)，但大部分高校都存在重建設(shè)、輕管理現(xiàn)象，缺少一套完善的校園網(wǎng)絡(luò)安全管理制度。很多高校投入重金，由運(yùn)營商或公司負(fù)責(zé)建設(shè)數(shù)字校園或智慧校園，實(shí)現(xiàn)了高校校園網(wǎng)絡(luò)的信息化、數(shù)字化、智慧化，由于相關(guān)網(wǎng)絡(luò)管理制度建設(shè)跟不上步伐，隨后使用過程中出現(xiàn)很多網(wǎng)絡(luò)安全隱患，如隨意私接網(wǎng)線，部門個(gè)人私自安裝接入層網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)管理員無暇顧及這些問題，他們大部分時(shí)間忙于處理各種日常的電腦故障、網(wǎng)絡(luò)接入、應(yīng)用系統(tǒng)及服務(wù)器日常維護(hù)工作，點(diǎn)多面大。高校校園面積大，網(wǎng)絡(luò)設(shè)備間分散在各教學(xué)樓、實(shí)驗(yàn)樓、宿舍樓，防護(hù)措施簡(jiǎn)易，有的設(shè)備間門鎖形同虛設(shè)，強(qiáng)電弱電管理共用房間，涉及多個(gè)部門，缺少安全管理主體，出現(xiàn)事故時(shí)容易出現(xiàn)推諉。

1.4黑客網(wǎng)絡(luò)攻擊

黑客利用系統(tǒng)存在的漏洞或其它安全缺陷對(duì)校園網(wǎng)內(nèi)的硬件和軟件進(jìn)行攻擊，攻擊目的明確，非法獲取服務(wù)器或主機(jī)上的重要數(shù)據(jù)，如科研數(shù)據(jù)、學(xué)生基本信息、成績等，或通過信息炸彈、拒絕服務(wù)等手段攻擊服務(wù)器、網(wǎng)絡(luò)設(shè)備，造成服務(wù)器癱瘓、網(wǎng)絡(luò)堵塞，攻擊手段多種多樣、目的各異，甚至反動(dòng)分子攻擊學(xué)校的校園主站以宣傳反面政治思想，影響學(xué)生的人生觀、價(jià)值觀和世界觀。當(dāng)然也存在來自校園內(nèi)部師生的攻擊，好奇心強(qiáng)的學(xué)生利用相關(guān)工具對(duì)教務(wù)系統(tǒng)進(jìn)行非授權(quán)訪問，進(jìn)而修改成績數(shù)據(jù)，對(duì)學(xué)校心存不滿的職工對(duì)應(yīng)用系統(tǒng)進(jìn)行非授權(quán)訪問，竊取機(jī)密數(shù)據(jù)或破壞系統(tǒng)。

1.5計(jì)算機(jī)病毒入侵

病毒是社會(huì)生活中最常見的一大網(wǎng)絡(luò)安全威脅，它是對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)具有破壞性的一組程序代碼或指令，它能通過某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)或程序里，當(dāng)達(dá)到某種條件時(shí)即被激活，通過修改其他程序的方法將自己復(fù)制或者可能演化的形式方式其他程序中，從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞，輕則計(jì)算機(jī)速度變慢，重則系統(tǒng)崩潰、硬件損壞、網(wǎng)絡(luò)癱瘓。在高校校園網(wǎng)絡(luò)中也經(jīng)常發(fā)生病毒感染的現(xiàn)象，如2017年5爆發(fā)的勒索病毒，高校是重災(zāi)區(qū)，部分高校的師生受到該病毒的攻擊之后文件、論文不能正常打開，給師生造成了很嚴(yán)重的損失。學(xué)校的各項(xiàng)工作與網(wǎng)絡(luò)運(yùn)轉(zhuǎn)息息相關(guān)，一旦校園網(wǎng)絡(luò)受到病毒感染，如果不能及時(shí)查殺及清除，勢(shì)必會(huì)對(duì)學(xué)校的教學(xué)、科研、管理造成很大的影響。

1.6軟件系統(tǒng)存在漏洞

任何軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件都或多或少存在一些漏洞，然而在高校校園里90%以上的師生使用的都是Windows系列的操作系統(tǒng)，使用用戶多，是黑客分析找漏洞的重點(diǎn)，一旦找到，黑客就會(huì)編寫程序利用漏洞來攻擊用戶的電腦，攻擊網(wǎng)絡(luò)。服務(wù)器的網(wǎng)絡(luò)操作系統(tǒng)相對(duì)較安全，但也同樣存在這樣那樣的缺點(diǎn)和不足，部分網(wǎng)絡(luò)操作系統(tǒng)安全性相對(duì)較高，如Linux、UNIX、Solaris，都是命令方式操作，非網(wǎng)絡(luò)管理人員不易掌握，對(duì)管理員是一種挑戰(zhàn)。高校老師或?qū)W生自己也研發(fā)部分軟件系統(tǒng)，少數(shù)應(yīng)用系統(tǒng)開發(fā)時(shí)只考慮功能的實(shí)現(xiàn)，沒有考慮其安全性，使用過程中問題層出不窮，成為黑客攻擊的重點(diǎn)目標(biāo)。

2 高校校園網(wǎng)絡(luò)安全的對(duì)策研究

2.1加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，健全網(wǎng)絡(luò)安全管理制度

加強(qiáng)網(wǎng)絡(luò)管理者和使用者的網(wǎng)絡(luò)安全意識(shí)。首先，強(qiáng)化網(wǎng)絡(luò)管理員的責(zé)任意識(shí)，愛崗敬業(yè)，制定相應(yīng)獎(jiǎng)懲措施，不斷提高網(wǎng)絡(luò)管理員的技術(shù)水平，包括到企業(yè)頂崗鍛煉或外出參加網(wǎng)絡(luò)相關(guān)的技術(shù)培訓(xùn)，或通過網(wǎng)絡(luò)在線學(xué)習(xí)、自學(xué)等方式提升自己的業(yè)務(wù)水平，學(xué)校應(yīng)該出臺(tái)相應(yīng)政策鼓勵(lì)網(wǎng)絡(luò)管理員去獲取網(wǎng)絡(luò)方面的認(rèn)證，通過以考促學(xué)的方式，切實(shí)提升專業(yè)技術(shù)能力，建立一支業(yè)務(wù)水平高、分工明確的專業(yè)網(wǎng)絡(luò)維護(hù)隊(duì)伍，確保高校校園網(wǎng)絡(luò)的安全。其次，通過培訓(xùn)、講座、專題網(wǎng)站等多種手段向使用者宣傳網(wǎng)絡(luò)安全知識(shí)、網(wǎng)絡(luò)安全法律法規(guī)，如不隨意打開來歷不明的電子郵件及文件，不隨意從Internet上下載軟件，密碼設(shè)置要達(dá)到一定的復(fù)雜度要求，及時(shí)下載和安裝系統(tǒng)補(bǔ)丁程序，經(jīng)常使用掃描工具，及時(shí)發(fā)現(xiàn)漏洞和采取相應(yīng)措施，文明上網(wǎng)、安全用網(wǎng)，提高使用者網(wǎng)絡(luò)安全意識(shí)。第三，制定網(wǎng)絡(luò)安全管理制度，建立數(shù)據(jù)中心機(jī)房網(wǎng)絡(luò)管理制度，規(guī)范中心管理，如未經(jīng)允許不得隨意進(jìn)入機(jī)房，網(wǎng)絡(luò)設(shè)備及服務(wù)器操作規(guī)范、排線規(guī)范、故障處理或檢查有日志記錄，機(jī)房衛(wèi)生干凈整潔，設(shè)備外借管理，經(jīng)常定期檢查。加強(qiáng)防火意識(shí)，實(shí)時(shí)通過網(wǎng)絡(luò)監(jiān)控軟件對(duì)中心機(jī)房進(jìn)行監(jiān)控，掌握機(jī)房溫度、濕度及設(shè)備運(yùn)轉(zhuǎn)情況，入網(wǎng)軟件、個(gè)人備案或向相關(guān)部門申請(qǐng)；建立違規(guī)使用校園網(wǎng)的懲罰措施，杜絕不安全不文明的網(wǎng)絡(luò)行為；建立校園網(wǎng)絡(luò)維護(hù)分級(jí)維護(hù)辦法，校系兩級(jí)分級(jí)負(fù)責(zé)，職責(zé)清晰；建立網(wǎng)絡(luò)設(shè)備和服務(wù)器維護(hù)管理方案，使用網(wǎng)絡(luò)管理系統(tǒng)實(shí)時(shí)加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理，及時(shí)掌握故障點(diǎn)，未經(jīng)允許不得對(duì)服務(wù)器或設(shè)備進(jìn)行配置，服務(wù)器做到專機(jī)專用；建立各實(shí)驗(yàn)室、機(jī)房、處室計(jì)算機(jī)設(shè)備故障、線路故障處理辦法，讓師生員工知道找誰進(jìn)行處理，建立健全網(wǎng)絡(luò)管理人員及部門負(fù)責(zé)人的職責(zé)，確保網(wǎng)絡(luò)管理無死角。

2.2部署防火墻和設(shè)置訪問控制策略

在高校的內(nèi)部網(wǎng)和外網(wǎng)之間建立一道屏障，即安裝防火墻設(shè)備，監(jiān)視通過防火墻的每一個(gè)數(shù)據(jù)包和異常行為，設(shè)置防火墻訪問控制策略，防止校園外部用戶通過非法手段攻擊內(nèi)網(wǎng)，非法訪問內(nèi)部資源，從而保護(hù)校園內(nèi)部的網(wǎng)絡(luò)安全。在校內(nèi)重要業(yè)務(wù)部門和其它部門之間也可建立防火墻，或在主干核心交換機(jī)上安裝防火墻卡，防止內(nèi)部人員的攻擊。通過防火墻檢查數(shù)據(jù)包包頭信息可以過濾掉一些不安全的服務(wù)和非法用戶，防止非授權(quán)訪問，可以保護(hù)校內(nèi)的部分服務(wù)器、主機(jī)或網(wǎng)站不能被外部用戶訪問，但有的是防火墻不能阻擋的，如受病毒感染的文件的傳遞，木馬程序，所以還需要?dú)⒍拒浖?、入侵檢測(cè)系統(tǒng)的配合使用。

2.3安裝殺毒軟件

計(jì)算機(jī)病毒傳播速度快、破壞性強(qiáng)，高校相關(guān)部門需要出臺(tái)相應(yīng)措施進(jìn)行預(yù)防，除了建立安全管理制度外，還需要選擇使用合適的防病毒軟件，考慮軟件的查殺病毒能力、占用資源情況、價(jià)格等因素。然而，高校內(nèi)部網(wǎng)絡(luò)終端多，一部分是學(xué)校統(tǒng)一購買統(tǒng)一維護(hù)，一部分是師生自己購買維護(hù)，計(jì)算機(jī)系統(tǒng)復(fù)雜。根據(jù)該特點(diǎn)，高校一般選擇使用網(wǎng)絡(luò)版的殺毒軟件，建立服務(wù)器端，終端安裝客戶端軟件，實(shí)現(xiàn)對(duì)聯(lián)網(wǎng)電腦統(tǒng)一查殺，及時(shí)自動(dòng)更新病毒庫，提高病毒預(yù)防預(yù)警能力。

2.4應(yīng)用入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)

入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)不僅可以檢測(cè)來自外部的異常，也可以檢測(cè)校園網(wǎng)絡(luò)內(nèi)部的異常行為，通過安裝入侵檢測(cè)系統(tǒng)可以防止來自外部的攻擊和內(nèi)部的攻擊，只要有異常，系統(tǒng)及時(shí)發(fā)出報(bào)警，網(wǎng)絡(luò)管理員及時(shí)處理。網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)系統(tǒng)的實(shí)施監(jiān)控，監(jiān)控校園網(wǎng)絡(luò)的軟件和硬件系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行故障管理、性能管理、安全管理、配置管理等，保證網(wǎng)絡(luò)安全可靠正常運(yùn)行，保護(hù)網(wǎng)絡(luò)中的資源不被非法入侵和獲取。

2.5合理劃分VLAN

利用交換機(jī)、路由器的功能配置把在不同物理位置的計(jì)算機(jī)根據(jù)功能或部門劃分在同一個(gè)邏輯組中，形成一個(gè)個(gè)虛擬局域網(wǎng)，即VLAN的劃分。高校校園網(wǎng)絡(luò)是基于TCP/IP協(xié)議的交換式以太網(wǎng)，校園網(wǎng)絡(luò)規(guī)模大、廣播域范圍大、設(shè)備及線路中信息流量大，容易發(fā)生網(wǎng)絡(luò)風(fēng)暴，易導(dǎo)致網(wǎng)絡(luò)速度慢。因此，根據(jù)交換機(jī)的端口、計(jì)算機(jī)物理地址或網(wǎng)段劃分VLAN之后，原來較大的廣播域就劃分為一個(gè)個(gè)小的廣播域，VLAN內(nèi)部的廣播和單播流量不會(huì)轉(zhuǎn)發(fā)到其它VLAN中，一個(gè)VLAN中的成員也不能訪問其它VLAN中的成員，從而控制了網(wǎng)絡(luò)流量，通過合理劃分VLAN和劃分網(wǎng)段，可以防止網(wǎng)絡(luò)監(jiān)聽和未經(jīng)授權(quán)的訪問，提高了一些重要部門的信息安全性。

2.6應(yīng)用VPN技術(shù)

虛擬專用網(wǎng)(VPN)是指通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它通過“隧道”技術(shù)將數(shù)據(jù)包進(jìn)行加密和封裝，利用Internet傳輸校園內(nèi)部私有數(shù)據(jù)。部分老師不在校園內(nèi)住宿或在外出差時(shí)，可以通過VPN隧道安全的訪問校園網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)不容易被竊取、篡改，提高數(shù)據(jù)的完整性和安全性。

3 結(jié)束語

隨著高校校園規(guī)模的擴(kuò)大和信息化建設(shè)，師生員工的教學(xué)、科研、學(xué)習(xí)及生活對(duì)網(wǎng)絡(luò)產(chǎn)生了強(qiáng)烈的依賴性，網(wǎng)絡(luò)安全深深地影響了高校各項(xiàng)工作的順利開展。文章從高校的網(wǎng)絡(luò)特點(diǎn)出發(fā)分析了目前高校網(wǎng)絡(luò)面臨的安全威脅，并提出了解決網(wǎng)絡(luò)安全問題的對(duì)策和措施，有助于促進(jìn)校園網(wǎng)絡(luò)的安全建設(shè)，確保校園各項(xiàng)工作正常運(yùn)行。

[1]李彥，高博.高校校園網(wǎng)絡(luò)安全分析及防范體系研究.現(xiàn)代教育技術(shù)[J]，2011.

[2]潘小星.高校校園網(wǎng)絡(luò)安全分析與解決方案.科技信息[J]，2015.

[3]鄒縣芳.高校校園網(wǎng)絡(luò)安全及策略研究.阜陽師范學(xué)院學(xué)報(bào)（自然科學(xué)版）[J]，2010.

[4]蔡燕，杜翔.勒索病毒背景下的贛州高校校園網(wǎng)絡(luò)安全策略研究.信息與電腦[J]，2017.

云南省教育廳科學(xué)研究基金項(xiàng)目（2016ZDX196）。