高校校園網安全問題及防護措施分析

來源:用戶上傳      作者:

　　摘   要：隨著互聯網的普及、發展和教育信息化的不斷推進，高等院校相繼建成了各自規模的校園網。作為信息化建設的基礎設施平臺，校園網已深入到高校教學、科研、管理等各個方面，為廣大師生的工作、學習和生活帶來了極大的便利。與此同時，校園網的安全問題也日漸突出，如何確保校園網安全運行顯得尤為重要。文章著重分析了高校校園網普遍存在的安全問題，并給出相關的安全防護措施。
　　關鍵詞：高校校園網;網絡安全;防護措施;應急響應
　　1    高校校園網概述
　　1994年，我國政府開始投資建設中國教育和科研計算機網（China Education and Research Network，CERNET）[1]。在該工程建設的大力推動下，國內各高校的校園網建設工作也相繼地開展，這標志著我國高校進入了校園網絡時代。
　　高校校園網不同于其他類型的網絡，它不僅包括CERNET，還包括中國移動、中國電信、中國聯通等其他網絡服務提供商。它的網絡規模大，具有多樣性、復雜性和開放性等特點。
　　2    高校校園網安全問題分析
　　高校校園網處于一個開放的網絡環境，用戶眾多，網絡結構較為復雜，維護和管理相對困難，這些特點決定了它必然存在著安全方面的問題。
　　2.1  物理破壞
　　高校校園網絡環境內有許多硬件設備和網絡線纜等設施，它們在使用過程中可能遭受到水災、火災、地震等自然災害以及一些人為因素的破壞。這些物理破壞都可能影響校園網的正常運行，甚至造成校園網絡癱瘓的嚴重后果。
　　2.2  計算機病毒威脅
　　計算機病毒是威脅校園網安全的一大隱患，它們可以通過存儲介質、系統漏洞、電子郵件等途徑在校園網內傳播，常見的有木馬、蠕蟲、后門等。計算機病毒的傳播速度快、破壞性強、清除難度大，給校園網的安全造成了嚴重的威脅。
　　2.3  網絡攻擊
　　高校校園網具有開放性的特點，這就導致它容易遭受外部網絡的一些惡意攻擊，比如DDos攻擊、ARP攻擊和SQL注入攻擊等。此外，在校園網內部同樣存在攻擊行為，比如一些學生出于好奇或是實踐的欲望，會利用課堂上學到的知識，嘗試著對校園網發起攻擊。更有甚者，在一些利益的驅動下，非法攻擊服務器，盜取內部數據。這些內外攻擊行為都將干擾校園網的正常運行，甚至造成更嚴重的后果。
　　2.4  終端漏洞
　　高校校園網絡環境內存在的終端漏洞主要有操作系統漏洞、硬件設備漏洞、網站以及基于Web應用的信息系統等代碼漏洞。這些漏洞是潛在于校園網內的安全隱患，黑客等不法分子利用這些漏洞可以對校園網發起惡意攻擊。計算機病毒也可以利用這些漏洞進行傳播，威脅校園網的安全。
　　2.5  不良信息的傳播
　　互聯網上充斥著垃圾郵件、暴力色情甚至反動等不良信息，這些信息通過互聯網可在高校校園網內傳播，對學生的身心發展產生不利于健康的影響。此外，這些信息往往攜帶木馬和病毒，對校園網的安全也造成了嚴重的威脅。
　　2.6  網絡安全意識薄弱
　　校園網用戶大都認為網絡安全是由學校網絡中心等部門專門負責，跟個人無關，因此他們普遍都缺乏網絡安全意識。比如一些學生經常會瀏覽一些不安全的網頁、打開來歷不明的垃圾郵件、下載隱藏病毒的文件、安裝帶有病毒的軟件等。這種安全意識上的疏忽給校園網的安全也埋下了隱患。
　　2.7  校園網安全管理缺陷
　　校園網的安全威脅也來自于管理上出現的問題。高校普遍存在重運行、輕管理的現象，上層領導對網絡安全工作的認知和重視程度不夠，安全工作的投入也相對較低。校園網管理隊伍人員不足，尤其缺少專業的網絡安全人才，大多數的網絡管理員專業技術不高，對網絡安全風險的防范和處置缺乏過硬的本領。此外，校園網的安全管理制度也不完善，不能有效地約束和規范學生、教職工的上網行為。
　　3    高校校園網安全防護措施
　　基于高校校園網面臨的這些安全問題，本研究將從物理環境、技術和管理等方面提出相關的防護措施。
　　3.1  做好物理安全防護
　　物理安全防護是保障高校校園網安全運行的基本前提，主要是指通過采用輻射防護、屏幕口令、狀態檢測、報警確認、應急恢復等手段，保護網絡服務器、計算機系統、網絡交換路由等網絡設備和網絡線纜等硬件實體，使其免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊等的破壞[2]。學校應該將服務器、交換機和防火墻等網絡核心設備集中放在網絡中心機房，提供一個良好的機房環境，包括UPS電源、正常的溫濕度、防火、防水、防靜電、防盜等。對于光纖等網絡通信線路，采取架空、穿線或深埋等方式，以防線路遭受物理破壞。
　　3.2  實行校園網實名制認證
　　為落實《網絡安全法》關于實名制的要求，高校應做好校園網用戶上網實名認證工作。通過部署校園網用戶認證計費系統，對接入校園網的所有終端、設備進行統一的認證授權。所有校園網用戶須通過實名制認證來開通校園網賬號，教職工可以使用個人工號作為上網賬號，學生則使用學號作為上網賬號。對于一些外來人員或是特殊情況，可以根據實際需要，申請開通臨時的實名制賬號或者采用無感知身份認證。同時，考慮到用戶有搭接路由器使用WiFi上網的需求，可以在認證系統上配置一個賬號多終端，方便教職工及家屬使用。
　　3.3  部署網絡安全設備，合理配置安全策略
　　高校應該根據學校的實際情況，采用先進的網絡安全技術，建設一套合理完善的網絡安全設施，并合理配置相關的安全策略，以確保整個校園網絡環境的基礎安全防護，具體主要包括以下4點。 　?。?）部署防火墻和網絡防病毒系統，實現對整個校園網絡安全的基本防護。在防火墻上配置訪問控制策略，防止校內資源被非法訪問和使用。通過端口配置，關閉和限定一些特定端口，如445、3389、22、135、136、137、139等的訪問。在網絡防病毒系統上設置策略，定期更新病毒庫，實現全網內所有終端自動統一升級，以防御新型病毒的入侵攻擊。
　?。?）部署Web應用防火墻，有效防御Web應用攻擊。部署入侵檢測和入侵防御系統，聯合防火墻系統，基本實現對網絡攻擊的深度防護。
　?。?）部署漏洞掃描系統，主動檢測潛在的安全漏洞并提供安全評估報告。
　?。?）部署堡壘機，建立運維審計制度。通過權限分配和訪問策略配置，實現對校內校外運維工作的管理和安全審計。
　　3.4  購買專業的網絡安全服務
　　高校網絡信息中心通常都面臨著人員不足和安全專業技術能力不足的困境，為此高?？梢酝卣骨?，通過購買服務的方式，將一部分網絡安全工作外包給專業的安全公司。尤其是在一些重大事件中或敏感時期內，可以借助這些專業、可信、優秀的網絡安全公司，共同做好高校校園網的安全保障工作。
　　3.5  做好校園網安全管理工作
　　“三分技術，七分管理”。高校校園網的安全不單單依靠技術防御手段，更重要的是管理上的安全保障。
　　3.5.1  建立安全管理機構
　　網絡安全工作的開展，需要有一個權威的、自上而下的管理機構作為組織保障。高校應該建立專門的網絡安全工作領導小組，由學校一把手擔任組長。同時，下設辦公室和網絡安全工作組等機構，明確分工、各司其職，共同做好校園網絡安全工作。
　　3.5.2  制定安全管理制度
　　為了推動校園網絡安全工作的有序進行，高校應根據國家相關法律法規和學校的實際情況，制定并嚴格執行有效的安全管理制度，規范和明確網絡安全工作中各單位、各崗位的工作范圍和職責等內容。
　　3.5.3  加強網絡安全教育，提高安全防范意識和防范能力
　　高校網絡安全管理的一個重要方面就是要加強校園網用戶的網絡安全教育，提高其安全防范意識和防范能力。針對不同的校園網用戶群體，采取不同的措施。對于校領導，著重向他們介紹網絡安全的重要性、緊迫性等，不斷地提高他們對網絡安全工作的認知和重視程度。對于廣大師生，通過開展網絡安全知識普及教育和培訓活動，一方面使其了解網絡安全方面的法律法規，提高他們的網絡安全意識，另一方面，促使他們學習掌握一些基本的網絡安全技能，提升他們的網絡安全防范能力。針對網絡管理員、安全管理員等專業技術人員，則要求他們時刻保持對網絡安全方面的敏感性和警惕性，加強網絡安全專業知識和技能的學習，不斷地提升應對網絡安全問題、維護校園網安全的業務能力。
　　3.5.4  建立安全檢查機制，以查促改
　　安全檢查是安全管理當中很重要的一個環節，不容忽視。高校應該綜合考慮不同部門的實際情況，建立一套合理的安全檢查機制。比如在重要活動期間以及每月固定某個時間段，對學校所有網站以及應用信息系統進行安全巡檢。此外，還可以不定期地開展滲透、測試等安全檢查工作。通過這些常態化的工作，可以及時有效地發現問題，并督促落實整改。
　　3.5.5  建立應急響應機制
　　“道高一尺，魔高一丈”。很多網絡安全威脅防不勝防，為此，高校應該建立網絡安全應急響應的工作機制。學校要立足于自身網絡的特點，制定切合學校實際的應急處置預案。定期開展應急演練，在具體的實踐過程中不斷改進和完善應急響應機制。
　　3.5.6  做好校園網容災備份建設
　　容災備份指的是在災難事件發生時，可以通過容災機制，最大限度地實現數據的恢復，保證工作單位的正常運行[3]。數據容災備份，是保障網絡信息安全的最后一道防線，因此，做好容災備份的建設至關重要。高校應該結合學校的實際需求和資金預算等情況，合理規劃、循序漸進、分級建設，比如根據不同業務系統的重要性、復雜度等實際情況來確定災備方案。對于那些關鍵的核心業務系統，除了本地數據備份以外，還需要進行異地災備。其他非關鍵的應用系統，可以先做本地數據備份。下一階段，在資金許可的情況下，可以進一步考慮建設異地容災中心，實現數據遠程異地備份。
　　4    結語
　　高校校園網的安全問題是一個動態的、復雜的系統工程，需要全方位、多層次的防范。學校必須高度重視校園網安全工作，通過宣傳、教育、培訓等方式，提高校園網用戶的網絡安全意識和防范能力。從技術和管理方面雙管齊下，建立一套以先進的網絡安全技術為支撐，科學的安全管理手段相配合的校園網安全防護措施。同時，還應與時俱進，不斷地更新和完善校園網安全防護體系，不斷地提升校園網的安全防御能力，確保校園網更加安全地運行，進而更好地服務于學校的教學、科研和管理等方面。作者簡介：翁花群（1987— ），女，福建莆田人，實驗師，碩士;研究方向：多媒體通信，無線傳輸。
轉載注明來源:http://www.hailuomaifang.com/8/view-14866332.htm