趙曉飛 韓慧敏

·海關(guān)科技·

校園BYOD時(shí)代的Wi-Fi安全風(fēng)險(xiǎn)探析

趙曉飛 韓慧敏*

隨著越來(lái)越多的校園師生開始擁有自己的無(wú)線上網(wǎng)設(shè)備，校園Wi－Fi成為廣大師生獲取信息的重要途徑。然而，大量自帶設(shè)備（BYOD）涌入校園也隨之給校園網(wǎng)絡(luò)安全帶來(lái)重大隱患。了解隱患的根源和出處是解決安全風(fēng)險(xiǎn)問(wèn)題的關(guān)鍵所在，本文將分別從四個(gè)方面對(duì)校園Wi－Fi環(huán)境下BYOD的到來(lái)給校園信息安全帶來(lái)的風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析。通過(guò)分析安全風(fēng)險(xiǎn)問(wèn)題的出現(xiàn)環(huán)節(jié)和表現(xiàn)形式，找到解決問(wèn)題的入手點(diǎn)和基本方法，最終為解決BYOD帶來(lái)的信息安全風(fēng)險(xiǎn)提供參考。

信息安全管理；BYOD；安全風(fēng)險(xiǎn)；解決方案

隨著無(wú)線網(wǎng)絡(luò)在各大學(xué)校園的不斷普及，Wi－Fi這個(gè)專業(yè)術(shù)語(yǔ)在大學(xué)校園里已經(jīng)不再是專業(yè)人員拿來(lái)炫耀的技術(shù)名詞，可以說(shuō)無(wú)論是老師還是學(xué)生，幾乎所有的師生都知道Wi－Fi，而且都在使用著Wi－Fi。然而，BYOD這一名詞卻不為廣大師生所關(guān)注，而BYOD卻在潛移默化的影響著我們的網(wǎng)絡(luò)和工作。

一、校園BYOD時(shí)代的到來(lái)

BYOD（Bring Your Own Device），是指?jìng)€(gè)人將自己的智能手機(jī)、平板電腦、筆記本電腦等移動(dòng)智能設(shè)備帶到辦公場(chǎng)所，并將其用于處理工作和學(xué)習(xí)事務(wù)。為了隨時(shí)隨地的滿足辦公、學(xué)習(xí)的需求，幾乎所有的BYOD設(shè)備都支持Wi－Fi網(wǎng)絡(luò)，國(guó)際國(guó)內(nèi)也均由此引發(fā)出了一系列管理和安全上的討論，而BYOD所帶來(lái)的風(fēng)險(xiǎn)也因此被認(rèn)為是近幾年信息安全管理中風(fēng)險(xiǎn)上升最快的短板之一。在BYOD迅猛的發(fā)展浪潮中，我國(guó)并不落后，甚至發(fā)展速度已經(jīng)超過(guò)某些西方發(fā)達(dá)國(guó)家，而中國(guó)的大學(xué)校園無(wú)疑是這個(gè)BYOD時(shí)代到來(lái)的主力軍之一。

一般來(lái)說(shuō)，一所大學(xué)每年約有10，000個(gè)新學(xué)生到達(dá)校園，并且每個(gè)人都平均帶有3.5件個(gè)人電子設(shè)備，BYOD的規(guī)模在一所大學(xué)中就數(shù)目龐大。①廖煜嶸：《迎接移動(dòng)化高校教育如何看待BYOD》，2013年9月10日，http://cio.it168.com/a2013/0909/1531/000001531395.shtml，2013年9月21日訪問(wèn)。雖然大多數(shù)高校都為學(xué)生提供電腦或其他上網(wǎng)硬件設(shè)備，然而，當(dāng)智能手機(jī)、平板設(shè)備開始興起的今天，無(wú)論是老師還是學(xué)生都不約而同地將自己的設(shè)備帶進(jìn)校園并且期望利用它們來(lái)方便自己的工作和學(xué)習(xí)。而大學(xué)作為一個(gè)自由開發(fā)的空間，又很少去控制這些外來(lái)移動(dòng)終端的使用情況，如此這將可能會(huì)帶來(lái)重大的安全隱患。

二、不斷普及的校園Wi－Fi

隨著無(wú)線技術(shù)的快速發(fā)展和不斷成熟，設(shè)備價(jià)格越來(lái)越廉價(jià)，越來(lái)越多的老師和學(xué)生都擁有帶有Wi－Fi功能的筆記本電腦、平板電腦、手機(jī)等，廣大師生迫切希望能夠突破有線網(wǎng)絡(luò)節(jié)點(diǎn)的限制，能夠隨時(shí)隨地的辦公學(xué)習(xí)。根據(jù)Educause的研究顯示，有78%的學(xué)生認(rèn)為Wi－Fi對(duì)于專業(yè)成績(jī)的提高有價(jià)值，而60%的學(xué)生表示不會(huì)考慮在不提供免費(fèi)Wi－Fi的學(xué)校就讀。校園Wi－Fi已經(jīng)逐漸成為校園生活的重要組成部分，是廣大師生能夠隨時(shí)隨地獲取資源和信息的主要途徑之一，各高校也紛紛把校園Wi－Fi建設(shè)作為信息化建設(shè)的重要指標(biāo)和任務(wù)。在國(guó)際上，無(wú)線校園也已成為學(xué)校提高教育資源利用率，提升教學(xué)環(huán)境品質(zhì)，增加教育交流性和靈活性的一種重要方式。據(jù)統(tǒng)計(jì)，截止到2010年，全球建設(shè)了無(wú)線校園網(wǎng)的高校達(dá)1500所。在國(guó)內(nèi)，據(jù)教育部在2005年的一項(xiàng)調(diào)查顯示，到2005年止，在我國(guó)高校中建有校園無(wú)線網(wǎng)絡(luò)已有15.1%；同時(shí)，有36.2%的高校將計(jì)劃建設(shè)無(wú)線校園網(wǎng)，兩項(xiàng)數(shù)據(jù)合計(jì)達(dá)到了51.3%。截止2012年，國(guó)內(nèi)有200多所高校已在建或建成了自己的校園無(wú)線網(wǎng)。與此同時(shí)，移動(dòng)、聯(lián)通、電信等公司為了搶占校園市場(chǎng)，也極盡所能的把各種熱點(diǎn)遍布整個(gè)校園，并提供各種免費(fèi)或優(yōu)惠的網(wǎng)絡(luò)服務(wù)，Wi－Fi熱潮已在中國(guó)校園勢(shì)不可擋。

三、BYOD帶來(lái)的校園信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)

就在各高校無(wú)線網(wǎng)絡(luò)蓬勃發(fā)展的同時(shí)，Wi－Fi網(wǎng)絡(luò)也帶來(lái)了眾多不安全機(jī)制，導(dǎo)致校園信息安全風(fēng)險(xiǎn)。尤其，當(dāng)絕大多數(shù)的外來(lái)BYOD設(shè)備使用Wi－Fi訪問(wèn)網(wǎng)絡(luò)時(shí)，更容易被攻擊、欺騙和破解，存在較高的信息泄露風(fēng)險(xiǎn)，甚至?xí)o校園整體網(wǎng)絡(luò)環(huán)境帶來(lái)重大影響。因此，分析、防范Wi－Fi網(wǎng)絡(luò)所帶來(lái)的安全風(fēng)險(xiǎn)，對(duì)于全面解決BYOD風(fēng)險(xiǎn)至關(guān)重要。具體說(shuō)來(lái)，主要表現(xiàn)為以下幾種形式：

（一）Rogue AP層出不窮

Rogue AP被稱為非法AP或流氓AP，是指未經(jīng)管理員注冊(cè)，由師生個(gè)人私自接入到校園內(nèi)網(wǎng)的AP。而且，Rogue AP層出不窮，在學(xué)生的宿舍里、校內(nèi)賓館里、實(shí)驗(yàn)室里、甚至是教室里無(wú)處不見。在Rogue AP信號(hào)覆蓋范圍內(nèi)，內(nèi)網(wǎng)被入侵的可能性大幅增加，傳統(tǒng)的防火墻等網(wǎng)絡(luò)安全設(shè)備對(duì)此毫無(wú)辦法，校園內(nèi)網(wǎng)在不經(jīng)意間已對(duì)外大門敞開（見圖1）。

圖1 Rogue AP

對(duì)于那些尚未來(lái)得及部署Wi－Fi網(wǎng)絡(luò)的區(qū)域，Rogue AP所帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)從不間斷。老師為了方便辦公，在辦公室里私自部署AP，可能某位同學(xué)僅僅是為了使用自帶的手機(jī)、電腦或iPad，而把家用AP連接到網(wǎng)絡(luò)上，一個(gè)個(gè)Rogue AP就這樣出現(xiàn)了，加之校園環(huán)境下學(xué)生的活動(dòng)性又非常大，Rogue AP顯得更加難以管理。一旦某個(gè)Rogue AP持續(xù)運(yùn)行，就很可能帶來(lái)眾多災(zāi)難性后果。Rogue AP可能導(dǎo)致產(chǎn)生多個(gè)DHCP服務(wù)、造成環(huán)路從而引起的整網(wǎng)數(shù)據(jù)風(fēng)暴過(guò)載。更糟糕的是，即使設(shè)置了加密，也會(huì)被惡意者注意到，通常情況下，由于缺少集中認(rèn)證、加密等安全策略，Rogue AP總是容易被破解，更何況有些Rogue AP是采用WEP加密甚至完全開放狀態(tài)，從而導(dǎo)致校園內(nèi)網(wǎng)病毒橫流，信息嚴(yán)重泄露等問(wèn)題。無(wú)意架設(shè)的Rogue AP，管理員可以在定期的檢查中發(fā)現(xiàn)，但總有一部分人為了逃避檢查，采取各種辦法來(lái)隱藏自己，例如不對(duì)外廣播SSID、設(shè)置一個(gè)不常用的無(wú)線信道，甚至干脆遷移到5.8GHz頻段上。這些辦法有可能會(huì)逃過(guò)管理人員的眼睛，但是卻不一定能躲開黑客發(fā)起的攻擊，這些AP運(yùn)行的時(shí)間越長(zhǎng)，被入侵的概率也就越大。

針對(duì)這種情況，我們可以采用以下辦法加以防范：一是通過(guò)配置交換端口對(duì)廣播和流量進(jìn)行限制，屏蔽大數(shù)據(jù)大流量降低數(shù)據(jù)風(fēng)暴風(fēng)險(xiǎn)，配置端口隔離減少端口間的串?dāng)_。二是在接入層交換機(jī)上開啟DHCP－snooping功能，通過(guò)建立和維護(hù)DHCP－snooping綁定表過(guò)濾不可信任的DHCP信息。三是通過(guò)無(wú)線網(wǎng)絡(luò)控制器AC的屏蔽非法AP功能，直接將合法AP探測(cè)到的Rogue AP強(qiáng)制屏蔽。當(dāng)然校園Wi－Fi管理人員更要加強(qiáng)技術(shù)手段，充分運(yùn)用各種工具進(jìn)行定期清查。

（二）非法Wi－Fi外聯(lián)防不勝防

BYOD時(shí)代，越來(lái)越多的移動(dòng)終端內(nèi)置了Wi－Fi網(wǎng)絡(luò)，即便在內(nèi)部實(shí)行了嚴(yán)格的互聯(lián)網(wǎng)訪問(wèn)策略，命令禁止使用外部Wi－Fi網(wǎng)絡(luò)，但只要所在區(qū)域附近存在著免費(fèi)熱點(diǎn)，任何人就有可能使用自己的終端進(jìn)行Wi－Fi連接，尤其是當(dāng)前移動(dòng)（CMCC）、聯(lián)通（CUCC）和電信（ChinaNet）等熱點(diǎn)彌散在校園的各個(gè)角落，這樣的鏈接常常是在無(wú)意識(shí)的狀態(tài)下就進(jìn)行了。假如一臺(tái)終端在鏈接外來(lái)熱點(diǎn)的同時(shí)又不時(shí)地聯(lián)入校園內(nèi)網(wǎng)，那么這些終端就像一個(gè)不受控制的“網(wǎng)閘”，可能經(jīng)常在隔離的內(nèi)網(wǎng)與外聯(lián)的外網(wǎng)之間來(lái)回切換，則終端內(nèi)的秘密信息就有被竊取的可能，校園內(nèi)網(wǎng)感染病毒、木馬的風(fēng)險(xiǎn)也隨之提高（見圖2）。

圖2 非法Wi－Fi外聯(lián)

非法Wi－Fi外聯(lián)行為較為隱蔽，很多時(shí)候有可能是個(gè)人無(wú)意識(shí)的行為，可謂防不勝防，非常難以排除。原因在于提供Wi－Fi連接的外部AP并不在學(xué)校內(nèi)網(wǎng)，公共的Wi－Fi資源不在學(xué)校網(wǎng)絡(luò)管理人員可控范圍內(nèi)。針對(duì)這種情況，一方面應(yīng)從管理上入手，告知廣大師生其中的危害，讓每個(gè)人都引起重視，確保在使用自己的BYOD設(shè)備時(shí)，合理接入網(wǎng)絡(luò)進(jìn)行使用，管好自己的終端。另一方面，從技術(shù)手段入手解決，比較極端的做法是，通過(guò)房屋的電磁屏蔽來(lái)防止外來(lái)電磁波的播散，當(dāng)然這種做法只適用于機(jī)密程度要求較高的網(wǎng)絡(luò)環(huán)境。我們還可以通過(guò)強(qiáng)大的訪問(wèn)控制和合理的設(shè)備部署來(lái)減少無(wú)線外聯(lián)的風(fēng)險(xiǎn)。例如可以將合法AP安放在像防火墻或防病毒網(wǎng)關(guān)之類的設(shè)備之外。再例如還可以考慮利用VPN技術(shù)將AP連接到主干網(wǎng)。這樣我們就在AP和校園內(nèi)網(wǎng)建立起一道安全防線，一定程度上確保了內(nèi)網(wǎng)的安全，然而終端上已從內(nèi)網(wǎng)下載獲得的資源仍然有可能在鏈接外來(lái)Wi－Fi時(shí)泄露。

（三）惡意的釣魚AP

通常來(lái)說(shuō)，一臺(tái)打開了Wi－Fi功能的終端，會(huì)定期掃描周圍的網(wǎng)絡(luò)情況，而且自動(dòng)記住曾經(jīng)連接過(guò)的Wi－Fi，一旦周圍出現(xiàn)了曾經(jīng)連接過(guò)的Wi－Fi，終端便會(huì)自動(dòng)發(fā)起連接。一般而言，為了保證Wi－Fi信號(hào)的強(qiáng)度，終端設(shè)備會(huì)不斷探測(cè)周邊的AP，判斷AP信號(hào)強(qiáng)度并根據(jù)信號(hào)強(qiáng)度自動(dòng)在網(wǎng)絡(luò)里的眾多AP之間漫游。此時(shí)，如果出現(xiàn)一個(gè)惡意AP，它通過(guò)攻擊合法AP進(jìn)而偽裝成合法AP廣播同樣SSID信號(hào)，作為使用者通常是難以分辨的，一旦釣魚AP信號(hào)強(qiáng)度超過(guò)其他AP，或合法AP的工作被干擾或被發(fā)起無(wú)線DoS攻擊，終端就會(huì)毫不猶豫地聯(lián)接到這個(gè)釣魚AP上來(lái)。此時(shí)，移動(dòng)終端的數(shù)據(jù)流量都會(huì)流經(jīng)釣魚AP，此AP在通過(guò)橋接功能將移動(dòng)終端的流量再轉(zhuǎn)發(fā)至Internet，因此移動(dòng)終端仍可以繼續(xù)上網(wǎng)，但此時(shí)，黑客可輕而易舉的使用嗅探工具捕獲流量，所有流量已經(jīng)被別人盡收眼底了。如果使用中間人攻擊工具，甚至可以截獲采用了SSL加密的郵箱信息，更進(jìn)一步，由于黑客的攻擊系統(tǒng)與被釣魚的終端建立了連接，黑客可以尋找可利用的系統(tǒng)漏洞，并截獲終端的DNS/URL請(qǐng)求，注入攻擊代碼，并向用戶終端植入木馬，達(dá)到最終控制用戶終端的目的。此時(shí)，那些存儲(chǔ)在終端上的資料已經(jīng)是黑客囊中之物了。

由此可見，無(wú)線釣魚AP確實(shí)是BYOD的一大威脅，BYOD中的隱私很可能會(huì)隨風(fēng)飛走，被人窺視。因此做好無(wú)線釣魚攻擊的防范尤為重要。對(duì)此問(wèn)題，我們需要從無(wú)線網(wǎng)絡(luò)的部署、無(wú)線終端的使用等環(huán)節(jié)全面考慮安全性配置，最大程度降低信息泄露風(fēng)險(xiǎn)。在部署方面，需要統(tǒng)籌考慮全局，從有線到無(wú)線、從AC到AP，從AP到終端，每一個(gè)過(guò)程都需要合理規(guī)劃、仔細(xì)考量。在有線與無(wú)線網(wǎng)絡(luò)之間建立起非法無(wú)線設(shè)備的監(jiān)控、定位、警告機(jī)制，并通過(guò)無(wú)線控制器統(tǒng)一部署有線無(wú)線安全策略，還可以采用部署WLAN IDS/IPS（無(wú)線入侵檢測(cè)系統(tǒng)或無(wú)線入侵防御系統(tǒng)）或其他類似設(shè)備定期進(jìn)行無(wú)線安全檢測(cè)，消除可能存在的釣魚AP和其他無(wú)線風(fēng)險(xiǎn)（見圖3）。在終端使用上，要加強(qiáng)客戶端安全認(rèn)證，可以充分運(yùn)用802.1x/PSK/MAC/Portal等多種認(rèn)證方式的混合接入，并可進(jìn)一步升級(jí)支持WAPI（Wireless LAN Authentication and Privacy Infrastructure）。還可以通過(guò)架設(shè)專用的VPN通道進(jìn)行加密認(rèn)證。如果經(jīng)費(fèi)允許，甚至可以購(gòu)買無(wú)線網(wǎng)絡(luò)安全交換機(jī)，這種基于硬件的交換機(jī)可以將原來(lái)AP中存放的IP地址、密碼、安全認(rèn)證、ACL、QoS等集成到交換機(jī)中通過(guò)硬件實(shí)現(xiàn)，在一定程度上解決無(wú)線安全問(wèn)題。

圖3 防釣魚AP全局部署

（四）Wi－Fi中的“欺騙”、“攔截”與“綁架”

“欺騙”是指黑客或攜帶了黑客軟件的設(shè)備將偽造的信息發(fā)送給計(jì)算機(jī)的行為，由于802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，入侵者可以使用欺騙幀的方式重新定向數(shù)據(jù)流，并通過(guò)對(duì)ARP表的分析獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，得到了MAC就相當(dāng)于找到了門牌號(hào)，進(jìn)門拿東西就方便多了。

再有，通過(guò)AP上網(wǎng)的終端一定會(huì)監(jiān)測(cè)到AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在，然而裝有惡意攔截工具的終端能很容易對(duì)廣播幀進(jìn)行“攔截”并進(jìn)一步分析，進(jìn)而裝扮成一個(gè)合法的AP，通過(guò)這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒(méi)有采用802.11對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過(guò)會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無(wú)法避免的。

“綁架”，這里的綁架是指對(duì)無(wú)線信息的綁架，由于在AP的覆蓋區(qū)域內(nèi)，Wi－Fi信號(hào)是無(wú)處不在的，使得Wi－Fi流量被“綁架”的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)高于有線網(wǎng)絡(luò)。被黑客安裝了嗅探軟件的終端可以在不被察覺(jué)的情況下綁架網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)，從而捕獲賬號(hào)和口令、專用的或機(jī)密的信息，甚至可以用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)滲透等。Wi－Fi信道的開放性給網(wǎng)絡(luò)嗅探帶來(lái)了極大的方便，在Wi－Fi環(huán)境中網(wǎng)絡(luò)嗅探對(duì)信息安全的威脅來(lái)自其被動(dòng)性和非干擾性，運(yùn)行監(jiān)聽程序的終端在竊聽的過(guò)程中只是被動(dòng)的接收網(wǎng)絡(luò)中傳輸?shù)男畔?，它不?huì)跟其它的主機(jī)交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔?，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不知不覺(jué)（見圖4）。

圖4 Wi－Fi中的“欺騙”、“攔截”與“綁架”

“欺騙”、“攔截”與“綁架”嚴(yán)重地威脅著無(wú)線網(wǎng)絡(luò)安全，對(duì)于學(xué)校提供的無(wú)線網(wǎng)絡(luò)設(shè)備，管理人員通過(guò)定期的檢查保證終端的“純凈”。但對(duì)于老師學(xué)生的BYOD就有可能攜帶了眾多的黑客軟件，尤其是學(xué)生的好奇心比較強(qiáng)，容易在自己的設(shè)備上感染各種病毒軟件，各種風(fēng)險(xiǎn)出現(xiàn)的概率隨之明顯增加。雖然三種信息泄密方式均不宜被察覺(jué)，但并非沒(méi)有防范方法。歸納其三者的共性還是無(wú)線信號(hào)的外泄造成，然而Wi－Fi網(wǎng)絡(luò)的特性又決定著信息的擴(kuò)散不可避免。因此，使用加密協(xié)議就非常有必要了，唯有加強(qiáng)外泄信息的保密性才能有效截止各種安全威脅的產(chǎn)生，如果加密方式不夠強(qiáng)壯，數(shù)據(jù)流量依然有被破解還原的可能，像傳統(tǒng)的僅用wep加密的方式是遠(yuǎn)遠(yuǎn)不夠了，需要進(jìn)一步采用像SSH、SSL、IPSEC等這樣的加密技術(shù)，即使信息外泄也能保證信息不被破解，從而有效地保障Wi－Fi數(shù)據(jù)安全。

四、結(jié)束語(yǔ)

本文僅總結(jié)了BYOD設(shè)備在校園Wi－Fi環(huán)境下所可能出現(xiàn)的部分信息安全風(fēng)險(xiǎn)情況，在日益復(fù)雜的校園無(wú)線網(wǎng)絡(luò)環(huán)境中，潛藏的危機(jī)也會(huì)隨著技術(shù)的進(jìn)步、外來(lái)設(shè)備的增多而越來(lái)越多，越來(lái)越棘手。我們唯有認(rèn)真借鑒和分析現(xiàn)有的經(jīng)驗(yàn)和教訓(xùn)，并結(jié)合各校無(wú)線網(wǎng)絡(luò)接入情況，充分運(yùn)用各種技術(shù)、資源來(lái)盡力維護(hù)一個(gè)安全的校園無(wú)線網(wǎng)絡(luò)環(huán)境。同時(shí)，更需要使用校園無(wú)線網(wǎng)絡(luò)的每一位師生都參與到安全防護(hù)中來(lái)，管理好自帶的設(shè)備，并按照規(guī)定合理合規(guī)的接入校園Wi－Fi，我們的校園無(wú)線才會(huì)更加安全，我們才能更好地享受校園Wi－Fi給廣大師生帶來(lái)的便捷。

〔1〕張巖.校園WIFI無(wú)線網(wǎng)絡(luò)安全防護(hù)〔J〕.電子制作，2012（10）.

〔2〕楊敬民，林偉俊.基于BYOD的移動(dòng)辦公及其解決方案研究〔J〕.科技傳播，2013（14）.

〔3〕韓韋.WIFI及其安全性研究〔J〕.無(wú)線互聯(lián)科技，2013（1）.

（責(zé)任編輯 趙世璐）

趙曉飛，上海海關(guān)學(xué)院科技處；韓慧敏，華東師范大學(xué)。