羅東芳

摘 要：本文通過研究高校多校區(qū)校園網(wǎng)安全方面的相關資料，以信息安全理論為基礎，結(jié)合高校多校區(qū)校園網(wǎng)建設狀況，指出應在物理安全、網(wǎng)絡運行安全、信息安全及安全管理等方面實施安全措施，提出了全面的安全防護策略。

關鍵詞：多校區(qū)；校園網(wǎng)；信息安全；安全防護策略

一、多校區(qū)信息安全的現(xiàn)狀

隨著我國高等教育體制改革的逐步推進，高校招生規(guī)模逐年擴大，帶來了校區(qū)建設的種種問題，如受原校區(qū)周邊環(huán)境限制，多數(shù)學校都建設了新校區(qū)。從而造成了一校多區(qū)的現(xiàn)狀，河南省大多高校也存在著這種現(xiàn)象。但是在我國，隨著校園網(wǎng)建設的深入和網(wǎng)絡業(yè)務的日漸豐富，多校區(qū)大學的校園網(wǎng)絡建設也面臨著諸多問題。網(wǎng)絡將常承受上萬人同時在線的壓力；不同的校區(qū)往往由不同的學校轉(zhuǎn)化而來，相互之間校園網(wǎng)建設標準、發(fā)展進程、管理模式都不盡相同，網(wǎng)絡設備之間的兼容性和安全性需要重新規(guī)劃；最后，在校園網(wǎng)重新規(guī)劃升級后，節(jié)點增多，網(wǎng)絡結(jié)構(gòu)更加復雜，更加需要統(tǒng)一的網(wǎng)絡管理。

高校數(shù)字信息資源是指以數(shù)字化形式存在的各種資源內(nèi)容的集合，這些資源中相當一部分以零散、隱蔽的形式存在各校區(qū)各部門網(wǎng)絡環(huán)境和個人計算機中，甚至存在于學生或?qū)＜覀€人的主頁和博客。信息資源的離散性、隱蔽性和自由性給信息資源管理帶來復雜性。

多校區(qū)高校的信息安全體系的建立，是一項復雜的系統(tǒng)工程，只有從工程角度系統(tǒng)分析和設計，才能有效地為高校構(gòu)架一個安全的信息管理體系。所以，多校區(qū)的信息安全不是一個單純的技術問題，而是安全技術、安全策略和安全管理的綜合，信息安全的研究工作“任重而道遠”。

二、多校區(qū)信息安全隱患及成因

在傳統(tǒng)網(wǎng)絡環(huán)境下，數(shù)字信息面臨的挑戰(zhàn)是多種多樣的?？陀^因素上：網(wǎng)絡信息泛濫、信息虛假、病毒猖狂、惡意代碼、侵犯知識產(chǎn)權等現(xiàn)象仍未得到有效的解決；主觀因素上：普遍網(wǎng)絡用戶的安全意識薄弱；使得技術或信息的無意泄露、管理存在漏洞等；技術角度上：存在創(chuàng)新性不強，軟件和硬件過度依賴的現(xiàn)象。這些因素中，人為因素往往容易被忽視，而據(jù)有關經(jīng)調(diào)查顯示，由于“人禍”所造成的損失達到80%以上。隨著云計算技術和web2.0技術的廣泛應用，對信息安全技術提出了更高的要求。本文擬對數(shù)據(jù)歸類并分析問題點如下：

（1）物理安全問題。校園網(wǎng)硬件物理設備的放置是否合適、規(guī)范措施是否健全、防范措施是否得力、網(wǎng)絡互聯(lián)設備和服務器的軟硬件資源配備是否合理。網(wǎng)絡資源是否易遭受自然災害、意外事故或人為破壞，從而造成校園網(wǎng)不能正常運行。物理安全問題。（2）技術人員素質(zhì)。考察是否有由于高校網(wǎng)絡技術人員水平參差不齊，信息安全意識不強，從而導致諸如在使用過程中使計算機病毒侵入、系統(tǒng)損壞等現(xiàn)象，技術人員是否有及時備份信息、處理突發(fā)事件的能力等。（3）網(wǎng)絡安全漏洞。即使物理設施安全完備，校園網(wǎng)中的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)都存在難以避免的安全漏洞。許多校園網(wǎng)絡擁有

WWW、郵件、數(shù)據(jù)庫等服務器，還有重要的教學服務器，對于非專業(yè)人員來說，無法確切了解和解決每個服務器系統(tǒng)和整個網(wǎng)絡的安全缺陷及安全漏洞及校園網(wǎng)邊界安全等問題。（4）多出口問題。原來各個校區(qū)有獨立的到互聯(lián)網(wǎng)絡的出口，而隨著多校合并、新校區(qū)建設等，使得一個學校有多個出口，而甚至一個校區(qū)幾個出口，網(wǎng)絡安全設備的投入和管理的標準是否統(tǒng)一，多出口信息安全問題是否從整體上考慮。（5）安全制度問題。各高校是否具備系統(tǒng)的管理思路和完整統(tǒng)一的安全策略，是否具有完善的、切實可行的管理和技術規(guī)范以及規(guī)章制度，是否具有安全評估制度。（6）網(wǎng)絡安全等級差異問題。擬將高校信息三個等級，分別是自主保護級、系統(tǒng)審計保護級和安全標記保護級。一級即自主保護級包含教務、就業(yè)、黨籍、團籍、離退休信息等。二級即系統(tǒng)審計保護級包含招生、學籍、圖書、科研信息等。三級即安全標記保護級包含檔案管理、人事勞資管理、財務管理、資產(chǎn)管理信息。（7）人為因素。從管理層面來講，管理人員是否具備信息保密意識、是否對工作人員進行信息安全教育，是否對本部門的安全等級做出規(guī)范；從用戶層面來講，是否具有異常情況敏感性，是否具有信息使用和管理的安全意識，是否存在對內(nèi)外交流過程中無意泄密的因素存在。

三、多校區(qū)信息安全的策略

（一）安全目標。①保證整個網(wǎng)絡的正常運行，尤其在遭受黑客攻擊的情況下；②保證信息數(shù)據(jù)的完整性和保密性，在網(wǎng)絡傳輸時數(shù)據(jù)不被修改和不被竊?。虎劬哂锌茖W的安全風險評估；④保證網(wǎng)絡的穩(wěn)定性，安全措施不形成網(wǎng)絡的負擔而且提供全天候滿意服務和應用；⑤構(gòu)筑“綠色網(wǎng)絡”，杜絕反動和不良信息的傳播。

（二）安全策略。解決安全的策略問題需要從高校需求出發(fā)，本文擬從高校安全目標、安全級別、安全范圍三個方面入手分析目前高校數(shù)字信息面臨的挑戰(zhàn)和急需解決的問題，以形成需求。進一步以需求出發(fā)制定行之有效的策略，主要從三個大的方面闡述，如圖1所示。

（1）保障物理安全。首先要制定完善的安全規(guī)范管理制度，它是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為破壞事故的規(guī)范。其目的是保護計算機系統(tǒng)、web 服務器等硬件實體和通信鏈路層網(wǎng)絡設備免受自然災害、人為破壞和攻擊等。（2）統(tǒng)一端口。多條互聯(lián)網(wǎng)出口，可以對校園網(wǎng)內(nèi)部訪問外部資源的流量進行負載分流和相應備份。但是多校區(qū)校園網(wǎng)的多出口更易受到病毒感染和網(wǎng)絡攻擊，為保護校園網(wǎng)抵御黑客和惡意軟件的入侵，可以在出口配置防火墻，在校園網(wǎng)內(nèi)部建立信息網(wǎng)絡監(jiān)測系統(tǒng)，對關鍵區(qū)域的信息流向進行動態(tài)監(jiān)測，及時發(fā)現(xiàn)非法及異常行為，對緊急安全事件快速攔截，對可疑流量進行測試，并對校園網(wǎng)實施訪問認證、端口掃描、安全審計等技術措施，防范校園信息資源被非法訪問、篡改和破壞。（3）避免安全漏洞。為保障多校區(qū)校園網(wǎng)的信息安全，必須做好校園網(wǎng)系統(tǒng)漏洞及補丁管理?？山⒍嘈^(qū)校園網(wǎng)絡信息安全服務網(wǎng)站，發(fā)布計算機系統(tǒng)安全漏洞公告，分發(fā)安全補丁并提供WSUS 服務等。（4）建立完善的安全管理制度。安全管理策略包括確定安全管理等級和安全管理范圍；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度，建立值班制度、密碼管理以及應急措施等；明確系統(tǒng)管理員、網(wǎng)絡管理員及系統(tǒng)運行維護人員的分工和職責范圍。同時還需要加強校園網(wǎng)絡信息安全宣傳和培訓力度，更好地普及信息網(wǎng)絡安全知識，增強應對網(wǎng)絡安全事故的處理與應急能力。（5）備份。設備和線路的備份可根據(jù)網(wǎng)絡運行的故障率準備一定冗余，在網(wǎng)絡某部分發(fā)生故障時，其他部分可自行啟用或迅速切換。為管理的方便和數(shù)據(jù)的安全，將教務教學信息、圖書信息、視頻信息和其他管理信息等集中，統(tǒng)一部署數(shù)據(jù)備份方案。（6）訪問控制策略。訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。采用入網(wǎng)訪問控制，網(wǎng)絡的權限控制，目錄級安全控制，屬性安全控制等策略。

參考文獻：

[1] 常艷，王冠.網(wǎng)絡安全滲透測試研究[J].信息網(wǎng)絡安全，2012，（11）：3-4.

[2] 魏為民，袁仲雄.網(wǎng)絡攻擊與防御技術的研究與實踐[J].信息網(wǎng)絡安全，2012，（12）：53-56.