高校校園網(wǎng)絡(luò)安全問(wèn)題分析及對(duì)策

◆刁曉婧

（國(guó)防大學(xué)教研保障中心信息技術(shù)室 北京 10091）

校園網(wǎng)是高校重要的信息平臺(tái)，它以良好的開(kāi)放性、交互性和豐富的信息資源而受到廣泛的歡迎。作為一個(gè)重要的平臺(tái)，它在服務(wù)、科研、教學(xué)等方面發(fā)揮著重要的作用，對(duì)豐富師生的精神文化生活、提高學(xué)校知名度等方面也起到了積極的作用。由于計(jì)算機(jī)網(wǎng)絡(luò)本身的開(kāi)放性，網(wǎng)絡(luò)病毒和安全漏洞頻出，網(wǎng)絡(luò)攻擊手段越來(lái)越簡(jiǎn)單，校園網(wǎng)在實(shí)際運(yùn)行中遇到了許多安全威脅，嚴(yán)重影響了高校的正常運(yùn)行。針對(duì)這一現(xiàn)象，必須樹(shù)立安全意識(shí)，重視網(wǎng)絡(luò)安全，找出網(wǎng)絡(luò)系統(tǒng)頻遭攻擊的原因，并結(jié)合實(shí)際提出有效的解決方案，使高校網(wǎng)絡(luò)回歸安全，更好地為師生服務(wù)。

1 校園網(wǎng)絡(luò)安全問(wèn)題分析

1.1 學(xué)校認(rèn)識(shí)不足

各高校為了學(xué)校的教學(xué)、科研，以及學(xué)生學(xué)習(xí)生活的需要，基本上都建立了千兆主干、百兆桌面，甚至萬(wàn)兆主干、高帶寬的校園網(wǎng)，網(wǎng)絡(luò)給師生帶來(lái)了方便，同時(shí)也大大增加了網(wǎng)絡(luò)安全日常管理的難度。在網(wǎng)絡(luò)設(shè)計(jì)之初，學(xué)校常常注重網(wǎng)絡(luò)的實(shí)用和高效，而忽略網(wǎng)絡(luò)安全問(wèn)題，建設(shè)資金重點(diǎn)用在關(guān)鍵網(wǎng)絡(luò)、信息化硬件設(shè)備和軟件系統(tǒng)的投入，對(duì)網(wǎng)絡(luò)安全方面的投入不足，缺少必要的網(wǎng)絡(luò)安全管理設(shè)備和軟件，致使網(wǎng)絡(luò)安全隱患嚴(yán)重。

現(xiàn)代校園網(wǎng)系統(tǒng)的正常運(yùn)行和各項(xiàng)功能的順利實(shí)現(xiàn)，離不開(kāi)軟件系統(tǒng)和硬件設(shè)備的日常管理維護(hù)[1]和合理配置。由于學(xué)校網(wǎng)絡(luò)管理員一般身兼多職，日常維護(hù)任務(wù)繁重，專(zhuān)業(yè)技術(shù)普遍存在全而不精的情況。如對(duì)交換機(jī)、防火墻、服務(wù)器采用粗放式管理，缺少?lài)?yán)謹(jǐn)?shù)陌踩呗耘渲?。還有的院校機(jī)房長(zhǎng)期缺乏必要的維護(hù)，也沒(méi)有相應(yīng)的應(yīng)急保障機(jī)制，這些都導(dǎo)致校園網(wǎng)絡(luò)安全問(wèn)題日益突出。

1.2 系統(tǒng)與應(yīng)用軟件漏洞隱患

軟件漏洞是軟件編寫(xiě)過(guò)程的不可避免的產(chǎn)物，校園網(wǎng)各類(lèi)系統(tǒng)和應(yīng)用軟件許多都是內(nèi)部使用，部分軟件系統(tǒng)沒(méi)有經(jīng)過(guò)用戶長(zhǎng)時(shí)間的測(cè)試評(píng)估。還有的操作系統(tǒng)軟件缺乏更新維護(hù)，有的各個(gè)系統(tǒng)之間經(jīng)常出現(xiàn)兼容性問(wèn)題，這些都不可避免地造成系統(tǒng)軟件漏洞的隱患。如2016年的開(kāi)始 一種“蠕蟲(chóng)式”的勒索病毒軟件，由不法分子利用NSA（National Security Agency美國(guó)國(guó)家安全局）泄露的系統(tǒng)危險(xiǎn)漏洞“EtemalBlue”（永恒之藍(lán)）[3]，利用445端口進(jìn)行攻擊，導(dǎo)致感染病毒，用戶所有文檔全部加密，想要打開(kāi)文檔需要支付比特幣。運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉445端口，但是教育網(wǎng)沒(méi)有封，所以導(dǎo)致此病毒在高校大爆發(fā)。

1.3 黑客入侵日益頻繁

“黑客”一詞是由英語(yǔ)Hacker音譯出來(lái)的，是指專(zhuān)門(mén)研究發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的愛(ài)好者。由于校園網(wǎng)規(guī)模較大，各種設(shè)備系統(tǒng)有很大差異，相對(duì)商業(yè)和政府網(wǎng)絡(luò)防范能力較弱，同時(shí)信息資源比較豐富，從而吸引了一部分黑客的攻擊。例如2016年清華大學(xué)教學(xué)門(mén)戶遭受黑客攻擊，當(dāng)用戶點(diǎn)擊部分頁(yè)面點(diǎn)擊時(shí)，內(nèi)容為伊斯蘭教經(jīng)文并伴有音樂(lè)，事發(fā)后學(xué)校迅速關(guān)閉服務(wù)器，阻止進(jìn)一步傳播。雖然被攻擊的網(wǎng)站對(duì)學(xué)生影響不大，但對(duì)學(xué)校聲譽(yù)造成了不利的影響。

2 高校校園網(wǎng)絡(luò)安全問(wèn)題對(duì)策

2.1 提升校園網(wǎng)運(yùn)行機(jī)制和管理能力

2.1.1 加強(qiáng)用戶教育培訓(xùn)，提高專(zhuān)業(yè)管理隊(duì)伍的素養(yǎng)

加強(qiáng)網(wǎng)絡(luò)安全宣傳教育，提升網(wǎng)絡(luò)安全意識(shí)和基本技能，是構(gòu)筑網(wǎng)絡(luò)安全的第一道防線。加強(qiáng)學(xué)生網(wǎng)絡(luò)道德教育，真正地凈化校園網(wǎng)絡(luò)，通過(guò)教育與宣傳相結(jié)合，教師和學(xué)生能夠正確理解有關(guān)網(wǎng)絡(luò)安全的一些法律法規(guī)，掌握一定的防范技能，為教師和學(xué)生營(yíng)造一個(gè)良好的學(xué)習(xí)生活環(huán)境。

各高校要加強(qiáng)對(duì)現(xiàn)有網(wǎng)絡(luò)管理技術(shù)人員的培訓(xùn)，通過(guò)理論授課及實(shí)踐操作相結(jié)合的培訓(xùn)方式，不斷提高他們應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題的能力和水平，高水平的網(wǎng)絡(luò)管理人員能夠根據(jù)校園網(wǎng)的實(shí)際安全狀況設(shè)置權(quán)限口令，應(yīng)急處理各類(lèi)事故保持校園網(wǎng)暢通。

2.1.2 健全校園網(wǎng)各類(lèi)安全防范管理制度，建立應(yīng)急響應(yīng)預(yù)案

“沒(méi)有規(guī)矩不成方圓”各高校需要制定出一套完整有效的安全管理制度，如校園網(wǎng)網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)安全管理崗位職責(zé)、校園網(wǎng)信息發(fā)布與管理制度、病毒防治管理制度、校園網(wǎng)用戶安全守則及處罰辦法等，并嚴(yán)格執(zhí)行才能打造出一個(gè)純凈和諧的校園網(wǎng)絡(luò)空間。

未雨綢繆，各高校應(yīng)設(shè)立信息網(wǎng)絡(luò)安全應(yīng)急處理小組，負(fù)責(zé)信息網(wǎng)絡(luò)安全事件的組織指揮和應(yīng)急處置工作。一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全事故，迅速上報(bào)事件的書(shū)面報(bào)告，由網(wǎng)絡(luò)應(yīng)急領(lǐng)導(dǎo)小組啟動(dòng)相應(yīng)的防護(hù)預(yù)案，相關(guān)人員及時(shí)到位，判斷分析事故原因，阻斷網(wǎng)絡(luò)連接，進(jìn)行現(xiàn)場(chǎng)保護(hù)，協(xié)助調(diào)查取證和系統(tǒng)恢復(fù)等工作。在事件抑制后，要對(duì)相關(guān)事件進(jìn)行跟蹤，密切關(guān)注其動(dòng)向直到徹底阻斷。

2.2 提高技術(shù)防范能力

2.2.1 制定合理的訪問(wèn)控制和區(qū)域控制策略

網(wǎng)絡(luò)管理者要充分利用學(xué)?，F(xiàn)有資源，通過(guò)對(duì)交換機(jī)、路由設(shè)備、防火墻等基礎(chǔ)網(wǎng)絡(luò)設(shè)備制定合理的訪問(wèn)控制策略，提高網(wǎng)絡(luò)安全防護(hù)能力。

根據(jù)學(xué)校網(wǎng)絡(luò)環(huán)境，考慮防火墻的合理部署模式，利用防火墻把網(wǎng)絡(luò)劃分為不同安全級(jí)別，分區(qū)域進(jìn)行管理，對(duì)內(nèi)外網(wǎng)以及內(nèi)網(wǎng)不同區(qū)域間訪問(wèn)制定嚴(yán)謹(jǐn)?shù)脑L問(wèn)控制策略。為方便學(xué)校人員外出時(shí)通過(guò)互聯(lián)網(wǎng)訪問(wèn)學(xué)校內(nèi)網(wǎng)，又確保網(wǎng)絡(luò)安全，學(xué)?？梢圆捎肰PN的方式，并利用加密設(shè)備對(duì)通訊數(shù)據(jù)進(jìn)行加密處理，實(shí)現(xiàn)信息安全的效果。高校內(nèi)部可以根據(jù)樓宇或部門(mén)來(lái)劃VLAN，通過(guò)路由設(shè)備等進(jìn)行VLAN之間互聯(lián)，使得各個(gè)樓宇或部門(mén)之間互不侵?jǐn)_。一方面起到隔離廣播數(shù)據(jù)，另一方面起到保護(hù)重要區(qū)域數(shù)據(jù)安全作用。同時(shí)也可以采用訪問(wèn)控制列表（ACL），在交換或路由設(shè)備上設(shè)置源和目的的訪問(wèn)規(guī)則，有針對(duì)性地對(duì)目標(biāo)設(shè)備進(jìn)行保護(hù)。如對(duì)核心設(shè)備的訪問(wèn)、對(duì)某種應(yīng)用基于端口的訪問(wèn)、設(shè)置部分管理的電腦的訪問(wèn)權(quán)限等。

2.2.2 增強(qiáng)病毒防護(hù)系統(tǒng)

采用一套完善的防病毒系統(tǒng)，不僅要通過(guò)桌面防病毒系統(tǒng)，對(duì)高校的服務(wù)器及工作站進(jìn)行有效的病毒防護(hù)，還要在Internet邊界處部署網(wǎng)關(guān)防病毒系統(tǒng)，可以針對(duì)SMTP、POP、FTP以及HTTP等協(xié)議進(jìn)行病毒過(guò)濾，在數(shù)據(jù)到達(dá)終端計(jì)算機(jī)之前進(jìn)行病毒掃描和過(guò)濾，可大幅降低病毒入侵風(fēng)險(xiǎn)。

2.2.3 數(shù)據(jù)和設(shè)備備份保護(hù)工作

對(duì)校園網(wǎng)來(lái)說(shuō)，一套完整的備份和恢復(fù)方案是迫切需要的。備份既指對(duì)校園網(wǎng)重要數(shù)據(jù)的備份，也指核心設(shè)備和線路的備份。對(duì)網(wǎng)站服務(wù)器，要配置網(wǎng)頁(yè)防篡改系統(tǒng)，以防止網(wǎng)站被更改；對(duì)校園網(wǎng)中的核心設(shè)備的系統(tǒng)配置要進(jìn)行備份，以便設(shè)備出故障時(shí)能及時(shí)恢復(fù)；對(duì)校園網(wǎng)中的核心線路要留有冗余，以便線路出故障時(shí)能立即啟用冗余線路以保證校園網(wǎng)絡(luò)主干的運(yùn)行。

3 結(jié)語(yǔ)

隨著社會(huì)的發(fā)展，網(wǎng)絡(luò)安全重要性日益凸顯，要建立一個(gè)現(xiàn)代化的數(shù)字網(wǎng)絡(luò)系統(tǒng)，必須解決安全問(wèn)題。校園網(wǎng)安全建設(shè)直接影響著高校的學(xué)術(shù)氛圍，也是衡量高校管理和監(jiān)督能力的重要指標(biāo)，因此校園網(wǎng)絡(luò)管理者必須有針對(duì)性地采取措施，全面防范，不能忽視任何細(xì)節(jié)和隱患，同時(shí)加強(qiáng)師生的教育，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全知識(shí)儲(chǔ)備，只有這樣才能更好地促進(jìn)高校網(wǎng)絡(luò)的發(fā)展進(jìn)步。