羅東芳

摘 要：本文通過研究高校多校區(qū)校園網(wǎng)安全方面的相關(guān)資料，以信息安全理論為基礎(chǔ)，結(jié)合高校多校區(qū)校園網(wǎng)建設(shè)狀況，指出應(yīng)在物理安全、網(wǎng)絡(luò)運(yùn)行安全、信息安全及安全管理等方面實(shí)施安全措施，提出了全面的安全防護(hù)策略。

關(guān)鍵詞：多校區(qū)；校園網(wǎng)；信息安全；安全防護(hù)策略

一、多校區(qū)信息安全的現(xiàn)狀

隨著我國高等教育體制改革的逐步推進(jìn)，高校招生規(guī)模逐年擴(kuò)大，帶來了校區(qū)建設(shè)的種種問題，如受原校區(qū)周邊環(huán)境限制，多數(shù)學(xué)校都建設(shè)了新校區(qū)。從而造成了一校多區(qū)的現(xiàn)狀，河南省大多高校也存在著這種現(xiàn)象。但是在我國，隨著校園網(wǎng)建設(shè)的深入和網(wǎng)絡(luò)業(yè)務(wù)的日漸豐富，多校區(qū)大學(xué)的校園網(wǎng)絡(luò)建設(shè)也面臨著諸多問題。網(wǎng)絡(luò)將常承受上萬人同時在線的壓力；不同的校區(qū)往往由不同的學(xué)校轉(zhuǎn)化而來，相互之間校園網(wǎng)建設(shè)標(biāo)準(zhǔn)、發(fā)展進(jìn)程、管理模式都不盡相同，網(wǎng)絡(luò)設(shè)備之間的兼容性和安全性需要重新規(guī)劃；最后，在校園網(wǎng)重新規(guī)劃升級后，節(jié)點(diǎn)增多，網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜，更加需要統(tǒng)一的網(wǎng)絡(luò)管理。

高校數(shù)字信息資源是指以數(shù)字化形式存在的各種資源內(nèi)容的集合，這些資源中相當(dāng)一部分以零散、隱蔽的形式存在各校區(qū)各部門網(wǎng)絡(luò)環(huán)境和個人計算機(jī)中，甚至存在于學(xué)生或?qū)＜覀€人的主頁和博客。信息資源的離散性、隱蔽性和自由性給信息資源管理帶來復(fù)雜性。

多校區(qū)高校的信息安全體系的建立，是一項(xiàng)復(fù)雜的系統(tǒng)工程，只有從工程角度系統(tǒng)分析和設(shè)計，才能有效地為高校構(gòu)架一個安全的信息管理體系。所以，多校區(qū)的信息安全不是一個單純的技術(shù)問題，而是安全技術(shù)、安全策略和安全管理的綜合，信息安全的研究工作“任重而道遠(yuǎn)”。

二、多校區(qū)信息安全隱患及成因

在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，數(shù)字信息面臨的挑戰(zhàn)是多種多樣的?？陀^因素上：網(wǎng)絡(luò)信息泛濫、信息虛假、病毒猖狂、惡意代碼、侵犯知識產(chǎn)權(quán)等現(xiàn)象仍未得到有效的解決；主觀因素上：普遍網(wǎng)絡(luò)用戶的安全意識薄弱；使得技術(shù)或信息的無意泄露、管理存在漏洞等；技術(shù)角度上：存在創(chuàng)新性不強(qiáng)，軟件和硬件過度依賴的現(xiàn)象。這些因素中，人為因素往往容易被忽視，而據(jù)有關(guān)經(jīng)調(diào)查顯示，由于“人禍”所造成的損失達(dá)到80%以上。隨著云計算技術(shù)和web2.0技術(shù)的廣泛應(yīng)用，對信息安全技術(shù)提出了更高的要求。本文擬對數(shù)據(jù)歸類并分析問題點(diǎn)如下：

（1）物理安全問題。校園網(wǎng)硬件物理設(shè)備的放置是否合適、規(guī)范措施是否健全、防范措施是否得力、網(wǎng)絡(luò)互聯(lián)設(shè)備和服務(wù)器的軟硬件資源配備是否合理。網(wǎng)絡(luò)資源是否易遭受自然災(zāi)害、意外事故或人為破壞，從而造成校園網(wǎng)不能正常運(yùn)行。物理安全問題。（2）技術(shù)人員素質(zhì)。考察是否有由于高校網(wǎng)絡(luò)技術(shù)人員水平參差不齊，信息安全意識不強(qiáng)，從而導(dǎo)致諸如在使用過程中使計算機(jī)病毒侵入、系統(tǒng)損壞等現(xiàn)象，技術(shù)人員是否有及時備份信息、處理突發(fā)事件的能力等。（3）網(wǎng)絡(luò)安全漏洞。即使物理設(shè)施安全完備，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都存在難以避免的安全漏洞。許多校園網(wǎng)絡(luò)擁有

WWW、郵件、數(shù)據(jù)庫等服務(wù)器，還有重要的教學(xué)服務(wù)器，對于非專業(yè)人員來說，無法確切了解和解決每個服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞及校園網(wǎng)邊界安全等問題。（4）多出口問題。原來各個校區(qū)有獨(dú)立的到互聯(lián)網(wǎng)絡(luò)的出口，而隨著多校合并、新校區(qū)建設(shè)等，使得一個學(xué)校有多個出口，而甚至一個校區(qū)幾個出口，網(wǎng)絡(luò)安全設(shè)備的投入和管理的標(biāo)準(zhǔn)是否統(tǒng)一，多出口信息安全問題是否從整體上考慮。（5）安全制度問題。各高校是否具備系統(tǒng)的管理思路和完整統(tǒng)一的安全策略，是否具有完善的、切實(shí)可行的管理和技術(shù)規(guī)范以及規(guī)章制度，是否具有安全評估制度。（6）網(wǎng)絡(luò)安全等級差異問題。擬將高校信息三個等級，分別是自主保護(hù)級、系統(tǒng)審計保護(hù)級和安全標(biāo)記保護(hù)級。一級即自主保護(hù)級包含教務(wù)、就業(yè)、黨籍、團(tuán)籍、離退休信息等。二級即系統(tǒng)審計保護(hù)級包含招生、學(xué)籍、圖書、科研信息等。三級即安全標(biāo)記保護(hù)級包含檔案管理、人事勞資管理、財務(wù)管理、資產(chǎn)管理信息。（7）人為因素。從管理層面來講，管理人員是否具備信息保密意識、是否對工作人員進(jìn)行信息安全教育，是否對本部門的安全等級做出規(guī)范；從用戶層面來講，是否具有異常情況敏感性，是否具有信息使用和管理的安全意識，是否存在對內(nèi)外交流過程中無意泄密的因素存在。

三、多校區(qū)信息安全的策略

（一）安全目標(biāo)。①保證整個網(wǎng)絡(luò)的正常運(yùn)行，尤其在遭受黑客攻擊的情況下；②保證信息數(shù)據(jù)的完整性和保密性，在網(wǎng)絡(luò)傳輸時數(shù)據(jù)不被修改和不被竊??；③具有科學(xué)的安全風(fēng)險評估；④保證網(wǎng)絡(luò)的穩(wěn)定性，安全措施不形成網(wǎng)絡(luò)的負(fù)擔(dān)而且提供全天候滿意服務(wù)和應(yīng)用；⑤構(gòu)筑“綠色網(wǎng)絡(luò)”，杜絕反動和不良信息的傳播。

（二）安全策略。解決安全的策略問題需要從高校需求出發(fā)，本文擬從高校安全目標(biāo)、安全級別、安全范圍三個方面入手分析目前高校數(shù)字信息面臨的挑戰(zhàn)和急需解決的問題，以形成需求。進(jìn)一步以需求出發(fā)制定行之有效的策略，主要從三個大的方面闡述，如圖1所示。

（1）保障物理安全。首先要制定完善的安全規(guī)范管理制度，它是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為破壞事故的規(guī)范。其目的是保護(hù)計算機(jī)系統(tǒng)、web 服務(wù)器等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和攻擊等。（2）統(tǒng)一端口。多條互聯(lián)網(wǎng)出口，可以對校園網(wǎng)內(nèi)部訪問外部資源的流量進(jìn)行負(fù)載分流和相應(yīng)備份。但是多校區(qū)校園網(wǎng)的多出口更易受到病毒感染和網(wǎng)絡(luò)攻擊，為保護(hù)校園網(wǎng)抵御黑客和惡意軟件的入侵，可以在出口配置防火墻，在校園網(wǎng)內(nèi)部建立信息網(wǎng)絡(luò)監(jiān)測系統(tǒng)，對關(guān)鍵區(qū)域的信息流向進(jìn)行動態(tài)監(jiān)測，及時發(fā)現(xiàn)非法及異常行為，對緊急安全事件快速攔截，對可疑流量進(jìn)行測試，并對校園網(wǎng)實(shí)施訪問認(rèn)證、端口掃描、安全審計等技術(shù)措施，防范校園信息資源被非法訪問、篡改和破壞。（3）避免安全漏洞。為保障多校區(qū)校園網(wǎng)的信息安全，必須做好校園網(wǎng)系統(tǒng)漏洞及補(bǔ)丁管理。可建立多校區(qū)校園網(wǎng)絡(luò)信息安全服務(wù)網(wǎng)站，發(fā)布計算機(jī)系統(tǒng)安全漏洞公告，分發(fā)安全補(bǔ)丁并提供WSUS 服務(wù)等。（4）建立完善的安全管理制度。安全管理策略包括確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度，建立值班制度、密碼管理以及應(yīng)急措施等；明確系統(tǒng)管理員、網(wǎng)絡(luò)管理員及系統(tǒng)運(yùn)行維護(hù)人員的分工和職責(zé)范圍。同時還需要加強(qiáng)校園網(wǎng)絡(luò)信息安全宣傳和培訓(xùn)力度，更好地普及信息網(wǎng)絡(luò)安全知識，增強(qiáng)應(yīng)對網(wǎng)絡(luò)安全事故的處理與應(yīng)急能力。（5）備份。設(shè)備和線路的備份可根據(jù)網(wǎng)絡(luò)運(yùn)行的故障率準(zhǔn)備一定冗余，在網(wǎng)絡(luò)某部分發(fā)生故障時，其他部分可自行啟用或迅速切換。為管理的方便和數(shù)據(jù)的安全，將教務(wù)教學(xué)信息、圖書信息、視頻信息和其他管理信息等集中，統(tǒng)一部署數(shù)據(jù)備份方案。（6）訪問控制策略。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。采用入網(wǎng)訪問控制，網(wǎng)絡(luò)的權(quán)限控制，目錄級安全控制，屬性安全控制等策略。

參考文獻(xiàn)：

[1] 常艷，王冠.網(wǎng)絡(luò)安全滲透測試研究[J].信息網(wǎng)絡(luò)安全，2012，（11）：3-4.

[2] 魏為民，袁仲雄.網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實(shí)踐[J].信息網(wǎng)絡(luò)安全，2012，（12）：53-56.