摘?要：隨著計算機和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展與普及，中學校園網(wǎng)建設(shè)水平獲得長足進展，在現(xiàn)代校園中網(wǎng)絡(luò)信息技術(shù)應(yīng)用范圍不斷擴大，從傳統(tǒng)的PC端再到移動端，多終端的信息流互通互聯(lián)給師生的教育教學工作和學習生活帶來了極大便利，與此同時校園網(wǎng)絡(luò)信息安全問題與風險也在增加。本文通過所在區(qū)域城區(qū)中小學校園網(wǎng)絡(luò)安全情況的了解，對其中存在的問題進行分析，并就如何增強校園網(wǎng)絡(luò)安全提出具體防范對策，文中包含筆者對當前校園網(wǎng)絡(luò)安全技術(shù)問題的看法和見解，探討有效防范與控制校園網(wǎng)絡(luò)安全風險的對策。

關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò)安全;分析;防范對策

校園網(wǎng)作為提高教育教學和管理質(zhì)量的重要手段，已經(jīng)成為學校教學與行政辦公最基本設(shè)施之一，它的安全問題直接與全校師生的教學和學習相關(guān)，沒有校園網(wǎng)絡(luò)的安全穩(wěn)定運行，教育教學工作就無法正常持續(xù)開展。特別是在城區(qū)的中小學校園不斷地往數(shù)字校園和智慧校園演進，其中涉及的網(wǎng)絡(luò)綜合布線更復(fù)雜，信息應(yīng)用系統(tǒng)更龐大，同時網(wǎng)絡(luò)安全問題也更為突出，一旦發(fā)生校園網(wǎng)絡(luò)安全事件，將極大影響全校師生的教育教學工作和學習生活。

一、 校園網(wǎng)絡(luò)安全現(xiàn)狀及問題

目前筆者所在區(qū)域城區(qū)中小學校的校園網(wǎng)絡(luò)主干線路都已經(jīng)實現(xiàn)光纖專線接入，因特網(wǎng)出口帶寬均達到百兆以上，校園樓宇樓層之間實現(xiàn)百兆甚至千兆對接，至少百兆到桌面，逐步實現(xiàn)千兆到終端，隨著教育信息化的發(fā)展，在城市一級的中小學校，已經(jīng)越來越重視數(shù)字校園的建設(shè)，有一些學校無線網(wǎng)絡(luò)已覆蓋校園，網(wǎng)絡(luò)建設(shè)投入力度大，用戶信息點多應(yīng)用系統(tǒng)范圍廣等，與此同時安全方面隱患問題也很突出，比如網(wǎng)絡(luò)黑客攻擊、計算機病毒感染、地震火災(zāi)、水災(zāi)斷電等自然災(zāi)害和人為原因等，經(jīng)過分析主要有如下幾方面的網(wǎng)絡(luò)安全問題。

（一）校園網(wǎng)絡(luò)安全制度不到位，網(wǎng)絡(luò)管理與技術(shù)能力不足

我國于2016年11月7日發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》并規(guī)定此法2017年6月1日起生效施行。許多學校投入大量資金建設(shè)數(shù)字校園或智慧校園，實現(xiàn)了校園網(wǎng)絡(luò)的信息化、數(shù)字化、智能化，雖然大部分學校有專門的網(wǎng)絡(luò)信息中心來統(tǒng)籌學校網(wǎng)絡(luò)的建設(shè)和管理，但重建設(shè)輕管理現(xiàn)象還比較突出，沒有建立完善的網(wǎng)絡(luò)安全管理規(guī)章制度，缺少專業(yè)并且固定的網(wǎng)絡(luò)管理人員，在技術(shù)能力方面存在不足。

（二）網(wǎng)絡(luò)架構(gòu)設(shè)計不合理

由于學校內(nèi)部缺乏專業(yè)技術(shù)力量支撐，很多中小學的校園網(wǎng)絡(luò)規(guī)劃很零散，只考慮最近需求，不考慮后續(xù)建設(shè)擴展，東建一塊西建一塊，沒有網(wǎng)絡(luò)整體架構(gòu)規(guī)劃設(shè)計思想。學校通常采用集成商承建的方式進行校園網(wǎng)建設(shè)，由于設(shè)計方案和具體施工主要交由集成商來負責，在設(shè)計的時候，集成商的整體設(shè)計思路可能存在缺陷，缺乏對整個校園網(wǎng)網(wǎng)絡(luò)安全需求的全面分析，以及和學校各科室部門網(wǎng)絡(luò)用戶的溝通不足，最終導致了校園網(wǎng)絡(luò)的設(shè)計方案與實際應(yīng)用存在偏差甚至不適用，特別是整體網(wǎng)絡(luò)架構(gòu)設(shè)計的不合理帶來了很大的安全隱患。

（三）網(wǎng)絡(luò)黑客攻擊與入侵

現(xiàn)在的網(wǎng)絡(luò)攻擊門檻很低，腳本小子可以輕易地在網(wǎng)絡(luò)上下載到自動化、傻瓜化的黑客工具，然后運行開始自動化掃描探測攻擊，針對某些未打漏洞補丁或者存在其他安全缺陷的機器進行入侵，被入侵后黑客非法獲取服務(wù)器或PC上的重要敏感數(shù)據(jù)，如教師和學生的身份信息、學生成績數(shù)據(jù)等。還有通過劫持信息、投放惡意代碼、DDOS等方式攻擊校園網(wǎng)站服務(wù)器和網(wǎng)絡(luò)設(shè)備，造成服務(wù)器癱瘓、門戶網(wǎng)站不能運行、網(wǎng)絡(luò)擁塞等，黑客攻擊手段花樣很多，所要達到的目的各不相同。校園內(nèi)部也會有網(wǎng)絡(luò)攻擊的問題，有極個別學生受好奇心驅(qū)使然后利用網(wǎng)上現(xiàn)成的黑客工具，對本校的門戶網(wǎng)站或其他信息系統(tǒng)進行攻擊入侵，并非法訪問服務(wù)器和相關(guān)信息系統(tǒng)，目的是為了修改數(shù)據(jù)或者炫耀自己掛一張黑頁，甚至破壞信息系統(tǒng)，造成很壞的影響。

（四）計算機病毒入侵

計算機病毒是所有網(wǎng)絡(luò)正常穩(wěn)定運行最大的一個威脅，它是對計算機和網(wǎng)絡(luò)具有破壞作用的一段惡意代碼，常見的傳播方式有：利用瀏覽器漏洞定點投毒;潛藏在U盤等移動存儲介質(zhì)里面;把惡意病毒代碼捆綁在應(yīng)用軟件放到網(wǎng)絡(luò)上提供下載;通過被控制的計算機主動掃描薄弱機器進一步傳播;利用發(fā)送特定惡意代碼病毒郵件進行釣魚攻擊傳播等等。以上各種手段傳播的計算機病毒在條件合適的時候就會被激活執(zhí)行。計算機病毒會對系統(tǒng)資源進行破壞，輕則計算機運行速度變很慢，重則網(wǎng)絡(luò)堵塞、操作系統(tǒng)崩潰、設(shè)備硬件損壞、整個網(wǎng)絡(luò)陷入癱瘓狀態(tài)。

（五）軟件系統(tǒng)存在缺陷和漏洞

我們知道任何軟件系統(tǒng)，比如操作系統(tǒng)和應(yīng)用軟件多少都會存在一些已知或未知的漏洞，驗證一句話就是系統(tǒng)應(yīng)用的多，使用的人多，發(fā)現(xiàn)的漏洞也會多。當前中小學校園里的計算機95%以上使用的都是Windows系列操作系統(tǒng)，該操作系統(tǒng)在全球范圍都是絕對主流的操作系統(tǒng)，用戶數(shù)量龐大，使用和研究它的人非常多，是極客和黑客分析找漏洞的最主要目標之一，一旦黑客找到漏洞，他們就會想方設(shè)法編寫利用程序（也稱為Exploit Code）來攻擊存在漏洞的計算機或者網(wǎng)絡(luò)終端。其他非Windows操作系統(tǒng)主要用在服務(wù)器領(lǐng)域，比如Linux/UNIX操作系統(tǒng)，雖然這些操作系統(tǒng)相對較安全，但也同樣也存在不少缺陷和漏洞。除了操作系統(tǒng)存在漏洞，應(yīng)用級別的軟件也同樣會存在缺陷漏洞，比如IE、FireFox、Chrome瀏覽器，微軟Office辦公軟件、下載工具、聊天程序等應(yīng)用軟件，它們同樣也存在風險。

二、 校園網(wǎng)絡(luò)安全防范對策

（一）健全校園網(wǎng)絡(luò)安全制度，增強網(wǎng)絡(luò)安全意識

保障校園網(wǎng)絡(luò)信息安全除了專門的網(wǎng)管人員和自動化技術(shù)手段外，規(guī)范的規(guī)章制度與管理制度才是根本。學校應(yīng)根據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護制度2.0標準》等法律法規(guī)及標準文件，制定出適合本?？尚械男@網(wǎng)絡(luò)安全管理規(guī)章制度和執(zhí)行辦法，成立專門的以校長一把手為組長的網(wǎng)絡(luò)安全領(lǐng)導小組，在強有力的機構(gòu)保障下，后續(xù)網(wǎng)絡(luò)安全工作才好開展，才能做實做細。校園網(wǎng)的網(wǎng)絡(luò)樞紐重地中心機房，應(yīng)針對機房的防火、防水以及網(wǎng)絡(luò)攻擊入侵等安全事件，制定出周全的應(yīng)急處理預(yù)案，并定期開展預(yù)案的實操演練，不斷提高網(wǎng)絡(luò)安全事件的應(yīng)急處理能力。通過專門的會議、培訓或者講座，對全校教職員工和學生進行網(wǎng)絡(luò)安全宣傳，持續(xù)增強校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識。在日常網(wǎng)絡(luò)使用中，不隨意打開來歷不明的鏈接地址、可執(zhí)行文件和電子郵件等操作;不隨意從因特網(wǎng)上下載安裝軟件;U盤等移動存儲介質(zhì)使用時注意安全掃描，防止通過U盤傳播計算機病毒;不同用途的系統(tǒng)登錄賬號，設(shè)置不同的密碼，同時密碼長度和強度要達到一定的復(fù)雜度要求。

（二）規(guī)劃好網(wǎng)絡(luò)整體架構(gòu)，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。

在進行校園網(wǎng)建設(shè)時要有整體規(guī)劃思想，為了避免規(guī)劃設(shè)計的不合理和片面性，應(yīng)該在前期調(diào)研物色一家專業(yè)的校園網(wǎng)絡(luò)規(guī)劃設(shè)計可研機構(gòu)，讓專業(yè)的公司和專業(yè)人員來做網(wǎng)絡(luò)架構(gòu)整體合理規(guī)劃的工作，這樣有利于后續(xù)一系列依托該網(wǎng)絡(luò)架構(gòu)的應(yīng)用和拓展建設(shè)，避免出現(xiàn)混亂和重復(fù)建設(shè)情況，節(jié)省資金和人力物力的浪費投入。網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化可以考慮用核心交換機的VLAN功能合理劃分虛擬局域網(wǎng)，把不同樓宇和使用用途的網(wǎng)段邏輯上獨立出來，保障了校園內(nèi)部局域網(wǎng)的安全，在某個網(wǎng)段出問題，不至于影響全校的網(wǎng)絡(luò)運行，提高了網(wǎng)絡(luò)安全水平。

（三）部署硬件防火墻和入侵檢測系統(tǒng)

部署硬件網(wǎng)絡(luò)防火墻在校園網(wǎng)與英特網(wǎng)之間構(gòu)筑一道特殊的防護墻，對內(nèi)對外進行訪問策略控制，通過前期對內(nèi)部應(yīng)用系統(tǒng)和終端的使用范圍劃分，以此設(shè)置對外訪問和外界對內(nèi)部訪問的策略控制。有了網(wǎng)絡(luò)硬件防火墻，就可以保護我們的內(nèi)部網(wǎng)絡(luò)不會輕易地受到外部網(wǎng)絡(luò)黑客的攻擊，假如黑客的技術(shù)非常高超，那么這道防護墻無形當中提高了許多攻擊成本。

應(yīng)用入侵檢測系統(tǒng)（IDS）對網(wǎng)絡(luò)傳輸數(shù)據(jù)流進行檢測監(jiān)控，它會對數(shù)據(jù)包進行拆解，當發(fā)現(xiàn)有異常的網(wǎng)絡(luò)攻擊數(shù)據(jù)流和規(guī)則匹配時，將啟動保護機制模塊，把攻擊行為攔截下來，不作進一步傳輸并把日志記錄下來給網(wǎng)絡(luò)管理人員發(fā)送告警信息。入侵檢測系統(tǒng)可以在網(wǎng)絡(luò)出現(xiàn)問題時得到及時有效處理，提高網(wǎng)絡(luò)安全事件應(yīng)急處置能力，保護校園網(wǎng)內(nèi)的軟資產(chǎn)不被非法攻擊入侵和竊取。

（四）部署網(wǎng)絡(luò)殺毒軟件

計算機病毒在網(wǎng)絡(luò)中傳播速度非?？炱茐男砸埠軓?，校園的終端點多面廣，根據(jù)實際情況可以考慮部署能集中統(tǒng)一管理的網(wǎng)絡(luò)版殺毒軟件。校園辦公和機房計算機數(shù)量比較多，如果是單機安裝維護，勢必造成運維煩瑣費時費力，因此選擇使網(wǎng)絡(luò)版殺毒軟件是合適的，把核心殺毒引擎安裝在專人維護的服務(wù)器中，校園網(wǎng)終端只需安裝指定的客戶端程序，便可實現(xiàn)對校園所有聯(lián)網(wǎng)的計算機實施統(tǒng)一查殺工作。作為網(wǎng)絡(luò)安全運維人員只需對服務(wù)器端的殺毒引擎進行專業(yè)維護即可，這樣就能一處及時更新病毒庫和特征碼就能實現(xiàn)全校的自動更新，極大地提高了計算機病毒防控和查殺能力。

（五）及時更新設(shè)備系統(tǒng)與應(yīng)用程序，完善數(shù)據(jù)備份機制

校園網(wǎng)絡(luò)中相關(guān)設(shè)備很多，比如核心交換機、路由器、服務(wù)器、防火墻、入侵檢測、行為管理以及辦公和教學用PC等，它們的軟件版本都是動態(tài)變化的，版本升級與更新速度很快。這么多系統(tǒng)軟件和應(yīng)用程序，它們在使用過程中會被不斷地挖掘出缺陷和漏洞，為了與黑客賽跑爭取時間，必須做到及時更新系統(tǒng)與應(yīng)用程序的版本和補丁。

做好數(shù)據(jù)備份是校園網(wǎng)絡(luò)數(shù)據(jù)安全當中非常重要的工作，而且要做到多種備份方式并行，包括本地備份、本地異機備份和遠程異地備份等。本地備份是數(shù)據(jù)災(zāi)備最重要的一個環(huán)節(jié)，如果是門戶站點的數(shù)據(jù)盡量做到雙活熱備，即使是受到黑客攻擊也可以立即切換服務(wù)器，保障門戶服務(wù)不間斷;如果是個人自身的重要數(shù)據(jù)，可以通過本機或者移動存儲介質(zhì)進行多模式備份，總之有備無患這是最重要的。

三、 網(wǎng)絡(luò)空間安全感想

計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用，給我們的工作和生活不但提供了極大的便利，并且提高了工作效率和生活水平。近年來校園網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化應(yīng)用程度的不斷提高，給師生的教育和學習帶來深刻的變革，讓我們切身感受到離開校園網(wǎng)我們的教育教學工作將無法順利開展，因此確保校園網(wǎng)絡(luò)安全是一項非常重要的工作。本文從中小學校園網(wǎng)絡(luò)特點出發(fā)分析了當前校園網(wǎng)絡(luò)安全存在的問題以及面臨的威脅，并提出防范網(wǎng)絡(luò)安全問題的具體對策和措施，希望能在校園網(wǎng)絡(luò)安全建設(shè)，確保校園網(wǎng)安全穩(wěn)定運行工作中提供一些借鑒作用。沒有網(wǎng)絡(luò)安全就沒有國家安全，在這邊我們可以說沒有網(wǎng)絡(luò)安全就沒有校園安全，網(wǎng)絡(luò)安全將是一個持續(xù)不斷的話題。

作者簡介：鄒文筆，福建省漳州市，漳州市教育裝備中心（漳州市電化教育館）。