◆刁曉婧

（國防大學(xué)教研保障中心信息技術(shù)室 北京 10091）

校園網(wǎng)是高校重要的信息平臺，它以良好的開放性、交互性和豐富的信息資源而受到廣泛的歡迎。作為一個重要的平臺，它在服務(wù)、科研、教學(xué)等方面發(fā)揮著重要的作用，對豐富師生的精神文化生活、提高學(xué)校知名度等方面也起到了積極的作用。由于計算機(jī)網(wǎng)絡(luò)本身的開放性，網(wǎng)絡(luò)病毒和安全漏洞頻出，網(wǎng)絡(luò)攻擊手段越來越簡單，校園網(wǎng)在實際運行中遇到了許多安全威脅，嚴(yán)重影響了高校的正常運行。針對這一現(xiàn)象，必須樹立安全意識，重視網(wǎng)絡(luò)安全，找出網(wǎng)絡(luò)系統(tǒng)頻遭攻擊的原因，并結(jié)合實際提出有效的解決方案，使高校網(wǎng)絡(luò)回歸安全，更好地為師生服務(wù)。

1 校園網(wǎng)絡(luò)安全問題分析

1.1 學(xué)校認(rèn)識不足

各高校為了學(xué)校的教學(xué)、科研，以及學(xué)生學(xué)習(xí)生活的需要，基本上都建立了千兆主干、百兆桌面，甚至萬兆主干、高帶寬的校園網(wǎng)，網(wǎng)絡(luò)給師生帶來了方便，同時也大大增加了網(wǎng)絡(luò)安全日常管理的難度。在網(wǎng)絡(luò)設(shè)計之初，學(xué)校常常注重網(wǎng)絡(luò)的實用和高效，而忽略網(wǎng)絡(luò)安全問題，建設(shè)資金重點用在關(guān)鍵網(wǎng)絡(luò)、信息化硬件設(shè)備和軟件系統(tǒng)的投入，對網(wǎng)絡(luò)安全方面的投入不足，缺少必要的網(wǎng)絡(luò)安全管理設(shè)備和軟件，致使網(wǎng)絡(luò)安全隱患嚴(yán)重。

現(xiàn)代校園網(wǎng)系統(tǒng)的正常運行和各項功能的順利實現(xiàn)，離不開軟件系統(tǒng)和硬件設(shè)備的日常管理維護(hù)[1]和合理配置。由于學(xué)校網(wǎng)絡(luò)管理員一般身兼多職，日常維護(hù)任務(wù)繁重，專業(yè)技術(shù)普遍存在全而不精的情況。如對交換機(jī)、防火墻、服務(wù)器采用粗放式管理，缺少嚴(yán)謹(jǐn)?shù)陌踩呗耘渲?。還有的院校機(jī)房長期缺乏必要的維護(hù)，也沒有相應(yīng)的應(yīng)急保障機(jī)制，這些都導(dǎo)致校園網(wǎng)絡(luò)安全問題日益突出。

1.2 系統(tǒng)與應(yīng)用軟件漏洞隱患

軟件漏洞是軟件編寫過程的不可避免的產(chǎn)物，校園網(wǎng)各類系統(tǒng)和應(yīng)用軟件許多都是內(nèi)部使用，部分軟件系統(tǒng)沒有經(jīng)過用戶長時間的測試評估。還有的操作系統(tǒng)軟件缺乏更新維護(hù)，有的各個系統(tǒng)之間經(jīng)常出現(xiàn)兼容性問題，這些都不可避免地造成系統(tǒng)軟件漏洞的隱患。如2016年的開始 一種“蠕蟲式”的勒索病毒軟件，由不法分子利用NSA（National Security Agency美國國家安全局）泄露的系統(tǒng)危險漏洞“EtemalBlue”（永恒之藍(lán)）[3]，利用445端口進(jìn)行攻擊，導(dǎo)致感染病毒，用戶所有文檔全部加密，想要打開文檔需要支付比特幣。運營商對個人用戶封掉445端口，但是教育網(wǎng)沒有封，所以導(dǎo)致此病毒在高校大爆發(fā)。

1.3 黑客入侵日益頻繁

“黑客”一詞是由英語Hacker音譯出來的，是指專門研究發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)漏洞的愛好者。由于校園網(wǎng)規(guī)模較大，各種設(shè)備系統(tǒng)有很大差異，相對商業(yè)和政府網(wǎng)絡(luò)防范能力較弱，同時信息資源比較豐富，從而吸引了一部分黑客的攻擊。例如2016年清華大學(xué)教學(xué)門戶遭受黑客攻擊，當(dāng)用戶點擊部分頁面點擊時，內(nèi)容為伊斯蘭教經(jīng)文并伴有音樂，事發(fā)后學(xué)校迅速關(guān)閉服務(wù)器，阻止進(jìn)一步傳播。雖然被攻擊的網(wǎng)站對學(xué)生影響不大，但對學(xué)校聲譽(yù)造成了不利的影響。

2 高校校園網(wǎng)絡(luò)安全問題對策

2.1 提升校園網(wǎng)運行機(jī)制和管理能力

2.1.1 加強(qiáng)用戶教育培訓(xùn)，提高專業(yè)管理隊伍的素養(yǎng)

加強(qiáng)網(wǎng)絡(luò)安全宣傳教育，提升網(wǎng)絡(luò)安全意識和基本技能，是構(gòu)筑網(wǎng)絡(luò)安全的第一道防線。加強(qiáng)學(xué)生網(wǎng)絡(luò)道德教育，真正地凈化校園網(wǎng)絡(luò)，通過教育與宣傳相結(jié)合，教師和學(xué)生能夠正確理解有關(guān)網(wǎng)絡(luò)安全的一些法律法規(guī)，掌握一定的防范技能，為教師和學(xué)生營造一個良好的學(xué)習(xí)生活環(huán)境。

各高校要加強(qiáng)對現(xiàn)有網(wǎng)絡(luò)管理技術(shù)人員的培訓(xùn)，通過理論授課及實踐操作相結(jié)合的培訓(xùn)方式，不斷提高他們應(yīng)對網(wǎng)絡(luò)安全問題的能力和水平，高水平的網(wǎng)絡(luò)管理人員能夠根據(jù)校園網(wǎng)的實際安全狀況設(shè)置權(quán)限口令，應(yīng)急處理各類事故保持校園網(wǎng)暢通。

2.1.2 健全校園網(wǎng)各類安全防范管理制度，建立應(yīng)急響應(yīng)預(yù)案

“沒有規(guī)矩不成方圓”各高校需要制定出一套完整有效的安全管理制度，如校園網(wǎng)網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)安全管理崗位職責(zé)、校園網(wǎng)信息發(fā)布與管理制度、病毒防治管理制度、校園網(wǎng)用戶安全守則及處罰辦法等，并嚴(yán)格執(zhí)行才能打造出一個純凈和諧的校園網(wǎng)絡(luò)空間。

未雨綢繆，各高校應(yīng)設(shè)立信息網(wǎng)絡(luò)安全應(yīng)急處理小組，負(fù)責(zé)信息網(wǎng)絡(luò)安全事件的組織指揮和應(yīng)急處置工作。一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全事故，迅速上報事件的書面報告，由網(wǎng)絡(luò)應(yīng)急領(lǐng)導(dǎo)小組啟動相應(yīng)的防護(hù)預(yù)案，相關(guān)人員及時到位，判斷分析事故原因，阻斷網(wǎng)絡(luò)連接，進(jìn)行現(xiàn)場保護(hù)，協(xié)助調(diào)查取證和系統(tǒng)恢復(fù)等工作。在事件抑制后，要對相關(guān)事件進(jìn)行跟蹤，密切關(guān)注其動向直到徹底阻斷。

2.2 提高技術(shù)防范能力

2.2.1 制定合理的訪問控制和區(qū)域控制策略

網(wǎng)絡(luò)管理者要充分利用學(xué)?，F(xiàn)有資源，通過對交換機(jī)、路由設(shè)備、防火墻等基礎(chǔ)網(wǎng)絡(luò)設(shè)備制定合理的訪問控制策略，提高網(wǎng)絡(luò)安全防護(hù)能力。

根據(jù)學(xué)校網(wǎng)絡(luò)環(huán)境，考慮防火墻的合理部署模式，利用防火墻把網(wǎng)絡(luò)劃分為不同安全級別，分區(qū)域進(jìn)行管理，對內(nèi)外網(wǎng)以及內(nèi)網(wǎng)不同區(qū)域間訪問制定嚴(yán)謹(jǐn)?shù)脑L問控制策略。為方便學(xué)校人員外出時通過互聯(lián)網(wǎng)訪問學(xué)校內(nèi)網(wǎng)，又確保網(wǎng)絡(luò)安全，學(xué)?？梢圆捎肰PN的方式，并利用加密設(shè)備對通訊數(shù)據(jù)進(jìn)行加密處理，實現(xiàn)信息安全的效果。高校內(nèi)部可以根據(jù)樓宇或部門來劃VLAN，通過路由設(shè)備等進(jìn)行VLAN之間互聯(lián)，使得各個樓宇或部門之間互不侵?jǐn)_。一方面起到隔離廣播數(shù)據(jù)，另一方面起到保護(hù)重要區(qū)域數(shù)據(jù)安全作用。同時也可以采用訪問控制列表（ACL），在交換或路由設(shè)備上設(shè)置源和目的的訪問規(guī)則，有針對性地對目標(biāo)設(shè)備進(jìn)行保護(hù)。如對核心設(shè)備的訪問、對某種應(yīng)用基于端口的訪問、設(shè)置部分管理的電腦的訪問權(quán)限等。

2.2.2 增強(qiáng)病毒防護(hù)系統(tǒng)

采用一套完善的防病毒系統(tǒng)，不僅要通過桌面防病毒系統(tǒng)，對高校的服務(wù)器及工作站進(jìn)行有效的病毒防護(hù)，還要在Internet邊界處部署網(wǎng)關(guān)防病毒系統(tǒng)，可以針對SMTP、POP、FTP以及HTTP等協(xié)議進(jìn)行病毒過濾，在數(shù)據(jù)到達(dá)終端計算機(jī)之前進(jìn)行病毒掃描和過濾，可大幅降低病毒入侵風(fēng)險。

2.2.3 數(shù)據(jù)和設(shè)備備份保護(hù)工作

對校園網(wǎng)來說，一套完整的備份和恢復(fù)方案是迫切需要的。備份既指對校園網(wǎng)重要數(shù)據(jù)的備份，也指核心設(shè)備和線路的備份。對網(wǎng)站服務(wù)器，要配置網(wǎng)頁防篡改系統(tǒng)，以防止網(wǎng)站被更改；對校園網(wǎng)中的核心設(shè)備的系統(tǒng)配置要進(jìn)行備份，以便設(shè)備出故障時能及時恢復(fù)；對校園網(wǎng)中的核心線路要留有冗余，以便線路出故障時能立即啟用冗余線路以保證校園網(wǎng)絡(luò)主干的運行。

3 結(jié)語

隨著社會的發(fā)展，網(wǎng)絡(luò)安全重要性日益凸顯，要建立一個現(xiàn)代化的數(shù)字網(wǎng)絡(luò)系統(tǒng)，必須解決安全問題。校園網(wǎng)安全建設(shè)直接影響著高校的學(xué)術(shù)氛圍，也是衡量高校管理和監(jiān)督能力的重要指標(biāo)，因此校園網(wǎng)絡(luò)管理者必須有針對性地采取措施，全面防范，不能忽視任何細(xì)節(jié)和隱患，同時加強(qiáng)師生的教育，增強(qiáng)網(wǎng)絡(luò)安全意識，提高網(wǎng)絡(luò)安全知識儲備，只有這樣才能更好地促進(jìn)高校網(wǎng)絡(luò)的發(fā)展進(jìn)步。