教育信息网络安全问题及其应对策略

王喜东+路兆铭+温向明+赵君

摘要：信息技术的发展深刻影响着国家教育方针、人才培养策略的制定，为了有效应对信息技术的高速发展，我国于2012年提出了“三通两平台”的教育信息化建设目标，教育信息网络的基础建设是教育信息化发展的基石，本着有线无线一体化管理思路，该文分析了教育信息网络发展过程中出现的安全问题，同时提出了相应的安全应对策略，为“三通两平台”的建设保驾护航。

关键词：三通两平台；教育信息网络；安全问题及应对策略

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）10-0047-02

为了在新环境下，在现有的教育信息化基础设施的基础上，有效地应对信息技术的发展对教育事业的影响，进一步完善教育信息化基础设施，更新国家人才培养策略，我国于2012年提出了“三通两平台”的教育信息化建设目标[1，2]。

由于使用教育信息网络的多为教职人员以及各中、小学以及高校的在校学生，这些学生对网络资源的需求非常高，对网络信息的好奇性非常强，同时考虑教育信息网络共享资源多为教育资源，这些资源的优良程度关系到国家人才培养的最终质量。

鉴于教育信息网络的特殊性，及其主要依托的无线校园网络的安全性不是太高，教育信息网络极易受到网络黑客攻击，产生安全问题，因此在推动“三通两平台”建设的过程中，教育信息网络的安全问题不容忽视。本文就以“三通两平台”的建设宗旨出发，分析了教育信息网络潜在的安全问题，并提出了相应的应对策略，为“三通两平台”的建设保驾护航。

1 “三通两平台”建设

“三通两平台”是教育部“十二五”期间教育信息化核心目标，其本质是创新教育信息发展机制，提高教育信息化发展水平，不断促进信息技术与教育教学的深度融合，进一步将信息技术变革的优良产物深入应用到教学实践活动中，提高人才培养的质量和效率，最终达到提升我国综合国力的目标[1-3]。

“三通两平台”中三通包括“宽带网络校校通”、“优质资源班班通”以及“网络学习空间人人通”，三通具体内涵可以表述如下[4，5]：

“宽带网络校校通”：基于学校教育信息化软硬件基础设施建设，2015年之前基本解决各级各类学校宽带接入问题，初步完成各级各类学校网络条件下基本的教学和学习环境建设，在以校为本的教育信息化网络中不仅通宽带，最重要的是要通资源，达到各级各类学校教学资源的有效共享。

“优质资源班班通”：加强优质数字资源的建设，形成丰富的各级各类优质教学资源，并且将这些资源送到每一个班级，在教学、学习过程中得到普遍使用，实现虚拟教育资源的有效共享和互补。

“网络学习空间人人通”：加强信息技术应用能力建设，逐步为学生和教师建立网络学习空间。大力开展跨区域网络协作教研，促进技术与教学实践的融合落实到每个教师和学生的日常教学、学习活动之中，创新教学模式。

“三通两平台”中两平台包括数字教育资源公共服务平台和教育管理信息系统平台[4，5]。数字教育资源公共服务平台是一个集合了学生学习资源、教师教学资源的教育资源云服务平台，是为了达到教育资源互通及互补的目的而建立。教育管理信息系统平台也就是学校中使用的办公、门户、教务等信息化系统平台，该平台的建设要为各级各类学校提供校务管理服务，为地方各级教育行政部门提供教育基础信息管理和决策支持，为社会公众提供教育公共信息服务，同时其在一定程度上有资源共享的作用。

“三通两平台”将以“两平台”作为基础，并且紧紧围绕各级各类教育质量水平的提升，通过信息化建设不断加强并完善优质教育资源开发与应用。

2教育信息网络安全问题

随着无线网络的大规模部署及信息技术的高速发展，无线网络安全问题日益严重。不同于一般无线网络，教育信息网络共享的资源主要是教学资源，参与的用户主要是教职工和学生，教育信息网络的安全关系到国家人才培养的质量和效率，因此在“三通两平台”的建设中急需关注教育信息网络的安全问题，安全问题主要包括以下几个方面[6-8]：

安全问题一：用户身份认证

由于教育信息网络拥有特定的使用人群，一般来说局限于学生、教职工、相关教育信息工作者，因此需要对接入教育信息网络的用户进行认证。同时由于教育信息网络的开放性以及三通两平台中多个学校间教育信息网络互联互通的特点，登陆无线校园网络的用户身份就容易被非法的、未授权的用户篡改或者盗用。非法用户可以伪装成合法用户，侵入教育信息网络，盗用教育信息网络资源，篡改网络数据库信息，在其中加入不良信息，影响学生身心健康发展，对教学工作产生负面影响。

安全问题二：网络攻击

由于网络的互联互通性，教育信息网络势必会受到网络病毒的污染及网络攻击，盗取网络用户信息，影响网络存储资源，降低网络服务质量，最终影响教学工作，不利于教育信息网络的发展及“三通两平台”的建设。

安全问题三：设备安全

设备安全主要考虑AP（Access Point，无线设备接入点）的安全，不法分子通过在教育信息网络覆盖范围内秘密安装无线AP，也就是伪基站，接入教育信息网络，窃取登录用户的各类信息。同时，由于教育信息网络覆盖的广泛性，很多部署在室外环境中的AP容易受到外界损坏，对教育信息网络的有效部署造成一定的影响。

3教育信息网络安全应对机制

针对教育信息网络的特殊性，本文在分析教育信息网络完全问题的基础上，从用户认证授权、用户接入控制、网络管理等方面为教育信息网络的发展提出了相应的安全应对机制，总结如下：

应对机制一：完善的用户认证与授权系统

解决教育信息网络的安全问题，首先需要设计完善的无线用户认证与授权系统，该系统的设计可以采用IEEE 802.1x认证技术。基于有线无线一体化部署思路，为了同时有效的支持教育信息网络中的无线用户和有线用户，认证系统需要兼容现有的有线网络的认证系统，用户可以通过有线接入又可以通过无线接入方式访问教育信息网络资源。由于三通两平台中要求宽带网络校校通，同时网络用户数量是非常众多的，并不是所有用户的终端设备上都安装有客户端，所以为了用户接入网络的便利性，倾向于使用Web+Portal的认证方式[9]。

此外，在认证和授权系统设计中可以采用WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构）[10]。当前全球无线局域网领域有且仅有两个标准，分别是美国行业标准组织提出的IEEE 802.11系列标准（即WiFi，包括802.11a/b/g/n/ac等），以及中国提出的WAPI标准，WAPI同时也是中国无线局域网安全强制性标准。与WIFI的单向加密认证不同，WAPI在用户接入过程中采用双向认证，不仅仅是网络对用户进行鉴别，用户也要对网络进行鉴别。WAPI安全系统采用公钥密码技术，鉴权服务器负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有鉴权服务器颁发的公钥证书，作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。避免用户接入不合法的网络或者伪造的网络，圆满的解决了无线网络接入中“合法用户接入合法网络”的问题，从而保证传输的安全性。

应对机制二：用户接入控制

在Web+Portal认证过程中，为了阻止非法用户接入，要求AC（Access Control，接入控制）支持基于AP的无线用户接入控制机制，可以在接入层采用瘦 AP与AC集中式控制相结合的方式，通过AC来集中管理所有 AP。此外，用户的接入控制还可以根据SSID（Service Set Identifier，服务集标识）匹配以及MAC（Media Access Control，硬件地址）地址过滤机制。SSID匹配就是当用户接入教育信息网络时，无线接入端与AP的SSID必须匹配，才能与AP建立连接。同时在SSID匹配机制中，为了对用户进行有效地管理，可按照用户的类别对其SSID加以区分，比如教职工、学生、网络临时访问人员具有不同的SSID，其次可以根据SSID限制用户对网络中某些资源的访问，同时可以阻止非法用户的接入，达到用户接入的安全性。在MAC地址过滤机制中，将所有允许接入网络的用户设备的MAC地址汇总成MAC地址列表，当有设备请求访问网络时，就将其MAC地址与MAC地址列表中的MAC地址进行匹配，如果匹配成功，说明是授权用户，允许接入，否则禁止接入。但是由于教育信息网络访问用户的众多性，同时由于用户的流动性以及网络终端设备的跟新换代的频繁性，在用户接入过程中，匹配用户设备MAC地址与MAC地址列表中的MAC地址显然是不可行的，因此，在一些特定场所，如会议室、教师、教研室等人员比较少，并且比较固定的场所可以采用MAC地址过滤的方式对用户进行接入控制。另外，可以将某些网络禁止访问的用户的终端MAC地址加入MAC地址列表中，将其标识为禁止接入，达到快速匹配。

应对机制三：设置防火墙及入侵检测系统

由于教育信息网络上共享资源的特殊性，学生的教育关系到国家的未来，为了有效地阻止不良信息进入教育信息网络，需强化防火墙的功能，为教育信息网络增加屏障，要求教育信息网络内部和外部网络之间的所有网络数据流都必须经过防火墙，并且只有符合安全策略、适合于在教育信息网络上传播的信息才能经过防火墙，过滤掉不良信息。

其次，为了加强对AP的管理，限制伪基站的接入，并能够快速有效的发现接入网络中的伪基站，需要设置有效地入侵检测系统，通过对无线AP的集中控制，AC可以自动检测网络中的伪基站等非法设备，并实时上报网管中心。同时网络还应具有较强的自治愈能力，对非法设备的攻击可以进行自动防护，并且能够自动恢复，最大程度的保护教育信息网络的安全。

应对机制四：网络共享资源的安全性

教育关系着国家的未来，不同于传统的教育方式，学生可以通过教育信息网络中共享的资源进行学习，教师也可以借助教育信息网络进行教学工作，为了保障良好的教育，确保在教育信息网络中共享的教育资源的安全性就显得尤为重要了。前述安全机制都可以确保网络共享资源的安全性，除了前述机制外，有效地网络管理在确保网络资源共享的安全性方面发挥着重要的作用，通过对网络有效地人工管理，一方面可以保证网络运行的有效性，在网络出现安全问题时作出应急预案，另一方面网络管理人员可以根据用户的投诉，用户信息的反馈，对网络的管理及早发现并删除网络中存在的不良信息。

4结束语

基于现有的有线无线网络一体化建设及管理机制，在推动“三通两平台”建设的过程中，教育信息网络的安全问题不容忽视。保障教育信息网络的安全需要在深入分析无线网络安全现状，深入研究无线网络安全技术的基础上，创新教育信息网络用户接入技术、认证与授权系统，创新网络管理技术，有效地推动“三通两平台”的建设。

参考文献：

[1] 教育部.教育部关于印发《教育信息化十年发展规划（2011-2020年）》的通知[DB/OL].[2012-03-13].http：//www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s3342/201203/xxgk_133322.html.

[2] 教育部.教育信息化十年发展规划（2011-2020年）[R]. 北京：教育部，2012.

[3] 刘延东.把握机遇、加快推进，开创教育信息化工作新局面[EB/OL].[2012-09-05]. http：//www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s3342/201211/xxgk_144240.html.

[4] 蒋东兴，吴海燕，袁芳. "三通两平台"建设内容与实施模式分析[J].中国教育信息化，2014（318）：7-10.

[5] 袁燕.三通两平台，大力推进教育信息化[J].中小企业管理与科技，2014，2014（17）：298-299.

[6] 江肖强.无线校园网络安全与应对策略[J].中国教育网络，2014（5）：41-42.

[7] 王宇.无线校园网络安全与应对策略[J].计算机与网络，2014（12）：38-39.

[8] 赵琴.浅谈无线网络的安全性研究[J].机械管理开发，2008，23（1）：89-90.

[9] 黄荣.基于802.1x和Web Portal认证技术的校园网用户端点准入控制系统的设计及应用[J].福州大学学报：自然科学版，2008，36（5）：673-676.

[10] 张帆，马建峰.WAPI认证机制的性能和安全性分析[J].西安电子科技大学学报：自然科学版，2005，32（2）：210-215.