“互联网+”背景下的校园网安全现状及对策研究

吕美敬

（中央财经大学网络信息中心， 北京 100081）

1 引言

“互联网+”是指将互联网技术应用于各个传统行业中，充分发挥互联网技术的优势。随着“互联网+”技术的飞速发展，“互联网+”教育、“互联网+”金融、“互联网+”媒体、“互联网+”医疗在生活中的广泛普及，网络则更加深刻地影响着高校师生的日常学习和工作。高校管理者和信息安全工作者为适应信息化时代的发展要求，积极利用“互联网+”的思维，采用先进的互联网信息技术来建设高校校园网络。先进的互联网技术不仅可以让高校教师更好地进行教学、科研和管理，学生也能更好地利用校园网络开拓视野、创新学习。高校师生在享受“互联网+”技术带来便利的同时，也应该意识到基于“互联网+”技术建设的校园网带来的网络安全问题。

2 “互联网+”背景下的校园网络安全现状

根据2018年中国互联网发展状况统计调查数据显示，截至2018年6月，在学校通过电脑接入互联网的比例增长了0.5个百分点。中国网民中学生群体最多，占比达24.8%。互联网+模式在逐渐融入到师生工作和学习的方方面面，即时通信、搜索引擎、网络视频、网络音乐、网上支付、网络购物、网络游戏、网上银行、网络文学、旅行预定、电子邮件、互联网理财、地图查询、网上订外卖、在线教育、网约出租车、网约专车或快车、网络直播、共享单车等。智能水（电）表、门禁、节能路灯、电子班牌、摄像头这些与学生生活、教学数字化相关的新型终端，越来越多地出现在校园，承载在校园网中。各种电脑设备以及移动设备的接入互联，有线网络及无线网络在学校的广泛普及，使得校园网络环境更加错综复杂，校园中的某一台设备遭受攻击，如感染某种病毒，可能导致系统损坏或者大量数据信息泄露，也有可能在整个校园局域网中扩散破坏整个网络环境，导致校园网瘫痪，必将给高校的正常运转带来巨大的损失。

当前互联网受到的攻击种类很多，首先来自学校内部的恶意攻击，高校学生的计算机能力参差不齐，有的学生好奇心强或者受利益驱动，利用自己擅长具备的网络技术恶意攻击学校的某些服务器或者其他师生的电脑，比如篡改他人成绩、修改选课信息等，给校园网的安全运行带来严重影响；其次是外部黑客的蓄意攻击，比如植入木马病毒、DDoS 攻击或数据盗窃等。2017年爆发的勒索病毒，攻击了很多大型企业，包括高校，导致这些单位的办公电脑蓝屏，重要文件被破坏，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付一定的金额才能解密，不按时支付，病毒声称电脑中的数据信息将会永远无法恢复，这次病毒席卷全球，给多数企业和高校师生带来严重损失；第三是高校校园网的建设包括硬件建设和软件建设两个部分，由于技术、人员、经费等各方面的限制，校园网在建设过程中存在一定的不合理性，部分高校可能存在重硬件轻软件的建设模式，导致校园网在实际的运行过程中造成一定的硬件资源浪费，而软件建设又投入不足，软硬件发展不协调，导致网络出现问题难以排查追踪，在一定程度上为校园网的安全埋下了隐患；第四是高校信息安全技术人员往往重管理轻技术，随着网络安全法的正式运行，大部分高校已经开始重视网络安全管理，但是仍旧缺乏完善的规章制度和激励机制，网络管理人员没有实行定岗明责，遇到问题不能及时排查，对网络的日常监管有所忽视，也给不法分子带来可趁之机。

3 对策研究

高校网络安全不仅仅是传统的网络基础设备的安全，也包括管理层面及执行层面的安全。我们从物理层、网络层、系统层、安全层和管理层等五个层面建立可信、可靠的高校网络安全体系。物理层是网络基础设施建设，是校园网安全体系的核心和基础；网络层是实现数据通信安全的重要保障；系统层是实现信息采集、存储、传输、存取和管理的途径；安全层是校园网络安全的技术支撑和保障；管理层是决策层，是校园网络安全体系的政策导向和制度保障。

3.1 物理层

机房是企业整个网络的核心和数据交换中心，汇聚了大量的网络设备及数据信息，机房物理环境的安全是网络基础设施的安全保障，是数据安全存储的大前提。机房环境安全应从机房选址、周围环境、防火、防盗、防破坏、防雷击、防水和防潮、防静电和温湿度控制方面严格按照国家对于核心机房建设的标准规范进行，确保工程材料和设备都满足标准规范的要求。有条件的单位应在机房出入口安排专人值守，并对出入人员进行控制、鉴别和登记。在机房设置视屏监控记录设备，视频监控范围应覆盖到所有重要部位。机房建筑应设置避雷装置，且与大楼避雷分开，单独建设机房避雷装置。

3.2 网络层

网络层主要负责网络间的通信，为网络通信提供路由选择，提供透明传输，校园网中的重要网络设备如路由器、三层交换机均位于网络层。在日常的网络维护过程中，路由器和三层交换机等设备不能使用缺省的密码来验证用户身份，并且禁止通过HTTP或者远程Telnet方式访问，均采用SSH或者HTTPS等安全方式登录，网络设备上启用登录失败处理和登录超时功能，并设置合理的参数。限制网络设备远程管理地址，其颗粒度应达到主机级。为不同级别的管理员设置独立账户并定期更换网络设备的口令。

3.3 系统层

系统层主要包括信息系统建设安全与运维管理安全。随着智慧校园的建设和各类应用系统的普及，师生对业务系统的的访问量也逐渐加大，网络安全问题也随之产生。信息系统在设计方案中应考虑安全防护设计，在软件开发过程中应该规范系统开发的流程和管理，建立安全编码规范和代码安全审查制度，确保系统建设安全可控。信息系统安全贯穿于系统需求分析阶段、设计与分析阶段、实施阶段、测试阶段、验收阶段、系统维护阶段的整个生命周期，每个阶段都需要确定信息系统的网络安全技术需求和安全基线要求。系统运维人员定期安装系统补丁程序，启用所有用户身份标识唯一和鉴别信息复杂度检查功能保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用，加强信息系统中数据输入模块的源代码审计，增强对数据输入的验证。系统的关键页面，如网站后台管理页面、Tomcat等Web服务及中间件的管理页面，应限制特定IP地址访问，不允许用户直接访问这些页面；信息系统的目录文件夹应禁止访问，避免目录列出漏洞。对于已建设完成的信息系统，应定期进行漏洞扫描工作，并对产生的漏洞定期进行整改。按照《网络安全法和网络安全等级保护2.0》《信息安全技术信息系统安全等级保护测评要求》等重要等级保护技术标准，对重要信息系统进行等级保护测评工作。

3.4 安全层

启用安全设备，构建成“外—中—内—基”四层网络安全防护体系：第一层是网关层也是外部防护层，网关层是整个网络安全架构的关键组成部分，承担着安全防护、应用控制、安全连接、多运营商加速等多维度的复杂任务，网关层配置防火墙设备、VPN安全网关，以实现自动防护功能；第二层是应用层，也是中间防护层，随着高校各类应用的开放性和交互性增强，部署网站监控预警平台、防暴力破解系统、网站防篡改系统、入侵检测防御系统等，来防护SQL注入、XSS跨站攻击、网站挂马、篡改攻击、暗链黑链等攻击，以实现对安全威胁的进一步防护；第三层终端层，也是内部防护层，对高校师生准入采取安全防控措施，盗版软件是电脑病毒的重要来源和传播者，高校应加强软件的管理，杜绝盗版软件，推进操作系统、office办公等软件的正版化工作。终端PC和移动设备安装杀毒软件，服务器定期打补丁，修复漏洞；第四层是审计层，也是基层防护层，部署漏洞扫描评估系统、上网行为管理与审计系统、数据库安全审计系统、网络日志服务器，记录所有设备日志便于存档和查看，以实现对物理、主机、应用、数据等所有安全控制项的安全管理和防护。

3.5 管理层

图2 校园网络安全四层防护体系

成立高校网络安全和信息化领导小组，负责统筹协调学校网络安全和信息化建设相关工作。网络安全和信息化领导小组应严格按照《网络安全法》《信息安全等级保护管理办法》等政策文件对于网络安全、信息系统等级保护测评的要求，解读上级政策文件，配合上级部门的监督检查。利用国家网络安全宣传周等契机，加强在校师生进行网络安全法的教育，通过线上线下结合的宣传渠道，努力将“网络安全为人民，网络安全靠人民”的理念传递到学校内外，提醒广大师生要清楚个人在网络虚拟环境下的权利、义务和责任，进一步增强网络安全意识，提高学院、部门和个人的网络安全防范能力。为加强网络安全管理，校园网准入时，要进行真实姓名和身份证号登记与验证。加强校园网络管理人员的技能培训和网络安全意识培训，遇到问题及时处理，为日常教学工作和科研工作提供可靠的保障。

4 结束语

“互联网+”时代下的高校校园网络是不断变化和错综复杂的，随着安全技术和智慧校园的综合发展，业务系统、校园应用、网络安全这三者从相互分离的状态逐渐走向融合，高校信息化工作者应根据高校自身特点和校园网特征不断完善，开拓思路，勇于创新，加强高校信息安全人才培养，建立一支与“互联网+”快速发展相适应的网络安全管理专业队伍，确保校园网络安全稳定运行，以更好地姿态完成高校信息化建设工作。