◆肖坤峨
高校校园网络安全分析及策略研究
◆肖坤峨
(德宏师范高等专科学校 云南 678400)
随着校园信息化的建设和使用,高校校园网络与学校的教学、科研、管理等工作联系越来越紧密,网络的正常运转深深地影响着学校的各项工作,一旦网络出现安全问题,后果不堪设想。本文从高校的网络特点出发分析了目前高校网络面临的安全威胁,并提出了解决网络安全问题的对策和措施。
高校;网络安全;对策研究
随着计算机技术和网络技术的快速发展,计算机网络对我们的衣食住行等方方面面产生了非常大的影响,同时也赋予了教育新的内涵和要求,不断地在改变着教师的教育方式和学生的学习方式,特别在高等教育领域,网络规模大、信息点多,承载了高校教学、科研、管理及服务等数字化应用。高校校园网络覆盖了高校的每个角落,在办公、教学、科研、学生管理、资产管理、人事管理、财务管理、图书借阅、食堂、超市等各个方面,甚至实现了各网络应用子系统的综合集成和互连互通,信息化建设投入少则几百万、多则几千万,成为了高校的重要基础设施。如图1所示,某高校的校园网络组织结构。高校校园网络的信息化建设提高了管理部门的管理效率和决策水平,提升了教师的教育科研能力,丰富了高校校园文化生活。学校师生的工作、生活、学习越来越离不开校园局域网,网络的正常运转深深地影响着学校的各项工作,一旦出现故障,会波及到学校各项工作的正常进行,随着学校规模的不断扩大、网络节点不断增多,网络安全问题越发突出。因此,如何构建一个安全的高校校园网络,是每一个高校领导和网络部门负责人需要面对和解决的问题。
图1 某高校网络组织结构
目前很多高校的网络主干都实现光纤专线接入运营商,网速普遍达到上万兆,园区普遍实现100M甚至1000M到楼到桌面,而且大部分高校已经建成覆盖整个校园的无线网络,存在网络建设投入力度大,用户信息点多,应用范围广等特点,但同时也存在很多安全方面的隐患,比如火灾、断电、黑客攻击、病毒感染及其它很多人为方面的因素。主要存在以下几个方面的安全问题:
自然威胁指可能来自于各种自然灾害,如地震、火灾、水灾、静电、雷击等。网络设备在恶劣的环境下会对数据的传输造成不小影响,还有如电磁辐射和干扰、网络设备老化等因素都会影响网络安全。据教育部门对高校的安全隐患调查反映,部分高校信息化建设时考虑不充分、综合布线不规范,中心机房及学生机房、实验室没有考虑UPS不间断电源,中心机房及各管理间、设备间缺少防火措施及环境的温湿度控制,无网络监控系统,楼道、机房排线时,没有考虑强电线路对弱电线路的电磁干扰。
高校的师生是网络使用的主体,数量成千上万,网络终端多种多样(计算机、手机及其它智能设备),主要以计算机为主,数量巨大。师生员工都掌握一定的计算机基础知识,但水平层次不齐,部分师生员工在校园网内使用的计算机连最基本的杀毒软件都没有安装,电脑或系统设置过于简单的密码或没有设置,共享文件时没有考虑权限,没有及时为系统“打补丁”或封掉不常用的端口,随意拔插移动存储设备等,使用时没有较强的网络安全意识和处理问题的能力。部分师生认为自己使用的电脑处于校园网的内部,认为有学校在保护我们,缺乏网络安全常识,意识淡薄。另高校是培养高素质专业技术人才的地方,经过几年的学习大部分同学都掌握了一定的专业知识,少数专业能力突出的同学出于好奇通过编写程序或使用工具对校园网络进行攻击,窃取机密数据或导致校园网络瘫痪。
虽然各高校都有相关部门如网络中心、信息中心来负责校园网络的建设与维护,但大部分高校都存在重建设、轻管理现象,缺少一套完善的校园网络安全管理制度。很多高校投入重金,由运营商或公司负责建设数字校园或智慧校园,实现了高校校园网络的信息化、数字化、智慧化,由于相关网络管理制度建设跟不上步伐,随后使用过程中出现很多网络安全隐患,如随意私接网线,部门个人私自安装接入层网络设备,网络管理员无暇顾及这些问题,他们大部分时间忙于处理各种日常的电脑故障、网络接入、应用系统及服务器日常维护工作,点多面大。高校校园面积大,网络设备间分散在各教学楼、实验楼、宿舍楼,防护措施简易,有的设备间门锁形同虚设,强电弱电管理共用房间,涉及多个部门,缺少安全管理主体,出现事故时容易出现推诿。
黑客利用系统存在的漏洞或其它安全缺陷对校园网内的硬件和软件进行攻击,攻击目的明确,非法获取服务器或主机上的重要数据,如科研数据、学生基本信息、成绩等,或通过信息炸弹、拒绝服务等手段攻击服务器、网络设备,造成服务器瘫痪、网络堵塞,攻击手段多种多样、目的各异,甚至反动分子攻击学校的校园主站以宣传反面政治思想,影响学生的人生观、价值观和世界观。当然也存在来自校园内部师生的攻击,好奇心强的学生利用相关工具对教务系统进行非授权访问,进而修改成绩数据,对学校心存不满的职工对应用系统进行非授权访问,窃取机密数据或破坏系统。
病毒是社会生活中最常见的一大网络安全威胁,它是对计算机、网络具有破坏性的一组程序代码或指令,它能通过某种途径潜伏在计算机的存储介质或程序里,当达到某种条件时即被激活,通过修改其他程序的方法将自己复制或者可能演化的形式方式其他程序中,从而感染其他程序,对计算机资源进行破坏,轻则计算机速度变慢,重则系统崩溃、硬件损坏、网络瘫痪。在高校校园网络中也经常发生病毒感染的现象,如2017年5爆发的勒索病毒,高校是重灾区,部分高校的师生受到该病毒的攻击之后文件、论文不能正常打开,给师生造成了很严重的损失。学校的各项工作与网络运转息息相关,一旦校园网络受到病毒感染,如果不能及时查杀及清除,势必会对学校的教学、科研、管理造成很大的影响。
任何软件系统包括系统软件和应用软件都或多或少存在一些漏洞,然而在高校校园里90%以上的师生使用的都是Windows系列的操作系统,使用用户多,是黑客分析找漏洞的重点,一旦找到,黑客就会编写程序利用漏洞来攻击用户的电脑,攻击网络。服务器的网络操作系统相对较安全,但也同样存在这样那样的缺点和不足,部分网络操作系统安全性相对较高,如Linux、UNIX、Solaris,都是命令方式操作,非网络管理人员不易掌握,对管理员是一种挑战。高校老师或学生自己也研发部分软件系统,少数应用系统开发时只考虑功能的实现,没有考虑其安全性,使用过程中问题层出不穷,成为黑客攻击的重点目标。
加强网络管理者和使用者的网络安全意识。首先,强化网络管理员的责任意识,爱岗敬业,制定相应奖惩措施,不断提高网络管理员的技术水平,包括到企业顶岗锻炼或外出参加网络相关的技术培训,或通过网络在线学习、自学等方式提升自己的业务水平,学校应该出台相应政策鼓励网络管理员去获取网络方面的认证,通过以考促学的方式,切实提升专业技术能力,建立一支业务水平高、分工明确的专业网络维护队伍,确保高校校园网络的安全。其次,通过培训、讲座、专题网站等多种手段向使用者宣传网络安全知识、网络安全法律法规,如不随意打开来历不明的电子邮件及文件,不随意从Internet上下载软件,密码设置要达到一定的复杂度要求,及时下载和安装系统补丁程序,经常使用扫描工具,及时发现漏洞和采取相应措施,文明上网、安全用网,提高使用者网络安全意识。第三,制定网络安全管理制度,建立数据中心机房网络管理制度,规范中心管理,如未经允许不得随意进入机房,网络设备及服务器操作规范、排线规范、故障处理或检查有日志记录,机房卫生干净整洁,设备外借管理,经常定期检查。加强防火意识,实时通过网络监控软件对中心机房进行监控,掌握机房温度、湿度及设备运转情况,入网软件、个人备案或向相关部门申请;建立违规使用校园网的惩罚措施,杜绝不安全不文明的网络行为;建立校园网络维护分级维护办法,校系两级分级负责,职责清晰;建立网络设备和服务器维护管理方案,使用网络管理系统实时加强网络设备的管理,及时掌握故障点,未经允许不得对服务器或设备进行配置,服务器做到专机专用;建立各实验室、机房、处室计算机设备故障、线路故障处理办法,让师生员工知道找谁进行处理,建立健全网络管理人员及部门负责人的职责,确保网络管理无死角。
在高校的内部网和外网之间建立一道屏障,即安装防火墙设备,监视通过防火墙的每一个数据包和异常行为,设置防火墙访问控制策略,防止校园外部用户通过非法手段攻击内网,非法访问内部资源,从而保护校园内部的网络安全。在校内重要业务部门和其它部门之间也可建立防火墙,或在主干核心交换机上安装防火墙卡,防止内部人员的攻击。通过防火墙检查数据包包头信息可以过滤掉一些不安全的服务和非法用户,防止非授权访问,可以保护校内的部分服务器、主机或网站不能被外部用户访问,但有的是防火墙不能阻挡的,如受病毒感染的文件的传递,木马程序,所以还需要杀毒软件、入侵检测系统的配合使用。
计算机病毒传播速度快、破坏性强,高校相关部门需要出台相应措施进行预防,除了建立安全管理制度外,还需要选择使用合适的防病毒软件,考虑软件的查杀病毒能力、占用资源情况、价格等因素。然而,高校内部网络终端多,一部分是学校统一购买统一维护,一部分是师生自己购买维护,计算机系统复杂。根据该特点,高校一般选择使用网络版的杀毒软件,建立服务器端,终端安装客户端软件,实现对联网电脑统一查杀,及时自动更新病毒库,提高病毒预防预警能力。
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测不仅可以检测来自外部的异常,也可以检测校园网络内部的异常行为,通过安装入侵检测系统可以防止来自外部的攻击和内部的攻击,只要有异常,系统及时发出报警,网络管理员及时处理。网络管理系统实现对校园网络系统的实施监控,监控校园网络的软件和硬件系统,对网络进行故障管理、性能管理、安全管理、配置管理等,保证网络安全可靠正常运行,保护网络中的资源不被非法入侵和获取。
利用交换机、路由器的功能配置把在不同物理位置的计算机根据功能或部门划分在同一个逻辑组中,形成一个个虚拟局域网,即VLAN的划分。高校校园网络是基于TCP/IP协议的交换式以太网,校园网络规模大、广播域范围大、设备及线路中信息流量大,容易发生网络风暴,易导致网络速度慢。因此,根据交换机的端口、计算机物理地址或网段划分VLAN之后,原来较大的广播域就划分为一个个小的广播域,VLAN内部的广播和单播流量不会转发到其它VLAN中,一个VLAN中的成员也不能访问其它VLAN中的成员,从而控制了网络流量,通过合理划分VLAN和划分网段,可以防止网络监听和未经授权的访问,提高了一些重要部门的信息安全性。
虚拟专用网(VPN)是指通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过“隧道”技术将数据包进行加密和封装,利用Internet传输校园内部私有数据。部分老师不在校园内住宿或在外出差时,可以通过VPN隧道安全的访问校园网络数据,数据不容易被窃取、篡改,提高数据的完整性和安全性。
随着高校校园规模的扩大和信息化建设,师生员工的教学、科研、学习及生活对网络产生了强烈的依赖性,网络安全深深地影响了高校各项工作的顺利开展。文章从高校的网络特点出发分析了目前高校网络面临的安全威胁,并提出了解决网络安全问题的对策和措施,有助于促进校园网络的安全建设,确保校园各项工作正常运行。
[1]李彦,高博.高校校园网络安全分析及防范体系研究.现代教育技术[J],2011.
[2]潘小星.高校校园网络安全分析与解决方案.科技信息[J],2015.
[3]邹县芳.高校校园网络安全及策略研究.阜阳师范学院学报(自然科学版)[J],2010.
[4]蔡燕,杜翔.勒索病毒背景下的赣州高校校园网络安全策略研究.信息与电脑[J],2017.
云南省教育厅科学研究基金项目(2016ZDX196)。