高校校园网络安全问题分析及对策

◆刁晓婧

（国防大学教研保障中心信息技术室 北京 10091）

校园网是高校重要的信息平台，它以良好的开放性、交互性和丰富的信息资源而受到广泛的欢迎。作为一个重要的平台，它在服务、科研、教学等方面发挥着重要的作用，对丰富师生的精神文化生活、提高学校知名度等方面也起到了积极的作用。由于计算机网络本身的开放性，网络病毒和安全漏洞频出，网络攻击手段越来越简单，校园网在实际运行中遇到了许多安全威胁，严重影响了高校的正常运行。针对这一现象，必须树立安全意识，重视网络安全，找出网络系统频遭攻击的原因，并结合实际提出有效的解决方案，使高校网络回归安全，更好地为师生服务。

1 校园网络安全问题分析

1.1 学校认识不足

各高校为了学校的教学、科研，以及学生学习生活的需要，基本上都建立了千兆主干、百兆桌面，甚至万兆主干、高带宽的校园网，网络给师生带来了方便，同时也大大增加了网络安全日常管理的难度。在网络设计之初，学校常常注重网络的实用和高效，而忽略网络安全问题，建设资金重点用在关键网络、信息化硬件设备和软件系统的投入，对网络安全方面的投入不足，缺少必要的网络安全管理设备和软件，致使网络安全隐患严重。

现代校园网系统的正常运行和各项功能的顺利实现，离不开软件系统和硬件设备的日常管理维护[1]和合理配置。由于学校网络管理员一般身兼多职，日常维护任务繁重，专业技术普遍存在全而不精的情况。如对交换机、防火墙、服务器采用粗放式管理，缺少严谨的安全策略配置。还有的院校机房长期缺乏必要的维护，也没有相应的应急保障机制，这些都导致校园网络安全问题日益突出。

1.2 系统与应用软件漏洞隐患

软件漏洞是软件编写过程的不可避免的产物，校园网各类系统和应用软件许多都是内部使用，部分软件系统没有经过用户长时间的测试评估。还有的操作系统软件缺乏更新维护，有的各个系统之间经常出现兼容性问题，这些都不可避免地造成系统软件漏洞的隐患。如2016年的开始 一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（National Security Agency美国国家安全局）泄露的系统危险漏洞“EtemalBlue”（永恒之蓝）[3]，利用445端口进行攻击，导致感染病毒，用户所有文档全部加密，想要打开文档需要支付比特币。运营商对个人用户封掉445端口，但是教育网没有封，所以导致此病毒在高校大爆发。

1.3 黑客入侵日益频繁

“黑客”一词是由英语Hacker音译出来的，是指专门研究发现计算机和网络漏洞的爱好者。由于校园网规模较大，各种设备系统有很大差异，相对商业和政府网络防范能力较弱，同时信息资源比较丰富，从而吸引了一部分黑客的攻击。例如2016年清华大学教学门户遭受黑客攻击，当用户点击部分页面点击时，内容为伊斯兰教经文并伴有音乐，事发后学校迅速关闭服务器，阻止进一步传播。虽然被攻击的网站对学生影响不大，但对学校声誉造成了不利的影响。

2 高校校园网络安全问题对策

2.1 提升校园网运行机制和管理能力

2.1.1 加强用户教育培训，提高专业管理队伍的素养

加强网络安全宣传教育，提升网络安全意识和基本技能，是构筑网络安全的第一道防线。加强学生网络道德教育，真正地净化校园网络，通过教育与宣传相结合，教师和学生能够正确理解有关网络安全的一些法律法规，掌握一定的防范技能，为教师和学生营造一个良好的学习生活环境。

各高校要加强对现有网络管理技术人员的培训，通过理论授课及实践操作相结合的培训方式，不断提高他们应对网络安全问题的能力和水平，高水平的网络管理人员能够根据校园网的实际安全状况设置权限口令，应急处理各类事故保持校园网畅通。

2.1.2 健全校园网各类安全防范管理制度，建立应急响应预案

“没有规矩不成方圆”各高校需要制定出一套完整有效的安全管理制度，如校园网网络安全管理制度、网络安全管理岗位职责、校园网信息发布与管理制度、病毒防治管理制度、校园网用户安全守则及处罚办法等，并严格执行才能打造出一个纯净和谐的校园网络空间。

未雨绸缪，各高校应设立信息网络安全应急处理小组，负责信息网络安全事件的组织指挥和应急处置工作。一旦发现网络安全事故，迅速上报事件的书面报告，由网络应急领导小组启动相应的防护预案，相关人员及时到位，判断分析事故原因，阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作。在事件抑制后，要对相关事件进行跟踪，密切关注其动向直到彻底阻断。

2.2 提高技术防范能力

2.2.1 制定合理的访问控制和区域控制策略

网络管理者要充分利用学校现有资源，通过对交换机、路由设备、防火墙等基础网络设备制定合理的访问控制策略，提高网络安全防护能力。

根据学校网络环境，考虑防火墙的合理部署模式，利用防火墙把网络划分为不同安全级别，分区域进行管理，对内外网以及内网不同区域间访问制定严谨的访问控制策略。为方便学校人员外出时通过互联网访问学校内网，又确保网络安全，学校可以采用VPN的方式，并利用加密设备对通讯数据进行加密处理，实现信息安全的效果。高校内部可以根据楼宇或部门来划VLAN，通过路由设备等进行VLAN之间互联，使得各个楼宇或部门之间互不侵扰。一方面起到隔离广播数据，另一方面起到保护重要区域数据安全作用。同时也可以采用访问控制列表（ACL），在交换或路由设备上设置源和目的的访问规则，有针对性地对目标设备进行保护。如对核心设备的访问、对某种应用基于端口的访问、设置部分管理的电脑的访问权限等。

2.2.2 增强病毒防护系统

采用一套完善的防病毒系统，不仅要通过桌面防病毒系统，对高校的服务器及工作站进行有效的病毒防护，还要在Internet边界处部署网关防病毒系统，可以针对SMTP、POP、FTP以及HTTP等协议进行病毒过滤，在数据到达终端计算机之前进行病毒扫描和过滤，可大幅降低病毒入侵风险。

2.2.3 数据和设备备份保护工作

对校园网来说，一套完整的备份和恢复方案是迫切需要的。备份既指对校园网重要数据的备份，也指核心设备和线路的备份。对网站服务器，要配置网页防篡改系统，以防止网站被更改；对校园网中的核心设备的系统配置要进行备份，以便设备出故障时能及时恢复；对校园网中的核心线路要留有冗余，以便线路出故障时能立即启用冗余线路以保证校园网络主干的运行。

3 结语

随着社会的发展，网络安全重要性日益凸显，要建立一个现代化的数字网络系统，必须解决安全问题。校园网安全建设直接影响着高校的学术氛围，也是衡量高校管理和监督能力的重要指标，因此校园网络管理者必须有针对性地采取措施，全面防范，不能忽视任何细节和隐患，同时加强师生的教育，增强网络安全意识，提高网络安全知识储备，只有这样才能更好地促进高校网络的发展进步。