構建網絡安全體系，營造美好智慧校園

◆藍 耿

（廣西財經學院現代教育技術部 廣西 530003）

構建網絡安全體系，營造美好智慧校園

◆藍 耿

（廣西財經學院現代教育技術部 廣西 530003）

本文對當前我國校園網絡環境的特殊性及校園網絡安全問題的現狀進行分析，探討了校園網絡中各種安全隱患出現的原因，為構建智慧校園網絡安全保障體系提出了全方位的安全策略。

智慧校園；網絡安全；安全技術

0 前言

我國在網絡信息化規劃中提出了網絡學習的重要性，其更是強調了校園網絡科研的融合創新、校園校務治理的透明化、并且加大校園文化豐富性、校園生活便捷化，而這便是智慧校園。而在智慧校園的建設過程中，最重要的是構建健全的網絡安全體系。就當前我國各高校的情況來看，校園網絡安全問題仍然眾多，因此本文對于智慧校園網絡安全體系進行研究，意義重大。

1 智慧校園網絡結構存在的安全隱患

1.1 網絡系統自身漏洞

系統漏洞指的是網絡系統本身所存在的、在設計的過程中并沒有考慮到的缺陷，這些缺陷有些也是隨著網絡技術的不斷發展，系統沒有及時更新都呈現出的弊端。所以從理論上講，隨著網絡技術的進步和網絡系統的升級，任何系統都可能會存在著不同程度的漏洞。因為漏洞的存在，使得各種有針對性的網絡攻擊和蠕蟲病毒不斷的產生。所以網絡系統自身漏洞的網絡安全問題的維護是一個長期的過程。

在當前最流行和普遍的計算系統Windows，在設計上也存在著不足和弊端，而大部分的網絡病毒都是針對Windows而來的。如2006年6月11日，國內首例旨在敲詐被感染用戶錢財的木馬病毒被江民公司反病毒中心率先截獲。該病毒名為“敲詐者”(Trojan/Agent.bq)，病毒可惡意隱藏用戶文檔，并借修復數據之名向用戶索取錢財。“敲詐者”在被截獲后短短10天內，導致全國數千人中招，許多個人和單位受到重大損失。

而在智慧校園的建設過程中，連接各項工作的基礎是網絡系統。就當前高校所使用的網絡服務器來說，無論是性能較好的UNIX，還是問題較多的Windows，其漏洞和缺陷不斷地被發現，而有針對性的攻擊也隨之而來。可以預見，未來針對網絡系統漏洞所產生的安全問題依然嚴峻，智慧校園的建設依然任重而道遠。

1.2 校園網絡內部安全隱患

壁壘往往容易從內部攻破，來自于機構內部的攻擊也是最難防御的。校園網的內部安全隱患往往與校園內部的用戶群體有關。校園網的主要用戶是學生，由于青年學生受新技術和好奇心的驅動，對技術有執著的追求，經常嘗試各種黑客攻擊。并且其法律意識淡薄，道德教育不到位，使得校園網成為首先受到攻擊的目標。而當前大多高校的網絡管理缺乏，主要表現在缺乏統一的網絡出口、網絡管理軟件、網絡監控、日志系統以及身份認證系統。使得學校的網絡管理缺少有效的監控。此外很多學校的系統維護人員在對網絡維護過程中缺乏責任心，在維護過程中減少甚至取消對系統的日常維護工作，因此校園網絡內部安全隱患同樣是嚴重的。

1.3 來自外部網絡的安全隱患

來自校園網絡外部的安全隱患主要是網絡黑客對于校園網絡的入侵，有些人出于好奇心，蓄意破壞，以及為了使自己獲得某種非法利益等目的，利用網絡協議、服務器和操作系統的安全漏洞以及管理上的疏漏非法訪問資源、刪改數據、破壞系統。而校園網中，很多行政和教學單元的電腦中存有涉及機密的文件，比如試卷、學生成績等。在拒絕服務(DoS)攻擊在Internet上活動猖獗的時候，大部分攻擊都是利用這些主機在管理上的漏洞來達到發動攻擊的目的，同時也隱藏了自己。這些行為給校園網的安全運行造成了嚴重的威脅，同時也損害了高校的聲譽。

1.4 網絡病毒產生的安全隱患

隨著計算機網絡的發展，病毒可以通過計算網絡利用多種方式（電子郵件、網頁、即時通訊軟件等）進行傳播，在2015年監測出校網絡存在病毒“求職信”病毒，從其開始傳播到現在受害人數量不斷增加（表1）。對于校園網絡來說，網絡病毒主要是來自校園網外部的計算機，通過校園網內的接入點，將病毒接入到校園網內部。而與發達國家相比，我國整理的網絡立法、管理制度滯后，網絡病毒傳播肆孽。而網絡病毒本身具有很強的隱藏性，高校內的學生網絡安全意識較差，很多經過偽裝的病毒還可能被用戶當作正常的程序而運行，這也是病毒觸發的一種手段，并且其有極強的破壞性。根據權威機構，以Novel1 網為例，一旦文件服務器的硬盤被病毒感染，就可能造成Net Ware 分區中的某些區域上內容的損壞，使網絡服務器無法啟動，導致整個網絡癱瘓，造成不可估量的損失。而當前的大部分高校對于網絡病毒方面的防御機制缺乏，也使得各種網絡病毒在校園內橫行，影響著智慧校園的建設。

表1 2015-2016年最惡劣的校園病毒前10名情況

2 智慧校園網絡安全體系構建

2.1 智能設施安全

網絡設備的是網絡安全最重要的部分，而智能設備是建設智慧校園體系的關鍵。所以要保證校園網絡正常，首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有：減少自然災害（如火災、水災、地震等）對計算機設備及軟件資源的破壞，減少外界環境（如溫度、濕度、灰塵、供電系統、外界強電磁干擾等）對網絡信息系統運行可靠性造成的不良影響。

并且在選擇設備的時候應該選用具有較高的可用性、可靠性、可擴展性的多核處理器的服務器；采用服務器UPS電源，為系統連續穩定的運行提供不間斷的原動力；在校園網規劃的時候中心交換機應考慮采用三層交換技術。三層交換技術可以完成常規交換機的網絡連接功能，又可以解決局域網網段劃分問題，解決了傳統路由器低速、復雜所造成的網絡瓶頸問題；在存儲設備上，由于服務器讀寫硬盤的頻率是非常高的，所以在選用存儲設備上，應盡可能地購買性能較好、高穩定、高讀寫速度的設備。

2.2 網絡體系安全

網絡體系安全應該強調網絡拓撲安全的重要性，保證安全域劃分與邊界防護有效合理，嚴格控制網絡資源訪問，以科學合理的檢測方式檢測入侵，確保網絡設施防病毒工作科學有效。網絡拓撲安全均以新型網絡拓撲結構實現，比如VL2、Port Land等，以此確保節點間具備較強的連通性，其容錯能力便可有效提升，同時合理均衡負載。以VPN 及數據加密等項技術來保證用戶數據傳輸安全穩定。以分布式入侵檢測及病毒防護系統預防黑客的攻擊，亦可以其他安全措施及技術實現防護，比如端口綁定及虛擬防火墻構建，再是提供Anti-DDos服務，確保網絡訪問控制機制科學合理，各虛擬服務器中僅可運行一個網絡服務，禁止其直接訪問敏感數據，服務器僅具備相應的服務端口，剩下的則全部關閉。學校網絡管理者應全面掌握路由器、交換機、服務器等設施的網絡配置，要深層了解網絡拓撲結構，及時發現其間存在的問題并進行定位，之后再統計訪問流量，正確識別不正常的使用情況，再將其嚴格封禁。

2.3 數據信息安全

傳統數據信息安全強調的是將數據保存于學校可控范圍內，網絡環境中的數據均保存于網絡服務器中，學校數據的危險性則更為突出。網絡環境下數據信息安全標準應于數據隔離、訪問控制、數據加密、數據殘留等方面進行分析，要確保學校數據安全完整。要加強數據隔離，通常虛擬化資源庫十分關鍵，虛擬技術為網絡信息核心技術，其可將用戶數據儲存于共享物理儲存中。此類虛擬化較多的用戶環境中存在諸多安全隱患，可以不同應用需求提出隔離措施，保證用戶數據安全隱私；并不斷加強訪問控制，要強調數據維護私密性，數據訪問控制工作的有序開展應構建科學統一的身份管理平臺，加強安全認證和方位權限控制力度。用戶安全認證及訪問權限控制的主要目的為多用戶狀態下，允許授權合法的用戶訪問數據，常用認證技術為數字簽名、單點登錄認證、雙因子登錄認證；數據加密工作亦非常關鍵，此方式可有效確保數據私密性，應對敏感數據嚴格加密，確保數據被非法用戶竊取時，數據機密亦不會被泄露。可用的數據加密算法有很多，要選擇適宜的方式加密算法，確保學校數據傳輸安全穩定，再對儲存數據進行嚴格加密，為數據網絡傳輸及儲存提供安全的外部環境。同時對文件系統進行加密，確保智慧校園網中數據的安全。數據殘留，通常智慧校園網絡的數據存在于共享設施中，數據殘留的問題會導致敏感數據被泄露，這時儲存資源被重新分配，再將數據多次擦除，盡可能防止其間出現非法重建的問題；數據備份還原，數據儲存時，用戶均應全面分析數據丟失風險，以便應對突發狀況而導致的數據丟失，使得各項業務停止運轉，網絡要及時進行災難恢復，保證各項服務不中斷，要積極完善網絡容災備份機制，從而有效增強網絡系統運行安全性。

2.4 網絡管理安全

智慧校園網的網絡安全體系架構管理工作十分關鍵，此項體系非常龐大，管理工作亦復雜多變，為了能夠確保數據安全，確保服務連續性，相關人員應根據學校的實際情況提出針對性管理策略，并為此構建科學有效的管理制度，以安全審計系統防止入侵，并詳細記錄各方面內容，確保各項維護工作有序開展，從而提高事后審查能力。

3 結束語

隨著當前我國高校擴招進程不斷推進，高校校園學生的數量不斷增加，意味著校園網絡的用戶在不斷增加，同時網絡技術的更新日新月異。各種網絡攻擊行為也會更加的復雜，所以在我國的網絡信息化規劃中提出的智慧校園建設的過程中，要積極地從各個方面加強對于校園網絡的安全管理，構建校園網絡安全體系，營造美好智慧校園。

[1]于長虹，王運武，馬武．智慧校園的智慧性設計研究[J]．中國電化教育，2014．

[2]鐘紹春．教育云、智慧校園和網絡學習空間的界定與關系研究[J]．中國教育信息化，2014．

[3]蔣家傅，鐘勇，王玉龍，李宗培，黃美儀．基于教育云的智慧校園系統構建[J]．現代教育技術，2013．

[4]陳翠珠，黃宇星．基于網絡的智慧校園及其系統構建探究[J]．福建教育學院學報，2012．