高校校園網絡安全問題及其防范策略

□陳 瑞,吳曉光

(山西廣播電視大學,山西 太原 030027)

安全、穩定、高效的校園網絡是高校重要的信息基礎設施,通過校園網絡能夠開展對外宣傳、網上教學,能夠滿足教職工辦公的自動化和學生網上學習的需求,因此,規劃、設計和建設安全校園網是高校網絡建設的重要工作。但絕大多數校園網絡設計注重功能的實現,而忽略了網絡安全。隨著網絡應用的不斷普及,面臨的網絡安全風險在不斷升級,網絡安全已經成為建設信息化校園最大的挑戰,建設完善有效的校園網安全體系才能創建一個高效安全的校園網絡環境。

一、高校校園網絡安全現狀

由于計算機網絡自身開放性、共享性和互聯性的特點,當高校網絡接入互聯網以后,自然而然會遇到來自互聯網上的各種攻擊與威脅,比如病毒、數據破壞、入侵攻擊,以及信息的篡改、惡意軟件等形形色色的威脅。當然,還有校園網絡規劃和網絡安全管理制度等因素對高校網絡安全造成了一定隱患。通過對高校網絡現狀的分析,我們可將當前校園網的安全問題歸納為四個方面:

一是網絡安全威脅日益復雜隱蔽。釣魚網站、網頁篡改、木馬和僵尸網絡等傳統網絡安全威脅持續發生,分布式拒絕服務攻擊、網站后門、移動互聯網惡意程序、高級持續威脅(APT攻擊)等網絡攻擊,來源更加多樣、手段更加復雜、方式更加隱蔽、影響更加嚴重。

二是網絡安全威脅不斷蔓延擴散。電腦、手機等終端隨著互聯網與經濟社會各領域逐步融合,網絡安全威脅和風險加快從線上向線下滲透。入侵控制、感染病毒、漏洞被利用等風險持續放大,網絡空間安全事件造成的破壞不斷從虛擬空間向現實物理世界擴散,帶來嚴重的安全威脅。

三是網絡安全管理制度不完善,管理者缺乏管理意識;網絡技術人員缺乏培訓,沒有足夠的應對網絡安全威脅的能力;網絡設備安全管理不到位,相應的安全配套設施不健全,比如應用帶寬控制、用戶訪問控制授權實名認證、日志審計等。

四是初期校園網絡規劃混亂。校園網絡規劃初期,沒有考慮長期的發展,只滿足于當下的需求,更沒有考慮到后來復雜的網絡安全問題,導致出現網絡安全故障時只能“頭痛醫頭，腳痛醫腳”,在增加或提升網絡安全設備時不能一步到位,無法形成合力,發揮不了充分的作用。

二、高校校園網絡安全防范策略

針對當前校園網絡面臨的安全風險因素,從技術、管理和服務三方面出發,防范校園網絡安全具體策略從以下九個方面入手:

1.統一規劃校園網絡,加強網絡安全防御。從應用性、安全性和可擴展性出發,從物理網絡環境、網絡設備、應用服務及應用數據等幾個方面分析,全面考慮有線網絡安全、無線網絡安全、智能終端和移動應用安全等統一規劃校園網絡。避免出現“修修補補”現象導致的網絡線路冗余、網絡管理困難和網絡安全難以升級等問題。具體措施包括在校園網邊界部署有足夠吞吐量、可擴展性強的防火墻做好訪問控制,保證專網專用和內外網訪問控制;配置網絡出入口訪問策略,實現應用層和鏈路層的安全監控和防護;配置安全網關設備并進行適合學校網絡應用情況的設置;配備專業的入侵防御、入侵檢測、網頁防篡改等網絡安全設備,加強網絡安全防御。

2.建設統一信息門戶平臺,布置網頁“防篡改”系統。統一信息門戶平臺通過將分散的、異構的信息資源進行集成,有效盤活校園應用系統中的信息數據,提供一個隨時、隨地、按需訪問的協作化集成環境,為學校管理者、教師、學生提供面向個人的個性化自助式服務平臺。通過統一信息門戶平臺的建設,完成業務系統的集成和數據綜合利用,為學校領導、教職工、學生提供統一的訪問入口,實現個性化的信息服務。統一信息門戶平臺的建設可以大大減少管理和升級成本,降低網絡安全風險。

部署網頁“防篡改”系統實現保護網站安全,防止黑客入侵、篡改網站網頁等。將網頁防篡改系統部署在網絡結構中統一信息門戶平臺的上一層,自定義相應的策略,自動同步備份網站目錄和文件,若發生篡改,網頁“防篡改”系統能實現及時報警,做到事前攔截,事中報警,事后能及時恢復,實現網頁和數據內容的實時監控和保護,提高校園網站的安全性。

3.配置用戶身份認證系統,實現有線和無線用戶的統一認證。在校園網安全環境中,通過多條件授權訪問來控制用戶準入準出的系統就是身份認證系統。該系統是基于內部數據庫的策略,對提出訪問請求的用戶決定允許還是拒絕,主要由認證客戶端、認證服務器、認證技術構成。由于終端用戶位于接入點,通過身份認證可以有效拒絕非法用戶訪問,從而保障網絡的安全。

在校園網接入控制中,在服務器上對身份認證的統一可以實現統一身份管理,實現的網絡安全認證與授權,同時可以通過平臺提供的接口,與其他安全設備聯系起來,直接管理防火墻、IDS,交換機等,讓網絡管理員輕松實現對整個網絡監管,從而構成整個網絡的安全體系,確保網絡安全。

其次,認證服務器因為能與其他安全防護設備聯動,所以能夠對整個網絡設備運行情況了如指掌。同時實時對網絡數據流量進行分析,結合IDS與防火墻組成的安防系統得到的信息,能準確了解性能狀態及各種故障源,方便管理員進行相應的技術處理。此外,認證服務器應具有用戶管理模塊、策略制定模塊、收費管理模塊、網絡運維模塊、數據分析模塊以及提供統一的接口,供其他安全設備使用。基于此,統一身份認證系統能實現有線用戶和無線用戶的統一認證,實現了用戶的統一管理,確保用網用戶的安全管理。

4.部署計算機網絡安全審計系統。網絡安全審計系統是針對計算機網絡應用環境下的網絡操作行為進行審計的一種合規性管理系統。通過對用戶登錄信息、訪問資源信息、調用服務信息等行為進行規則校驗和統一審計,記錄完備的訪問日志,實現有效的安全監控和行為回溯。可以針對不同身份的用戶進行不同審計策略管理,使用外置數據中心對審計信息進行有效分析、過濾儲存等管理。同時加強對內外部網絡行為監管,確保數據庫、服務器、網絡設備等的安全正常運營。

由于高校校園網絡使用人員復雜,技術層次參差不齊,經常會出現內部人員的違規操作的事件發生,當然也有一些第三方使用者的惡意破壞及威脅。在高校校園網中部署計算機網絡安全審計系統針對教師、學生等不同身份用戶進行不同審計策略管理,記錄完整的操作日志;還可以針對一些關鍵的數據庫進行單獨審計,當違規事件發生時能及時告警,事故發生后能精確回溯。

當然,計算機網絡安全審計系統不僅可以對用戶使用PC端上網行為進行審計,同時還可以對使用無線網絡的手機等移動終端訪問網絡信息行為進行審計,實現PC端和移動端、有線網絡和無線網絡行為的統一審計,確保網絡安全。

5.部署上網行為管理系統。上網行為管理系統可以實現帶寬分配管理、應用流量管理、訪問內容過濾和上網行為審計功能。通過在校園網絡部署上網行為管理系統可以限制無關業務帶寬,優先保障業務通道帶寬,通過設置相應的控制策略進行帶寬管理,可以實現不同身份不用使用不同的網絡帶寬,達到合理利用帶寬資源的目的;通過設置相應的控制策略進行各種網絡應用的管理,屏蔽一些與業務無關的網絡應用,比如股票、游戲等應用;制定全面的信息收發監控策略,有效控制關鍵信息的傳播范圍,對上網行為進行過濾審計,做到有據可查;上網行為管理系統還可以實時統計和分析用戶使用網絡帶寬和網絡應用的情況,網絡管理者根據實際情況實時的調整和優化相應的控制策略。

高校校園網絡部署上網行為管理系統,可以通過設計合理的控制策略,可以屏蔽黃、賭、毒等不良的互聯網信息;學生經常上網聊天、玩游戲、下載等帶寬濫用,嚴重影響了教育資源平臺的訪問體驗和視頻會議的質量等,上網行為管理系統進行合理管控,對在線教學、視頻會議等業務進行帶寬保障,保證教學、管理業務的穩定運行。

上網行為管理系統可以同時管理有線網絡和無線網絡,做到全網全終端統一管控,確保各種網絡應用的高效使用,確保網絡安全。

6.使用VPN的安全性。VPN即虛擬專用網絡,屬于一種遠程訪問技術,利用公用網絡架設專用網絡。VPN提供給用戶的是專用網絡,但是建立在不安全、不可信任的公共網絡,所以會面臨的網絡安全性問題。VPN的安全性可通過隧道技術、加密和認證技術對遠程訪問用戶進行安全認證,可以構建完善的用戶管理、授權、防護功能的體系。

高校搭建虛擬專用網系統,出差外地的教師可以通過VPN進行訪問內網地址服務等滿足大量遠程訪問需求,還可以實現主校區和分校區之間的相互網絡訪問連接。通過搭建VPN服務器,通過隧道技術、加密算法、密鑰管理、數據認證技術、用戶認證和訪問控制等來確保VPN網絡數據的安全和可訪問性。

7.網絡安全擴展。在校園網絡結構的整體規劃和建設中要考慮網絡整體性能和網絡安全的擴展性。在實際網絡應用中會因為技術的不斷升級、軟件版本的逐步升級以及各種應用需求要求的不斷變化,必須對網絡安全進行相應的升級擴展,這就要求在設計網絡安全整體架構時考慮其擴展性。

在校園網絡的整體設計和設備選型中,要充分考慮以后的網絡應用,盡量預留更替升級的網絡設備接口以及相應網絡安全配置冗余,比如IPV6的應用、網絡帶寬的增大、用戶需求的變化以及無線網絡用戶等成倍增加,這就要求網絡安全設備根據實際應用和需求進行更換以及重新配置。

8.部署智能網絡管理系統。智能網絡管理系統可以有效地呈現網絡拓撲結構框架,管理網絡設備配置并能分析定位網絡故障。可以實現路由器、交換機、防火墻等網絡設備的統一集中管理;可以通過監控實現網絡線路和網絡設備的故障診斷;通過部署智能網絡管理系統可以實現網絡設備的有效管理,網絡安全風險的實時監控,網絡安全的快速處置。

由于高校網絡環境復雜,網絡設備分布在不同的地方,在高校校園網中部署智能網絡管理系統首先能實現分布在不同地方的網絡設備能夠統一管理,并通過智能網絡管理系統的監控功能及時發現網絡故障,準確定位,實現網絡故障的快速排除,實現網絡安全風險的實時監控。

9.制定完善的網絡安全管理制度,強化各類人員的網絡安全意識。高校校園網絡安全制度建設是薄弱環節,也是導致校園網絡風險的原因之一。建立和完善信息安全管理機構,實現網絡信息安全的有效管理;建立相應的網絡安全管理制度,規范使用者使用校園網行為;建立應急管理預案,及時處理網絡問題;重視校園網絡安全管理隊伍建設,強化網絡安全意識的培養。

第一建立完善信息安全管理機構。建立以單位領導為首的信息安全管理機構,由單位領導牽頭,宣傳、技術等管理部門參與,成員包括信息管理員、技術人員等,各司其職,責任到人。

建議設立信息安全管理保障工作組,對信息安全提供預警、救援、恢復、監控和測評,負責網絡與信息安全保障體系建設的規劃、協調和監督。明確各級信息安全保障管理人員的工作職責,嚴格把握各個環節的信息安全,并對相關重大事項做出決定。

建議設立信息安全管理工作組,負責學校信息安全工作,對網站服務信息進行監視,對網絡有害信息的清理整治,并對執行情況進行檢查監督。各部門根據各自的職能分工負責與部門信息安全相關的具體工作。

第二建立完備的網絡安全制度。建立健全信息安全保密管理制度,實現信息安全保密責任制,層層把關,層層落實,責任到人;建立健全人員管理制度,無論是網絡管理者還是使用者,必須提高網絡安全認識,遵守網絡安全人員管理制度,實現網絡安全責任到人;建立健全數據安全管理制度和設備安全管理制度,實現網絡設備的安全運行和數據的安全傳輸和保存。建立健全網絡安全事件應急處置和報告制度,對影響網絡安全的突發事件有相應的應急預案和處理措施。能快速響應,及時發現,層級報告,針對不同問題有不同的舉措。

第三重視校園網絡安全管理隊伍建設,加強信息人員培訓。強化校園網絡管理隊伍建設,強化網絡管理者應對與處置網絡安全風險的能力。要安排相關人員定期參加各項網絡安全管理教育和相關網絡安全技術的培訓,鞏固和加強技術安全知識和技術能力;定期對相關人員進行網絡信息安全培訓并進行考核。

強化網絡安全意識,在思想上牢固樹立網絡安全人人有責的觀念,思想上這根弦始終繃緊,不放松;完善網絡安全管理制度能夠明確職責,有針對性地提升管理約束力;加強有關人員的培訓增強處理網絡安全問題的能力;只有網絡安全保障體系不斷完善,才能使網絡安全風險的有效防范,才能創造良好的網絡環境。

三、總結與展望

目前,國內高校網絡安全形勢依然非常嚴峻,要更加重視校園網絡安全工作,加大對網絡安全的投入,及時升級保障校園網絡安全的軟硬件設備,確保能適應當前網絡安全的需要。同時制定完善的網絡安全管理制度,強化用戶的網絡安全意識的培養,培養網絡安全人員處置風險的能力,建立網絡安全管理制度和應急防護的長效機制,才能有效地保障高校的校園網絡。