高校校園網安全現狀及優化探討

◆王巖紅

（廣東外語外貿大學教育技術中心 廣東 510420）

從 1994年中國教育和科研計算機網 CERNET工程啟動開始，高校的校園網經過了二十多年的飛速發展，在一定程度上代表了國內互聯網發展的現狀。校園網經歷了從管理型網絡到運營型網絡，再到服務型網絡的快速轉變。在轉變的過程中，對網絡管理部門在技術和管理上提出了新的要求和挑戰。隨著2017年6月《網絡安全法》的頒布實施，網絡安全提到了國家安全的高度。在新時期，承載著教學、科研、招生等各項工作的高校互聯網，也應提升管理水平，改造網絡架構，守護數據信息安全。

1 高校校園網的現狀及特點

1.1 校園網的網絡環境區劃及特點

在高校的校園網發展歷程中，逐漸形成了相對穩定的校內網絡環境區劃。一般劃分成了如下7個功能區域：

（1）網絡業務核心區。包括對外業務發布區和對內業務發布區。側重于對該區域的安全防護。

（2）專用網。包括財務專網、一卡通專網、安防監控專網等專用網絡。同一個校區內通過光纖將專網業務網絡設備直連。不同校區之間，在租用的運營商裸光纖鏈路上使用波分設備實現專網連接。

（3）教學區。包括普通上課教室和電腦密集的實驗室環境，要求網絡質量可靠，一般都采用有線網絡。

（4）辦公區。包括各行政單位和院系單位的辦公室區域，要求有線和無線網絡相結合。

（5）公共區域。包括大禮堂，圖書館，食堂，體育場等人員密集的公共區域，主要注重無線網絡的質量，滿足手機上網的需求。

（6）學生宿舍區。主要特點是人員密集，要求有線和無線網絡相結合，由于多數學校都是針對校園網用戶付費使用網絡，故側重防代理功能。

（7）家屬區。教職工的住宅區域，多數學校需要付費使用網絡，要求在家中可使用路由器自建 WIFI，有線和無線網絡相結合，滿足多終端的上網需求。

1.2 校區擴張帶來的多校區管理挑戰

高校為了適應國家發展和人民群眾對高等教育的需求，在不斷擴大招生的情況下，也在不斷建設新的校區，以突破原有校區地理位置的制約，向著更全面的學科建設和人才培養方向發展。同時，相應的校園網建設也需要擴張到新的校區。多校區的校園網管理也給網絡管理部門帶來了新的挑戰。

不同校區之間的網絡互聯一般采用租用運營商的裸光纖來實現。根據實際情況，不同校區可建立統一的互聯網出口，優點是方便統一的出口管理，缺點是分校區的外網訪問流量要繞回主校區，如果校區間租用的裸光纖鏈路一旦發生故障，則分校區的用戶將遭遇不能訪問外網的問題；或采用不同校區分別連接互聯網出口，優點是即使校區間的鏈路發生故障，也不會影響各校區用戶上網的需求，缺點是策略管理復雜，不易統籌規劃。

1.3 網絡業務龐雜，涉及部門眾多，帶來管理方面的挑戰

隨著互聯網產業的發展，高校中越來越多的業務轉為網上業務，如：門戶系統、辦公系統、教務系統、人事系統、薪酬系統、科研系統等等，而且各個業務系統之間多存在數據交互和共享，存在著不斷的功能升級和業務合并。

教學科研需求下的各種網絡發布空間和網絡實驗空間的需求旺盛。很多老師申請科研項目的展示和驗收都依賴于服務器，還有一些老師自己研究或帶領學生團隊研發一些應用系統，也依賴于服務器。導致托管到網絡部門的服務器越來越多，且這些服務器使用者多“輕維護，重實用”，服務器的安全性完全無法得到保證，也帶來了越來越復雜的管理問題。原有的那種“買臺服務器跑一個系統”的模式，已經不能滿足現階段的網絡安全管理要求。

1.4 有線和無線一體化管理

校園網在發展的過程中，已經從有線網絡占主體，發展到有線和無線網絡并存，再到無線網絡占主體的局面。根據廣外的實際情況，經統計，目前校園網內通過無線上網的人數已經占到了全校上網總人數的70%左右。校園網用戶的網絡使用習慣已經發生了巨大的變化，無線網成了大多數校園網用戶的主要上網方式。有線網絡則主要是提供給辦公教學區域和學生宿舍的臺式電腦使用，其他場景下多數用戶都是通過各種設備使用無線網絡。所以，提供優質可靠的無線網絡成了工作的重點。

在多數高校都進行網絡收費和要求實名上網的背景下，在需要突破原有校園網的IP和VLAN規劃的情況下，有線和無線的一體化認證管理，也對我們的管理水平提出了挑戰。

1.5 使用群體龐大，管理模式相對松散

校園網的使用群體非常的龐大，師生人數規模通常在幾萬人。面對數量龐大，并具有極高自主性的群體，高校的網絡管理部門無法像小型企業那樣，強制員工對電腦進行一些安全方面的防護，只能實行相對松散的管理模式。除了部分IT愛好者和計算機專業相關的理工科師生外，大多數師生的安全意識淡薄，不具備網絡安全常識，不知道要及時更新操作系統補丁，不安裝殺毒軟件，U盤到處插拔使用等等不安全的操作，導致了校園網內的病毒易傳播，一旦中招，影響范圍也廣。

2 新時期對高校校園網提出的挑戰

2.1 網絡安全上升到國家層面

習近平總書記在中央網信領導小組第一次會議上強調：“網絡安全與信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，沒有網絡安全就沒有國家安全，網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。”

2016年11月7日，全國人民代表大會常務委員會發布了《中華人民共和國網絡安全法》，并自2017年6月1日起施行。該法是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，而制定的法律。

2.2 等級保護制度的安全要求

等級保護制度（簡稱“等保”）是《中華人民共和國網絡安全法》所規定的，國家網絡安全保障工作的基本制度、基本策略、基本方法。網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行等級管理，對信息系統中發生的信息安全事件分等級響應、處置。開展網絡安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現[1]。

目前，等級保護制度已經從等保1.0時代進入了等保2.0時代。等保2.0重新對定級對象進行調整，定級對象從信息系統進一步擴展到基礎信息網絡、信息系統和其他信息系統，其中信息系統再細分為工業控制系統、物聯網、大數據、移動互聯以及云計算平臺。等保2.0不但進一步擴大了等級保護制度所涵蓋的范圍，而且還制定了相應的安全要求、實施和測評指南，為等保制度的實施提供了詳細的依據[2]。

高校校園網的建設也要嚴格遵守《中華人民共和國網絡安全法》所規定的“等級保護制度”。校園網在高速發展時期，往往“重建設、輕安全”，在國家法規發布之后，校園網要以此為契機，重新調整網絡結構，重視網絡安全防護方面的建設，來保障校園網的安全。

2.3 目前面臨的安全威脅

現階段，網絡犯罪分子不斷翻新攻擊手段，互聯網黑色產業鏈滲透更多供應鏈，網絡威脅行為中單純僅造成破壞性的炫技式行為逐漸減少，而以獲得經濟利益和政治訴求為目的滲透破壞行為快速增加。目前，校園網內存在的主要的安全威脅有網站篡改、數據竊取、木馬病毒、惡意挖礦、勒索病毒、巨量DDoS攻擊威脅等。特別是勒索病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

隨著大數據和人工智能的逐步應用，數據資產已經成為單位和個人的重要資產。在目前高校的各類信息數據就是學校最重要的數據資產。如何有效保護這些數據的安全，成為我們工作中的重中之重。

3 新形勢下的網絡安全對策

3.1 網絡結構優化——扁平化

將高校傳統的基于三層（接入-匯聚-核心）的傳統網絡架構向扁平化架構轉變。扁平化的網絡架構，不是要求物理連接層次上的必然減少，而是要從網絡中設備所承擔的功能上區分，將網絡邏輯劃分為業務控制層和帶寬接入層。帶寬接入層由匯聚和接入設備構成，僅提供基本的用戶高帶寬接入功能和相互間VLAN的二層隔離功能；業務控制層則由核心層設備構成，提供網絡中的用戶控制、業務功能實現等復雜功能。扁平化網絡結構模式，其優勢是實現精細化管理，高性能網絡運行和便捷的網絡管理。網絡結構扁平化使得校內的 IP和實名認證管理，以及有線無線一體化管理變得更加簡單和精確[3]，也避免了IP地址的浪費，方便了IPv6的部署。

3.2 收縮出口，強化邊界防護

校內的各項業務基本分為對內和對外兩個部分。對內業務主要是對校園網內的用戶提供服務，例如：DHCP服務，DNS服務，教務系統，人事系統，學工系統等等。此類業務僅需對校園內網用戶提供服務，在出口防火墻上應設置對外網用戶禁止訪問。對外部分業務主要是指學校需要對校園網之外的網絡用戶提供的服務，例如：網站訪問，郵件系統，招聘系統等等。此類業務需要經過嚴格的系統漏洞掃描，確保其不存在中高危漏洞，才能在防火墻上開放對外訪問的相應端口。一般的黑客攻擊都來自外網，故對外訪問的權限設置要特別慎重，出口防火墻上的策略應遵循最小化原則。

另外，有許多安全設備或服務可以給這些對外服務提供保障，例如 IPS、WAF、VPN、漏洞掃描設備，堡壘機，審計系統等，升級網絡安全設備，并針對特定的服務配置相應的策略，安全設備便可以為我們的信息安全保駕護航。

3.3 整合各項業務平臺，提高整體安全性

針對各種需求而產生的各類網站和信息系統，需要進行業務梳理，對業務相近的系統進行業務和數據整合，減少零散的業務系統，減少安全風險點，提高整體安全性。

對于校園網內各二級學院和行政單位自建的各類網站，安全性沒有任何保障，SQL注入，掛馬，跨站攻擊，惡意篡改等安全隱患層出不窮，管理的難度非常大。可以將這些網站都統一整合到網站群平臺，網站的安全性由網站群大平臺來保障，各部門就可以專注于內容的充實，而無須顧及安全方面的問題。

對于各種業務系統，各類數據都進行單獨采集，其安全性和準確性都無法得到保障。可以建立數據共享平臺，使得學校的各類基礎數據統一采集，統一維護，統一格式，各業務系統需要的時候只需調用數據共享平臺的數據即可，這樣對數據的維護管理也更加方便。

對于教學科研需求下的各種網絡發布空間和實驗空間的需求，可以建立私有云平臺，避免了各使用單位和個人單獨購買服務器而造成的財政方面的浪費和管理成本的提高。建立私有云平臺，可以讓使用者按需申請，調配相應的云平臺資源供其使用。便于管理的同時，也方便統一部署安全防護措施。

3.4 建立網絡安全與信息化領導小組，強化內部管理

信息安全工作需要管理和建設并重，重建設而輕管理是無法做好信息安全工作的。校內的部門及涉及的業務系統繁多，迫切需要建立一個網絡安全與信息化領導小組，來統籌校內的信息化建設和管理工作[4]。該職能部門的主要職責如下：

（1）制度建設。建立網絡安全管理制度和業務流程管理制度，對現有的各項制度進行整理；

（2）梳理校內現存的各種業務系統，實行備案制度，明確權責，明確各業務系統負責人，當有人員變更的情況下，備案信息也應及時更新；

（3）對于那些已無內容更新，無人管理的僵尸系統和服務器，要堅決關停；

（4）對新建的業務系統，在立項的初期，應考慮到系統建成之后配套的等級保護的制度的實行，并經過領導小組的審批；

（5）建立對外業務準入規則，并定期對其進行安全監測。發現有問題的，應通知相關單位及時整改。

3.5 定期在校內舉辦網絡安全活動，提高師生的安全意識

現在，高校師生的學習和生活都離不開網絡。但部分師生的網絡安全意識薄弱，計算機的使用技能不高。在校內有必要定期舉辦網絡安全的宣傳及培訓活動，提高師生的安全意識和實際防范技能。主要培訓內容有：（1）操作系統需要實時更新系統補丁。對于過于老舊，Windows已不提供技術支持的操作系統版本，如Windows XP、Windows Vista，應升級操作系統到較新的版本；（2）電腦應安裝殺毒軟件；（3）不要隨意打開不明來歷的郵件附件，不要隨意打開在互聯網上下載一些資源；（4）U盤在插入電腦前，確保電腦的殺毒軟件開啟，并已更新到最新版本的病毒庫；（5）要注意密碼安全，不能一個密碼走天下；（6）個人的信息不能隨意留在互聯網上，不要貪圖小利，要注意保護個人隱私數據。

4 結束語

在新時代的網絡安全背景下，數據已經成為單位和個人的重要資產。如何保護數據的安全是校園網安全管理的重要工作。圍繞著數據安全，大平臺業務整合已經成為大勢所趨，進一步收縮校園網的邊界管理，建立網絡安全與信息化領導小組，加強對信息資產的管理，建立清晰明了的業務臺賬，并在校內加強網絡安全知識宣傳，在網絡安全工作中做到“管建宣并重”，才能切實維護校園網的安全。高校也要在實踐中，加快人才培養，建立一支與互聯網發展速度相適應的網絡安全管理專業隊伍，注重人才培養，才可以確保校園網的整體安全穩定運行。