中小學校園網絡安全問題與防范對策分析

摘?要：隨著計算機和互聯網技術的不斷發展與普及，中學校園網建設水平獲得長足進展，在現代校園中網絡信息技術應用范圍不斷擴大，從傳統的PC端再到移動端，多終端的信息流互通互聯給師生的教育教學工作和學習生活帶來了極大便利，與此同時校園網絡信息安全問題與風險也在增加。本文通過所在區域城區中小學校園網絡安全情況的了解，對其中存在的問題進行分析，并就如何增強校園網絡安全提出具體防范對策，文中包含筆者對當前校園網絡安全技術問題的看法和見解，探討有效防范與控制校園網絡安全風險的對策。

關鍵詞：校園網;網絡安全;分析;防范對策

校園網作為提高教育教學和管理質量的重要手段，已經成為學校教學與行政辦公最基本設施之一，它的安全問題直接與全校師生的教學和學習相關，沒有校園網絡的安全穩定運行，教育教學工作就無法正常持續開展。特別是在城區的中小學校園不斷地往數字校園和智慧校園演進，其中涉及的網絡綜合布線更復雜，信息應用系統更龐大，同時網絡安全問題也更為突出，一旦發生校園網絡安全事件，將極大影響全校師生的教育教學工作和學習生活。

一、 校園網絡安全現狀及問題

目前筆者所在區域城區中小學校的校園網絡主干線路都已經實現光纖專線接入，因特網出口帶寬均達到百兆以上，校園樓宇樓層之間實現百兆甚至千兆對接，至少百兆到桌面，逐步實現千兆到終端，隨著教育信息化的發展，在城市一級的中小學校，已經越來越重視數字校園的建設，有一些學校無線網絡已覆蓋校園，網絡建設投入力度大，用戶信息點多應用系統范圍廣等，與此同時安全方面隱患問題也很突出，比如網絡黑客攻擊、計算機病毒感染、地震火災、水災斷電等自然災害和人為原因等，經過分析主要有如下幾方面的網絡安全問題。

（一）校園網絡安全制度不到位，網絡管理與技術能力不足

我國于2016年11月7日發布了《中華人民共和國網絡安全法》并規定此法2017年6月1日起生效施行。許多學校投入大量資金建設數字校園或智慧校園，實現了校園網絡的信息化、數字化、智能化，雖然大部分學校有專門的網絡信息中心來統籌學校網絡的建設和管理，但重建設輕管理現象還比較突出，沒有建立完善的網絡安全管理規章制度，缺少專業并且固定的網絡管理人員，在技術能力方面存在不足。

（二）網絡架構設計不合理

由于學校內部缺乏專業技術力量支撐，很多中小學的校園網絡規劃很零散，只考慮最近需求，不考慮后續建設擴展，東建一塊西建一塊，沒有網絡整體架構規劃設計思想。學校通常采用集成商承建的方式進行校園網建設，由于設計方案和具體施工主要交由集成商來負責，在設計的時候，集成商的整體設計思路可能存在缺陷，缺乏對整個校園網網絡安全需求的全面分析，以及和學校各科室部門網絡用戶的溝通不足，最終導致了校園網絡的設計方案與實際應用存在偏差甚至不適用，特別是整體網絡架構設計的不合理帶來了很大的安全隱患。

（三）網絡黑客攻擊與入侵

現在的網絡攻擊門檻很低，腳本小子可以輕易地在網絡上下載到自動化、傻瓜化的黑客工具，然后運行開始自動化掃描探測攻擊，針對某些未打漏洞補丁或者存在其他安全缺陷的機器進行入侵，被入侵后黑客非法獲取服務器或PC上的重要敏感數據，如教師和學生的身份信息、學生成績數據等。還有通過劫持信息、投放惡意代碼、DDOS等方式攻擊校園網站服務器和網絡設備，造成服務器癱瘓、門戶網站不能運行、網絡擁塞等，黑客攻擊手段花樣很多，所要達到的目的各不相同。校園內部也會有網絡攻擊的問題，有極個別學生受好奇心驅使然后利用網上現成的黑客工具，對本校的門戶網站或其他信息系統進行攻擊入侵，并非法訪問服務器和相關信息系統，目的是為了修改數據或者炫耀自己掛一張黑頁，甚至破壞信息系統，造成很壞的影響。

（四）計算機病毒入侵

計算機病毒是所有網絡正常穩定運行最大的一個威脅，它是對計算機和網絡具有破壞作用的一段惡意代碼，常見的傳播方式有：利用瀏覽器漏洞定點投毒;潛藏在U盤等移動存儲介質里面;把惡意病毒代碼捆綁在應用軟件放到網絡上提供下載;通過被控制的計算機主動掃描薄弱機器進一步傳播;利用發送特定惡意代碼病毒郵件進行釣魚攻擊傳播等等。以上各種手段傳播的計算機病毒在條件合適的時候就會被激活執行。計算機病毒會對系統資源進行破壞，輕則計算機運行速度變很慢，重則網絡堵塞、操作系統崩潰、設備硬件損壞、整個網絡陷入癱瘓狀態。

（五）軟件系統存在缺陷和漏洞

我們知道任何軟件系統，比如操作系統和應用軟件多少都會存在一些已知或未知的漏洞，驗證一句話就是系統應用的多，使用的人多，發現的漏洞也會多。當前中小學校園里的計算機95%以上使用的都是Windows系列操作系統，該操作系統在全球范圍都是絕對主流的操作系統，用戶數量龐大，使用和研究它的人非常多，是極客和黑客分析找漏洞的最主要目標之一，一旦黑客找到漏洞，他們就會想方設法編寫利用程序（也稱為Exploit Code）來攻擊存在漏洞的計算機或者網絡終端。其他非Windows操作系統主要用在服務器領域，比如Linux/UNIX操作系統，雖然這些操作系統相對較安全，但也同樣也存在不少缺陷和漏洞。除了操作系統存在漏洞，應用級別的軟件也同樣會存在缺陷漏洞，比如IE、FireFox、Chrome瀏覽器，微軟Office辦公軟件、下載工具、聊天程序等應用軟件，它們同樣也存在風險。

二、 校園網絡安全防范對策

（一）健全校園網絡安全制度，增強網絡安全意識

保障校園網絡信息安全除了專門的網管人員和自動化技術手段外，規范的規章制度與管理制度才是根本。學校應根據《網絡安全法》《網絡安全等級保護制度2.0標準》等法律法規及標準文件，制定出適合本校可行的校園網絡安全管理規章制度和執行辦法，成立專門的以校長一把手為組長的網絡安全領導小組，在強有力的機構保障下，后續網絡安全工作才好開展，才能做實做細。校園網的網絡樞紐重地中心機房，應針對機房的防火、防水以及網絡攻擊入侵等安全事件，制定出周全的應急處理預案，并定期開展預案的實操演練，不斷提高網絡安全事件的應急處理能力。通過專門的會議、培訓或者講座，對全校教職員工和學生進行網絡安全宣傳，持續增強校園網用戶的網絡安全意識。在日常網絡使用中，不隨意打開來歷不明的鏈接地址、可執行文件和電子郵件等操作;不隨意從因特網上下載安裝軟件;U盤等移動存儲介質使用時注意安全掃描，防止通過U盤傳播計算機病毒;不同用途的系統登錄賬號，設置不同的密碼，同時密碼長度和強度要達到一定的復雜度要求。

（二）規劃好網絡整體架構，優化網絡結構。

在進行校園網建設時要有整體規劃思想，為了避免規劃設計的不合理和片面性，應該在前期調研物色一家專業的校園網絡規劃設計可研機構，讓專業的公司和專業人員來做網絡架構整體合理規劃的工作，這樣有利于后續一系列依托該網絡架構的應用和拓展建設，避免出現混亂和重復建設情況，節省資金和人力物力的浪費投入。網絡結構優化可以考慮用核心交換機的VLAN功能合理劃分虛擬局域網，把不同樓宇和使用用途的網段邏輯上獨立出來，保障了校園內部局域網的安全，在某個網段出問題，不至于影響全校的網絡運行，提高了網絡安全水平。

（三）部署硬件防火墻和入侵檢測系統

部署硬件網絡防火墻在校園網與英特網之間構筑一道特殊的防護墻，對內對外進行訪問策略控制，通過前期對內部應用系統和終端的使用范圍劃分，以此設置對外訪問和外界對內部訪問的策略控制。有了網絡硬件防火墻，就可以保護我們的內部網絡不會輕易地受到外部網絡黑客的攻擊，假如黑客的技術非常高超，那么這道防護墻無形當中提高了許多攻擊成本。

應用入侵檢測系統（IDS）對網絡傳輸數據流進行檢測監控，它會對數據包進行拆解，當發現有異常的網絡攻擊數據流和規則匹配時，將啟動保護機制模塊，把攻擊行為攔截下來，不作進一步傳輸并把日志記錄下來給網絡管理人員發送告警信息。入侵檢測系統可以在網絡出現問題時得到及時有效處理，提高網絡安全事件應急處置能力，保護校園網內的軟資產不被非法攻擊入侵和竊取。

（四）部署網絡殺毒軟件

計算機病毒在網絡中傳播速度非常快破壞性也很強，校園的終端點多面廣，根據實際情況可以考慮部署能集中統一管理的網絡版殺毒軟件。校園辦公和機房計算機數量比較多，如果是單機安裝維護，勢必造成運維煩瑣費時費力，因此選擇使網絡版殺毒軟件是合適的，把核心殺毒引擎安裝在專人維護的服務器中，校園網終端只需安裝指定的客戶端程序，便可實現對校園所有聯網的計算機實施統一查殺工作。作為網絡安全運維人員只需對服務器端的殺毒引擎進行專業維護即可，這樣就能一處及時更新病毒庫和特征碼就能實現全校的自動更新，極大地提高了計算機病毒防控和查殺能力。

（五）及時更新設備系統與應用程序，完善數據備份機制

校園網絡中相關設備很多，比如核心交換機、路由器、服務器、防火墻、入侵檢測、行為管理以及辦公和教學用PC等，它們的軟件版本都是動態變化的，版本升級與更新速度很快。這么多系統軟件和應用程序，它們在使用過程中會被不斷地挖掘出缺陷和漏洞，為了與黑客賽跑爭取時間，必須做到及時更新系統與應用程序的版本和補丁。

做好數據備份是校園網絡數據安全當中非常重要的工作，而且要做到多種備份方式并行，包括本地備份、本地異機備份和遠程異地備份等。本地備份是數據災備最重要的一個環節，如果是門戶站點的數據盡量做到雙活熱備，即使是受到黑客攻擊也可以立即切換服務器，保障門戶服務不間斷;如果是個人自身的重要數據，可以通過本機或者移動存儲介質進行多模式備份，總之有備無患這是最重要的。

三、 網絡空間安全感想

計算機和網絡技術的發展與應用，給我們的工作和生活不但提供了極大的便利，并且提高了工作效率和生活水平。近年來校園網絡技術的發展和信息化應用程度的不斷提高，給師生的教育和學習帶來深刻的變革，讓我們切身感受到離開校園網我們的教育教學工作將無法順利開展，因此確保校園網絡安全是一項非常重要的工作。本文從中小學校園網絡特點出發分析了當前校園網絡安全存在的問題以及面臨的威脅，并提出防范網絡安全問題的具體對策和措施，希望能在校園網絡安全建設，確保校園網安全穩定運行工作中提供一些借鑒作用。沒有網絡安全就沒有國家安全，在這邊我們可以說沒有網絡安全就沒有校園安全，網絡安全將是一個持續不斷的話題。

作者簡介：鄒文筆，福建省漳州市，漳州市教育裝備中心（漳州市電化教育館）。