构建网络安全体系，营造美好智慧校园

◆蓝 耿

（广西财经学院现代教育技术部 广西 530003）

构建网络安全体系，营造美好智慧校园

◆蓝 耿

（广西财经学院现代教育技术部 广西 530003）

本文对当前我国校园网络环境的特殊性及校园网络安全问题的现状进行分析，探讨了校园网络中各种安全隐患出现的原因，为构建智慧校园网络安全保障体系提出了全方位的安全策略。

智慧校园；网络安全；安全技术

0 前言

我国在网络信息化规划中提出了网络学习的重要性，其更是强调了校园网络科研的融合创新、校园校务治理的透明化、并且加大校园文化丰富性、校园生活便捷化，而这便是智慧校园。而在智慧校园的建设过程中，最重要的是构建健全的网络安全体系。就当前我国各高校的情况来看，校园网络安全问题仍然众多，因此本文对于智慧校园网络安全体系进行研究，意义重大。

1 智慧校园网络结构存在的安全隐患

1.1 网络系统自身漏洞

系统漏洞指的是网络系统本身所存在的、在设计的过程中并没有考虑到的缺陷，这些缺陷有些也是随着网络技术的不断发展，系统没有及时更新都呈现出的弊端。所以从理论上讲，随着网络技术的进步和网络系统的升级，任何系统都可能会存在着不同程度的漏洞。因为漏洞的存在，使得各种有针对性的网络攻击和蠕虫病毒不断的产生。所以网络系统自身漏洞的网络安全问题的维护是一个长期的过程。

在当前最流行和普遍的计算系统Windows，在设计上也存在着不足和弊端，而大部分的网络病毒都是针对Windows而来的。如2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq)，病毒可恶意隐藏用户文档，并借修复数据之名向用户索取钱财。“敲诈者”在被截获后短短10天内，导致全国数千人中招，许多个人和单位受到重大损失。

而在智慧校园的建设过程中，连接各项工作的基础是网络系统。就当前高校所使用的网络服务器来说，无论是性能较好的UNIX，还是问题较多的Windows，其漏洞和缺陷不断地被发现，而有针对性的攻击也随之而来。可以预见，未来针对网络系统漏洞所产生的安全问题依然严峻，智慧校园的建设依然任重而道远。

1.2 校园网络内部安全隐患

壁垒往往容易从内部攻破，来自于机构内部的攻击也是最难防御的。校园网的内部安全隐患往往与校园内部的用户群体有关。校园网的主要用户是学生，由于青年学生受新技术和好奇心的驱动，对技术有执着的追求，经常尝试各种黑客攻击。并且其法律意识淡薄，道德教育不到位，使得校园网成为首先受到攻击的目标。而当前大多高校的网络管理缺乏，主要表现在缺乏统一的网络出口、网络管理软件、网络监控、日志系统以及身份认证系统。使得学校的网络管理缺少有效的监控。此外很多学校的系统维护人员在对网络维护过程中缺乏责任心，在维护过程中减少甚至取消对系统的日常维护工作，因此校园网络内部安全隐患同样是严重的。

1.3 来自外部网络的安全隐患

来自校园网络外部的安全隐患主要是网络黑客对于校园网络的入侵，有些人出于好奇心，蓄意破坏，以及为了使自己获得某种非法利益等目的，利用网络协议、服务器和操作系统的安全漏洞以及管理上的疏漏非法访问资源、删改数据、破坏系统。而校园网中，很多行政和教学单元的电脑中存有涉及机密的文件，比如试卷、学生成绩等。在拒绝服务(DoS)攻击在Internet上活动猖獗的时候，大部分攻击都是利用这些主机在管理上的漏洞来达到发动攻击的目的，同时也隐藏了自己。这些行为给校园网的安全运行造成了严重的威胁，同时也损害了高校的声誉。

1.4 网络病毒产生的安全隐患

随着计算机网络的发展，病毒可以通过计算网络利用多种方式（电子邮件、网页、即时通讯软件等）进行传播，在2015年监测出校网络存在病毒“求职信”病毒，从其开始传播到现在受害人数量不断增加（表1）。对于校园网络来说，网络病毒主要是来自校园网外部的计算机，通过校园网内的接入点，将病毒接入到校园网内部。而与发达国家相比，我国整理的网络立法、管理制度滞后，网络病毒传播肆孽。而网络病毒本身具有很强的隐藏性，高校内的学生网络安全意识较差，很多经过伪装的病毒还可能被用户当作正常的程序而运行，这也是病毒触发的一种手段，并且其有极强的破坏性。根据权威机构，以Novel1 网为例，一旦文件服务器的硬盘被病毒感染，就可能造成Net Ware 分区中的某些区域上内容的损坏，使网络服务器无法启动，导致整个网络瘫痪，造成不可估量的损失。而当前的大部分高校对于网络病毒方面的防御机制缺乏，也使得各种网络病毒在校园内横行，影响着智慧校园的建设。

表1 2015-2016年最恶劣的校园病毒前10名情况

2 智慧校园网络安全体系构建

2.1 智能设施安全

网络设备的是网络安全最重要的部分，而智能设备是建设智慧校园体系的关键。所以要保证校园网络正常，首先要保证硬件能够正常使用。通常情况下可采取的措施主要有：减少自然灾害（如火灾、水灾、地震等）对计算机设备及软件资源的破坏，减少外界环境（如温度、湿度、灰尘、供电系统、外界强电磁干扰等）对网络信息系统运行可靠性造成的不良影响。

并且在选择设备的时候应该选用具有较高的可用性、可靠性、可扩展性的多核处理器的服务器；采用服务器UPS电源，为系统连续稳定的运行提供不间断的原动力；在校园网规划的时候中心交换机应考虑采用三层交换技术。三层交换技术可以完成常规交换机的网络连接功能，又可以解决局域网网段划分问题，解决了传统路由器低速、复杂所造成的网络瓶颈问题；在存储设备上，由于服务器读写硬盘的频率是非常高的，所以在选用存储设备上，应尽可能地购买性能较好、高稳定、高读写速度的设备。

2.2 网络体系安全

网络体系安全应该强调网络拓扑安全的重要性，保证安全域划分与边界防护有效合理，严格控制网络资源访问，以科学合理的检测方式检测入侵，确保网络设施防病毒工作科学有效。网络拓扑安全均以新型网络拓扑结构实现，比如VL2、Port Land等，以此确保节点间具备较强的连通性，其容错能力便可有效提升，同时合理均衡负载。以VPN 及数据加密等项技术来保证用户数据传输安全稳定。以分布式入侵检测及病毒防护系统预防黑客的攻击，亦可以其他安全措施及技术实现防护，比如端口绑定及虚拟防火墙构建，再是提供Anti-DDos服务，确保网络访问控制机制科学合理，各虚拟服务器中仅可运行一个网络服务，禁止其直接访问敏感数据，服务器仅具备相应的服务端口，剩下的则全部关闭。学校网络管理者应全面掌握路由器、交换机、服务器等设施的网络配置，要深层了解网络拓扑结构，及时发现其间存在的问题并进行定位，之后再统计访问流量，正确识别不正常的使用情况，再将其严格封禁。

2.3 数据信息安全

传统数据信息安全强调的是将数据保存于学校可控范围内，网络环境中的数据均保存于网络服务器中，学校数据的危险性则更为突出。网络环境下数据信息安全标准应于数据隔离、访问控制、数据加密、数据残留等方面进行分析，要确保学校数据安全完整。要加强数据隔离，通常虚拟化资源库十分关键，虚拟技术为网络信息核心技术，其可将用户数据储存于共享物理储存中。此类虚拟化较多的用户环境中存在诸多安全隐患，可以不同应用需求提出隔离措施，保证用户数据安全隐私；并不断加强访问控制，要强调数据维护私密性，数据访问控制工作的有序开展应构建科学统一的身份管理平台，加强安全认证和方位权限控制力度。用户安全认证及访问权限控制的主要目的为多用户状态下，允许授权合法的用户访问数据，常用认证技术为数字签名、单点登录认证、双因子登录认证；数据加密工作亦非常关键，此方式可有效确保数据私密性，应对敏感数据严格加密，确保数据被非法用户窃取时，数据机密亦不会被泄露。可用的数据加密算法有很多，要选择适宜的方式加密算法，确保学校数据传输安全稳定，再对储存数据进行严格加密，为数据网络传输及储存提供安全的外部环境。同时对文件系统进行加密，确保智慧校园网中数据的安全。数据残留，通常智慧校园网络的数据存在于共享设施中，数据残留的问题会导致敏感数据被泄露，这时储存资源被重新分配，再将数据多次擦除，尽可能防止其间出现非法重建的问题；数据备份还原，数据储存时，用户均应全面分析数据丢失风险，以便应对突发状况而导致的数据丢失，使得各项业务停止运转，网络要及时进行灾难恢复，保证各项服务不中断，要积极完善网络容灾备份机制，从而有效增强网络系统运行安全性。

2.4 网络管理安全

智慧校园网的网络安全体系架构管理工作十分关键，此项体系非常庞大，管理工作亦复杂多变，为了能够确保数据安全，确保服务连续性，相关人员应根据学校的实际情况提出针对性管理策略，并为此构建科学有效的管理制度，以安全审计系统防止入侵，并详细记录各方面内容，确保各项维护工作有序开展，从而提高事后审查能力。

3 结束语

随着当前我国高校扩招进程不断推进，高校校园学生的数量不断增加，意味着校园网络的用户在不断增加，同时网络技术的更新日新月异。各种网络攻击行为也会更加的复杂，所以在我国的网络信息化规划中提出的智慧校园建设的过程中，要积极地从各个方面加强对于校园网络的安全管理，构建校园网络安全体系，营造美好智慧校园。

[1]于长虹，王运武，马武．智慧校园的智慧性设计研究[J]．中国电化教育，2014．

[2]钟绍春．教育云、智慧校园和网络学习空间的界定与关系研究[J]．中国教育信息化，2014．

[3]蒋家傅，钟勇，王玉龙，李宗培，黄美仪．基于教育云的智慧校园系统构建[J]．现代教育技术，2013．

[4]陈翠珠，黄宇星．基于网络的智慧校园及其系统构建探究[J]．福建教育学院学报，2012．