高校校园网安全现状及优化探讨

◆王岩红

（广东外语外贸大学教育技术中心 广东 510420）

从 1994年中国教育和科研计算机网 CERNET工程启动开始，高校的校园网经过了二十多年的飞速发展，在一定程度上代表了国内互联网发展的现状。校园网经历了从管理型网络到运营型网络，再到服务型网络的快速转变。在转变的过程中，对网络管理部门在技术和管理上提出了新的要求和挑战。随着2017年6月《网络安全法》的颁布实施，网络安全提到了国家安全的高度。在新时期，承载着教学、科研、招生等各项工作的高校互联网，也应提升管理水平，改造网络架构，守护数据信息安全。

1 高校校园网的现状及特点

1.1 校园网的网络环境区划及特点

在高校的校园网发展历程中，逐渐形成了相对稳定的校内网络环境区划。一般划分成了如下7个功能区域：

（1）网络业务核心区。包括对外业务发布区和对内业务发布区。侧重于对该区域的安全防护。

（2）专用网。包括财务专网、一卡通专网、安防监控专网等专用网络。同一个校区内通过光纤将专网业务网络设备直连。不同校区之间，在租用的运营商裸光纤链路上使用波分设备实现专网连接。

（3）教学区。包括普通上课教室和电脑密集的实验室环境，要求网络质量可靠，一般都采用有线网络。

（4）办公区。包括各行政单位和院系单位的办公室区域，要求有线和无线网络相结合。

（5）公共区域。包括大礼堂，图书馆，食堂，体育场等人员密集的公共区域，主要注重无线网络的质量，满足手机上网的需求。

（6）学生宿舍区。主要特点是人员密集，要求有线和无线网络相结合，由于多数学校都是针对校园网用户付费使用网络，故侧重防代理功能。

（7）家属区。教职工的住宅区域，多数学校需要付费使用网络，要求在家中可使用路由器自建 WIFI，有线和无线网络相结合，满足多终端的上网需求。

1.2 校区扩张带来的多校区管理挑战

高校为了适应国家发展和人民群众对高等教育的需求，在不断扩大招生的情况下，也在不断建设新的校区，以突破原有校区地理位置的制约，向着更全面的学科建设和人才培养方向发展。同时，相应的校园网建设也需要扩张到新的校区。多校区的校园网管理也给网络管理部门带来了新的挑战。

不同校区之间的网络互联一般采用租用运营商的裸光纤来实现。根据实际情况，不同校区可建立统一的互联网出口，优点是方便统一的出口管理，缺点是分校区的外网访问流量要绕回主校区，如果校区间租用的裸光纤链路一旦发生故障，则分校区的用户将遭遇不能访问外网的问题；或采用不同校区分别连接互联网出口，优点是即使校区间的链路发生故障，也不会影响各校区用户上网的需求，缺点是策略管理复杂，不易统筹规划。

1.3 网络业务庞杂，涉及部门众多，带来管理方面的挑战

随着互联网产业的发展，高校中越来越多的业务转为网上业务，如：门户系统、办公系统、教务系统、人事系统、薪酬系统、科研系统等等，而且各个业务系统之间多存在数据交互和共享，存在着不断的功能升级和业务合并。

教学科研需求下的各种网络发布空间和网络实验空间的需求旺盛。很多老师申请科研项目的展示和验收都依赖于服务器，还有一些老师自己研究或带领学生团队研发一些应用系统，也依赖于服务器。导致托管到网络部门的服务器越来越多，且这些服务器使用者多“轻维护，重实用”，服务器的安全性完全无法得到保证，也带来了越来越复杂的管理问题。原有的那种“买台服务器跑一个系统”的模式，已经不能满足现阶段的网络安全管理要求。

1.4 有线和无线一体化管理

校园网在发展的过程中，已经从有线网络占主体，发展到有线和无线网络并存，再到无线网络占主体的局面。根据广外的实际情况，经统计，目前校园网内通过无线上网的人数已经占到了全校上网总人数的70%左右。校园网用户的网络使用习惯已经发生了巨大的变化，无线网成了大多数校园网用户的主要上网方式。有线网络则主要是提供给办公教学区域和学生宿舍的台式电脑使用，其他场景下多数用户都是通过各种设备使用无线网络。所以，提供优质可靠的无线网络成了工作的重点。

在多数高校都进行网络收费和要求实名上网的背景下，在需要突破原有校园网的IP和VLAN规划的情况下，有线和无线的一体化认证管理，也对我们的管理水平提出了挑战。

1.5 使用群体庞大，管理模式相对松散

校园网的使用群体非常的庞大，师生人数规模通常在几万人。面对数量庞大，并具有极高自主性的群体，高校的网络管理部门无法像小型企业那样，强制员工对电脑进行一些安全方面的防护，只能实行相对松散的管理模式。除了部分IT爱好者和计算机专业相关的理工科师生外，大多数师生的安全意识淡薄，不具备网络安全常识，不知道要及时更新操作系统补丁，不安装杀毒软件，U盘到处插拔使用等等不安全的操作，导致了校园网内的病毒易传播，一旦中招，影响范围也广。

2 新时期对高校校园网提出的挑战

2.1 网络安全上升到国家层面

习近平总书记在中央网信领导小组第一次会议上强调：“网络安全与信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。”

2016年11月7日，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》，并自2017年6月1日起施行。该法是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，而制定的法律。

2.2 等级保护制度的安全要求

等级保护制度（简称“等保”）是《中华人民共和国网络安全法》所规定的，国家网络安全保障工作的基本制度、基本策略、基本方法。网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行等级管理，对信息系统中发生的信息安全事件分等级响应、处置。开展网络安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现[1]。

目前，等级保护制度已经从等保1.0时代进入了等保2.0时代。等保2.0重新对定级对象进行调整，定级对象从信息系统进一步扩展到基础信息网络、信息系统和其他信息系统，其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。等保2.0不但进一步扩大了等级保护制度所涵盖的范围，而且还制定了相应的安全要求、实施和测评指南，为等保制度的实施提供了详细的依据[2]。

高校校园网的建设也要严格遵守《中华人民共和国网络安全法》所规定的“等级保护制度”。校园网在高速发展时期，往往“重建设、轻安全”，在国家法规发布之后，校园网要以此为契机，重新调整网络结构，重视网络安全防护方面的建设，来保障校园网的安全。

2.3 目前面临的安全威胁

现阶段，网络犯罪分子不断翻新攻击手段，互联网黑色产业链渗透更多供应链，网络威胁行为中单纯仅造成破坏性的炫技式行为逐渐减少，而以获得经济利益和政治诉求为目的渗透破坏行为快速增加。目前，校园网内存在的主要的安全威胁有网站篡改、数据窃取、木马病毒、恶意挖矿、勒索病毒、巨量DDoS攻击威胁等。特别是勒索病毒，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

随着大数据和人工智能的逐步应用，数据资产已经成为单位和个人的重要资产。在目前高校的各类信息数据就是学校最重要的数据资产。如何有效保护这些数据的安全，成为我们工作中的重中之重。

3 新形势下的网络安全对策

3.1 网络结构优化——扁平化

将高校传统的基于三层（接入-汇聚-核心）的传统网络架构向扁平化架构转变。扁平化的网络架构，不是要求物理连接层次上的必然减少，而是要从网络中设备所承担的功能上区分，将网络逻辑划分为业务控制层和带宽接入层。带宽接入层由汇聚和接入设备构成，仅提供基本的用户高带宽接入功能和相互间VLAN的二层隔离功能；业务控制层则由核心层设备构成，提供网络中的用户控制、业务功能实现等复杂功能。扁平化网络结构模式，其优势是实现精细化管理，高性能网络运行和便捷的网络管理。网络结构扁平化使得校内的 IP和实名认证管理，以及有线无线一体化管理变得更加简单和精确[3]，也避免了IP地址的浪费，方便了IPv6的部署。

3.2 收缩出口，强化边界防护

校内的各项业务基本分为对内和对外两个部分。对内业务主要是对校园网内的用户提供服务，例如：DHCP服务，DNS服务，教务系统，人事系统，学工系统等等。此类业务仅需对校园内网用户提供服务，在出口防火墙上应设置对外网用户禁止访问。对外部分业务主要是指学校需要对校园网之外的网络用户提供的服务，例如：网站访问，邮件系统，招聘系统等等。此类业务需要经过严格的系统漏洞扫描，确保其不存在中高危漏洞，才能在防火墙上开放对外访问的相应端口。一般的黑客攻击都来自外网，故对外访问的权限设置要特别慎重，出口防火墙上的策略应遵循最小化原则。

另外，有许多安全设备或服务可以给这些对外服务提供保障，例如 IPS、WAF、VPN、漏洞扫描设备，堡垒机，审计系统等，升级网络安全设备，并针对特定的服务配置相应的策略，安全设备便可以为我们的信息安全保驾护航。

3.3 整合各项业务平台，提高整体安全性

针对各种需求而产生的各类网站和信息系统，需要进行业务梳理，对业务相近的系统进行业务和数据整合，减少零散的业务系统，减少安全风险点，提高整体安全性。

对于校园网内各二级学院和行政单位自建的各类网站，安全性没有任何保障，SQL注入，挂马，跨站攻击，恶意篡改等安全隐患层出不穷，管理的难度非常大。可以将这些网站都统一整合到网站群平台，网站的安全性由网站群大平台来保障，各部门就可以专注于内容的充实，而无须顾及安全方面的问题。

对于各种业务系统，各类数据都进行单独采集，其安全性和准确性都无法得到保障。可以建立数据共享平台，使得学校的各类基础数据统一采集，统一维护，统一格式，各业务系统需要的时候只需调用数据共享平台的数据即可，这样对数据的维护管理也更加方便。

对于教学科研需求下的各种网络发布空间和实验空间的需求，可以建立私有云平台，避免了各使用单位和个人单独购买服务器而造成的财政方面的浪费和管理成本的提高。建立私有云平台，可以让使用者按需申请，调配相应的云平台资源供其使用。便于管理的同时，也方便统一部署安全防护措施。

3.4 建立网络安全与信息化领导小组，强化内部管理

信息安全工作需要管理和建设并重，重建设而轻管理是无法做好信息安全工作的。校内的部门及涉及的业务系统繁多，迫切需要建立一个网络安全与信息化领导小组，来统筹校内的信息化建设和管理工作[4]。该职能部门的主要职责如下：

（1）制度建设。建立网络安全管理制度和业务流程管理制度，对现有的各项制度进行整理；

（2）梳理校内现存的各种业务系统，实行备案制度，明确权责，明确各业务系统负责人，当有人员变更的情况下，备案信息也应及时更新；

（3）对于那些已无内容更新，无人管理的僵尸系统和服务器，要坚决关停；

（4）对新建的业务系统，在立项的初期，应考虑到系统建成之后配套的等级保护的制度的实行，并经过领导小组的审批；

（5）建立对外业务准入规则，并定期对其进行安全监测。发现有问题的，应通知相关单位及时整改。

3.5 定期在校内举办网络安全活动，提高师生的安全意识

现在，高校师生的学习和生活都离不开网络。但部分师生的网络安全意识薄弱，计算机的使用技能不高。在校内有必要定期举办网络安全的宣传及培训活动，提高师生的安全意识和实际防范技能。主要培训内容有：（1）操作系统需要实时更新系统补丁。对于过于老旧，Windows已不提供技术支持的操作系统版本，如Windows XP、Windows Vista，应升级操作系统到较新的版本；（2）电脑应安装杀毒软件；（3）不要随意打开不明来历的邮件附件，不要随意打开在互联网上下载一些资源；（4）U盘在插入电脑前，确保电脑的杀毒软件开启，并已更新到最新版本的病毒库；（5）要注意密码安全，不能一个密码走天下；（6）个人的信息不能随意留在互联网上，不要贪图小利，要注意保护个人隐私数据。

4 结束语

在新时代的网络安全背景下，数据已经成为单位和个人的重要资产。如何保护数据的安全是校园网安全管理的重要工作。围绕着数据安全，大平台业务整合已经成为大势所趋，进一步收缩校园网的边界管理，建立网络安全与信息化领导小组，加强对信息资产的管理，建立清晰明了的业务台账，并在校内加强网络安全知识宣传，在网络安全工作中做到“管建宣并重”，才能切实维护校园网的安全。高校也要在实践中，加快人才培养，建立一支与互联网发展速度相适应的网络安全管理专业队伍，注重人才培养，才可以确保校园网的整体安全稳定运行。