□陈 瑞,吴晓光

(山西广播电视大学,山西 太原 030027)

安全、稳定、高效的校园网络是高校重要的信息基础设施,通过校园网络能够开展对外宣传、网上教学,能够满足教职工办公的自动化和学生网上学习的需求,因此,规划、设计和建设安全校园网是高校网络建设的重要工作。但绝大多数校园网络设计注重功能的实现,而忽略了网络安全。随着网络应用的不断普及,面临的网络安全风险在不断升级,网络安全已经成为建设信息化校园最大的挑战,建设完善有效的校园网安全体系才能创建一个高效安全的校园网络环境。

一、高校校园网络安全现状

由于计算机网络自身开放性、共享性和互联性的特点,当高校网络接入互联网以后,自然而然会遇到来自互联网上的各种攻击与威胁,比如病毒、数据破坏、入侵攻击,以及信息的篡改、恶意软件等形形色色的威胁。当然,还有校园网络规划和网络安全管理制度等因素对高校网络安全造成了一定隐患。通过对高校网络现状的分析,我们可将当前校园网的安全问题归纳为四个方面:

一是网络安全威胁日益复杂隐蔽。钓鱼网站、网页篡改、木马和僵尸网络等传统网络安全威胁持续发生,分布式拒绝服务攻击、网站后门、移动互联网恶意程序、高级持续威胁(APT攻击)等网络攻击,来源更加多样、手段更加复杂、方式更加隐蔽、影响更加严重。

二是网络安全威胁不断蔓延扩散。电脑、手机等终端随着互联网与经济社会各领域逐步融合,网络安全威胁和风险加快从线上向线下渗透。入侵控制、感染病毒、漏洞被利用等风险持续放大,网络空间安全事件造成的破坏不断从虚拟空间向现实物理世界扩散,带来严重的安全威胁。

三是网络安全管理制度不完善,管理者缺乏管理意识;网络技术人员缺乏培训,没有足够的应对网络安全威胁的能力;网络设备安全管理不到位,相应的安全配套设施不健全,比如应用带宽控制、用户访问控制授权实名认证、日志审计等。

四是初期校园网络规划混乱。校园网络规划初期,没有考虑长期的发展,只满足于当下的需求,更没有考虑到后来复杂的网络安全问题,导致出现网络安全故障时只能“头痛医头，脚痛医脚”,在增加或提升网络安全设备时不能一步到位,无法形成合力,发挥不了充分的作用。

二、高校校园网络安全防范策略

针对当前校园网络面临的安全风险因素,从技术、管理和服务三方面出发,防范校园网络安全具体策略从以下九个方面入手:

1.统一规划校园网络,加强网络安全防御。从应用性、安全性和可扩展性出发,从物理网络环境、网络设备、应用服务及应用数据等几个方面分析,全面考虑有线网络安全、无线网络安全、智能终端和移动应用安全等统一规划校园网络。避免出现“修修补补”现象导致的网络线路冗余、网络管理困难和网络安全难以升级等问题。具体措施包括在校园网边界部署有足够吞吐量、可扩展性强的防火墙做好访问控制,保证专网专用和内外网访问控制;配置网络出入口访问策略,实现应用层和链路层的安全监控和防护;配置安全网关设备并进行适合学校网络应用情况的设置;配备专业的入侵防御、入侵检测、网页防篡改等网络安全设备,加强网络安全防御。

2.建设统一信息门户平台,布置网页“防篡改”系统。统一信息门户平台通过将分散的、异构的信息资源进行集成,有效盘活校园应用系统中的信息数据,提供一个随时、随地、按需访问的协作化集成环境,为学校管理者、教师、学生提供面向个人的个性化自助式服务平台。通过统一信息门户平台的建设,完成业务系统的集成和数据综合利用,为学校领导、教职工、学生提供统一的访问入口,实现个性化的信息服务。统一信息门户平台的建设可以大大减少管理和升级成本,降低网络安全风险。

部署网页“防篡改”系统实现保护网站安全,防止黑客入侵、篡改网站网页等。将网页防篡改系统部署在网络结构中统一信息门户平台的上一层,自定义相应的策略,自动同步备份网站目录和文件,若发生篡改,网页“防篡改”系统能实现及时报警,做到事前拦截,事中报警,事后能及时恢复,实现网页和数据内容的实时监控和保护,提高校园网站的安全性。

3.配置用户身份认证系统,实现有线和无线用户的统一认证。在校园网安全环境中,通过多条件授权访问来控制用户准入准出的系统就是身份认证系统。该系统是基于内部数据库的策略,对提出访问请求的用户决定允许还是拒绝,主要由认证客户端、认证服务器、认证技术构成。由于终端用户位于接入点,通过身份认证可以有效拒绝非法用户访问,从而保障网络的安全。

在校园网接入控制中,在服务器上对身份认证的统一可以实现统一身份管理,实现的网络安全认证与授权,同时可以通过平台提供的接口,与其他安全设备联系起来,直接管理防火墙、IDS,交换机等,让网络管理员轻松实现对整个网络监管,从而构成整个网络的安全体系,确保网络安全。

其次,认证服务器因为能与其他安全防护设备联动,所以能够对整个网络设备运行情况了如指掌。同时实时对网络数据流量进行分析,结合IDS与防火墙组成的安防系统得到的信息,能准确了解性能状态及各种故障源,方便管理员进行相应的技术处理。此外,认证服务器应具有用户管理模块、策略制定模块、收费管理模块、网络运维模块、数据分析模块以及提供统一的接口,供其他安全设备使用。基于此,统一身份认证系统能实现有线用户和无线用户的统一认证,实现了用户的统一管理,确保用网用户的安全管理。

4.部署计算机网络安全审计系统。网络安全审计系统是针对计算机网络应用环境下的网络操作行为进行审计的一种合规性管理系统。通过对用户登录信息、访问资源信息、调用服务信息等行为进行规则校验和统一审计,记录完备的访问日志,实现有效的安全监控和行为回溯。可以针对不同身份的用户进行不同审计策略管理,使用外置数据中心对审计信息进行有效分析、过滤储存等管理。同时加强对内外部网络行为监管,确保数据库、服务器、网络设备等的安全正常运营。

由于高校校园网络使用人员复杂,技术层次参差不齐,经常会出现内部人员的违规操作的事件发生,当然也有一些第三方使用者的恶意破坏及威胁。在高校校园网中部署计算机网络安全审计系统针对教师、学生等不同身份用户进行不同审计策略管理,记录完整的操作日志;还可以针对一些关键的数据库进行单独审计,当违规事件发生时能及时告警,事故发生后能精确回溯。

当然,计算机网络安全审计系统不仅可以对用户使用PC端上网行为进行审计,同时还可以对使用无线网络的手机等移动终端访问网络信息行为进行审计,实现PC端和移动端、有线网络和无线网络行为的统一审计,确保网络安全。

5.部署上网行为管理系统。上网行为管理系统可以实现带宽分配管理、应用流量管理、访问内容过滤和上网行为审计功能。通过在校园网络部署上网行为管理系统可以限制无关业务带宽,优先保障业务通道带宽,通过设置相应的控制策略进行带宽管理,可以实现不同身份不用使用不同的网络带宽,达到合理利用带宽资源的目的;通过设置相应的控制策略进行各种网络应用的管理,屏蔽一些与业务无关的网络应用,比如股票、游戏等应用;制定全面的信息收发监控策略,有效控制关键信息的传播范围,对上网行为进行过滤审计,做到有据可查;上网行为管理系统还可以实时统计和分析用户使用网络带宽和网络应用的情况,网络管理者根据实际情况实时的调整和优化相应的控制策略。

高校校园网络部署上网行为管理系统,可以通过设计合理的控制策略,可以屏蔽黄、赌、毒等不良的互联网信息;学生经常上网聊天、玩游戏、下载等带宽滥用,严重影响了教育资源平台的访问体验和视频会议的质量等,上网行为管理系统进行合理管控,对在线教学、视频会议等业务进行带宽保障,保证教学、管理业务的稳定运行。

上网行为管理系统可以同时管理有线网络和无线网络,做到全网全终端统一管控,确保各种网络应用的高效使用,确保网络安全。

6.使用VPN的安全性。VPN即虚拟专用网络,属于一种远程访问技术,利用公用网络架设专用网络。VPN提供给用户的是专用网络,但是建立在不安全、不可信任的公共网络,所以会面临的网络安全性问题。VPN的安全性可通过隧道技术、加密和认证技术对远程访问用户进行安全认证,可以构建完善的用户管理、授权、防护功能的体系。

高校搭建虚拟专用网系统,出差外地的教师可以通过VPN进行访问内网地址服务等满足大量远程访问需求,还可以实现主校区和分校区之间的相互网络访问连接。通过搭建VPN服务器,通过隧道技术、加密算法、密钥管理、数据认证技术、用户认证和访问控制等来确保VPN网络数据的安全和可访问性。

7.网络安全扩展。在校园网络结构的整体规划和建设中要考虑网络整体性能和网络安全的扩展性。在实际网络应用中会因为技术的不断升级、软件版本的逐步升级以及各种应用需求要求的不断变化,必须对网络安全进行相应的升级扩展,这就要求在设计网络安全整体架构时考虑其扩展性。

在校园网络的整体设计和设备选型中,要充分考虑以后的网络应用,尽量预留更替升级的网络设备接口以及相应网络安全配置冗余,比如IPV6的应用、网络带宽的增大、用户需求的变化以及无线网络用户等成倍增加,这就要求网络安全设备根据实际应用和需求进行更换以及重新配置。

8.部署智能网络管理系统。智能网络管理系统可以有效地呈现网络拓扑结构框架,管理网络设备配置并能分析定位网络故障。可以实现路由器、交换机、防火墙等网络设备的统一集中管理;可以通过监控实现网络线路和网络设备的故障诊断;通过部署智能网络管理系统可以实现网络设备的有效管理,网络安全风险的实时监控,网络安全的快速处置。

由于高校网络环境复杂,网络设备分布在不同的地方,在高校校园网中部署智能网络管理系统首先能实现分布在不同地方的网络设备能够统一管理,并通过智能网络管理系统的监控功能及时发现网络故障,准确定位,实现网络故障的快速排除,实现网络安全风险的实时监控。

9.制定完善的网络安全管理制度,强化各类人员的网络安全意识。高校校园网络安全制度建设是薄弱环节,也是导致校园网络风险的原因之一。建立和完善信息安全管理机构,实现网络信息安全的有效管理;建立相应的网络安全管理制度,规范使用者使用校园网行为;建立应急管理预案,及时处理网络问题;重视校园网络安全管理队伍建设,强化网络安全意识的培养。

第一建立完善信息安全管理机构。建立以单位领导为首的信息安全管理机构,由单位领导牵头,宣传、技术等管理部门参与,成员包括信息管理员、技术人员等,各司其职,责任到人。

建议设立信息安全管理保障工作组,对信息安全提供预警、救援、恢复、监控和测评,负责网络与信息安全保障体系建设的规划、协调和监督。明确各级信息安全保障管理人员的工作职责,严格把握各个环节的信息安全,并对相关重大事项做出决定。

建议设立信息安全管理工作组,负责学校信息安全工作,对网站服务信息进行监视,对网络有害信息的清理整治,并对执行情况进行检查监督。各部门根据各自的职能分工负责与部门信息安全相关的具体工作。

第二建立完备的网络安全制度。建立健全信息安全保密管理制度,实现信息安全保密责任制,层层把关,层层落实,责任到人;建立健全人员管理制度,无论是网络管理者还是使用者,必须提高网络安全认识,遵守网络安全人员管理制度,实现网络安全责任到人;建立健全数据安全管理制度和设备安全管理制度,实现网络设备的安全运行和数据的安全传输和保存。建立健全网络安全事件应急处置和报告制度,对影响网络安全的突发事件有相应的应急预案和处理措施。能快速响应,及时发现,层级报告,针对不同问题有不同的举措。

第三重视校园网络安全管理队伍建设,加强信息人员培训。强化校园网络管理队伍建设,强化网络管理者应对与处置网络安全风险的能力。要安排相关人员定期参加各项网络安全管理教育和相关网络安全技术的培训,巩固和加强技术安全知识和技术能力;定期对相关人员进行网络信息安全培训并进行考核。

强化网络安全意识,在思想上牢固树立网络安全人人有责的观念,思想上这根弦始终绷紧,不放松;完善网络安全管理制度能够明确职责,有针对性地提升管理约束力;加强有关人员的培训增强处理网络安全问题的能力;只有网络安全保障体系不断完善,才能使网络安全风险的有效防范,才能创造良好的网络环境。

三、总结与展望

目前,国内高校网络安全形势依然非常严峻,要更加重视校园网络安全工作,加大对网络安全的投入,及时升级保障校园网络安全的软硬件设备,确保能适应当前网络安全的需要。同时制定完善的网络安全管理制度,强化用户的网络安全意识的培养,培养网络安全人员处置风险的能力,建立网络安全管理制度和应急防护的长效机制,才能有效地保障高校的校园网络。