杨 倩，邹 磊

（湖北中医药高等专科学校，荆州 434020）

1 引言

智慧校园平台的建设是高校信息化建设的重要一环。校园网络为高校内教学、科研、学习等各类活动提供了基础设施，校园网络的安全与否直接影响到智慧校园平台功能的稳定性。随着互联网的连入，各种网络安全隐患也逐渐凸显。校园网络除了可能遭受到的黑客攻击、病毒感染等情况，软硬件方面的缺陷也会成为巨大的安全隐患。因此，在湖北中医药高等专科学校智慧校园平台的建设中，必须分析可能出现的网络安全隐患，研究网络安全策略。

2 校园网络现状

校园网络是为便于学校对教学、办公活动进行管理，促进信息化教学与科研而建立的网络系统。在最初校园网络建立时，由于学校经济状况等原因，只考虑到了网络的连通性与兼容性，并未考虑到网络的安全性，因此在智慧校园平台的建设中必须要将网络安全策略纳入研讨范围。随着平台建设的推进，校园网络上提供的服务和运行的各类应用程序的增多，局域网络的规模也逐渐增大。校园网络用户基数大，线路繁杂，内部节点数多且数据交换量大，导致网络安全管理难度增大。因此，合理利用网络管理资源，在内外网的接入、数据交换过程中做好安全防御措施、加强安全管理是智慧校园平台建设必须考虑的方向。

3 校园网络安全隐患分析

通过对学校的实际情况进行分析调查，校园网络的安全隐患主要来源于校园网内部环境、内网用户与来自外部环境和外网网站的影响。根据分析得出有以下几类主要的安全隐患存在：

3.1 物理设备问题

由于设备年久、老化等原因，可能会导致机房的电压、电流不够稳定或是由于物理设备扩容度不够引起线路负荷过大，均会产生网络故障，轻则引起数据丢失，重则可能会使服务中断、系统崩溃。

3.2 病毒入侵

随着世界范围内信息技术水平的提高，计算机病毒的隐蔽性与破坏性也越来越强，有时甚至不能被现有的杀毒软件拦截并查杀。同时，内网的使用人员组成复杂，不少人员计算机水平有限，在进行各类与网络有关的操作时，很容易由于访问风险网站或下载携带病毒、木马的软件导致病毒趁虚而入。

3.3 黑客攻击

校园网相较于其他局域网来说，开放性更强，管理也较为宽松，因此更易遭受到黑客攻击。如若安全防护措施不充足，很容易被黑客窃取、篡改数据甚至破坏系统。

3.4 技术支持不足[1]

学校网络安全管理方面缺乏相关专业技术人员，无法及时制止内网用户不当操作，发生安全事故时也无法得到及时响应，造成网络安全风险提升。

4 校园网络安全策略探讨

为使智慧校园平台建成之后能稳健运行，应制定行之有效的安全策略。好的安全策略应从软硬件设施、用户、管理制度等方面来进行制定，通过对校园网络安全隐患的分析，可以从以下几个方向防范、处理可能出现的安全问题：

4.1 硬件设备保护

为了保证校园网络能良好运行，服务器及主要硬件设备必须能够稳定、安全地运转。因此放置硬件设备的机房应做好防水、防火等工作，机房管理者同时也应保管好机房相关钥匙，禁止非工作人员出入，防止人为地对服务器造成破坏，影响网络正常运行。为保证服务器全天候工作，机房还应配置应急电源或使用双电源系统，使断电时也能维持网络运行。

4.2 软件系统防范

（1）及时安装补丁

目前校园内服务器采用的是微软的Windows 网络操作系统，因此管理员要时刻关注微软公司的官方网站，及时下载并安装最新补丁，防止黑客通过操作系统的漏洞进行攻击。

（2）配置防火墙，更新杀毒软件

防火墙是网络安全防范措施的重要组成部分。校园网络必须设置防火墙，对外网用户的访问进行一定限制，同时也密切关注内网用户对外部网络的访问，检测出不安全服务，最大限度的防范黑客的攻击，降低风险[2]。校园网内所有通过防火墙的访问都会被记录到日志中，如有可疑操作，可通过日志排查，过滤网络中不安全的因素。

计算机病毒首要攻击的目标主要在于保存重要数据的中心结点的服务器，因此杀毒软件应及时更新病毒库，定期查毒杀毒，对服务器的开放端口进行检测。由于智慧校园平台应用模块繁多，在不同操作模块中均应安装统一的杀毒软件，以便管理者统一升级。

4.3 加强网络管理

（1）采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统可以对网络数据的传输进行实时监控，当发现未授权传输时可以发出警报或采取响应措施，对可疑传输进行限制，保证网络安全。校园网络中可以同时采用基于网络、基于主机的入侵检测系统，使用混合式检测，这样可以更加全方位地构建安全防御体系。

（2）使用VLAN 技术。学校可以使用VLAN（局域网虚拟技术）来加强校园网的内网管理。通过对局域网中不同的应用模块与不同的安全级别，按逻辑划分网段并隔离，实现不同网段间的访问控制，进行分布式管理[3]。为提高网络的安全性能，不同类型的内网用户也应划分不同网段，通过网关保证安全有效的信息过滤，使网络能够处在相对安全的状况下运行，防止病毒、木马在不同网段间的快速传播。

（3）使用数据加密技术。对校园网中需要传输的重要数据进行明文加密，通过加密密钥使之转变为密文，接收方再通过解密密钥还原成明文[4]。数据经过加密后，在传输过程中均以密文方式传送，如有数据被拦截、窃取的情况，攻击者也无法解密密文，读取信息。数据加密技术不仅可以防止不怀好意者了解数据的具体内容，还可以判断数据是否受到篡改，保证了校园网中数据传输的安全性。

（4）解决IP 盗用问题。为解决可能会出现的IP 盗用问题，需要在路由器上将MAC 地址与IP 进行捆绑，登记地址表。当某个IP 需要访问Internet，数据通过路由器时，路由器会检查发出该数据的工作站的MAC 地址是否与路由器上记录的地址表相符合，若是符合的，那路由器将放行数据，否则将禁止该数据通过路由器，并给发出数据的工作站返回警告信息。

（5）定期备份、维护服务器。为了防止系统、网络故障或是人为的非法操作，服务器上的重要文件需要定期进行备份存档。管理员可以使用RAID 方式定期备份文件资料，也可以使用备用服务器或是光盘备份重要资料。在日常服务器使用过程中，还应定期清理服务器上过期、无用的资源，保证服务器的高效运行。

4.4 技术人员支持

学校在网络管理方面必须有高水平的技术人员支持，可以通过引进新人才或是对原有的网络管理人员进行专业培训[5]。高水平的技术人员可以通过各种手段维护服务器，管理网络设置，处理安全问题，降低安全风险。

4.5 网络安全管理制度完善

学校应出台校园网使用规定，规范内网用户使用校园网的正确操作，要求负责人员做好维护、保养工作。同时应提前做好网络安全应急相关预案，当出现安全问题后使相关网络管理人员能够按照应急机制做出正确处理，降低损失。

5 结束语

智慧校园平台的建设是一个系统性工程，在校园网络方面务必提供安全保障才能使这个庞大工程稳定运转。在研究网络安全策略时不能仅仅依靠传统网络安全技术的堆砌，应从实际情况出发，考虑安全需求，根据需求采取对应措施，将安全技术手段与管理制度结合起来，才能提供一个高效、稳定、安全的校园网络系统，支撑智慧校园平台的运行。