高校多校区网络安全问题分析

摘要：通过研究高校多校区校园网安全方面的相关资料，以信息安全理论为基础，结合高校多校区校园网建设状况，找出多校区环境下校园网存在的威胁。同时通过归纳对比，对高校多校区校园网安全方面存在的威胁给出相应的对策。

关键词：多校区　网络安全　威胁　对策

中图分类号：TP3　文献标识码：A　文章编号：1007-3973(2010)09-044-02

1、引言

近年来，随着我国高等教育体制改革的逐步推进，许多高校都开展了一校多区的教学实践。多校区的建设，带来了新的教育发展空间，但同样也带来了一系列资源共享的问题有待解决。多校区的高校规模庞大，在校生规模常常达到数万人，并且分布在不同地点。信息技术为多校区高校的运营提供了有效的技术手段。通过建设统一的校园网络，可以将不同校区之间的人、财、物集合在同一个系统内统一管理；校园网使学校实现了信息共享、管理网络化和教学手段现代化，可以减少不同校区的学科设置的重复，实现网上课件的下载共享，使远距离的各校区实现一致的网络体验。校园网的建设对多校区的高校管理都起着巨大的支撑作用。然而，随着校园网络内部和外部互联网应用环境的日趋复杂，校园网安全事件频繁发生。因此，如何保证校园网的性能稳定及系统的安全，并使其高效稳定的运转，已经成为各高校越来越重视的问题。

2、校园网的安全功能

随着网络技术的发展与普及，校园网早已成为现代化教育建设的基础设施，高校校园网的功能架构大致可以分为对内、对外和网络管理。对内主要是指校园Intemet，服务于学校的教学和管理；对外部分包括与Intemet的连接、卫星带宽数字网的连接、与其他兄弟院校以及上级主管单位的连接、提供家庭和移动用户的接人服务等。而网络管理则是这两部分的桥梁和核心，担负着整个网络系统的管理和安全工作。一个安全状态下的校园网，应该能够通过与广域网的连接，实现远程教育、为学校的教学、管理、日常办公、内外交流等方面提供全面、实用的支持。

当前很多校园网都安装了网络防毒系统、网络防火墙、网络入侵检测系统等安全产品，使用网络设备访问控制功能等手段来保证网络的安全。这些技术在功能和防卫对象上都有针对性的一面，彼此之间各行其是，缺少关联，没有联动，不能很好地实现覆盖校园网全局的网络安全。对于多校区校园网而言，各个分校区内的园区网通常按照“接入层一汇聚层一核心层”的层次型网络结构建设，在这种情况下，即使来自园区网内部的一台计算机进行如UDPFlood攻击时所产生的高速流量也足以使整个校园网对外的广域网线路饱和，造成学校网络业务中断，这就是多校区校园网带宽分布结构的脆弱性。另外校园网用户端系统经常性地存在着诸如操作系统有漏洞、传播计算机病毒、发动网络攻击、进行非法入侵等安全风险，实际上成了校园网安全、稳定运行的最大隐患。因此强制保证每个用户端系统接入校园网的安全可信，主动防御每个己接入用户端系统的危害网络的行为，是保障多校区校园网整体稳定、安全运行的基本前提。

3、校园网存在的威胁

校园网用户密集而活跃，在高校校园网络管理中网络规模发展迅速，设备繁杂，管理困难等问题日益凸现。高校校园网规模不断扩大，整个网络架构更复杂，使得原来潜藏或不易发现的问题更加隐蔽，处理难度更大。高校合并后，由于计算机网络连接形式具有多样性，中端分配不均匀性和网络的开放性、自由性和互联性等特征，所以网络出现更多的威胁。

(1)面临双重威胁以及多出口问题。高校校园网一方面通过CERNET与Intemet直接相连，同时内部又连接了校内各院系等教学行政单位及学生宿舍的计算机。因此，信息系统既容易受到自Intemet的攻击，同时也面临校园网内部的安全威胁。由于校内用户比较了解网络结构和应用模式，特别是学生的计算机应用能力不断增强，因此高校信息系统所承受的来自内部的安全威胁将更大。多校区的出现使得原来校园网独立的互联网络出口，甚至变成有几个出口，这就增加了网络安全设备的投入和管理的难度。出口就需要完善的安全防护措施，多出口容易受到病毒感染和网络攻击。造成校园网内病毒泛滥、信息丢失、系统瘫痪等严重后果。

(2)物理安全问题。由于物理设备的放置不合适、规范措施不健全、防范措施不得力，使网络资源遭受自然灾害、意外事故或人为破坏，从而造成校园网不能正常运行。多校区的出现，造成网络开放性及技术的公开性的危险性更强，一些人出于好奇、蓄意破坏或为了获得某种非法利益，利用网络协议、服务器和操作系统的安全漏洞、“后门”以及管理上的疏漏非法访问资源、删改数据、破坏系统，导致网络服务器瘫痪。校园网中的系统容易被非法攻击者控制而变成一架实施分布式拒绝服务攻击的机器。这是指恶意地向被攻击服务器发送信息洪流，占用计算机设备的资源造成正常的服务请求被中断，使网络运行速度变慢甚至处于一种瘫痪状态。

(3)网络安全漏洞。多校区网络拥有邮件、数据库等服务器，还有重要的教学服务器，多校区校园网存在服务器和网络的安全缺陷及安全漏洞。具有多校区的高校会根据新的规划对学校各个部门进行重组和地理位置的迁移，那么势必会影响到信息安全要求的重新调整，进而带来网络安全防范措施的调整，也带来硬件和软件的重新调整与配置。同时由于安全措施不当，致使这些数据库的口令外泄，继而造成校园网络上的信息泄露，严重时可能造成数据被非法删改。此外，由于财务等敏感服务器上存有的大量重要数据，因担心安全问题而不得不与校园网络实行物理隔离，使得应用软件不能充分发挥作用。在网络中，病毒的传播速度极快，破坏力更强，多校区的校园网上因主机与众多用户相连且用户水平参差不齐，计算机病毒易爆发大规模感染且清除困难。

(4)安全制度问题。较多的多校区校园网的安全建设重硬轻软，制度不健全，缺乏完整统一的安全策略，缺乏完善的、切实可行的对多校区校园网的管理和技术规范以及规章制度。统计表明，70％以上的信息安全问题是由管理不善造成的，，而这些安全问题中的95％是可以通过科学的信息安全管理制度来避免的。由于我国高校教育信息化起步较晚，而多校区的校园网管理的更少，目前校园网管理多数是重视在信息系统安全硬件基础设施建设，而有关的安全管理制度目前还不够完善。

(5)人员素质问题。高校信息系统的管理人员素质参差不齐，对异常情况敏感性不强，缺乏全面的技术，安全意识薄弱，缺乏安全培训。而高校用户的计算机应用能力较高，有时会忽视信息系统安全工作的重要性。因此，时常出现用户口令选择不慎，用户将自己的帐号随意转借他人，随意从网上下载和安装软件等危及信息系统安全的事件。因此，需要加强高校用户的安全培训工作，提高用户的安全意识和安全防护能力。

4、解决的对策

高校多校区的网络安全有着不同的需求，安全问题贯穿

整个多校区校园网管理和运行的各个环节中。通过全面了解高校多校区校园网的威胁，制定相应的对策，就可以建立相对安全的校园网。制定相应的对策可以保证整个校园网的正常运行，保证数据的完整性和保密性，保证网络的稳定性，并保证安全措施不形成网络的负担，阻止校园网的不良信息传播。

(1)统一端口。高校多校区之间是分离的，如果每个校区与互联网之间有独立的出口，势必增加设备的投入，可以租用电信运营商的线路将多校区连接起来，统一出口用CERNET与Interact直接相连，并采用VPN技术保障校区间的信息传播安全。高校可以购买高流量出口，用来分担流量和提高访问的响应速度。多条互联网出口，可以对校园网内部访问外部资源的流量进行负载分流和相应备份。多校区校园网的多出口更易受到病毒感染和网络攻击，为保护校园网抵御黑客和恶意软件的入侵，可以在出口配置防火墙，在校园网内部建立信息网络监测系统，对关键区域的信息流向进行动态监测，及时发现非法及异常行为，对紧急安全事件快速拦截，对可疑流量进行测试，并对校园网实施访问认证、端口扫描、安全审计等技术措施，防范校园信息资源被非法访问、篡改和破坏。

(2)保障物理安全。保证校园网中各设备的物理安全是校园网安全的前提，特别是多校区环境下的校园网。由于物理设备的不统一，在建立院系的网络安全体系时，必须建立网络系统的安全规范制度，避免由于物理原因而造成的一些突发事故。首先要制定完善的安全规范管理制度，它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为破坏事故的规范。其目的是保护计算机系统、web服务器等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和攻击等。主要包括两个方面：一是环境安全，确保校园网系统有良好的电磁兼容工作环境。如安全场地要求采取防火、防水、防震、防静电技术措施；采取电磁屏蔽及良好的接地手段，使设各不与周围其他设备互相影响，抑制和防止电磁漏洞，防止电磁泄露，需采取低辐射的设各和电磁屏蔽等措施。另外是设备安全，包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。比如电源保护，采取良好的屏蔽及避雷措施，采用稳压电源和不间断电源UPS，防止设备突然损坏或数据丢失；安装报警器和各种监视系统及安全门锁合理配置系统用以防盗。

(3)避免安全漏洞。由于校园网是个多协议、多系统、多应用、多用户组成的复杂网络环境，因此校园网中存在着难以避免的安全漏洞，尤其是多校区环境下的校园网，由于地理位置的迁移、多服务器的重组，势必会带来更高要求的安全防范措施。为保障多校区校园网的信息安全，必须做好校园网系统漏洞及补丁管理。可建立多校区校园网络信息安全服务网站，计算机系统安全漏洞公告，分发安全补丁并提供wSUS服务等。另外由于TCP／IP协议和服务器中应用系统自身存在着一些技术上的缺陷和漏洞，因此还应该做好访问控制措施，这是保证网络安全的重要措施之一，主要包括入网访问控制，网络权限控制和目录级安全控制。

(4)建立完善的安全管理制度。多校区校园网的安全建设普遍存在制度不健全，缺乏完整统一的管理和技术规范以及规章制度。良好的网络信息安全保障离不开规范化的管理，通过制定多校区校园网信息安全管理策略，才能使网络信息安全管理工作“有章可循，有据可查”，通过整体统一、分工合作、安全事故分级处理和上报机制等，最大限度地保障网络基础、系统开发建设和运行维护等方面的安全。安全管理策略包括确定安全管理等级和安全管理范围，制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度，建立值班制度、密码管理以及应急措施等；明确系统管理员、网络管理员及系统运行维护人员的分工和职责范围。同时还需要加强校园网络信息安全宣传和培训力度，更好地普及信息网络安全知识，增强应对网络安全事故的处理与应急能力。

5、结束语

网络安全在高校多校区的环境下比普通的网络安全有着更高、更特殊的需求，安全问题不仅仅是技术、设备的问题，更是管理上的问题，对于校园网络系统的管理员，更应该时刻注意提高网络安全意识，加强网络安全技术，不断寻找适合自己高校的网络安全管理方法。

参考文献：

[1]杨聪毅，校园网多出口安全解决方案[J]，信息网络安全，2009(1)

[2]方向明，高校网络信息安全与管理[J]安徽工业大学学报，2003，20(2)：117－118

[3]克里斯多夫・阿尔伯兹，奥黛莉-多诺菲，信息安全管理[M]北京：清华大学出版社,2003，

[4]方诚，基于高校校园网的安全与对策[J]，网络通讯与安全，2007，(5)