校园网信息安全的研讨

1.中小学校园网络信息安全的现状

随着各中小学纷纷新建、扩建校园网络，校园网络的使用规模、使用范围日益扩大，校园网络中涌现的信息安全隐患也越来越多。下面笔者将结合自己的工作体会，谈谈目前存在的信息安全隐患的几点问题。（1）安全意识淡薄。一方面学校决策者“重功能轻安全”，在新建、扩建校园网络时，往往只强调网络功能而忽视安全保护设施的投入，造成网络安全设施不健全；另一方面由于教职员工对网络安全保护意识普遍比较淡薄，往往只乐于享受网络带来的便捷、快速、自由好处，而在思想意识上忽视对网络安全的防范意识，对病毒的侵害、黑客的攻击、数据的篡改和丢失等警惕性不高，对网络泄密特点缺少必要的防范意识等，这种思想上的麻痹和松懈就给不法之人造成了可乘之机，十分容易导致网络安全事故的发生。（2）管理有待加强。人们对网络安全问题的认识，往往是经历过网络安全考验后，才意识到许多网络安全事件的发生和安全隐患的存在都与管理不善有关。总结经验汲取教训后，中小学校密切关注和研究：组织手段和制度机制如何切实保障网络的安全运行，对师生员工如何有效进行管理、培训，如何对网络进行有效的管理和使用等问题。因为只有不断探索和完善各种有效的网络安全管理手段，才能有效保障校园网络的安全，才能充分发挥校园网络对教育教学的便捷、自由、快速的优势。（3）经费投入欠缺。随着计算机硬件的更新换代和软件技术的快速发展，涉及校园网络安全软硬件不断涌现，为了有效维护网络的安全运行，人们根据校园网络运行情况适时地加大经费投入，对相关软件和设备的更新升级，特别是用于网络安全保护方面的软硬件要有针对性地更新替换，另外新建网络的学校构建网络初期也需要有足够的资金投入到网络安全的软硬件上，避免网络安全的欠帐。（4）缺乏防范机制。在实际工作中，人们发现不少中小学校没有建立相应的安全防范机制，对校园网络的运行，没有有效的安全防范和应对措施。同时，现有的法律法规不适应当前网络发展的趋势，涉及网络方面的立法还有相当多的空白：如数字签名认证法、个人隐私保护法、数字媒体法、数据库保护法、计算机犯罪法以及计算机安全监管法等网络正常运行所需的法律法规等尚不健全。另外，由于网络犯罪呈现手段新、作案快、不留痕、智商高等特点，给侦破和审理网络犯罪案件带来极大困难。

2.影响中小学校园网络安全的因素分析

（1）硬件因素。由于架构校园网络所涉及的硬件比较庞杂，加上经费的投入和人员的配备的原因，不可能有充足人员或者专门部门负责对这些庞杂硬件进行全面监控，而布置在不能独立封闭环境的硬件如：光缆、电缆、电话线、局域网、远程网等都存在遭到有意识无意识破坏的可能，一旦由于破坏而引起校园网络的瘫痪，就会严重影响正常教学活动的开展，因此中小学校园网络的安全是比较脆弱的。（2）软件因素。当前中小学的校园网络系统绝大部分都使用的TCP/IP协议以及FTP、E-mail、NFS等，而这些协议都或多或少存在漏洞，包含着不少影响网络安全的因素。如ARP病毒的流行就是由于协议存在漏洞造成的。ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。此外，接入校园网络的计算机所使用的软件也存在一定的安全漏洞，这给黑客攻击提供了可能。（3）用户因素。师生员工作为中小学校园网络的使用者，拥有网络使用权限或高或低，能够多多少少直接参与网络。当拥有使用权限的教职员工对校园网络进行攻击时，其对校园网络的破坏程度远远高于外部的攻击者。入网口令过于简单、网络未有效分段、文档保密意识不强、师生作用权限不清、没有明确专人管理等现象在中小学的网络管理中相当普遍，这使得教职员工对校园网络搞起的破坏十分容易。网管员作为校园网络“特权阶层”，他能随心所欲地操控网内的每一台电脑，采集、浏览各级电脑内的所有数据，熟悉所有与校园网有关的密码口令，如果负责校园网络管理的老师成为泄密者，后果将不堪设想。随意让校外人员使用自己的电脑、将自己的密码口令告诉他人、在校园网的电脑上使用未经审查的软件等，都是校园网络的重大安全隐患。

3.中小学校园网络信息安全策略

中小学所谓的网络安全策略其实就是在一定条件下对投入的成本和预期的效率进行权衡，落实在具体事务上就是针对校园网络的实际情况，针对网络的整个管理过程，综合资金投入因素对各种网络安全措施进行具体的取舍。校园网具有师生用户多、使用频率高、访问方式杂等特点，因此校园网络的安全问题就需要在网络规划设计、构建施工、日常管理的各个阶段加以仔细考虑，并在实施过程中严格管理。通常情况下一般采用以下措施来保障校园网络的安全性：（1）有效保障硬件安全。在校园网规划设计、构建施工、日常管理阶段就应该尽量为保障网络硬件安全创造条件，如把服务器、交换机、路由器、不间断电源等一些重要的设备尽可能布置在相对封闭独立的空间实行集中管理；把光缆、数据线路等采取深埋，穿线或架空处理，并加挂警示标牌，防止意外损坏；同时对一些终端设备的日常管理如计算机、交换机、工作站、集线器和其他相关设备要明确专人、落实责任、严格管理。（2）采购配备必要软件。校园网络安全软件主要有：防火墙、杀毒软件、存取控制、身份认证、加密措施、数据的完整性控制和安全协议等内容。但针对中小学校园网特点，笔者认为以下软件是必须配备的。①过滤器和防火墙软件。由于中小学校园网主要面对中小学生和教职工，因此对一些涉及黄赌毒、暴力、邪教等不良网站必须严加防范，而过滤器软件可以有效屏蔽这些不良网站；防火墙软件主要包含了用户认证、动态的封包过滤、预警模声、应用服务、IP防假冒、网络地址转接等方面内容，可以将校园网与外网十分有效地隔离开来，切实保障校园网络不受未经授权的外部侵入。②运用VLAN技术。VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”。VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。VLAN技术的应用，可以增强广播风暴防范能力，增强局域网的安全性；含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性；可以减少网络上不必要的流量并提高性能；提高教职员工工作效率，同时也增加网络连接的灵活性。③使用杀毒软件。杀毒软件有个人版和网络版，选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。网络版杀毒软件有如下优点：A.集中式管理、分布式杀毒效率高；B.采用数据库技术、LDAP技术；C.多引擎支持，杀毒速度更快；D.从入口处拦截病毒；E.全面解决方案；F.扩展性比较高；G.可以进行远程安装或分发安装。国内外比较知名的网络版杀毒软件有卡巴斯基、诺顿、江民、瑞星等厂商，根据校园的实际需要，选择合适的厂商。④访问控制。为了保证网络资源不被非法使用和非法访问，需要在网络关口处做好访问控制。一般会通过架设防火墙系统来进行安全防范和保护。防火墙是在两个网络通讯时做一些检查控制，它能允许“同意”的人和数据进入网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客访问。换句话说，如果不通过防火墙，学校内部的人就无法访问Internet，Internet上的人也无法和学校内部的人进行通信。这样，就保证网络资源不被非法访问和非法使用。在网络运行初期时，运行平稳。后期随着接入的电脑增多，会经常发现掉包现象，这时需要分析问题出在哪里。一般在交换机设端口镜像，抓包分析，找哪台电脑的流量大。对照登记的电脑IP与MAC的绑定表，找到这台电脑。（3）网络管理。①建立科学的网络管理制度。学校校园网是为教学及学校管理而建立的计算机信息网络，目的在于利用先进实用的计算机技术和网络通信技术，实现校园内计算机互联、资源共享，并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展，保证校园网络的正常运行和网络用户的使用权益，更好的为教育教学服务，除了有先进的硬件支持外，还需要一套完善的管理制度。比如建立相关电子公告系统的用户登记和信息管理制度，安全教育培训制度，用户备案制度，信息内容审核制度，信息登记制度等。②网络管理队伍的培养。积极建设一支思想水平高、网络业务强、熟悉学生上网特点的网络管理工作队伍。各部门至少要配备1名网络管理员，及时了解网上动态，有效管理和引导网上舆论。充分发挥教师参与网络建设和管理的积极性，参与网站制作、管理与维护。学校要定期组织校园网络管理业务培训。加强对网络管理人员、有关专业教师的培训，提高他们监管网络运行、利用网络开展思想教育的能力。③网络运行日志的管理。通过日志统计实现对用户访问互联网情况的分析，并生成以图表为主的直观的统计报告。网络管理员可以根据统计报告提供的信息，分析出学生对互联网的访问情况，以便调整访问控制策略，从而实现对本学校互联网的有效管理。管理员可以通过查看系统日志记录，发现系统存在的一些问题，并妥善解决相关故障。定期做好日志的备份工作，当网络出现故障时，可以通过日志去查找问题，日志存放的目录和空间大小也要注意，防止日志文件过大而影响系统的运行。（4）网络用户的教育和培训定期/不定期地面向用户进行使用校园网的知识讲座，及网络安全等技术培训，使用户不但会使用校园网，解决一些简单的网络故障，并能更好地发挥互联网在工作、学习、生活、教学中的应用，这对校园网的建设非常重要。通过教育培训，增强师生的网络安全意识和观念，并且掌握基本的网络安全知识，做好个人计算机的安全防范工作，从而能够降低内部安全隐患。

总之，加强对校园网信息安全方面的研究，对于提高校园网信息安全防护的应用水平，是具有较好的指导意义。校园网的安全问题是一个较为复杂的系统工程，除了要有相关的硬件和技术保障外，还需要相关的制度保障和校方的重视，防范不仅不是被动的，更要主动进行。当然，关于校园网更多的信息安全应用技术的开发和应用，还有待于广大网络信息安全工作人员的共同努力，才能够最终实现校园网信息的安全防护应用。

本文作者:王昆工作单位:江苏省淮安市清浦区教育局教研室