多校區信息安全問題研究

羅東芳

摘 要：本文通過研究高校多校區校園網安全方面的相關資料，以信息安全理論為基礎，結合高校多校區校園網建設狀況，指出應在物理安全、網絡運行安全、信息安全及安全管理等方面實施安全措施，提出了全面的安全防護策略。

關鍵詞：多校區；校園網；信息安全；安全防護策略

一、多校區信息安全的現狀

隨著我國高等教育體制改革的逐步推進，高校招生規模逐年擴大，帶來了校區建設的種種問題，如受原校區周邊環境限制，多數學校都建設了新校區。從而造成了一校多區的現狀，河南省大多高校也存在著這種現象。但是在我國，隨著校園網建設的深入和網絡業務的日漸豐富，多校區大學的校園網絡建設也面臨著諸多問題。網絡將常承受上萬人同時在線的壓力；不同的校區往往由不同的學校轉化而來，相互之間校園網建設標準、發展進程、管理模式都不盡相同，網絡設備之間的兼容性和安全性需要重新規劃；最后，在校園網重新規劃升級后，節點增多，網絡結構更加復雜，更加需要統一的網絡管理。

高校數字信息資源是指以數字化形式存在的各種資源內容的集合，這些資源中相當一部分以零散、隱蔽的形式存在各校區各部門網絡環境和個人計算機中，甚至存在于學生或專家個人的主頁和博客。信息資源的離散性、隱蔽性和自由性給信息資源管理帶來復雜性。

多校區高校的信息安全體系的建立，是一項復雜的系統工程，只有從工程角度系統分析和設計，才能有效地為高校構架一個安全的信息管理體系。所以，多校區的信息安全不是一個單純的技術問題，而是安全技術、安全策略和安全管理的綜合，信息安全的研究工作“任重而道遠”。

二、多校區信息安全隱患及成因

在傳統網絡環境下，數字信息面臨的挑戰是多種多樣的?？陀^因素上：網絡信息泛濫、信息虛假、病毒猖狂、惡意代碼、侵犯知識產權等現象仍未得到有效的解決；主觀因素上：普遍網絡用戶的安全意識薄弱；使得技術或信息的無意泄露、管理存在漏洞等；技術角度上：存在創新性不強，軟件和硬件過度依賴的現象。這些因素中，人為因素往往容易被忽視，而據有關經調查顯示，由于“人禍”所造成的損失達到80%以上。隨著云計算技術和web2.0技術的廣泛應用，對信息安全技術提出了更高的要求。本文擬對數據歸類并分析問題點如下：

（1）物理安全問題。校園網硬件物理設備的放置是否合適、規范措施是否健全、防范措施是否得力、網絡互聯設備和服務器的軟硬件資源配備是否合理。網絡資源是否易遭受自然災害、意外事故或人為破壞，從而造成校園網不能正常運行。物理安全問題。（2）技術人員素質?？疾焓欠裼杏捎诟咝＞W絡技術人員水平參差不齊，信息安全意識不強，從而導致諸如在使用過程中使計算機病毒侵入、系統損壞等現象，技術人員是否有及時備份信息、處理突發事件的能力等。（3）網絡安全漏洞。即使物理設施安全完備，校園網中的網絡設備、操作系統、數據庫、應用系統都存在難以避免的安全漏洞。許多校園網絡擁有

WWW、郵件、數據庫等服務器，還有重要的教學服務器，對于非專業人員來說，無法確切了解和解決每個服務器系統和整個網絡的安全缺陷及安全漏洞及校園網邊界安全等問題。（4）多出口問題。原來各個校區有獨立的到互聯網絡的出口，而隨著多校合并、新校區建設等，使得一個學校有多個出口，而甚至一個校區幾個出口，網絡安全設備的投入和管理的標準是否統一，多出口信息安全問題是否從整體上考慮。（5）安全制度問題。各高校是否具備系統的管理思路和完整統一的安全策略，是否具有完善的、切實可行的管理和技術規范以及規章制度，是否具有安全評估制度。（6）網絡安全等級差異問題。擬將高校信息三個等級，分別是自主保護級、系統審計保護級和安全標記保護級。一級即自主保護級包含教務、就業、黨籍、團籍、離退休信息等。二級即系統審計保護級包含招生、學籍、圖書、科研信息等。三級即安全標記保護級包含檔案管理、人事勞資管理、財務管理、資產管理信息。（7）人為因素。從管理層面來講，管理人員是否具備信息保密意識、是否對工作人員進行信息安全教育，是否對本部門的安全等級做出規范；從用戶層面來講，是否具有異常情況敏感性，是否具有信息使用和管理的安全意識，是否存在對內外交流過程中無意泄密的因素存在。

三、多校區信息安全的策略

（一）安全目標。①保證整個網絡的正常運行，尤其在遭受黑客攻擊的情況下；②保證信息數據的完整性和保密性，在網絡傳輸時數據不被修改和不被竊??；③具有科學的安全風險評估；④保證網絡的穩定性，安全措施不形成網絡的負擔而且提供全天候滿意服務和應用；⑤構筑“綠色網絡”，杜絕反動和不良信息的傳播。

（二）安全策略。解決安全的策略問題需要從高校需求出發，本文擬從高校安全目標、安全級別、安全范圍三個方面入手分析目前高校數字信息面臨的挑戰和急需解決的問題，以形成需求。進一步以需求出發制定行之有效的策略，主要從三個大的方面闡述，如圖1所示。

（1）保障物理安全。首先要制定完善的安全規范管理制度，它是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為破壞事故的規范。其目的是保護計算機系統、web 服務器等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和攻擊等。（2）統一端口。多條互聯網出口，可以對校園網內部訪問外部資源的流量進行負載分流和相應備份。但是多校區校園網的多出口更易受到病毒感染和網絡攻擊，為保護校園網抵御黑客和惡意軟件的入侵，可以在出口配置防火墻，在校園網內部建立信息網絡監測系統，對關鍵區域的信息流向進行動態監測，及時發現非法及異常行為，對緊急安全事件快速攔截，對可疑流量進行測試，并對校園網實施訪問認證、端口掃描、安全審計等技術措施，防范校園信息資源被非法訪問、篡改和破壞。（3）避免安全漏洞。為保障多校區校園網的信息安全，必須做好校園網系統漏洞及補丁管理?？山⒍嘈^校園網絡信息安全服務網站，發布計算機系統安全漏洞公告，分發安全補丁并提供WSUS 服務等。（4）建立完善的安全管理制度。安全管理策略包括確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度，建立值班制度、密碼管理以及應急措施等；明確系統管理員、網絡管理員及系統運行維護人員的分工和職責范圍。同時還需要加強校園網絡信息安全宣傳和培訓力度，更好地普及信息網絡安全知識，增強應對網絡安全事故的處理與應急能力。（5）備份。設備和線路的備份可根據網絡運行的故障率準備一定冗余，在網絡某部分發生故障時，其他部分可自行啟用或迅速切換。為管理的方便和數據的安全，將教務教學信息、圖書信息、視頻信息和其他管理信息等集中，統一部署數據備份方案。（6）訪問控制策略。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。采用入網訪問控制，網絡的權限控制，目錄級安全控制，屬性安全控制等策略。

參考文獻：

[1] 常艷，王冠.網絡安全滲透測試研究[J].信息網絡安全，2012，（11）：3-4.

[2] 魏為民，袁仲雄.網絡攻擊與防御技術的研究與實踐[J].信息網絡安全，2012，（12）：53-56.