校園網信息安全優化方案

摘要：教育信息化促進了校園網的普及，使校園網逐漸成為學校教育不可或缺的重要設施之一。校園網連接了學校所有的信息系統、計算機、手機等，存儲了學校的數字教育資源、重要的文件資料以及學生和教師的隱私信息等，但隨著網絡技術的快速發展，外網攻擊日益頻繁，以及校園網內部工作人員或學生操作不規范等問題，提高了校園網信息安全風險。因此，針對校園網信息安全發展現狀與發展瓶頸、問題的分析，明確當下校園網信息安全保護存在的不足，面臨的信息安全威脅與管理上的漏洞，為校園網信息安全優化方案的制定提供建設性的意見。本文基于某校園網信息安全優化實例，進行其防火墻、交換機、病毒防御機制的優化改造，提升校園網信息安全防范水平，實現校園網信息安全優化的最大價值，以期作為校園網信息安全改造升級中的經驗借鑒。

關鍵詞：校園網；信息安全；信息安全管理；信息安全優化方案

校園網是學校師生溝通交流、獲取教學資源，以及學校教學管理的重要渠道。在互聯網時代，互聯網全面普及，隨之而來的是網絡信息安全問題，因特網為開放環境，使用了開放架構與開發接口，本身存在一定的安全漏洞，而校園網運行于因特網環境中，時時面臨著信息安全威脅，校園網被攻擊事件時有發生，迫切需要通過校園網信息安全的優化，提高校園網防范網絡攻擊、計算機病毒攻擊能力，以維持校園網的安全可靠運行，保護校園網內部的信息安全。

一、校園網信息安全發展現狀

因特網本身結構脆弱，安全防護能力有限，并且因特網開放性的特點，使其易于遭受網絡攻擊。教育領域的校園網覆蓋整個校園，主要服務于學校的師生，但是在校園網絡運行過程中，同時面臨著校園網內部與外部兩個方面的信息安全威脅，外部主要是網絡攻擊、計算機病毒等，校園內部主要是來自學生方面的攻擊與破壞。比如學生中網絡信息安全技術的愛好者，使用系統漏洞掃描軟件掃描校園網漏洞，或是在校園網環境中編寫傳播計算機病毒等，以及教師或學生在不知情的情況下訪問了病毒木馬、黑客入侵等惡意網站，均會威脅到校園網的信息安全。

校園網的用戶定位是學生及往屆畢業生，且每個網絡用戶也均有可能是校園網的用戶，每個校園網用戶都可使用手機連接校園網絡，具備資源共享、信息交流、協同工作等基本功能。但從校園網信息安全方面來看，在校園網絡建設階段，網絡信息安全保護設計較為薄弱，再加上校園網用戶安全意識不夠，以及校園網采用了開放結構、開放技術、開放接口等，在網絡頻繁攻擊環境下，形成校園網較高的信息安全風險。從校園網信息安全事件來看，有信息中心服務器宕機、校園網服務器被病毒攻擊、外部人員入侵學校網站，以及數據服務器突發斷電，導致數據庫數據丟失等。引起校園網信息安全事件的主要原因是由于其本身防護措施的不足，使病毒趁機而入，由于網絡安全管理不到位，安全管理手段的缺失，導致人員操作失誤引發安全事件，還有校園WiFi網絡安全及安全防護的不足，出現外網與內網入侵事件。校園網信息安全事件種類較多，引發原因復雜，影響到校園網的正常運行，甚至是數據的丟失及物理設備的損壞。

二、校園網信息安全發展瓶頸與問題

（一）技術層面的瓶頸與問題

1.計算機病毒

計算機病毒具有傳染性、隱蔽性、潛伏性等特點，對信息數據破壞力極大，其實質是程序代碼，通過網絡入侵計算機，在計算機的文件資料中潛伏，不斷地復制病毒程序，逐漸擴大感染的范圍。計算機在中病毒后，會直接影響計算機的運行效率，甚至是死機、操作系統崩潰等。病毒的類型主要有網絡病毒、文件病毒、引導型病毒、木馬病毒、蠕蟲病毒等，計算機感染病毒種類的不同，表現出的癥狀也不相同，現階段新型計算機病毒隱蔽性更強、傳播感染速度更快，破壞力變大。因此，校園網信息安全優化首先要解決的是計算機病毒問題，需加強計算機病毒的研究，根據其傳播途徑及病毒類型構建校園網的信息安全防范措施，如安裝殺毒軟件，增強學生的信息安全意識等。

2.系統漏洞

計算機主要依靠操作系統運行，校園網計算機使用的操作系統主要是Windows或Linux，操作系統基于計算機硬件運行，系統本身就存在著安全漏洞，系統需定期升級或打補丁，修補系統漏洞。網絡攻擊者利用系統漏洞入侵計算機及網絡較為常見，尤其是高危漏洞的存在，一旦被攻擊者掃描到漏洞，其通過因特網入侵校園網，就可隨意操作校園網的服務器，破壞校園網信息系統、篡改刪除服務器中的信息等，對于校園網信息安全優化提出了嚴峻的考驗，需要通過校園網的優化修補漏洞，建立校園網內部與外部的信息安全屏障，保護校園網的信息安全。

3.黑客攻擊

黑客以攻擊別人為生，盜取有價值的數據信息，或者是破壞被攻擊者的網絡、服務器等，對于網絡信息安全危害極大。黑客IT技術水平超高，精通各種編程語言和各類操作系統，可利用公共通訊網路，攻擊破壞任何系統、軟件、資料，可以說是校園網信息安全最大的威脅。通過近幾年黑客攻擊校園網的行為來看主要有以下兩種，一種是惡意主動攻擊，有目的、有針對性的攻擊，數據信息損壞較大[1]；另一種是惡意被動攻擊，在信息傳輸過程中攔截并破解信息，以獲取目標信息數據，影響到因特網正常的運行秩序。無論是主動攻擊還是被動攻擊都會導致數據信息的損失，危及網絡信息的安全，校園網比較常見的黑客攻擊方式是其入侵校園網站后，在網站上發布反動、有害信息，或者是入侵校園網站服務器，攻擊服務器系統漏洞，導致學校網站服務崩潰。

（二）管理層面的瓶頸與問題

校園網中的無線及有線設備分散設置在學校內部，為學生創造良好的上網環境，但是由于學生網絡信息安全意識、計算機操作水平上的不足，影響到校園網的信息安全，比如學生U盤感染病毒后插入學校內部計算機，病毒會在校園內部網絡中傳播，導致校園網數據庫中的數據信息被篡改、刪除，校園網管理人員在維護校園網過程中，誤刪后臺數據引起服務器運行故障。以及物理安全事件，像是校園內部斷電、基礎物理安全保障等級不夠等，也會引起數據信息的丟失問題。以上問題需在校園網信息安全優化過程中，通過校園網信息安全管理措施的加強予以解決，如校園網訪問權限的設計、登錄賬號密碼的管理，以及采用統一的身份認證系統進行學校信息系統登錄的安全把關。針對校園網內外采取信息安全技術與安全管理措施，進一步優化校園網信息安全防護體系，最大程度降低校園網服務器、信息系統被攻擊的概率。

三、基于校園網信息安全問題的應對措施

（一）校園網優化實例分析

以某校園網信息安全優化為例，前期就該校園網進行了深入全面的業務需求分析，總結出以下三點問題，一是該校園網建設時間較早，后期維護升級跟進不到位，硬件設施較為老舊，部分設備性能指標較差，軟硬件之間兼容性不夠，無法滿足學校信息系統及學生的用網需求；二是軟件信息安全問題較為嚴重，采用的是TCP/IP協議，但沒有采用安全防護機制，存在被攻擊的漏洞。交換機上設置的密碼過于簡單，攻擊者采用密碼破解滲透測試工具、密碼破解工具就可輕易破解密碼，進而控制校園網絡；三是用戶終端多樣，校園網中有學生自己購置的計算機、手機、平板電腦等，也有學校統一采購的計算機、網絡設備，并由專人維護；教師自己使用的終端有學校配置的電腦，也有自己購置的筆記本電腦，自己負責維護。在此種情況下，大量的用戶終端學校無法統一集中維護，如殺毒軟件的安裝、系統漏洞的修補等，大量的終端分散在校園中并與校園網建立連接，增加了校園網優化的復雜程度，以上問題需在校園網優化中進行逐一解決。

（二）校園網具體優化方案

1.優化思路

校園網覆蓋了學校所有的建筑，信息系統分散在教學樓、圖書館、辦公樓等，并且學校各部門信息安全需求也不相同，尤其是學校財務系統和辦公系統。因此校園網優化采用部門獨立且分散的網絡架構，針對有特殊需求部門（財務部、圖書館）的信息系統，建立相對獨立的網絡安全體系，其他信息系統集中統一管理。一是校園主干網絡，采用企業級防火墻，匯聚交換機選擇使用主流交換機，整體提高校園網的網速。二是著重排除校園網的信息安全隱患，①來自Internet外網攻擊隱患；②校園網內部攻擊風險；③校園網節點接入信息安全威脅，以上三點是引發校園網信息安全事件的主要途徑，應基于以上三點進行優化方案的制定。

2.設置企業級防火墻

防火墻建立校園內網與因特網之間的安全屏障，對于通過防火墻不當訪問行為非常敏感，而企業級防火墻是保護校園內部網絡信息安全的首選產品，實現了校園內外網絡的物理隔離[2]，可有效控制內外網訪問行為，保護內網的信息安全。企業級防火墻的型號可根據校園網的規模進行選擇，如銳捷、華為、思科等品牌的千兆級或萬兆級防火墻。以萬兆級企業防火墻為例，支持2000M以上帶寬，千兆網口，防火墻吞吐量可達40Gbit/s，全面支持IPV4/IPV6下多種路由協議，預置常用防護場景模板，快速完成安全部署，并可自動評估安全防護策略的不足，給出優化建議，以及支持多種用戶認證方式，檢測并防御外來訪問風險，主要有入侵防御、病毒防御、內容過濾、URL過濾等保護機制。將防火墻安裝在因特網與校園網之間，隔離內外網訪問，外部訪問只能到達校園網公開的網絡，無法訪問內部網絡，以此形成對內網信息的保護作用。

3.升級交換機

校園網匯聚交換機選擇網管型交換機，傳輸速率需在千兆以上，升級校園網速的同時，提高校園網的安全性。根據該校園網的實際情況，采用VLAN劃分方法，靈活布置交換機端口，對校園網內不同部門系統進行物理隔離，并控制內網流量。匯聚交換機還是選擇口碑、信譽良好的品牌，以確保匯聚交換機運行的穩定性，比如銳捷24口全萬兆匯聚交換機、華為4萬兆光口企業級管理型接入匯聚交換機等，均具有完備的安全防護策略，多重的硬件防護設計，支持IPV4/IPV6雙協議棧，交換容量達到了T級，完全滿足校園網信息流量控制的需要。

4.設置校園網殺毒服務器

在校園網的服務器中，使用360企業安全云，由其負責終端安全與運維管理，提供網絡殺毒服務，解決校園網終端統一安裝病毒軟件難的問題，使用一臺主機就可完成校園網內部所有電腦管理，避免U盤拷貝中毒、電腦中毒等問題，使校園網信息安全傳輸。也可專門選擇一個主機安裝網絡版殺毒軟件，該主機聯網運行升級，分別在服務器端與客戶端安裝殺毒軟件，設置相同網段就可實現全網殺毒?；谠撔@網復雜的客戶端，綜合考慮后該校園網采用校園網殺毒服務器優化方案，專門制定系統安裝、升級與校園網病毒防范措施[3]。一是系統中心統一管理，由于計算機病毒全網傳播，不能僅針對幾臺電腦安裝殺毒軟件，而是在校園網所有的計算機終端上安裝殺毒軟件，專門設置校園網殺毒服務器，集中管理校園網所有安裝病毒軟件客戶端的計算機，使用殺毒服務器遠程控制計算機殺毒，同一時間消除所有隱藏在計算機中的病毒，避免了計算機病毒的傳播擴散。二是遠程安裝升級，校園網中的計算機處于一個局域網環境下，實現了互通互聯，由殺毒服務器遠程統一升級所有安裝病毒軟件的計算機，無需逐臺升級客戶端病毒軟件。三是加強針對性設計，校園網中有大量的計算機終端與較多的服務器，需建立校園網防病毒體系，由中心機房統一管理客戶端與服務器端，并且中心機房設置身份認證服務器，通過認證后方可訪問校園網絡，并設置日志記錄服務器，記錄訪問校園網的所有IP地址，在校園網遭受網絡攻擊后，用于追溯攻擊源頭。

四、結束語

校園網是學校重要的基礎設施，為學校師生提供優質的教育資源，并為學校日常辦公運行提供基礎支撐。但是當下互聯網環境復雜，網絡攻擊頻繁，危及校園網信息安全，需在原有校園網的基礎上進行升級、改造、優化，提高校園網信息安全防護水平。本文基于校園網優化實例，進行校園網防火墻、交換機、殺毒措施的改進，整體上提高了該校園網運行質量。在校園網信息安全優化過程中還需注意一點，應采用超前的設計思想，最新的技術與網絡設備，同時還要考慮到因特網新型攻擊方式與攻擊技術的迭代速度，采取超前、嚴謹、科學、切合實際的優化方案，以及在校園網運行過程中堅持不懈地優化升級，以保障校園網長久的信息安全。

作者單位：都業濤 黑龍江科技大學信息網絡中心

參? 考? 文? 獻

[1]紀紅亮.信息化視角下校園網絡信息安全問題探討[J].網絡安全技術與應用，2022（07）：76-78.

[2]戚小俊.高校校園網絡安全優化應用探討[J].中國新通信，2021，23（02）：127-128.

[3]王應求.高校校園網規劃設計及智能化改造分析[J].現代信息科技，2022，6（04）：88-90.

[3]楊洋.信息化管理視角下校園網絡信息安全問題探析[J].數字通信世界，2018，168（12）：161-161

[4]黃宏杰，陳永清.現代校園網信息安全化的研究[J].計算機時代，2016（12）：46-48，52.

[5]關德君.校園網絡信息安全及防護策略研究[J].無線互聯科技，2021，18（07）：29-30.

[6]薛榮，王浩波.網絡信息安全技術優化與防范措施[J].信息周刊，2020（06）：1.

[7]史玉鋒，鄧成飛，李明，等.論網絡信息安全技術優化與防范措施[J].電子技術與軟件工程，2015（22）：206.

[8]劉穎.智慧校園環境下高校網絡信息安全優化研究[J].科教導刊：電子版，2019（04）：281.

都業濤（1981-），男，漢族，遼寧丹東，助理工程師，碩士研究生，研究方向：校園網優化、虛擬機技術應用、網絡安全。