当前高等院校校园网络安全问题及解决的几个方

　高等院校校园网是在具体院校内，在某种理论和教育理念指导下，为教育教学、管理和科研等方面提供信息交流、协同工作和资源共享的计算机网络。校园网能够准确收集、处理、存储和传输教育信息并提供网络环境和工具；在学校日常管理和决策中提供网络环境、数据；在科学研究中提供的搜索资料、分析和处理的便利。在信息化水平日益普及的今天，校园网作为信息化建设的平台，已成为广大学校必不可少的重要基础设施。而校园网由于其自身具有开放性结构的复杂性、资源的共享性等特点给广大用户也带来了一系列的困扰，如何防治各种各样的非法入侵，让校园网络的安全稳定运行，已经成为现今校园网络建设和管理中迫切解决的问题。
　　1 内部安全隐患
　　1.1 制度设计与人为因素
　　现行的高校网络安全方面的规章制度方面不够完善，不少网络安全主管部门缺乏相关的安全管理制度。即便有规章制度，往往流于形式化，并没有发挥其应有的作用。另外网络管理员的技术水平参差不齐以及网络使用者安全防范意识不强等因素，使之成为网络安全隐患的一个重要原因。比如一些用户随意访问一些非法网站和下载使用非法文件，一些管理员自身管理网络的水平有限，这些都给网络安全带来了极大的威胁。现在随着互联网技术日益普及，网络受到的安全隐患却越来越多。大部分教职工和学生对网络安全缺乏认识，一些人甚至对网络安全毫不了解。比如有些校园网使用者从来就没有安装过杀毒软件，或者即便安装过之后就没有再升级，直到电脑中毒后无法使用才向专业人员求助。还有不少校园网用户，对于自己业务账号和密码没有安全意识，不设密码或者设置极为简单的密码，这些为黑客的攻击留下了“后门”。思想意识的不重视，必然不知道因此会导致的严重后果。
　　1.2 来自网络的内部攻击和威胁
　　在校园网中，所有的网络攻击中来自网络内部的各种攻击占到70%以上，这是权威调查的结果。内部的攻击往往更难发现、数量也比较多。在所有内部攻击中目前最常见的内部攻击主要是地址解析协议（ARP） 欺骗。在高校里，一些学生为了得到更多的网络资源而私自占用他人的IP地址。还有一部分在校园网内使用一些下载工具导致网络堵塞。甚至有部分学生有意或者无意借助网络攻击工具软件对校园网进行DDos攻击。这些都构成了校园网络内部的隐患。
　　1.3 网络安全保护系统不完善
　　相当一部分高校对计算机网络建设普遍存在重硬件、轻软件的问题，对网络安全所需的软件和管理的投入明显偏少。部分高校有的连专门的管理机构都没有设置，更谈不上对广大师生进行经常性的培训了。一旦出现安全问题，不是认真分析解决，而是打电话求助设备售后维保人员，而售后维保人员也不能做到随叫随到，往往影响教学秩序。现在不少高校或多或少存在财务危机，在对校园网络投资上无法连贯性，有钱就投，没钱就停，始终不能形成制度化。校园网使用人数多，覆盖范围广。办公室、实验室、宿舍、教学楼都能使用网络，如果没有一个完善的防护系统，只要有人利用如“U盘”或者移动硬盘就能轻而易举地把病毒传播到校园网内。
　　2 来自外部的攻击和隐患
　　目前，来自外部的安全隐患大部分来自互联网上的攻击。虽然互联网接入校园网络的方式多种多样，让学校的教学资源变得极为丰富，让传统的教室教学环境由原先教室变成了多媒体机房，教育形式也发生了根本性的变革，不受时空限制。与此同时，也增加了网络管理的难度。
　　2.1 软件的问题
　　软件不是完美的，或多或少存在一些漏洞问题，尤其是网络软件。这些漏洞问题已经成为非法用户攻击的首要目标，尤其是一些使用率比较频繁的软件，更是成为了攻击的重要目标。与此同时，某些软件公司的软件设计工程师为了自身某种利益诉求在软件设置某种“后门”，大部分情况下不为外人所知，更难以发现，如果“后门”一旦洞开，其造成的可怕后果将无法想象。
　　2.2 网络病毒的疯狂传播
　　计算机病毒是指编制者在计算机程序中插入破坏计算机功能或者破坏计算机存储数据，影响计算机正常使用并且能够自我复制的一组计算机指令或者程序代码。由于计算机病毒具有破坏性、复制性和传染性等特点，一旦计算机中毒，就会不能正常工作，一旦网络中的计算机中毒除了影响本身机器使用外，还堵塞网络，使其陷入瘫痪状态。此外，由于网络共享特点，再加上移动硬盘和U盘的使用，大大方便了病毒的传播，即便网络可以给我们的生活和学习带来了很大的方便。病毒层出不穷且不得变化。例如，蠕虫病毒（worm）。蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序，如当年的“莫里斯”病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖，导致几千台服务器无法正常提供服务。如今的蠕虫病毒除了利用网络缺陷外，更多地利用了一些新的技术，比如说：“求职信”病毒，是利用邮件系统这一大众化的平台，将自己传遍千家万户；“密码”病毒，是利用人们的好奇心理，诱使用户来主动运行病毒；“尼姆达”病毒，则是综合了系统病毒的方法，利用感染文件来加速自己的传播。还有如“熊猫烧香病毒”。这些病毒的大肆传播，严重影响了网络正常运行。
　　2.3 各种非法入侵和攻击
　　随着互联网技术的不断普及，非法攻击无处不在。非法入侵者的主要目的是破坏信息的完整性、有效性，并对系统资源抢占控制权和窃取数据。为了实现上述目的，非法入侵者用尽各种办法和手段。而广大校园网络是相对开放的，再加上校园网用户安全防护能力比较脆差、安全意识薄弱，这就使校园网成为众矢之的。随着校园网业务的不断扩大，校园网络中的服务器的数目和种类不断增多，校园网中的服务器也会遭受校园网外部的黑客攻击和来自校园网内部的攻击。校园网外的黑客一般会乔装成合法的用户进入校园网络内部非法占有大量系统资源，影响软件运行、破坏网络数据等有选择性地破坏网络信息的有效性和完整性。非法入侵除了校园网外部的黑客，还有一部分就是年轻的大学生，这些学生年富力强、求知欲强，且有很强的好奇心，在网络的帮助下很快掌握了一些简单的攻击技术，进入系统内部篡改、查看信息数据，对学校相关应用服务器发送大量的 恶意请求包，从而对校园网进行攻击，严重影响校园网的正常运行。一些学生之所以能攻击成功主要是利用服务器、网络协议或者操作系统的漏洞。南京某高校曾经发生学生侵入教务系统，窃取期末考试试卷的事情。所以，在以上几个方面需要做好安全防范工作。
　2.4 不健康信息的传播
　　随着互联网技术的不断发展，现在网络上充斥许多色情、暴力等非法内容。一些学生由于辨别能力较弱且好奇心强，很有可能对这些信息肆意的下载。造成的后果往往很严重的，有的是自己电脑中毒，系统遭到破坏，更有甚者个体电脑中毒导致整个网络的堵塞。此外一部分学生在使用移动硬盘和U盘时缺乏必要的安全意识，从不定期查杀病毒，就有可能把病毒传染到校园当中，进而造成严重后果。此外，随着智能手机的普及和微博、微信的使用，现在已经进入自媒体时代，人人都是发布者，导致的后果很多，未经证实的消息和谣言得以传播，蛊惑大众，如果校园网没有完善的安全措施，不良信息不仅会对师生的思想观念产生不良影响和误导，甚至会在校园网络上疯狂传播，给校园网络带来瞬间极大值的流量、服务器带来重大负担，影响网络的正常运行，进而影响社会的稳定。
　　3 加强校园网络安全的对策
　　3.1构建相对完善的校园网安全体系
　　虽然黑客攻击可以肆虐网络，在网络上为所欲为，但也不是毫无办法。相对于具有分层的安全防护的校园网，黑客有时候也是无计可施，这就在某种程度上对网络形成了保护。对校园网的保护，我们需要的是多层次的拓扑保护且与相关的安全管理结合，而绝非那种单一缺乏保障性的保护。只有这样才能从根本上预防网络黑客的攻击，保障网络的安全。所以，在校园网络安全建设规划的初期，就必须对网络进行网络安全防护分层表。
　　3.2 防火墙技术及其他防御技术的应用
　　所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。在现在的校园网络安全防御中，运用得最多的就是防火墙技术，保障着校园网安全运行。此外，入侵检测系统（IDS）用的也比较多，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。应用在校园网最为普遍的防护技术，它相当于在校园网与外部互联网之间形成一道屏障，通过检测入侵的异常事件，来决定外界能否访问内部站点，从而保护校园网络的安全，但是在对异常事件不能够就行主动防御处理。随着技术的进步，入侵防御系统（IPS）逐渐取代入侵检测系统（IDS）。入侵防御保护就是就是比入侵异常检测技术多一个处理，发现问题可以解决问题。但是拥有了防火墙技术也不一定能完全保证校园网是绝对安全的，因为它解决不了内网用户的网络攻击。防火墙技术界只能运用在内外网分界的网络环境中，一旦其他因素发生剧变，防火墙也会因缺乏变通的解决方案而无计可施。
　　3.3 对校园网络安全的管理
　　校园网有着庞大的用户，少则几千人，多则数万人，在这样巨大的网络中管控每个用户的网络使用行为就变得尤为困难。所以，我们需要把安全技术做好之外，必须做好日常的管理。目前不少高校采用的互联网使用实名制，凡是有使用网络需求必须登记单位部门、身份证号码和联系方式，这个方法虽然操作起来有点繁琐，却是一个很好的安全防范措施。一旦发现安全问题就可以直接找到当事人，找到问题的症结，从而迅速解决网络问题。此外，还必须建立专门的网络安全管理机构专门从事网络安全管理。如果条件允许还可以在新教工入职和新生报到时候进行适当的网络安全培训。再坚固的堡垒往往是由内部攻破的，这就需要加强内部网络监控。内部攻击往往是隐蔽很强，不容易发现，但是其破坏力是外部攻击不能比的。在不影响网络正常运行的前提下，对内部网络流量和异常进行监控，可以做到最大限度的保护网络资源。另外，通过使用技术成熟的网管软件、日志分析软件等工具，形成一个功能较完整、覆盖面较广的监控管理系统。
　　3.4 制订网络信息安全事故处理预案和灾难恢复计划
　　世界上没有绝对安全的网络，网络安全威胁无处不在。针对不确定的安全事故，必须建立信息安全快速反应系统。该系统主要包括网络信息安全应急处理预案演练制度，提高各部门人员应对意外的能力。这就要求全校各部门，尤其是网络安全管理中心，充分预估各种可能出现的网络突发事件的可能性，并制订出相应的应急处理预案，组建专门的应急处理小组，并定期进行安全演练，发现其中存在的问题并实时解决。这项制度如果得以执行，就可以在发生网络信息安全的突发事故（诸如停电、病毒攻击）时，各种信息系统的业务尽可能维持不至于中断，把对网络服务的影响降到最低程度。此外，安全漏洞也是令网络管理员棘手的。根据CERT/CC对漏洞情况所公布的数据来看，漏洞数一直在增加且数目巨大，管理员管理这么多漏洞是很困难的，而且网络黑客攻击对漏洞的敏感性使他们往往能够及时的发现即将要修补的这些漏洞。目前对计算机安全最大的的威胁是缓冲区溢出类型的漏洞，其危害性对我们计算机来说非常大且又无处不在。针对这些突发意外情况我们应该建立一个灾难恢复计划。因为我们无论怎么想办法都不可能防止一些意外灾难的发生，但我们可以做的就是使这些灾难发生造成的损失降低到最小，并且将这些灾难发生所产生的影响记录下来，并为此做出相应的应对措施。
　　3.5 强化人员管理，加强制度建设
　　“三分设备，七分管理”这句话对于网络安全建设而言是最恰当不过了。即使其他网络安全管理措施做的再好，如果没有一套切实可行且持之以恒的安全保障制度和体系作为后方保障也是没有用的。随着网络知识的逐渐普及和网络技术的不断发展，越来越严峻网络安全的形势逐渐地摆在我们面前，近些 年频繁出现的网络攻击事件就说明了这一点。但是网络安全技术是相当复杂的且不断更新变化，知识的需求面非常广泛，这就对从事网络管理的工作提出了更高的要求，就必须要做到及时进行漏洞修补和定期检测，实时对网络的监控和管理，不放过一点问题和隐患。此外，学校要注重制度建设，必须要颁布相应的网络行为规范和处罚措施，这样才能有效的控制和减轻内网的隐患。
　　4 结束语
　　由于校园网络运行环境是多变的、复杂的，以及操作系统本身的缺点，决定了校园网络安全问题的客观存在，因此我们必须即时掌握网络的各种特征和各种威胁，才可以采取相应的策略来防止不安全因素的影响。同时我们也应该清楚，网络安全技术的提高也会伴随着入侵手段的提高，因此只有不断创新技术管理、网络中心的管理制度的不断完善和加强校园网管理人员水平的不断提高等办法来保障，同时也要加快校园网络安全技术手段的研究，从而使校园网络能安全可靠地为广大师生服务。
　　参考文献：
　　[1] 李兆祥.民办高校校园网络安全分析及对策[J].中国科技信息，2012（4）.
　　[2] 刘洪宾.论影响校园网络安全的因素及其对策[J].信息系统工程，2012（4）.
　　[3] 张小寒.浅谈校园网络安全的现状及防范措施[J].计算机光盘与使用，2012（1）.
　　[4] 张华.浅析高校校园网络的安全管理[J].信息系统工程，2012（1）.
　　[5] 朱方闻.浅析校园网络安全防范[J].天津职业院校联合学报，2012（5）.