罗东芳

摘 要：本文通过研究高校多校区校园网安全方面的相关资料，以信息安全理论为基础，结合高校多校区校园网建设状况，指出应在物理安全、网络运行安全、信息安全及安全管理等方面实施安全措施，提出了全面的安全防护策略。

关键词：多校区；校园网；信息安全；安全防护策略

一、多校区信息安全的现状

随着我国高等教育体制改革的逐步推进，高校招生规模逐年扩大，带来了校区建设的种种问题，如受原校区周边环境限制，多数学校都建设了新校区。从而造成了一校多区的现状，河南省大多高校也存在着这种现象。但是在我国，随着校园网建设的深入和网络业务的日渐丰富，多校区大学的校园网络建设也面临着诸多问题。网络将常承受上万人同时在线的压力；不同的校区往往由不同的学校转化而来，相互之间校园网建设标准、发展进程、管理模式都不尽相同，网络设备之间的兼容性和安全性需要重新规划；最后，在校园网重新规划升级后，节点增多，网络结构更加复杂，更加需要统一的网络管理。

高校数字信息资源是指以数字化形式存在的各种资源内容的集合，这些资源中相当一部分以零散、隐蔽的形式存在各校区各部门网络环境和个人计算机中，甚至存在于学生或专家个人的主页和博客。信息资源的离散性、隐蔽性和自由性给信息资源管理带来复杂性。

多校区高校的信息安全体系的建立，是一项复杂的系统工程，只有从工程角度系统分析和设计，才能有效地为高校构架一个安全的信息管理体系。所以，多校区的信息安全不是一个单纯的技术问题，而是安全技术、安全策略和安全管理的综合，信息安全的研究工作“任重而道远”。

二、多校区信息安全隐患及成因

在传统网络环境下，数字信息面临的挑战是多种多样的。客观因素上：网络信息泛滥、信息虚假、病毒猖狂、恶意代码、侵犯知识产权等现象仍未得到有效的解决；主观因素上：普遍网络用户的安全意识薄弱；使得技术或信息的无意泄露、管理存在漏洞等；技术角度上：存在创新性不强，软件和硬件过度依赖的现象。这些因素中，人为因素往往容易被忽视，而据有关经调查显示，由于“人祸”所造成的损失达到80%以上。随着云计算技术和web2.0技术的广泛应用，对信息安全技术提出了更高的要求。本文拟对数据归类并分析问题点如下：

（1）物理安全问题。校园网硬件物理设备的放置是否合适、规范措施是否健全、防范措施是否得力、网络互联设备和服务器的软硬件资源配备是否合理。网络资源是否易遭受自然灾害、意外事故或人为破坏，从而造成校园网不能正常运行。物理安全问题。（2）技术人员素质。考察是否有由于高校网络技术人员水平参差不齐，信息安全意识不强，从而导致诸如在使用过程中使计算机病毒侵入、系统损坏等现象，技术人员是否有及时备份信息、处理突发事件的能力等。（3）网络安全漏洞。即使物理设施安全完备，校园网中的网络设备、操作系统、数据库、应用系统都存在难以避免的安全漏洞。许多校园网络拥有

WWW、邮件、数据库等服务器，还有重要的教学服务器，对于非专业人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞及校园网边界安全等问题。（4）多出口问题。原来各个校区有独立的到互联网络的出口，而随着多校合并、新校区建设等，使得一个学校有多个出口，而甚至一个校区几个出口，网络安全设备的投入和管理的标准是否统一，多出口信息安全问题是否从整体上考虑。（5）安全制度问题。各高校是否具备系统的管理思路和完整统一的安全策略，是否具有完善的、切实可行的管理和技术规范以及规章制度，是否具有安全评估制度。（6）网络安全等级差异问题。拟将高校信息三个等级，分别是自主保护级、系统审计保护级和安全标记保护级。一级即自主保护级包含教务、就业、党籍、团籍、离退休信息等。二级即系统审计保护级包含招生、学籍、图书、科研信息等。三级即安全标记保护级包含档案管理、人事劳资管理、财务管理、资产管理信息。（7）人为因素。从管理层面来讲，管理人员是否具备信息保密意识、是否对工作人员进行信息安全教育，是否对本部门的安全等级做出规范；从用户层面来讲，是否具有异常情况敏感性，是否具有信息使用和管理的安全意识，是否存在对内外交流过程中无意泄密的因素存在。

三、多校区信息安全的策略

（一）安全目标。①保证整个网络的正常运行，尤其在遭受黑客攻击的情况下；②保证信息数据的完整性和保密性，在网络传输时数据不被修改和不被窃取；③具有科学的安全风险评估；④保证网络的稳定性，安全措施不形成网络的负担而且提供全天候满意服务和应用；⑤构筑“绿色网络”，杜绝反动和不良信息的传播。

（二）安全策略。解决安全的策略问题需要从高校需求出发，本文拟从高校安全目标、安全级别、安全范围三个方面入手分析目前高校数字信息面临的挑战和急需解决的问题，以形成需求。进一步以需求出发制定行之有效的策略，主要从三个大的方面阐述，如图1所示。

（1）保障物理安全。首先要制定完善的安全规范管理制度，它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为破坏事故的规范。其目的是保护计算机系统、web 服务器等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和攻击等。（2）统一端口。多条互联网出口，可以对校园网内部访问外部资源的流量进行负载分流和相应备份。但是多校区校园网的多出口更易受到病毒感染和网络攻击，为保护校园网抵御黑客和恶意软件的入侵，可以在出口配置防火墙，在校园网内部建立信息网络监测系统，对关键区域的信息流向进行动态监测，及时发现非法及异常行为，对紧急安全事件快速拦截，对可疑流量进行测试，并对校园网实施访问认证、端口扫描、安全审计等技术措施，防范校园信息资源被非法访问、篡改和破坏。（3）避免安全漏洞。为保障多校区校园网的信息安全，必须做好校园网系统漏洞及补丁管理。可建立多校区校园网络信息安全服务网站，发布计算机系统安全漏洞公告，分发安全补丁并提供WSUS 服务等。（4）建立完善的安全管理制度。安全管理策略包括确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度，建立值班制度、密码管理以及应急措施等；明确系统管理员、网络管理员及系统运行维护人员的分工和职责范围。同时还需要加强校园网络信息安全宣传和培训力度，更好地普及信息网络安全知识，增强应对网络安全事故的处理与应急能力。（5）备份。设备和线路的备份可根据网络运行的故障率准备一定冗余，在网络某部分发生故障时，其他部分可自行启用或迅速切换。为管理的方便和数据的安全，将教务教学信息、图书信息、视频信息和其他管理信息等集中，统一部署数据备份方案。（6）访问控制策略。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。采用入网访问控制，网络的权限控制，目录级安全控制，属性安全控制等策略。

参考文献：

[1] 常艳，王冠.网络安全渗透测试研究[J].信息网络安全，2012，（11）：3-4.

[2] 魏为民，袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全，2012，（12）：53-56.