校園網(wǎng)絡(luò)安全建設(shè)分析

摘要：隨著網(wǎng)絡(luò)工具的普遍運(yùn)用，網(wǎng)絡(luò)的使用已深入到學(xué)校管理和教育教學(xué)的方方面面，本文從中小學(xué)網(wǎng)絡(luò)現(xiàn)狀入手進(jìn)行分析，圍繞安全技術(shù)和安全管理兩個(gè)層面，探討了中小學(xué)進(jìn)行網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)內(nèi)容。關(guān)鍵詞：學(xué)校網(wǎng)絡(luò)；網(wǎng)絡(luò)安全建設(shè)；管理體系

現(xiàn)代社會(huì)的生活方式日新月異,而互聯(lián)網(wǎng)也正在人們?nèi)粘Ｉ钪邪l(fā)揮著日益巨大的影響,我們教育行業(yè)也在享受著網(wǎng)絡(luò)帶來(lái)的巨大便捷。隨著互聯(lián)網(wǎng)的建設(shè)與完善,網(wǎng)絡(luò)將在校園的管理與教育、學(xué)生學(xué)習(xí)過(guò)程中扮演著更加關(guān)鍵的作用。網(wǎng)絡(luò)的發(fā)展，以及虛擬化、物聯(lián)網(wǎng)、5G等新技術(shù)的普遍應(yīng)用,也導(dǎo)致了互聯(lián)網(wǎng)應(yīng)用的條件更加復(fù)雜,網(wǎng)絡(luò)安全成為焦點(diǎn)問(wèn)題。我們應(yīng)當(dāng)清醒的意識(shí)到,校園網(wǎng)絡(luò)并非凈土，它必將是各方爭(zhēng)奪的重要戰(zhàn)場(chǎng)。勒索病毒、校園服務(wù)器挖礦、學(xué)生個(gè)人隱私泄漏等熱點(diǎn)網(wǎng)絡(luò)安全事件層出不窮,學(xué)校和學(xué)生面臨的安全威脅日益嚴(yán)重,校園網(wǎng)絡(luò)面臨巨大的安全挑戰(zhàn)。教育部在《教育部科技司二零一九年工作要點(diǎn)》文件中，特別強(qiáng)調(diào)要進(jìn)一步提高學(xué)校教育管理系統(tǒng)的安全水平。要求堅(jiān)持網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的統(tǒng)籌領(lǐng)導(dǎo),全面落實(shí)黨委(黨組)網(wǎng)絡(luò)安全責(zé)任制,建立覆蓋教育系統(tǒng)的常態(tài)化監(jiān)督考核機(jī)制。國(guó)家教育部在發(fā)布《二零二零年教育信息化和安全管理工作要領(lǐng)》的文件中,就對(duì)教育信息化和網(wǎng)絡(luò)系統(tǒng)安全工作重點(diǎn)課題做出了安排。陸續(xù)出臺(tái)的法律法規(guī)體現(xiàn)黨和國(guó)家對(duì)教育行業(yè)網(wǎng)絡(luò)安全建設(shè)的高度關(guān)注,也迫切要求我們學(xué)校的管理者和使用者對(duì)校園網(wǎng)絡(luò)安全建設(shè)進(jìn)行認(rèn)真思考。一、中小學(xué)網(wǎng)絡(luò)現(xiàn)狀從目前中小學(xué)網(wǎng)絡(luò)現(xiàn)狀看,網(wǎng)絡(luò)架構(gòu)較為簡(jiǎn)單。一般中小學(xué)校的網(wǎng)絡(luò)由核心層、匯聚層和交換層的網(wǎng)絡(luò)設(shè)備組成骨干網(wǎng)絡(luò),互聯(lián)網(wǎng)出口接入運(yùn)營(yíng)商鏈路供校園師生對(duì)外上網(wǎng)使用,網(wǎng)絡(luò)服務(wù)區(qū)部署基礎(chǔ)網(wǎng)絡(luò)服務(wù)器包括DHCP、DNS等,為校園網(wǎng)絡(luò)設(shè)備提供必要的網(wǎng)絡(luò)服務(wù),校園網(wǎng)絡(luò)通過(guò)各樓層交換機(jī)接入到各個(gè)教學(xué)樓進(jìn)行網(wǎng)絡(luò)覆蓋,終端接入設(shè)備常用臺(tái)式機(jī)、筆記本或手機(jī)。二、網(wǎng)絡(luò)安全建設(shè)分析根據(jù)《網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)管理辦法》和教育部相關(guān)文件精神，對(duì)照中小學(xué)網(wǎng)絡(luò)現(xiàn)狀，下面從技術(shù)層面和管理層面兩個(gè)維度對(duì)校園網(wǎng)絡(luò)安全進(jìn)行簡(jiǎn)單分析。1、技術(shù)層面

主要從外部環(huán)境、通信網(wǎng)絡(luò)、區(qū)域分布、使用安全等幾方面進(jìn)行風(fēng)險(xiǎn)分析。學(xué)校網(wǎng)絡(luò)中心選擇的建筑應(yīng)具有一定的抗震強(qiáng)度,在場(chǎng)地選擇上,盡量不要設(shè)在較高層或者地下室,同時(shí)要加強(qiáng)防水、防潮,注意雨水不要通過(guò)窗戶、屋頂或墻壁滲進(jìn)網(wǎng)絡(luò)中心。在網(wǎng)絡(luò)中心的門口應(yīng)配備電子門禁等識(shí)別系統(tǒng),可以有效地控制和記錄進(jìn)出人員,防止非法人員進(jìn)入破壞。使用中,需要為網(wǎng)絡(luò)通信提供良好的外部環(huán)境。外部通信電纜的安裝時(shí)應(yīng)在較隱蔽處,做好規(guī)劃,以利于今后設(shè)備的添加。網(wǎng)絡(luò)中心的硬件設(shè)備應(yīng)當(dāng)設(shè)置顯見(jiàn)的標(biāo)記,并進(jìn)行加固處理,防止脫落。機(jī)柜等機(jī)械裝置都要做好連接處理,并設(shè)有自動(dòng)報(bào)警控制系統(tǒng)。機(jī)房?jī)?nèi)部使用帶有一定耐火等級(jí)的材料,而機(jī)房地面則一般使用防靜電地面并采用相應(yīng)的防靜電措施。機(jī)房?jī)?nèi)一般需要設(shè)有空氣溫、濕度自行調(diào)節(jié),才可以讓設(shè)備在良好的環(huán)境下工作,從而增長(zhǎng)了設(shè)備的壽命。為使設(shè)備在斷電情況下能夠短期運(yùn)行,需要配置穩(wěn)壓器和過(guò)電防護(hù)裝置,滿足緊急狀況下備用電力供應(yīng)。學(xué)校的整個(gè)網(wǎng)絡(luò)系統(tǒng)必須在整個(gè)架構(gòu)上設(shè)定適當(dāng)?shù)膮^(qū)塊,給其各區(qū)域分配不同的IP地址,以便于管理與監(jiān)控。同時(shí),重點(diǎn)網(wǎng)絡(luò)區(qū)域與一般區(qū)域之間采取密碼技術(shù)手段進(jìn)行校驗(yàn)分隔,用來(lái)保護(hù)通信過(guò)程中數(shù)據(jù)完整性。針對(duì)教師在家或在校外的辦公需求,可以考慮通過(guò)部署SSLVPN網(wǎng)關(guān)的方式,增進(jìn)使用的方便性。使用的安全標(biāo)準(zhǔn)從身份識(shí)別、管理訪問(wèn)、防止惡意代碼攻擊、數(shù)據(jù)完整性、對(duì)數(shù)據(jù)的備份與還原、保護(hù)個(gè)人信息等方面考慮。對(duì)在所有服務(wù)器上注冊(cè)的用戶都要實(shí)行身份識(shí)別,且對(duì)身份標(biāo)識(shí)設(shè)置有唯一性,密碼不要采用常規(guī)性密碼,要具備相應(yīng)的語(yǔ)言復(fù)雜度,包括中英文、大小寫、特殊字符等,并要定期更換。在登陸流程中要設(shè)定控制非法登陸的及當(dāng)?shù)顷戇B接超時(shí)主動(dòng)退出的策略,如果用戶要進(jìn)行遠(yuǎn)程管理,要避免賬號(hào)和口令在互聯(lián)網(wǎng)傳送過(guò)程中被非法截獲,可以對(duì)用戶分配賬戶和一定的使用權(quán)限。在系統(tǒng)賬戶使用時(shí),可以重命名或取消系統(tǒng)的默認(rèn)帳號(hào),更改用戶帳號(hào)的初始密碼,清除過(guò)期帳號(hào),避免共享帳號(hào)。對(duì)所有的應(yīng)用最小權(quán)限,并進(jìn)行權(quán)限隔離。同時(shí)為了提高應(yīng)用的安全,目前已經(jīng)開(kāi)通了安全審計(jì)系統(tǒng),對(duì)每次登錄應(yīng)用,必須記錄下所有事件的用戶、日期、類型、任務(wù)是否完成及其他有關(guān)的數(shù)據(jù),對(duì)所有歷史記錄進(jìn)行保存,并定期進(jìn)行備份,避免出現(xiàn)刪除、修改或覆蓋等情況。通過(guò)設(shè)置設(shè)備的鏈接方法,并對(duì)IP地址進(jìn)行控制來(lái)對(duì)終端設(shè)備進(jìn)行管理與控制,以及時(shí)發(fā)現(xiàn)設(shè)備可能產(chǎn)生的漏洞,從而修復(fù)漏洞。服務(wù)器要安裝防惡意代碼注入的軟件或具有同等功能的軟件,定期對(duì)惡意代碼庫(kù)進(jìn)行更新升級(jí)。通過(guò)校驗(yàn)功能確保關(guān)鍵信息在傳遞過(guò)程中的安全性,關(guān)鍵信息及時(shí)完成備份,從而確?？梢哉一貍浞莸男畔ⅰＭㄟ^(guò)在校園系統(tǒng)服務(wù)器和各個(gè)終端部署終端威脅防御系統(tǒng),收集服務(wù)端和終端的安全信息,直觀呈現(xiàn)病毒排行、病毒趨勢(shì)、等統(tǒng)計(jì)信息,利用特征掃描、靜動(dòng)態(tài)啟發(fā)式掃描和沙盒動(dòng)態(tài)行為分析多種查殺引擎,提供多級(jí)精準(zhǔn)病毒查殺能力,提供"虛擬漏洞補(bǔ)丁"功能,針對(duì)嚴(yán)重威脅業(yè)務(wù)系統(tǒng)的高危漏洞,從網(wǎng)絡(luò)層面與進(jìn)程行為多個(gè)角度綜合分析并識(shí)別漏洞攻擊模型,有效阻止漏洞攻擊行為,從而在業(yè)務(wù)服務(wù)器和業(yè)務(wù)終端沒(méi)有打補(bǔ)丁的情況,完成漏洞熱修復(fù),在網(wǎng)絡(luò)層有效攔截勒索軟件、黑客滲透程序等高危威脅的入侵。 2、管理層面

技術(shù)是手段、管理是根本。管理層面包括圍繞制度、機(jī)構(gòu)、人員、建設(shè)和運(yùn)維等管理要素進(jìn)行風(fēng)險(xiǎn)分析。很多學(xué)校雖然制訂了相應(yīng)的網(wǎng)絡(luò)安全制度,但是因?yàn)閷?duì)網(wǎng)絡(luò)安全了解不到位,導(dǎo)致制度不健全,即使有制度,落實(shí)也不到位。在學(xué)校管理中,好的制度,不僅僅只是貼在墻上,更是要求每個(gè)人落實(shí)到具體分工的工作中,而不只是為了應(yīng)付上級(jí)的檢查。根據(jù)校園的實(shí)際狀況考慮,成立學(xué)校的安全管理機(jī)構(gòu),以安全組織架構(gòu)為基礎(chǔ),涉及到相關(guān)的部門和崗位職責(zé)以及管理辦法。學(xué)校參與信息安全工作的各部門根據(jù)在信息安全工作中不同分工,包括決策、管理、執(zhí)行和監(jiān)督等進(jìn)行分工協(xié)作開(kāi)展工作。校園網(wǎng)絡(luò)安全組織架構(gòu)不完全在學(xué)校組織架構(gòu)上進(jìn)行重組,而是在學(xué)校原有組織基礎(chǔ)上,針對(duì)網(wǎng)絡(luò)安全需求進(jìn)行的進(jìn)一步完善。 校園網(wǎng)絡(luò)安全人員的管理主要圍繞人員選用、離崗、安全意識(shí)培訓(xùn)等方面的管理,突出人員在網(wǎng)絡(luò)安全建設(shè)中的主觀能動(dòng)性。校園網(wǎng)絡(luò)安全建設(shè)管理主要對(duì)校園業(yè)務(wù)信息系統(tǒng)的建設(shè)進(jìn)行安全性考量,包括對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí)和備案,業(yè)務(wù)信息系統(tǒng)的安全防護(hù)方案設(shè)計(jì),安全產(chǎn)品采購(gòu)、交付、實(shí)施、驗(yàn)收等工程環(huán)節(jié)的管理等。校園網(wǎng)絡(luò)安全運(yùn)維管理主要針對(duì)校園安全運(yùn)營(yíng)人員在日常網(wǎng)絡(luò)安全運(yùn)營(yíng)過(guò)程中需要面臨的安全環(huán)境管理、設(shè)備維護(hù)、漏洞風(fēng)險(xiǎn)、配置核查、密碼變更、備份恢復(fù)、事件處置、應(yīng)急響應(yīng)等安全工作的管理。三、結(jié)語(yǔ)綜上所述,學(xué)校網(wǎng)絡(luò)面臨的安全問(wèn)題