1.中國小校園網路資訊保安的現狀
隨著各中國小紛紛新建、擴建校園網路,校園網路的使用規模、使用範圍日益擴大,校園網路中湧現的資訊保安隱患也越來越多。下面筆者將結合自己的工作體會,談談目前存在的資訊保安隱患的幾點問題。
(1)安全意識淡薄。一方面學校決策者“重功能輕安全”,在新建、擴建校園網路時,往往只強調網路功能而忽視安全保護設施的投入,造成網路安全設施不健全;另一方面由於教職員工對網路安全保護意識普遍比較淡薄,往往只樂於享受網路帶來的便捷、快速、自由好處,而在思想意識上忽視對網路安全的防範意識,對病毒的侵害、駭客的攻擊、資料的篡改和丟失等警惕性不高,對網路洩密特點缺少必要的防範意識等,這種思想上的麻痺和鬆懈就給不法之人造成了可乘之機,十分容易導致網路安全事故的發生。
(2)管理有待加強。人們對網路安全問題的認識,往往是經歷過網路安全考驗後,才意識到許多網路安全事件的發生和安全隱患的存在都與管理不善有關。總結經驗汲取教訓後,中國小校密切關注和研究:組織手段和制度機制如何切實保障網路的安全執行,對師生員工如何有效進行管理、培訓,如何對網路進行有效的管理和使用等問題。因為只有不斷探索和完善各種有效的網路安全管理手段,才能有效保障校園網路的安全,才能充分發揮校園網路對教育教學的便捷、自由、快速的優勢。
(3)經費投入欠缺。隨著計算機硬體的更新換代和軟體技術的快速發展,涉及校園網路安全軟硬體不斷湧現,為了有效維護網路的安全執行,人們根據校園網路執行情況適時地加大經費投入,對相關軟體和裝置的更新升級,特別是用於網路安全保護方面的軟硬體要有針對性地更新替換,另外新建網路的學校構建網路初期也需要有足夠的資金投入到網路安全的軟硬體上,避免網路安全的欠帳。
(4)缺乏防範機制。在實際工作中,人們發現不少中國小校沒有建立相應的安全防範機制,對校園網路的執行,沒有有效的安全防範和應對措施。同時,現有的法律法規不適應當前網路發展的趨勢,涉及網路方面的立法還有相當多的空白:如數字簽名認證法、個人隱私保護法、數字媒體法、資料庫保護法、計算機犯罪法以及電腦保安監管法等網路正常執行所需的法律法規等尚不健全。另外,由於網路犯罪呈現手段新、作案快、不留痕、智商高等特點,給偵破和審理網路犯罪案件帶來極大困難。
2.影響中國小校園網路安全的因素分析
(1)硬體因素。由於架構校園網路所涉及的硬體比較龐雜,加上經費的投入和人員的配備的原因,不可能有充足人員或者專門部門負責對這些龐雜硬體進行全面監控,而佈置在不能獨立封閉環境的硬體如:光纜、電纜、電話線、區域網、遠端網等都存在遭到有意識無意識破壞的可能,一旦由於破壞而引起校園網路的癱瘓,就會嚴重影響正常教學活動的開展,因此中國小校園網路的安全是比較脆弱的。
(2)軟體因素。當前中國小的校園網路系統絕大部分都使用的TCP/IP協議以及FTP、E-mail、NFS等,而這些協議都或多或少存在漏洞,包含著不少影響網路安全的因素。如ARP病毒的流行就是由於協議存在漏洞造成的。ARP(AddressResolutionProtocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。此外,接入校園網路的計算機所使用的軟體也存在一定的安全漏洞,這給駭客攻擊提供了可能。
(3)使用者因素。師生員工作為中國小校園網路的使用者,擁有網路使用許可權或高或低,能夠多多少少直接參與網路。當擁有使用許可權的教職員工對校園網路進行攻擊時,其對校園網路的破壞程度遠遠高於外部的攻擊者。入網口令過於簡單、網路未有效分段、文件保密意識不強、師生作用許可權不清、沒有明確專人管理等現象在中國小的網路管理中相當普遍,這使得教職員工對校園網路搞起的破壞十分容易。網管員作為校園網路“特權階層”,他能隨心所欲地操控網內的每一臺電腦,採集、瀏覽各級電腦內的所有資料,熟悉所有與校園網有關的密碼口令,如果負責校園網路管理的老師成為洩密者,後果將不堪設想。隨意讓校外人員使用自己的電腦、將自己的密碼口令告訴他人、在校園網的電腦上使用未經審查的軟體等,都是校園網路的重大安全隱患。
3.中國小校園網路資訊保安策略
中國小所謂的網路安全策略其實就是在一定條件下對投入的.成本和預期的效率進行權衡,落實在具體事務上就是針對校園網路的實際情況,針對網路的整個管理過程,綜合資金投入因素對各種網路安全措施進行具體的取捨。校園網具有師生使用者多、使用頻率高、訪問方式雜等特點,因此校園網路的安全問題就需要在網路規劃設計、構建施工、日常管理的各個階段加以仔細考慮,並在實施過程中嚴格管理。
通常情況下一般採用以下措施來保障校園網路的安全性:
(1)有效保障硬體安全。在校園網規劃設計、構建施工、日常管理階段就應該儘量為保障網路硬體安全創造條件,如把伺服器、交換機、路由器、不間斷電源等一些重要的裝置儘可能佈置在相對封閉獨立的空間實行集中管理;把光纜、資料線路等採取深埋,穿線或架空處理,並加掛警示標牌,防止意外損壞;同時對一些終端裝置的日常管理如計算機、交換機、工作站、集線器和其他相關裝置要明確專人、落實責任、嚴格管理。
(2)採購配備必要軟體。校園網路安全軟體主要有:防火牆、防毒軟體、存取控制、身份認證、加密措施、資料的完整性控制和安全協議等內容。但針對中國小校園網特點,筆者認為以下軟體是必須配備的。
①過濾器和防火牆軟體。由於中國小校園網主要面對中國小生和教職工,因此對一些涉及黃賭毒、暴力、邪教等不良網站必須嚴加防範,而過濾器軟體可以有效遮蔽這些不良網站;防火牆軟體主要包含了使用者認證、動態的封包過濾、預警模聲、應用代理服務、IP防假冒、網路地址轉接等方面內容,可以將校園網與外網十分有效地隔離開來,切實保障校園網路不受未經授權的外部侵入。
②運用VLAN技術。VLAN(VirtualLocalAreaNetwork)的中文名為“虛擬區域網”。VLAN是在一個物理網路上劃分出來的邏輯網路。這個網路對應於OSI模型的第二層網路。VLAN的劃分不受網路埠的實際物理位置的限制。VLAN有著和普通物理網路同樣的屬性。第二層的單播、廣播和多播幀在一個VLAN內轉發、擴散,而不會直接進入其他的VLAN之中。VLAN技術的應用,可以增強廣播風暴防範能力,增強區域網的安全性;含有敏感資料的使用者組可與網路的其餘部分隔離,從而降低洩露機密資訊的可能性;可以減少網路上不必要的流量並提高效能;提高教職員工工作效率,同時也增加網路連線的靈活性。
③使用防毒軟體。防毒軟體有個人版和網路版,選擇合適的網路防毒軟體可以有效地防止病毒在校園網上傳播。網路版防毒軟體有如下優點:A.集中式管理、分散式防毒效率高;B.採用資料庫技術、LDAP技術;C.多引擎支援,防毒速度更快;D.從入口處攔截病毒;E.全面解決方案;F.擴充套件性比較高;G.可以進行遠端安裝或分發安裝。國內外比較知名的網路版防毒軟體有卡巴斯基、諾頓、江民、瑞星等廠商,根據校園的實際需要,選擇合適的廠商。
④訪問控制。為了保證網路資源不被非法使用和非法訪問,需要在網路關口處做好訪問控制。一般會通過架設防火牆系統來進行安全防範和保護。防火牆是在兩個網路通訊時做一些檢查控制,它能允許“同意”的人和資料進入網路,同時將“不同意”的人和資料拒之門外,最大限度地阻止網路中的駭客訪問。換句話說,如果不通過防火牆,學校內部的人就無法訪問Internet,Internet上的人也無法和學校內部的人進行通訊。這樣,就保證網路資源不被非法訪問和非法使用。在網路執行初期時,執行平穩。後期隨著接入的電腦增多,會經常發現掉包現象,這時需要分析問題出在哪裡。一般在交換機設埠映象,抓包分析,找哪臺電腦的流量大。對照登記的電腦IP與MAC的繫結表,找到這臺電腦。
(3)網路管理。
①建立科學的網路管理制度。學校校園網是為教學及學校管理而建立的計算機資訊網路,目的在於利用先進實用的計算機技術和網路通訊技術,實現校園內計算機互聯、資源共享,併為師生提供豐富的網上資源。為了保護校園網路系統的安全、促進學校計算機網路的應用和發展,保證校園網路的正常執行和網路使用者的使用權益,更好的為教育教學服務,除了有先進的硬體支援外,還需要一套完善的管理制度。比如建立相關電子公告系統的使用者登記和資訊管理制度,安全教育培訓制度,使用者備案制度,資訊內容稽核制度,資訊釋出登記制度等。
②網路管理隊伍的培養。積極建設一支思想水平高、網路業務強、熟悉學生上網特點的網路管理工作隊伍。各部門至少要配備1名網路管理員,及時瞭解網上動態,有效管理和引導網上輿論。充分發揮教師參與網路建設和管理的積極性,參與網站製作、管理與維護。學校要定期組織校園網路管理業務培訓。加強對網路管理人員、有關專業教師的培訓,提高他們監管網路執行、利用網路開展思想教育的能力。
③網路執行日誌的管理。通過日誌統計實現對使用者訪問網際網路情況的分析,並生成以圖表為主的直觀的統計報告。網路管理員可以根據統計報告提供的資訊,分析出學生對網際網路的訪問情況,以便調整訪問控制策略,從而實現對本學校網際網路的有效管理。管理員可以通過檢視系統日誌記錄,發現系統存在的一些問題,並妥善解決相關故障。定期做好日誌的備份工作,當網路出現故障時,可以通過日誌去查詢問題,日誌存放的目錄和空間大小也要注意,防止日誌檔案過大而影響系統的執行。
(4)網路使用者的教育和培訓定期/不定期地面向用戶進行使用校園網的知識講座,及網路安全等技術培訓,使使用者不但會使用校園網,解決一些簡單的網路故障,並能更好地發揮網際網路在工作、學習、生活、教學中的應用,這對校園網的建設非常重要。通過教育培訓,增強師生的網路安全意識和觀念,並且掌握基本的網路安全知識,做好個人計算機的安全防範工作,從而能夠降低內部安全隱患。
總之,加強對校園網資訊保安方面的研究,對於提高校園網資訊保安防護的應用水平,是具有較好的指導意義。校園網的安全問題是一個較為複雜的系統工程,除了要有相關的硬體和技術保障外,還需要相關的制度保障和校方的重視,防範不僅不是被動的,更要主動進行。當然,關於校園網更多的資訊保安應用技術的開發和應用,還有待於廣大網路資訊保安工作人員的共同努力,才能夠最終實現校園網資訊的安全防護應用。