校園網絡安全管理的實踐與思考

吳仁昌

校園網絡是互聯網的重要構成，已成為學?？蒲小⒔逃肮芾矸账教岣叩闹匾O施。隨著信息技術不斷發展，校園網的應用規模迅速擴大，各級各類學校正逐步建成快捷高效的校園辦公網絡系統。但是，由于學校在信息共享、教育、管理及生活等方面對校園網的依賴程度越來越高，隨之而來的各種安全問題也日益突出。為了解決這類問題，通過其基本表現分析產生的原因，進而采取相應解決策略，可有效提高校園網絡應用的安全性。

● 校園網絡安全管理面臨的挑戰

1.教職員工的桌面行為管理難度大

計算機的廣泛應用提高了教職員工的工作效率，但是對教職員工工作期間的桌面行為管控也成為一個難題。例如，部分教職員工工作期間玩桌面游戲。如何對這些行為進行有效管控， 同時又不影響正常工作，成為日常校園網絡管理中面臨的重大挑戰。

2.對教職員工的網絡行為管理難度大

學校的網絡環境異常復雜，很難對外網用戶的上網行為進行有效管理。因此，經常在上班時段出現網絡聊天、炒股玩網絡游戲、觀看在線影音、使用P2P下載的行為；甚至還出現瀏覽、誤入非法網站導致校園網絡中ARP病毒，直接導致校園網絡高峰上網時段網絡不通暢，影響教師正常教學科研對網絡的需求，同時也有一定的網絡安全隱患。

3.校園網絡的設備管理難度大

校園網絡會接入各種設備，這些設備如果不進行有效管理，也會帶來一些問題。例如，學校教職員工可能使用打印機打印與工作無關的文檔，浪費學校的資源；U盤的無序使用會導致校園網絡的病毒泛濫，影響網絡運行。由這些設備使用失控所帶來的問題也常常使得校園網絡的管理出現各種漏洞。

4.計算機軟件資源管理難度大

校園網絡中的計算機有一個重要的特性，就是需要經常安裝各類軟件， 這些軟件可能是補丁，也可能是一些配置腳本。由于校園網絡規模龐大，網內的計算機復雜，軟件資源管理的工作量也非常大。如何快速地部署各類軟件資源也成為實際工作中面臨的重要問題。

5.對關鍵數據資源安全防護難度大

校園網絡中存儲著許多機密數據，如財務、人事、學生學籍、教師信息等， 這些數據的丟失會給學校帶來極大的損失。而目前，我們采用網絡化的辦公方式，就難免會將這些數據接入網絡，如何對這些關鍵數據資源進行有效防護，是當務之急的安全問題。

● 校園網絡安全管理實踐

上述問題是很多學校在網絡安全管理工作中經常遇見的現象。但是簡單地應對出現的具體問題，采取“逐個擊破”的方法解決，顯然不能滿足不斷變化的管理要求。因此，我們在充分調研的基礎上，從校園網絡安全和管理的基本需求入手，制定更符合實際情況的校園網絡安全管理方案，及時進行有效的使用管理，完善教師上網行為管理，投入專項資金購買相關設備，嘗試用系統的方法統一解決目前面臨的問題。

1.制度與執行并重，提升管理力度

學校網絡的安全運行，首先需要建立完善的使用與管理制度。通過分析學校對網絡的使用需求和實際遇到的安全問題，制定相應的校園網使用與管理制度，將明確各項職責，把校園網的使用納入正規的管理范疇，并對原有的管理機制進行有益的補充。以制度為基礎，學校積極投入技術力量保障管理。在建立網絡管理部門、配備相應技術人員的基礎上，學校對崗位責任進行進一步的明確并強化，提升日常運行維護工作的能力，及時排除網絡故障，及時升級相關安全防護軟件，實時監測并查殺網絡病毒，在管理端保證管理工作的及時性。

2.實行全員培訓，提高應用與管理能力

培訓，是提升網絡使用水平的最直接手段。對于校園網用戶，尤其是剛入校的新生，采取集中培訓與日常教育相配合的網絡安全教育，增強使用者的網絡安全機制自覺性，提高整體的安全防范力。在培訓中，既要有系統的理論知識培訓，更要有具體的網絡行為引導，如不使用盜版及安全隱患軟件，不打開陌生郵件及不可信網站，特別是E-mail附件當中的com及exe等程序。當然，校園網管理者也要進行定期培訓，提高專業素質，使其具有高水平的網絡管理能力，既有快速發現問題、尋找解決方案的能力，也有及時排除故障、消除隱患的技術，形成一支“快速響應部隊”。通過培訓，讓校內的用戶均能擁有熟練的網絡運用技能和基本的網絡安全常識，提高網絡管理者的實踐能力，這是提高校園網管理水平的人員保障。

3.合理利用技術手段，提升網絡安全性

利用一定的技術手段，保證網絡使用的安全性，也是行之有效的，一般來說，可以采取以下方法：

（1）利用IP地址分配限定上網地址段。首先，在學校辦公平臺重新分配公布全校教職員工的IP地址；其次，在管理設備中設置允許接入互聯網的IP地址段，不使用規定IP地址的用戶將不能上網；再次，通過管理設備，實現IP地址定點定位，并讓所有教職員工均進行IP地址確認，這為教師們“負責任”地上網提供了心理基礎。

（2）啟用Web頁面的用戶身份認證。身份認證是網絡安全的核心，對于校園網絡安全管理建設而言也是如此。校園網絡中經常存在一臺計算機多人使用、或一人使用多臺計算機的情況， 如果沒有身份認證，我們不僅難以針對不同用戶實施不同等級的控制，在出現問題后也難以針對用戶進行審計。在采用Web頁面的用戶身份認證后，老師們輸入自己的用戶名和密碼以后才能順利訪問Internet。用戶驗證通過后，電腦頁面自動跳轉到學校校園網的首頁。通過用戶身份認證，沒有權限的用戶無法通過學校的網絡設備登錄因特網，同時在正常辦公時間段內，每一位用戶的上網行為均得到了有序記錄，相關信息存儲于管理設備的日志中心，便于做到網絡行為的有據可查。

（3）對不同用戶應用不同策略。用戶的網絡行為相對較為復雜，如訪問網站、使用BT下載文件、網絡文件共享等。為了實現對這些行為的有效管理，校園網絡管理系統對用戶所訪問的URL和IP地址進行靈活的控制，同時也對文件共享進行有效管理。為了防止BT軟件產生的流量影響網絡運行， 校園網絡管理系統則對網絡流量進行相應控制。基于這樣的需要，對不同使用要求的用戶應用不同策略。目前已經生成的策略主要包括審核、信息過濾、下載控制和限制訪問等。審核主要是對上網的網址和論壇上的發帖內容以及收發的電子郵件進行審核；信息過濾則對所有上網內容進行敏感信息過濾，符合相關管理策略的網頁信息則允許瀏覽；下載控制則是在上班時間拒絕所有啟用P2P工具下載，非上班時間段允許P2P下載，合理分配下載帶寬，使下載行為不影響正常的辦公和教學；限制訪問則是在管理設備上定制防火墻功能模塊，直接過濾掉可能帶有病毒、木馬的網站、論壇等，使這些網站不能訪問。

4.加強日志審計與報表分析，尋找管理突破口

日志是實現校園網絡安全管理不可或缺的一部分，校園網絡安全管理系統應當能夠對各類控制行為的日志進行審計，并提供詳盡的報表，便于網絡運維人員分析。學校技術層面的管理主要是對教職員工的行為進行管控， 但從實際操作來看，僅有技術控制是遠遠不夠的，通過相應的日志與報表分析，可以找到經常出現問題的關鍵節點，為下一階段有針對性的改進提供非常有價值的數據參考，這樣才能形成在管理中不斷提升，在提升中優化管理的良性循環。

通過制度與執行的保障，實行全員培訓，合理利用技術手段以及做好各項記錄工作，學校投資的網絡資源得到充分的利用，為學校的校園網絡安全提供了有力的保障，規避了上網行為不規范而帶來的安全隱患和法律風險。

● 校園網絡安全管理的思考

1.提高用戶水平是保證網絡安全最重要的環節

網絡的設計者、使用者、管理者甚至破壞者都指向了一個關鍵詞——人。因此，人是影響網絡安全的核心因素。而如何讓使用者能夠更安全地使用網絡，讓管理者能夠更有效地保障網絡運行，甚至讓有破壞意愿的人放棄破壞，這就需要對他們的網絡應用水平加以提升。一方面，提高所有人員的網絡安全意識，無論是直接管理者還是使用者都能夠始終保持警覺性；另一方面，提高網絡使用與管理的素養，可以使他們在意識到出現問題時，有一定的解決能力，甚至可以預防問題的發生；此外，讓所有人明確，對網絡的破壞行為是違背公共道德甚至觸犯法律的，產生較強的后果意識，對于網絡安全的保障也有較好的提示作用?？傊?，始終把“人”放在關鍵環節，必然提升管理效果。

2.更新管理技術是應對各類變化問題的有效方法

網絡技術發展的速度難以想象，新技術帶來全新網絡體驗的同時，威脅網絡安全的技術也隨之不斷更新。如果網絡安全管理的活動永遠停留在老思路、老方法、老技術上，不但不能解決新出現的問題，有時反而會起到負作用，還會造成管理投入的極大浪費。因此，只有順應技術發展的潮流，不斷更新網絡安全管理的各項技術，才有可能有效應對不斷變化的網絡威脅。雖然我們永遠無法預料下一個安全問題會在哪里發生，但我們可以始終保持安全管理技術的先進性，在高效解決已有問題的基礎上，積極應對新的挑戰。作為管理者，就更加有必要、有義務不斷學習提升，適應復雜的管理需要。

3.加強理論學習是提前發現問題的必要前提

有人認為，網絡安全管理是實踐活動，書本中的理論知識可以作為參考，但在“實戰”中還是要靠“手藝”的。不可否認，一名網絡管理員擁有充足的經驗，強大的技術，必然能夠在網絡安全管理中解決許多問題?？墒?，如果我們永遠都只在發現問題后去解決問題，網絡安全管理活動就必然處于被動狀態。而通過對基礎理論、前瞻理論進行深入的學習，可以使我們具備充分的預見性。例如，學習網絡理論知識，既能了解網絡安全的基本理念，把任何復雜問題化為簡單的“元問題”加以突破，又能分析未來網絡發展的趨勢，對可能出現的網絡安全問題進行預防，那就顯著降低了出現問題再堵漏洞的管理成本。又如，研究心理學、倫理學的知識，對網絡參與者的網絡行為進行學理分析，必然可以幫助管理者提前了解用戶可能出現的反常現象，或者分析甄別實行網絡破壞的人員，都能夠更有效地預防問題的發生。

4.提升執行力是進行一切管理活動的基本保障

即便有完善的制度保障，有高素質的人員隊伍，有足夠的理論儲備，有最新的技術支持，如果不付諸行動，一切已有條件所發揮的價值都是微乎其微的。因此，強大的執行力就成為了一切管理活動的必要保障。但是，提高執行力并非一朝一夕就能成功的，需要一所學校的整個管理團隊，通過充分的磨合，有機的改進和良性的督促，逐漸形成一套系統的行為程序，進而將各種條件應有的價值盡可能發揮出來。學校的決策者，必須把這一問題當作學校的重大戰略來看待。

● 結語

面臨種種挑戰，我們在校園網絡安全管理的實踐中積累了許多寶貴的經驗，在實踐中，我們也不停地思考，如何能夠保證網絡安全的長治久安。當然，實踐與思考的過程中，我們還會遇到更多問題，發現更多漏洞。但是，我們相信，通過進一步的學習和堅持不懈的實踐，我們一定能夠做好校園網的安全工作，為教育改革做好信息化保障，也為其他學校的管理工作，提供一些有價值的參考。