基于獨立學院的校園網網絡安全風險分析

張博

摘要：伴隨著互聯網的快速發展，高校對網絡的需求也越來越大。各大高校都擁有自己的校園網，以滿足教學、辦公以及日常的網絡需求。獨立學院作為民辦高等教育的重要組成部分，網絡需求也是與日俱增。很多獨立院校也逐步建立起了屬于自己的校園網。但由于獨立院校的特殊性質，其校園網的投入力度無法與公辦院校相比較，因此獨立學院校園網網絡安全也面臨著巨大的挑戰。2021年恰逢中國共產黨成立100周年，網絡安全形式不容樂觀，作為獨立學院，我們面臨著哪些網絡風險，又該如何規避網絡風險，保障網絡安全呢？

關鍵詞：獨立學院;校園網;網絡安全

一、制度建設不健全

首先，獨立學院作為我國民辦高等教育的重要組成部分，但其組織架構與公辦院校相比較尚不健全。有不少獨立學院并沒有專門成立網絡安全相關的部門，對于網絡安全問題沒有專門的部門進行負責，這也導致了出現網絡安全問題高校無法第一時間應對和解決。其次，沒有出臺相關的網絡安全制度。在網絡安全相關工作中沒有制度作為依據和支撐，網絡安全相關工作開展的阻力大。很多獨立學院也從未進行過網絡安全演練，面對突發網絡安全事件無法做到從容應對。

二、網絡安全意識程度不高

作為高校，網絡安全工作的開展離不開基層教師和學生的支持。但是由于網絡安全的專業性，很多教師和學生對網絡風險的防范意識不高。比較常見的問題就是弱口令問題。獨立學院校園網建設完成后勢必會上線大量的系統和應用，以便師生使用，例如教務系統、財務系統、OA辦公系統等應用系統。部分應用系統會開放在公網上。當這些應用系統開放在公網上時，弱口令問題就成為了校園網安全的重大隱患之一。

作為高校網絡工作者，在網絡安全相關問題的宣傳推廣工作中曾發現，部分師生會覺得這些業務系統弱口令并沒有什么影響，系統被他人登錄也不會對其造成什么影響。這種想法明顯過于片面。在高校部分業務系統中有著大量的個人數據，弱口令問題導致的系統被攻破登錄會導致個人數據的泄露。

有些獨立學院會將重要信息系統在校園網內網運行，并認為內網運行弱口令問題就不會對網絡安全造成太大的風險。這個思想太過于片面，由于相關業務系統只在內網運行，相關網絡管理員為了工作方便，會開通VPN業務。業務開通時進行了相關的測試并且分配了VPN賬號。一般只有網絡管理員能夠掌握VPN賬號，但是VPN業務在開通初期的測試賬號有時候卻疏于管理，Test、123456等弱口令頻繁出現在各種測試賬號上，VPN由于弱口令被攻破所造成的風險更大，VPN被攻破直接導致了校園網的內網被入侵。曾有高校由于VPN被攻破，攻擊者通過技術手段掃描到了該校服務器所使用的IP地址段，對服務器進行了攻擊，獲取到了服務器的用戶名及密碼。遠程登錄到服務器后在服務器中發現了該高校相關網絡信息系統資產清單，清單上還記錄了該校部分數據庫服務器的地址和用戶名密碼。通過這些資料攻擊者輕而易舉的下載到了相關數據庫，數據庫中記錄了該校全部學生的詳細信息。此類事件不是偶然事件，是每個獨立學院都可能面對的網絡風險。

三、來自互聯網的網絡安全風險

1、安全風險防范技能有待進一步提升

由于網絡環境、網絡技術的復雜性，對使用人員的網絡安全技術有較高的要求。但部分獨立院校工作人員對網絡安全技術了解尚少。面對錯綜負責的網絡環境，很難做到從容應對。

2、軟硬件建設需進一步加強

面對錯綜復雜的網絡環境。獨立學院的校園網可能會受到各種攻擊，如SQL注入、DDos攻擊、CC攻擊等，相關應用系統遭受到上述攻擊可能導致數據泄露甚至系統癱瘓。面對此類網絡攻擊，僅僅靠人為檢測是遠遠不夠的，很多互聯網廠商提供了大量的軟硬件設備為校園網安全提供保障，如硬件防火墻、審計日志系統等。采購此類設備，搭建獨立學院自己的網絡安全防護體系，通過這些措施可以大大提高網絡信息系統的安全。

部分獨立學院將自己的業務系統放在云平臺進行托管，覺得放在云平臺就萬事大吉，但是事實并非如此。云平臺提供的基礎防護系統防護能力有限，同樣需要購買WEB防火墻、應用防火墻等來應對網絡安全風險，提高入侵防范能力。

3、操作系統及信息系統尚有漏洞

作為獨立學院，服務器一定是必不可少的，它作為相關業務系統的硬件支撐，無論是云平臺服務器還是本地服務器，都是網絡安全中的重中之重。服務器的操作系統存在著一些安全漏洞，這些漏洞嚴重威脅著獨立學院的網絡安全。于此同時，校園網用戶終端如計算機、手機等設備也存在著系統安全漏洞。2017年黑客團體Shadow Brokers發布的“永恒之藍”網絡攻擊工具正是利用了Windows操作系統的SMB漏洞，進而獲取系統的最高權限。當時有不法分子利用這一漏洞和“永恒之藍”攻擊工具制造了勒索病毒。由于其病毒的特殊性，導致其在國內很多高校的校園網內進行了傳播，大量的服務器及個人電腦中招，導致了數據損毀或被勒索了高額贖金。

少部分獨立學院擁有校方自己研發的相關業務系統。由于獨立學院沒有專門的研發團隊。自研信息系統的安全性缺乏專門的測試。代碼的漏洞也威脅著獨立學院的網絡安全。

四、來自校園網的網絡安全風險

校園網的規模與獨立學院的規模成正比，越龐大的校園網所上線的網絡設備和終端用戶就越多，來自內部的風險和隱患也就越大。

1、物理鏈路層面的安全隱患

由于獨立學院的特殊性，校園網建周期較短，部分場景只能在寒暑假時期施工。建設周期的限制也導致了施工質量參差不齊等因素。光纜等物理傳輸介質可能填埋深度較淺，部分校園網設備機柜不上鎖，機柜散熱情況考慮不周全，弱電箱防雷措施不完善等情況也是時有發生。這類情況的存在為物理鏈路被破壞埋下了安全隱患。

2、數據傳輸層面的安全隱患

獨立學院網絡使用者的網絡技術水平參差不齊，私接路由器、交換器等情況時常出現。錯接網線導致網絡中存在環路，就會造成網絡中出現重復廣播進而出現廣播風暴;此外終端設備的蠕蟲病毒也會造成廣播風暴的出現。

部分獨立學院在部分場景下使用固定IP地址的方式來分配IP資源。固定IP地址的方式可以更加方便管理，但是容易出現IP地址沖突等問題，造成部分計算機無法上網。由于校園內終端數量龐大，這就造成了一旦校園內出現了IP沖突問題，其查找解決難度很大。

3、內網攻擊

獨立學院學生的思想普遍較為活躍，對互聯網上的技術與知識學習欲望較強，這本是一件好事。但是部分學生從互聯網上學習到一些網絡攻擊的知識，同時獲取到相關攻擊的工具，加之對校園網內部網絡結構的了解，便會在校園網內部進行網絡攻擊。對校園網的安全造成了不小的安全隱患。

4、病毒木馬的傳播

由于校園網內部接入的終端設備數量較為龐大，除教職工和學生的個人設備外，教學用電腦也接入了校園網。此類設備由于其特殊性很多并沒有安裝殺毒軟件或者由于其電腦的還原卡及硬盤保護系統等工具的存在，其殺毒軟件無法實時更新病毒庫，使用者的電腦技術水平也參差不齊，由于常常使用移動存儲介質，其中部分移動存儲介質中的病毒木馬可以繞過還原系統保存在電腦上，這也就導致了此類終端經常存在大量的病毒和木馬，加之機房等場景的交換器各個端口之間沒有端口隔離，經常會導致大量的病毒和木馬存在與機房電腦、多媒體教室電腦上。由于病毒和木馬的快速傳播，加之此類電腦的基數過于龐大，相關管理員無法做到每日檢查。這就導致此類電腦成為了校園網內的安全隱患，甚至成為了攻擊者的肉雞，威脅著互聯網的安全。

五、校園網網絡安全風險解決措施

首先，作為獨立學院，成立網絡安全相關部門或組建網絡安全工作小組，同時出臺相應的網絡安全制度，定期舉行網絡安全演練。才能夠為獨立學院校園網網絡安全提供保障。

其次，加強軟硬件建設是保障獨立學院校園網安全防護網絡攻擊的一大利器，但是上述方案和內容需要大量的資金投入支持，但是作為獨立學院，資金投入往往制約著網絡安全建設。只有將網絡安全工作經費納入年度信息化預算中，經費納入單位財務統一管理，單獨核算，才能確保?？顚Ｓ?，保證網絡安全相關的軟硬件建設。

對于服務器和自研信息系統的安全漏洞及代碼漏洞，各個獨立學院應有專人負責及時對服務器進行系統漏洞修復，對于自研信息系統中的代碼漏洞要進行不斷檢查，對于自研信息系統中的數據要進行必要的加密措施，如：RSA非對稱加密、AES對稱加密及md5加密等等。

最后，加強網絡安全教育培訓，從安全意識角度，提升全校校園網使用者的安全防范意識。才能讓校園網更加安全，才能更進一步降低網絡安全隱患。

六、結語

伴隨著大數據以及云計算等技術的普及和推廣，信息化也在不斷的融入我們的日常生活。網絡將成為生活中必不可少的部分。網絡安全問題伴隨著互聯網的發展也不斷的出現。獨立學院作為高等院校，是先進技術的前沿陣地，如何利用好互聯網，利用好校園網，如何保障校園網的安全，如何規避校園網的風險也是獨立學院要思考的問題。我們只有與時俱進，不斷學習，從多個角度來共同出發，才能保證校園網的安全，讓校園網在安全的環境下運行。