当网络环境变得日益复杂时,校园网络如何规避风险？当单一的安全策略变得越来越弱不禁风时，未来的校园网安全策略会走向何方？多位相关领域的人士对此阐述了自己的看法。

隐患丛生

火热的校园网建设背后是回避不了的众多安全漏洞。

冯向辉认为，目前，校园网的速度规模逐渐扩大。高校校园网是最早的宽带网络，校园网的用户群体一般也比较大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快，对网络的影响比较严重。

向阳朝着重强调了学生在网络使用方面带给校园网络的安全隐患。在他看来，学生接受新鲜事物的能力非常强，因此校园也成为黑客最多的场所之一。同时由于校园网的网络资源丰富、大量用户随时在线、互相之间访问频繁、网络管理者对用户终端管理权限小，这给网络安全造成了巨大的威胁。

刘政平则表示教育行业用户由于其用户的特点，大多数用户对于终端系统安全补丁、上网安全风险和邮件安全风险都没有太多的安全意识。

随意安装网上的免费程序、下载或观看网上的视频、浏览非法网站等各种不安全的行为较多地存在于教育行业用户中。这往往成为校园网络最致命的威胁。

而在张勇看来，目前的校园网安全问题主要集中在以下几个方面：普遍存在的计算机系统的漏洞，计算机蠕虫、病毒泛滥，外来的系统入侵、攻击等恶意破坏行为，越来越普遍的拒绝服务攻击，内部用户的攻击行为，校园网内部用户对网络资源的滥用，垃圾邮件、不良信息的传播。

两面夹击

内网、外网两面夹击下的校园网络正经受着重重考验。

赵呈东用“两面夹击”来形容目前校园网络管理的困境。他说，校园网一般分为内网和外网两个网络，一方面校园网外网，包括CERNET、CHIANNET，具备一切互联网上的威胁特征，新攻击种类出现频率高，新攻击手段出现速度快，来源广泛，种类繁多而且攻击过程相当隐蔽；而另一方面校园网内网的安全问题则与外网有所不同，由于学生这个群体在校园网中活跃，所以据统计，校园网的安全问题70%是由于内部原因造成的，特别是由于学生经常访问一些不良网站，这些网站往往带有恶意代码，学生在访问这些网站的时候，会不经意地把这些恶意代码下载到本地的电脑上，并影响校园的网络。

向阳朝对此表示认同。他强调指出，校园网中计算机系统的购置和管理情况非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的，有的院系是统一采购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理，出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。

张勇则谈到了企业网络和校园网络的不同之处：企业网络的安全防范机制更加完善；学校网络的整体安全防范机制仍不完善，造成校园网络管理比较松散，安全风险进入校园网的机会和途径更多；校园网因为其分散性，发生故障之后比较难以定位，解决问题比较困难。比如，企业网可以限制允许Web浏览和电子邮件的流量，甚至限制外部发起的连接不允许进入防火墙，但是在校园网环境下通常是行不通的。

形势严峻

种种潜在威胁时时提醒着我们，校园网络安全形势不容乐观。

赵呈东对于校园网络安全面临的形势表示担忧：前几年，黑客的目的还是单纯地为了出名，如今的黑客行为更多地已经被利益所驱动。攻击的目的就是为了获取有价值的信息，并将这些信息变成利益。这种恶意行为利益化的思想可有会影响到学生的行为。有些学生可能利用一些黑客技术从事一些不良网络行为。他们的这些行为，可能会给校园网带来一些潜在的风险，更有可能造成重要信息的泄露。

张勇则指出，如今的安全威胁混合性越来越强，病毒的传播途径日益多样化，垃圾邮件的发送方式和内容都有很大变化，各种威胁越来越难识别。这些趋势给校园网络安全建设带来了重大的挑战。

不过，向阳朝表示，对于校园网的安全问题不必过分忧虑。尽管做整体的防范越来越难，但只要分清主次矛盾，抓住关键点，把有限的钱投入到最重要的方面，就能够构筑一个安全的校园网。他建议学校充分重视网络安全，在内网与外网之间安装设置防火墙。因为今天的防火墙不仅在系统管理、包过滤、应用代理、流量控制等功能上逐渐丰富，同时在吞吐量、延迟率、丢包率等性能上也逐步提升。同时他还建议在网关服务器上必须安装最新的杀毒软件，并对其进行正确的配置，在服务器上也要尽量关闭不必要的服务，经常升级杀毒软件和及时给系统打上各种最新的安全补丁。而对于“祸起萧墙”的内部攻击，向阳朝表示，这可以通过加强对用户的分级管理，限制学生用户的验证和账户管理等方法加以控制，比如实现行政办公网和学生网之间的物理隔离以及运用VLAN（虚拟局域网）技术。

双管齐下

内外兼修、双管齐下，校园网的管理者需要在安全问题上付出更多的心血。

针对校园网络出现的安全问题，冯向辉认为应该双管齐下，从政策和组织两个方面着手：首先，加强校园网安全管理政策建设，告诉用户哪些行为是允许的，哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。学校应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定合适的安全政策。其次，加强安全组织建设，必须建立具有决策权的机构来组织和协调各部门的管理工作，同时加强用户安全意识和管理员安全技术的培训工作。

张勇更直接指出，现在的学校网络更需要从管理培训方面加强安全建设，学校必须建立完善的机制加以规范和管理，单纯的硬件措施是不够的。

刘政平向记者介绍了湖南科技大学在校园网络安全建设方面的一些做法。湖南科技大学有三万多学生，几千名办公老师，但是网络中心只有12个人，针对终端用户分布面广，网络环境相对复杂，用户数量多并且水平参差不齐等情况，该校采用了多层次、全方位的解决方案：首先在主干网的网关入口处使用网关防毒墙，架设起第一道防线，阻挡互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁；其次在文件服务器和邮件服务器等关键应用上部署防护，因为文件服务和邮件服务在给整个办公网带来便利的同时，也容易成为一些病毒传播和利用的温床；再者，对终端用户部署客户端防毒产品，对桌面用户实行统一病毒码更新、部署和病毒查杀；最后也是在整个网络防毒体系中最重要的部分，将所有防毒应用整合到一个界面中进行统一管理，帮助IT管理人员在他们的企业内部实施一致的安全策略，并对病毒爆发周期各个阶段做出快速响应，有效对抗出现在网络多个区域的混合型病毒。

任重道远

要想为校园网络撑起安全的保护伞，技术、管理、机制一个都不能少。

冯向辉表示，校园网的安全问题是校园的一个突出问题，一直以来人们在校园网的安全上因为意识与设备方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。随着网络的迅速发展，高校校园网应该不断采取措施来应对这些变化，比如采用静态路由协议，与上一级网络中心相连；对比较重要的网段实行控制；选用具有多层安全架构的安全产品，分别检测和抵抗不同类型的攻击，确保只有“清洁”流量进入受保护的区域。校园网是学校信息系统的核心，必须要以安全策略为核心，以安全技术作为支撑，以安全管理和安全服务作为落实手段，并通过安全培训加强所有人的安全意识，完善安全防范体系的方法，提出一个实用的全面解决方案。

刘政平则坦言，高校校园网需要根据现在所面对的网络环境和攻击方式，及时调整信息系统的安全策略；特别是要改变原有“安全三大件”的防御模式，采取全方位、有深度的新防御模式，从而在整体上提高高校的信息安全水平。同时高校校园网还应该对于随时可能发生的安全威胁建立一套预警和响应流程，在关键时刻能够得到专业安全厂商的技术支持服务，通过建立有效的预警和响应流程才能确保校园网安全运行。不过，同许多业界专家的观点相似，他也认为由于许多安全问题与用户的行为密切相关，而大学生用户的安全意识培训是需要一个长期过程的，所以构建一个安全的校园网络还任重而道远。