教育网络安全：既是攻击发源地，又是极易被攻破的网络

    我国教育信息化的基础设施已经初具规模，一系列适应教育信息化需求的应用平台、软件、网络课程、网络资源的开发和推广应用，已经初步改善了过去“有路无车，有车无货”的局面。

    但是，随着我国教育信息化的飞速发展，城域网和校园网络建设与应用的不断普及和成熟，作为教育信息化重要基石的信息安全问题却不容乐观。校园信息安全、网络安全问题已经成为教育主管部门和各地学校管理者关心的重大问题，教育信息和网络的安全问题成为保持校园正常教学、管理的重要课题。

    在2005年，教育网和各地中小型校园网虽然没有遭受类似于去年的“振荡波”等恶性病毒的大面积侵害，而蠕虫病毒、间谍软件、网络钓鱼等就像“大堤下面的白蚁”，在不经意间给电脑用户造成巨大的损失。

    另外，我国高校的校园网中部存在着一个管理不严的事实。从年初的“MSN性感鸡”到利用QQ传播的”书虫”、“QQRRober”、“QQTran”，以及可以通过多种IM平台进行传播的QQ“Ting”，它们通过IM广阔的交流空间大肆传播，校园网管理上存在不足是安全事件的发生几率增大的另一个重要因素。

    自2006年1月1日起，截止2006年12月25日，中国教育类被黑网站数量达到2216个。其中，中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。

2006年中国教育类网站被篡改网页统计

    一般来说，一个网络中存在的漏洞数量决定了所受到的威胁程度和遭受的攻击类型，教育网松弛的安全管理制度决定了它的严重性。网络安全事件影响日益广泛，网络安全保障的难度越来越大，仅仅靠少数的信息网络中心和服务机构远远不够，需要提高整个教育网用户的安全意识、提高应对网络安全事件的能力才是真正意思上的可取之道。但是，我们不能摆脱现今网络安全体系中最突出的垃圾邮件、不规范的程序代码和内部安全问题。

    校园网安全特点和校园网常见攻击

    高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一，中国的高校校园网一般都最先应用非常先进的网络技术，网络应用普及，用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂、困难。

    与企业网相比，高校校园网的以下特点导致安全管理非常复杂：

• 校园网的速度快和规模大。高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps，目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重。
• 校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的，有的院系是统一采购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策（比如安装防病毒软件、设置可靠的口令）是非常困难的。由于没有统一的资产管理和设备管理，出现安全问题后通常无法分清责任。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网的运行，于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。
• 活跃的用户群体。高等学校的学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。如果没有意识到后果的严重性，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，可能对网络造成一定的影响和破坏。
• 开放的网络环境。由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如，企业网可以限制允许Web浏览和电子邮件的流量，甚至限制外部发起的连接不允许进入防火墙，但是在校园网环境下通常是行不通的，至少在校园网的主干不能实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。
• 有限的投入。校园网的建设和管理通常都轻视了网络安全，特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中，通常只有网络中心的少数工作人员，他们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机的安全，院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
• 盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。

    以上各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下：

• 普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁；
• 计算机蠕虫、病毒泛滥，影响用户的使用、信息安全、网络运行；
• 外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器；
• 内部用户的攻击行为，这些行为给校园网造成了不良的影响，损害了学校的声誉；
• 校园网内部用户对网络资源的滥用，有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了校园网的应用；
• 垃圾邮件、不良信息的传播，有的利用校园网内无人管理的服务器作为中转，严重影响学校的声誉。

    加强校园网安全管理措施的建议

    互联网的分布特性决定了不可能从CERNET主干网上解决校园网的安全问题，加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。

    中央16号文件《关于进一步加强和改进大学生思想政治教育的意见》也给加强校园网环境的信息安全提出了进一步的要求。

    加强校园网的安全管理工作需要从管理和技术两个方面综合考虑：

    首先，加强校园网安全管理政策建设。安全政策（SecurityPolicy）描述校园网安全的目标和需求，是一个组织安全管理的需求说明，它是执行各项管理制度、技术措施的依据，一般规定“做什么”而不是“怎么做”，告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定，不存在通用的、可实施的安全政策。

    安全政策应该让所有的校园网用户知道，在国外，企业用户一般要签署AUP(AccessUsagePolicy)，对校园网用户，无论是院系单位还是学生个人，都可以以签署入网协议的形式让用户知道学校的安全管理政策，一方面起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。

    其次，加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担，但是事实上，安全管理工作非常复杂，可能涉及各院系、部、处的人员和业务，因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作，比如，成立信息安全管理委员会和专门的办公室。另外，安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/系/处/宿舍安全管理分级负责的组织体系建设仍然是必要的。

    加强用户安全意识和管理员安全技术的培训工作非常重要。对于新用户的安全意识的培训，新生入学教育和新员工上岗培训是两个比较好的时间，也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。对于系统管理员，一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的，这些学生没有经过必要的培训，容易留下大量的安全问题。对于这些岗位的安全培训是当前校园网安全管理非常迫切的环节。

    对于教育网安全领域来说，建立主动型的防御体系除了需要厂商、安全服务商的广泛支持与合作，同时也要加大内部人员的管理与安全意识的提高。例如在原有教师信息技能培训内容中增加信息安全防护部分；建立教师与学生信息安全规范守则；增加系统访问的明确授权认证，严格监控内部网络的网络行为等。