加强校园网安全管理措施的建议

　　互联网的分布特性决定了不可能从CERNET主干网上解决校园网的安全问题，加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。中央16号文件《关于进一步加强和改进大学生思想政治教育的意见》也给加强校园网环境的信息安全提出了进一步的要求。

　　加强校园网的安全管理工作需要从管理和技术两个方面综合考虑：

　　首先，加强校园网安全管理政策建设。安全政策（Security Policy）描述校园网安全的目标和需求，是一个组织安全管理的需求说明，它是执行各项管理制度、技术措施的依据，一般规定“做什么”而不是“怎么做”，告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定，不存在通用的、可实施的安全政策。

　　安全政策应该让所有的校园网用户知道，在国外，企业用户一般要签署AUP（Access Usage Policy），对校园网用户，无论是院系单位还是学生个人，都可以以签署入网协议的形式让用户知道学校的安全管理政策，一方面起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。

　　其次，加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担，但是事实上，安全管理工作非常复杂，可能涉及各院系、部、处的人员和业务，因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作，比如，成立信息安全管理委员会和专门的办公室。另外，安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/系/处/宿舍安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要。对于新用户的安全意识的培训，新生入学教育和新员工上岗培训是两个比较好的时间，也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。对于系统管理员，一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的，这些学生没有经过必要的培训，容易留下大量的安全问题。对于这些岗位的安全培训是当前校园网安全管理非常迫切的环节。IPv6 对网络安全的影响随着中国下一代互联网示范工程CNGI项目的建设，以IPv6技术为核心的下一代互联网建设和研究在我国已经普遍展开，尤其是在教育和科研领域。目前CNGI实验网之一CERNET2已经于2004年底开通，即将有二十多所大学接入CERNET2。

　　IPv6技术在一定程度上改善了网络安全问题，但是许多安全问题仍然存在。IPv6最重要的安全增强是将IPSec作为强制标准实施，保证了网络层数据的保密性和完整性。然而，大规模部署IPSec所依赖的PKI在IPv6网络上仍然不存在，因此IPSec的广泛实施仍是很遥远的事情。而且，IPSec的信息加密给当前的入侵检测等技术带来了新的挑战，目前的网络的审计机制、防火墙机制都有可能受到影响。

　　另一方面，目前的许多安全问题出在系统的实现和维护阶段，特别是系统软件和应用软件，跟底层的网络协议无关。因此，利用缓冲区溢出、弱口令等系统漏洞入侵系统的现象不会因为IPv6的实施而有所减少。

　　IPv6带来的最直接的好处便是地址空间，在网络安全方面，普遍认为这个庞大的地址空间可以大大减缓病毒或蠕虫扫描的速度从而降低病毒或蠕虫的影响。然而IPv6中会不会出现新的传播方式目前仍然不得而知。

　　不过，IPv6 作为一项发展中的新技术，给我们解决安全问题提供了一个新的机遇。比如，IPv6无尽的地址空间允许我们给所有联网设备分配一个真实的IP地址，无需地址转换，这对于加强安全管理和攻击追踪提供了可行的机制。利用IPv6的特点，研究和开发下一代互联网安全技术和系统，给我国教育和科研领域的研究人员提供了一个新的机遇。

　　结束语

　　互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出，加强校园网的安全管理是当前非常迫切、充满挑战的任务。CERNET网络中心在安全管理方面已经采取了许多安全措施，在以后的工作中将以安全管理和技术的交流、培训和协调为工作重点；各高校校园网应加强安全政策、安全管理组织和技术培训，增大安全管理的投入，共同做好校园网的安全管理工作，建设一个安全、可信的教育和科研网络环境。