目前，校園網(wǎng)作為信息化應用的重要載體，所面臨的安全問題越來越復雜，安全風險正在飛速增加，如黑客攻擊、蠕蟲病毒、間諜軟件、垃圾郵件等。如何化解校園網(wǎng)內(nèi)黑客的入侵、病毒的侵襲和其他不良意圖的攻擊，保障信息化應用系統(tǒng)的穩(wěn)定運行及其數(shù)據(jù)的安全可靠，已經(jīng)成為校園網(wǎng)管理的首要任務。
　　● 校園網(wǎng)的安全風險分析
　　安全的校園網(wǎng)不僅要保護網(wǎng)絡設備安全和應用系統(tǒng)安全，更要保證網(wǎng)絡穩(wěn)定暢通。因此，在對校園網(wǎng)進行整體安全風險分析時，可按照以下模型來進行綜合分析（如圖1）。
　　1.網(wǎng)絡邊界安全風險
　　校園網(wǎng)網(wǎng)絡邊界可分為外部和內(nèi)部邊界兩類。
　　外部邊界主要指校園網(wǎng)平臺的互聯(lián)網(wǎng)邊界和教育城域網(wǎng)邊界?；ヂ?lián)網(wǎng)邊界主要用于提供基于互聯(lián)網(wǎng)的各種應用，直接服務社會各界用戶，其使用環(huán)境復雜，面臨的安全風險極大。各類復合網(wǎng)絡攻擊手段以及針對網(wǎng)站的流量攻擊均是常見的安全威脅。在此邊界應采取嚴格的安全防護手段，維護整個校園網(wǎng)不被外部侵入。教育城域網(wǎng)邊界主要是教育主管部門和兄弟學校等教育行業(yè)用戶，它們內(nèi)部有類似的應用系統(tǒng)，因此必須嚴格控制相關系統(tǒng)的訪問權限，保障學校應用服務及數(shù)據(jù)的安全性。
　　內(nèi)部邊界是指在校園網(wǎng)內(nèi)部可以劃分出多個網(wǎng)絡安全域，包括服務器區(qū)、多媒體教學區(qū)、維護管理區(qū)等。這些安全域之間存在著邊界，為更加有針對性地對各安全域進行防護，應在不同的邊界采取不同的防護措施。
　　2.計算區(qū)域安全風險
　　校園網(wǎng)內(nèi)部運行著服務器和大量的計算機終端設備，服務器非常容易成為黑客和蠕蟲病毒攻擊的主要目標，這也就意味著服務器的安全風險等級較高；而校園的計算機終端設備往往部署較為分散，難以統(tǒng)一管理，廣大教師和學生的信息化水平也參差不齊，因此終端設備的安全管理成為網(wǎng)絡管理人員最為棘手的安全問題。
　　總體來說，計算區(qū)域內(nèi)的計算機終端設備防護措施有以下幾種。
　　(1)終端行為管理
　　終端泄密、非授權訪問、內(nèi)部攻擊等都對校園網(wǎng)數(shù)據(jù)中心安全造成威脅。各類終端和服務器系統(tǒng)的補丁管理同樣重要，不及時給系統(tǒng)打漏洞補丁會造成蠕蟲以及不懷好意者的入侵。
　　(2)終端病毒防護
　　當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，這樣會大量占據(jù)十分有限的帶寬，造成網(wǎng)絡性能嚴重下降甚至網(wǎng)絡通信中斷，嚴重影響正常教學開展。因此必須采取有效手段進行查殺，阻止病毒蔓延危害整個校園網(wǎng)。
　　(3)網(wǎng)絡入侵行為檢測
　　通過部署安全設施，實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現(xiàn)應用層的安全防護，保護核心信息資源免受攻擊危害。
　　(4)安全加固配置
　　無論是審計、入侵檢測或是防殺病毒，某種意義上來說都是被動防御。如在危險來臨之前就能主動加固系統(tǒng)，進行全面的安全配置，增強系統(tǒng)本身的抵御能力，則能在校園網(wǎng)實際管理中發(fā)揮十分重要的作用。
　　3.應用系統(tǒng)安全風險
　　校園網(wǎng)內(nèi)運行著多種應用系統(tǒng)，這些應用系統(tǒng)真正從主體內(nèi)容構成了信息化平臺，為學校提供了高效率的信息化應用。一旦這些應用系統(tǒng)受到攻擊或破壞，會立即影響學校的正常教育教學，需要重點防護。應用系統(tǒng)所面臨的主要安全風險包括以下幾個方面。
　?、俨《就{：計算機病毒可以直接破壞操作系統(tǒng)和數(shù)據(jù)文件，使應用系統(tǒng)無法正常運行。
　?、谧陨砺┒矗河捎谠O計或程序上的缺陷，應用系統(tǒng)可能存在各種漏洞，如Web應用服務的安全漏洞，可能導致Web服務器容易被黑客攻擊，使得Web服務器無法提供正常的Web應用訪問服務。
　?、郯踩呗裕褐匾膽孟到y(tǒng)（尤其是數(shù)據(jù)庫）是否配置了適當?shù)陌踩呗裕瑏泶_保應用系統(tǒng)的安全，如數(shù)據(jù)庫的用戶密碼管理、數(shù)據(jù)審計策略等。
　　④人員誤操作：操作人員的不當操作可能威脅到應用系統(tǒng)，如越權訪問應用系統(tǒng)、違規(guī)占用網(wǎng)絡資源等。
　　4.管理系統(tǒng)風險
　　為了不斷應對來自校園內(nèi)外部的安全挑戰(zhàn)，校園網(wǎng)先后部署了眾多的安全設備和安全系統(tǒng)，由于安全產(chǎn)品型號和品牌不一、物理部署位置分散、校園網(wǎng)管理人員能力水平差異大。網(wǎng)絡管理員難以對安全設備進行集中管理，并及時地部署安全策略，全面地掌握運行風險。因此，當網(wǎng)絡出現(xiàn)攻擊或受到其他安全威脅時，無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。
　　● 校園網(wǎng)的安全防范對策
　　結合上述分析，校園網(wǎng)網(wǎng)絡邊界層面風險威脅到網(wǎng)絡基礎平臺，計算區(qū)域?qū)用骘L險威脅到計算基礎設施（服務器和終端），應用系統(tǒng)層面風險威脅到各種應用系統(tǒng)，管理系統(tǒng)層面風險則貫穿于以上所有層面，威脅到全網(wǎng)的安全。因此，校園網(wǎng)安全規(guī)劃時應充分考慮到各個層面的安全風險，構建完整的安全防護體系，充分保證系統(tǒng)的安全性。校園網(wǎng)安全防范對策拓撲如圖2所示。
　　教育城域網(wǎng)邊界部署千兆防火墻作為出口安全網(wǎng)關，互聯(lián)網(wǎng)邊界則部署UTM綜合安全網(wǎng)關產(chǎn)品。UTM能夠為校園網(wǎng)提供多層次主動安全防御，保護校園網(wǎng)免受病毒、蠕蟲、木馬、垃圾郵件以及未知攻擊等混合威脅的侵害。
　　兩臺千兆IPS產(chǎn)品分別保護服務器區(qū)域和計算機終端區(qū)域。IPS作為一種在線部署的安全產(chǎn)品，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出警告。
　　在服務器區(qū)域前端部署應用交付系統(tǒng)。應用交付系統(tǒng)能夠極大地提高校園核心應用和互聯(lián)網(wǎng)訪問的可視性、可用性及安全性，降低校園網(wǎng)網(wǎng)絡基礎設施和數(shù)據(jù)中心的成本和復雜性。應用交付系統(tǒng)利用鏈路及服務器負載均衡技術“尋找”最快傳輸路徑，利用端到端精確流量控制技術“封堵”帶寬殺手流量，利用網(wǎng)絡加速技術“疏導”關鍵應用流量。
　　集中運行監(jiān)控，統(tǒng)一風險管理。“關鍵業(yè)務運行監(jiān)控技術”實現(xiàn)對防火墻、IPS入侵檢測、UTM綜合網(wǎng)關、核心交換機等網(wǎng)絡設備和業(yè)務應用系統(tǒng)的集中智能管理，可以大大降低校園網(wǎng)的管理難度，實時掌握各設備的部署情況、運行狀況、設備的接入、斷開變動；集中采集安全設備、網(wǎng)絡設備的安全日志和事件，并進行統(tǒng)一存儲、備份、管理和統(tǒng)計分析，協(xié)助網(wǎng)絡管理員實時監(jiān)測網(wǎng)絡中的攻擊行為和安全風險，及時調(diào)整安全設備策略，積極應對安全威脅，從而實現(xiàn)對校園網(wǎng)進行全面的監(jiān)控、分析、處理、維護。
　　維護校園網(wǎng)安全是一個動態(tài)發(fā)展的過程，要建立完善的安全管理機構及安全管理制度，不斷改進網(wǎng)絡安全規(guī)劃，提高全體人員的網(wǎng)絡安全意識和防范技術，才能保證校園網(wǎng)安全防范體系的良性發(fā)展。