教育信息網(wǎng)絡安全問題及其應對策略

1、“三通兩平臺”中三通包括“寬帶網(wǎng)絡校校通”、“優(yōu)質資源班班通”以及“網(wǎng)絡學習空間人人通”，三通具體內涵可以表述如下4，5：“寬帶網(wǎng)絡校校通”：基于學校教育信息化軟硬件基礎設施建設，2015年之前基本解決各級各類學校寬帶接入問題，初步完成各級各類學校網(wǎng)絡條件下基本的教學和學習環(huán)境建設，在以校為本的教育信息化網(wǎng)絡中不僅通寬帶，最重要的是要通資源，達到各級各類學校教學資源的有效共享?！皟?yōu)質資源班班通”：加強優(yōu)質數(shù)字資源的建設，形成豐富的各級各類優(yōu)質教學資源，并且將這些資源送到每一個班級，在教學、學習過程中得到普遍使用，實現(xiàn)虛擬教育資源的有效共享和互補。“網(wǎng)絡學習空間人人通”：加強信息技術應用能力建設

2、，逐步為學生和教師建立網(wǎng)絡學習空間。大力開展跨區(qū)域網(wǎng)絡協(xié)作教研，促進技術與教學實踐的融合落實到每個教師和學生的日常教學、學習活動之中，創(chuàng)新教學模式?！叭▋善脚_”中兩平臺包括數(shù)字教育資源公共服務平臺和教育管理信息系統(tǒng)平臺4，5。數(shù)字教育資源公共服務平臺是一個集合了學生學習資源、教師教學資源的教育資源云服務平臺，是為了達到教育資源互通及互補的目的而建立。教育管理信息系統(tǒng)平臺也就是學校中使用的辦公、門戶、教務等信息化系統(tǒng)平臺，該平臺的建設要為各級各類學校提供校務管理服務，為地方各級教育行政部門提供教育基礎信息管理和決策支持，為社會公眾提供教育公共信息服務，同時其在一定程度上有資源共享的作用?！叭?/p>

3、兩平臺”將以“兩平臺”作為基礎，并且緊緊圍繞各級各類教育質量水平的提升，通過信息化建設不斷加強并完善優(yōu)質教育資源開發(fā)與應用。2教育信息網(wǎng)絡安全問題隨著無線網(wǎng)絡的大規(guī)模部署及信息技術的高速發(fā)展，無線網(wǎng)絡安全問題日益嚴重。不同于一般無線網(wǎng)絡，教育信息網(wǎng)絡共享的資源主要是教學資源，參與的用戶主要是教職工和學生，教育信息網(wǎng)絡的安全關系到國家人才培養(yǎng)的質量和效率，因此在“三通兩平臺”的建設中急需關注教育信息網(wǎng)絡的安全問題，安全問題主要包括以下幾個方面6-8：安全問題一：用戶身份認證由于教育信息網(wǎng)絡擁有特定的使用人群，一般來說局限于學生、教職工、相關教育信息工作者，因此需要對接入教育信息網(wǎng)絡的用戶進行認證

4、。同時由于教育信息網(wǎng)絡的開放性以及三通兩平臺中多個學校間教育信息網(wǎng)絡互聯(lián)互通的特點，登陸無線校園網(wǎng)絡的用戶身份就容易被非法的、未授權的用戶篡改或者盜用。非法用戶可以偽裝成合法用戶，侵入教育信息網(wǎng)絡，盜用教育信息網(wǎng)絡資源，篡改網(wǎng)絡數(shù)據(jù)庫信息，在其中加入不良信息，影響學生身心健康發(fā)展，對教學工作產(chǎn)生負面影響。安全問題二：網(wǎng)絡攻擊教育信息網(wǎng)絡勢必會受到網(wǎng)絡病毒 的污染及網(wǎng)絡攻擊，盜取網(wǎng)絡用戶信息，影響網(wǎng)絡存儲資源，降低網(wǎng)絡服務質量，最終影響教學工作，不利于教育信息網(wǎng)絡的發(fā)展及“三通兩平臺”的建設。安全問題三：設備安全設備安全主要考慮AP（AccessPoint，無線設備接入點）的安全，不法分子通過在

5、教育信息網(wǎng)絡覆蓋范圍內秘密安裝無線AP,也就是偽基站，接入教育信息網(wǎng)絡，竊取登錄用戶的各類信息。同時，由于教育信息網(wǎng)絡覆蓋的廣泛性，很多部署在室外環(huán)境中的AP容易受到外界損壞，對教育信息網(wǎng)絡的有效部署造成一定的影響。3教育信息網(wǎng)絡安全應對機制針對教育信息網(wǎng)絡的特殊性，本文在分析教育信息網(wǎng)絡完全問題的基礎上，從用戶認證授權、用戶接入控制、網(wǎng)絡管理等方面為教育信息網(wǎng)絡的發(fā)展提出了相應的安全應對機制，總結如下：應對機制一：完善的用戶認證與授權系統(tǒng)解決教育信息網(wǎng)絡的安全問題，首先需要設計完善的無線用戶認證與授權系統(tǒng)，該系統(tǒng)的設計可以采用IEEE802.1x認證技術?；谟芯€無線一體化部署思路，為了同時

6、有效的支持教育信息網(wǎng)絡中的無線用戶和有線用戶，認證系統(tǒng)需要兼容現(xiàn)有的有線網(wǎng)絡的認證系統(tǒng)，用戶可以通過有線接入又可以通過無線接入方式訪問教育信息網(wǎng)絡資源。由于三通兩平臺中要求寬帶網(wǎng)絡校校通，同時網(wǎng)絡用戶數(shù)量是非常眾多的，并不是所有用戶的終端設備上都安裝有客戶端，所以為了用戶接入網(wǎng)絡的便利性，傾向于使用Web+Portal的認證方式9。此外，在認證和授權系統(tǒng)設計中可以采用WAP（IWirelessLANAuthenticationandPrivacyInfrastructure，無線局域網(wǎng)鑒別和保密基礎結構）10。當前全球無線局域網(wǎng)領域有且僅有兩個標準，分別是美國行業(yè)標準組織提出的IEEE802.

7、11系列標準（即WiFi，包括802.11a/b/g/n/ac等），以及中國提出的WAPI標準，WAPI同時也是中國無線局域網(wǎng)安全強制性標準。與WIFI的單向加密認證不同，WAPI在用戶接入過程中采用雙向認證，不僅僅是網(wǎng)絡對用戶進行鑒別，用戶也要對網(wǎng)絡進行鑒別。WAPI安全系統(tǒng)采用公鑰密碼技術，鑒權服務器負責證書的頒發(fā)、驗證與吊銷等，無線客戶端與無線接入點AP上都安裝有鑒權服務器頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。當無線客戶端登錄至無線接入點AP時，在訪問網(wǎng)絡之前必須通過鑒別服務器對雙方進行身份驗證。根據(jù)驗證的結果，持有合法證書的移動終端才能接入持有合法證書的無線接入點AP。避免用戶接入不

8、合法的網(wǎng)絡或者偽造的網(wǎng)絡，圓滿的解決了無線網(wǎng)絡接入中“合法用戶接入合法網(wǎng)絡”的問題，從而保證傳輸?shù)陌踩浴獙C制二：用戶接入控制在Web+Portal認證過程中，為了阻止非法用戶接入，要求AC（AccessControl，接入控制）支持基于AP的無線用戶接入控制機制，可以在接入層采用瘦AP與AC集中式控制相結合的方式，通過AC來集中管理所有AP。此外，用戶的接入控制還可以根據(jù)SSIDService Set Identifier,服務集標識）匹配以及MAC（MediaAccessControl，硬件地址）地址過濾機制。SSID匹配就是當用戶接入教育信息網(wǎng)絡時，無線接入端與AP的SSID必須匹配

9、，才能與AP建立連接。同時在SSID匹配機制中，為了對用戶進行有效地管理，可按照用戶的類別對其SSID加以區(qū)分，比如教職工、學生、網(wǎng)絡臨時訪問人員具有不同的SSID,其次可以根據(jù)SSID限制用戶對網(wǎng)絡中某些資源的訪問，同時可以阻止非法用戶的接入，達到用戶接入的安全性。在MAC地址過濾機制中，將所有允許接入網(wǎng)絡的用戶設備的MAC地址匯總成MAC地址列表，當有設備請求訪問網(wǎng)絡時，就將其MAC地址與MAC地址列表中的MAC地址進行匹配，如果匹配成功，說明是授權用戶，允許接入，否則禁止接入。但是由于教育信息網(wǎng)絡訪問用戶的眾多性，同時由于用戶的流動性以及網(wǎng)絡終端設備的跟新?lián)Q代的頻繁性，在用戶接入過程中，

10、匹配用戶設備MAC地址與MAC地址列表中的MAC地址顯然是不可行的，因此，在一些特定場所，如會議室、教師、教研室等人員比較少，并且比較固定的場所可以采用MAC地址過濾的方式對用戶進行接入控制。另外，可以將某些網(wǎng)絡禁止訪問的用戶的終端MAC地址加入MAC地址列表中，將其標識為禁止接入，達到快速匹配。應對機制三：設置防火墻及入侵檢測系統(tǒng)由于教育信息網(wǎng)絡上共享資源的特殊性，學生的教育關系到國家的未來，為了有效地阻止不良信息進入教育信息網(wǎng)絡，需強化防火墻為教育信息網(wǎng)絡增加屏障，要求教育信息網(wǎng)絡內部和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻，并且只有符合安全策略、適合于在教育信息網(wǎng)絡上傳播的信息才能

11、經(jīng)過防火墻，過濾掉不良信廣息。其次，為了加強對AP的管理，限制偽基站的接入，并能夠快速有效的發(fā)現(xiàn)接入網(wǎng)絡中的偽基站，需要設置有效地入侵檢測系統(tǒng)，通過對無線AP的集中控制，AC可以自動檢測網(wǎng)絡中的偽基站等非法設備，并實時上報網(wǎng)管中心。同時網(wǎng)絡還應具有較強的自治愈能力，對非法設備的攻擊可以進行自動防護，并且能夠自動恢復，最大程度的保護教育信息網(wǎng)絡的安全。應對機制四：網(wǎng)絡共享資源的安全性教育關系著國家的未來，教育信息網(wǎng)絡中共享的資源進行學習，行教學工作，為了保障良好的教育，育資源的安全性就顯得尤為重要了。資源的安全性，除了前述機制外，享的安全性方面發(fā)揮著重要的作用，面可以保證網(wǎng)絡運行的有效另一方面網(wǎng)絡管理人絡的管理及早發(fā)不同于傳統(tǒng)的教育方式，學生可以通過教師也可以借助教育信息網(wǎng)絡進確保在教育信息網(wǎng)絡中共享的教前述安全機制都可以確保網(wǎng)絡共享有效地網(wǎng)絡管理在確保