教育信息网络安全问题及其应对策略

“三通两平台”中三通包括“宽带网络校校通”、“优质资源班班通”以及“网络学习空间人人通”，三通具体内涵可以表述如下[4，5]:“宽带网络校校通”：基于学校教育信息化软硬件基础设施建设，2015年之前基本解决各级各类学校宽带接入问题，初步完成各级各类学校网络条件下基本的教学和学习环境建设，在以校为本的教育信息化网络中不仅通宽带，最重要的是要通资源，达到各级各类学校教学资源的有效共享。“优质资源班班通”：加强优质数字资源的建设，形成丰富的各级各类优质教学资源，并且将这些资源送到每一个班级，在教学、学习过程中得到普遍使用，实现虚拟教育资源的有效共享和互补。“网络学习空间人人通”：加强信息技术应用能力建设，逐步为学生和教师建立网络学习空间。大力开展跨区域网络协作教研，促进技术与教学实践的融合落实到每个教师和学生的日常教学、学习活动之中，创新教学模式。“三通两平台”中两平台包括数字教育资源公共服务平台和教育管理信息系统平台[4，5]。数字教育资源公共服务平台是一个集合了学生学习资源、教师教学资源的教育资源云服务平台，是为了达到教育资源互通及互补的目的而建立。教育管理信息系统平台也就是学校中使用的办公、门户、教务等信息化系统平台，该平台的建设要为各级各类学校提供校务管理服务，为地方各级教育行政部门提供教育基础信息管理和决策支持，为社会公众提供教育公共信息服务，同时其在一定程度上有资源共享的作用。“三通两平台”将以“两平台”作为基础，并且紧紧围绕各级各类教育质量水平的提升，通过信息化建设不断加强并完善优质教育资源开发与应用。2教育信息网络安全问题随着无线网络的大规模部署及信息技术的高速发展，无线网络安全问题日益严重。不同于一般无线网络，教育信息网络共享的资源主要是教学资源，参与的用户主要是教职工和学生，教育信息网络的安全关系到国家人才培养的质量和效率，因此在“三通两平台”的建设中急需关注教育信息网络的安全问题，安全问题主要包括以下几个方面[6-8]:安全问题一：用户身份认证由于教育信息网络拥有特定的使用人群，一般来说局限于学生、教职工、相关教育信息工作者，因此需要对接入教育信息网络的用户进行认证。同时由于教育信息网络的开放性以及三通两平台中多个学校间教育信息网络互联互通的特点，登陆无线校园网络的用户身份就容易被非法的、未授权的用户篡改或者盗用。非法用户可以伪装成合法用户，侵入教育信息网络，盗用教育信息网络资源，篡改网络数据库信息，在其中加入不良信息，影响学生身心健康发展，对教学工作产生负面影响。安全问题二：网络攻击由于网络的互联互通性，教育信息网络势必会受到网络病毒的污染及网络攻击，盗取网络用户信息，影响网络存储资源，降低网络服务质量，最终影响教学工作，不利于教育信息网络的发展及“三通两平台”的建设。安全问题三：设备安全设备安全主要考虑AP（AccessPoint，无线设备接入点）的安全，不法分子通过在教育信息网络覆盖范围内秘密安装无线AP,也就是伪基站，接入教育信息网络，窃取登录用户的各类信息。同时，由于教育信息网络覆盖的广泛性，很多部署在室外环境中的AP容易受到外界损坏，对教育信息网络的有效部署造成一定的影响。3教育信息网络安全应对机制针对教育信息网络的特殊性，本文在分析教育信息网络完全问题的基础上，从用户认证授权、用户接入控制、网络管理等方面为教育信息网络的发展提出了相应的安全应对机制，总结如下：应对机制一：完善的用户认证与授权系统解决教育信息网络的安全问题，首先需要设计完善的无线用户认证与授权系统，该系统的设计可以采用IEEE802.1x认证技术。基于有线无线一体化部署思路，为了同时有效的支持教育信息网络中的无线用户和有线用户，认证系统需要兼容现有的有线网络的认证系统，用户可以通过有线接入又可以通过无线接入方式访问教育信息网络资源。由于三通两平台中要求宽带网络校校通，同时网络用户数量是非常众多的，并不是所有用户的终端设备上都安装有客户

端，所以为了用户接入网络的便利性，倾向于使用Web+Portal的认证方式［9］。此外，在认证和授权系统设计中可以采用WAP（IWirelessLANAuthenticationandPrivacyInfrastructure，无线局域网鉴别和保密基础结构）［10］。当前全球无线局域网领域有且仅有两个标准，分别是美国行业标准组织提出的IEEE802.11系列标准（即WiFi，包括802.11a/b/g/n/ac等），以及中国提出的WAPI标准，WAPI同时也是中国无线局域网安全强制性标准。与WIFI的单向加密认证不同，WAPI在用户接入过程中采用双向认证，不仅仅是网络对用户进行鉴别，用户也要对网络进行鉴别。 WAPI安全系统采用公钥密码技术，鉴权服务器负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有鉴权服务器颁发的公钥证书，作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。避免用户接入不合法的网络或者伪造的网络，满的解决了无线网络接入中户接入不合法的网络或者伪造的网络，满的解决了无线网络接入中“合法用户接入合法网络”的问题，从而保证传输的安全性。应对机制二：用户接入控制在Web+Portal认证过程中，为了阻止非法用户接入，要求AC（AccessControl，接入控制）支持基于AP的无线用户接入控制机制，可以在接入层采用瘦AP与AC集中式控制相结合的方式，通过AC来集中管理所有AP。此外，用户的接入控制还可以根据SSID（ServiceSetIdentifier ，服务集标识）匹配以

及MAC（MediaAccessControl，硬件地址）地址过滤机制。SSID匹配就是当用户接入教育信息网络时，无线接入端与 AP的SSID必须匹配，才能与AP建立连接。同时在SSID匹配机制中，为了对用户进行有效地管理，可按照用户的类别对其SSID加以区分，比如教职工、学生、网络临时访问人员具有不同的 SSID,其次可以根据SSID限制用户对网络中某些资源的访问，同时可以阻止非法用户的接入，达到用户接入的安全性。在MAC地址过滤机制中，将所有允许接入网络的用户设备的MAC地址汇总成MAC地址列表，当有设备请求访问网络时， 就将其MAC地址与MAC地址列表中的MAC地址进行匹配，如果匹配成功，说明是授权用户，允许接入，否则禁止接入。但是由于教育信息网络访问用户的众多性，同时由于用户的流动性以及网络终端设备的跟新换代的频繁性，在用户接入过程中，匹配用户设备MAC地址与MAC地址列表中的MAC地址显然是不可行的，因此，在一些特定场所，如会议室、教师、教研室等人进行接入控制。员比较少，并且比较固定的场所可以采用MAC地址过滤的方式对用户进行接入控制。另外，可以将某些网络禁止访问的用户的终端MAC地址加入MAC地址列表中，将其标识为禁止接入，达到快速匹配。应对机制三：设置防火墙及入侵检测系统由于教育信息网络上共享资源的特殊性，学生的教育关系到国家的未来，为了有效地阻止不良信息进入教育信息网络，需强化防火墙的功能，为教育信息网络增加屏障，要求教育信息网络内部和外部网络之间的所有网络数据流都必须经过防火墙，并且只有符合安全策略、适合于在教育信息网络上传播的信息才能经过防火墙，过滤掉不良信息。其次，为了加强对AP的管理，限制伪基站的接入，并能够快速有效的发现接入网络中的伪基站，需要设置有效地入侵检测系统，通过对无线AP的集中控制，AC可以自动检测网络中的伪基站等非法设备，并实时上报网管中心。同时网络还应具有较强的自治愈能力，对非法设备的攻击可以进行自动防护，并且能够自动恢复，最大程度的保护教育信息网络的安全。应对机制四：网络共享资源的安全性教育关系着国家的未来，不同于传统的教育方式，学生可以通过教育信息网络中共享的资源进行学习，教师也可以借助教育信息网络进行教学工作，为了保障良好的教育，确保在教育信息网络中共享的教育资源的安全性就显得尤为重要了。前述安全机制都可以确保网络共享资源的安全性，除了前述机制外，有效地网络管理在确保网络资源共享的安全性方面发挥着重要的作用，通过对网络有效地人工管理，一方面可以保证网络运行的有效性，在网络出现安全问题时作出应急预案，另一方面网络管理人员可以根据用户的