校園網(wǎng)的安全隱患及安全防范體系的建立

摘要：本文通過(guò)對(duì)校園網(wǎng)安全隱患分析的基礎(chǔ)上，提出建立校園網(wǎng)安全防范體系：以安全防范策略為核心，以物理安全為基礎(chǔ)，以安全技術(shù)作為支撐，以安全管理和安全服務(wù)為落實(shí)措施，從而實(shí)現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定地運(yùn)行。

關(guān)鍵詞：校園網(wǎng) 安全防范 安全技術(shù) 運(yùn)行

中圖分類號(hào)：文獻(xiàn)標(biāo)識(shí)碼：文章編號(hào)：

近年來(lái)，隨著高校校園網(wǎng)建設(shè)的快速發(fā)展、校園網(wǎng)規(guī)模的急劇擴(kuò)大、網(wǎng)絡(luò)用戶數(shù)量快速增長(zhǎng)以及網(wǎng)絡(luò)應(yīng)用范圍的推廣，學(xué)校對(duì)校園網(wǎng)絡(luò)的信賴越來(lái)越強(qiáng)，網(wǎng)絡(luò)的安全問(wèn)題也就愈來(lái)愈引起人們的重視。如何保障網(wǎng)絡(luò)的正常運(yùn)行、資源的合法訪問(wèn)，使網(wǎng)絡(luò)免受病毒、惡意軟件和黑客的攻擊就顯得特別重要。因此，校園網(wǎng)在建設(shè)和運(yùn)行過(guò)程中，必須針對(duì)不同的安全威脅，制定相應(yīng)的防范措施，確保校園網(wǎng)安全正常運(yùn)行。

一、 校園網(wǎng)存在的主要安全隱患

（一） 操作系統(tǒng)漏洞

操作系統(tǒng)的安全也稱主機(jī)安全，由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而在不同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix、Windows，其安全漏洞更多。另一方面，系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠、配置不當(dāng)也造成了一定的安全隱患。

（二） 有害信息傳播

在校園網(wǎng)接入Internet后，上網(wǎng)用戶都可以通過(guò)校園網(wǎng)在自己的機(jī)器上進(jìn)入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對(duì)世界觀和人生觀正在形成的學(xué)生來(lái)說(shuō)危害非常大。如果安全措施不到位的話，有些學(xué)生就可能進(jìn)入這些網(wǎng)站，并把這些有害信息在校園網(wǎng)內(nèi)傳播。

（三） 病毒的傳播與爆發(fā)

在網(wǎng)絡(luò)環(huán)境下，病毒無(wú)論是傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。病毒可通過(guò)電子郵件、網(wǎng)頁(yè)腳本、局域網(wǎng)和遠(yuǎn)程控制軟件進(jìn)行傳播，增加了計(jì)算機(jī)感染病毒的幾率。病毒不僅破壞程序和數(shù)據(jù)，還會(huì)嚴(yán)重影響網(wǎng)絡(luò)效率，甚至造成網(wǎng)絡(luò)癱瘓，如“沖擊波”、“熊貓燒香”等病毒就曾經(jīng)造成許多校園網(wǎng)癱瘓，造成了極大的危害。

（四） 非法攻擊與非法訪問(wèn)

非法攻擊與非法訪問(wèn)是指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或以假冒、欺騙等手段獲得合法用戶的權(quán)限來(lái)使用系統(tǒng)數(shù)據(jù)的行為，如果學(xué)校的學(xué)籍管理、教務(wù)管理、財(cái)務(wù)管理等系統(tǒng)遭到非法攻擊與非法訪問(wèn)，將會(huì)造成嚴(yán)重的后果。

（五） 惡意破壞

包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。

網(wǎng)絡(luò)設(shè)備包括服務(wù)器、路由器、交換機(jī)、工作站、電源等，它們分布在整個(gè)校園內(nèi)，管理起來(lái)比較困難。網(wǎng)絡(luò)設(shè)備的破壞是指由于人為或者其它自然不可抗力的因素，對(duì)設(shè)備造成損壞，造成校園網(wǎng)部分或者全部癱瘓。

對(duì)網(wǎng)絡(luò)系統(tǒng)的破壞是指利用黑客技術(shù)對(duì)校園網(wǎng)造成破壞，主要表現(xiàn)在：對(duì)校園服務(wù)器發(fā)送大量垃圾包使網(wǎng)絡(luò)陷入癱瘓；對(duì)校園網(wǎng)站進(jìn)行攻擊；利用校園網(wǎng)服務(wù)器轉(zhuǎn)發(fā)各種非法、有害信息等。(1)

二、 校園網(wǎng)的安全防范體系

校園網(wǎng)安全防范體系的建立，是以安全防范策略為核心，以物理安全為基礎(chǔ)，以安全技術(shù)作為支撐，以安全管理和安全服務(wù)作為落實(shí)措施，并且通過(guò)安全培訓(xùn)以加強(qiáng)校園網(wǎng)用戶的安全意識(shí)和法律責(zé)任。在完成安全防范體系的建設(shè)后，必須經(jīng)常對(duì)此系統(tǒng)進(jìn)行及時(shí)的維護(hù)和更新，才能保證安全防范體系有序地工作，確保它的安全性和高效性。

（一）安全防范策略

安全防范策略規(guī)定了校園網(wǎng)絡(luò)中心的安全目標(biāo)、能夠承受的安全風(fēng)險(xiǎn)、實(shí)現(xiàn)完善的安全審計(jì)和取證機(jī)制，保證了受到入侵后有證可查，有章可循。建立安全的預(yù)警系統(tǒng)，能夠抵御較高水平的黑客攻擊，保護(hù)對(duì)象的安全優(yōu)先級(jí)等方面的內(nèi)容。(2)

（二）物理安全對(duì)策

制定此對(duì)策的目的是在于保護(hù)校園網(wǎng)中的服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊，并建立完善的管理制度，防止破壞、偷竊等現(xiàn)象的發(fā)生，同時(shí)要確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個(gè)良好的電磁兼容環(huán)境，以及防塵、防火、防潮、防雷等安全環(huán)境。

（三）網(wǎng)絡(luò)安全技術(shù)

1. 防火墻、入侵檢測(cè)、安全審計(jì)等硬件技術(shù)及防病毒軟件技術(shù)。

根據(jù)校園網(wǎng)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，通過(guò)防火墻、入侵檢測(cè)、安全審計(jì)、網(wǎng)絡(luò)殺毒軟件，實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求，為校園構(gòu)建統(tǒng)一、安全的網(wǎng)絡(luò)。

防火墻是網(wǎng)絡(luò)安全的屏障，它能極大地提高一個(gè)內(nèi)部網(wǎng)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，因此要對(duì)防火墻進(jìn)行全面、規(guī)范、合理的配置。在防火墻之后架設(shè)入侵檢測(cè)和安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)是防火墻的延續(xù)，它們可以和路由器配合工作。

在病毒的控制方面，學(xué)校可以采取中央集中控制管理的模式，在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的服務(wù)器，統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。在網(wǎng)絡(luò)中心控制臺(tái)統(tǒng)一進(jìn)行定時(shí)殺毒并定時(shí)升級(jí)、更新。

2. VLAN（虛擬局域網(wǎng)）劃分。

VLAN將整個(gè)校園網(wǎng)絡(luò)劃分為若干個(gè)不同的廣播域，實(shí)現(xiàn)校園網(wǎng)內(nèi)部的一個(gè)網(wǎng)段與其它網(wǎng)段的隔離。這樣，不僅能夠抑制網(wǎng)絡(luò)廣播風(fēng)暴，而且能夠防止一個(gè)網(wǎng)段的安全問(wèn)題傳到其他網(wǎng)段。

3. IP/Mac/地址與端口綁定。

在交換機(jī)上或防火墻上將用戶的IP地址、Mac地址和端口綁定，從而限制一個(gè)IP地址在校園網(wǎng)內(nèi)只能有一臺(tái)計(jì)算機(jī)上網(wǎng)。這樣可以有效地防止用戶盜用IP地址進(jìn)行非法訪問(wèn)和網(wǎng)絡(luò)攻擊，同時(shí)也便于網(wǎng)絡(luò)管理員追蹤、查找網(wǎng)絡(luò)攻擊源和日志審計(jì)。

4. 數(shù)據(jù)加密技術(shù)。

數(shù)據(jù)加密技術(shù)作為主動(dòng)網(wǎng)絡(luò)安全技術(shù)，是提高網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性，防止秘密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段，是許多安全措施的基本保證。加密后的數(shù)據(jù)能保證在傳輸、使用和轉(zhuǎn)換時(shí)不被第三方獲取。

5. 系統(tǒng)備份鏡像技術(shù)。

網(wǎng)絡(luò)系統(tǒng)的備份是指對(duì)網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份，以便在網(wǎng)絡(luò)遭受到破壞時(shí)，快速、全面地恢復(fù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等，采用的主要手段是雙機(jī)熱備份，當(dāng)其中一臺(tái)設(shè)備出現(xiàn)故障時(shí)，自動(dòng)切換到備份設(shè)備，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。數(shù)據(jù)信息備份包括對(duì)網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份，數(shù)據(jù)備份包括“熱備份”和 “冷備份”兩種策略。即在線備份和不在線備份(3)

（四）網(wǎng)絡(luò)安全管理和安全服務(wù)

安全管理貫穿整個(gè)安全防范體系，是整個(gè)安全系統(tǒng)的核心，安全不是簡(jiǎn)單的技術(shù)問(wèn)題，三分技術(shù)，七分管理。安全管理不僅是行政意義上的安全管理，更主要的是對(duì)安全技術(shù)和安全防范策略的管理，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期巡檢，以及升級(jí)、更新等，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。安全服務(wù)是對(duì)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)系統(tǒng)分布，實(shí)施全面的網(wǎng)絡(luò)安全網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估服務(wù)，定期對(duì)各個(gè)方面進(jìn)行安全隱患分析，提出安全性整改建議并付諸實(shí)施。

（五）網(wǎng)絡(luò)安全培訓(xùn)

用戶的安全意識(shí)是整個(gè)網(wǎng)絡(luò)系統(tǒng)是否安全的決定因素，因此對(duì)用戶的安全培訓(xùn)是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中重要和不可缺少的一部分。

三、 結(jié)束語(yǔ)

校園網(wǎng)的安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，不可能只依靠一種措施來(lái)保證安全，安全防范體系的建立也不是一勞永逸的，校園網(wǎng)絡(luò)自身的情況不斷發(fā)生變化，新的安全問(wèn)題不斷出現(xiàn)，必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問(wèn)題，不斷對(duì)體系及時(shí)進(jìn)行更新和維護(hù)，并把各種安全措施有機(jī)結(jié)合起來(lái)，加之合理的運(yùn)用，同時(shí)還必須有完善的安全管理規(guī)章制度和切實(shí)可行的安全組織，才能有效地實(shí)現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定地運(yùn)行。

參考文獻(xiàn)：

(1）霍明星，劉振海.校園網(wǎng)安全策略分析及防范措施 [J].教育信息化，2006，（6）P24-25

(2）張明.校園網(wǎng)安全防御對(duì)策研究 [J].教育信息化，2006，（5） P24-25

(3）姜開(kāi)達(dá).上海交大六大措施保障網(wǎng)絡(luò)安全 [J]. 中國(guó)教育網(wǎng)絡(luò)，2006，（10）P49-50

（作者單位：三門(mén)峽職業(yè)技術(shù)學(xué)院電化教育與計(jì)算機(jī)中心）