淺談校園網(wǎng)的安全及防范

【摘要】校園網(wǎng)為高校正常教學(xué)、科研、管理工作提供著有力的保障。作為開放網(wǎng)絡(luò)的組成部分，校園網(wǎng)也面臨著病毒泛濫、非法攻擊、未授權(quán)訪問、盜用網(wǎng)絡(luò)資源、內(nèi)部信息非法竊取等一系列安全問題。校園網(wǎng)的安全管理問題越來越突出。本文結(jié)合筆者幾年來在校園網(wǎng)管理上的實踐和經(jīng)驗，針對校園安全防范進行了探討。

【關(guān)鍵詞】校園網(wǎng);安全問題;防范

【中圖號】TP393【文獻標(biāo)示碼】A【文章編號】1005-1074(2008)11-0118-01

校園網(wǎng)的建設(shè)，給師生打開新的廣闊天地，而由此開始的頻繁郵件來往、光盤、閃存等存儲介質(zhì)的大量流動使用和與因特網(wǎng)的連接給校園網(wǎng)的安全穩(wěn)定健康運行帶來極大的隱患。網(wǎng)絡(luò)安全管理是校園網(wǎng)管理的重中之重，特別是校園網(wǎng)的安全直接關(guān)系到教學(xué)活動的正常進行，必須引起人們的高度重視。對安全問題的來源進行分析，有針對性地預(yù)防，可以提高校園網(wǎng)的安全水平，保證校園網(wǎng)高效、穩(wěn)定、可靠的運轉(zhuǎn)。下面我們來分析一下校園網(wǎng)的特點和安全問題，探討校園網(wǎng)的安全防范措施和解決方案。

1校園網(wǎng)的特點和安全問題

①在信息網(wǎng)絡(luò)迅猛發(fā)展的形勢下，各大院校相繼建立了自己的校園網(wǎng)。校園網(wǎng)絡(luò)規(guī)模的不斷擴大和普及。校園網(wǎng)的帶寬普遍達到百兆到桌面、千兆甚至萬兆實現(xiàn)園區(qū)主干互聯(lián)。與互聯(lián)網(wǎng)的連接的使校園網(wǎng)的安全構(gòu)成了極大威脅。②校園網(wǎng)的用戶由教師、學(xué)生和與學(xué)校相關(guān)人員組成，這個群體一般也比較大，少則數(shù)千人、多則數(shù)萬人，這也給校園網(wǎng)的管理帶來很大的難度。③校園網(wǎng)中的計算機設(shè)備購置和管理情況非常復(fù)雜。公用電腦一般由學(xué)校購置和維護的，而學(xué)生使用的電腦一般是自己購置、自己維護的，這種情況下要求所有的終端系統(tǒng)實施統(tǒng)一的安全策略是非常困難的。④校園網(wǎng)的用戶通常是最活躍的網(wǎng)絡(luò)用戶，對網(wǎng)絡(luò)新技術(shù)充滿好奇，勇于嘗試。目前，校園內(nèi)因為濫用網(wǎng)絡(luò)資源（如：網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電臺、流媒體等）對校園網(wǎng)產(chǎn)生的威脅越來越嚴(yán)重，學(xué)生瀏覽一些不正當(dāng)?shù)恼军c或從事黑客活動，極大地影響了校園網(wǎng)的安全。由于缺乏專業(yè)的技術(shù)和監(jiān)控系統(tǒng)，校園網(wǎng)的管理人員也無法對校園網(wǎng)色情、邪教、賭博、暴力等不健康信息實施全面攔截。⑤校園網(wǎng)用戶人群龐大，網(wǎng)內(nèi)外數(shù)據(jù)傳輸和交換頻繁，使得計算機病毒防不勝防。計算機病毒數(shù)據(jù)，將導(dǎo)致計算機系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴(yán)重破壞，使網(wǎng)絡(luò)的效率和作用大大降低，使許多功能無法使用或不敢使用，一些與計算機密切相關(guān)的教學(xué)活動受到影響。層出不窮的各種各樣的計算機病毒活躍在各個角落，大有一觸即發(fā)之勢，令人堪憂。⑥網(wǎng)絡(luò)中黑客無處不在，來自內(nèi)網(wǎng)和外網(wǎng)的非法攻擊和未經(jīng)授權(quán)的訪問，可以說時時存在。由于校園網(wǎng)安全防范的薄弱，盜用網(wǎng)絡(luò)資源和內(nèi)部信息及非法竊取等活動經(jīng)常發(fā)生，嚴(yán)重的使得教學(xué)和科研資料被非法竊取，有些機密被泄密。

2校園網(wǎng)的安全防范措施和解決方案

首先校領(lǐng)導(dǎo)的重視，加強工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用一些先進的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機制，使校園網(wǎng)在理想的狀態(tài)下運行。

2.1加強安全制度的建立和落實工作安全制度的建立也是一門科學(xué)。一定要根據(jù)本單位的實際情況和所采用的技術(shù)條件，參照有關(guān)的法規(guī)、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、計算機網(wǎng)絡(luò)安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。制度的建立切不能流于形式，重要的是落實和監(jiān)督。尤其是在一些細(xì)小的環(huán)節(jié)上更要注意。如系統(tǒng)管理員應(yīng)定期及時審查系統(tǒng)日志和記錄。重要崗位人員調(diào)離時，移交全部技術(shù)資料，但不少人往往忽視執(zhí)行這一措施的及時性。還有防病毒制度規(guī)定，要使用國家有關(guān)主管部門批準(zhǔn)的正版查毒殺毒軟件適時查毒殺病毒，而不少人使用盜版殺毒軟件，使計算機又染上了其他病毒。

2.2要強化使用校園網(wǎng)的安全教育和法制教育要真正認(rèn)識到計算機網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復(fù)雜性，決不能有依賴于先進技術(shù)和產(chǎn)品的思想。技術(shù)的先進永遠(yuǎn)是相對的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長的動態(tài)過程中進行。只有依靠人的安全意識和主觀能動性，才能不斷發(fā)現(xiàn)新的問題，不斷找出解決問題的對策。

2.3構(gòu)造全方位的防御機制筆者認(rèn)為，衡量一個網(wǎng)絡(luò)系統(tǒng)的安全性如何，至少應(yīng)能保證其數(shù)據(jù)的保密性、完整性、可使用性及可審計性等。為達到這些要求應(yīng)采用如下的防御機制：要保證處于聯(lián)機數(shù)據(jù)文件系統(tǒng)或數(shù)據(jù)庫之中的以及網(wǎng)絡(luò)傳輸當(dāng)中的保密信息不會非法地主動地或被動地提供給非授權(quán)人員，系統(tǒng)資源只能被擁有資源訪問權(quán)的用戶所訪問，能鑒別訪問用戶身份，保證合法用戶對系統(tǒng)資源的訪問和使用。其防御機制是：除了對關(guān)鍵數(shù)據(jù)進行級別較高的加密外，還要建立訪問控制體系，根據(jù)信息密級和信息重要性劃分系統(tǒng)安全域，在安全域之間用安全保密設(shè)備（加密機、防火墻、保密網(wǎng)關(guān)等），通過存取矩陣來限制用戶使用方式，如只讀、只寫、可讀寫、可修改、可完全控制等。要使信息的安全性、精確性、有效性不因種種不安全因素而降低，不會使存儲在數(shù)據(jù)庫中以及在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)遭受任何形式的插入、刪除、修改或重發(fā)，保證合法用戶讀取、接收或使用的數(shù)據(jù)的真實性。其防御機制是除了安裝“防火墻”和計算機病毒防治措施之外，還要建立良好的備份和恢復(fù)機制，形成多層防線。主要設(shè)備、軟件、數(shù)據(jù)、電源等都有備份，并具有在較短時間內(nèi)恢復(fù)系統(tǒng)運行的能力。要使合法的用戶能正常訪問網(wǎng)絡(luò)的資源，有嚴(yán)格時間要求的服務(wù)能得到及時響應(yīng)，不會因系統(tǒng)的某些故障或誤操作而使資源丟失，或妨礙對資源的使用，即使在某些不正常條件下也能正常運行。其防御機制主要靠系統(tǒng)本身所設(shè)計的功能來實現(xiàn)。要使網(wǎng)絡(luò)系統(tǒng)中的每一項操作都留有痕跡，記錄下操作的各種屬性，并保留必要的時限，以使各種犯罪行為有案可查。

2.4采用先進的技術(shù)和產(chǎn)品要構(gòu)造上述的防御機制，保證計算機網(wǎng)絡(luò)系統(tǒng)的安全性，還要采用一些先進的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

2.4.1“防火墻”技術(shù)“防火墻”是近年發(fā)展起來的一種重要安全技術(shù)，是通過對網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強網(wǎng)絡(luò)安全的一種手段，它是電腦網(wǎng)絡(luò)之間的一種特殊裝置，主要用來接收數(shù)據(jù)，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其類別主要有：應(yīng)用層網(wǎng)關(guān)、包過濾網(wǎng)關(guān)、代理服務(wù)器等，它可與路由器結(jié)合，按不同要求組成配置功能各異的防火墻。

2.4.2加密型網(wǎng)絡(luò)安全技術(shù)這一類技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流，只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù)，從而在不對網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上保證網(wǎng)絡(luò)信息的完整性和可用性。這種以數(shù)據(jù)和用戶確認(rèn)為基礎(chǔ)的開放型安全保障技術(shù)是比較適用的，是對網(wǎng)絡(luò)服務(wù)影響較小的一種途徑，可望成為網(wǎng)絡(luò)安全問題的最終的一體化解決途徑。

2.4.3漏洞掃描技術(shù)漏洞掃描是自動檢測遠(yuǎn)端或本地主機安全脆弱點的技術(shù)，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。它查詢TCP/IP端口，并記錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項目的有用信息，如正在進行的服務(wù)，擁有這些服務(wù)的用戶，是否支持匿名登錄，是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等，可以用來為審計收集初步的數(shù)據(jù)。

2.4.4入侵檢測技術(shù)入侵檢測可被定義為對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)的處理過程。它不僅檢測來自外部的入侵行為，同時也檢測內(nèi)部用戶的未授權(quán)活動，還能發(fā)現(xiàn)合法用戶濫用特權(quán)，提供追究入侵者法律責(zé)任的有效證據(jù)。該技術(shù)通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系，具體描述入侵行為的跡象，這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有警戒作用。

總之，校園網(wǎng)的安全防范工作不是一朝一夕的工作，而是一項長期的任務(wù)，需要全體師生員工的共同參與和努力。需要各高校加大投入引進先進技術(shù)，建立嚴(yán)密的安全防范體系，并在制度上確保該體系功能的實現(xiàn)。以保證

一個個高速高效、資源豐富、應(yīng)用廣泛的校園網(wǎng)為高校的正常教學(xué)、科研、管理工作提有力保障。

3參考文獻

1吳以茵.校微機室的管理與維護[J].福建電腦;2003，(11)

2張雙斌.淺談無線局域網(wǎng)網(wǎng)絡(luò)安全及其防范對策[J].計算機安全，2008，(08)

3張競艷.淺談校園內(nèi)局域網(wǎng)網(wǎng)絡(luò)安全[J].希望月報，2007，(11)