關(guān)于校園網(wǎng)絡(luò)安全及解決方案

摘要： 筆者結(jié)合在校園網(wǎng)絡(luò)管理中的一些經(jīng)驗體會，從目前校園網(wǎng)中普遍存在的安全問題和校園網(wǎng)絡(luò)安全解決方案兩大方面，談了一些看法及建議。

關(guān)鍵詞： 校園網(wǎng) 網(wǎng)絡(luò)安全

隨著信息化社會的到來，網(wǎng)絡(luò)在人們的工作、生活和學習方式中扮演著越來越重要的角色，校園網(wǎng)對提高學校的教學質(zhì)量，推進以創(chuàng)新精神為核心的素質(zhì)教育起著至關(guān)重要的作用。由于網(wǎng)絡(luò)所具有的獨特性，即它的開放性、國際性和自由性，使用戶面臨著嚴峻的安全性、不穩(wěn)定性等問題。校園網(wǎng)絡(luò)作為學校的重要基礎(chǔ)設(shè)施之一，它的安全直接影響著校園正常的教學和辦公活動，如何保障校園網(wǎng)絡(luò)的安全已成為各個學校不可回避的一個緊迫問題。

1.目前校園網(wǎng)中普遍存在的問題

校園網(wǎng)絡(luò)在學校的信息化建設(shè)中扮演著至關(guān)重要的角色，但在網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好及網(wǎng)絡(luò)安全意識的不足，普遍存在“重技術(shù)、輕安全、輕管理”的傾向。大部分學校對網(wǎng)絡(luò)安全沒有引起足夠的重視，在網(wǎng)絡(luò)安全方面的投入亦是不夠。網(wǎng)絡(luò)構(gòu)建的時候，只注意購買服務(wù)器等主要設(shè)備，忽視了網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)處在一個開放狀態(tài)或者安全性極低的狀態(tài)，沒有有效的安全預警和防范措施。同時由于網(wǎng)絡(luò)病毒的肆虐，網(wǎng)絡(luò)性能急劇下降，單純的單機殺毒根本起不了什么作用。有些學校雖然安裝了還原卡，但是由于開放了某些盤符，關(guān)機后病毒仍然保留在該盤中，當系統(tǒng)剛啟動的時候，系統(tǒng)中不帶有病毒，一旦系統(tǒng)啟動完畢，就迅速被病毒所侵占。筆者深有體會，前段時間我們機房同時中了“Arp”和“熊貓燒香”兩種病毒，直接導致全校所有的機器癱瘓。

2.校園網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

2.1 從管理制度上，對校園網(wǎng)絡(luò)安全進行管理。

嚴格的管理制度是校園網(wǎng)絡(luò)安全的重要措施。事實上，很多學校都疏于這方面的管理，對網(wǎng)絡(luò)的管理思想麻痹，對網(wǎng)絡(luò)安全保護重視不夠。目前關(guān)于網(wǎng)絡(luò)安全的法律、法規(guī)都已出臺，各校也都制定了各自的管理制度，但由于宣傳教育的力度不夠，許多師生法律意識淡薄，或出于好奇心理，或賣弄編程技巧，或隨意讓他人用機、泄露IP地址等，從而為某些破壞活動奠定了技術(shù)基礎(chǔ)。同時必須加強網(wǎng)管人員和用戶的高度責任感和主人翁意識，培訓具有較高技術(shù)水平的網(wǎng)絡(luò)管理人員，為校園網(wǎng)絡(luò)做好全面的管理及技術(shù)支持發(fā)揮作用。網(wǎng)絡(luò)管理人員通過設(shè)置資源使用權(quán)限和口令，對所有用戶名和口令進行加密和管理，并建立和維護網(wǎng)絡(luò)用戶數(shù)據(jù)庫，提供完整的用戶使用記錄，對網(wǎng)絡(luò)用戶和服務(wù)帳號進行精確的控制，進行嚴格的系統(tǒng)日志管理，定期定時對校園網(wǎng)絡(luò)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，監(jiān)測運行情況，調(diào)整相關(guān)安全設(shè)置，發(fā)出安全公告，緊急修復系統(tǒng)等安全管理措施，可以有效地保證校園網(wǎng)絡(luò)的安全。

2.2 校園內(nèi)部網(wǎng)絡(luò)安全的防范。

網(wǎng)絡(luò)為資源共享提供了方便，但它同時也為病毒的快速傳播提供了平臺。僅僅依靠單機版的殺毒軟件，已經(jīng)很難徹底清除網(wǎng)絡(luò)中的病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)，就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，來加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡(luò)免受病毒的侵襲。

2.2.1防火墻的配置。

防火墻就好比是內(nèi)網(wǎng)和外網(wǎng)之間的一道門，控制著內(nèi)網(wǎng)和外網(wǎng)之間的相互訪問。在網(wǎng)絡(luò)通訊時設(shè)置好訪問控制尺度，防火墻使同意訪問的人和數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息，破壞校園網(wǎng)絡(luò)的正常運行。防火墻是一種應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，能夠有效防止Internet上不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全中最重要的環(huán)節(jié)。

2.2.2 Web、E-mail、BBS的安全監(jiān)測系統(tǒng)。

現(xiàn)在大部分學校都有自己的WWW服務(wù)器、E-mail服務(wù)器、BBS服務(wù)器等，對這些服務(wù)器進行病毒防范尤為重要。在這些服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW、E-mail、Ftp、Telnet等應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫，及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，并采取有效措施，將風險降低到最低點。

2.2.3 網(wǎng)絡(luò)漏洞掃描系統(tǒng)。

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的極為復雜和不斷變化的情況，僅僅依靠一個人的技術(shù)和經(jīng)驗尋找安全漏洞、做出評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊，從而暴露出網(wǎng)絡(luò)的漏洞。

2.2.4 IP問題的解決。

可以用支持DHCP Snooping功能的接入交換機，用戶的IP地址只能由網(wǎng)絡(luò)中心分配，而不能來自非法的IP地址提供者，用戶必須從DHCP服務(wù)器取得IP地址才可進行通信，私自設(shè)定IP地址將會自動被交換機禁止。如果條件允許，也可以在交換機或路由器上將IP和MAC地址進行捆綁，當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP工作站的MAC地址是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

2.2.5 基于Vlan的安全部署。

Vlan不僅能夠解決內(nèi)網(wǎng)IP不足的問題，還能夠幫助控制流量，提供更高的安全性，使網(wǎng)絡(luò)設(shè)備的變更或移動更加方便。Vlan技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)及不同的安全級別將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，以達到限制非法訪問的目的。將網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機或網(wǎng)關(guān)等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。

2.3 校園網(wǎng)絡(luò)服務(wù)器的安全。

校園網(wǎng)管中心的安全直接影響著整個校園網(wǎng)絡(luò)，網(wǎng)管中心服務(wù)器存儲著大量的數(shù)據(jù)資料，對其安全防范更是我們工作的重點。

2.3.1 加強IIS方面的管理。

我校現(xiàn)在服務(wù)器所使用的操作系統(tǒng)大部分是Windows NT。Windows NT使用的IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，為了加大安全性，在安裝配置時可以注意以下幾個方面：首先，不要將IIS安裝在默認目錄里（默認目錄為C:/Inetpub），可以在其它邏輯盤中重新建一個目錄，并在IIS管理器中將主目錄指向新建的目錄。其次，IIS在安裝后，會在目錄中產(chǎn)生如scripts等默認虛擬目錄，而該目錄有執(zhí)行程序的權(quán)限，這對系統(tǒng)的安全影響較大，許多漏洞都是通過它進行的。因此，在安裝后，應(yīng)將所有不用的虛擬目錄都刪除掉。第三，在安裝IIS后，要對應(yīng)用程序進行配置，在IIS管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權(quán)限設(shè)置一定要慎重，盡量不要給可執(zhí)行權(quán)限。

2.3.2 及時為操作系統(tǒng)打補丁。

目前大部分校園網(wǎng)服務(wù)器使用的是微軟的Windows操作系統(tǒng)，由于使用的人多，bug也不斷被發(fā)現(xiàn)，微軟的操作系統(tǒng)成了不少黑客攻擊的對象，所以裝好Windows系統(tǒng)后一定要升級至service pack 2（現(xiàn)在sp3都已經(jīng)出來了）。管理員還要經(jīng)常關(guān)注微軟公司的網(wǎng)站，及時下載最新的系統(tǒng)補丁打到服務(wù)器中。

2.3.3 定期對服務(wù)器進行備份與維護。

為防止不能預料的系統(tǒng)故障或用戶不小心的非法操作，系統(tǒng)管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件，比如操作系統(tǒng)盤、用戶賬號等。文件資料可以用raid方式進行每周備份，重要的資料還應(yīng)保存在另外的服務(wù)器上或者備份在光盤中，監(jiān)視服務(wù)器上資源的使用情況，刪除過期和無用的文件，確保服務(wù)器高效運行。

校園網(wǎng)絡(luò)安全是一個長期的、動態(tài)的過程，這個就要求我們在平時的網(wǎng)絡(luò)管理過程中不斷實踐總結(jié)，本著從實際出發(fā)，以應(yīng)用為目的，綜觀全局、統(tǒng)籌安排，我相信經(jīng)過我們網(wǎng)絡(luò)管理人員的努力，一定能將校園網(wǎng)絡(luò)不安全因素所帶來的危害降到最低。