試論校園網絡安全技術

鄭茂華

中圖分類號：TP393TP393.08文獻標識碼：A文章編號：1673-0992（2009）05-045-02

摘要：在校園網的初期建設中，由于安全意識、安全管理等多方面的原因，網絡安全沒有引起足夠的重視，造成網絡安全事故不斷發生，校園網運行和管理所面臨的安全問題也就愈發突出。因此, 建設健全校園網絡安全體系已經成為數字化校園建設過程中不可忽視的重要組成部分。

關鍵詞：校園；網絡；隱患；安全技術

校園網絡的發展改善了教育技術和網絡教育應用的環境，革新了現有的教學手段、教學方法和教學模式，推動了信息技術和現代遠程教育的發展。校園網絡的普及和廣泛應用，提升了學校的信息化、數字化水平；如何保證校園網絡安全、有效地運行，已成為目前許多學校面臨的重要課題。

一、校園網絡安全概述

1.校園網絡安全的定義

校園網是指基于互聯網應用的，提供以學習活動為核心的，兼顧教學與學校管理的網絡媒體教學環境。校園網網絡安全是指校園網信息系統和信息資源不受自然和人為有害因素的威脅和危害。廣義的校園網網絡安全包括實體安全、運行安全、數據安全、軟件安全和通信安全等。其中，實體安全主要是指校園網硬件設備和通信線路的安全，其威脅來自自然和人為危害等因素。信息安全包括數據安全和軟件安全，其威脅主要來自信息破壞和信息泄漏。狹義的校園網網絡安全是指校園網網絡的信息安全，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性、可控性的相關技術和理論。

2.校園網絡安全的特點

第一，開放性。由于學校具有教學和科研的特點，所以要求校園網絡的環境是開放的，而且在管理方面較企業網絡來說更寬松一些，這樣就會留下一些安全隱患。第二，活躍性。在學校中，在校學生通常是最活躍的網絡用戶，而且數量非常龐大，他們對網絡新技術充滿好奇，敢于嘗試。尤其是一些學生會嘗試使用從網上學到的或者是自己研究的一些攻擊技術，而這些行為可能對校園網絡造成一定的影響和破壞。第三，復雜性。大多數用戶基本上使用的是盜版軟件或者是在互聯網上下載的一些破解軟件，這些軟件存在很多的問題，例如留有后門、攜帶病毒等，這些將會影響計算機系統的正常運行。

二、校園網絡安全隱患

1.網絡連接安全隱患

幾乎所有校園網都與Internet鏈接，這對宣傳學校、擴大學校的影響和知名度很有好處。但是，在帶來方便的同時也帶來安全風險。對于校園網的安全來說所有的Internet用戶都屬于不信任的，無法保證不發生攻擊行為，需要特別注意防范。瀏覽網頁是絕大多數上網者的事情，令人遺憾的是，過去一直被認為瀏覽網頁是安全的觀念現在已經被徹底打破，大量事實表明僅僅是閱讀了某些網頁，就完全有可能在瀏覽者的機器上運行任何程序，比如格式化硬盤，安裝木馬，肆意篡改瀏覽器，限制某些功能等等。

2.系統漏洞安全隱患

系統的安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前校園網上所使用的操作系統主要有Unix，Linus，Windows系列，而且以Windows系列操作系統最多。不管哪一種操作系統都存在大量已知和未知的漏洞，國際上一些安全組織已經發布了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，有一些漏洞則可以被用來實施拒絕服務攻擊，一些漏洞則成為病毒攻擊的對象。近幾年來，利用漏洞開發的計算機病毒在互聯網上泛濫成災，頻頻掀起發作狂潮，并且隨著網絡帶寬和計算機數量的增加，病毒的傳播速度越來越快。

3.網絡病毒侵襲隱患

計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒以計算機為載體，利用操作系統和應用程序的漏洞主動進行攻擊，是一種通過網絡傳統的惡性病毒。它不僅具有傳播性，隱蔽性，破壞性等特性，同時還具有不利用文件寄生(有的只存在于內存中)，對網絡造成拒絕服務，以及和黑客技術相結合等特征。在產生的破壞性上，計算機病毒可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。

4.管理制度安全隱患

管理制度是保障信息化建設安全的重要組成部分，許多學校都存在著重建設輕管理的傾向。實踐證明，安全管理制度不完善是網絡風險的重要來源之一。比如，網絡管理員配備不當、用戶安全意識不強、用戶口令設置不合理、管理制度不健全等，都會給信息安全帶來嚴重威脅。IP地址的盜用、混用問題，校園網內部連接的計算機有的是得到合法的IP地址，有的沒有申請過IP地址，如果沒有IP地址的用戶冒用合法用戶的IP地址上網，這就是IP地址的盜用；IP地址的混用是指用戶由于某些原因，人為地修改了機器的靜態的IP地址。這兩種情況都能造成局域網內部地址的沖突，嚴重影響著網絡的正常使用。

另外，地震、水災、火災等環境事故，電源故障，人為操作失誤或錯誤等網絡的外部環境安全隱患也是整個網絡系統安全的前提。

三、校園網絡安全技術運用

1.網絡防火墻技術 防火墻是網絡安全的屏障，它能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。因此要在Internet與校園網內網之間部署一臺防火墻，構筑內外網之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在防火墻的DMZ區，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與Internet連接。那么，通過Inter-net進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等)，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發生在網絡中的安全事件進行跟蹤和審計。

2.網絡入侵監測技術

對于網絡安全來說，單純的防火墻技術暴露出明顯的不足和弱點，有些攻擊方式可以繞過防火墻，直接侵入到內部網絡，使得網絡安全受到威脅。入侵檢測系統(IDS)是近年來出現的新型網絡安全技術，IDS能夠實時分析內部網和外部網的數據通訊信息，分辨入侵企圖，在網絡系統受到危害前以各種方式發出警報，并且及時對網絡入侵采取相應對策，最大限度保護網絡的安全。它可以彌補防火墻的不足，作為一種積極主動地安全防護技術，提供了一種對外部攻擊、內部攻擊以及誤操作的實時保護，最大限度的降低可能的入侵危害。由于它與防火墻有很強的互補性，所以在網絡安全系統的設計過程中，入侵檢測系統經常與防火墻實現聯動。

3.數據加密技術 加密是通過對信息的重新組合，使得只有收發雙方才能解碼還原信息。數據加密技術是為提高網絡上的信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所采用的主要技術手段之一。數據加密技術作為主動網絡安全技術，是提供網絡系統數據的保密性、防止秘密數據被外部破解所采用的主要技術手段，是許多安全措施的基本保證。加密后的數據能保證在傳輸、使用和轉換時不被第三方獲取數據。基于數據加密技術以上特點，在校園網絡中傳送重要信息時要使用數據加密技術來保證信息的安全。

4.防網絡病毒技術

在網絡環境下，病毒傳播速度很快，大量的數據包經常使網絡癱瘓，僅用單機版的殺病毒軟件已經難以清除網絡病毒，必須使用網絡版的殺病毒產品，并在網絡設備上進行相應的設置，阻斷病毒的傳播，從病毒的源頭和傳播途徑兩方面解決問題。在學校網絡中心配置一臺高效的Windows2000服務器安裝一個網絡版殺毒軟件系統中心，負責管理校園網內所有主機網點的計算機。在各主機節點分別安裝網絡版殺毒軟件的客戶端。安裝完殺毒軟件網絡版后，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒，并自動對網絡版殺毒軟件進行更新。 安全防范體系的建立不是一勞永逸的，必須根據情況的變化和現有體系中暴露出的一些問題，不斷對此體系進行及時的維護和更新，保證網絡安全防范體系的良性發展。

參考文獻：

[1]凌捷.計算機數據安全技術[M].北京:科學出版社.2004

[2]張世永.網絡安全原理與應用「M].北京:科學出版社.2003

[3]高文蓮.高校校園網安全設計與實現.長治學院學報.2005.4

[4]文光斌.主動防御網絡安全研究[J].計算機安全，2006.8