校園網絡安全分析及防護策略

隨著計算機網絡技術的成熟、計算機網絡應用的廣泛普及、中小學校校園網的建成以及計算機網絡資源共享范圍進一步擴大，信息安全問題顯得日益突出。為了保護數據和資源的安全，校園網必須考慮網絡安全問題及防護策略。

一、校園網絡安全分析

隨著校園網絡規模的擴大，教師對校園網的依賴越來越強，網絡監管則因而越來越難。由于許多教師和學生的計算機網絡安全意識薄弱、安全知識缺乏，使得校園網的一些計算機設備如各種服務器、計算機系統、路由器、交換機、集線器等硬件實體通信鏈路極易受自然災害及環境(溫度、濕度、振動、沖擊、污染等)的影響。加上很多計算機機房沒有防震、防火、避雷、防干擾等設施，接地系統也忽視安全要求，因而抵御自然災害和意外事故的能力較差，對校園網絡安全造成了嚴重威脅。

計算機病毒是網絡安全的威脅之一。作為一種“計算機程序”，它不僅能破壞計算機系統，而且還能夠傳播、感染到其他系統。目前，新型的計算機病毒正向著更具破壞性、更隱蔽、感染率更高、傳播速度更快、適應平臺更廣的方向發展。而對教育網來說，面對形形色色、良莠不齊的網絡資源，如果識別和過濾功能偏弱，不但會造成大量非法內容自由出入，占用大量流量資源，造成流量堵塞等問題，而且某些游戲、暴力、色情等不良網絡內容，也將極大地危害青少年的身心健康，導致無法想象的后果。

校園網中較易受攻擊的應用服務器主要是DNS服務器和Web應用服務器。目前針對DNS服務器的攻擊主要有兩類:一類是緩存區中毒。主要是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使發向合法站點的傳輸流改變方向而轉向他們指定的站點。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機制接管域注冊過程以控制合法的域。Web應用服務器自身具有很多脆弱點，如Web應用程序安全性較差，而系統管理員由于種種因素限制，又很難做到全面處理，所以極易受到惡意用戶的攻擊。

二、安全管理機制的建立

常用的安全管理機制有:口令管理;各種密鑰的生成、分發與管理;全網統一的管理員身份鑒別與授權;建立全系統的安全評估體系;建立安全審計制度;建立系統及數據的備份制度;建立安全事件、安全報警反應機制和處理預案;建立專門的安全問題小組和快速響應體系的運作等。

為了增強系統的防災救災能力，還應制訂災難性事故的應急計劃，如緊急行動方案，資源(硬件、軟件、數據等)備份及操作計劃，系統恢復和檢測方法等。

三、校園網絡安全防護策略

下面就網絡系統的安全問題，提出一些個人防護策略。

1.物理安全策略

物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故破壞，免遭人為操作失誤或錯誤所導致的破壞等。這就必須在校園網規劃設計階段充分考慮到網絡設備的安全問題，確保計算機系統有一個良好的通風適溫環境。

2.軟件系統的安全配置

軟件系統的安全問題也不容忽視。因為任何軟件都有漏洞，所以大多數惡意攻擊者入侵都是在用戶不知情的情況下，利用操作系統的一些錯誤漏洞來實現的。所以無論是服務器端還是用戶終端，都需要配備網絡漏洞掃描系統，以檢測網絡中存在的安全漏洞。一旦有新發布的補丁程序應及時到相關網站下載和安裝，以減少惡意攻擊現象的發生。

3.建立和應用防病毒技術

計算機病毒是某些人利用計算機軟、硬件固有的脆弱性而編制的具有特殊功能的程序。其病毒傳播擴散快，具有不可估量的威脅性和破壞力。校園網絡是內部局域網，需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，以加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件。考慮到病毒在網絡中傳播、感染的方式各異，途徑多種多樣，在建立網絡防病毒系統時，應利用全方位的校園防毒軟件，實施“層層設防、集中控制、以防為主、防殺結合”的安全策略。

4.防火墻技術和入侵檢測系統

配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。可以在學校內部網絡與外部Internet的接口處安裝防火墻，以阻擋來自外部網絡的入侵，最大限度地阻止網絡中的黑客訪問自己的網絡，隨意更改、移動甚至刪除網絡上的重要信息。入侵檢測技術是一種用于檢測計算機網絡中違反安全策略行為的技術。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整、立體的主動防御體系。

5.Web、Email、BBS的安全監測系統

在網絡的www服務器、Email服務器等中使用網絡安全監測系統，可實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網管中心報告，采取措施。

6.漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。解決的方案是:尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式，最大可能地彌補最新的安全漏洞并消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡進行模擬攻擊，從而暴露出網絡的漏洞。

7.網絡安全管理規范

在網絡安全中，除采用技術措施之外，加強網絡的安全管理，制定有關的規章制度，對于確保網絡安全可靠運行也將起到十分有效的作用。

(責 編 辛 欣)