校園網內部安全防范淺談

于 貴

(四川文理學院數學與財經系，四川 達州 635000)

校園網內部安全防范淺談

于 貴

(四川文理學院數學與財經系，四川 達州 635000)

闡述了校園網亟待需要加強安全防范，介紹了校園網中主要應加強防范的對象以及針對各對象的防范措施，提出了要全面加固校園網應注意的問題。

校園網；內部安全；防范

隨著教育信息化的高速發展，越來越多的大中專院校建立起自己的局域網絡，使得大中專院校的管理、教學和科研等各項工作對網絡的依賴程度越來越高，對信息系統的服務質量也提出了更高的要求。但是，國內大多數院校在校園網的安全系統設計上面，由于資金費用方面的原因，對人力、財力、物力的投入不足，安全問題可能嚴重干擾網絡正常運行，從而影響教學和管理機構的正常工作[1～4]。因此，需要從多個角度、多個方面來看待和保障網絡安全[1,2]。下面，筆者將從防范對象著手略作介紹。

1 網絡設備管理和保護

網絡設備及部件是網絡當中必備的硬件實體。網絡設備的數量是與日俱增，并且種類繁多。常見的網絡設備有計算機(客戶端或服務器)、交換機、集線器、路由器、網橋、網關、無線AP等。其中網關最為重要，它是連接校園網和外網的必經之路，是校園網連接外網的重要設備。校園網相對外網來說，木馬與病毒是比較少的，但是如果校園網缺乏安全監管和隔離機制，一旦校園網中有計算機感染木馬或者病毒，校園網當中其他終端也將面臨被感染的可能性。

校園網當中使用代理網關是一個不錯的選擇。其優勢在于校園網內每個計算機終端不會和外網進行直接地網絡數據包交換。內部計算機終端必須通過代理網關才能訪問到外網，這樣一來，校園網的網絡管理者就可以方便地在代理服務器上面對校園網內部終端訪問外網進行管理，比如校園網管理者可以對校園網用戶進行較為全面的監控，可以過濾與限制訪問外網的內容。

一般來說，一個局域網在連接外網的邊際處至少應當有一個防火墻或者具有安全防范功能的路由器，建立局域網的第一道防線。對于一個大中型校園網來說，最好選擇使用功能較強大的硬件防火墻產品或者在路由器上進行相關的設置。大部分的路由器產品都可以使用其內置的IOS防火墻來防范外網的惡意攻擊，再加上硬件防火墻的使用，可以進一步提高安全性。另外，對于終端數量相對比較多的校園網，添加域控制器進行安全防范也是一個十分簡單有效的方法。

2 密碼安全

網絡操作系統所提供的密碼安全策略是保障網絡安全的有效措施和簡易操作方法。這里以Microsoft Windows NT系列的操作系統為例來進行說明。通過用戶名登錄系統，設置相應的登錄密碼；為了提高安全性，對目錄和文件設置相應的訪問權限和密碼，從而控制用戶對目錄和文件的訪問；指定用戶直接通過主機訪問Internet等。除了設置用戶訪問目錄和文件的權限，還可以設置網絡連接的屬性來提高安全性，如去掉本地連接屬性當中TCP/IP協議和其他協議中的“Microsoft網絡用戶”和“Microsoft網絡上的文件與打印機共享”的綁定，其他計算機終端也做相同的設置，就可以去掉TCP/IP協議中的綁

定。如使用Windows Server 2003，通過對系統自帶的工具進行簡單的設置，便可防止ICMP的碎片攻擊和風暴攻擊。

另一方面，數據庫信息的安全也要加強。一般來說，網絡中的數據組織形式主要有2種，一種是數據庫，另一種是文件形式；由于后一種數據組織形式的數據缺乏共享性，在實際應用當中，一般采用的是數據庫這種數據組織形式。通常，操作系統當中沒有對數據庫信息提供額外的保密措施和方法，而數據庫的信息又是以重復讀和寫的形式存儲在里面，所以就需要人為的對數據庫的安全性采取更加嚴密的方法和手段。因此，加強對數據庫訪問的密碼保護顯得尤為重要。

此外，電子郵件是校園網與外網傳遞信息的重要工具。因此，需要對電子郵件用戶名、密碼及郵件內容進行加密處理，實際應用中，可安裝簽名工具軟件來增強安全性。

3 計算機終端防護

一般來說，計算機終端上必須安裝相應的殺毒軟件和防火墻，基本要求是能嵌入式防毒殺毒、病毒數據庫更新快、實時防護以及占用系統資源小。目前，很多大公司都推出了一定時間免費或長期免費的殺毒軟件和防火墻，用于各類系統中的主動防御，建議有選擇地使用。

絕大多數人使用的是微軟的Windows系列操作系統，主要受影響的就是在安裝軟件時不小心捆綁了流氓軟件或插件了，它們不僅占用了大量的窗口空間和系統資源，影響開機速度，有時還會引起莫名其妙的錯誤。建議安裝軟件時，注意其中的安裝提示信息，及時更新操作系統的補丁程序，在上網的時候，盡量不要確認或點擊不明來源的主動提示性超級鏈接，更不要輕易允許被瀏覽器阻止的惡意腳本運行。

4 數據備份

為了維護校園網的安全，必須對計算機終端上或者網絡設備上的重要數據進行備份，目的就是防止因為各種軟硬件故障、黑客的攻擊病或者病毒的侵襲等原因導致系統崩潰，造成數據的丟失，從而造成更大的損失。

實際應用中，一般可以選擇功能強大、使用靈活、操作簡單的備份和恢復軟件，加強對數據的保護。目前的備份軟件種類繁多，對于服務器來說，可以采用CA的InocuLAN、ARCServe等，配合CA的災難恢復軟件，可以較為全面地保護數據的安全；對于普通終端來說，可以選擇GHOST等，即可實現數據備份。當然，如果有條件的話，配置能實現數據備份或同步的硬件設備那將更好。

5 外部攻擊的防范

目前，計算機網絡系統所面臨的安全威脅主要來自外部攻擊，主要是惡意病毒攻擊和拒絕服務(DoS)攻擊。可以從以下幾個方面進行網絡安全保護。一般地，通過設置限制措施，只允許相關的網絡數據進入整個Web站點，就可以有效的防止黑客對站點的攻擊，這也是對付“拒絕服務”攻擊有效方法之一，尤其對于ICMP封包，包括ping指令等，應當加入拒絕的列表。

其次，可以通過安裝偵測非法入侵的系統，來提升硬件防火墻的性能，來達到監控網絡運行情況、過濾ICMP封包的內容并及時攔截的非法的動作；當黑客或者木馬病毒入侵時，可以馬上起到作用來終止相應的動作，從而有效地防止竊取校園網的信息。實際操作中，網絡管理人員應該時刻關注網絡的運行情況，發現非法用戶對網絡的訪問應當立即終止，通常是通過工作站的IP地址規則對規定本地網絡設備的訪問權限，目的就是以防止非法用戶進入網絡設備進行配置。

此外，網絡管理人員還應該及時下載網絡設備最新的補丁程序，以便對網絡設備進行升級，從而提高網絡設備的安全性，同時，還應該經常掃描、檢測整個校園網內部網絡的關鍵節點，盡早發現各種設備的安全漏洞并實施補救措施，安裝補丁程序，才能做到有備無患。

[1]曾理.淺談校園網絡建設與應用[J].電腦知識與技術, 2009(13):42-43.

[4]談杰.淺談校園網安全性問題及其控制策略對策分析[J].電腦知識與技術, 2010(9):51-52.

[編輯] 洪云飛

10.3969/j.issn.1673-1409.2011.02.031

TP393

A

1673-1409(2011)02-0085-02

2010-10-01

于貴(1981-)，男，2003年大學畢業，碩士，講師，現主要從事網絡數據庫、多媒體技術方面的教學與研究工作；E-mail:ygsanm@vip.qq.com

?四川文理學院重點科研項目(2009A02Z)。