中職校園網(wǎng)絡安全分析與對策

周新偉

摘要： 目前，中職學校校園網(wǎng)絡的安全問題越來越突出。本文分析了中職學校校園網(wǎng)安全的現(xiàn)狀、隱患、防范措施等，對如何加強校園網(wǎng)絡安全這一問題作了探討。

關鍵詞： 中職學校校園網(wǎng)安全問題防范措施

一、引言

校園網(wǎng)是指通過網(wǎng)絡設備、通信介質(zhì)和適宜的組網(wǎng)技術與協(xié)議，以及各類系統(tǒng)管理軟件和應用軟件，將校園內(nèi)計算機和各種終端設備有機集成在一起，用于科研、教學、管理、資源共享等方面的局域網(wǎng)絡系統(tǒng)。隨著各校“校校通”工程的深入實施，很多中職學校組建了自己的校園網(wǎng)，學校網(wǎng)絡化、教育信息化已經(jīng)成為網(wǎng)絡時代的教育發(fā)展方向。但是，網(wǎng)絡應用往往存在很大的安全隱患，其中校園網(wǎng)的安全問題日漸突出。本文針對諸暨市職教中心校園網(wǎng)面對的一系列的安全問題，分析中職校園網(wǎng)的安全措施。

二、學校網(wǎng)絡現(xiàn)狀

我校的計算機網(wǎng)絡主要由以下幾部分構成。

（一）學校骨干網(wǎng)絡。采用華為Quidway S6502和華為AR28-31路由器構成核心層網(wǎng)絡，通過光纜外接諸暨教育城域網(wǎng)，內(nèi)接各樓宇的接入層交換機H3C 3100，實現(xiàn)了以千兆為主干，百兆到桌面的校園網(wǎng)，全校共建有網(wǎng)絡信息節(jié)點2000多個。

（二）學校業(yè)務網(wǎng)絡。學校各個職能部門所使用的應用系統(tǒng)，主要有業(yè)務系統(tǒng)、財務系統(tǒng)、其他支撐系統(tǒng)等。

（三）辦公OA網(wǎng)絡。分布于學校的各地，辦公PC可能位于不同的VLAN中，每個VLAN通過路由網(wǎng)關，可以實現(xiàn)辦公網(wǎng)絡的互聯(lián)互通。

全網(wǎng)通過VLAN技術對整個校園網(wǎng)進行網(wǎng)絡劃分及管理，以有效控制網(wǎng)絡安全及網(wǎng)絡流量。在網(wǎng)絡安全方面，配置了防火墻、IDS入侵檢測系統(tǒng)、防毒軟件、垃圾郵件網(wǎng)關等安全設備，構成了透明的安全的網(wǎng)絡環(huán)境。

三、校園計算機網(wǎng)絡存在的安全隱患

學校校園網(wǎng)絡的安全形勢非常嚴峻，學校如何既能保證網(wǎng)絡的安全運行，又能提供豐富的網(wǎng)絡資源，滿足辦公、教學學生上網(wǎng)等多種需求，成為了一個難題。校園網(wǎng)絡存在的安全隱患主要集中在以下幾個方面。

（一）用戶網(wǎng)絡安全意識淡薄，管理制度不完善。

學校師生對網(wǎng)絡安全意識淡薄，隨意使用U盤、移動硬盤、手機等存儲介質(zhì)；師生無法唯一識別上網(wǎng)身份，不能有效地規(guī)范和約束師生的非法訪問行為；學校機房使用頻繁，登記管理制度不健全；缺乏統(tǒng)一的網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控、日志系統(tǒng)，使學校的網(wǎng)絡管理混亂；用戶對網(wǎng)絡資源濫用，利用免費的校園網(wǎng)提供大容量的視頻、軟件資源下載，占用了大量的網(wǎng)絡帶寬，影響了校園網(wǎng)的應用。

（二）計算機病毒泛濫，影響用戶的使用和信息的安全。

網(wǎng)絡病毒是指病毒突破網(wǎng)絡的安全性，傳播到網(wǎng)絡服務器，進而在整個網(wǎng)絡上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡安全情況。師生對文件下載、電子郵件接收、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序，具有傳染性、隱蔽性、復制性、破壞性等特點。它的破壞性是巨大的，一旦學校網(wǎng)絡中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡，只要網(wǎng)絡中有幾臺電腦中毒，就會堵塞出口，導致網(wǎng)絡的“拒絕服務”，嚴重時會造成網(wǎng)絡癱瘓。從近幾年的CIH病毒、ARP病毒等的爆發(fā)事件中可以看出，網(wǎng)絡病毒的防范任務越來越嚴峻。

（三）外來的系統(tǒng)入侵、攻擊等惡意破壞行為。

目前，校園網(wǎng)已經(jīng)逐漸被某些黑客納入攻擊視野，一些學生對“黑客”充滿好奇心和挑戰(zhàn)性，從因特網(wǎng)上找到一些攻擊軟件，往往把學校網(wǎng)絡當做嘗試攻擊的目標。開放的校園網(wǎng)絡碰上一些破壞性強的軟件，其后果可想而知。

（四）網(wǎng)絡軟件系統(tǒng)的漏洞。

網(wǎng)絡軟件系統(tǒng)不可能百分之百無漏洞和無缺陷，從網(wǎng)絡上隨意下載的軟件中很有可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。以往多次出現(xiàn)的黑客攻入Internet的事件，大部分就是安全措施不完善導致的苦果。

四、學校網(wǎng)絡安全解決方案

我根據(jù)校園網(wǎng)絡面臨的安全問題，結合我校校園網(wǎng)的特點，因地制宜，提出以下校園網(wǎng)絡安全的解決方案。

（一）建立完善的網(wǎng)絡管理制度。

安全管理是保證網(wǎng)絡安全的基礎。根據(jù)學校實際情況，對師生進行網(wǎng)絡安全防范意識教育，使他們具備基本的網(wǎng)絡安全知識，制定相關的網(wǎng)絡安全管理制度。安排專人負責校園網(wǎng)絡的安全保護管理工作，對學校相關專業(yè)技術人員定期進行安全教育和培訓，提高網(wǎng)絡安全的警惕性和自覺性，并安排管理人員定期對校園網(wǎng)進行維護。

（二）采用入侵檢測技術。

入侵檢測系統(tǒng)，簡稱IDS，是一種網(wǎng)絡安全系統(tǒng)，是防火墻合理的補充。當有攻擊者試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時，IDS能夠檢測和發(fā)現(xiàn)入侵行為并報警，通知網(wǎng)絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息、記錄事件，也會自動阻斷通信連接，重置路由器、防火墻，也會及時發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，大大提高了網(wǎng)絡的安全性。

在校園網(wǎng)中采用入侵檢測技術，最好采用混合入侵檢測，需要從兩方面著手：基于網(wǎng)絡的入侵檢測和基于主機的入侵檢測。（1）我校校園網(wǎng)分為多個網(wǎng)段，基于網(wǎng)絡的入侵檢測一般只針對直接連接網(wǎng)段的通信，不檢測在不同網(wǎng)段的網(wǎng)絡包，因此，在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡的入侵檢測產(chǎn)品，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對每個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報或者直接切斷網(wǎng)絡的連接。（2）在重要的主機上（例如www服務器、郵件服務器）安裝基于主機的入侵檢測系統(tǒng)，對該主機的網(wǎng)絡實時連接，以及系統(tǒng)審計日志進行職能分析和判斷，如果其中主體活動十分可疑，入侵檢測系統(tǒng)就會采取相應措施。基于主機入侵的系統(tǒng)除了可以指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者干了什么事，例如，他們打開了哪些文件，運行了什么程序，執(zhí)行了哪些系統(tǒng)調(diào)用等，提供較詳盡的相關信息。基于網(wǎng)絡的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御系統(tǒng)不全面。但是，它們的缺憾是互補的，在網(wǎng)絡中采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，就會構架成一套完整立體的主動防御體系。

（三）安裝防火墻。

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術產(chǎn)品，是一種使用較早的，也是目前使用較廣泛的網(wǎng)絡安全防范產(chǎn)品之一。它是軟件或硬件設備的組合，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻從原理上可以分為兩大類：包過濾（packet filtering）型和代理服務（Proxy service）型。根據(jù)我校現(xiàn)在的具體情況，可以采用如下的防火墻配置方案。

在系統(tǒng)中使用兩個包過濾網(wǎng)關（可以稱為包過濾防火墻），在內(nèi)部網(wǎng)絡和外界Internet之間隔離出一個受屏蔽的子網(wǎng)DMZ區(qū)，代理服務器、E-mail服務器、各種信息服務器（包括Web服務器、FTP服務器等），以及其他需要進行訪問控制的系統(tǒng)都放在DMZ中。

在外部路由器上設置一個包過濾網(wǎng)關，它只讓與DMZ中的代理服務器、郵件服務器、Web服務器有關的數(shù)據(jù)包通過，其他所有類型的數(shù)據(jù)包都被丟棄，從而把外界Internet對DMZ的訪問限制在特定的服務器的范圍內(nèi)。內(nèi)部路由器上的包過濾網(wǎng)關也一樣，通過配置，做到只有DMZ中的代理服務器、郵件服務器和Web服務器是外界可以看到的，外界無法知道其他系統(tǒng)的存在，無法通過他們的名字直接訪問它們。

（四）防治網(wǎng)絡病毒。

校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡軟硬件的維護制度，定期對各工作站進行維護，對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染和傳播，學校應在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采取相應的防病毒手段，在服務器和各辦公室、工作站上安裝網(wǎng)絡版的殺毒軟件，對病毒進行定時的掃描檢測，定時升級軟件并查毒殺毒，使整個校園網(wǎng)絡有防病毒能力。

（五）設置口令加密和訪問控制。

校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網(wǎng)絡的監(jiān)控和對用戶的管理。網(wǎng)管理員對校園網(wǎng)內(nèi)部網(wǎng)絡設備路由器、防火墻、交換機、服務器的配置均要設口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內(nèi)進行操作，合理設置網(wǎng)絡共享文件，對各工作站的網(wǎng)絡軟件文件屬性可采取隱藏、只讀等加密措施，建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志、網(wǎng)絡服務器日志、交換機及路由器日志、內(nèi)部用戶非法活動日志等，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全隱患等，有效地保護網(wǎng)絡安全。

（六）采用VLAN技術。

VLAN(虛擬局域網(wǎng))技術，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、防火墻或網(wǎng)關等設備進行連接，網(wǎng)絡管理員借助VLAN技術管理整個網(wǎng)絡，通過設置命令，對每個子網(wǎng)進行單獨管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡病毒、木馬程序，從而在整個網(wǎng)絡環(huán)境下，計算機能安全運行。

（七）做好系統(tǒng)備份和數(shù)據(jù)備份。

雖然有各種防范手段，但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難，對網(wǎng)絡系統(tǒng)軟件應該由專人管理，定期做好服務器系統(tǒng)、網(wǎng)絡應用軟件及各種資料數(shù)據(jù)的備份工作，并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案，記錄網(wǎng)上各工作站的資源分配情況、故障情況、維護記錄。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段。

六、結語

目前，我校校園網(wǎng)正處于良好的運行狀態(tài)，病毒的感染率明顯下降，有害信息和不健康的網(wǎng)絡內(nèi)容大大減少，機房的破壞現(xiàn)象也減少了，校園網(wǎng)安全得到了有力保障。

校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程，只有綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡的安全體系，才能提高校園網(wǎng)絡的安全防范能力。

參考文獻：

［1］羅杰紅.校園網(wǎng)中防火墻的設計.沈陽師范學院學報（自然科學版），2002，（4）.

［2］楊波.從信息安全角度看校園網(wǎng)發(fā)展現(xiàn)狀［J］.甘肅科技，2007，（3）.

［3］陳新建.校園網(wǎng)的安全現(xiàn)狀和改進對策［J］.網(wǎng)絡安全技術與應用，2007，（3）.

［4］李小志.高校校園網(wǎng)絡安全分析及解決方案［J］.現(xiàn)代教育技術，2008，（3）.

［5］鄧國英.校園網(wǎng)絡安全分析及防范措施［J］.計算機安全，2010，（9）.