校園網(wǎng)絡(luò)運(yùn)行管理與安全策略

郁劍偉

為教育領(lǐng)域提供一個良好的信息化教育環(huán)境是開展教育信息化工作和普及信息技術(shù)教育的有力保障，中小學(xué)校園網(wǎng)顯然是這一教育環(huán)境的硬件保障，它已成為學(xué)校建設(shè)的重中之重。然而，現(xiàn)在大多數(shù)學(xué)校只是熱衷于建立高標(biāo)準(zhǔn)的校園網(wǎng)，只關(guān)注網(wǎng)絡(luò)硬件設(shè)備的性能高低和應(yīng)用軟件的是否齊全，而對校園網(wǎng)的使用安全問題卻較少顧及，更不用談如何重視了。其實(shí)，校園網(wǎng)安全應(yīng)該從建網(wǎng)開始就得到校園網(wǎng)的規(guī)劃者，建設(shè)者和管理者的高度重視。本文從實(shí)用的角度介紹在校園網(wǎng)使用過程可能存在的安全隱患及相應(yīng)的一些對策。

一、校園網(wǎng)中主要安全隱患

（一）病毒的危害

現(xiàn)在各個學(xué)校的校園網(wǎng)都聯(lián)上了因特網(wǎng)，用戶上網(wǎng)瀏覽信息，接收電子郵件，下載程序都非常方便，但同時更容易受到病毒的侵害。之所以把病毒危害列為影響校園網(wǎng)安全的第一因素，是因?yàn)楦鶕?jù)我管理本校網(wǎng)絡(luò)的經(jīng)驗(yàn)和平時了解，大多數(shù)中小學(xué)校的校園網(wǎng)發(fā)生故障的一個主要因素就是病毒的感染，如當(dāng)年最流行的沖擊波（Worm.Blaster）病毒，本地有好幾所學(xué)校的校園網(wǎng)就感染上了這種病毒，使得大部分電腦只能停止工作，網(wǎng)絡(luò)管理人員忙了幾天才把所有電腦上的病毒清理干凈，造成了不小的麻煩。

然而，一些學(xué)校網(wǎng)絡(luò)管理者并沒有很認(rèn)真地思考過這個問題，這是因?yàn)楝F(xiàn)階段在學(xué)校網(wǎng)絡(luò)中就算病毒真的造成校園網(wǎng)癱瘓，對一般學(xué)校的正常運(yùn)行也不能造成多大的危害。大部分學(xué)校對校園網(wǎng)的依賴還不強(qiáng)，校園網(wǎng)雖然建好了，但只停留在上網(wǎng)瀏覽信息，接收電子郵件的初級階段，就算網(wǎng)絡(luò)出現(xiàn)問題，最大影響也就是暫時不能上網(wǎng)而已。隨著校園網(wǎng)應(yīng)用的不斷深入，到了真正實(shí)現(xiàn)網(wǎng)絡(luò)辦公時，安全穩(wěn)定的校園網(wǎng)就是確保整個學(xué)校正常工作的基礎(chǔ)，沒有網(wǎng)絡(luò)，學(xué)校就不能正常工作。因此我認(rèn)為病毒的危害已成為影響校園網(wǎng)正常工作的第一大隱患，必須重視。

（二）黑客攻擊

隨著網(wǎng)絡(luò)的飛速發(fā)展，黑客攻擊活動日益猖獗，已成為當(dāng)今社會關(guān)注的焦點(diǎn)。校園網(wǎng)在接入Internet的時候，即使有防火墻的保護(hù)，由于技術(shù)本身的局限和其他原因，也很難保證不遭到黑客攻擊，況且據(jù)我了解，有相當(dāng)一部分學(xué)校（中小學(xué)）的校園網(wǎng)連一般的防火墻都沒有。據(jù)公安部的統(tǒng)計，利用計算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國以每年30%的速度遞增。有媒介報道，中國95%的與Internet相連的網(wǎng)絡(luò)管理中心都遭到過黑客的攻擊或侵入。雖然校園網(wǎng)目前還不是黑客們注意的目標(biāo)，但是，就連安全級別非常高的單位銀行、金融和證券機(jī)構(gòu)都能被黑客們攻破，那么，安全級別極低的學(xué)校網(wǎng)絡(luò)更是不堪一擊，如果哪天黑客們忽然對校園網(wǎng)感興趣的話，到那時就晚了。

（三）不良信息的傳播

現(xiàn)在的校園網(wǎng)都是寬帶接入Internet，教師學(xué)生只要能上校園網(wǎng)就可以進(jìn)入Internet。但互聯(lián)網(wǎng)實(shí)際上是一把雙刃劍，它在使我們從中獲取大量有用價值，提高自我的同時，因其自身的復(fù)雜性，使人們往往被各種信息垃圾包圍，久而久之深受其害。目前Internet上各種信息良莠不齊，如黃色暴力信息、反動信息等，這對身心尚未發(fā)育完善、辨認(rèn)是非能力還比較弱的中小學(xué)生來說危害非常大。如果不采取安全措施，就會導(dǎo)致這些信息在校園內(nèi)傳播、泛濫，侵蝕學(xué)生的心靈，影響我們下一代的健康成長。

（四）設(shè)備的損壞

設(shè)備的損壞主要是指網(wǎng)絡(luò)硬件設(shè)備的損壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、工作站、電源等設(shè)備，它們分布在整個校園內(nèi)，管理起來比較困難，主要有自然損壞和人為破壞。自然損壞是指由于不可抗因素造成的損壞，如雷擊、意外停電造成的機(jī)器設(shè)備損壞；人為損壞主要是指個別人有意或無意地將它們損壞。不管是哪一種，都會造成校園網(wǎng)絡(luò)全部或部分癱瘓。

二、安全防護(hù)的措施

（一）技術(shù)層面的措施

1.構(gòu)建網(wǎng)絡(luò)防毒體系

由于病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異，因此學(xué)校在構(gòu)建網(wǎng)絡(luò)防毒系統(tǒng)時，應(yīng)利用網(wǎng)絡(luò)防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置全方位、多層次的防毒系統(tǒng)配置，使學(xué)校網(wǎng)絡(luò)免受病毒的入侵和危害。

校園網(wǎng)絡(luò)中的防毒體系主要分為兩種。

（1）服務(wù)器的病毒防護(hù)。防毒體系結(jié)構(gòu)中的服務(wù)器端產(chǎn)品應(yīng)該具有實(shí)時病毒監(jiān)控功能，遠(yuǎn)程安裝、遠(yuǎn)程調(diào)用功能，病毒碼自動更新功能，以及病毒活動日志、多種報警通知方式等功能，可為學(xué)校內(nèi)文件服務(wù)器的病毒防護(hù)提供便利和效能。

隨著學(xué)校內(nèi)部電子郵件應(yīng)用日益普及，學(xué)校網(wǎng)絡(luò)中又增加了一個病毒入侵的通道。在網(wǎng)絡(luò)防毒體系結(jié)構(gòu)中再增加了一層關(guān)卡，確保經(jīng)由學(xué)校郵件服務(wù)器的郵件附件隨時處于病毒免疫狀態(tài)。

（2）工作站的病毒防護(hù)。網(wǎng)絡(luò)工作站的病毒防護(hù)位于學(xué)校防毒體系中的最底層，對學(xué)校計算機(jī)用戶而言，也是最后一道防、殺病毒的防線。考慮到網(wǎng)絡(luò)中的工作站數(shù)量少則幾十臺，多則數(shù)百臺，如果需要網(wǎng)管人員逐一到每臺計算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時費(fèi)力，難以實(shí)施統(tǒng)一的防病毒策略，日后的維護(hù)和更新工作也就十分繁瑣。

在選擇防毒產(chǎn)品時，可考慮選擇具有下列功能的網(wǎng)絡(luò)版軟件。

①通過服務(wù)器自動分發(fā)客戶端工作站防毒軟件，可簡化安裝過程。

②自動識別客戶機(jī)操作系統(tǒng)并下載和安裝相應(yīng)的防毒程序，支持包括WindowsNT工作站、Windows 9x/2000/xp等多種作業(yè)平臺的工作站。

③通過服務(wù)器設(shè)置統(tǒng)一的防毒策略，獲取完整的病毒活動報表，實(shí)施集中的病毒碼和程序更新。

④設(shè)有密碼保護(hù)功能，防止用戶隨意卸載病毒監(jiān)控程序，從而形成學(xué)校網(wǎng)絡(luò)的病毒“后門”。

⑤儲存所有工作站硬盤引導(dǎo)區(qū)記錄，以備工作站引導(dǎo)區(qū)遭受病毒破壞后的緊急救援。

具有以上功能的網(wǎng)絡(luò)防毒軟件有不少，如瑞星防毒軟件網(wǎng)絡(luò)版、樂億陽趨勢的PC-cilin和諾頓防毒軟件網(wǎng)絡(luò)版等都可實(shí)現(xiàn)此類功能。

2.及時安裝各種補(bǔ)丁程序

及時更新操作系統(tǒng)，及時安裝各種補(bǔ)丁程序也非常重要。一般學(xué)校里使用的操作系統(tǒng)主要是Win XP或Vista，而正是因?yàn)檫@些Windows操作系統(tǒng)的普遍性和可操作性使得它們是最容易受攻擊的系統(tǒng)：本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。目前，許多新型計算機(jī)病毒就是利用操作系統(tǒng)的漏洞進(jìn)行傳染的。比如2001年出現(xiàn)的紅色代碼病毒就是利用Windows 2000 ServerIIS漏洞進(jìn)行傳播的，2003年8月份發(fā)作的沖擊波病毒是利用Windows 2000、Windows XP、Windows 2003操作系統(tǒng)的RPC漏洞進(jìn)行傳播的。如果不對操作系統(tǒng)進(jìn)行及時更新，彌補(bǔ)各種漏洞，計算機(jī)即使安裝了防毒軟件病毒也會反復(fù)感染。

對校園網(wǎng)中聯(lián)入互聯(lián)網(wǎng)的計算機(jī)，使用者還可以利用操作系統(tǒng)的Windows Update功能進(jìn)行在線檢測并更新。

3.配備Internet防火墻

Internet防火墻，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(Internet)分開的方法，實(shí)際上是一種隔離技術(shù)。它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。用它可以增加機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。

防火墻可分為軟件防火墻和硬件防火墻，至于選擇哪種防火墻新產(chǎn)品，學(xué)校在建立校園網(wǎng)時可以根據(jù)不同的情況進(jìn)行挑選，如資金充裕的話，建議選擇硬件防火墻，如暫時資金不足，就可以選擇軟件防火墻。

4.建立適當(dāng)?shù)挠脩糍~號管理機(jī)制

對校園網(wǎng)用戶管理時，建議給每一位教師一個個人賬號，學(xué)生可以在固定的教室用公共賬號。

談到網(wǎng)絡(luò)的安全意識人們想到最多的恐怕就是密碼。的確，密碼的安全性是網(wǎng)絡(luò)安全性的基本內(nèi)容。沒有一個安全可靠的密碼，就不會有什么安全，密碼的設(shè)置非常重要，也最容易被用戶忽視。要注意以下幾點(diǎn)。

（1）不要使用用戶名（賬號）作為密碼，有很多黑客軟件有一項(xiàng)功能——以用戶名做口令進(jìn)行破解。

（2）不要使用用戶名（賬號）的變換形式作為密碼，例如將用戶名顛倒或者加前后綴作為口令

（3）不要使用具有特定意義的日期作為密碼（如自己的生日），這種口令是最好破解的。

（4）不要使用常用的英文單詞作為密碼。

（5）不要使用5位或5位以下的字符作為密碼。

那么，怎樣的密碼才是安全的呢？首先必須是8位長度，其次必須包括大小寫字母、數(shù)字，如有控制符那么最好。例如：ks&1057W，ykl$24q6zP，這樣的密碼都是比較安全的。不過也不是無懈可擊的，只有安全的密碼配上3個月更換一次的安全制度才是真正安全的。建議在設(shè)置校園網(wǎng)服務(wù)器賬號時，硬性規(guī)定用戶定期更換密碼，否則取消賬號。

5.安裝網(wǎng)絡(luò)反黃軟件

為了控制不良信息的傳播，有必要安裝一些網(wǎng)頁過濾軟件，并配合人工管理，保障學(xué)生的身心健康。

這類軟件必須具備以下主要功能。

（1）網(wǎng)站過濾。能夠屏蔽一些具有色情、暴力、毒品、賭博等不良信息的網(wǎng)址連接，拒絕訪問該網(wǎng)站。

（2）文字遮蓋。可對屏幕上出現(xiàn)的文本進(jìn)行實(shí)時監(jiān)控，一旦發(fā)現(xiàn)信有不良信息的文本，即可對此文字進(jìn)行遮蓋屏蔽。

具備以上功能的軟件較多，如“網(wǎng)絡(luò)衛(wèi)士”、“美萍反黃軟件”等。只要制定好規(guī)章制度，學(xué)生就必須在固定教室且有老師監(jiān)督的條件下才可以上網(wǎng)，再加上一些過濾軟件的設(shè)置，就可以為學(xué)生創(chuàng)造一個干凈安全的網(wǎng)絡(luò)世界。

6.配備較高性能的后備電源UPS系統(tǒng)

在校園網(wǎng)中，服務(wù)器能否正常運(yùn)行關(guān)系著整個校園網(wǎng)能否正常的運(yùn)行，是絕不能出問題的，而在實(shí)際運(yùn)行中有不少問題源自不穩(wěn)定的電源，引起了服務(wù)器的不穩(wěn)定。意外停電，不僅會使數(shù)據(jù)丟失，而且會損傷昂貴的設(shè)備，另外由于國內(nèi)平時供電系統(tǒng)的電壓不夠穩(wěn)定，浪涌、尖峰、低壓等各種情況出現(xiàn)的概率相對較高，這些對設(shè)備都是極大的傷害，因此為了確保校園網(wǎng)的穩(wěn)定運(yùn)行，必須選擇一個較好的后備電源UPS系統(tǒng)。

（二）技術(shù)層面以外的措施

1.提高網(wǎng)絡(luò)安全意識

校園網(wǎng)的用戶是教師和學(xué)生，其中相當(dāng)一部分教師和絕大部分學(xué)生的網(wǎng)絡(luò)安全意識非常薄弱，安全知識匱乏，這些網(wǎng)絡(luò)的使用者有時就是網(wǎng)絡(luò)安全的最大隱患。學(xué)校必須加強(qiáng)對教師、學(xué)生的培訓(xùn)，通過階段性的培訓(xùn)不斷提高校園網(wǎng)用戶的網(wǎng)絡(luò)安全防范意識和防范技能。

2.制定嚴(yán)格的校園網(wǎng)管理規(guī)章制度

常言說：“三分技術(shù)，七分管理。”安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。我們要建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。我們還需要制定一整套的規(guī)章制度約束校園網(wǎng)用戶的行為，讓每個用戶在使用、進(jìn)入校園網(wǎng)之前都知道自己享有什么權(quán)利，負(fù)有什么責(zé)任義務(wù)，如違反之后將有什么后果。這樣能起到比較好的效果。

3.引導(dǎo)學(xué)生善用網(wǎng)絡(luò)技術(shù)

學(xué)校里總有一些學(xué)生對網(wǎng)絡(luò)技術(shù)非常感興趣，而且水平比較高，中學(xué)生們對新鮮事物又是十分的好奇，什么都想嘗試，說不定他在網(wǎng)上試一試學(xué)黑客進(jìn)行一下“破壞”，就從本校的網(wǎng)絡(luò)做起，而從內(nèi)部攻擊網(wǎng)絡(luò)比外部攻擊網(wǎng)絡(luò)要容易得多。這樣的話，對校園網(wǎng)管理者來講也是麻煩的。對這樣的學(xué)生，應(yīng)該一方面增強(qiáng)他們的法律意識，讓他們知道網(wǎng)絡(luò)世界和現(xiàn)實(shí)世界一樣有法律約束，有些事情是不能想做就做的，另一方面引導(dǎo)他們將學(xué)到的網(wǎng)絡(luò)技術(shù)運(yùn)用到校園網(wǎng)的安全建設(shè)上，讓他們參與學(xué)校網(wǎng)絡(luò)的部分管理。

總之，校園網(wǎng)的安全問題不僅僅是技術(shù)上的問題，而且包括人為的因素，因此要想有一個安全健康的校園網(wǎng)，就必須堅持兩手抓，一手抓技術(shù)防范，一手抓管理防范，只有通過以上兩個方面的不斷努力，校園網(wǎng)才能夠在比較安全的環(huán)境下工作，才能充分發(fā)揮優(yōu)勢，更好地為教育事業(yè)服務(wù)。

參考文獻(xiàn)：

［1］Neteye 3.0 防火墻技術(shù)白皮書.

［2］從密碼的設(shè)置與保存談網(wǎng)絡(luò)安全意識.賽迪網(wǎng).