校園網絡運行管理與安全策略

郁劍偉

為教育領域提供一個良好的信息化教育環境是開展教育信息化工作和普及信息技術教育的有力保障，中小學校園網顯然是這一教育環境的硬件保障，它已成為學校建設的重中之重。然而，現在大多數學校只是熱衷于建立高標準的校園網，只關注網絡硬件設備的性能高低和應用軟件的是否齊全，而對校園網的使用安全問題卻較少顧及，更不用談如何重視了。其實，校園網安全應該從建網開始就得到校園網的規劃者，建設者和管理者的高度重視。本文從實用的角度介紹在校園網使用過程可能存在的安全隱患及相應的一些對策。

一、校園網中主要安全隱患

（一）病毒的危害

現在各個學校的校園網都聯上了因特網，用戶上網瀏覽信息，接收電子郵件，下載程序都非常方便，但同時更容易受到病毒的侵害。之所以把病毒危害列為影響校園網安全的第一因素，是因為根據我管理本校網絡的經驗和平時了解，大多數中小學校的校園網發生故障的一個主要因素就是病毒的感染，如當年最流行的沖擊波（Worm.Blaster）病毒，本地有好幾所學校的校園網就感染上了這種病毒，使得大部分電腦只能停止工作，網絡管理人員忙了幾天才把所有電腦上的病毒清理干凈，造成了不小的麻煩。

然而，一些學校網絡管理者并沒有很認真地思考過這個問題，這是因為現階段在學校網絡中就算病毒真的造成校園網癱瘓，對一般學校的正常運行也不能造成多大的危害。大部分學校對校園網的依賴還不強，校園網雖然建好了，但只停留在上網瀏覽信息，接收電子郵件的初級階段，就算網絡出現問題，最大影響也就是暫時不能上網而已。隨著校園網應用的不斷深入，到了真正實現網絡辦公時，安全穩定的校園網就是確保整個學校正常工作的基礎，沒有網絡，學校就不能正常工作。因此我認為病毒的危害已成為影響校園網正常工作的第一大隱患，必須重視。

（二）黑客攻擊

隨著網絡的飛速發展，黑客攻擊活動日益猖獗，已成為當今社會關注的焦點。校園網在接入Internet的時候，即使有防火墻的保護，由于技術本身的局限和其他原因，也很難保證不遭到黑客攻擊，況且據我了解，有相當一部分學校（中小學）的校園網連一般的防火墻都沒有。據公安部的統計，利用計算機網絡進行的各類違法行為在中國以每年30%的速度遞增。有媒介報道，中國95%的與Internet相連的網絡管理中心都遭到過黑客的攻擊或侵入。雖然校園網目前還不是黑客們注意的目標，但是，就連安全級別非常高的單位銀行、金融和證券機構都能被黑客們攻破，那么，安全級別極低的學校網絡更是不堪一擊，如果哪天黑客們忽然對校園網感興趣的話，到那時就晚了。

（三）不良信息的傳播

現在的校園網都是寬帶接入Internet，教師學生只要能上校園網就可以進入Internet。但互聯網實際上是一把雙刃劍，它在使我們從中獲取大量有用價值，提高自我的同時，因其自身的復雜性，使人們往往被各種信息垃圾包圍，久而久之深受其害。目前Internet上各種信息良莠不齊，如黃色暴力信息、反動信息等，這對身心尚未發育完善、辨認是非能力還比較弱的中小學生來說危害非常大。如果不采取安全措施，就會導致這些信息在校園內傳播、泛濫，侵蝕學生的心靈，影響我們下一代的健康成長。

（四）設備的損壞

設備的損壞主要是指網絡硬件設備的損壞。網絡設備包括服務器、交換機、工作站、電源等設備，它們分布在整個校園內，管理起來比較困難，主要有自然損壞和人為破壞。自然損壞是指由于不可抗因素造成的損壞，如雷擊、意外停電造成的機器設備損壞；人為損壞主要是指個別人有意或無意地將它們損壞。不管是哪一種，都會造成校園網絡全部或部分癱瘓。

二、安全防護的措施

（一）技術層面的措施

1.構建網絡防毒體系

由于病毒在網絡中存儲、傳播、感染的方式各異，因此學校在構建網絡防毒系統時，應利用網絡防病毒產品，針對網絡中所有可能的病毒攻擊點設置全方位、多層次的防毒系統配置，使學校網絡免受病毒的入侵和危害。

校園網絡中的防毒體系主要分為兩種。

（1）服務器的病毒防護。防毒體系結構中的服務器端產品應該具有實時病毒監控功能，遠程安裝、遠程調用功能，病毒碼自動更新功能，以及病毒活動日志、多種報警通知方式等功能，可為學校內文件服務器的病毒防護提供便利和效能。

隨著學校內部電子郵件應用日益普及，學校網絡中又增加了一個病毒入侵的通道。在網絡防毒體系結構中再增加了一層關卡，確保經由學校郵件服務器的郵件附件隨時處于病毒免疫狀態。

（2）工作站的病毒防護。網絡工作站的病毒防護位于學校防毒體系中的最底層，對學校計算機用戶而言，也是最后一道防、殺病毒的防線。考慮到網絡中的工作站數量少則幾十臺，多則數百臺，如果需要網管人員逐一到每臺計算機上安裝單機防病毒軟件，費時費力，難以實施統一的防病毒策略，日后的維護和更新工作也就十分繁瑣。

在選擇防毒產品時，可考慮選擇具有下列功能的網絡版軟件。

①通過服務器自動分發客戶端工作站防毒軟件，可簡化安裝過程。

②自動識別客戶機操作系統并下載和安裝相應的防毒程序，支持包括WindowsNT工作站、Windows 9x/2000/xp等多種作業平臺的工作站。

③通過服務器設置統一的防毒策略，獲取完整的病毒活動報表，實施集中的病毒碼和程序更新。

④設有密碼保護功能，防止用戶隨意卸載病毒監控程序，從而形成學校網絡的病毒“后門”。

⑤儲存所有工作站硬盤引導區記錄，以備工作站引導區遭受病毒破壞后的緊急救援。

具有以上功能的網絡防毒軟件有不少，如瑞星防毒軟件網絡版、樂億陽趨勢的PC-cilin和諾頓防毒軟件網絡版等都可實現此類功能。

2.及時安裝各種補丁程序

及時更新操作系統，及時安裝各種補丁程序也非常重要。一般學校里使用的操作系統主要是Win XP或Vista，而正是因為這些Windows操作系統的普遍性和可操作性使得它們是最容易受攻擊的系統：本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞存在安全漏洞，對網絡安全構成了威脅。目前，許多新型計算機病毒就是利用操作系統的漏洞進行傳染的。比如2001年出現的紅色代碼病毒就是利用Windows 2000 ServerIIS漏洞進行傳播的，2003年8月份發作的沖擊波病毒是利用Windows 2000、Windows XP、Windows 2003操作系統的RPC漏洞進行傳播的。如果不對操作系統進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件病毒也會反復感染。

對校園網中聯入互聯網的計算機，使用者還可以利用操作系統的Windows Update功能進行在線檢測并更新。

3.配備Internet防火墻

Internet防火墻，是指一種將內部網和公眾訪問網(Internet)分開的方法，實際上是一種隔離技術。它能允許你“同意”的人和數據進入你的網絡，將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。用它可以增加機構內部網絡的安全性。

防火墻可分為軟件防火墻和硬件防火墻，至于選擇哪種防火墻新產品，學校在建立校園網時可以根據不同的情況進行挑選，如資金充裕的話，建議選擇硬件防火墻，如暫時資金不足，就可以選擇軟件防火墻。

4.建立適當的用戶賬號管理機制

對校園網用戶管理時，建議給每一位教師一個個人賬號，學生可以在固定的教室用公共賬號。

談到網絡的安全意識人們想到最多的恐怕就是密碼。的確，密碼的安全性是網絡安全性的基本內容。沒有一個安全可靠的密碼，就不會有什么安全，密碼的設置非常重要，也最容易被用戶忽視。要注意以下幾點。

（1）不要使用用戶名（賬號）作為密碼，有很多黑客軟件有一項功能——以用戶名做口令進行破解。

（2）不要使用用戶名（賬號）的變換形式作為密碼，例如將用戶名顛倒或者加前后綴作為口令

（3）不要使用具有特定意義的日期作為密碼（如自己的生日），這種口令是最好破解的。

（4）不要使用常用的英文單詞作為密碼。

（5）不要使用5位或5位以下的字符作為密碼。

那么，怎樣的密碼才是安全的呢？首先必須是8位長度，其次必須包括大小寫字母、數字，如有控制符那么最好。例如：ks&1057W，ykl$24q6zP，這樣的密碼都是比較安全的。不過也不是無懈可擊的，只有安全的密碼配上3個月更換一次的安全制度才是真正安全的。建議在設置校園網服務器賬號時，硬性規定用戶定期更換密碼，否則取消賬號。

5.安裝網絡反黃軟件

為了控制不良信息的傳播，有必要安裝一些網頁過濾軟件，并配合人工管理，保障學生的身心健康。

這類軟件必須具備以下主要功能。

（1）網站過濾。能夠屏蔽一些具有色情、暴力、毒品、賭博等不良信息的網址連接，拒絕訪問該網站。

（2）文字遮蓋。可對屏幕上出現的文本進行實時監控，一旦發現信有不良信息的文本，即可對此文字進行遮蓋屏蔽。

具備以上功能的軟件較多，如“網絡衛士”、“美萍反黃軟件”等。只要制定好規章制度，學生就必須在固定教室且有老師監督的條件下才可以上網，再加上一些過濾軟件的設置，就可以為學生創造一個干凈安全的網絡世界。

6.配備較高性能的后備電源UPS系統

在校園網中，服務器能否正常運行關系著整個校園網能否正常的運行，是絕不能出問題的，而在實際運行中有不少問題源自不穩定的電源，引起了服務器的不穩定。意外停電，不僅會使數據丟失，而且會損傷昂貴的設備，另外由于國內平時供電系統的電壓不夠穩定，浪涌、尖峰、低壓等各種情況出現的概率相對較高，這些對設備都是極大的傷害，因此為了確保校園網的穩定運行，必須選擇一個較好的后備電源UPS系統。

（二）技術層面以外的措施

1.提高網絡安全意識

校園網的用戶是教師和學生，其中相當一部分教師和絕大部分學生的網絡安全意識非常薄弱，安全知識匱乏，這些網絡的使用者有時就是網絡安全的最大隱患。學校必須加強對教師、學生的培訓，通過階段性的培訓不斷提高校園網用戶的網絡安全防范意識和防范技能。

2.制定嚴格的校園網管理規章制度

常言說：“三分技術，七分管理。”安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。我們要建立一套校園網絡安全管理模式，制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執行。我們還需要制定一整套的規章制度約束校園網用戶的行為，讓每個用戶在使用、進入校園網之前都知道自己享有什么權利，負有什么責任義務，如違反之后將有什么后果。這樣能起到比較好的效果。

3.引導學生善用網絡技術

學校里總有一些學生對網絡技術非常感興趣，而且水平比較高，中學生們對新鮮事物又是十分的好奇，什么都想嘗試，說不定他在網上試一試學黑客進行一下“破壞”，就從本校的網絡做起，而從內部攻擊網絡比外部攻擊網絡要容易得多。這樣的話，對校園網管理者來講也是麻煩的。對這樣的學生，應該一方面增強他們的法律意識，讓他們知道網絡世界和現實世界一樣有法律約束，有些事情是不能想做就做的，另一方面引導他們將學到的網絡技術運用到校園網的安全建設上，讓他們參與學校網絡的部分管理。

總之，校園網的安全問題不僅僅是技術上的問題，而且包括人為的因素，因此要想有一個安全健康的校園網，就必須堅持兩手抓，一手抓技術防范，一手抓管理防范，只有通過以上兩個方面的不斷努力，校園網才能夠在比較安全的環境下工作，才能充分發揮優勢，更好地為教育事業服務。

參考文獻：

［1］Neteye 3.0 防火墻技術白皮書.

［2］從密碼的設置與保存談網絡安全意識.賽迪網.