學校校園網技術安全防護淺談

摘 要：現在有很多的校園網已經建立起來了，為了防止黑客的入侵，一些有財力、有技術力量的學校紛紛建立防火墻。而對于大多數規模不大的學校，由于各種各樣的原因制約，至今未能建立起防火墻。就這種情況來看，建立一個簡單有效的安全防護機制是最為有效的辦法。

關鍵詞：校園網；網絡安全；系統漏洞

從各方面的統計來說，網絡安全問題80%以上是由于內部人員的攻擊或不遵守規章制度或系統管理員失誤造成的。因此，建立一個有效的制約制度來阻止內部人員造成安全問題是保證校園網安全的一個主要手段，除此，還應使用一些技術手段來防止網絡安全問題的發生。

在做技術上的安全設置之前，應該先了解一下造成網絡安全問題的黑客行為是怎樣的一個過程。對于黑客入侵，黑客們最常用的手段是獲得超級用戶口令，他們總是先分析目標系統正在運行哪些應用程序，目前可獲得哪些權限，有哪些漏洞可加以利用，并最終利用這些漏洞獲取超級用戶權限，再達到他們的目的。

知道了黑客通常造成安全問題的基本途徑之后，就可以在技術上采取一些相應的對策。

一、堵住所有能堵住的漏洞

首先要對操作系統的漏洞進行修補。目前，大多數學校校園網服務器采用的操作系統是Windows NT Server 4.0、Windows 2000 Server或Windows 2000 Advanced Server，如果使用的操作系統是Windows NT Server 4.0，那么只要把操作系統的補丁打到SP6就可以了，如果使用的操作系統是Windows 2000系列的服務器操作系統，那就得勤快一點，可從“開始→Windows Update”修補操作系統的漏洞，或者到http：//windowsupdate.microsoft.com頁面

下載補丁包，把操作系統的漏洞補起來。為了能及時修補操作系統漏洞，建議用一臺計算機安裝跟服務器一樣的操作系統，每天檢查一次這臺計算機，有沒有新的操作系統補丁出來，如果出來新的補丁就及時更新，通過這種方法就能保證操作系統的漏洞處于最少狀態，這樣的操作系統是安全的。

二、要對服務器進行合理的分配

如果校園網絡提供主頁、FTP、數據庫、E-mail、VOD等服務，當有3臺服務器用于校園網的上述服務時，則主頁服務、FTP服務、校園管理平臺服務可放在同一臺服務器上，數據庫單獨一臺服務器，VOD單獨一臺服務器，而E-mail暫停。如果只有2臺服務器，建議把VOD服務停掉。這樣分配服務器可通過簡單的設置來增強服務器的安全性。服務器在這種分配下，由于功能單一、明確，并且考慮了數據的進出問題，如主頁服務、匿名FTP服務、VOD服務都是數據只能讀出，不能寫入；校園管理平臺、內部主頁的數據有讀出，也有寫入，但其需要用戶名和密碼，并且數據寫入只是以軟件預先定義的字段和方法寫入；數據庫服務是讀出寫入都可以，但需要輸入用戶名和口令。如果軟件設計的結構是B/C/D（即瀏覽器/客戶端/數據庫）結構的話，數據庫服務所在的這臺服務器的數據流寫入和讀出的執行只能是另外特定的校園網服務器，否則就表明數據庫服務器遭到襲擊。在服務有明確、合理的分配情況下，服務器被攻擊的路徑就少了很多。

三、要合理地分配VLAN

網絡中心使用一個單獨的VLAN是比較合理的選擇。在主頁服務器里，所安裝的協議有TCP/IP協議、網絡客戶端和網絡文件共享，采用單獨的VLAN是在指導目標主機的IP地址的條件下，在網絡中心以外也無法采用網絡文件共享進行攻擊。而且，網絡中心采用單獨的VLAN，使得用戶和網絡中心有一定程度的隔離，使其他用戶和服務器之間只能通過指定的TCP/IP協議進行通訊。

有些學校在校園網絡的出口上安裝了一臺代理服務器，這是一個很好的選擇。有了這臺代理服務器，校園網以外很難發現內部網絡的結構和計算機分布，并且加速了校園網中計算機訪問網頁的速度，將來還可在代理服務器上安裝防火墻。

最后，提醒系統管理員、網絡管理員和安全管理員一定要掌管好超級用戶的口令，并且口令的設置也要符合口令設置規范，并在使用一段時間（一般不超過半年，兩個月以內更佳）以后就要更換口令。

經過如此處理，不能說黑客進不來了，但99%以上的網絡安全問題就可以解決或防止。

（作者單位 江西省高安市職教中心）