校園網絡安全問題及其維護方案

文/牛曉望

在各類高新技術飛速發展的信息時代，互聯網已成為各個領域、各種群體廣泛應用、交流的信息平臺，在人們的日常生活中發揮著不可替代的作用。隨著網絡信息教育影響的不斷發展擴大，網絡作為新興媒體，已成為高校學生獲取知識和各種信息的主要途徑。在這種新形勢下，建設先進、實用、開放、安全可靠的高校校園網對一個學校的生存發展顯得尤為重要。隨著高校信息化進程的不斷推進，高校校園網上運行的應用系統越來越多，信息系統變得越來越龐雜，用戶群密集且越來越活躍，其安全風險也變得更加嚴重和復雜。網絡時刻受病毒、黑客的威脅，不但會影響校園網絡系統的正常運行，還可能造成整個教務、管理系統中重要數據的丟失、損壞和泄露，給學校帶來不可估量的損失。因此，高校校園網安全問題不容忽視。

一、高校校園網中普遍存在的威脅

（一）計算機系統漏洞。高校校園網絡中，計算機軟件、硬件的不足或協議的缺陷，都屬于計算機系統的漏洞，它們對信息安全、系統的使用、網絡的運行會構成不同程度的威脅。這些漏洞一旦被發現，攻擊者就可以在未授權的情況下訪問或破壞系統，從而危害整個校園網絡系統的安全。

（二）針對防火墻的攻擊。雖然防火墻對網絡邊界安全起了相當大的保護作用，但我們都清楚，沒有哪一種防火墻是萬能的。防火墻不能完全防范黑客的刻意攻擊，也不能有效防范內部用戶的攻擊，它時常存在著被侵擾的可能性和受攻擊的威脅。而校園網的主要用戶——學生恰恰缺乏足夠的網絡常識和計算機病毒防范意識，他們會經常有意或無意地對校園網進行各種各樣的攻擊，以致嚴重影響了校園網的正常工作。

（三）外來的系統入侵、攻擊等惡意破壞行為。由于外來的系統入侵、攻擊等惡意破壞行為的發生，有些計算機很輕易地被攻破，其使用者往往不能在第一時間發現異常，個人信息一旦泄露，損失不可估量。這些被攻破的計算機又會成為黑客利用的工具和攻擊的對象，利用這些計算機再去攻擊其他系統，短時間內整個系統就會面臨癱瘓的可能和更嚴重的后果。

（四）網絡病毒。隨著因特網的流行，計算機病毒借助網絡爆發流行，通過網絡傳播的病毒在傳播速度、破壞性、傳播范圍等方面都比單機病毒的危害性大，給使用者帶來了極大的損失。這些病毒一旦發作，會在最短的時間內傳播影響到整個網絡系統，給用戶造成巨大的損失。

（五）IP地址及用戶賬號的盜用或多人使用同一賬號。由于互聯網中用戶數量眾多，難免出現盜用他人IP地址和用戶賬號的行為，這就大大增加了校園網系統管理的難度，IP地址沖突不斷、用戶無法正常上網；同時，由于某些軟件的功能相對簡單，存在明顯的漏洞——沒有對同一賬號同時登錄次數進行限制，也使得多個用戶可以使用一個賬號同時上網，勢必會造成學校資源的流失以及教學秩序的混亂。

（六）垃圾郵件、不良信息的傳播。高校校園網的主要功能是為教學和科研服務的，因此，網絡環境應該是開放的，管理也是較為寬松的。作為該網絡中最活躍的用戶——學生，他們對網絡充滿了好奇，樂于探索各種信息，嘗試多樣操作方式，以獲取更寬泛、更豐富的網絡資源。如果沒有良好的網絡素質，有些學生會嘗試使用網上學到的甚至自己研究的各種攻擊技術，傳播各種有害信息和垃圾郵件，給校園網造成不良影響。

二、網絡安全維護的幾種方案

校園網上大量存在的計算機病毒、黑客行為、木馬等安全威脅，無時無刻不在影響著校園網絡的健康有序發展。利用何種技術、方法及有效措施來保障高校校園網絡的安全，使其正常運行、健康發展，已成為目前許多高校管理部門亟待解決的問題。

（一）加強校園網安全管理政策建設。制度建設是校園管理的基礎，對校園網的管理，更需要健全、有效的安全管理措施，告訴用戶哪些行為是允許的、哪些行為是不允許的，尤其對計算機使用權限的規定要全面、客觀、嚴謹，既要層次分明、嚴格把關，又要高效實用、有利于工作。諸如對學生用戶，要尤其重視健康上網的思想教育，正確引導學生合理使用網絡，指導與規范并行、提高與發展并重，使學生馳騁于網絡空間，去播種更多的綠色種子，去獲取更有價值的精神給養。

（二）建立安全的Web發布系統。高校校園網系統應當進行綜合安全配置，建立安全的發布系統，防止黑客對Web頁面的非法篡改。同時，根據高校網絡用戶大多思想活躍、敏銳，善于思考、樂于活動的特點，應不斷地調整、設置安全防御措施，使該系統較完整地具備實時監控、實時阻斷、實時備份、實時恢復的基本能力。

（三）運用VLAN(虛擬局域網)技術。高校校園網的規模通常都很大，網上的廣播信息會很多，特別是學生之間的網絡交流非常頻繁，大量的信息很容易形成廣播風暴，引起網絡堵塞。可以通過劃分很多虛擬局域網來減少整個網絡范圍內廣播包的傳輸，把廣播限制在各個虛擬網的范圍內，從而提高網絡的傳輸效率。另外，VLAN根據不同的應用業務及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，這樣可以限制用戶的非法訪問，將損失降到最低點。

（四）客戶賬號與IP地址、端口進行綁定。現在很多高校學生宿舍都設置了上網功能，學生使用校園網的頻率越發頻繁，同一宿舍的端口被學生分線為多個端口，當一臺機器發生問題，其他同端口的機器也有影響，不利于網絡管理，因此，應當將客戶賬號與IP地址、端口進行綁定。這可以極大地提高客戶行為的唯一性，有效防止IP地址和客戶賬號盜用現象的發生。對賬號登錄次數進行限定，避免多人次使用同一賬號上網的現象。系統提供內、外網NAT（地址轉換）功能，避免內網IP地址的暴露，可以降低遭受網絡攻擊的可能性。

（五）運用過濾平臺和防火墻技術。大學生思想活躍，能夠敏銳地捕捉各類信息，但也缺乏屏蔽不良信息的能力。作為校園網管理者，應當引進過濾技術，幫助學生屏蔽不良網站的干擾，對網上色情、暴力和其他不健康的內容進行過濾、堵截。如，設置電子公告服務內容的過濾系統和郵件過濾系統。防火墻技術包含動態的過濾包、應用代理服務器、用戶認證、網絡地址轉換、預警模塊、日志及計費分析等功能,可以有效地將內部網與外部網隔離開，保護校園網絡不被未授權的第三方入侵。

三、其他安全配套機制

要建立一個真正安全的網絡環境，還要加強以下幾方面的工作，以便多層次地保障系統的安全性能。

（一）設置病毒防治系統。服務器應當安裝計算機病毒防治系統，以防止病毒入侵并對已經入侵的病毒及時進行檢測和清除。該病毒防治系統，還應該具備實時更新功能，將抵御病毒侵入的正能量提到最高值，以應對突發的、更加趨于復雜的、隱蔽的病毒攻擊。

（二）郵件過濾系統。自身具備郵件系統的網站必須建立郵件過濾系統，它具備反惡意攻擊、反垃圾郵件、郵件病毒過濾、郵件內容過濾四項基本功能，以對不同性質的非法郵件和可疑郵件作分別處理，防止惡意使用者利用服務器大量轉發不良郵件。這些功能可以為學生營造健康有序的網絡空間和環境。

（三）網絡入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中，利用審計記錄、入侵檢測系統能夠識別出任何不希望發生的活動，從而達到保護系統安全的目的。網絡入侵檢測系統能對網絡或操作系統上的可疑行為做出策略反應，及時切斷資料入侵源，并通過各種途徑通知網絡管理員，最大限度地保障系統安全。同時，要求網絡入侵檢測系統本身應當具有一定的抗攻擊能力。

（四）漏洞掃描系統的設計。解決網絡安全問題，首先要弄清網絡中存在哪些安全隱患、漏洞。漏洞掃描系統根據大型網絡的復雜性及其變化規律，查找網絡安全漏洞，評估并提出修改建議，利用優化系統配置和補丁等方式彌補最新的安全漏洞，消除安全隱患。

此外，還需對服務器系統做到有限授權、預防攻擊、主機恢復、審計跟蹤等安全措施。如采用服務器備份機制，采用災難恢復機制來確保系統被破壞后能及時地進行恢復，保證不影響正常的教學秩序。災難恢復機制中最為重要的當屬備份機制。

網絡安全防范技術不斷進步的同時，威脅網絡安全的計算機病毒技術、黑客技術、木馬技術等也在不斷地發展變化。因此，應該意識到在校園網絡的建設實踐中，追求百分之百的網絡安全是不可能的，綜合運用多種網絡安全技術構建一個相對安全可靠、先進實用的校園網才是明智之舉。