高校校園網安全管理的探討

摘 要：在社會信息化高度發展的今天，校園網在學校的教學和管理中發揮著非常重要的作用。在校園網建設和運行的過程中，其安全問題也日益突出。從校園網的特點和結構出發，分析校園網存在的安全隱患，并從技術、設備、管理等方面提出解決方案。

關鍵詞：校園網；網絡安全；安全體系；高校

中圖分類號：G640 文獻標志碼：A 文章編號：1673-291X（2013）10-0239-02

一、校園網發展背景

隨著信息技術和通訊技術的高速發展，教育界的教學與管理方式也迫切要求進行改革。同時教育部提出“校校通”工程，要求實現教育信息化。在網絡迅速發展和新的教育模式提出的背景下，絕大部分高校都建立了校園網，在提高教學水平和工作效率的同時，也加強了師生與外界的溝通。但是，其運行過程的安全問題帶來了前所未有的挑戰。首先，破壞性的代碼、病毒、黑客、色情與暴力網站、攻擊干擾等不安全因素對校園網的建設與維護造極為不利；其次，為了保證敏感信息的安全，許多校園網對互聯網的使用做了許多限制，從而對教學和管理也造成一定程度的影響。

二、校園網安全現狀

校園網的安全現狀讓很多用戶和管理者感到擔憂，有人曾針對全國高校進行校園網絡安全調查，調查統計結果顯示：

大部分被調查者表示，網絡行為管理解決方案是一件非常必要的工作。他們認為，許多學生由于受色情、暴力以及網絡游戲的影響，極大地影響了身心健康的發展，有的還被中止了學業。

由于校園網設計、管理和軟件方面存在漏洞，加上網絡攻擊者攻擊水平的提高和欲望的膨脹，校園網面臨著多方面的安全威脅，主要體現在以下幾個方面：（1）自身操作系統的缺陷。由于許多新型計算機病毒都是利用操作系統的漏洞進行傳染，而現在的網絡操作系統都存在各種各樣的安全問題。如果在系統的運行過程中不對操作系統進行及時更新和升級，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復感染。（2）病毒的破壞。由于計算機病毒數量的增多和攻擊力的增強，其成為影響高校校園網絡安全的主要因素。病毒影響校園網的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓。（3）黑客的入侵。黑客運用手中掌握的十分豐富的現成工具經常闖入學校的計算機系統中，竊取機密數據或者進行非法操作。（4）口令入侵。某些攻擊者為了進行非法訪問或將上網的費用轉嫁給他人，用不正常的手段竊取校園網中操作人員的口令，造成了管理的混亂。（5）非法訪問或內部破壞。在高校中，有人篡改人事檔案記錄、改變程序設置、越權處理公務或通過非正常的手段獲取習題的答案與考試內容，使正常的教學練習失去意義，嚴重地破壞了學校的管理秩序。（6）網上不良信息的傳播。校內某些抵制力不強的人可通過校園網絡進入Internet上的色情、暴力、邪教網站，對自己的世界觀和人生觀造成很大的危害。（7）硬件設備受損。由于校園網絡涉及的設備分布廣泛，管理起來非常困難，有可能被人有意或無意地損壞，從而造成校園網絡全部或部分癱瘓。（8）管理問題 。隨著校園網絡規模的擴大、網絡使用者的增多、校內某些人網絡專業水平的提高、教師和學生安全意識薄弱和規章制度不完善，校園網的管理出現混亂。

三、校園網的安全體系構建

（一）從物理上保護校園網的安全

物理安全是指防止意外事件或人為破壞具體的物理設備，如服務器、交換機、路由器、機柜及線路等.從物理上對計算機設備和數據進行安全保護的措施如下：（1）注意校園中的形跡可疑者，防止使用物理手段破壞計算機設備。（2）數據的備份要鎖在一個安全的地方，防止被竊與失火。（3）學校中有計算機的房間要加固門鎖，防止小偷和不合法的用戶進入。

（二）校園網的硬件安全維護

網絡硬件是計算機網絡系統的物質基礎。只有保證硬件的正常運行才能讓校園網發揮其功能和作用。校園網絡的硬件設備有：線路控制器、通信控制器、通信處理機、前端處理機、集中器、多路選擇器MUX、主機和終端。要經常對硬件系統進行全面的檢修和維護，對硬件不利的環境要進行改善或使設備避開這些環境。

（三）校園網的安全漏洞彌補

任何操作系統都有漏洞，要及時安裝系統補丁程序，為了將安全漏洞降低到最小，學校的系統管理員必須及時更新服務軟件。對校園網中的用戶和操作人員的分類進行管理，關閉不必要的服務端口，定期對服務器進行備份、檢查系統安全性。

（四）校園網的安全技術

校園網所使用的安全技術涉及面廣、復雜程度高且變化速度快。系統管理員在對系統進行安全維護時要綜合地使用各種安全技術，并根據網絡環境和運行的變化情況隨時進行調整，而不是單獨使用某種或某幾種技術。

1.身份認證。校園網中的用戶和操作人員要進行不同的操作，就需要對自己的身份進行認證，因為校園網是一個整體性比較強的網絡，需有一個統一的、具有較高安全控制的身份驗證系統，以保證數據安全和用戶操作方便。

2.防火墻技術。防火墻構成了校園網對外防御的第一道防線用來隔離被保護的內部網絡，明確定義網絡的邊界和服務，同時完成授權、訪問控制以及安全審計的功能。

3.惡意代碼與病毒防治。校園網防御計算機病毒首先應該加強內部網絡管理人員以及使用人員的安全意識，其次應該加強技術上的防范措施，比如使用高技術防火墻、使用防毒殺毒工具等。

4.系統安全增強技術。對主機進行安全防護也非常重要。主要是針對操作系統的安全性進行提高。首先是打好補丁與系統最小化服務，以減少攻擊者獲得系統管理員權限的機會。其次是增強用戶認證和訪問控制，同時正確分配文件和目錄的訪問權限，這樣即使攻擊者能利用某些系統漏洞進行校園網也很難窺視學校的相關文件和擴大自己的權限。

5.網絡信息過濾技術。當有外部網的數據要進入校園網時系統先對其進行驗證，如果是屬于違法、反動言論及色情信息時，阻擊其進入學校的網絡系統。主要是根據其內容特征及來源地址進行判斷，還可根據互聯網建立的IP地址黑名單確定是否讓其進入網絡內部。

6.安全隔離網閘技術。為了既保證學校內部計算機系統的安全，又能與外部網絡進行數據交換，需要采用以網閘為核心技術的網絡安全隔離系統。在實際運行時先切斷網絡之間的通用協議連接，將數據包分解或重組為靜態數據，再進行審查，再讓確認安全的數據流入內部單元，最后讓學校內通過嚴格身份認證的用戶獲得數據。

7.災難恢復技術。當學校的計算機系統崩潰時要把其恢復到能夠正常運行的狀態。災難恢復包括備份中心、計算機備份運行系統、可重置路由的數據通信系統、電源及數據備份等。可利用保存在磁盤上的邏輯日志及物理日志來撤消故障事務對非結構化信息所產生的影響。對于介質故障可通過非結構化信息的備份和轉儲期間的日志備份及副本中所保留的信息來恢復數據庫系統。

（五）管理與技術的結合

在校園網的安全體系建設過程中，要把管理措施與安全維護技術結合，才能達到最好的效果。在網絡的實際運行過程中所遇到的安全問題，單純從技術方面或者單從管理來著手解決都是不現實的。

在管理方面，要全面加強在校師生的網絡安全意識與知識強度。對網絡管理員要進行專業的培訓，在網絡管理員的領頭下，通過其他人的配合，可以把校園網的安全系數提高到一定強度。學校網絡中心的專業人員通過對校園網的薄弱環節與易被攻擊的部門進行重點預防，可以很大地降低校園網的風險。要注意內部不良信息的泛濫，防止內部的攻擊。隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，而這些節點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。

在技術方面，網絡管理人員在注意技術與管理相結合的同時，還要注意在網絡界所出現的最新技術、前沿科技與高科技網絡安全防護手段。關注網絡攻擊者采取的最新攻擊手段與攻擊類型。在網絡管理與維護過程中，要根據網絡環境與運行狀況不斷調整管理手段與技術組合。

四、結束語

隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務并重的帶有運營性質的網絡，校園網在學校的信息化建設中已經扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證校園網絡正常的運行且不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網絡安全問題刻不容緩。建立校園網的安全體系，要把安全技術與管理措施緊密結合起來，才能全面地對校園網進行安全維護，保證其安全與高效運行，充分發揮其教學與管理工作。

參考文獻：

[1] Eric Maiwald.網絡安全基礎教程[M].馬海軍，王澤波，等，譯.北京：清華大學出版社，2005：7.

[2] 馬建峰，郭淵博.計算機系統安全[M].西安：西安電子科技大學出版社，2007：8.

[3] 亓傳偉，劉東波，薛新慈.計算機網絡實用技術[M].北京：國防工業出版社，2007：3.

[4] 李德全，璞睿.信息系統安全事件響應[M].北京：科學出版社，2005：6.

[5] [美]Steve Wisneiwski.高級網絡管理[M].詹文軍，譯.北京：高等教育出版社，2006：6.

[6] 張國鳴，嚴體華.網絡管理員教程[M].北京：清華大學出版社，2006：6.

[責任編輯 王曉燕]