學(xué)校網(wǎng)絡(luò)安全探討

孫春艷

(湖北省恩施州衛(wèi)生學(xué)校,湖北恩施 445000)

學(xué)校網(wǎng)絡(luò)安全探討

孫春艷

(湖北省恩施州衛(wèi)生學(xué)校,湖北恩施 445000)

在信息化時(shí)代,學(xué)校網(wǎng)絡(luò)即校園網(wǎng)在各級(jí)各類(lèi)學(xué)校中的作用和地位愈來(lái)愈大,在很大程度上反映了一個(gè)學(xué)校的硬件建設(shè)情況。因此,為使學(xué)校網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn),各學(xué)校除了資金投入外,更要有專(zhuān)業(yè)的網(wǎng)絡(luò)管理人員,以保證網(wǎng)絡(luò)的合理安全利用。

學(xué)校網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 解決方案

學(xué)校網(wǎng)絡(luò)即校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。它是一個(gè)具有交互功能和專(zhuān)業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。近年來(lái)各級(jí)各類(lèi)學(xué)校大力實(shí)施現(xiàn)代化教育技術(shù)工程：以電腦網(wǎng)絡(luò)為基礎(chǔ)，以圖書(shū)館、電教中心為信息源，以數(shù)字化為模式，提高學(xué)校教育教學(xué)的檔次和質(zhì)量。現(xiàn)對(duì)學(xué)校網(wǎng)絡(luò)安全作簡(jiǎn)要分析并提出解決方案。

1 學(xué)校網(wǎng)絡(luò)安全存在的問(wèn)題

第一，不良信息的傳播。互聯(lián)網(wǎng)直接連接到每個(gè)學(xué)生宿舍和教工宿舍，網(wǎng)上的各種信息如關(guān)于色情、暴力等內(nèi)容的網(wǎng)站泛濫。

第二，計(jì)算機(jī)病毒的肆虐。由于計(jì)算機(jī)病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發(fā)現(xiàn)，并且一旦某臺(tái)機(jī)器感染病毒將迅速蔓延整個(gè)網(wǎng)絡(luò)，對(duì)校園網(wǎng)絡(luò)安全有著巨大的破壞性；同是計(jì)算機(jī)病毒的傳播方式也發(fā)生了根本性改變，它給網(wǎng)絡(luò)的安全管理帶來(lái)了很多麻煩。

第三，人為的惡意攻擊。校園網(wǎng)的開(kāi)放性及技術(shù)的公開(kāi)性，一些人為了使自己獲得某種非法利益，利用網(wǎng)絡(luò)協(xié)議，服務(wù)器和操作系統(tǒng)的安全漏洞以及管理上的疏忽非法訪問(wèn)資源、刪改數(shù)據(jù)、破壞系統(tǒng)。

第四，操作系統(tǒng)存在安全漏洞。目前使用的操作系統(tǒng)存在很多安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。許多校園網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別不同加上系統(tǒng)管理員或使用人對(duì)該系統(tǒng)了解不夠和安全設(shè)置不當(dāng)，這些都將對(duì)校園網(wǎng)絡(luò)構(gòu)成威脅。

第五，網(wǎng)絡(luò)安全意識(shí)淡薄和管理制度的不完善。校園網(wǎng)上的安全威脅也來(lái)自管理意識(shí)的欠缺，管理機(jī)構(gòu)的不健全，管理制度的不完善和管理技術(shù)的不先進(jìn)等因素。由于學(xué)校的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束學(xué)生、教工的上網(wǎng)行為。

第六，電子郵件系統(tǒng)不夠完善。電子郵件是接入因特網(wǎng)的一個(gè)不可缺少的應(yīng)用之一，同時(shí)也是病毒和垃圾的重要傳播途徑。目前，校園網(wǎng)郵件系統(tǒng)很多還是因特網(wǎng)上免費(fèi)版本的郵件系統(tǒng)，它沒(méi)有提供完善的安全保護(hù)措施，更沒(méi)有提供對(duì)用戶(hù)的來(lái)往信件進(jìn)行過(guò)濾、監(jiān)控和管理的手段。

第七，間諜軟件。間諜軟件惡意病毒代碼有進(jìn)出現(xiàn)在各種免費(fèi)軟件或共享軟件中，也會(huì)出現(xiàn)在文件共享客戶(hù)端中。它們可以監(jiān)控系統(tǒng)性能，竊取帳戶(hù)口令等信息，并將用戶(hù)數(shù)據(jù)發(fā)送給間諜軟件開(kāi)發(fā)者。

第八，僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)已成為日益嚴(yán)重的安全威脅。僵尸程序通過(guò)聊天室、文件共享網(wǎng)絡(luò)感染存在漏洞的計(jì)算機(jī)，它們難以被發(fā)現(xiàn)，而能夠遠(yuǎn)程控制被害人的計(jì)算機(jī)，然后組成僵尸軍團(tuán)對(duì)其它計(jì)算機(jī)與網(wǎng)站發(fā)動(dòng)攻擊，發(fā)送垃圾郵件或者竊取數(shù)據(jù)。

2 學(xué)校網(wǎng)絡(luò)安全解決方案

(1)規(guī)范出口的管理。學(xué)校網(wǎng)絡(luò)管理機(jī)構(gòu)必須將所有的出口統(tǒng)一管理，為安全的實(shí)施提供最基礎(chǔ)的保障。

(2)配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。加大對(duì)學(xué)校網(wǎng)絡(luò)方面的資金投入，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一的安全設(shè)備。具體包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)等。通過(guò)這些安全設(shè)備可以有效地控制病毒的入侵。

(3)構(gòu)建一個(gè)覆蓋全網(wǎng)的防病毒、查漏體系。在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段，同時(shí)應(yīng)實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。從以下幾個(gè)方面來(lái)解決：

1)架設(shè)防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟件或硬件系統(tǒng)，是一種非常有效的網(wǎng)絡(luò)安全模型。利用防火墻，一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶(hù)；二是限定用戶(hù)訪問(wèn)特殊站點(diǎn)；三是為監(jiān)視互連網(wǎng)安全提供方便。一般來(lái)說(shuō)，防火墻物理位置位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

2)建立一個(gè)有效合理的病毒防御和查殺機(jī)制。主要做法是：網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件廠家網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶(hù)端與服務(wù)器端，并自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

3)采用安全掃描技術(shù)。安全掃描技術(shù)是指手工地或使用特定的軟件工具——健全掃描器，對(duì)系統(tǒng)脆弱點(diǎn)進(jìn)行評(píng)估，尋找可能對(duì)系統(tǒng)造成損害的安全漏洞。掃描主要分為系統(tǒng)掃描和網(wǎng)絡(luò)掃描兩個(gè)方面，系統(tǒng)掃描側(cè)重于主機(jī)系統(tǒng)的平臺(tái)安分性以及基于此平臺(tái)的應(yīng)用系統(tǒng)的安全，而網(wǎng)絡(luò)掃描則側(cè)重于系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)以及相關(guān)的協(xié)議分析。

4)采用入侵檢測(cè)技術(shù)(簡(jiǎn)稱(chēng)“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。如服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。

5)解決I P盜用問(wèn)題。方法是在路由器上捆綁IP和MAC地址。

(4)建立上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)，通過(guò)內(nèi)容過(guò)濾、應(yīng)用控制、帶寬管理、網(wǎng)頁(yè)過(guò)濾、流量分樣、監(jiān)控審計(jì)等功能，實(shí)現(xiàn)上網(wǎng)行為規(guī)范管理。

(5)嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理。要解決用戶(hù)上網(wǎng)身份認(rèn)證、上網(wǎng)日志保存和查詢(xún)的問(wèn)題，最有效的解決方法就是采用集中身份認(rèn)證、集中管理監(jiān)控的方式，具體有以下兩個(gè)步驟：

第一，用戶(hù)使用網(wǎng)絡(luò)首先通過(guò)統(tǒng)一的校級(jí)身份系統(tǒng)確認(rèn)，非合法用戶(hù)無(wú)法使用校園網(wǎng)絡(luò)。

第二，合法用戶(hù)上網(wǎng)的行為受到統(tǒng)一的監(jiān)控并且上網(wǎng)行為日志集中保存在中心服務(wù)器上。

(6)改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能。

(7)采用VLAN技術(shù)服務(wù)器。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，以達(dá)到限制非法訪問(wèn)的目的。

(8)賬號(hào)和密碼保護(hù)。除管理好密碼外，對(duì)于一些不常用的賬戶(hù)要關(guān)閉，比如匿名登錄賬號(hào)等。

(9)采用網(wǎng)絡(luò)安全協(xié)議。它是在ISO七層協(xié)議中的任何一層采取安全措施。如在網(wǎng)絡(luò)層采用IPSec協(xié)議，在傳輸層采用SSL協(xié)議。

(10)Email安全措施。采用身份認(rèn)證、加密和簽名、協(xié)議過(guò)濾等措施，還可在郵件服務(wù)器上安裝郵件過(guò)濾軟件，使大部分郵件病毒在郵件分發(fā)時(shí)被分檢過(guò)濾。

學(xué)校網(wǎng)絡(luò)是否安全不僅要考察其手段，還要考慮對(duì)網(wǎng)絡(luò)所采取的各種措施，其中不光是物理防范，還有人員的素質(zhì)等其他“軟”因素，進(jìn)行綜合評(píng)估，才能得出是否安全的結(jié)論。

[1]彭文勝,毛叔平.校園信息化規(guī)劃、管理及案例[M].上海:復(fù)旦大學(xué)出版社 ,2002.

[2]張惠平.淺談高校校園網(wǎng)絡(luò)安全分析及防護(hù)策略.《網(wǎng)絡(luò)安全》,2008.9.

[3]曾振東.校園網(wǎng)網(wǎng)絡(luò)安全解決方案初探.廣東青年干部學(xué)院學(xué)報(bào),2009.

[4]段云所等.信息安全概論.