中小學校園網安全探索與實踐

◆付振峰

(山東省日照市莒縣第一中學)

隨著因特網的日益普及，普通中小學建設自己的校園網已成為大勢所趨。應發展需要，我校建設了自己的校園網。可學校沒有專業網絡安全保障團隊，如何保證校園網的安全已成為校園網建設與使用中的難題。在建網之初，我接過了規劃與維護校園網的重任，通過著自己不斷地學習、探索與實踐，使學校網絡運行保持安全穩定。現將探索與實踐的收獲總結出來與各位同仁探討，以求拋磚引玉。

一、校園網安全面臨的威脅

校園網建成后，特別是接入因特網后，面臨多方面的威脅，概括起來主要有:網絡設備的威脅、人為的無意失誤、惡意攻擊的威脅和軟件漏洞的威脅。

具體威脅有:網絡中的路由器、防火墻等設備本身是否預留后門或安裝竊聽裝置，其是否可靠對網絡的威脅;地震、雷擊等自然災難對網絡設備的威脅;操作員安全配置不當造成的安全漏洞;操作員安全意識不強，不慎重地選擇用戶口令，或將自己的賬號隨意告訴他人或與他人共享等都會對網絡安全帶來威脅;惡意攻擊是計算機網絡所面臨的最大威脅;網絡自身在操作系統、數據庫以及通信協議等方面存在著安全漏洞和隱蔽信道等不安全因素;網絡軟件也不可能百分之百的無缺陷和無漏洞。而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客侵入網絡內部的事件，大部分就是安全措施不完善招致的苦果。

二、校園網安全策略探索與實踐

要保證校園網安全，首先應確定網絡安全保護工作的目標和對象，即校園網安全策略。網絡安全應包括:設備安全、用戶安全、數據安全和軟件系統安全。即保證網絡設備運行可靠，在發生自然災難或遭到硬摧毀時仍能不間斷運行，具有容災抗毀和備份恢復能力;保證接入網絡的用戶是可信的，用戶接入網絡應嚴格受控，上網必須登記并許可，防止惡意用戶對網絡系統的攻擊破壞;保證在網絡上傳輸、處理、存儲的數據是可信的，防止搭線竊聽、非授權訪問或惡意篡改;保證軟件系統安全可信，沒有預留后門或邏輯炸彈。

校園安全是校園網安全的前提與保障。確保校園安全，就要先做好校園防盜、防雷和用電安全。重要網絡設備還要安裝不間斷電源和穩壓設備，做到不間斷穩定運行。校園網接入因特網后，黑客泛濫問題是校園網安全面臨的最大難題。為了消除隱患，保證校園網的安全，我主要進行了以下探索與實踐:

1.嚴格規范的接入管理

保證校園網安全首先要保證接入網絡的用戶是可信的，這包括校園網內部用戶和訪問校園網的用戶。校園網內部用戶接入網絡應嚴格受控，上網必須登記并許可，防止惡意用戶對網絡系統的攻擊破壞;對從因特網訪問校園網的用戶，要驗證用戶的身份和權限、防止用戶越權操作，以保證網絡資源不被非法使用和訪問，防止惡意用戶對網絡系統進行攻擊破壞。在實踐中，我們執行入網登記制度，給每臺入網計算機分配固定IP地址，并在路由器上做好IP地址與MAC地址綁定，然后再配合賬號認證對接入用戶進行實名登記，確保每個入網用戶都是可信的。

2.部署防火墻和上網行為管理路由器

首先在校園網最前端部署防火墻，用來在校園內網和公網的通信通道上建立一個訪問控制點，限制和控制校園網和外網之間的相互訪問。其次在辦公區、教學區和生活區的網絡連接處各部署上網行為管理路由器來認證接入用戶和控制訪問權限，確保訪問安全通暢。

3.設置VLAN劃分IP子網

除了防止外來黑客攻擊之外，校園網內部的訪問控制也極為重要，特別是辦公區、教學區和生活區網絡間的訪問控制。設置VLAN劃分IP子網是解決內部安全問題的一個有效方法。

IP子網一般基于VLAN劃分，即一個VLAN分配一個IP子網。我將整個校園網劃分成教學、生活和辦公三個子網，即三個VLAN。從網絡角度看各個子網內部可以實現無控制的資源共享，子網間通信必須通過第三IP包的源地址和目的地址及端口號、協議等決定轉發或丟棄該包，從而達到控制子網間訪問的目的。

4.確保計算機系統安全

入網的每臺計算機都要安裝殺毒軟件，做好病毒防治工作。該項工作首先由入網用戶選擇安裝高安全性能的殺毒軟件，如360殺毒、金山毒霸等，并對該軟件進行及時地升級與更新，使用最新的病毒庫定期對系統進行掃描，以防范和在第一時間內消滅病毒。其次要安裝漏洞修復軟件，定期掃描系統，及時封堵操作系統和應用軟件的安全漏洞。我校現主要通過單機病毒防治與漏洞修復來保證各計算機系統安全，有條件時將會考慮使用網絡版軟件統一管理，對整個網絡安全進行全面防御。

5.做好服務器安全管理

校園網中的各類服務器是學校資源中心，必須保證其安全穩定可靠。我在學校的各類服務器上安裝了服務器安全狗，定期進行服務器體檢、漏洞修復、賬號優化、目錄權限優化、系統服務優化、注冊表優化和垃圾清理等操作，隨時進行最全面、最便捷的服務器系統優化。服務器安全狗還可以進行文件目錄守護、賬號保護和遠程桌面保護，有效防止黑客提權和登錄服務器遠程桌面。

學校網站是學校在因特網上的名片，為保證網站內容安全可靠，我在網站服務器上安裝了網站安全狗，它可以對網站進行全方位一體化防護，查殺網頁木馬、網頁掛馬、網頁黑鏈與畸形文件，保護網站免受注入、網馬、危險組件、惡意程序執行等一系列攻擊侵害。

三、結束語

隨著信息社會的迅速發展，網絡和信息的安全問題將越來越受到人們的重視。各類中小學應增強安全意識，多花點精力和資金投入到校園網的安全建設中，防止黑客進出我們的校園網。我們相信，通過各種政策法規和防范策略的制定與實施，因特網定將健康發展和不斷完善，必將給中小學的校園網建設和運行帶來安全的曙光。

［1］公安部公共信息網絡安全監察局，中國計算機學會計算機安全專業委員會.信息網絡安全保護工作知識手冊.2002.

［2］張金峰.對當前計算機信息網絡安全問題的幾點思考［J］.網絡安全技術與應用，2001，(1).