數字化校園網的安全策略研究與設計

摘 要： 數字化校園管理系統的運用，極大的提高了學校的管理效率，同時其共享與公開需求也對數字化校園的安全提出了更高的要求。由于其開放性，不可避免地會受到病毒、黑客、惡意軟件和其他不軌行為的安全威脅和攻擊整合管理，校園網數據丟失、系統被篡改、網絡癱瘓的事情時有發生，如何才能使計算機及其網絡系統資源和信息資源，不受自然和人為有害因素的威脅和危害？必須建立完善的全面的校園網絡安全策略，才能確保數字化校園安全、穩定、高效地運轉。

關鍵詞：數字化校園網；安全運行策略；研究

一、數字化校園、校園網的概念

數字化校園：即利用計算機技術、網絡通訊技術對學校教學、科研、管理和生活服務等所有信息資源進行全面的數字化，并科學規范地對這些信息資源進行最大限度的采集、傳輸、存儲、整合、利用和共享，以構成統一的身份認證、統一的數據平臺和統一的信息門戶，從而優化傳統工作流程，把學校建設成一個超越時空的虛擬大學，最終達到提高辦學質量、提高工作效率、提升核心競爭力的目標。

校園網是為學校師生提供教學、科研和綜合信息服務的寬帶多媒體網絡。第一，校園網應為學校教學、科研提供先進的信息化教學環境。這就要求：校園網是一個寬帶、具有交互功能和專業性強的局域網絡。多媒體教學軟件開發平臺、多媒體演示教室、教師備課系統、電子閱覽室以及教學、考試資料庫等，都可以在該網絡上運行。如果一所學校有多個專業學科（或多個系），也可以形成多個局域網絡，并通過有線或無線方式連接起來。第二，校園網應具有教務、行政和總務管理功能。

二、校園網網絡安全問題分析

（一）計算機系統漏洞。校園網網絡操作系統主要是WINDOWS，存在各種各樣的安全問題，服務器、操作系統、防火墻、TCP/IP協議等方面都存在大量安全漏洞。隨著時間的推移，將會有更多漏洞被人發現并利用。許多新型計算機病毒都是利用操作系統的漏洞進行傳染，如不對操作系統進行及時更新等。

（二）計算機病毒的破壞。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、校園網數據丟失、系統被篡改、甚至造成計算機和網絡系統的癱瘓，是影響校園網絡安全的主要因素。如ARP欺騙病毒、熊貓燒香病毒，網絡執行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒，表現為集體掉線、部分掉線、單機掉線、游戲帳號、QQ帳號、網上銀行卡等帳號和密碼被盜等等。

（三）來自網絡外部的入侵、攻擊等惡意破壞行為。數字化校園管理系統的運用，由于其開放性，不可避免地會受到病毒、黑客、惡意軟件和其他不軌行為的安全威脅和攻擊整合管理，網絡硬件設備受損。校園網與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。黑客也經常利用網絡攻擊校園網的服務器，以竊取一些重要信息。目前在因特網上，可以自由下載很多攻擊工具，這類攻擊工具設置簡單、使用方便，破壞力大，這意味著攻擊所需要的技術門檻大大降低。因此，一個技術平平的普通攻擊者很可能就是對網絡系統造成巨大危害的黑客。

（四）校園網用戶對網絡資源的濫用。來自校園網內部的攻擊或非正常途徑訪問或內部破壞，校園網安全管理有缺陷。實際上有相當一部分的Internet訪問是與工作無關的，有人利用校園網資源進行商業的或免費的視頻、軟件資源下載服務，甚至有的是去訪問色情、暴力、反動站點，導致大量非法內容或垃圾郵件出入，占用了大量珍貴的網絡帶寬，Internet資源嚴重被浪費，造成流量堵塞、上網速度慢等問題，而且不良信息內容也極大地危害青少年學生的身心健康。

三、保障數字化校園網安全運行的策略

（一）采用入侵檢測系統、網絡防火墻。入侵檢測系統用于網絡和系統的實時安全監控，對來自內部和外部的非法入侵行為做到及時響應、告警和記錄，以彌補防火墻的不足。入侵檢測系統通過實時監聽網絡數據流，根據在入侵檢測系統上配置的入侵模式，識別、記錄入侵和破壞性的代碼流，尋找違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問嘗試時，網絡安全檢測系統的預警子系統能夠根據系統安全策略作出反映，并通過監測報警日志對所有可能造成網絡安全危害的數據流進行報警和響應。

防火墻是用來控制信息流的設施，主要利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，根據在防火墻上配置的安全策略來控制（允許、拒絕、監測）出入網絡的信息流，同時實現網絡地址轉換、審計和實時報警功能。防火墻主要工作在交換和路由兩種模式。當防火墻工作在交換模式時，防火墻的3個接口構成一個以太網交換器，本身沒有IP地址，在IP層透明。當防火墻工作在路由模式時，可以作為內網、DMZ區和外網三個區之間的路由器，提供內網到外網，DMZ區到外網的網絡地址轉換。

（二）防止ARP的攻擊和計算機病毒的防范。E126A交換機利用該綁定信息，可以判斷用戶發出的ARP報文是否合法。使能對指定VLAN內所有端口的ARP檢測功能，即對該VLAN內端口收到的ARP報文的源IP或源MAC進行檢測，只有符合綁定表項的ARP報文才允許轉發；如果端口接收的ARP報文的源IP或源MAC不在DHCP Snooping動態表項或DHCP Snooping靜態表項中，則ARP報文被丟棄。這樣就有效的防止了非非法用戶的ARP攻擊。

計算病毒無孔不入，首先應采用預防計算機病毒為主，通過定期或不定期的自動升級，使計算機網絡免受病毒的侵襲。常見的殺毒軟件有：360安全衛士，卡巴斯基，瑞星殺毒、KV3000，NOD32，金山毒霸等。當確定計算機系統感染病毒時，選用殺毒軟件迅速清除計算機病毒，清除不了的新型病毒，可將新型病毒代碼加入殺毒軟件病毒庫中后再次查殺病毒，或上傳到殺毒網站，尋求專家建議和處理辦法。另外不訪問黃色網站，下載軟件時找正規網站下載正版軟件，特別對外來文件需要先進行病毒掃描。

（三）配置安全的系統服務器平臺，規范網絡安全管理。安全的系統服務器是網絡安全的基點，利用系統本地安全策略構建一個相對安全的防護林，對于校園網來說至關重要。具體措施包括：設置禁用，構建第一道防線；設置IIS，構建第二道防線；運用掃描程序，堵住安全漏洞；封鎖端口，全面構建防線。

建立和完善各項管理制度，并不斷創造新的管理方法，嚴格按照安全管理制度，規范操作，避免信息丟失。發現了一種新的病毒，或者是因為系統中的安全威脅的網絡安全漏洞，安全的網絡及時發送到用戶的安全注意事項，并提供各種補丁下載。此外，做好的計算機系統，網絡，應用軟件，以及各種信息和數據備份，并創建一個備份的數據庫系統。

【參考文獻】

[1]李宗峰.校園網絡安全問題及對策研究[J].網絡安全技術與應用，2009（11）

[2]趙越.高校網站建設及管理存在的問題與對策[J].產業與科技論壇.2011（02）

[3]李清平.DHCP在IPv4/IPv6雙協議棧校園網中的應用[J]..計算機技術與自動化，2012（02）