中小學校園計算機網絡安全與防范

◆周凱文

(山西省晉中市教育局)

中小學校園計算機網絡安全與防范

◆周凱文

(山西省晉中市教育局)

當今社會已步入網絡時代，計算機網絡深入到了社會生活的各個領域，以計算機網絡為基礎的現代信息技術教育已在我國中小學校得到了普及和快速發展，在網絡信息化技術在校園得到廣泛應用的同時，校園網絡安全的重要性也日趨顯現，本文正是從此問題出發，針對對目前校園網絡在管理和使用上的常見安全問題和漏洞進行分析，指出常見的攻擊手段和需采取的防護措施。

計算機網絡 問題 措施

一、前言

校園網絡作為學校的基礎設施和學校教育信息化的主要載體與媒介，是日常教學管理和與外界互通交流的重要渠道，它為在校師生提供著教學、科研、管理的平臺，校園網絡安全的重要性毋庸置疑，如何維護與防范校園網絡安全業已成為廣大學校網絡管理員所關注的熱點。

二、校園網絡安全存在的問題

從學校校園網絡服務的對象和運行的環境來看，校園網絡所存在的問題也具有鮮明的特點。主要表現在：

1.內部網絡系統防護措施不嚴密，系統存在非法越權訪問現象。雖然中小學校內部網絡系統一般不存放涉密數據，所以來自外部互聯網之上的威脅不多，因此，許多校園網絡系統管理員沒有針對網絡系統的訪問權限做出嚴格的限定，但同樣的安全隱患也正存在于網絡內部，如某些考試資源服務器，網站數據庫服務器等，有些學生為了獲取某些考試答案而攻擊服務器，當中也有一些黑客技術愛好者使用一些木馬軟件進行漏洞掃描攻擊。

2.某些系統使用率低，疏于管理，漏洞偏多。校園網絡中存在一些長時間不用或使用率較低的系統，由于使用率低，無人關注，管理員很少對其進行監視和管理，隨著運行環境的不斷變化和外界技術的逐漸進步，這類系統自身存在的程序漏洞也日漸增多，許多網絡攻擊者正是利用疏于管理的軟件漏洞作為切入點，采取旁注式攻擊，進而控制整個服務器，滲透進入到校園內部網絡實施攻擊行為。

3.網絡設備在策略配置上存在缺陷，無法真正有效的過濾掉攻擊行為。校園網絡安全與防范不僅僅是網絡安全硬件的簡單堆砌，許多學校投入財力，購買大量網絡安全設備，只經過簡單配置或直接以默認配置就投入運行使用，其實其中存在大量安全隱患，每個網絡環境依據其運行對象與組成架構都有其獨特的安全防護重點，而各學校網絡管理員一般由學校信息技術學科教師兼任，在忙于教務的同時，疏忽了對網絡設備的配置使用進行精細化管理，這樣許多網絡設備的安全配置工作就由外包服務商來完成，但由于外部人員往往不可能根據學校網絡運行的特點與運行的業務需求進行細化配置，就可能會存在疏漏之處，在日后的網絡運行中可能會帶來安全漏洞。例如，某些網絡設備的IP訪問策略、判斷攻擊行為規則、網絡訪問控制規則等。

4.校園網絡使用者安全意識淡薄，導致應用系統從內部感染病毒。就目前來看，許多中小學校的師生、網絡管理員的網絡使用行為還不規范，網絡安全問題未能引起重視，有些教師、學生在內部網絡上網時，訪問不良網站、隨意復制程序文件等行為較為普遍，有些網絡服務器甚至存在一機多用的現象，服務器操作系統由于其用途和特性的不同，決定了其特殊性，例如，如果使用者安裝了某些聊天工具、網絡軟件、遠程共享軟件，就可能導致服務器主動開放一些易受攻擊的端口(如135、139、445、3389等)，從而使系統被攻擊的可能性增大。

三、校園網絡安全的防范措施

目前，比較成熟穩定的網絡安全技術產品有：硬件防火墻、入侵檢測系統(intrusion detection system，簡稱“IDS”)、入侵防御系統(IPS)、網絡殺毒軟件、上網行為管控、數據云備份、VPN、VLAN、地址綁定等，但網絡安全技術不僅僅是硬件產品的簡單堆砌，它應當包括從應用系統到網絡訪問、從硬件設備到使用服務的一個整體性、體系性的有機結合。

1.在校園網絡出口合理布置防火墻網關

防火墻位于計算機和所連接的網絡之間，所有經流的網絡通信都要經過網絡防火墻，防火墻會對此進行掃描并對其中非法數據包進行過濾攔截，網絡管理員還可以根據網絡使用的需要通過防火墻關閉一些不用的端口，屏蔽一些指定的IP地址的通信請求。

根據用戶的需求和群體特性進行網絡劃分VLAN，VLAN(Virtual Local Area Network)的中文名為"虛擬局域網"，在傳統的網絡結構中，所有的用戶同處一個網絡環境，這必然會造成網絡性能的下降，管理的混亂和不便，所以我們就要對其進行分域劃分管理，VLAN是一組存在于邏輯上的用戶與設備，經過網絡管理員的組織劃分，可以將學校內部諸如不同地理位置的教室、網絡功能室、辦公室根據使用者的群體對其進行歸類劃分，與傳統的局域網絡技術相比，它具有靈活度高、使用成本低、可控性高、安全性強的特點。

2.通過地址綁定技術，運用訪問控制系統實現信息智能化過濾。校園網絡中使用度較高的群體是學生，而學生使用網絡的場所一般在于計算機網絡教室、圖書館、宿舍等。通過IP地址和MAC地址的綁定，既可以避免IP地址的盜用，也可以避免ARP病毒和攻擊行為，同時也可配合網絡攻擊監控日志對攻擊來源做出判斷和定位，在上網行為控制策略中可限定網絡使用者的訪問站點范圍，使用的端口等。

3.增強服務器安全配置，杜絕漏洞掃描攻擊。服務器是校園網絡運行的核心設備，也是黑客們攻擊的青睞對象，一般直接與外部網絡交流的服務器受到攻擊的幾率更高，例如web服務器，大多數學校門戶網站服務器應用系統與數據庫都安裝在同一臺服務器之上，運行的網站內容管理系統(CMS)種類繁雜，有相當部分的CMS系統源程序編寫不夠嚴謹，存在缺陷，攻擊者可通過諸如SQL注入、網站目錄掃描、弱口令破解、上傳木馬提權等攻擊行為對門戶網站進行控制，這種情況下，就需要網絡管理者做好服務器的安全配置，對網站程序存在的注入漏洞進行查漏填補，例如，一些文本輸入框、文件上傳服務、用戶登錄入口等，通過網站信息發布服務(IIS、Apache等)進行發布后，由于缺乏對用戶提交的查詢字符串中的危險字符進行過濾，造成某些攻擊者可利用SQL命令進行查詢，從而對網站數據庫構成直接威脅，獲取管理員帳號并進一步獲取系統控制權限(webshell)。系統管理員需要對系統關鍵部位做好安全防護，如注冊表SAM目錄的權限控制，利用操作系統自帶的安全策略，對遠程端口訪問、IP訪問、數據庫進程權限、上傳目錄文件執行權限做出嚴格細致的限定。

4.制定科學的網絡安全訪問策略。這里所說的策略，是指網絡管理員根據服務器運行的應用系統特性，利用服務器自帶的管理工具創建出的一系列訪問控制措施。解決校園網絡安全并不只是在互聯網與內網之間放置一個防火墻就高枕無憂，還需要我們來加強系統本身的強壯度，關閉“后門”和遺漏，關閉不必要的端口服務可以保護網絡安全，有的校園網絡部署有內部DNS服務器，為多個應用系統提供二級域名服務，基于域名服務的重要性，一般不推薦與其他系統共用服務器，這時我們就要根據DNS服務的特性，只開放53端口，在系統防火墻中將其設為例外或在路由器中只映射53端口。比如，網站服務器所使用的端口為80端口(以IIS為例)，我們在制定該服務器的安全策略時可以選擇只開放80端口，關閉掉其余無用的端口服務，如郵件服務smtp的25端口，ftp服務的21端口。

5.建立網絡安全制度保障，增強運維人員技術水平。校園網絡的安全問題不僅要部署網絡安全防護設備，更需要建立嚴格的網絡安全管理制度，需要網絡用戶自覺遵守，人人維護網絡安全，人人注意網絡安全，隨著現代教育技術在校園中的廣泛應用，校園網絡的規模必將不斷擴大，網絡安全問題也變得更加重要，因此，作為學校網絡管理員就要不斷學習安全防護知識，增強網絡安全意識。