校園網絡安全分析與防范對策探析

梁國標

摘要：近年來，校園網得以如火如荼地發展，貫穿于學校教學、管理、科研以及對外宣傳交流等環節之中，是學校重要的組成部分之一。與此同時，網絡中的各種不安全因素也在時刻威脅校園網的健康發展。本文主要分析當前校園網絡存在的安全隱患，探討利用網絡安全技術建立完備的校園網安全防護體系，做好防范，確保校園網絡信息的安全。

關鍵詞：校園網絡 網絡安全技術 安全隱患 防范對策

一、網絡安全的概述

網絡安全是指確保整個網絡系統的保密性、完整性以及可用性，簡而言之也就是保證網絡系統的正常運行。但因看待網絡安全的角度不同，其所對應的“含義”也會有一定的差異。一般而言，所謂的網絡安全是指確保傳輸網絡信息的真實性、完整性以及機密性，具體包括如下幾方面。

一是安全的系統運行。這里主要包括處理信息安全和信息傳輸系統安全，具體要考慮以下環節：立法落實計算機系統機房環境以及整個傳輸環境的保護；以安全的角度設計計算機結構，確保硬件系統以及應用軟件、計算機操作系統等的正常運行；避免泄露信息，保證數據庫的安全性。

二是網絡信息系統。其又可以分為：鑒別用戶口令，控制、存取控制用戶權限，存限數據權限，跟蹤安全問題，審計安全以及防治計算機病毒，加密數據等等。

三是傳輸信息安全。其主要可分為過濾不良信息及信息過濾，即確保整個傳播信息后果的安全性。

四是網絡信息內容。其主要以捍衛用戶的利益、隱私為主旨，強調信息保護的完整性、真實性以及機密性，也可以理解為狹義意義上的“信息安全”。

二、校園網絡安全的現狀分析

同任何網絡一樣，校園網也時刻受制于安全威脅，其危害具體而言主要體現在數據信息以及網絡設備的危害，這直接影響著學校教學管理的正常運行。當前，校園網絡常見的安全威脅隱患有以下幾方面。

1.計算機系統軟件漏洞

目前，校園網網絡主要使用windows操作系統，不可否認的是系統中隨時都有可能出現或這或那的安全隱患，特別是防火墻、服務器以及操作系統、TCP/IP協議等相關方面。而軟件以及操作系統等存在漏洞是新型計算機感染病毒的最主要原因，換言之如果不及時更新軟件、系統，那么極有可能演變為安全隱患。

2.計算機木馬病毒的入侵、攻擊等惡意破壞行為

一方面校園網擁有便捷的因特網服務，另外一方面由于與互聯網相連接，因此隨時都有可能受到攻擊，事實上網絡就成為了黑客獲得校園網信息的一個重要渠道。木馬病毒的存在不僅會威脅整個計算機系統的運行，并導致降低網絡效率、影響文件及系統軟軟件的正常運行，甚至有可能使得整個網絡系統陷入癱瘓狀態，嚴重影響用戶的賬號安全。總之這些因素的存在，使校園網絡安全進入岌岌可危的狀態之中，影響系統的正常使用。

3.不良網絡信息的傳播

事實上并不是所有訪問的因特網都與學習、工作有關，很多時候因特網甚至被用來下載軟件資源、視頻，或進入涉及暴力、色情等反動站點等等。由此就有可能引入大量的垃圾郵件、非法內容，使得網絡帶寬不能得到有效利用。這樣不僅有可能堵塞因特網資源，更是一種資源的浪費，影響上網速率，而這些不良信息的存在，會直接影響青少年的心志成長。

4.校園網安全管理有缺陷

計算機在校園中得到了廣泛的應用，這也意味著會有越來越多的計算機接入校園網之中，此時如果管理不當，就會引發數據損害、丟失信息、網絡受到不良攻擊甚至癱瘓等問題。與此同時，縱觀當前的校園計算機網絡不難發現，其均存在過于強調硬件投入，強調運行，而忽視軟件以及管理等方面的投入。廣大的教師、學生沒有從根本上認識到網絡安全的重要性，缺乏必要的網絡安全意識，并且錯誤地認為網絡系統僅僅是一項技術工程，未能落實完善的安全管理。學校過于強調申請分配IP、系統維護、審查系統日志等，而沒有深刻認識到網絡安全的重要性并意識到網絡安全也是一個動態的過程，其不同的狀態所需要涉及到的安全機制、防范措施等差異性，即沒有深入進行安全方面的研究。

三、校園網絡安全防范技術

為了從根本上規避減少內外因素對校園網的影響，必須落實相應的防范措施，具體而言，可從以下幾方面入手。

1.信息加密技術

從網絡信息安全的角度而言，信息加密具有非同尋常的作用。換言之也就是只有加密數據（即密文）才能確保在傳遞數據中，信息不會被惡意修改、竊取，就算數據被竊取，也無法將這些密文還原成沒有加密的數據，而接收方因為掌握密鑰，才能夠還原密文，即確保數據安全性。具體可將密碼技術分為對稱加密和非對稱加密。

2.身份認證技術

科學識別、檢驗終端用戶身份是確保系統安全的前提條件，即身份驗證。這里的身份驗證除了驗證之外，還包括識別。識別，顧名思義就是識別用戶合法性的能力；驗證，指的就是驗證訪問者的身份，防止用戶假冒。通常情況下身份認證，即避免未授權的用戶進入可充分結合以下幾大技術：生物技術、電子技術、生物技術等。認證又可分為單向認證和雙向認證，其中單向認證要求請求用戶是信任被請求用戶的；而雙向認證指的其實就是實體間的認證。身份認證的方法主要包括口令認證、智能卡認證和電子密碼認證。

3.防火墻技術

防火墻是促進網絡安全有效管理的重要組成部分，是構成網絡安全策略不可或缺的一部分，即通過監測、控制網絡信息交換，實現有效管理網絡安全，隔離內外部網，從根本上避免未級授權的第三方侵入校園網絡。具體而言防火墻的功能主要體現在以下幾大方面：過濾進、出網絡的相關數據；管理訪問進、出網絡的行為，封堵某些禁止行為；記錄防火墻的相關活動、信息內容；檢測、警告網絡攻擊行為。從技術上說主要可將防火墻技術分為硬件、軟件防火墻兩大類。其中硬件防火墻指的就是限制訪問網絡數據，訪問控制系統、集中安全管理，外網用戶訪問內網服務器等不安全訪問、服務行為。軟件防火墻的優勢主要體現為安裝方便快捷、成本低，操作簡單，契合用戶防護對信息安全、避免遭受黑客攻擊，以及監測計算機的實際運行情況等防護單機需求。

4.入侵檢測系統技術

入侵檢測系統是一種具有發現系統異常現象、未授權行為的多用于檢測計算機網絡違反安全策略的技術。具體而言的就是將入侵檢測系統安裝于主機網段上，即可實時監視主機訪問，并將相關信息反饋到控制臺，即可確保個人電腦的信息安全。當系統受到攻擊、危機時通過入侵檢測系統能夠及時進行檢測并適當采取防護策略，發揮防護系統、報警的作用，避免系統遭受攻擊；能夠減少給入侵者所帶來的損失；在攻擊入侵時，還可自動收集、添加相關信息，即可大大強化系統的防范能力。常見的檢測入侵系統的方法主要包括特征檢測、統計檢測和專家系統。

5.安全掃描技術

作為一種最為重要、主動的防范措施，安全掃描技術具有防范黑客攻擊的作用。特別是與以上四大技術的相互配合，即可形成強大的保護力，捍衛網絡安全。校園網絡管理者在掃描網絡的同時，可結合其網絡安全漏洞以及錯誤的系統配置等方法，防范黑客的攻擊行為。

四、校園網絡安全防范體系構建

安全策略是校園網絡安全的重中之重，其著重體現在安全技術和管理兩大方面，應以防護、檢測和響應為實施方法，并通過安全培訓加強所有人員的安全意識，完善安全體系環境。

1.配置高性能的網絡防火墻

防火墻即在網絡安全域以及各網絡間形成的部件組合。通常情況下可在內外部網絡之間設置防火墻。防火墻的作用主要體現在監視、拒絕應用層的通信業務，也就是發揮分析器的作用。其傳輸層主要包括網絡層、傳輸層，決定是否通過報文分組的依據啟動預先設計的過濾規則。換言之也就是要確保訪問控制策略的科學性，科學設置好防火墻，可以避免非法使用、訪問網絡資源。

2.實時更新計算機系統漏洞與殺毒軟件

Windows操作系統中存在的一些不安全組件或應用程序。一些黑客、病毒或流氓軟件會利用這些系統漏洞，繞過防火墻、殺毒軟件等安全保護，通過攻擊計算機、服務器，控制、感染計算機，并廣泛傳播。因此，我們在配合防火墻使用的情況下，實時更新系統漏洞與殺毒軟件，落實全局更新機制，充分發揮軟件漏洞更新系統的實時性、高效性，避免校園網感染病毒。

3.采用VLAN技術與配置代理服務器

運用VLAN技術為學校各部門劃分不同的安全級別，實現訪問控制。結合代理軟件配置代理服務器，將雙網卡安裝于代理服務器之上，以公網的IP作為連接外網的網卡，而連接內網的網卡則要與代理服務器、客戶機IP地址以及學生所使用的私有地址設計在同一個網段。這里的代理服務器內網IP地址實際上就是網關IP。連接互聯網，機房機器即可控制因特網用戶流量。

4.制定切實可行的網絡安全管理機制

通過全面地分析網絡的安全性，能夠大大提高校園網絡的安全性。特別是有利于促進網絡的安全管理，促使校園網絡順利運行。具體而言主要體現在：明確網絡信息安全、充分發揮信息安全管理機構的作用；充分發揮激勵制度的作用，最大限度地挖掘廣大管理員的工作熱情；強化技能及知識的培訓力度；做好基本知識的教育工作；普及、教育信息安全知識；充分發揮信息發布欄目的作用，具體可發布關于網絡病毒、法令法規以及更新操作系統下載補丁軟件等。

五、小結

校園網絡的安全問題涉及方方面面，因此必須落實動態、長期的安全防護工作。這要求學校一方面要加大對管理員網絡安全技術的培訓，另外一方面也要加大培訓網絡安全知識的力度，強化操作技能、網絡安全意識，明文規定完整的規范制度，為校園網絡的健康運行保駕護航，更好地服務于教學、管理工作。總之防范校園網絡安全要從技術、設備以及管理等方面入手，任重而道遠。