校園網(wǎng)的安全隱患及安全防范體系的建立

摘要：本文通過對校園網(wǎng)安全隱患分析的基礎(chǔ)上，提出建立校園網(wǎng)安全防范體系：以安全防范策略為核心，以物理安全為基礎(chǔ)，以安全技術(shù)作為支撐，以安全管理和安全服務(wù)為落實措施，從而實現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定地運行。

關(guān)鍵詞：校園網(wǎng) 安全防范 安全技術(shù) 運行

中圖分類號：文獻標(biāo)識碼：文章編號：

近年來，隨著高校校園網(wǎng)建設(shè)的快速發(fā)展、校園網(wǎng)規(guī)模的急劇擴大、網(wǎng)絡(luò)用戶數(shù)量快速增長以及網(wǎng)絡(luò)應(yīng)用范圍的推廣，學(xué)校對校園網(wǎng)絡(luò)的信賴越來越強，網(wǎng)絡(luò)的安全問題也就愈來愈引起人們的重視。如何保障網(wǎng)絡(luò)的正常運行、資源的合法訪問，使網(wǎng)絡(luò)免受病毒、惡意軟件和黑客的攻擊就顯得特別重要。因此，校園網(wǎng)在建設(shè)和運行過程中，必須針對不同的安全威脅，制定相應(yīng)的防范措施，確保校園網(wǎng)安全正常運行。

一、 校園網(wǎng)存在的主要安全隱患

（一） 操作系統(tǒng)漏洞

操作系統(tǒng)的安全也稱主機安全，由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而在不同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix、Windows，其安全漏洞更多。另一方面，系統(tǒng)管理員或使用人員對復(fù)雜的操作系統(tǒng)和其自身的安全機制了解不夠、配置不當(dāng)也造成了一定的安全隱患。

（二） 有害信息傳播

在校園網(wǎng)接入Internet后，上網(wǎng)用戶都可以通過校園網(wǎng)在自己的機器上進入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說危害非常大。如果安全措施不到位的話，有些學(xué)生就可能進入這些網(wǎng)站，并把這些有害信息在校園網(wǎng)內(nèi)傳播。

（三） 病毒的傳播與爆發(fā)

在網(wǎng)絡(luò)環(huán)境下，病毒無論是傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。病毒可通過電子郵件、網(wǎng)頁腳本、局域網(wǎng)和遠(yuǎn)程控制軟件進行傳播，增加了計算機感染病毒的幾率。病毒不僅破壞程序和數(shù)據(jù)，還會嚴(yán)重影響網(wǎng)絡(luò)效率，甚至造成網(wǎng)絡(luò)癱瘓，如“沖擊波”、“熊貓燒香”等病毒就曾經(jīng)造成許多校園網(wǎng)癱瘓，造成了極大的危害。

（四） 非法攻擊與非法訪問

非法攻擊與非法訪問是指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或以假冒、欺騙等手段獲得合法用戶的權(quán)限來使用系統(tǒng)數(shù)據(jù)的行為，如果學(xué)校的學(xué)籍管理、教務(wù)管理、財務(wù)管理等系統(tǒng)遭到非法攻擊與非法訪問，將會造成嚴(yán)重的后果。

（五） 惡意破壞

包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。

網(wǎng)絡(luò)設(shè)備包括服務(wù)器、路由器、交換機、工作站、電源等，它們分布在整個校園內(nèi)，管理起來比較困難。網(wǎng)絡(luò)設(shè)備的破壞是指由于人為或者其它自然不可抗力的因素，對設(shè)備造成損壞，造成校園網(wǎng)部分或者全部癱瘓。

對網(wǎng)絡(luò)系統(tǒng)的破壞是指利用黑客技術(shù)對校園網(wǎng)造成破壞，主要表現(xiàn)在：對校園服務(wù)器發(fā)送大量垃圾包使網(wǎng)絡(luò)陷入癱瘓；對校園網(wǎng)站進行攻擊；利用校園網(wǎng)服務(wù)器轉(zhuǎn)發(fā)各種非法、有害信息等。(1)

二、 校園網(wǎng)的安全防范體系

校園網(wǎng)安全防范體系的建立，是以安全防范策略為核心，以物理安全為基礎(chǔ)，以安全技術(shù)作為支撐，以安全管理和安全服務(wù)作為落實措施，并且通過安全培訓(xùn)以加強校園網(wǎng)用戶的安全意識和法律責(zé)任。在完成安全防范體系的建設(shè)后，必須經(jīng)常對此系統(tǒng)進行及時的維護和更新，才能保證安全防范體系有序地工作，確保它的安全性和高效性。

（一）安全防范策略

安全防范策略規(guī)定了校園網(wǎng)絡(luò)中心的安全目標(biāo)、能夠承受的安全風(fēng)險、實現(xiàn)完善的安全審計和取證機制，保證了受到入侵后有證可查，有章可循。建立安全的預(yù)警系統(tǒng)，能夠抵御較高水平的黑客攻擊，保護對象的安全優(yōu)先級等方面的內(nèi)容。(2)

（二）物理安全對策

制定此對策的目的是在于保護校園網(wǎng)中的服務(wù)器、路由器、交換機等網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊，并建立完善的管理制度，防止破壞、偷竊等現(xiàn)象的發(fā)生，同時要確保計算機網(wǎng)絡(luò)系統(tǒng)有一個良好的電磁兼容環(huán)境，以及防塵、防火、防潮、防雷等安全環(huán)境。

（三）網(wǎng)絡(luò)安全技術(shù)

1. 防火墻、入侵檢測、安全審計等硬件技術(shù)及防病毒軟件技術(shù)。

根據(jù)校園網(wǎng)的結(jié)構(gòu)特點及面臨的安全隱患，通過防火墻、入侵檢測、安全審計、網(wǎng)絡(luò)殺毒軟件，實現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求，為校園構(gòu)建統(tǒng)一、安全的網(wǎng)絡(luò)。

防火墻是網(wǎng)絡(luò)安全的屏障，它能極大地提高一個內(nèi)部網(wǎng)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險，因此要對防火墻進行全面、規(guī)范、合理的配置。在防火墻之后架設(shè)入侵檢測和安全審計系統(tǒng)，對網(wǎng)絡(luò)活動進行實時檢測，由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵檢測系統(tǒng)和安全審計系統(tǒng)是防火墻的延續(xù)，它們可以和路由器配合工作。

在病毒的控制方面，學(xué)校可以采取中央集中控制管理的模式，在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的服務(wù)器，統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機。在各主機節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。在網(wǎng)絡(luò)中心控制臺統(tǒng)一進行定時殺毒并定時升級、更新。

2. VLAN（虛擬局域網(wǎng)）劃分。

VLAN將整個校園網(wǎng)絡(luò)劃分為若干個不同的廣播域，實現(xiàn)校園網(wǎng)內(nèi)部的一個網(wǎng)段與其它網(wǎng)段的隔離。這樣，不僅能夠抑制網(wǎng)絡(luò)廣播風(fēng)暴，而且能夠防止一個網(wǎng)段的安全問題傳到其他網(wǎng)段。

3. IP/Mac/地址與端口綁定。

在交換機上或防火墻上將用戶的IP地址、Mac地址和端口綁定，從而限制一個IP地址在校園網(wǎng)內(nèi)只能有一臺計算機上網(wǎng)。這樣可以有效地防止用戶盜用IP地址進行非法訪問和網(wǎng)絡(luò)攻擊，同時也便于網(wǎng)絡(luò)管理員追蹤、查找網(wǎng)絡(luò)攻擊源和日志審計。

4. 數(shù)據(jù)加密技術(shù)。

數(shù)據(jù)加密技術(shù)作為主動網(wǎng)絡(luò)安全技術(shù)，是提高網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性，防止秘密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段，是許多安全措施的基本保證。加密后的數(shù)據(jù)能保證在傳輸、使用和轉(zhuǎn)換時不被第三方獲取。

5. 系統(tǒng)備份鏡像技術(shù)。

網(wǎng)絡(luò)系統(tǒng)的備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進行備份，以便在網(wǎng)絡(luò)遭受到破壞時，快速、全面地恢復(fù)網(wǎng)絡(luò)系統(tǒng)的運行。核心設(shè)備的備份主要包括核心交換機、核心路由器、重要服務(wù)器等，采用的主要手段是雙機熱備份，當(dāng)其中一臺設(shè)備出現(xiàn)故障時，自動切換到備份設(shè)備，恢復(fù)網(wǎng)絡(luò)的正常運行。數(shù)據(jù)信息備份包括對網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份，數(shù)據(jù)備份包括“熱備份”和 “冷備份”兩種策略。即在線備份和不在線備份(3)

（四）網(wǎng)絡(luò)安全管理和安全服務(wù)

安全管理貫穿整個安全防范體系，是整個安全系統(tǒng)的核心，安全不是簡單的技術(shù)問題，三分技術(shù)，七分管理。安全管理不僅是行政意義上的安全管理，更主要的是對安全技術(shù)和安全防范策略的管理，必須要做到及時進行漏洞修補和定期巡檢，以及升級、更新等，保證對網(wǎng)絡(luò)的監(jiān)控和管理。安全服務(wù)是對校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和計算機系統(tǒng)分布，實施全面的網(wǎng)絡(luò)安全網(wǎng)絡(luò)風(fēng)險評估服務(wù)，定期對各個方面進行安全隱患分析，提出安全性整改建議并付諸實施。

（五）網(wǎng)絡(luò)安全培訓(xùn)

用戶的安全意識是整個網(wǎng)絡(luò)系統(tǒng)是否安全的決定因素，因此對用戶的安全培訓(xùn)是整個網(wǎng)絡(luò)安全系統(tǒng)中重要和不可缺少的一部分。

三、 結(jié)束語

校園網(wǎng)的安全是一項復(fù)雜的系統(tǒng)工程，不可能只依靠一種措施來保證安全，安全防范體系的建立也不是一勞永逸的，校園網(wǎng)絡(luò)自身的情況不斷發(fā)生變化，新的安全問題不斷出現(xiàn)，必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題，不斷對體系及時進行更新和維護，并把各種安全措施有機結(jié)合起來，加之合理的運用，同時還必須有完善的安全管理規(guī)章制度和切實可行的安全組織，才能有效地實現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定地運行。

參考文獻：

(1）霍明星，劉振海.校園網(wǎng)安全策略分析及防范措施 [J].教育信息化，2006，（6）P24-25

(2）張明.校園網(wǎng)安全防御對策研究 [J].教育信息化，2006，（5） P24-25

(3）姜開達(dá).上海交大六大措施保障網(wǎng)絡(luò)安全 [J]. 中國教育網(wǎng)絡(luò)，2006，（10）P49-50

（作者單位：三門峽職業(yè)技術(shù)學(xué)院電化教育與計算機中心）