校園網安全策略分析

鞠　芳

[摘要]網絡安全管理是網絡管理的重中之重，特別是學校校園網的安全直接關系到教育教學活動的正常進行，必須引起人們的高度重視。對安全問題的來源進行分析，有針對性地預防，可以提高校園網的安全水平。

[關鍵詞]網絡安全 病毒 防火墻 入侵檢測

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0220045－01

校園網作為數字化信息的最重要的傳輸載體，在學校建設和管理中發揮著日益重要的作用，對提高學校的管理水平和教學質量都具有十分重要的意義。但是，隨著校園網規模日趨擴大、應用環境日趨復雜，校園網絡安全事故時有發生。因此，如何防范校園網絡安全事故，保證校園網高效穩定地運轉，就成為各學校越來越重視的問題。

一、網絡安全的概念

國際標準化組織(ISO)對計算機系統安全的定義是：“為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。”由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。

二、目前校園網絡的安全現狀

（一）操作系統的安全問題。目前，被廣泛使用的網絡操作系統主要是UNIX、WINDOWS和Linux等，這些操作系統都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新，彌補漏洞，計算機即使安裝了防毒軟件也會被感染。

（二）病毒的破壞。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓，是影響校園網絡安全的主要因素。

（三）口令入侵。為管理和計費的方便，學校為每個上網的老師和學生分配一個賬號，并根據其應用范圍，分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容或將上網的費用轉嫁給他人，用不正常的手段竊取別人的口令，造成了費用管理的混亂。

（四）不良信息的傳播。在校園網接入Internet后，師生都可以通過校園網絡在自己的電腦上進入Internet。目前Internet上各種信息良莠不齊，有關色情、暴力內容的網站泛濫。這些信息違反了道德標準和有關法律法規，對世界觀和人生觀正在形成的學生來說，危害非常大。

三、校園網信息安全對策

（一）設置防火墻。防火墻是網絡安全的屏障。一個防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。在防火墻設置上可按以下原則配置來提高網絡安全性：（1）根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。（2）將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外攻擊。（3）在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。（4）定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。（5）允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

（二）架設入侵監測系統(IDS)。在許多情況下，由于可以記錄和禁止網絡活動，所以入侵監測系統是防火墻的延續。它們可以同防火墻和路由器配合工作。

IDS掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。IDS是被動的，它監測網絡上所有的數據包。其目的就是捕捉危險或有惡意動作的信息包。IDS能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。

（三）漏洞掃描系統。采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據。要求每臺主機系統必須正確配置，為操作系統打夠補丁、保護好自己的密碼、關閉不需要打開的端口。例如：如果主機不提供諸如FTP、HTTP等公共服務，盡量關閉它們。

（四）部署網絡版殺毒軟件。最理想的狀況是在整個局域網內杜絕病毒的感染、傳播和發作，為了實現這一點，應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時，為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。在學校網絡中心配置一臺高效的Windows2000服務器安裝一個網絡版殺毒軟件系統中心，負責管理校園網內所有主機網點的計算機。在各主機節點分別安裝網絡版殺毒軟件的客戶端。安裝完殺毒軟件網絡版后，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網時也能夠定時進行對本機的查殺毒。

（五）制度化管理。

1．制定并嚴格執行各種管理制度。安全管理制度的制定必須能隨著計算機應用、網絡性能及安全需求的變化而變化，要容易適應、容易修改和升級。

2．建立以學校網絡中心為主的計算機網絡安全應急體系，各部門設立專門的計算機網絡安全員。各安全員應及時向網絡中心匯報所發現的情況，以便及時處理。

3．實行管理員分級管理制度，由總管理員分配各部門的網絡管理員的管理權限。

4．建立用戶入網申請、登記制度，對上網的用戶建立檔案，記錄訪問日志，以便加強管理。

四、結束語

校園網絡的安全問題，不僅是設備，技術的問題，更是管理的問題。對于校園網絡的管理人員來講，一定要提高網絡安全意識，加強網絡安全技術的掌握，注重對學生教工的網絡安全知識培訓，而且更需要制定一套完整的規章制度來規范上網人員的行為。

參考文獻：

[1]蔣先華、許以臣等，校園網絡組應用，北京：科學出版社，2003.

[2]黃曉紅，校園網信息系統的安全性分析，廣東輕工職業技術學院學報，2003.

[3]任紅衛、鄧飛其，計算機網絡安全主要問題與對策.網絡安全技術與應用，2004.