高校校園網絡安全策略分析

王　濤

[摘要]高校校園網絡在校園管理、日常教學等方面的重要性不言而喻，隨著高校規模的擴大，其校園網絡已顯得日趨重要。分析目前高校校園網絡所存在的安全隱患，并就如何提高校園網絡的安全性提出一些安全策略。

[關鍵詞]網絡安全 校園網 策略

中圖分類號：G47文獻標識碼：A文章編號：1671－7597（2009）0510174－01

一、引言

隨著校園網應用的深入，校園網安全問題越來越被人們重視。在校園網的建設中一般都最先應用最先進的網絡技術，網絡應用普及，用戶群密集而且活躍，安全問題非常突出，安全管理更為復雜，因此穩定的網絡和計算機系統成為教育信息化的重要保障，網絡及信息安全也成為高校關注焦點之一。

二、高校校園網所存在的隱患

校園網的功能架構大致可以分為對內部分，對外部分和網絡管理部分。對內主要包括教學局域網、圖書館局域網、辦公自動化局域網的建設，對外主要實現校園網與Internet的基礎接入。當前，高校校園網絡普遍的安全隱患和漏洞有以下幾種：

（一）操作系統的安全缺陷。目前使用的網絡操作系統都存在安全漏洞，近年來的沖擊波、震蕩波就是利用微軟操作系統的漏洞進行攻擊的。Unix操作系統的遠程過程調用RPC軟件包中包含具有緩沖區溢出缺陷的程序，容易為入侵者提供溢出攻擊。此外，操作系統還存在著隱蔽通道、天窗等不可避免的安全問題。

（二）計算機病毒的威脅。計算機病毒是校園網安全最大的威脅，由于計算機病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發現，并且一旦校園內某臺機器感染病毒將能迅速蔓延整個網絡，對校園網絡安全有著巨大的破壞性。近年來的“CIH病毒”以及“愛蟲病毒”、“震蕩波”等網絡病毒對全球計算機網絡造成了極大的破壞和嚴重的經濟損失。

（三）惡意攻擊。高校學生對新鮮事物充滿好奇同時又具備一定的能力，部分學生使用BT軟件下載文件，對服務器造成威脅；部分對黑客技術感興趣的學生可能會利用網絡獲得的知識來攻擊校園網絡，校園網內針對QQ的黑客程序隨處可見。

（四）用戶管理方面的問題。網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅。隨著校園內計算機應用的大范圍普及，接入校園網節點日益增多，學生通過網絡在線看電影、聽音樂、使用BT軟件下載，很容易造成網絡堵塞和病毒傳播。而這些節點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。

三、校園網絡系統安全的解決途徑

針對常見的校園網安全威脅，建立有效的安全策略迫在眉睫，只有建立一套解決校園網安全威脅的整體解決方案，才能保證校園網的安全運行，筆者根據自己的實踐經驗，總結出幾種安全對策：

（一）運用防火墻技術。防火墻是構建整個網絡安全體系的核心，它位于內部網和外部網之間，成為內外網之間的一道牢固的安全屏障。

若校園網不加防范地連入Internet，很容易受到入侵者的攻擊，嚴重時會導致網絡的癱瘓。防火墻分離可信任的校園內部網和不可信的公共網，是不同網絡之間信息的唯一出入口。能根據學校的安全政策控制（允許、拒絕、監測）出入網絡的信息流，具有較強的抗攻擊能力。

校園網防火墻系統的設計常使用代理服務器屬于應用層防火墻，它連接外部網與內部網充當防火墻，因為校園網內的機器不直接與Internet相連，客戶機的內部資源不會受到侵犯，同時，又可在代理服務器上控制內部網客戶機對Internet資源和服務的訪問。

（二）入侵檢測系統。對于校園網而言，不但要防御外部的攻擊還要考慮內部的攻擊。但是，防火墻畢竟只是被動防御，因此必須還應該采用入侵檢測系統（IDS）。IDS所采用的不是被動防御的策略，而是主動監視、檢測和識別正在進行的或已經成功的入侵行為，并及時報告給網絡管理者。但是單靠入侵檢測系統自身，只能及時發現攻擊行為，但卻無法阻止和處理。所以，讓IDS與防火墻結合起來互動運行，防火墻便可通過IDS及時發現其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網絡的攻擊行為進行阻斷。這樣就可以大大提高整體防護性能并解決上述問題。IDS與防火墻有效互動就可以實現一個較為有效的安全防護體系，解決了傳統信息安全技術的弊端，解決了原先防火墻的粗顆粒防御和檢測系統只發現難響應的問題。

（三）網絡殺毒軟件。從網絡管理和病毒監控的角度來說，校園網宜選用網絡版防病毒軟件。因為網絡版防病毒軟件的管理功能更強大，網絡管理員只要及時在服務器端進行升級，客戶端啟動后就可以自動升級，網管員還可以對所有安裝客戶端的計算機進行病毒監控、遠程殺毒，及時了解校園網中病毒疫情。

（四）運用虛擬局域網技術。VLAN(Virtual Local Area Network)即虛擬局域網，是一種通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。

VLAN技術的核心是網絡分段，根據不同的部門及不同的安全機制，將網絡進行隔離，可以達到限制用戶非法訪問的目的。采用交換式局域網技術組建的校園網絡，可以運用VLAN技術來加強內部網絡管理。

（五）管理方面的提高。校園網各機房和各業務部門機房都要有專門的管理員負責其網絡安全問題，并建立完善的管理制度。對學生開放的機房，要安裝機器還原卡，減少外來感染機會，控制和監視每臺機器的下載文件，控制不良信息的傳播與網絡聊天，加強密碼的管理。對于各業務部門機房要嚴格實行崗位責任制，對應用系統重要數據的修改要經過授權，并登記日志。

四、結束語

校園網安全是一個動態的發展過程，應該是檢測、監視、安全響應的循環過程。只有全面了解校園的網絡狀況，以及網絡安全中存在的軟、硬件差異，才能因地制宜地制定安全策略，并實施網絡改造，在實施有效的技術手段的同時，配合完善的安全管理策略，提高安全管理人員的素質，落實安全管理制度，并加強對上網用戶的安全知識及相關安全法規的培訓。

參考文獻：

[1]閆宏生，計算機網絡安全與防護[M].電子工業出版社，2007.

[2]梁亞聲，計算機網絡安全教程[M].機械工業出版社，2008.

[3]Chris Brenton著，馬樹奇、金燕譯，網絡安全從入門到精通[M].電子工業出版社.

作者簡介：

王濤，男，漢族，湖南城市學院計算機系助教，研究方向：可信系統與網絡安全。