中學校園網絡安全管理經驗談

☆ 劉有長

（中山大學附屬中學三水實驗學校，廣東佛山 528145）

中學校園網絡安全管理經驗談

☆ 劉有長

（中山大學附屬中學三水實驗學校，廣東佛山 528145）

一、引言

隨著中學校園網絡應用的不斷深入，校園網上各種應用和信息急劇增多，網絡用戶數量的成倍增加，網絡的安全問題也不斷暴露出來，如何保障中學網絡的正常運行、確保資源的安全訪問，避免校園網絡遭受病毒、惡意軟件和黑客的攻擊就顯得十分重要。

中學校園網絡在建設和運行的過程中，必須針對不同的安全威脅，采用不同的網絡安全管理方法，制定相應的安全防范措施，確保校園網絡的正常工作。中學校園網絡安全管理主要包括兩方面：一方面是針對校園網絡實體的物理安全管理，另一方面是針對網絡信息的邏輯安全管理。

二、物理安全管理

1.防靜電管理

靜電是由物體的摩擦或電子設備感應而引起的，產生靜電后的電子設備元件極易吸附灰塵，導致設備加速老化或出現故障，校園網絡的電子設備應配備良好的接地系統避免靜電，同時，應將容易生產靜電的設備分開安裝，防止由于靜電放電損壞校園網絡設備的線路板。

2.防雷擊管理

校園網絡設備采用大規模集成電路芯片，其耐過電壓，過電流的能力極低，要防止其遭到雷擊。因此，應根據被保護設備的特點和雷電侵入的不同途徑，對于校園網絡的中心機房和一般設備，采取相應的防護措施，分類分級保護。

3.防電磁泄露管理

校園網絡中電子設備工作時會產生電磁波，這些電磁信號可被高靈敏度的接收設備接收并進行分析、還原，造成信息泄露。防電磁泄露的常用方法有三種：一是抑制電磁波發射；二是屏蔽隔離電磁波；三是對電磁波進行相關干擾。

4.防火管理

火災一般是由于電氣原因，人為或外部火災蔓延引起的，應經常檢查校園網絡的設備，以及校園網絡各種電路的安全性，做好各種防火措施。

5.防盜管理

校園網絡設備被盜造成的損失可能遠超過計算機本身的價值，計算機中重要信息的丟失是無法復制恢復的，應采取嚴格的防范措施，對于重要的計算機系統及外部設備，可安裝防盜報警裝置及制定相應的安全保護措施。

三、邏輯安全管理

1.防病毒管理

計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質或程序里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。在中學校園網絡條件下計算機病毒除了具有可傳播性、可執行性、破壞性等共性外，還具有傳播性強、擴散面廣、傳播的形式復雜多樣等一些新的特點。

中學校園網預防病毒的措施主要是備份重要數據、安裝殺毒軟件、為操作系統打上補丁、及時關注流行病毒以及下載專殺工具、注意使用電腦時候的異常情況、注意定期掃描系統病毒、建立有效的計算機病毒防護體系。

中學計算機校園網絡預防病毒的方法主要有三種：一是軟件防治病毒，通過定期或不定期地利用反病毒軟件檢測計算機的病毒感染情況；二是在計算機上安插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對計算機的運行速度有一定的影響；三是在網絡接口卡上安裝防病毒芯片。上述三種方法，都是防病毒的有效手段，應根據網絡的規模、數據傳輸負荷等具體情況確定使用哪一種方法。

中學校園網絡防病毒的管理，首先應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度，對網絡系統的管理員加強法制教育和職業道德教育，規范工作程序和操作規程，對校園網絡普通用戶，尤其是對學生用戶應進行思想教育，培養他們正確使用校園網絡的好習慣，樹立起校園網絡防病毒的觀念。我們應該注意定期掃描系統，在上網時避免訪問非正規的網站及下載文件，在收到帶有附件的電子郵件時，應該先對附件進行病毒掃描確保安全后再打開。

2.防火墻管理

防火墻工作方式是將校園內部網絡與外部網絡（如互聯網）之間或者內部不同網段間互相隔離，通過訪問控制的方式來保護內部網絡。防火墻最常見的應用是用來防止外部網絡（如互聯網路）上的危險（非法訪問和攻擊等）傳播到需要保護的內部校園網絡，也可能在校園網絡內部為了保護一些關鍵部門而設置內部網絡防火墻。

防火墻有多種形式，有以軟件形式運行在普通計算機之上的，也有以固件形式設計在路由器之中的。目前，防火墻主要有三類：包過濾防火墻、應用代理型防火墻和狀態監測型防火墻。包過濾型防火墻對用戶來說是透明的，處理速度快而且易于維護。應用代理型防火墻比包過濾更為可靠，但對用戶不透明。狀態監測型防火墻非常堅固，但它會降低網絡的速度，而且配置也比較復雜。

中學校園網防火墻的管理有自己的原則，校園網與普通企業上網不同，因為一般企業上網主要是“防外”，防止互聯網上的黑客對內部網絡的攻擊，而安裝在校園網上的防火墻，既要有“防外”的功能，又要有“防內”的功能。所謂“防內”，是因為學生中有不少網絡愛好者，在好奇心的驅使下或者是為了滿足某種單純的心理需要，會從互聯網上下載黑客工具，不顧后果的對校園網內部網絡進行攻擊，特別是對學校內部某些可能存放著重要資料的服務器進行攻擊，使學校的校園網絡遭受到不必要的損失。所以，設置校園網防火墻一方面要建立合理有效的安全過濾原則，對網絡數據包的協議、端口、源／目的地址、流向進行審核，嚴格控制內網用戶的非法訪問。對于校園的一些WEB服務、FTP服務和Email等公共服務，可以利用防火墻建立DMZ（非軍事化區）進行防護。

3.VPN管理

VPN是慮擬專用網，它是利用公共網絡基礎設施，通過“隧道”技術、加密技術、認證技術和訪問控制等手段為我們提供了一種通過公用網絡安全地對內部專用網絡進行遠程訪問的連接方式，達到與專用網絡類似的安全性能。使用者可以非常安全地傳輸重要信息和數據，而不必擔心會被攔截，從而輕松實現互聯網絡辦公現代化。

VPN的主要目的是建立一種靈活、低成本、可擴展的網絡互連手段以替代傳統的長途專線連接和遠程撥號連接，但同時VPN也是一種實現校園網絡內部網安全隔離的有效方式。其優點是：其一，成木低。VPN在設備的使用量上比專線方式的架構節省，故能使網絡的總成本降低。其二，良好的安全性。VPN架構中采用了多種安全機制，如隧道、加密、認證、數字簽名等技術，確保資料在公眾網絡中傳輸時的安全。其三，網絡架構彈性大。VPN的平臺具備完整的擴展性，從大學校園網絡的設備到小學幼兒園校園網絡的設備，甚至個人撥號用戶設備，均可被包含在整體的VPN架構中，以致他們可以在任何地方，都可以通過Internet訪問校園網絡的內部資源。

筆者所在校坐落于廣東佛山三水逕口華僑經濟區內，而中山大學附屬中學位于廣州市，每個校區都有自己獨立的校園網絡，通過光纖接入互聯網絡，提供的公共網絡服務有電子郵件服務、WEB服務、DNS域名服務、多媒體視頻點播等。為了加強兩校區的合作，開展教學和科研的聯合辦公，考慮到校園網絡的安全因素，我們采用了VPN技術，采用Intranet VPN的模式來實現兩校區的互聯。對于在校外需要訪問學校內部網絡的用戶，包括教師在線辦公和學生在線學習，我們采用 Remote Access VPN的模式來實現。

4.VLAN管理

VLAN是一種將局域網（LAN）設備從邏輯上劃分成多個網段（或者說是更小的局域網），從而實現虛擬工作組（單元）的數據交換技術。

VLAN在校園網絡中心交換機的實現方法，可以大致劃分為六類：①基于端口的VLAN，可以防止非法入侵者從內部盜用IP地址；②基于MAC地址的VLAN，這種方式的VLAN的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN；③據協議類型來劃分VLAN，這對網絡管理者來說很重要；④根據IP組播的VLAN，即認為一個IP組播組就是一個VLAN；⑤按策略劃分的VLAN，基于策略組成的VLAN能實現多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網絡層協議等；⑥按用戶定義、非用戶授權劃分的VLAN。

對校園網絡劃分VLAN的好處主要有二個：第一，控制廣播風暴，一個VLAN就是一個邏輯廣播域，通過對VLAN的創建，可以控制廣播風暴的產生。第二，提高網絡整體安全性，通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網絡的整體性能和安全性。

中學校園網絡劃分VLAN的管理，主要考慮計算機網絡，視頻監控網絡的安全運行，以及各部門和各處室的信息安全，提高校園網絡的性能，實踐中對學生計算機機房，學生電子閱覽室等場室劃分不同的VLAN，可以提高校園網絡的安全級別。

5.IDS管理

IDS是入侵檢測系統，就是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

IDS在校園網絡的使用和管理，大多數的入侵檢測的接入方式都是采用 pass－by方式來偵聽網絡上的數據流，所以，這就限制了IDS本身的阻斷功能，IDS只有靠發阻斷數據包來阻斷當前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎之上就無能為力了。因為，防火墻的策略都是事先設置好的，無法動態設置策略，缺少針對攻擊的必要的靈活性，不能更好地保護網絡的安全，所以，需要建立IDS與防火墻的聯動機制，其目的就是更有效地阻斷所發生的攻擊事件，從而最大程度保障校園網絡的安全。

四、結束語

中學校園網絡是一個復雜的網絡環境，我們要根據實際情況，針對不同的網絡結構和不同的網絡應用，采用不同的網絡安全管理方法，構建一個綜合立體的安全校園網絡環境，在采取安全防范措施的同時，還必須有完善的安全管理規章制度和切實可行的安全管理機構，才能有效地實現校園網安全、可靠、穩定的運行，為學校的信息化建設保駕護航。

[1]張治元.校園網安全威脅及其應對策略探討.長沙通信職業技術學院學報,2004,(04).

[2]馬駿,周君儀.淺談校園網網絡安全及防范技術.廣西輕工業, 2007,(09).

[3]周莉.談校園網的建設與安全管理.電腦知識與技術(學術交流), 2007,(16).

[4]趙建偉.淺談校園網安全管理.科技信息(科學教研),2007,(25).

[5]弋建偉.淺析校園網安全.陜西師范大學學報(哲學社會科學版), 2007,(S2).

[6]王峻,劉定富.校園網的安全問題及防護措施.軟件導刊,2007, (16).

劉少穎]