中職校園網的安全問題與防范策略

王慧琳

中職校園網的安全問題與防范策略

王慧琳

隨著互聯網的迅速發展與普及，網絡已經成為人們獲取信息和資源的重要途徑，其應用也越來越廣泛。校園網的網絡安全已經成為當前各職業院校網絡建設中不可忽視的首要問題。基于當前職業院校網絡安全的現狀及特點分析，提出對應的控制策略和措施。

中職；校園網；安全問題；防范策略

校園網作為重要的基礎設施，承擔著職業院校教學、科研、管理和對外交流等諸多功能，在學校數字信息化建設中起著決定性的地位。隨著近幾年職業教育的高速發展，職業院校內的校園網也隨之蓬勃發展，但校園網安全問題也越來越嚴重。如何確保校園網絡正常安全地運行是職業院校所面臨的主要問題。

一、中職校園網的安全問題

影響校園網安全運行的因素很多，既有來自校園網內部，也有來自其他網站或外部環境的影響。校園網安全問題主要表現在以下幾個方面。

（一）用戶規模大而活躍

由于中職校的特殊性，校園網用戶群體一般量比較大，人員結構復雜，居住密集。隨著各種論壇、在線影視以及P2P的廣泛應用，校園網帶寬被嚴重消耗，網路擁擠，從而使正常業務得不到保障。一旦感柒和傳播蠕蟲病毒或受到ARP攻擊，必將造成大面積的用戶癱瘓。[1]此外，個別學生追求刺激，喜歡在網絡中嘗試冒險，對黑客技術充滿了好奇，常有意無意地竊取、修改或者刪除數據庫中的重要內容，給整個網絡造成嚴重的危害。

（二）系統管理復雜

校園網用戶是全校師生，整個網絡中計算機系統的購置和管理情況非常復雜。學生和教師的電腦一般都是自己購買、維護，種類繁雜，各種盜版系統、盜版軟件橫行，所有的端系統缺乏統一的安全策略（安裝防病毒軟件、設置可靠的口令等）。這就造成了校園網安全防御困難，易受攻擊，隨時可能出現病毒泛濫、數據損壞、信息丟失、系統癱瘓等嚴重后果。

（三）各類攻擊不斷

網絡安全的主要威脅可以分為外部入侵和內部攻擊兩種形式，校園網大多數的攻擊來自局域網的內部，而防火墻系統主要防范外部攻擊，對此幾乎無能為力。

某些惡意用戶利用校園網內郵件服務器系統的缺陷，對郵件服務器進行攻擊。通過大量發送垃圾郵件，造成郵件服務器阻塞，增大校園網流量，甚至導致系統崩潰。還有用戶對校園網的服務器和網絡設備進行掃描和攻擊，造成網絡負載過重，致使服務器拒絕提供服務。校園網中較易受攻擊的應用服務器主要是DNS服務器和Web應用服務器，目前針對DNS服務器的攻擊主要有兩類：一類是緩存區中毒，另一類是域劫持。Web應用服務器比較脆弱，很多Web應用程序具有嚴重的安全漏洞，因此，極易受到惡意用戶的攻擊。

（四）硬件管理困難

校園網的網絡交換設備一般都安裝在校園建筑內，散布于整個學校，很難進行全天候監護，由此帶來的設備故障、自然損壞或人為破壞等因素，導致校園網硬件設備的管理比較困難。

二、中職校園網的防范策略

（一）采用安全認證

針對目前動態分配IP地址帶給校園網的不安全性，采用對校園內所有用戶進行身份認證，不僅對內部師生綁定IP與用戶身份，而且對外來用戶采用申請臨時賬號，防止其它非法接入。目前主流的網絡接入認證方式有很多，如PPP0E認證、MAC認證、WEB認證、802.1x等。其中802.1X認證方式作為新推出的國際標準的安全認證協議，正越來越引起廠商和運營商的重視，隨著更多的接入設備對該標準的支持，該認證方式也會得到越來越多的應用。[2]

（二）采用入侵防御系統

網絡安全防范中，傳統的方法是利用入侵檢測系統（IDS,IntrusionDetectionSystem）對網絡傳輸進行即時監視，發現可疑傳輸后發出警報或者采取主動反應措施，從而達到限制這些活動，以保護系統的安全。這種方法雖然可以部分地解決系統的安全問題，但其較為被動，難以從根本上避免黑客的攻擊。于是，入侵防御系統（IPS,Intrusion PreventionSystem）應運而生。IPS則是一種主動的、積極的入侵防范、阻止系統，它串聯在網絡上（類似于通常所說的網橋式防火墻），對防火墻所不能過濾的攻擊進行過濾。當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。這樣一種過濾模式，就可以更大限度地保證系統的安全。

（三）采用防火墻技術

防火墻是一種按某種規則對專網和互聯網,或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制，從而阻斷不希望發生的網絡間通信的系統。防火墻保護校園網內網不被非授權用戶訪問，控制互聯網用戶對網站系統的訪問。目前技術最為復雜且安全級別最高的防火墻是隱蔽智能網關，它將網關隱藏在公共系統之后使其免遭直接攻擊。

同時，管理人員要根據實際情況對防火墻安全策略進行不斷更新和完善，如定期進行端口掃描，及時發現非法的服務或系統響應；對與防火墻相連的所有網段的每個主機(包括防火墻)進行掃描，并且把發現結果同基于策略的預期結果進行對照。還要求維護人員根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則，嚴格禁止來自公網對校園內部網不必要的、非法的訪問,以保證防火墻的有效性,從而達到網絡的長期安全。[3]

（四）運用Vlan技術

采用交換式局域網技術的校園網，可以運用Vlan技術來加強內部網絡管理。Vlan技術的核心是網絡分段，根據不同的應用業務或不同的安全級別，將網絡分段并進行隔離，并對相互間的訪問加以控制，從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段，各網段相互之間無法直接通信。邏輯分段則是指將整個系統在網絡層上進行分段。例如，對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法。

（五）對重要數據及時進行備份，做好應急預案

校園網內部存在著非常重要的信息，必須及時對這些信息進行完整的備份與及時的更新，以便在出現問題的情況下迅速恢復。備份既包括對校園網重要數據的備份，也包括對核心設備和線路的備份。對于校園網內部的核心線路，應該保持完備和做出適當的備份，進而在一些線路出現問題的情況下，可以及時采用備份線路來維持整個校園網的正常工作。[4]另外，做好應急預案也是保障校園網安全的重要一步，一旦校園網出現故障，就應立即啟動相應的應急預案，進而將校園網的破壞減少到最小。

（六）網絡殺毒軟件的安裝

為防止使用盜版軟件帶來的各種安全隱患，校園網內計算機必須統一安裝正版網絡殺毒軟件，設置自動更新機制，及時的更新病毒庫，防止最新型的病毒攻擊。

（七）加強設備的管理

加強對散布于校園各處的網絡設備的監護，防止設備的自然損毀或人為破壞，其中最基本的就是為機房、網絡布線、供電等環節提供嚴格的安全保障。建立起一整套嚴格的校園網安全管理制度和一支具有安全管理技術和意識的網絡隊伍，還必須利用一切機會如新生入學教育和新員工上崗培訓，開展校園網安全意識和基本技能的培訓。

隨著校園網的普及，校園網會發揮出越來越重要的作用，同時，各種新的校園網安全問題也會不斷產生。由于系統和軟件本身的局限性和計算機網絡的開放性，不論怎么防范都不可能徹底消除所有網絡系統的安全隱患，只有加強自身的安全意識，切實多措并舉保證校園網安全，避免非法用戶的訪問以及黑客的惡意攻擊等，才能保證校園網獲得健康、高速的發展。

[1]陳開張.淺談解決校園網安全問題的幾種方法[J].信息與電腦，2012（2）：24.

[2]謝家立.劉瑾.校園網安全規劃與管理[J].信息安全與技術,2012（3）：31-33.

[3]任利峰.校園網絡安全問題分析與對策[J].吉林農業科技學院學報,2009（2）：68-69.

[4]陳梁.關于高校校園網安全管理和維護的研究[J].中國建設教育,2011（1）：67-69.

[責任編輯 秦濤]

王慧琳，女，山西陽泉交通職業中專學校講師，主要研究方向為計算機與信息技術。

G710

A

1674-7747（2012）20-0040-02