校園網安全策略的分析與探討

黃麗芬

（廣西工業職業技術學院建筑工程系，廣西 南寧 530001）

如何讓校園網能正常運行，為師生與行政管理人員的工作、學習提供優質服務，并確保網絡中的重要信息與數據的保密性與安全性，是校園網絡管理中不容忽視的環節。本文針對校園網絡的特點，對網絡的實際安全狀況和應用進行全面的分析，設計并制定了安全防范策略。

1 校園網安全策略的原則

校園網安全策略，是針對校園網安全而制定的一整套規則和決策，網絡的安全策略可以說是在一定條件下的成本和效率的平衡[1~2]，雖然網絡的具體應用環境不同，但在制定安全策略時，應遵循一些總的原則。

（1）適應性原則。制定的安全策略，必須是和網絡的實際應用環境相結合的，例如校園網的開放環境，就必須允許匿名登錄，而一般的企業網絡的安全策略，可能不允許匿名登錄。對于具體網絡的安全策略，應從實際情況出發，根據自身的特點，制定出有針對性的切實可行的安全措施。

（2）動態性原則。安全策略又是在一定時期采取的安全措施。由于用戶在不斷增加，網絡規模在不斷擴大，網絡技術本身的發展也很快，而安全檢查措施是防范性的，持續不斷的，所以制定的安全檢查措施，必須不斷適應網絡發展和環境的變化。

（3）簡單性原則。網絡用戶越多，網絡拓樸越復雜，采用的網絡設備種類和軟件種類越多，網絡提供的服務和捆綁的協議越多，出現安全漏洞的可能性就越大；出現安全問題后，找出問題原因和責任者的難度就越大。

（4）系統性原則。網絡安全管理是一個系統化的工作，必須考慮到整個網絡的各個方面。也就是在制定安全策略時，應全面考慮網絡上各類用戶、各種設備和各種情況，有計劃有準備地采取相應的策略。

以下的安全策略，是筆者根據所在的學院的具體環境和現有條件所制定的，是一種小型校園網的安全策略。校園網的網絡結構模型如圖1所示。

圖1 校園網絡結構圖

2 安全策略的制定

2.1 技術安全策略

（1）關閉不必要的服務和服務端口。端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障[3]，端口配置正確與否，直接影響到主機的安全，很多黑客攻擊程序，是針對特定服務和特定端口的，為了降低遭受黑客攻擊的危險，應該關閉那些不必要的服務和服務端口。例如：如果學校不對外提供網絡服務的話，則代理服務器應將所有對外的端口關閉，否則只開放相應的端口；而對內則僅開放一些必須的服務端口，例如DNS服務端口UDP 53、HTTP服務端口TCP 80、FTP服務端口TCP 21、SMTP服務端口TCP 25、POP3服務端口TCP 110等。根據需要，可限制教學子網上的學生機上網，或對訪問的站點作出限制，或禁止與正常教學無關的服務。

（2）規劃網絡隔離。其一，內外網之間的隔離。通過代理服務器實現了校園網和Internet的有效隔離。網絡使用代理服務器訪問Internet，不僅可以降低訪問成本，而且隱藏了內部網絡的規模和特性，加強了網絡的安全性。從綜合性能上考慮，我校使用了Win Route作為代理服務器軟件，實現通過一個IP地址供全校用戶訪問Internet。通過代理服務器提供防火墻動態包過濾功能，對穿越代理服務器的信息流進行全面的控制。可以讓過濾機制動態決定，哪些數據包得以穿越代理服務器進入校園網，供內部網應用服務使用；也可以手動配置數據包過濾器，指定允許透過代理服務器的數據包類型。而采用在需要網絡通信時自動打開端口，通信結束時立即關閉端口的方式。校園網在Internet上顯露的出入端口數量被減少到最低程度，安全性大大提高。

其二，辦公子網和教學子網的隔離。為了便于安全管理，合理分配IP地址資源，把校園網劃分為教學子網和辦公子網。從以上的網絡結構模型可看到，從物理上把教學網和辦公網單獨配置為一個子網，通過兩級交換機與服務器相連。其中教學子網配置有域控制器/文件服務器、WEB/FTP服務器、郵件服務器等，辦公子網則配置有域控制器/文件服務器、數據庫服務器等。由各域控制器充當DHCP服務器角色，分別負責本子網的IP地址分配工作，并通過域模式實現用戶與資源的管理。辦公子網主要面向學校的各級領導及各職能部門，能夠實現對網絡數據的查詢、修改、添加、刪除等操作。教學子網的用戶主要是學生，主要面向教學，能夠根據專業教學要求，實現教育資源的合理配置和充分利用。

（3）使用雙向NAT（網絡地址翻譯轉換）技術。利用雙向NAT轉換技術，在內部網絡通過內部網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，使其和端口通過外部網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過外部網卡訪問內部網絡時，其并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。

學院目前上Internet的途徑，是采用ADSL方式，對外只有一個合法的IP地址。通過采用上述的NAT技術，實現了全校所有計算機的正常Internet訪問。

（4）目錄和文件安全控制。校園網絡管理員為不同的用戶設置不同的權限。為了控制服務器上用戶的權限，同時也為了預防可能出現的入侵行為，必須非常小心地設置目錄和文件夾的訪問權限。如對于提供給學生訪問的資源，就必須把權限嚴格限制在正常的教學需要范圍內。

（5）用戶操作權限控制。分配各種用戶權限，用戶只能在授權范圍內進行訪問。網絡管理員根據訪問權限，將用戶分為：

特殊用戶——包括網絡管理員的對網絡、系統和應用軟件服務有特權操作許可的用戶；

普通用戶——指那些由網絡管理員根據實際需要，為其分配操作權限的用戶，如教師和學生。

（6）數據備份。對校園網的重要信息進行備份。人員的錯誤操作、設備的物理損壞、以及意外故障的發生，都會造成系統癱瘓，甚至使網絡數據信息無法恢復，給學校造成重大損失。根據學校的具體情況，采用軟件自動及手工備份方式，并使用硬盤和可刻錄光盤等介質實施數據的備份。

（7）防病毒。建立防病毒中心服務器。在服務器上安裝殺毒軟件網絡版的系統中心控制臺，負責管理整個校園網的防病毒。安裝客戶機與服務器防病毒軟件，通過防病毒系統中心控制臺，設置校園網中的每臺用戶機殺毒軟件網絡版的客戶端。在中心控制臺上，對所有客戶機進行定時查殺毒的設置，使在沒有聯網時，也能夠定時查殺本機病毒。為了安全和管理方便，設置防病毒系統中心服務器自動定期到相關網站獲取最新的升級文件，并自動將最新的升級文件分發到所有客戶端和服務端，自動對殺毒軟件網絡版進行更新。

2.2 管理策略

為了確保網絡的安全，除了采用各種技術手段外，還應從管理上采取有效的措施。制定一套嚴格的規章制度并切實執行，對確保網絡的安全，將起到十分有效的作用。網絡安全管理策略的內容，包括確定安全管理的范圍、制定各種安全管理制度，以及一旦出現問題時，采取的各種應急措施等。

（1）物理安全。保護計算機網絡系統的所有硬件基礎設施免受自然災害、人為破壞。機房按有關的安全標準構建，安裝防盜、防火報警系統，安裝防雷電系統等安全設施。以確保財產安全。

（2）規章制度。學院針對不同的用戶制定各種規章制度，來規范網絡用戶特別是網絡管理員的工作及行為，明確其權利和義務。如安全消防制度、機房管理制度、上機人員守則等。

（3）網管員用戶分組管理與訪問控制。網管員按任務的不同，分成若干用戶組，不同的用戶組，有不同的權限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權使用網絡管理系統。

（4）監控。針對近年來學生素質普遍不高，機房設備往往受到損壞的情況，實施現場實時監控，并保存記錄。出現問題時，可通過記錄核實情況并及時作出有效的處理，有效地增大了安全系數。

3 結束語

本文主要從技術和管理兩個方面，闡述了校園網的安全策略，先進的安全檢查技術，是信息安全的根本保障，用戶應對自身面臨的威脅進行風險評估，根據安全服務的種類，選擇相應的安全機制，然后集成先進的安全技術。

[1]蔡慧萍.影響校園網安全的幾個因素及常見防范措施[J].江西師范學院學報，2003，10(5)：26-28.

[2]雷崢嶸，吳為春.校園網的安全問題及策略[J].計算機應用研究，2003，3(3)：130-132.

[3]郭拯危，閔 林.校園網安全策略的設計[J].河南大學學報（自然科學版），2003，3（32）：23-28.