中職校園網(wǎng)絡(luò)安全分析與對(duì)策

周新偉

摘要： 目前，中職學(xué)校校園網(wǎng)絡(luò)的安全問題越來越突出。本文分析了中職學(xué)校校園網(wǎng)安全的現(xiàn)狀、隱患、防范措施等，對(duì)如何加強(qiáng)校園網(wǎng)絡(luò)安全這一問題作了探討。

關(guān)鍵詞： 中職學(xué)校校園網(wǎng)安全問題防范措施

一、引言

校園網(wǎng)是指通過網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議，以及各類系統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)集成在一起，用于科研、教學(xué)、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。隨著各校“校校通”工程的深入實(shí)施，很多中職學(xué)校組建了自己的校園網(wǎng)，學(xué)校網(wǎng)絡(luò)化、教育信息化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育發(fā)展方向。但是，網(wǎng)絡(luò)應(yīng)用往往存在很大的安全隱患，其中校園網(wǎng)的安全問題日漸突出。本文針對(duì)諸暨市職教中心校園網(wǎng)面對(duì)的一系列的安全問題，分析中職校園網(wǎng)的安全措施。

二、學(xué)校網(wǎng)絡(luò)現(xiàn)狀

我校的計(jì)算機(jī)網(wǎng)絡(luò)主要由以下幾部分構(gòu)成。

（一）學(xué)校骨干網(wǎng)絡(luò)。采用華為Quidway S6502和華為AR28-31路由器構(gòu)成核心層網(wǎng)絡(luò)，通過光纜外接諸暨教育城域網(wǎng)，內(nèi)接各樓宇的接入層交換機(jī)H3C 3100，實(shí)現(xiàn)了以千兆為主干，百兆到桌面的校園網(wǎng)，全校共建有網(wǎng)絡(luò)信息節(jié)點(diǎn)2000多個(gè)。

（二）學(xué)校業(yè)務(wù)網(wǎng)絡(luò)。學(xué)校各個(gè)職能部門所使用的應(yīng)用系統(tǒng)，主要有業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、其他支撐系統(tǒng)等。

（三）辦公OA網(wǎng)絡(luò)。分布于學(xué)校的各地，辦公PC可能位于不同的VLAN中，每個(gè)VLAN通過路由網(wǎng)關(guān)，可以實(shí)現(xiàn)辦公網(wǎng)絡(luò)的互聯(lián)互通。

全網(wǎng)通過VLAN技術(shù)對(duì)整個(gè)校園網(wǎng)進(jìn)行網(wǎng)絡(luò)劃分及管理，以有效控制網(wǎng)絡(luò)安全及網(wǎng)絡(luò)流量。在網(wǎng)絡(luò)安全方面，配置了防火墻、IDS入侵檢測(cè)系統(tǒng)、防毒軟件、垃圾郵件網(wǎng)關(guān)等安全設(shè)備，構(gòu)成了透明的安全的網(wǎng)絡(luò)環(huán)境。

三、校園計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患

學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻，學(xué)校如何既能保證網(wǎng)絡(luò)的安全運(yùn)行，又能提供豐富的網(wǎng)絡(luò)資源，滿足辦公、教學(xué)學(xué)生上網(wǎng)等多種需求，成為了一個(gè)難題。校園網(wǎng)絡(luò)存在的安全隱患主要集中在以下幾個(gè)方面。

（一）用戶網(wǎng)絡(luò)安全意識(shí)淡薄，管理制度不完善。

學(xué)校師生對(duì)網(wǎng)絡(luò)安全意識(shí)淡薄，隨意使用U盤、移動(dòng)硬盤、手機(jī)等存儲(chǔ)介質(zhì)；師生無法唯一識(shí)別上網(wǎng)身份，不能有效地規(guī)范和約束師生的非法訪問行為；學(xué)校機(jī)房使用頻繁，登記管理制度不健全；缺乏統(tǒng)一的網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理混亂；用戶對(duì)網(wǎng)絡(luò)資源濫用，利用免費(fèi)的校園網(wǎng)提供大容量的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用。

（二）計(jì)算機(jī)病毒泛濫，影響用戶的使用和信息的安全。

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染，危害極大。感染計(jì)算機(jī)病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況。師生對(duì)文件下載、電子郵件接收、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序，具有傳染性、隱蔽性、復(fù)制性、破壞性等特點(diǎn)。它的破壞性是巨大的，一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)，只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒，就會(huì)堵塞出口，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。從近幾年的CIH病毒、ARP病毒等的爆發(fā)事件中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。

（三）外來的系統(tǒng)入侵、攻擊等惡意破壞行為。

目前，校園網(wǎng)已經(jīng)逐漸被某些黑客納入攻擊視野，一些學(xué)生對(duì)“黑客”充滿好奇心和挑戰(zhàn)性，從因特網(wǎng)上找到一些攻擊軟件，往往把學(xué)校網(wǎng)絡(luò)當(dāng)做嘗試攻擊的目標(biāo)。開放的校園網(wǎng)絡(luò)碰上一些破壞性強(qiáng)的軟件，其后果可想而知。

（四）網(wǎng)絡(luò)軟件系統(tǒng)的漏洞。

網(wǎng)絡(luò)軟件系統(tǒng)不可能百分之百無漏洞和無缺陷，從網(wǎng)絡(luò)上隨意下載的軟件中很有可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。以往多次出現(xiàn)的黑客攻入Internet的事件，大部分就是安全措施不完善導(dǎo)致的苦果。

四、學(xué)校網(wǎng)絡(luò)安全解決方案

我根據(jù)校園網(wǎng)絡(luò)面臨的安全問題，結(jié)合我校校園網(wǎng)的特點(diǎn)，因地制宜，提出以下校園網(wǎng)絡(luò)安全的解決方案。

（一）建立完善的網(wǎng)絡(luò)管理制度。

安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)。根據(jù)學(xué)校實(shí)際情況，對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)，制定相關(guān)的網(wǎng)絡(luò)安全管理制度。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作，對(duì)學(xué)校相關(guān)專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)，提高網(wǎng)絡(luò)安全的警惕性和自覺性，并安排管理人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。

（二）采用入侵檢測(cè)技術(shù)。

入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱IDS，是一種網(wǎng)絡(luò)安全系統(tǒng)，是防火墻合理的補(bǔ)充。當(dāng)有攻擊者試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能夠檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警，通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊，IDS收集入侵攻擊的相關(guān)信息、記錄事件，也會(huì)自動(dòng)阻斷通信連接，重置路由器、防火墻，也會(huì)及時(shí)發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，大大提高了網(wǎng)絡(luò)的安全性。

在校園網(wǎng)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，需要從兩方面著手：基于網(wǎng)絡(luò)的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)。（1）我校校園網(wǎng)分為多個(gè)網(wǎng)段，基于網(wǎng)絡(luò)的入侵檢測(cè)一般只針對(duì)直接連接網(wǎng)段的通信，不檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包，因此，在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對(duì)每個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接。（2）在重要的主機(jī)上（例如www服務(wù)器、郵件服務(wù)器）安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接，以及系統(tǒng)審計(jì)日志進(jìn)行職能分析和判斷，如果其中主體活動(dòng)十分可疑，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。基于主機(jī)入侵的系統(tǒng)除了可以指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事，例如，他們打開了哪些文件，運(yùn)行了什么程序，執(zhí)行了哪些系統(tǒng)調(diào)用等，提供較詳盡的相關(guān)信息。基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御系統(tǒng)不全面。但是，它們的缺憾是互補(bǔ)的，在網(wǎng)絡(luò)中采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，就會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

（三）安裝防火墻。

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的，也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻從原理上可以分為兩大類：包過濾（packet filtering）型和代理服務(wù)（Proxy service）型。根據(jù)我校現(xiàn)在的具體情況，可以采用如下的防火墻配置方案。

在系統(tǒng)中使用兩個(gè)包過濾網(wǎng)關(guān)（可以稱為包過濾防火墻），在內(nèi)部網(wǎng)絡(luò)和外界Internet之間隔離出一個(gè)受屏蔽的子網(wǎng)DMZ區(qū)，代理服務(wù)器、E-mail服務(wù)器、各種信息服務(wù)器（包括Web服務(wù)器、FTP服務(wù)器等），以及其他需要進(jìn)行訪問控制的系統(tǒng)都放在DMZ中。

在外部路由器上設(shè)置一個(gè)包過濾網(wǎng)關(guān)，它只讓與DMZ中的代理服務(wù)器、郵件服務(wù)器、Web服務(wù)器有關(guān)的數(shù)據(jù)包通過，其他所有類型的數(shù)據(jù)包都被丟棄，從而把外界Internet對(duì)DMZ的訪問限制在特定的服務(wù)器的范圍內(nèi)。內(nèi)部路由器上的包過濾網(wǎng)關(guān)也一樣，通過配置，做到只有DMZ中的代理服務(wù)器、郵件服務(wù)器和Web服務(wù)器是外界可以看到的，外界無法知道其他系統(tǒng)的存在，無法通過他們的名字直接訪問它們。

（四）防治網(wǎng)絡(luò)病毒。

校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟硬件的維護(hù)制度，定期對(duì)各工作站進(jìn)行維護(hù)，對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染和傳播，學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段，在服務(wù)器和各辦公室、工作站上安裝網(wǎng)絡(luò)版的殺毒軟件，對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)，定時(shí)升級(jí)軟件并查毒殺毒，使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。

（五）設(shè)置口令加密和訪問控制。

校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證，加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控和對(duì)用戶的管理。網(wǎng)管理員對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、防火墻、交換機(jī)、服務(wù)器的配置均要設(shè)口令加密保護(hù)，賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施，用戶只能在其權(quán)限內(nèi)進(jìn)行操作，合理設(shè)置網(wǎng)絡(luò)共享文件，對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱藏、只讀等加密措施，建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、網(wǎng)絡(luò)服務(wù)器日志、交換機(jī)及路由器日志、內(nèi)部用戶非法活動(dòng)日志等，定時(shí)對(duì)其進(jìn)行審查分析，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全隱患等，有效地保護(hù)網(wǎng)絡(luò)安全。

（六）采用VLAN技術(shù)。

VLAN(虛擬局域網(wǎng))技術(shù)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個(gè)子網(wǎng)間通過路由器、交換機(jī)、防火墻或網(wǎng)關(guān)等設(shè)備進(jìn)行連接，網(wǎng)絡(luò)管理員借助VLAN技術(shù)管理整個(gè)網(wǎng)絡(luò)，通過設(shè)置命令，對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡(luò)病毒、木馬程序，從而在整個(gè)網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)能安全運(yùn)行。

（七）做好系統(tǒng)備份和數(shù)據(jù)備份。

雖然有各種防范手段，但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難，對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該由專人管理，定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)應(yīng)用軟件及各種資料數(shù)據(jù)的備份工作，并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案，記錄網(wǎng)上各工作站的資源分配情況、故障情況、維護(hù)記錄。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。

六、結(jié)語

目前，我校校園網(wǎng)正處于良好的運(yùn)行狀態(tài)，病毒的感染率明顯下降，有害信息和不健康的網(wǎng)絡(luò)內(nèi)容大大減少，機(jī)房的破壞現(xiàn)象也減少了，校園網(wǎng)安全得到了有力保障。

校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，只有綜合運(yùn)用多項(xiàng)措施，加強(qiáng)管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，才能提高校園網(wǎng)絡(luò)的安全防范能力。

參考文獻(xiàn)：

［1］羅杰紅.校園網(wǎng)中防火墻的設(shè)計(jì).沈陽師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2002，（4）.

［2］楊波.從信息安全角度看校園網(wǎng)發(fā)展現(xiàn)狀［J］.甘肅科技，2007，（3）.

［3］陳新建.校園網(wǎng)的安全現(xiàn)狀和改進(jìn)對(duì)策［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，（3）.

［4］李小志.高校校園網(wǎng)絡(luò)安全分析及解決方案［J］.現(xiàn)代教育技術(shù)，2008，（3）.

［5］鄧國英.校園網(wǎng)絡(luò)安全分析及防范措施［J］.計(jì)算機(jī)安全，2010，（9）.