校園網(wǎng)絡(luò)運(yùn)行管理與安全策略

郁劍偉

為教育領(lǐng)域提供一個(gè)良好的信息化教育環(huán)境是開(kāi)展教育信息化工作和普及信息技術(shù)教育的有力保障，中小學(xué)校園網(wǎng)顯然是這一教育環(huán)境的硬件保障，它已成為學(xué)校建設(shè)的重中之重。然而，現(xiàn)在大多數(shù)學(xué)校只是熱衷于建立高標(biāo)準(zhǔn)的校園網(wǎng)，只關(guān)注網(wǎng)絡(luò)硬件設(shè)備的性能高低和應(yīng)用軟件的是否齊全，而對(duì)校園網(wǎng)的使用安全問(wèn)題卻較少顧及，更不用談如何重視了。其實(shí)，校園網(wǎng)安全應(yīng)該從建網(wǎng)開(kāi)始就得到校園網(wǎng)的規(guī)劃者，建設(shè)者和管理者的高度重視。本文從實(shí)用的角度介紹在校園網(wǎng)使用過(guò)程可能存在的安全隱患及相應(yīng)的一些對(duì)策。

一、校園網(wǎng)中主要安全隱患

（一）病毒的危害

現(xiàn)在各個(gè)學(xué)校的校園網(wǎng)都聯(lián)上了因特網(wǎng)，用戶上網(wǎng)瀏覽信息，接收電子郵件，下載程序都非常方便，但同時(shí)更容易受到病毒的侵害。之所以把病毒危害列為影響校園網(wǎng)安全的第一因素，是因?yàn)楦鶕?jù)我管理本校網(wǎng)絡(luò)的經(jīng)驗(yàn)和平時(shí)了解，大多數(shù)中小學(xué)校的校園網(wǎng)發(fā)生故障的一個(gè)主要因素就是病毒的感染，如當(dāng)年最流行的沖擊波（Worm.Blaster）病毒，本地有好幾所學(xué)校的校園網(wǎng)就感染上了這種病毒，使得大部分電腦只能停止工作，網(wǎng)絡(luò)管理人員忙了幾天才把所有電腦上的病毒清理干凈，造成了不小的麻煩。

然而，一些學(xué)校網(wǎng)絡(luò)管理者并沒(méi)有很認(rèn)真地思考過(guò)這個(gè)問(wèn)題，這是因?yàn)楝F(xiàn)階段在學(xué)校網(wǎng)絡(luò)中就算病毒真的造成校園網(wǎng)癱瘓，對(duì)一般學(xué)校的正常運(yùn)行也不能造成多大的危害。大部分學(xué)校對(duì)校園網(wǎng)的依賴還不強(qiáng)，校園網(wǎng)雖然建好了，但只停留在上網(wǎng)瀏覽信息，接收電子郵件的初級(jí)階段，就算網(wǎng)絡(luò)出現(xiàn)問(wèn)題，最大影響也就是暫時(shí)不能上網(wǎng)而已。隨著校園網(wǎng)應(yīng)用的不斷深入，到了真正實(shí)現(xiàn)網(wǎng)絡(luò)辦公時(shí)，安全穩(wěn)定的校園網(wǎng)就是確保整個(gè)學(xué)校正常工作的基礎(chǔ)，沒(méi)有網(wǎng)絡(luò)，學(xué)校就不能正常工作。因此我認(rèn)為病毒的危害已成為影響校園網(wǎng)正常工作的第一大隱患，必須重視。

（二）黑客攻擊

隨著網(wǎng)絡(luò)的飛速發(fā)展，黑客攻擊活動(dòng)日益猖獗，已成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。校園網(wǎng)在接入Internet的時(shí)候，即使有防火墻的保護(hù)，由于技術(shù)本身的局限和其他原因，也很難保證不遭到黑客攻擊，況且據(jù)我了解，有相當(dāng)一部分學(xué)校（中小學(xué)）的校園網(wǎng)連一般的防火墻都沒(méi)有。據(jù)公安部的統(tǒng)計(jì)，利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國(guó)以每年30%的速度遞增。有媒介報(bào)道，中國(guó)95%的與Internet相連的網(wǎng)絡(luò)管理中心都遭到過(guò)黑客的攻擊或侵入。雖然校園網(wǎng)目前還不是黑客們注意的目標(biāo)，但是，就連安全級(jí)別非常高的單位銀行、金融和證券機(jī)構(gòu)都能被黑客們攻破，那么，安全級(jí)別極低的學(xué)校網(wǎng)絡(luò)更是不堪一擊，如果哪天黑客們忽然對(duì)校園網(wǎng)感興趣的話，到那時(shí)就晚了。

（三）不良信息的傳播

現(xiàn)在的校園網(wǎng)都是寬帶接入Internet，教師學(xué)生只要能上校園網(wǎng)就可以進(jìn)入Internet。但互聯(lián)網(wǎng)實(shí)際上是一把雙刃劍，它在使我們從中獲取大量有用價(jià)值，提高自我的同時(shí)，因其自身的復(fù)雜性，使人們往往被各種信息垃圾包圍，久而久之深受其害。目前Internet上各種信息良莠不齊，如黃色暴力信息、反動(dòng)信息等，這對(duì)身心尚未發(fā)育完善、辨認(rèn)是非能力還比較弱的中小學(xué)生來(lái)說(shuō)危害非常大。如果不采取安全措施，就會(huì)導(dǎo)致這些信息在校園內(nèi)傳播、泛濫，侵蝕學(xué)生的心靈，影響我們下一代的健康成長(zhǎng)。

（四）設(shè)備的損壞

設(shè)備的損壞主要是指網(wǎng)絡(luò)硬件設(shè)備的損壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、工作站、電源等設(shè)備，它們分布在整個(gè)校園內(nèi)，管理起來(lái)比較困難，主要有自然損壞和人為破壞。自然損壞是指由于不可抗因素造成的損壞，如雷擊、意外停電造成的機(jī)器設(shè)備損壞；人為損壞主要是指?jìng)€(gè)別人有意或無(wú)意地將它們損壞。不管是哪一種，都會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。

二、安全防護(hù)的措施

（一）技術(shù)層面的措施

1.構(gòu)建網(wǎng)絡(luò)防毒體系

由于病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異，因此學(xué)校在構(gòu)建網(wǎng)絡(luò)防毒系統(tǒng)時(shí)，應(yīng)利用網(wǎng)絡(luò)防病毒產(chǎn)品，針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置全方位、多層次的防毒系統(tǒng)配置，使學(xué)校網(wǎng)絡(luò)免受病毒的入侵和危害。

校園網(wǎng)絡(luò)中的防毒體系主要分為兩種。

（1）服務(wù)器的病毒防護(hù)。防毒體系結(jié)構(gòu)中的服務(wù)器端產(chǎn)品應(yīng)該具有實(shí)時(shí)病毒監(jiān)控功能，遠(yuǎn)程安裝、遠(yuǎn)程調(diào)用功能，病毒碼自動(dòng)更新功能，以及病毒活動(dòng)日志、多種報(bào)警通知方式等功能，可為學(xué)校內(nèi)文件服務(wù)器的病毒防護(hù)提供便利和效能。

隨著學(xué)校內(nèi)部電子郵件應(yīng)用日益普及，學(xué)校網(wǎng)絡(luò)中又增加了一個(gè)病毒入侵的通道。在網(wǎng)絡(luò)防毒體系結(jié)構(gòu)中再增加了一層關(guān)卡，確保經(jīng)由學(xué)校郵件服務(wù)器的郵件附件隨時(shí)處于病毒免疫狀態(tài)。

（2）工作站的病毒防護(hù)。網(wǎng)絡(luò)工作站的病毒防護(hù)位于學(xué)校防毒體系中的最底層，對(duì)學(xué)校計(jì)算機(jī)用戶而言，也是最后一道防、殺病毒的防線。考慮到網(wǎng)絡(luò)中的工作站數(shù)量少則幾十臺(tái)，多則數(shù)百臺(tái)，如果需要網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時(shí)費(fèi)力，難以實(shí)施統(tǒng)一的防病毒策略，日后的維護(hù)和更新工作也就十分繁瑣。

在選擇防毒產(chǎn)品時(shí)，可考慮選擇具有下列功能的網(wǎng)絡(luò)版軟件。

①通過(guò)服務(wù)器自動(dòng)分發(fā)客戶端工作站防毒軟件，可簡(jiǎn)化安裝過(guò)程。

②自動(dòng)識(shí)別客戶機(jī)操作系統(tǒng)并下載和安裝相應(yīng)的防毒程序，支持包括WindowsNT工作站、Windows 9x/2000/xp等多種作業(yè)平臺(tái)的工作站。

③通過(guò)服務(wù)器設(shè)置統(tǒng)一的防毒策略，獲取完整的病毒活動(dòng)報(bào)表，實(shí)施集中的病毒碼和程序更新。

④設(shè)有密碼保護(hù)功能，防止用戶隨意卸載病毒監(jiān)控程序，從而形成學(xué)校網(wǎng)絡(luò)的病毒“后門”。

⑤儲(chǔ)存所有工作站硬盤引導(dǎo)區(qū)記錄，以備工作站引導(dǎo)區(qū)遭受病毒破壞后的緊急救援。

具有以上功能的網(wǎng)絡(luò)防毒軟件有不少，如瑞星防毒軟件網(wǎng)絡(luò)版、樂(lè)億陽(yáng)趨勢(shì)的PC-cilin和諾頓防毒軟件網(wǎng)絡(luò)版等都可實(shí)現(xiàn)此類功能。

2.及時(shí)安裝各種補(bǔ)丁程序

及時(shí)更新操作系統(tǒng)，及時(shí)安裝各種補(bǔ)丁程序也非常重要。一般學(xué)校里使用的操作系統(tǒng)主要是Win XP或Vista，而正是因?yàn)檫@些Windows操作系統(tǒng)的普遍性和可操作性使得它們是最容易受攻擊的系統(tǒng)：本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。目前，許多新型計(jì)算機(jī)病毒就是利用操作系統(tǒng)的漏洞進(jìn)行傳染的。比如2001年出現(xiàn)的紅色代碼病毒就是利用Windows 2000 ServerIIS漏洞進(jìn)行傳播的，2003年8月份發(fā)作的沖擊波病毒是利用Windows 2000、Windows XP、Windows 2003操作系統(tǒng)的RPC漏洞進(jìn)行傳播的。如果不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)各種漏洞，計(jì)算機(jī)即使安裝了防毒軟件病毒也會(huì)反復(fù)感染。

對(duì)校園網(wǎng)中聯(lián)入互聯(lián)網(wǎng)的計(jì)算機(jī)，使用者還可以利用操作系統(tǒng)的Windows Update功能進(jìn)行在線檢測(cè)并更新。

3.配備Internet防火墻

Internet防火墻，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(Internet)分開(kāi)的方法，實(shí)際上是一種隔離技術(shù)。它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。用它可以增加機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。

防火墻可分為軟件防火墻和硬件防火墻，至于選擇哪種防火墻新產(chǎn)品，學(xué)校在建立校園網(wǎng)時(shí)可以根據(jù)不同的情況進(jìn)行挑選，如資金充裕的話，建議選擇硬件防火墻，如暫時(shí)資金不足，就可以選擇軟件防火墻。

4.建立適當(dāng)?shù)挠脩糍~號(hào)管理機(jī)制

對(duì)校園網(wǎng)用戶管理時(shí)，建議給每一位教師一個(gè)個(gè)人賬號(hào)，學(xué)生可以在固定的教室用公共賬號(hào)。

談到網(wǎng)絡(luò)的安全意識(shí)人們想到最多的恐怕就是密碼。的確，密碼的安全性是網(wǎng)絡(luò)安全性的基本內(nèi)容。沒(méi)有一個(gè)安全可靠的密碼，就不會(huì)有什么安全，密碼的設(shè)置非常重要，也最容易被用戶忽視。要注意以下幾點(diǎn)。

（1）不要使用用戶名（賬號(hào)）作為密碼，有很多黑客軟件有一項(xiàng)功能——以用戶名做口令進(jìn)行破解。

（2）不要使用用戶名（賬號(hào)）的變換形式作為密碼，例如將用戶名顛倒或者加前后綴作為口令

（3）不要使用具有特定意義的日期作為密碼（如自己的生日），這種口令是最好破解的。

（4）不要使用常用的英文單詞作為密碼。

（5）不要使用5位或5位以下的字符作為密碼。

那么，怎樣的密碼才是安全的呢？首先必須是8位長(zhǎng)度，其次必須包括大小寫(xiě)字母、數(shù)字，如有控制符那么最好。例如：ks&1057W，ykl$24q6zP，這樣的密碼都是比較安全的。不過(guò)也不是無(wú)懈可擊的，只有安全的密碼配上3個(gè)月更換一次的安全制度才是真正安全的。建議在設(shè)置校園網(wǎng)服務(wù)器賬號(hào)時(shí)，硬性規(guī)定用戶定期更換密碼，否則取消賬號(hào)。

5.安裝網(wǎng)絡(luò)反黃軟件

為了控制不良信息的傳播，有必要安裝一些網(wǎng)頁(yè)過(guò)濾軟件，并配合人工管理，保障學(xué)生的身心健康。

這類軟件必須具備以下主要功能。

（1）網(wǎng)站過(guò)濾。能夠屏蔽一些具有色情、暴力、毒品、賭博等不良信息的網(wǎng)址連接，拒絕訪問(wèn)該網(wǎng)站。

（2）文字遮蓋。可對(duì)屏幕上出現(xiàn)的文本進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)信有不良信息的文本，即可對(duì)此文字進(jìn)行遮蓋屏蔽。

具備以上功能的軟件較多，如“網(wǎng)絡(luò)衛(wèi)士”、“美萍反黃軟件”等。只要制定好規(guī)章制度，學(xué)生就必須在固定教室且有老師監(jiān)督的條件下才可以上網(wǎng)，再加上一些過(guò)濾軟件的設(shè)置，就可以為學(xué)生創(chuàng)造一個(gè)干凈安全的網(wǎng)絡(luò)世界。

6.配備較高性能的后備電源UPS系統(tǒng)

在校園網(wǎng)中，服務(wù)器能否正常運(yùn)行關(guān)系著整個(gè)校園網(wǎng)能否正常的運(yùn)行，是絕不能出問(wèn)題的，而在實(shí)際運(yùn)行中有不少問(wèn)題源自不穩(wěn)定的電源，引起了服務(wù)器的不穩(wěn)定。意外停電，不僅會(huì)使數(shù)據(jù)丟失，而且會(huì)損傷昂貴的設(shè)備，另外由于國(guó)內(nèi)平時(shí)供電系統(tǒng)的電壓不夠穩(wěn)定，浪涌、尖峰、低壓等各種情況出現(xiàn)的概率相對(duì)較高，這些對(duì)設(shè)備都是極大的傷害，因此為了確保校園網(wǎng)的穩(wěn)定運(yùn)行，必須選擇一個(gè)較好的后備電源UPS系統(tǒng)。

（二）技術(shù)層面以外的措施

1.提高網(wǎng)絡(luò)安全意識(shí)

校園網(wǎng)的用戶是教師和學(xué)生，其中相當(dāng)一部分教師和絕大部分學(xué)生的網(wǎng)絡(luò)安全意識(shí)非常薄弱，安全知識(shí)匱乏，這些網(wǎng)絡(luò)的使用者有時(shí)就是網(wǎng)絡(luò)安全的最大隱患。學(xué)校必須加強(qiáng)對(duì)教師、學(xué)生的培訓(xùn)，通過(guò)階段性的培訓(xùn)不斷提高校園網(wǎng)用戶的網(wǎng)絡(luò)安全防范意識(shí)和防范技能。

2.制定嚴(yán)格的校園網(wǎng)管理規(guī)章制度

常言說(shuō)：“三分技術(shù)，七分管理。”安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。我們要建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。我們還需要制定一整套的規(guī)章制度約束校園網(wǎng)用戶的行為，讓每個(gè)用戶在使用、進(jìn)入校園網(wǎng)之前都知道自己享有什么權(quán)利，負(fù)有什么責(zé)任義務(wù)，如違反之后將有什么后果。這樣能起到比較好的效果。

3.引導(dǎo)學(xué)生善用網(wǎng)絡(luò)技術(shù)

學(xué)校里總有一些學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)非常感興趣，而且水平比較高，中學(xué)生們對(duì)新鮮事物又是十分的好奇，什么都想嘗試，說(shuō)不定他在網(wǎng)上試一試學(xué)黑客進(jìn)行一下“破壞”，就從本校的網(wǎng)絡(luò)做起，而從內(nèi)部攻擊網(wǎng)絡(luò)比外部攻擊網(wǎng)絡(luò)要容易得多。這樣的話，對(duì)校園網(wǎng)管理者來(lái)講也是麻煩的。對(duì)這樣的學(xué)生，應(yīng)該一方面增強(qiáng)他們的法律意識(shí)，讓他們知道網(wǎng)絡(luò)世界和現(xiàn)實(shí)世界一樣有法律約束，有些事情是不能想做就做的，另一方面引導(dǎo)他們將學(xué)到的網(wǎng)絡(luò)技術(shù)運(yùn)用到校園網(wǎng)的安全建設(shè)上，讓他們參與學(xué)校網(wǎng)絡(luò)的部分管理。

總之，校園網(wǎng)的安全問(wèn)題不僅僅是技術(shù)上的問(wèn)題，而且包括人為的因素，因此要想有一個(gè)安全健康的校園網(wǎng)，就必須堅(jiān)持兩手抓，一手抓技術(shù)防范，一手抓管理防范，只有通過(guò)以上兩個(gè)方面的不斷努力，校園網(wǎng)才能夠在比較安全的環(huán)境下工作，才能充分發(fā)揮優(yōu)勢(shì)，更好地為教育事業(yè)服務(wù)。

參考文獻(xiàn)：

［1］Neteye 3.0 防火墻技術(shù)白皮書(shū).

［2］從密碼的設(shè)置與保存談網(wǎng)絡(luò)安全意識(shí).賽迪網(wǎng).