校園網(wǎng)絡(luò)安全體系的構(gòu)建

摘 要：本文在對校園網(wǎng)絡(luò)面臨風(fēng)險進行分析的基礎(chǔ)上，提出構(gòu)建一套安全校園網(wǎng)絡(luò)體系來確保校園網(wǎng)絡(luò)的可靠運行。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著教育信息化進程的推進，校園網(wǎng)的普及和應(yīng)用系統(tǒng)越來越重要，學(xué)校對網(wǎng)絡(luò)的依賴也越來越強，利用校園網(wǎng)，學(xué)校可以開展如教務(wù)系統(tǒng)管理、辦公自動化、遠程教育、校園一卡通等系列工作，極大的方便教學(xué)、科研等各項工作。然而由于網(wǎng)絡(luò)自身的特點，使得校園網(wǎng)絡(luò)安全問題越來越受到各方面關(guān)注。如何防止黑客攻擊、非法入侵？如何保證校園內(nèi)部資源共享，數(shù)據(jù)安全？如何保證學(xué)生使用健康網(wǎng)絡(luò)等等。因此，構(gòu)建相對安全完善的校園網(wǎng)絡(luò)，確保校園網(wǎng)絡(luò)可靠的運行，也就成為各大高等院校非常重視的問題。

1 校園網(wǎng)絡(luò)面臨的潛在風(fēng)險

1.1 系統(tǒng)自身漏洞

計算機普遍存在系統(tǒng)漏洞，通過系統(tǒng)漏洞電腦不法者或黑客，通過網(wǎng)絡(luò)植入木馬等方式來攻擊或控制您的電腦，獲取你的重要信息，甚至讓你系統(tǒng)奔潰。漏洞影響到的范圍非常大，包括系統(tǒng)本身、服務(wù)器、TCP/IP協(xié)議、網(wǎng)絡(luò)結(jié)構(gòu)、安全防火墻等。而且隨著時間的推移，新的系統(tǒng)漏洞會不斷出現(xiàn)，系統(tǒng)漏洞問題也將長期存在，這是校園網(wǎng)絡(luò)安全不得不面對的問題之一。

1.2 外部的破壞行為

⑴網(wǎng)絡(luò)中的計算機病毒破壞。計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。計算機感染病毒后一般有如下癥狀：經(jīng)常死機、系統(tǒng)運行變慢、數(shù)據(jù)丟失、信息泄露、系統(tǒng)奔潰、網(wǎng)絡(luò)癱瘓等。當(dāng)前計算機病毒傳播途徑有網(wǎng)絡(luò)傳播和硬件設(shè)備傳播，但主要源頭是網(wǎng)絡(luò)。當(dāng)用戶瀏覽不健康的網(wǎng)站或誤點一些非法站點或打開不明郵件，點擊其中某些鏈接或下載某些軟件，病毒便會自動安裝在你的電腦里。由于工作需要，校園網(wǎng)用戶間經(jīng)常互傳數(shù)據(jù)，這就會導(dǎo)致校園網(wǎng)中一旦有計算機感染到病毒，整個校園網(wǎng)上所有用戶都會感染到病毒。這將給我們工作和生活帶來極大的不便。

⑵網(wǎng)絡(luò)黑客惡意攻擊。黑客最早源自英文hacker，早期帶有褒義，而如今已被用于泛指那些專門入侵他人系統(tǒng)進行不法行為的計算機高手。黑客可通過瀏覽器、硬盤共享、端口、網(wǎng)頁瀏覽等方式攻擊你計算機，獲取或破壞你電腦數(shù)據(jù)。比如瀏覽器中的cookie包含你每次登陸網(wǎng)站的名稱、瀏覽時間甚至登陸密碼，黑客可以用專門軟件來查看cookie，獲取你的信息，攻擊你的計算機。又如黑客通過網(wǎng)絡(luò)精靈（NetSpy）軟件可以神不知鬼不覺地在目標(biāo)機器上的下傳和上載任意文件，獲取其需要信息。

1.3 內(nèi)部的不當(dāng)行為

⑴管理人員的疏忽：如管理人員忘記設(shè)置防火墻，安全配置不當(dāng)，資源訪問控制不合理以及正常刪除數(shù)據(jù)中的誤操作等失誤都可能會給校園網(wǎng)絡(luò)帶來安全隱患。

⑵資源濫用，校園網(wǎng)內(nèi)部網(wǎng)速較快，資源容易被人利用進行商業(yè)的或免費的視頻、網(wǎng)游、軟件資源下載等服務(wù)，占用校園網(wǎng)絡(luò)帶寬，影響網(wǎng)絡(luò)速度，給校園網(wǎng)帶來不安全因素。

⑶網(wǎng)絡(luò)用戶的不良行為：校園網(wǎng)用戶大多是青春少年，由于受網(wǎng)上不良信息誘導(dǎo)，容易瀏覽色情網(wǎng)站等，容易造成計算機中毒，給校園網(wǎng)帶來極大的安全威脅。同時由于學(xué)生思維活躍，對未知事物好奇，也會自己研究網(wǎng)絡(luò)攻擊行為技術(shù)，這也會給校園網(wǎng)絡(luò)帶來不安全隱患。

2 校園網(wǎng)絡(luò)安全體系的建構(gòu)

2.1 定期掃描、修復(fù)系統(tǒng)漏洞

作為管理人員除了運用掃描程序等工具定期對服務(wù)器等進行安全檢查，堵住安全漏洞構(gòu)建相對安全校園網(wǎng)的同時，還需要對校園網(wǎng)內(nèi)進行系統(tǒng)管理，及時下載更新操作系統(tǒng)的補丁程序，關(guān)閉不需打開的端口等防范措施，真正掌握和解決服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷和安全漏洞，將安全隱患降低到最小，盡可能的避免惡性安全事件的大范圍發(fā)生。

2.2 充分利用過濾系統(tǒng)和防火墻技術(shù)打造安全的校園網(wǎng)絡(luò)環(huán)境

⑴在校園網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)過濾系統(tǒng)，可以有效地過濾色情、暴力等不良信息，為校園綠色網(wǎng)絡(luò)運行提供護航。

⑵防火墻作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道安全屏障，是非常重要的網(wǎng)絡(luò)安全技術(shù)。它可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，過濾掉一些攻擊或阻止一些非法訪問，有效地阻擋外部網(wǎng)絡(luò)用戶的非法訪問內(nèi)部網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。因而我們可以根據(jù)校園網(wǎng)安全策略和網(wǎng)絡(luò)應(yīng)用實際，選用安全性、性能、功能好的防火墻來打造安全的校園網(wǎng)絡(luò)環(huán)境。如在internet和校園網(wǎng)內(nèi)網(wǎng)之間采用DMZ的防火墻部署方式，即在防火墻上多加一塊網(wǎng)卡，這樣就可以把提供對外服務(wù)的服務(wù)器和內(nèi)網(wǎng)的客戶端進行有效的隔離。即使在DMZ中出現(xiàn)安全風(fēng)險和漏洞，對內(nèi)部網(wǎng)絡(luò)造成的危害也可以得到很好的控制，從而保證校園網(wǎng)絡(luò)的安全運行。

2.3 采取多種措施加強教育管理和防范

⑴加強學(xué)生網(wǎng)絡(luò)安全教育。作為好奇心和求知欲很強的學(xué)生，他們的不規(guī)范操作會帶來很多網(wǎng)絡(luò)安全問題，這就需要教師在傳授網(wǎng)絡(luò)知識的同時，也要加強他們的網(wǎng)絡(luò)安全教育，讓學(xué)生了解相應(yīng)的網(wǎng)絡(luò)安全法規(guī)，做到文明上網(wǎng)，不瀏覽黃色色情等帶有病毒的不良網(wǎng)頁，做一名守法的好學(xué)生。

⑵用戶身份認(rèn)證的入網(wǎng)控制：校園網(wǎng)內(nèi)部用戶入網(wǎng)必須經(jīng)過身份認(rèn)證才能登錄。上網(wǎng)賬號學(xué)生可以為學(xué)號，教職工可以為工號，密碼為本人身份證后六位或者學(xué)生學(xué)號教職工工號。通過入網(wǎng)控制，一方面可以監(jiān)控用戶入網(wǎng)時間，瀏覽哪些站點。一方面也可以控制用戶可以可以獲取的網(wǎng)絡(luò)資源。有效地監(jiān)控學(xué)生的上網(wǎng)情況，減少校園網(wǎng)絡(luò)內(nèi)部終端用戶有意或無意的攻擊行為，從而大大地改善校園網(wǎng)絡(luò)的運行環(huán)境。

⑶網(wǎng)絡(luò)權(quán)限控制：設(shè)定網(wǎng)絡(luò)權(quán)限是對網(wǎng)絡(luò)非法操作提出的一種安全保護措施。用戶或用戶組只有被賦予一定的權(quán)限，才可以訪問和操作權(quán)限規(guī)定地目錄、子目錄、文件和其他資料。這樣有效地規(guī)范了校園網(wǎng)絡(luò)客戶端有意或無意的攻擊行為，保護校園網(wǎng)絡(luò)的安全性。

⑷大力宣傳讓客戶端使用正版軟件，提高計算機系統(tǒng)的安全系數(shù)。在校園內(nèi)公用計算機上安裝防病毒軟件并定期升級，盡可能讓校園內(nèi)其他客戶端安裝防病毒軟件。通過防病毒軟件定時殺毒，及時獲取最新升級文件，對軟件進行更新。

⑸監(jiān)控客戶端，發(fā)現(xiàn)客戶端感染病毒等安全問題后要及時采取措施，把危害消滅在萌芽中，最大限度地保護校園內(nèi)網(wǎng)絡(luò)資源。如使用網(wǎng)絡(luò)管理軟件，可以定期對客戶端流量進行分析，防止非法濫用網(wǎng)絡(luò)資源行為，保證網(wǎng)絡(luò)服務(wù)的正常提供。

2.4 運用VLAN技術(shù)加強內(nèi)部網(wǎng)絡(luò)管理

VLAN技術(shù)的核心功能就是不受網(wǎng)絡(luò)用戶物理位置的限制而是根據(jù)用戶需求進行網(wǎng)絡(luò)分段。通過網(wǎng)絡(luò)分段可以實現(xiàn)以下功能：一是抑制廣播風(fēng)暴，通過把廣播域分為小而獨立的VLAN，從而降低了網(wǎng)絡(luò)中廣播包所占的帶寬比例，顯著地提高網(wǎng)絡(luò)性能；二是提高網(wǎng)絡(luò)安全，虛擬技術(shù)可以根據(jù)需要將不同部門、不同級別的用戶群劃分在同一的VLAN，實現(xiàn)部門內(nèi)部資源共享。同時也可以將不同層次的用戶群劃分在不同的VLAN，將網(wǎng)絡(luò)劃分不同的網(wǎng)段相互間隔離，實現(xiàn)相互將訪問控制。由于虛擬網(wǎng)之間的通信是通過路由技術(shù)而不是通過直接連接來實現(xiàn)的，因而彼此之間不需要知道具體的MAC地址，達到限制用戶非法訪問的目的，從而使網(wǎng)絡(luò)安全性得到極大提高。

2.5 采用可靠的數(shù)據(jù)存儲技術(shù)，保證數(shù)據(jù)的安全性和完整性

構(gòu)建安全有效的校園網(wǎng)絡(luò)環(huán)境除了要阻止各類病毒和非法入侵外等方面外，還需要做好數(shù)據(jù)存儲的安全性。隨著數(shù)字化校園的發(fā)展，各種應(yīng)用和服務(wù)的不斷增加，需要存儲的數(shù)據(jù)將越來越多，可以采用網(wǎng)絡(luò)存儲來實現(xiàn)數(shù)據(jù)的完整性和安全性。比如可以根據(jù)校園網(wǎng)絡(luò)的實際情況，設(shè)置多臺中央存儲器。分別存儲各種應(yīng)用系統(tǒng)數(shù)據(jù)、校園門戶數(shù)據(jù)、一卡通及圖書館各類電子資源等。同時各臺中央存儲器之間互相備份，保證了數(shù)據(jù)的完整性和安全性，不會因存儲器突然出現(xiàn)的故障而使數(shù)據(jù)受到損失。

總之，安全的校園網(wǎng)絡(luò)體系是一個包含設(shè)備、技術(shù)、管理等較為復(fù)雜的系統(tǒng)工程。管理者只有全面考慮綜合運用各種安全技術(shù)配合科學(xué)的網(wǎng)絡(luò)安全管理，根據(jù)校園網(wǎng)絡(luò)自身的情況和現(xiàn)有體系的中出現(xiàn)的漏洞及時維護和更新。從而建立起一套高效的校園網(wǎng)絡(luò)安全系統(tǒng)來保障校園網(wǎng)絡(luò)的良性發(fā)展。

[參考文獻]

[1]楊竣輝，黃嬋.高校校園網(wǎng)絡(luò)安全建設(shè)的思考[J].教育信息化，2006（4）.

[2]李紅映，王海峰，于莉潔.高校校園網(wǎng)絡(luò)安全實踐—談?wù)憬謱W(xué)院校園網(wǎng)絡(luò)安全建設(shè)[J].電腦知識與技術(shù)，2007（20）.

[3]王曉卉.高校校園網(wǎng)絡(luò)安全策略分析[J].知識經(jīng)濟，2011（1）.

[4]劉牙.淺析計算機系統(tǒng)漏洞及其防范[J].科學(xué)咨詢，2012（34）.

[5]周芳，宮曉曼，滕榮華.對校園網(wǎng)絡(luò)安全的研究[J].江西科技師范學(xué)院學(xué)報，2004（5）.

[6]張晟濤，李桂全，付麗群.淺析校園網(wǎng)絡(luò)安全控制與研究[J].計算機光盤軟件與應(yīng)用，2012（16）.

[7]張海燕.淺談校園網(wǎng)安全技術(shù)[J].青海社會科學(xué)，2008（3）.

[8]張建嬌.高校校園網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)存儲方案的設(shè)計[J].科技信息，2013（10）.