中職學(xué)校校園網(wǎng)絡(luò)安全管理策略

文/曲清

在各類職業(yè)院校中，校園網(wǎng)是最基本的設(shè)施，通過(guò)校園網(wǎng)，院校可進(jìn)行教授課程、科學(xué)研究、工作管理以及對(duì)外交流等多項(xiàng)工作，對(duì)于學(xué)校數(shù)字化信息化建設(shè)起著重要作用。近幾年來(lái)，職業(yè)教育愈加流行，校園網(wǎng)發(fā)展迅速，隨之而來(lái)的校園網(wǎng)安全問(wèn)題日益嚴(yán)重。那么怎樣保證校園網(wǎng)安全運(yùn)行成為了職業(yè)院校急需解決的重要問(wèn)題。

中職學(xué)校通過(guò)將有關(guān)人員聚集一起形成安全管理組織，制定出安全管理方面的規(guī)章制度，實(shí)現(xiàn)學(xué)校財(cái)產(chǎn)和老師學(xué)生的安全不受侵犯的目標(biāo)，防止學(xué)校突發(fā)事故，同時(shí)能夠?qū)σ寻l(fā)事故進(jìn)行合理解決的全面系統(tǒng)的過(guò)程叫做中職學(xué)校安全管理。當(dāng)今社會(huì)，經(jīng)濟(jì)發(fā)展迅速，社會(huì)問(wèn)題逐漸出現(xiàn)，而且職業(yè)學(xué)校里也會(huì)有不同安全問(wèn)題出現(xiàn)，因此，中職校園安全問(wèn)題亟待解決，尤其是中職學(xué)校的安全管理工作。

1 中職校園網(wǎng)的安全問(wèn)題

眾多因素對(duì)校園網(wǎng)正常、安全運(yùn)行有重要影響，包括內(nèi)部問(wèn)題和其他網(wǎng)站威脅等外部境。校園網(wǎng)安全方面的問(wèn)題主要體現(xiàn)在以下四個(gè)方面。

1.1 用戶規(guī)模大而活躍

中職校具有特殊性，校園網(wǎng)有眾多的用戶，十分復(fù)雜的人員結(jié)構(gòu)，在固定區(qū)域密集居住。網(wǎng)上的一些論壇、視頻和P2P越來(lái)越多人使用，導(dǎo)致校園網(wǎng)寬帶損耗嚴(yán)重，擁擠的網(wǎng)路，因此影響正常業(yè)務(wù)的進(jìn)行。如果校園網(wǎng)被傳播蠕蟲病毒或者被ARR侵入攻擊，那么會(huì)有大量用戶癱瘓的現(xiàn)象出現(xiàn)，并且，有些同學(xué)喜歡冒險(xiǎn)和新鮮、刺激的事物，對(duì)黑客技術(shù)有強(qiáng)烈好奇心，從而會(huì)導(dǎo)致數(shù)據(jù)庫(kù)內(nèi)容的缺失、被修改或刪減，這對(duì)整個(gè)校園網(wǎng)絡(luò)的影響極大。

1.2 系統(tǒng)管理復(fù)雜

全校的教職工和學(xué)生都是校園網(wǎng)的用戶，因此，計(jì)算機(jī)系統(tǒng)的采購(gòu)、安置及管理都十分復(fù)雜。校園網(wǎng)之所以會(huì)出現(xiàn)遭受攻擊、感染病毒、數(shù)據(jù)信息出現(xiàn)問(wèn)題、系統(tǒng)癱瘓等嚴(yán)重安全問(wèn)題，是因?yàn)閷W(xué)校內(nèi)的全體師生都是自行購(gòu)買電腦，導(dǎo)致種類繁多、有盜版系統(tǒng)、軟件的出現(xiàn)及擴(kuò)散，從而致使學(xué)校網(wǎng)絡(luò)對(duì)所有系統(tǒng)無(wú)法進(jìn)行統(tǒng)一控制，進(jìn)行安全維護(hù)（如安裝防病毒的軟件、設(shè)置可靠易操作的口令等）。

1.3 各類攻擊不斷

網(wǎng)絡(luò)安全的威脅分為兩種形式，即外部入侵和內(nèi)部攻擊。校園內(nèi)網(wǎng)絡(luò)的攻擊大部分是來(lái)自局域網(wǎng)的內(nèi)部，但校園網(wǎng)管理人員對(duì)于防火墻遭受外部攻擊的情況幾乎不能有效解決。個(gè)別的用戶發(fā)現(xiàn)校園網(wǎng)郵件服務(wù)系統(tǒng)不完善，易破壞，會(huì)對(duì)其進(jìn)行惡意攻擊，他們主要是通過(guò)發(fā)送眾多無(wú)用的垃圾郵件，增加流量，使郵件服務(wù)器出故障，進(jìn)而導(dǎo)致系統(tǒng)癱瘓。另外，有些用戶掃描識(shí)別和攻擊校園網(wǎng)服務(wù)器和網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)超負(fù)荷工作，服務(wù)器又抵抗如此運(yùn)作。在學(xué)校網(wǎng)絡(luò)中，比較簡(jiǎn)單容易被入侵攻擊的有兩種應(yīng)用服務(wù)器，即DNS服務(wù)器和Web應(yīng)用服務(wù)器，對(duì)DNS服務(wù)器的攻擊有兩種方式，一種是緩存區(qū)病毒，另一種是域劫持。相比較來(lái)說(shuō)，Web應(yīng)用服務(wù)器更加脆弱，多數(shù)的Web應(yīng)用程序有十分嚴(yán)重的安全漏洞，容易被攻擊。

1.4 硬件管理困難

在職業(yè)學(xué)校中，一般情況下，網(wǎng)絡(luò)交換設(shè)備被安裝在建筑內(nèi)部，在學(xué)校內(nèi)比較分散，因此監(jiān)管人員不能全天監(jiān)控維護(hù)，設(shè)備會(huì)出現(xiàn)故障、由于天氣和人為影響被破壞，進(jìn)而造成硬件設(shè)備不易被管理維護(hù)。

2 中職校園網(wǎng)的防范策略

2.1 采用安全認(rèn)證

由于IP地址會(huì)造成校園網(wǎng)嚴(yán)重安全問(wèn)題，需對(duì)校園內(nèi)的所有用戶綁定身份，主要分為兩種情況，一種是對(duì)內(nèi)部學(xué)生和老師將IP與身份進(jìn)行綁定，另一種是對(duì)于外來(lái)用戶，他們需要申請(qǐng)暫時(shí)的賬號(hào)登錄，禁止非法進(jìn)入。據(jù)目前來(lái)看，網(wǎng)絡(luò)接入方式包括PPP0E認(rèn)證、MAC認(rèn)證、WEB認(rèn)證、802.1x等多種方式。其中，802.1X認(rèn)證方式是最新提出的安全認(rèn)證協(xié)議，且是屬于國(guó)家標(biāo)準(zhǔn)的，目前逐漸受到廠商和運(yùn)營(yíng)商的關(guān)注，以后會(huì)越來(lái)越多的接入設(shè)備支持、選用該標(biāo)準(zhǔn)，從而其會(huì)得到更好、更廣泛的應(yīng)用。

2.2 采用入侵防御系統(tǒng)

最傳統(tǒng)的維護(hù)網(wǎng)絡(luò)安全防止系統(tǒng)故障的方法是入侵檢測(cè)系統(tǒng)（IDS, Intrusion Detection System），從而隨時(shí)觀察網(wǎng)絡(luò)傳輸過(guò)程，如果發(fā)現(xiàn)疑似不良傳輸，則會(huì)立即發(fā)出警報(bào)或采取制止的舉措，阻止活動(dòng)發(fā)生，以便維護(hù)系統(tǒng)安全。雖然此方式從部分上解決安全問(wèn)題，但由于被動(dòng)性，極易遭到黑客攻擊。因此，另一種有效方式出現(xiàn)——入侵防御系統(tǒng)（IPS, Intrusion Prevention System）。IPS具有主動(dòng)性，能夠自覺(jué)發(fā)起進(jìn)攻，及時(shí)阻止惡意侵入，維護(hù)系統(tǒng)，它與網(wǎng)絡(luò)串聯(lián)（與網(wǎng)橋式防火墻類似），能夠篩選出防火墻不能過(guò)濾的攻擊進(jìn)行阻止進(jìn)入。檢測(cè)到有攻擊將會(huì)進(jìn)入時(shí)，它會(huì)立即阻止攻擊源進(jìn)入。此方式能夠更有效、及時(shí)的維護(hù)系統(tǒng)安全。

2.3 采用防火墻技術(shù)

防火墻是指通過(guò)遵循某一規(guī)則，監(jiān)控信息交換過(guò)程，主要是專門網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者是互聯(lián)網(wǎng)其中的一部分和其余部分進(jìn)行信息交換，以便防止系統(tǒng)進(jìn)行不利的網(wǎng)絡(luò)通信。防火墻主要是維護(hù)好校園網(wǎng)安全，禁止未認(rèn)證身份用戶進(jìn)入，監(jiān)控用戶對(duì)網(wǎng)站的訪問(wèn)情況。隱蔽智能網(wǎng)關(guān)是目前較為流行的防火墻，其擁有復(fù)雜的技術(shù)，最高的安全級(jí)別，且隱蔽，及不易遭到破壞。管理人員以現(xiàn)實(shí)情況為依據(jù)，隨時(shí)對(duì)防火墻安全進(jìn)行維護(hù)和完善，例如：在規(guī)定時(shí)間掃描端口，以便及時(shí)發(fā)現(xiàn)有非法侵入和系統(tǒng)的反映情況；掃描所有網(wǎng)段主機(jī)（包括防火墻），將掃描結(jié)果與提前預(yù)期的結(jié)果進(jìn)行比較，發(fā)現(xiàn)問(wèn)題。此外，維護(hù)人員需要以校園網(wǎng)絡(luò)安全方案和目標(biāo)為依據(jù)，制定出相應(yīng)規(guī)則，以便安全過(guò)濾，堅(jiān)決防范公網(wǎng)對(duì)內(nèi)部網(wǎng)的非法攻擊，要確保防火墻能有效、及時(shí)維護(hù)網(wǎng)絡(luò)，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)長(zhǎng)期安全的目標(biāo)。

2.4 運(yùn)用Vlan技術(shù)

首先，Vlan技術(shù)是以網(wǎng)絡(luò)分段為關(guān)鍵的技術(shù)，它將整個(gè)網(wǎng)絡(luò)分成不同的段，并且分段的依據(jù)是對(duì)安全等級(jí)和業(yè)務(wù)的不同，對(duì)不同的段之間的訪問(wèn)進(jìn)行控制，制止沒(méi)有訪問(wèn)權(quán)限的用戶進(jìn)行跨段訪問(wèn)。Vlan技術(shù)適合應(yīng)用校園網(wǎng)的分段管理，尤其是采用交換式局域網(wǎng)的學(xué)校。網(wǎng)絡(luò)分段分為兩種情況：

（1）物理分段，其在網(wǎng)絡(luò)的物理層或者數(shù)據(jù)鏈路層上進(jìn)行分段操作，不同的段之間不能交互。

（2）邏輯分段，指在網(wǎng)絡(luò)層上進(jìn)行分段技術(shù)。以TCP/IP網(wǎng)絡(luò)為例，將該網(wǎng)絡(luò)劃分成若干不同的網(wǎng)段，若各個(gè)網(wǎng)段之間進(jìn)行交互，可通過(guò)中間設(shè)備來(lái)對(duì)各個(gè)網(wǎng)段間的交互進(jìn)行控制，中間設(shè)備包括路由器、網(wǎng)關(guān)、防火墻等。在現(xiàn)實(shí)生活中，將這兩種分段技術(shù)結(jié)合起來(lái)使用最為常見(jiàn)。

2.5 對(duì)重要數(shù)據(jù)及時(shí)進(jìn)行備份，做好應(yīng)急預(yù)案

由于校園網(wǎng)內(nèi)儲(chǔ)存著資源，所以需要通過(guò)信息備份和更新功能對(duì)丟失的信息及時(shí)恢復(fù)。備份不僅涉及校園網(wǎng)重要數(shù)據(jù)還包含了關(guān)鍵設(shè)備和線路的相關(guān)信息。網(wǎng)絡(luò)管理人員應(yīng)對(duì)關(guān)鍵線路數(shù)據(jù)進(jìn)行備份，當(dāng)出現(xiàn)故障時(shí)，可通過(guò)備份線路確保校園網(wǎng)安全正常運(yùn)行。此外，確保校園網(wǎng)絡(luò)安全關(guān)鍵舉措是提前做好應(yīng)急方案措施，如果校園網(wǎng)出現(xiàn)故障，可保證在有預(yù)案的情況下減少外部環(huán)境或人為的破壞。

2.6 加強(qiáng)設(shè)備的管理

管理人員要對(duì)分散在校園各個(gè)地方的網(wǎng)絡(luò)設(shè)置進(jìn)一步加強(qiáng)監(jiān)控維護(hù)，以防設(shè)備遭到自然條件或人為的破壞，最基礎(chǔ)的是要保障機(jī)房、網(wǎng)絡(luò)布線和供應(yīng)電等環(huán)節(jié)的正常、安全進(jìn)行。不僅需要建立校園網(wǎng)全管理機(jī)制和組織相關(guān)人員建立了解安全管理知識(shí)的網(wǎng)絡(luò)隊(duì)伍，而且對(duì)員工進(jìn)行崗前安全管理知識(shí)培訓(xùn)，對(duì)新入學(xué)的新生進(jìn)行網(wǎng)絡(luò)安全知識(shí)教育。校園網(wǎng)逐漸被人們認(rèn)可所應(yīng)用，地位日益提升，與此同時(shí)，各式各樣安全問(wèn)題隨之出現(xiàn)。系統(tǒng)和軟件具有局限性，計(jì)算機(jī)網(wǎng)絡(luò)是開(kāi)放的，因此再嚴(yán)格的防范措施也不能從根本上杜絕網(wǎng)絡(luò)安全問(wèn)題，因此，我們需要從自身做起，提高安全意識(shí)，防止無(wú)權(quán)限用戶訪問(wèn)和和黑客攻擊，進(jìn)而促進(jìn)校園網(wǎng)安全、迅速發(fā)展。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)通信技術(shù)發(fā)展越來(lái)越迅速，校園網(wǎng)發(fā)展指日可待，那么，目前主要任務(wù)就是怎樣讓中職院校的校園網(wǎng)能夠安全發(fā)展。由于中職院校中的學(xué)生，也就是用戶眾多，操作過(guò)程十分復(fù)雜。所以，要利用不同有效網(wǎng)絡(luò)管理技術(shù)對(duì)運(yùn)行情況進(jìn)行監(jiān)控和維護(hù)，提高校園網(wǎng)安全性，實(shí)現(xiàn)學(xué)生和教師安全上網(wǎng)的目標(biāo)。