摘要：近來頻頻看到黑客利用網(wǎng)絡竊取學校信息資料，學生和家長被犯罪分子敲詐勒索等犯罪行為的新聞報道，從而引發(fā)了對學校的網(wǎng)絡安全擔憂。Internet網(wǎng)絡應用在學校普及非常廣泛，網(wǎng)絡安全問題只采用防火墻，殺毒軟件等手段來保護。從學校網(wǎng)絡建設現(xiàn)狀出發(fā)，闡述存在的網(wǎng)絡安全隱患。通過分析，提出把學校各個網(wǎng)絡區(qū)域隔離開來，根據(jù)安全級別，采用網(wǎng)絡物理隔離技術，避免學校信息資料被黑客竊取，木馬程序破壞，同時也防止內(nèi)部網(wǎng)絡用戶的非法訪問。

關鍵詞：網(wǎng)絡；安全；物理隔離；病毒；學校

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11617-02

Using Physical Isolation Technics Guarantee School's Network Safety

CHEN Heng-tan

(The Network Center of Finance and Accounting Cadre Manages's Institute in Fujian Province， Fuzhou 350001， China)

Abstract: Recently， it frequently see reports of Hacker using network to steals school's information and Blackmailing student and guardian's Criminality. It cause worries to school's network safety。Internet network's Application is very universal in schools，It use firewall and Anti-virus software to protect school's network. From school's network construction situation，It expound underlying hidden trouble. Passing analysis，It proposes to isolate all area of school's network. Basis for safe level，using network physical isolation technics avoids hacker stealing school's information and Anti-virus destructing，too preventing innerior user accessing.

Key words: Network；Safety；Physical isolation；Anti-virus；School

1 學校網(wǎng)絡建設現(xiàn)狀

學校網(wǎng)絡區(qū)域可以分為以下幾個部分：

(1)教學區(qū)：負責教學日常工作任務的網(wǎng)絡區(qū)域；

(2)宿舍區(qū)：負責學生、教職工住屬區(qū)日常上網(wǎng)的網(wǎng)絡區(qū)域；

(3)圖書館區(qū)：負責圖書館日常借書、還書、查詢的網(wǎng)絡區(qū)域；

(4)辦公區(qū)：負責學校日常政務辦公的網(wǎng)絡區(qū)域；

(5)計算機教學區(qū)：負責計算機上機實驗、學習的網(wǎng)絡區(qū)域。

以上各網(wǎng)絡區(qū)域都已經(jīng)接入Internet網(wǎng)，傳統(tǒng)的網(wǎng)絡結構如下：

從以上網(wǎng)絡拓樸結構可以看出，整個學校的Internet入口通過一道防火墻接入學校，而學校各個分區(qū)網(wǎng)絡都通過內(nèi)部的局域網(wǎng)絡互相連接。防火墻可以阻擋大部分的Internet黑客侵入，內(nèi)部網(wǎng)絡信息安全采用殺毒軟件加以保護。整個學校各部分的網(wǎng)絡區(qū)域在物理連接上是可以互通的。

2 安全隱患

從學校建設的網(wǎng)絡架構現(xiàn)狀分析，所有網(wǎng)絡區(qū)域通過以太網(wǎng)互連，各網(wǎng)絡區(qū)域通過共同的一個Internet的出口訪問互聯(lián)網(wǎng)，中間假設一道防火墻。

防火墻實際上是一種隔離技術，它把Internet網(wǎng)（外網(wǎng)）用戶和內(nèi)部（內(nèi)網(wǎng)）用戶互相隔離開來。既要保證需要的數(shù)據(jù)交換和相互訪問，又要防御惡意或非法訪問。通過防火墻的策略，把一些不可信用戶拒之門外，而那些合法的用戶則暢通無阻。

防火墻技術對大部分信息資料都能起到很好的保護作用，但是對于那些專業(yè)級的盜客，還是防不勝防。而無論從包過濾技術還是從代理技術來說，其關鍵的都在于使數(shù)據(jù)有選擇的通過，而不是徹底的把數(shù)據(jù)隔離。（參考網(wǎng)絡資料的介紹）

從另一方面看，學校內(nèi)部網(wǎng)絡是互相連通的，服務器、個人電腦通過安裝殺毒軟件、防火墻軟件來防犯病毒的破壞和非法的訪問，這些安全措施只起到了有限的保護。比如圖書館信息資料庫、人事檔案資料庫、學生資料庫等等重要資料完全暴露在內(nèi)網(wǎng)用戶的眼皮底下，利用黑客工具可以侵入到他人的電腦系統(tǒng)中。

由此可見，學校網(wǎng)絡安全現(xiàn)狀堪憂。如果不加以重視，詐騙學生和家長、以及盜竊學校畢業(yè)證書信息資料的案件仍將發(fā)生。

3 網(wǎng)絡物理隔離技術

網(wǎng)絡物理隔離技術就是把內(nèi)網(wǎng)和外網(wǎng)、內(nèi)網(wǎng)各區(qū)域物理隔離開的應用技術。物理隔離技術不是采用軟件的隔離方法，而是采取物理線路的隔離，再專業(yè)的Internent黑客高手也無法侵入。

目前采用網(wǎng)絡物理隔離技術的有物理安全隔離卡、物理隔離集線器、物理隔離網(wǎng)閘幾種，解決學校網(wǎng)絡物理隔離問題采用其中的一種技術即可。本文建議采用網(wǎng)絡物理隔離卡能更加靈活、低成本的改造網(wǎng)絡?，F(xiàn)以物理安全隔離卡為例闡述工作原理。

網(wǎng)絡物理安全隔離卡的控制原理是在計算機中安裝兩塊硬盤（內(nèi)網(wǎng)及外網(wǎng)硬盤），兩塊硬盤的操作系統(tǒng)分別控制兩個網(wǎng)絡連接，一塊硬盤對應內(nèi)部網(wǎng)絡，即內(nèi)網(wǎng)；另一塊硬盤對應外部網(wǎng)絡，即外網(wǎng)。兩個網(wǎng)絡的網(wǎng)線以及兩個硬盤的控制線均接到網(wǎng)絡安全物理隔離卡上，通過卡上的專用控制電路來控制硬盤及網(wǎng)絡的切換，保證在同一時刻只有一個硬盤及一個網(wǎng)絡處于工作狀態(tài)，而另一個硬盤及另一個網(wǎng)絡處于完全物理隔離即非工作狀態(tài)，這樣就最大限度的保證了網(wǎng)絡使用的安全性。（參考各網(wǎng)站有關網(wǎng)絡物理隔離技術介紹）

網(wǎng)絡物理隔離網(wǎng)絡連接示意圖如下：

從網(wǎng)絡示意圖可以看出：整個網(wǎng)絡被劃分為內(nèi)網(wǎng)和外網(wǎng)兩個部分。處于外網(wǎng)的用戶與內(nèi)網(wǎng)的物理連接不存在；處于內(nèi)網(wǎng)的用戶接入網(wǎng)絡隔離卡，在同一個時間段只能訪問外網(wǎng)或內(nèi)網(wǎng)。任何Internet用戶都無法利用木馬或病毒軟件與內(nèi)網(wǎng)取得物理連接，從而保護內(nèi)網(wǎng)的信息資料安全。

4 學校網(wǎng)絡安全建設方案

從現(xiàn)有的學校網(wǎng)絡建設現(xiàn)狀來看，學校的各個網(wǎng)絡區(qū)域互相連接在一起，重要的安全區(qū)域和普通網(wǎng)絡區(qū)域沒有嚴格隔離開，從而造成安全隱患。

學校網(wǎng)絡區(qū)域主要分為教學區(qū)、宿舍區(qū)、圖書館區(qū)、辦公區(qū)、計算機教學區(qū)幾個部分，每個網(wǎng)絡區(qū)域承擔不同的用戶群。對重要的網(wǎng)絡區(qū)域采用網(wǎng)絡物理安全隔離技術，確保信息資料的安全。

首先對各個網(wǎng)絡區(qū)域劃分安全級別：

(1)宿舍區(qū)、計算機教學區(qū)屬于無固定用戶的區(qū)域，也無重要信息資料，安全級別不高，可以采用傳統(tǒng)的防火墻保護。

(2)辦公區(qū)是學校教職工日常政務辦公場所，各用戶電腦中存有重要的信息學生檔案、辦公文件等資料，安全要求高，需要嚴格保密。

(3)圖書館區(qū)是學校的一個重要組成部分。圖書館存有大量的書籍資料，不允許任何人非法撰改，安全高。

(4)教學區(qū)負責教學任務，計算機信息化程度不高，也無重要信息資料，安全要求不高，采用防火墻保護即可。

從以上分析，辦公區(qū)、圖書館區(qū)的信息資料安全要求高，應加以物理隔離保護，而宿舍區(qū)、計算機教學區(qū)、教學區(qū)的安全不高。而學校的區(qū)域范圍大，應該采用多個局域網(wǎng)分塊建設的方案，每個網(wǎng)絡分區(qū)再根據(jù)安全級別確定是否采用物理安全隔離技術，從而保障學校的信息資料的安全。

網(wǎng)絡建設示意圖如下：

從網(wǎng)絡示意圖的方案可以看出，學校的內(nèi)網(wǎng)和外網(wǎng)跟以前的方案沒有什么區(qū)別，但是在新方案中最大區(qū)別是內(nèi)網(wǎng)的保護區(qū)域又劃分為兩個區(qū)域，一個區(qū)域是非保密區(qū)域網(wǎng)絡，另一個區(qū)域是嚴格保密的網(wǎng)絡區(qū)域。非保護區(qū)域網(wǎng)絡通過一道防火墻接入Internet網(wǎng)；嚴格保密的網(wǎng)絡區(qū)域再建設兩個互不相連的局域網(wǎng)，用戶通過物理安全隔離卡在同一時間只能訪問一個網(wǎng)絡，這樣就從物理隔離上確保學校重要的信息資料和個人辦公資料的安全。

學校網(wǎng)絡物理安全隔離技術的應用，可以看出以下特點：

(1)明確學校不同區(qū)域的網(wǎng)絡安全級別，對網(wǎng)絡管理和監(jiān)控更容易控制；

(2)受嚴格保護區(qū)域的網(wǎng)絡建設改造工作量不大，容易實施；

(3)網(wǎng)絡改造費用不高，單個用戶只要添加一塊網(wǎng)絡物理隔離卡和硬盤即可；

(4)保護區(qū)域網(wǎng)絡安全級別高，任何網(wǎng)絡黑客、木馬、病毒都無法侵入受保護的電腦系統(tǒng)；

(5)該方案適合各大中院校的網(wǎng)絡安全建設。

5 結束語

學校的學生檔案資料、畢業(yè)證書資料是極其重要的，網(wǎng)絡黑客利用種種非法手段獲取這些資料，以達到高額的非法收入。象市場上的假文憑居然跟學校的畢業(yè)證書一模一樣，這都是利用學校網(wǎng)絡的漏洞而產(chǎn)生的“杰作”。

本文從學校的網(wǎng)絡建設現(xiàn)狀出發(fā)，分析了各個網(wǎng)絡區(qū)域的安全級別。再從網(wǎng)絡物理隔離技術的工作原理入手，建議采用物理安全隔離卡技術把重要的網(wǎng)絡區(qū)域加以保護，從而有效的保障整個學校網(wǎng)絡的安全。

從各個網(wǎng)站的報道來看，學校的網(wǎng)絡安全問題還不容樂觀，網(wǎng)絡安全建設還任重道遠。

參考文獻：

[1] 王迎春， 謝琳. 網(wǎng)絡安全體系結構[M]. 人民郵電出版社， 2005.6.

[2] 雷程煒， 程雙劍， 金毅. 構筑Windows網(wǎng)絡安全——從外圍到數(shù)據(jù)[M]. 電子工業(yè)出版社， 2007.8.

[3] 馬鈞， 廖力清， 凌玉華. 一種基于linux的雙主板網(wǎng)絡物理隔離技術[J]. 電子技術， 2004，(3).

[4] 董保國. 網(wǎng)絡安全的物理隔離技術[J]. 計算機技術與自動化， 2004，(2).

[5] 李捷， 汪海航， 譚成翔. 基于網(wǎng)絡隔離系統(tǒng)的業(yè)務代理設計[J]. 計算機應， 2006，(11).