摘要：在建設(shè)校園網(wǎng)絡(luò)的過程中遇到兩種類型的安全問題:物理安全和邏輯安全。本文擬重點(diǎn)從某院校園網(wǎng)絡(luò)的邏輯安全角度進(jìn)行探討，找出安全存在的隱患，從而建立一套有效的校園網(wǎng)絡(luò)安全機(jī)制。

關(guān)鍵詞：網(wǎng)絡(luò)安全、安全隱患、安全策略設(shè)計(jì)

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：A

1引言

繼中國(guó)科技大學(xué)、清華大學(xué)、北京大學(xué)等第一批鋪設(shè)數(shù)字化校園網(wǎng)的高校之后，全國(guó)各地的大中專院校都掀起了轟轟烈烈的數(shù)字化校園浪潮。在結(jié)合該院自身實(shí)際條件下，各大高校都以建立一個(gè)以校園網(wǎng)為基礎(chǔ)的集教學(xué)管理、消費(fèi)、身份認(rèn)證等服務(wù)為一體的新型數(shù)字化的工作、學(xué)習(xí)、生活環(huán)境為奮斗目標(biāo)。在數(shù)字化校園規(guī)劃與建設(shè)過程中，有一個(gè)非常關(guān)鍵而棘手的問題，那就是網(wǎng)絡(luò)安全問題。在當(dāng)今網(wǎng)絡(luò)開放式互聯(lián)的環(huán)境下，各種病毒蔓延和黑客攻擊令人叫苦不迭，網(wǎng)絡(luò)安全問題已成為數(shù)字化校園建設(shè)的一個(gè)重要問題。

2數(shù)字化校園及其網(wǎng)絡(luò)安全

數(shù)字化校園是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)對(duì)學(xué)校與教學(xué)、科研、管理和生活服務(wù)有關(guān)的所有信息資源進(jìn)行全面的數(shù)字化；并用科學(xué)規(guī)范的管理對(duì)這些信息資源進(jìn)行整合和集成，以構(gòu)成統(tǒng)一的用戶管理、統(tǒng)一的資源管理和統(tǒng)一的權(quán)限控制；把學(xué)校建設(shè)成面向校園內(nèi)，也面向社會(huì)的一個(gè)超越時(shí)間、超越空間的虛擬學(xué)校。

針對(duì)數(shù)字化校園網(wǎng)絡(luò)化和信息化的特點(diǎn)，其安全問題成為當(dāng)今亟待解決的重要問題。網(wǎng)絡(luò)安全包括物理安全和邏輯安全兩方面：

系統(tǒng)的物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信計(jì)算機(jī)設(shè)備以及相關(guān)設(shè)備的物理保護(hù)，免予破壞、丟失等；系統(tǒng)的邏輯安全包括數(shù)字化校園的整合網(wǎng)絡(luò)系統(tǒng)和承擔(dān)各個(gè)業(yè)務(wù)流程的功能子系統(tǒng)的安全。邏輯安全包括信息的完整性、保密性和可用性三個(gè)要素。保密性是指信息不會(huì)泄漏給未經(jīng)授權(quán)的人，完整性是指計(jì)算機(jī)系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序，可用性是指能夠防止非法獨(dú)占計(jì)算機(jī)資源和數(shù)據(jù)，合法用戶的正常請(qǐng)求能及時(shí)、正確、安全的得到服務(wù)或回應(yīng)。

隨著現(xiàn)代計(jì)算機(jī)系統(tǒng)功能的日漸復(fù)雜，網(wǎng)絡(luò)體系日漸強(qiáng)大，正在對(duì)社會(huì)產(chǎn)生巨大而深遠(yuǎn)的影響，但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊，所以使得安全問題越來越突出。校園的網(wǎng)絡(luò)系統(tǒng)是整合數(shù)字化校園的基礎(chǔ)，它連接了各個(gè)功能子系統(tǒng)，各個(gè)系部，還有大量的個(gè)人電腦(如校園內(nèi)學(xué)生、教師的PC等)，所以它的安全是至關(guān)重要的。因此，要提高計(jì)算機(jī)網(wǎng)絡(luò)的防御能力，加強(qiáng)網(wǎng)絡(luò)的安全措施，以保證其正常運(yùn)行。眾所周知，無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅，故此，網(wǎng)絡(luò)的防御措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性進(jìn)行預(yù)防，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。俗話說“知己知彼，百戰(zhàn)百勝”，要保證校園網(wǎng)絡(luò)安全，首先必須深入了解威脅校園網(wǎng)絡(luò)安全的“敵人”，即必須了解校園網(wǎng)絡(luò)安全的隱患。

3數(shù)字化校園網(wǎng)絡(luò)安全隱患

校園網(wǎng)絡(luò)是借助主干通信網(wǎng)，將各地的分部門和總部聯(lián)接，同時(shí)與Internet互聯(lián)，這就勢(shì)必會(huì)出現(xiàn)如下的安全隱患問題：

(1) 總部局域網(wǎng)和各分、子部門局域網(wǎng)之間，分、子部門與下屬機(jī)構(gòu)局域網(wǎng)之間以及廣域網(wǎng)干線上信息傳輸?shù)陌踩Ｃ軉栴}。

(2) 總部局域網(wǎng)及各分、子部門局域網(wǎng)自身的安全，要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶非法授權(quán)訪問和破壞等。

(3) 來自外部的非授權(quán)用戶非法攻擊和破壞，以及內(nèi)部用戶對(duì)外部非法站點(diǎn)的訪問。

現(xiàn)實(shí)存在的網(wǎng)絡(luò)安全問題涉及面很廣，但不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、主機(jī)操作系統(tǒng)的缺陷以及安全管理不善等因素上。由此可見，根據(jù)存在的安全隱患進(jìn)行科學(xué)的安全策略設(shè)計(jì)，構(gòu)筑必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。

4校園數(shù)字化網(wǎng)絡(luò)安全策略設(shè)計(jì)

安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。該安全策略設(shè)計(jì)包括了建立安全環(huán)境的三個(gè)重要組成部分，即：

先進(jìn)的技術(shù)。先進(jìn)和安全技術(shù)是信息安全的根本保障，用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制然后集成先進(jìn)的安全技術(shù)，這樣才能保證對(duì)安全問題的徹底解決。先進(jìn)的安全技術(shù)主要包括訪問控制、防火墻、加密、鑒別、數(shù)字簽名、審計(jì)監(jiān)控、入侵防范、防病毒、網(wǎng)絡(luò)安全檢測(cè)等技術(shù)。

嚴(yán)格的管理。網(wǎng)絡(luò)安全問題在很大程度上是非技術(shù)因素，安全管理漏洞和疏忽是最大的安全隱患。只有把安全管理制度與安全技術(shù)手段結(jié)合起來，這個(gè)網(wǎng)絡(luò)的安全性才有保障。所以應(yīng)嚴(yán)格執(zhí)行相關(guān)的安全管理制度，握手操作規(guī)程、維護(hù)制度等，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體安全意識(shí)。安全管理的原則一般有以下三個(gè)原則：(1)多人負(fù)責(zé)原則。每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)，例如訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用媒介的發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)等等。(2)任期有限原則。一般地講任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的，為了遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使得任期有限制度切實(shí)可行。(3)職責(zé)分離原則。在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，如有必要了解則需經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。例如在計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制等情況下應(yīng)當(dāng)盡量讓工作人員分開。

威嚴(yán)的法律和規(guī)章制度。安全的基石是社會(huì)法律、法規(guī)與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律的威嚴(yán)，不敢輕舉妄動(dòng)。網(wǎng)絡(luò)系統(tǒng)安全方面的法律和規(guī)章制度分兩部分，一是國(guó)家及主管部門在信息安全方面的法律、法規(guī)與規(guī)定；另一部分是數(shù)字化校園自身的制度和規(guī)定，它應(yīng)該與系統(tǒng)所采取的各種安全機(jī)制相輔相成，互為補(bǔ)充。既然安全策略的設(shè)計(jì)涉及到了這么多網(wǎng)絡(luò)安全的措施，那怎樣對(duì)一個(gè)數(shù)字化校園網(wǎng)絡(luò)進(jìn)行安全管理呢？現(xiàn)擬某學(xué)院數(shù)字化網(wǎng)絡(luò)為例，擬定一個(gè)校園網(wǎng)的安全策略。具體工作是：

(1) 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。

(2) 根據(jù)確定的安全等級(jí)，確定安全管理范圍。

(3) 制訂相應(yīng)的機(jī)房出入管理制度。

對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與已無關(guān)的區(qū)域，出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身分卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。

(4) 制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。

(5) 制訂完備的系統(tǒng)維護(hù)制度。對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等，維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。

(6) 制訂應(yīng)急措施。要制訂系統(tǒng)在特殊情況下，如何恢復(fù)的應(yīng)急措施，使損失減至最小。

5數(shù)字化校園網(wǎng)絡(luò)安全案例

以某技術(shù)職業(yè)學(xué)院校園網(wǎng)絡(luò)安全策略為例，介紹安全策略的設(shè)計(jì)。該學(xué)院是一所面向全國(guó)招生，以培養(yǎng)?？茖哟蔚膽?yīng)用型高等職業(yè)技術(shù)人才的全日制普通高等院校。該校數(shù)字化網(wǎng)絡(luò)一期工程為全校教育和科研建立了計(jì)算機(jī)信息網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)計(jì)算機(jī)聯(lián)網(wǎng)，信息資源共享并通過與Internet互聯(lián)，實(shí)現(xiàn)了與信息世界的多元化、直接性交流，其服務(wù)對(duì)象主要是校內(nèi)的教學(xué)、學(xué)生實(shí)驗(yàn)機(jī)房、行政管理單位等。下圖為該院校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖：

對(duì)該院校園網(wǎng)中的安全現(xiàn)狀進(jìn)行分析，隱患大致來自以下五個(gè)方面：

(1) 校園網(wǎng)通過與Internet相聯(lián)，在享受Internet方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。

(2) 目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。目前校園網(wǎng)的網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)是WindowsNT/Windows2000，這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同，例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系統(tǒng)：本身系統(tǒng)的漏洞、瀏覽器的漏洞(RIP路由轉(zhuǎn)移等)、服務(wù)安全漏洞等等，這些都對(duì)原有網(wǎng)絡(luò)安全構(gòu)成威脅。

(3) 校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些?，F(xiàn)在，黑客攻擊工具在網(wǎng)上泛濫成災(zāi)，而個(gè)別學(xué)生的心理特點(diǎn)決定了其利用這些工具進(jìn)行攻擊的可能性。

(4) 隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，而這些節(jié)點(diǎn)大部分沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

(5) 限于該院數(shù)字化的進(jìn)程，目前的網(wǎng)絡(luò)防護(hù)體系中還缺少硬件級(jí)防火墻這一防護(hù)環(huán)節(jié)，即沒有對(duì)內(nèi)部網(wǎng)和外部網(wǎng)進(jìn)行有效的隔離，網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)的安全性，在一定意義上，所有主系統(tǒng)必須通力協(xié)作來實(shí)現(xiàn)均勻一致的高級(jí)安全性。子網(wǎng)越大，把所有主系統(tǒng)保持在相同的安全性水平上的可管理能力就越小，隨著安全性的和失誤越來越普遍，入侵就很難避免。曾經(jīng)嘗試過在代理服務(wù)器上(代理機(jī))安裝防火墻軟件進(jìn)行安全隔離，即建立應(yīng)用級(jí)防火墻。但在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過代理服務(wù)器訪問Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次訪問才能訪問Internet的情況。這是因?yàn)樵撥浖仨毞治鼍W(wǎng)絡(luò)數(shù)據(jù)包并做出訪問控制決定，從而影響了網(wǎng)絡(luò)的性能。一般來說，如果計(jì)劃選用應(yīng)用級(jí)防火墻，最好選用較高性能的計(jì)算機(jī)運(yùn)行代理服務(wù)器。但由于涉及到帶寬、經(jīng)費(fèi)等多方面的限制，該院用作代理服務(wù)器的計(jì)算機(jī)性能并不是很理想，導(dǎo)致網(wǎng)絡(luò)速度較慢，網(wǎng)絡(luò)服務(wù)質(zhì)量還有待提高。因此這必須在校園數(shù)字化網(wǎng)絡(luò)中必須采用一定的安全策略，就這一問題，結(jié)合當(dāng)前實(shí)際的前提下作者進(jìn)行了廣泛的調(diào)研和悉心比較，最后決定融合思科公司和瑞星設(shè)計(jì)的校園網(wǎng)絡(luò)安全系統(tǒng)方案再整合其它相關(guān)先進(jìn)的管理技術(shù)以拓展安全管理范圍和增強(qiáng)安全管理的效果。提出了兩種方案可供選擇：

方案一：智能防火墻型。即用一臺(tái)智能防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet連接。那么，通過Internet進(jìn)來的公眾用戶只能訪問到對(duì)外公開的一些服務(wù)(如WWW、E-mail、FTP、DNS等)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。現(xiàn)在比較流行的智能型防火墻有CISCOPIX系列防火墻、ONTECHNOLOGY軟件公司生產(chǎn)的ONGUARD和CHECKPOINT軟件公司生產(chǎn)的FIREWALL－1防火墻等。這一方案的優(yōu)點(diǎn)是：在實(shí)際應(yīng)用中，對(duì)用戶的“透明度”較高，便于管理和控制。而缺點(diǎn)就是價(jià)格昂貴，不易被一般用戶所接受。

方案二：網(wǎng)絡(luò)層防火墻＋代理服務(wù)器。即把網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻綜合在一起。因?yàn)榫W(wǎng)絡(luò)層防火墻具有速度快、費(fèi)用低、對(duì)用戶透明等優(yōu)點(diǎn)，但是它對(duì)網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力，特別是對(duì)于應(yīng)用層上的黑客行為無能為力。而應(yīng)用層防火墻(主要為代理服務(wù)器)有較好的訪問控制，目前存在HTTP、TELNET、FTP、POP3和GOPHER等代理服務(wù)器，并且這些服務(wù)只需要一個(gè)代理服務(wù)器就可以實(shí)現(xiàn)。這一方案的優(yōu)點(diǎn)是：費(fèi)用低，性價(jià)比較高。而缺點(diǎn)則是“透明底”較低，需要由經(jīng)驗(yàn)相對(duì)豐富的管理人員人進(jìn)行管理，即對(duì)管理人員的要求較高。

由此看來，兩種方案各有千秋，應(yīng)用中可以根據(jù)自身實(shí)際進(jìn)行選擇，在此，從性價(jià)比和實(shí)際情況的角度考慮，選擇方案二，見圖2。注意，圖中為了方便表示把網(wǎng)絡(luò)層防火墻和代理服務(wù)器兩個(gè)防火墻只用一個(gè)防火墻記號(hào)標(biāo)示。

選擇好了防火墻，還應(yīng)對(duì)其進(jìn)行正確配置才能充分發(fā)揮其安全防護(hù)的性能，在防火墻設(shè)置上按照以下配置原則來提高網(wǎng)絡(luò)安全性：

(1) 根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。

(2) 將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊，過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。

(3) 在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。

(4) 定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

(5) 允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。

6檢測(cè)系統(tǒng)的部署

數(shù)字化校園網(wǎng)中包含了幾個(gè)系統(tǒng)的部署，其中有入侵檢測(cè)系統(tǒng)部署、網(wǎng)絡(luò)安全系統(tǒng)檢測(cè)系統(tǒng)部署和殺毒產(chǎn)品部署等。

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的，無法動(dòng)態(tài)設(shè)置，缺少針對(duì)攻擊的必要性和靈活性，不能更好的保護(hù)網(wǎng)絡(luò)的安全，所以部署IDS并使IDS與防火墻聯(lián)動(dòng)的目的就是為了更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度，強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。根據(jù)該院網(wǎng)絡(luò)的特點(diǎn)，采取思科公司的網(wǎng)絡(luò)IDS和主機(jī)并用的措施，對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來講就是將思科IDS入系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)，如果情況嚴(yán)重，思科IDS還會(huì)發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員及時(shí)采取應(yīng)對(duì)措施。

在網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)上考慮采用網(wǎng)絡(luò)安全檢測(cè)工具如SATAN等定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

殺毒產(chǎn)品部署上采用了瑞星網(wǎng)絡(luò)版的殺毒產(chǎn)品，為了達(dá)到要在整個(gè)局域網(wǎng)內(nèi)病毒感染、傳播和發(fā)作這一目的，在整個(gè)網(wǎng)絡(luò)內(nèi)可能傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能，提出以下建議：

(1) 在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的WINDOWS2000服務(wù)器，負(fù)責(zé)管理多個(gè)主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。

(2) 在各行政、教學(xué)單位等多個(gè)分支機(jī)構(gòu)分別安裝殺毒軟件。

(3) 管理員在安裝完殺毒軟件以后，要由網(wǎng)絡(luò)中心的系統(tǒng)定期地、自動(dòng)地到網(wǎng)站上獲取最新的升級(jí)文件，然后自動(dòng)將更新的升級(jí)文件分發(fā)到其它各個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并且對(duì)殺毒軟件進(jìn)行更新。

常言說：“三分技術(shù)，七分管理”，安全的處理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。建議以下一套校園網(wǎng)絡(luò)安全管理的模式：

第一：網(wǎng)絡(luò)規(guī)劃階段的一些安全策略。

(1) 明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。人是制定和執(zhí)行網(wǎng)絡(luò)安全策略的主體，對(duì)于校園網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員可以是網(wǎng)絡(luò)安全責(zé)任人。

(2) 對(duì)網(wǎng)絡(luò)上所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備，設(shè)置物理上的安全措施(防火、防盜)和環(huán)境上的安全措施(供電、溫度)，對(duì)校園的局域網(wǎng)要將網(wǎng)絡(luò)上的公用服務(wù)器和主交換設(shè)備安置在一間中心機(jī)房?jī)?nèi)集中放置。

(3) 進(jìn)行容錯(cuò)和備份。安全策略不可能保證網(wǎng)絡(luò)絕對(duì)安全和硬件不出故障，網(wǎng)絡(luò)應(yīng)允許出現(xiàn)一些故障，并且可以很快從災(zāi)難中恢復(fù)，網(wǎng)絡(luò)的主備份應(yīng)位于中心機(jī)房。

(4) 因?yàn)榫W(wǎng)絡(luò)與Internet有固定聯(lián)接(靜態(tài)的IP地址)，要在網(wǎng)絡(luò)和INTERNET之間安裝防火墻。

(5) 網(wǎng)絡(luò)使用代理服務(wù)器訪問Internet，不僅可以降低訪問成本，而且隱藏了網(wǎng)絡(luò)規(guī)模和特性，加強(qiáng)了網(wǎng)絡(luò)的安全性。

第二：對(duì)網(wǎng)絡(luò)管理員的一些安全策略建議。

對(duì)校園網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員一般承擔(dān)安全管理員的角色。網(wǎng)絡(luò)管理員采取的安全策略，最主要的是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。

(1) 網(wǎng)絡(luò)管理員必須了解整個(gè)網(wǎng)絡(luò)中的重要公共數(shù)據(jù)(限制寫)和機(jī)密數(shù)據(jù)(限制讀)分別是哪些，它在哪兒，哪些人在使用，屬于哪些人，丟失或泄密會(huì)造成怎樣的損失，這些重要數(shù)據(jù)集中位于中心服務(wù)器上，置于有安全經(jīng)驗(yàn)的專人管理之下。

(2) 定期對(duì)和各類用戶進(jìn)行安全培訓(xùn)。

(3) 一般不直接給用戶賦權(quán)，而通過用戶組分配用戶權(quán)限。

(4) 新增用戶時(shí)分配一個(gè)口令，并控制用戶“首次登錄必須更改口令”，最好進(jìn)一步設(shè)置成的口令不低于6個(gè)字符，杜絕安全漏洞。

(5) 至少對(duì)用戶“登錄和注銷”網(wǎng)絡(luò)、“重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)”、“安全規(guī)則更改”活動(dòng)進(jìn)行審計(jì)，但不要忘了過多的審計(jì)將影響系統(tǒng)性能。

(6) 文件服務(wù)器不與Internet直接連接，專用代理服務(wù)器，不允許客戶機(jī)通過MODEM連到INTERNET，形成在防火墻內(nèi)的連接。

(7) 可以利用“TCP/IP安全”對(duì)話框，關(guān)閉INTERNET上機(jī)器不用的TCP/UDP端口，過濾流入服務(wù)器的請(qǐng)求，特別是限制使用TCP/UDP的137、138、139端口。

(8) 可以考慮將對(duì)外的Web服務(wù)器放在防火墻之外，隔離外界對(duì)內(nèi)的訪問以保護(hù)內(nèi)部的敏感數(shù)據(jù)。

(9) 對(duì)只提供內(nèi)部訪問的服務(wù)器和客戶機(jī)可以采用非TCP/IP實(shí)現(xiàn)連接，這樣可以隔離Internet訪問。

(10) 利用端口掃描工具，定期在防火墻外對(duì)網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶進(jìn)行端口掃描。

第三：對(duì)校園網(wǎng)絡(luò)用戶的一些安全策略建議。

數(shù)字化校園網(wǎng)絡(luò)的安全不僅僅是網(wǎng)絡(luò)管理員的事，校園網(wǎng)絡(luò)上的每一個(gè)用戶都有責(zé)任，網(wǎng)絡(luò)用戶也可以了解一下以下的網(wǎng)絡(luò)安全知識(shí)：

(1) 用一個(gè)長(zhǎng)且難猜的口令，不要將自己的口令告訴任何人。

(2) 清楚自己私有數(shù)據(jù)存儲(chǔ)的位置，知道如何備份和恢復(fù)。

(3) 定期參加網(wǎng)絡(luò)知識(shí)和網(wǎng)絡(luò)安全的培訓(xùn)，了解網(wǎng)絡(luò)安全知識(shí)，養(yǎng)成注意安全的工作習(xí)慣。

(4) 盡量不要在本地硬盤上共享文件，因?yàn)檫@樣做將影響自己的機(jī)器安全，最好將共享文件存放在服務(wù)器上，既安全又方便了他人隨時(shí)使用文件。

(5) 通過“系統(tǒng)策略編輯器/注冊(cè)表編輯器”控制在Windows 9x工作站上的“不顯示最后一次登錄的用戶名”和“禁止使用口令緩存”，防止口令從緩存中被獲取和最后一次登錄的用戶被利用。

(6) 設(shè)置有顯示的(即非黑屏，防止誤認(rèn)為關(guān)機(jī))屏幕保護(hù)，并且加上口令保護(hù)。

(7) 當(dāng)你較長(zhǎng)時(shí)間離開機(jī)器時(shí)一定要退出網(wǎng)絡(luò)。

(8) 安裝啟動(dòng)時(shí)病毒掃描軟件。

結(jié)束語：可以預(yù)見，隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)不會(huì)僅局限于數(shù)字化校園，還將日益成為信息交換的重要手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在的隱患，采取強(qiáng)而有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性將變得越來越重要。

參考文獻(xiàn)：

[1] 王育民，劉建偉. 通信網(wǎng)的安全－理念與技術(shù)[M]. 西安電子科技大學(xué)出版社，1999.

[2] 張小斌，嚴(yán)望佳. 網(wǎng)絡(luò)安全與黑客防范[M]. 北京;清華大學(xué)出版社，1999.

[3] 21世紀(jì)計(jì)算機(jī)網(wǎng)絡(luò)工程叢書編委會(huì). 網(wǎng)絡(luò)技術(shù)基礎(chǔ)[M]. 北京希望電子出版社，2000.

[4] 鐘小平，張金石. 網(wǎng)絡(luò)服務(wù)器的配置與應(yīng)用[M]．北京:人民郵電出版社，2002.

[5] 煙波．黑客攻防完全揭秘[M]．重慶出版社，2003.

[6] 閭佳．網(wǎng)絡(luò)安全高手[M]．成都時(shí)代出版社，2003.