[摘要]本文從物理因素、技術(shù)因素、管理因素等角度分析了威脅校園網(wǎng)絡(luò)的幾個因素，并從物理設(shè)備管理、技術(shù)提供、管理人員意識幾方面提出了解決問題的策略。

[關(guān)鍵詞]校園網(wǎng) 網(wǎng)絡(luò)安全 解決方案

現(xiàn)在越來越多的學(xué)校建立了校園網(wǎng)。隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，許多校園網(wǎng)通過專線與互聯(lián)網(wǎng)接軌。隨著校園網(wǎng)建設(shè)的快速發(fā)展，學(xué)校對網(wǎng)絡(luò)的依賴越來越強，但同時隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)的安全管理問題也日益突出。如何能檢測預(yù)防病毒，防止網(wǎng)絡(luò)攻擊，實現(xiàn)網(wǎng)絡(luò)的安全，這已經(jīng)成為不可忽視的問題。下面，筆者談?wù)勛约旱挠^點。

一、什么是網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。

對于校園網(wǎng)安全主要包括物理安全和邏輯安全兩方面。

物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信計算機設(shè)備以及相關(guān)設(shè)備的物理保護，免予破壞、丟失等。

邏輯安全包括信息完整性、機密性和可用性。機密性是指信息不泄漏給未經(jīng)授權(quán)的人，完整性是指計算機系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序，可用性是指系統(tǒng)能夠防止非法獨占計算機資源和數(shù)據(jù)，合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。

二、威脅校園網(wǎng)安全的因素

1.校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多。高校校園網(wǎng)是最早的寬帶網(wǎng)絡(luò)，校園網(wǎng)的用戶群體一般也比較大，少則數(shù)千人、多則數(shù)萬人。正是由于高帶寬和大用戶量的特點，網(wǎng)絡(luò)安全問題一般蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。

2.校園網(wǎng)中的計算機系統(tǒng)管理比較復(fù)雜。校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復(fù)雜，比如，學(xué)生宿舍中的電腦一般是學(xué)生自己花錢購買、自己維護的，有的則是統(tǒng)一采購、有技術(shù)人員負(fù)責(zé)維護的，有的則是教師自主購買、沒有專人維護的。這種情況下，要求所有的客戶端系統(tǒng)實施統(tǒng)一的安全政策（如安裝防病毒軟件、設(shè)置可靠的口令）是非常困難的。由于沒有統(tǒng)一的資產(chǎn)管理和設(shè)備管理，出現(xiàn)安全問題后通常無法分清責(zé)任。更有些計算機乃至服務(wù)器系統(tǒng)建設(shè)完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板，變成攻擊試驗床也無人覺察。

3.活躍的用戶群體。學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對網(wǎng)絡(luò)新技術(shù)充滿好奇，勇于嘗試。如果沒有意識到后果的嚴(yán)重性，有些學(xué)生會嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，可能對網(wǎng)絡(luò)造成一定的影響和破壞。

4.盜版資源泛濫。由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播，一方面，占用了大量的網(wǎng)絡(luò)帶寬，另一方面，也給網(wǎng)絡(luò)安全帶來了一定的隱患。從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。

由于以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是廣大攻擊者最容易攻破的目標(biāo)。因此，校園網(wǎng)常見的風(fēng)險如下：

校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)，內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；外來的系統(tǒng)對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊、入侵等惡意破壞行為，有些計算機已經(jīng)被攻破，用作黑客攻擊的工具；拒絕服務(wù)攻擊目前越來越普遍，不少開始針對重點高校的網(wǎng)站和服務(wù)器；校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強，管理制度不健全，給校園網(wǎng)帶來威脅。

三、校園網(wǎng)絡(luò)安全解決方案

1.配備完整的、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，規(guī)范出口的管理

校園網(wǎng)出口配備了雙冗余的Cisco PIX535防火墻，把校園網(wǎng)絡(luò)分成三個隔離網(wǎng)段：校園內(nèi)部各功能網(wǎng)、DMZ區(qū)、Internet。通過防火墻的隔離，防止了跨網(wǎng)攻擊、網(wǎng)絡(luò)間干擾等安全隱患，同時，病毒的感染范圍也可以得到有效的控制，使各網(wǎng)段的安全性大大提高。

校園網(wǎng)采用了包括路由器、防火墻和交換機在內(nèi)的三層立體集成化安全防御。第一層防護由邊界路由器實現(xiàn)。邊界路由器提供Internet與校園網(wǎng)的連接，為防止外部用戶對服務(wù)器進行非法操作，對服務(wù)器的內(nèi)容進行刪除、修改等破壞，必須對外部訪問的操作進行嚴(yán)格控制。利用Cisco路由器所具有的防火墻功能，可防止各服務(wù)器受到來自外部的破壞。第二層防護由PIX防火墻保障。PIX防火墻將校園內(nèi)部網(wǎng)和外部完全分開，PIX是內(nèi)部各網(wǎng)絡(luò)子系統(tǒng)對外的惟一出口，通過使用PIX防火墻隔離內(nèi)、外網(wǎng)絡(luò)，更進一步保障了內(nèi)部網(wǎng)絡(luò)的安全。第三層防護由交換機提供。網(wǎng)絡(luò)管理員在核心交換機部署防火墻模塊，這是抵御外部攻擊的第三道屏障，也是防止內(nèi)部攻擊的有利手段。

2.服務(wù)器安全措施

（1）密碼的設(shè)置。眾所周知，用密碼保護系統(tǒng)和數(shù)據(jù)的安全是最基本、最常用的方法。但目前發(fā)生的大多數(shù)安全問題，還是由于密碼管理不嚴(yán)造成的。因此，密碼口令的有效管理是非?；镜?，也是非常重要的。首先，絕對杜絕不設(shè)口令的帳號存在，尤其是超級用戶帳號。一些網(wǎng)絡(luò)管理人員，為了圖方便，認(rèn)為服務(wù)器只由自己一個人管理使用，常常對系統(tǒng)不設(shè)置密碼，這樣“入侵者”就能通過網(wǎng)絡(luò)輕而易舉地進入系統(tǒng)。另外，對于系統(tǒng)的一些權(quán)限如果設(shè)置不當(dāng)，對用戶不進行密碼驗證，也可能為“入侵者”留下后門。其次，在密碼口令的設(shè)置上要避免使用弱密碼，就是用容易被人猜出的字符作為密碼。例如，常有人將自己名字的縮寫或6位相同的數(shù)字進行密碼設(shè)置。密碼的長度也是設(shè)置者所要考慮的一個問題。在Windows NT系統(tǒng)中，有一個sam文件，它是Windows NT的用戶帳戶數(shù)據(jù)庫，所有NT用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中。如果“入侵者”通過系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個文件，就能通過一定的程序（如LOphtCrack）對它進行解碼分析。在用LOphtCrack破解時，如果使用“暴力破解”方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是，對于7位或以上的，它至少耗時一個月左右，所以說，在密碼設(shè)置時一定要有足夠的長度?？傊?，在密碼設(shè)置上，最好使用一個不常見、有一定長度的但是你又容易記住的密碼。另外，適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。

（2）及時為系統(tǒng)打補丁。對于Windows操作系統(tǒng)的服務(wù)器，采用Windows自動更新服務(wù)預(yù)防操作系統(tǒng)的漏洞。對于UNIX操作系統(tǒng)，網(wǎng)絡(luò)管理人員時刻關(guān)心相關(guān)廠商的網(wǎng)站上的補丁列表，及時為系統(tǒng)打上相應(yīng)的補丁。

（3）用戶終端IP地址配置。我校選用支持DHCP Snooping功能的接入交換機，用戶的IP地址只能由網(wǎng)絡(luò)中心分配，而不能來自非法的IP地址提供者。對于學(xué)校的職能部門，因為存在一些專用服務(wù)器，為了防止用戶將IP地址手動設(shè)置成服務(wù)器的地址而造成沖突，職能部門的接入交換機全部采用支持IP SourceGuard的交換機，用戶必須從DHCP服務(wù)器取得IP地址才可進行通信，私自設(shè)定IP地址將會自動被交換機禁止。

（4）進行有效的監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證這個記錄的法律性和準(zhǔn)確性。

四、用戶終端系統(tǒng)安全措施

用戶終端的安全包含兩個方面：一個是操作系統(tǒng)的安全性，一個是應(yīng)用程序的安全性。針對操作系統(tǒng)的安全性，我校的校園網(wǎng)內(nèi)安裝了Windows更新服務(wù)器，每天凌晨定時從微軟網(wǎng)站同步下載補丁程序，并及時下發(fā)給終端機，使終端機能及時獲得更新的操作系統(tǒng)補丁。應(yīng)用程序的安全性主要在于防止機器中病毒以及惡意程序的影響。針對病毒影響，我們采用了兩層安全模式：一是在校園網(wǎng)內(nèi)安裝了網(wǎng)絡(luò)版的瑞星殺毒軟件；二是我們在校園網(wǎng)出口以及各個匯聚節(jié)點放置基于集群的病毒網(wǎng)關(guān)，一旦發(fā)現(xiàn)下聯(lián)的客戶機有中毒的癥狀，則主動切斷用戶的連接，并將用戶的鏈接定向到瑞星殺毒軟件進行查殺病毒，并通過自行編寫的ActiveX控件更改客戶端的注冊表，使Windows客戶端的自動更新自動指向校內(nèi)更新服務(wù)器。為了防止惡意程序的影響，要求校內(nèi)終端用戶安裝Windows Defender。

五、完善電子郵件系統(tǒng)，提供安全監(jiān)控和管理功能

針對目前郵件系統(tǒng)存在的安全隱患，我校的郵件系統(tǒng)采用Eyou的產(chǎn)品，我們在Eyou系統(tǒng)中內(nèi)嵌了殺毒軟件，對用戶的郵件直接進行病毒的查殺。對于出入學(xué)校的郵件，進行垃圾郵件檢查、病毒檢查。

六、配備專業(yè)的網(wǎng)絡(luò)安全管理員，嚴(yán)格管理制度

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡(luò)的了解程度越來越深，網(wǎng)絡(luò)安全的形勢越發(fā)嚴(yán)峻。近幾年，互聯(lián)網(wǎng)絡(luò)安全問題頻頻出現(xiàn)，可見現(xiàn)狀還是“道高一尺，魔高一丈。”俗話說，網(wǎng)絡(luò)安全“三分設(shè)備，七分管理”，安全管理貫穿于整個安全防范體系的始終。必須制訂一系列安全管理制度，對安全技術(shù)和安全設(shè)施進行管理，對網(wǎng)絡(luò)管理人員進行及時的網(wǎng)絡(luò)安全理論培訓(xùn)、安全技術(shù)培訓(xùn)、安全產(chǎn)品培訓(xùn)以及業(yè)務(wù)培訓(xùn)，學(xué)校有必要頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例，這樣才能有效地控制和減少網(wǎng)絡(luò)安全隱患。只有很好地解決了網(wǎng)絡(luò)安全問題，校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速地發(fā)展。

總之，校園網(wǎng)絡(luò)的安全不僅是技術(shù)、設(shè)備、資金的問題，更是管理的問題。在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)運行的情況下，我們不能夠去保障校園網(wǎng)絕對的安全，只能說我們要盡一切可能去制止、減少一切非法的訪問和操作。比如，完善校園網(wǎng)管理制度，對相關(guān)的校園網(wǎng)管理人員進行培訓(xùn)，對學(xué)生進行網(wǎng)絡(luò)道德的教育，提高公德意識，安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補丁更新系統(tǒng)漏洞，對重要文件進行備份，等等，從多個方面進行防范，把校園網(wǎng)不安全因素減到最少。

參考文獻：

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社.

[2]王育民，劉建偉.通信網(wǎng)的安全——理論與技術(shù)[M].西安電子科技大學(xué)出版社.

[3]龔靜.計算機網(wǎng)絡(luò)安全策略的探討[J].福建電腦，2004，（5）：18-19.

[4]王彥波.計算機網(wǎng)絡(luò)安全系統(tǒng)[J].信息技術(shù)，2003，1(27)：15-16.

[5]王學(xué)文，秉輝.計算機網(wǎng)絡(luò)安全方案[J].邯鄲職業(yè)技術(shù)學(xué)院學(xué)報，2004，3(17)：71-77.

[6]趙暉.計算機網(wǎng)絡(luò)安全與防護[J].通信技術(shù).2004，（3）：25-26.

(作者單位：湖南衡陽技師學(xué)院）