鞠　芳

[摘要]網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重中之重，特別是學(xué)校校園網(wǎng)的安全直接關(guān)系到教育教學(xué)活動(dòng)的正常進(jìn)行，必須引起人們的高度重視。對(duì)安全問題的來源進(jìn)行分析，有針對(duì)性地預(yù)防，可以提高校園網(wǎng)的安全水平。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 病毒 防火墻 入侵檢測(cè)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0220045－01

校園網(wǎng)作為數(shù)字化信息的最重要的傳輸載體，在學(xué)校建設(shè)和管理中發(fā)揮著日益重要的作用，對(duì)提高學(xué)校的管理水平和教學(xué)質(zhì)量都具有十分重要的意義。但是，隨著校園網(wǎng)規(guī)模日趨擴(kuò)大、應(yīng)用環(huán)境日趨復(fù)雜，校園網(wǎng)絡(luò)安全事故時(shí)有發(fā)生。因此，如何防范校園網(wǎng)絡(luò)安全事故，保證校園網(wǎng)高效穩(wěn)定地運(yùn)轉(zhuǎn)，就成為各學(xué)校越來越重視的問題。

一、網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露?！庇纱丝梢詫⒂?jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、目前校園網(wǎng)絡(luò)的安全現(xiàn)狀

（一）操作系統(tǒng)的安全問題。目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS和Linux等，這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)漏洞，計(jì)算機(jī)即使安裝了防毒軟件也會(huì)被感染。

（二）病毒的破壞。計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。

（三）口令入侵。為管理和計(jì)費(fèi)的方便，學(xué)校為每個(gè)上網(wǎng)的老師和學(xué)生分配一個(gè)賬號(hào)，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容或?qū)⑸暇W(wǎng)的費(fèi)用轉(zhuǎn)嫁給他人，用不正常的手段竊取別人的口令，造成了費(fèi)用管理的混亂。

（四）不良信息的傳播。在校園網(wǎng)接入Internet后，師生都可以通過校園網(wǎng)絡(luò)在自己的電腦上進(jìn)入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力內(nèi)容的網(wǎng)站泛濫。這些信息違反了道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對(duì)世界觀和人生觀正在形成的學(xué)生來說，危害非常大。

三、校園網(wǎng)信息安全對(duì)策

（一）設(shè)置防火墻。防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。在防火墻設(shè)置上可按以下原則配置來提高網(wǎng)絡(luò)安全性：（1）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。（2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。（3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。（4）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。（5）允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。

（二）架設(shè)入侵監(jiān)測(cè)系統(tǒng)(IDS)。在許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以同防火墻和路由器配合工作。

IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。IDS是被動(dòng)的，它監(jiān)測(cè)網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是捕捉危險(xiǎn)或有惡意動(dòng)作的信息包。IDS能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

（三）漏洞掃描系統(tǒng)。采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。要求每臺(tái)主機(jī)系統(tǒng)必須正確配置，為操作系統(tǒng)打夠補(bǔ)丁、保護(hù)好自己的密碼、關(guān)閉不需要打開的端口。例如：如果主機(jī)不提供諸如FTP、HTTP等公共服務(wù)，盡量關(guān)閉它們。

（四）部署網(wǎng)絡(luò)版殺毒軟件。最理想的狀況是在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)，為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)時(shí)也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。

（五）制度化管理。

1．制定并嚴(yán)格執(zhí)行各種管理制度。安全管理制度的制定必須能隨著計(jì)算機(jī)應(yīng)用、網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。

2．建立以學(xué)校網(wǎng)絡(luò)中心為主的計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急體系，各部門設(shè)立專門的計(jì)算機(jī)網(wǎng)絡(luò)安全員。各安全員應(yīng)及時(shí)向網(wǎng)絡(luò)中心匯報(bào)所發(fā)現(xiàn)的情況，以便及時(shí)處理。

3．實(shí)行管理員分級(jí)管理制度，由總管理員分配各部門的網(wǎng)絡(luò)管理員的管理權(quán)限。

4．建立用戶入網(wǎng)申請(qǐng)、登記制度，對(duì)上網(wǎng)的用戶建立檔案，記錄訪問日志，以便加強(qiáng)管理。

四、結(jié)束語

校園網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。對(duì)于校園網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對(duì)學(xué)生教工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

參考文獻(xiàn)：

[1]蔣先華、許以臣等，校園網(wǎng)絡(luò)組應(yīng)用，北京：科學(xué)出版社，2003.

[2]黃曉紅，校園網(wǎng)信息系統(tǒng)的安全性分析，廣東輕工職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2003.

[3]任紅衛(wèi)、鄧飛其，計(jì)算機(jī)網(wǎng)絡(luò)安全主要問題與對(duì)策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004.