王　濤

[摘要]高校校園網(wǎng)絡(luò)在校園管理、日常教學(xué)等方面的重要性不言而喻，隨著高校規(guī)模的擴大，其校園網(wǎng)絡(luò)已顯得日趨重要。分析目前高校校園網(wǎng)絡(luò)所存在的安全隱患，并就如何提高校園網(wǎng)絡(luò)的安全性提出一些安全策略。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 校園網(wǎng) 策略

中圖分類號：G47文獻標(biāo)識碼：A文章編號：1671－7597（2009）0510174－01

一、引言

隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)安全問題越來越被人們重視。在校園網(wǎng)的建設(shè)中一般都最先應(yīng)用最先進的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍，安全問題非常突出，安全管理更為復(fù)雜，因此穩(wěn)定的網(wǎng)絡(luò)和計算機系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點之一。

二、高校校園網(wǎng)所存在的隱患

校園網(wǎng)的功能架構(gòu)大致可以分為對內(nèi)部分，對外部分和網(wǎng)絡(luò)管理部分。對內(nèi)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)的建設(shè)，對外主要實現(xiàn)校園網(wǎng)與Internet的基礎(chǔ)接入。當(dāng)前，高校校園網(wǎng)絡(luò)普遍的安全隱患和漏洞有以下幾種：

（一）操作系統(tǒng)的安全缺陷。目前使用的網(wǎng)絡(luò)操作系統(tǒng)都存在安全漏洞，近年來的沖擊波、震蕩波就是利用微軟操作系統(tǒng)的漏洞進行攻擊的。Unix操作系統(tǒng)的遠程過程調(diào)用RPC軟件包中包含具有緩沖區(qū)溢出缺陷的程序，容易為入侵者提供溢出攻擊。此外，操作系統(tǒng)還存在著隱蔽通道、天窗等不可避免的安全問題。

（二）計算機病毒的威脅。計算機病毒是校園網(wǎng)安全最大的威脅，由于計算機病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發(fā)現(xiàn)，并且一旦校園內(nèi)某臺機器感染病毒將能迅速蔓延整個網(wǎng)絡(luò)，對校園網(wǎng)絡(luò)安全有著巨大的破壞性。近年來的“CIH病毒”以及“愛蟲病毒”、“震蕩波”等網(wǎng)絡(luò)病毒對全球計算機網(wǎng)絡(luò)造成了極大的破壞和嚴(yán)重的經(jīng)濟損失。

（三）惡意攻擊。高校學(xué)生對新鮮事物充滿好奇同時又具備一定的能力，部分學(xué)生使用BT軟件下載文件，對服務(wù)器造成威脅；部分對黑客技術(shù)感興趣的學(xué)生可能會利用網(wǎng)絡(luò)獲得的知識來攻擊校園網(wǎng)絡(luò)，校園網(wǎng)內(nèi)針對QQ的黑客程序隨處可見。

（四）用戶管理方面的問題。網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網(wǎng)的威脅。隨著校園內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日益增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂、使用BT軟件下載，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

三、校園網(wǎng)絡(luò)系統(tǒng)安全的解決途徑

針對常見的校園網(wǎng)安全威脅，建立有效的安全策略迫在眉睫，只有建立一套解決校園網(wǎng)安全威脅的整體解決方案，才能保證校園網(wǎng)的安全運行，筆者根據(jù)自己的實踐經(jīng)驗，總結(jié)出幾種安全對策：

（一）運用防火墻技術(shù)。防火墻是構(gòu)建整個網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間的一道牢固的安全屏障。

若校園網(wǎng)不加防范地連入Internet，很容易受到入侵者的攻擊，嚴(yán)重時會導(dǎo)致網(wǎng)絡(luò)的癱瘓。防火墻分離可信任的校園內(nèi)部網(wǎng)和不可信的公共網(wǎng)，是不同網(wǎng)絡(luò)之間信息的唯一出入口。能根據(jù)學(xué)校的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，具有較強的抗攻擊能力。

校園網(wǎng)防火墻系統(tǒng)的設(shè)計常使用代理服務(wù)器屬于應(yīng)用層防火墻，它連接外部網(wǎng)與內(nèi)部網(wǎng)充當(dāng)防火墻，因為校園網(wǎng)內(nèi)的機器不直接與Internet相連，客戶機的內(nèi)部資源不會受到侵犯，同時，又可在代理服務(wù)器上控制內(nèi)部網(wǎng)客戶機對Internet資源和服務(wù)的訪問。

（二）入侵檢測系統(tǒng)。對于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動防御，因此必須還應(yīng)該采用入侵檢測系統(tǒng)（IDS）。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別正在進行的或已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。但是單靠入侵檢測系統(tǒng)自身，只能及時發(fā)現(xiàn)攻擊行為，但卻無法阻止和處理。所以，讓IDS與防火墻結(jié)合起來互動運行，防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進行阻斷。這樣就可以大大提高整體防護性能并解決上述問題。IDS與防火墻有效互動就可以實現(xiàn)一個較為有效的安全防護體系，解決了傳統(tǒng)信息安全技術(shù)的弊端，解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問題。

（三）網(wǎng)絡(luò)殺毒軟件。從網(wǎng)絡(luò)管理和病毒監(jiān)控的角度來說，校園網(wǎng)宜選用網(wǎng)絡(luò)版防病毒軟件。因為網(wǎng)絡(luò)版防病毒軟件的管理功能更強大，網(wǎng)絡(luò)管理員只要及時在服務(wù)器端進行升級，客戶端啟動后就可以自動升級，網(wǎng)管員還可以對所有安裝客戶端的計算機進行病毒監(jiān)控、遠程殺毒，及時了解校園網(wǎng)中病毒疫情。

（四）運用虛擬局域網(wǎng)技術(shù)。VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的部門及不同的安全機制，將網(wǎng)絡(luò)進行隔離，可以達到限制用戶非法訪問的目的。采用交換式局域網(wǎng)技術(shù)組建的校園網(wǎng)絡(luò)，可以運用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。

（五）管理方面的提高。校園網(wǎng)各機房和各業(yè)務(wù)部門機房都要有專門的管理員負(fù)責(zé)其網(wǎng)絡(luò)安全問題，并建立完善的管理制度。對學(xué)生開放的機房，要安裝機器還原卡，減少外來感染機會，控制和監(jiān)視每臺機器的下載文件，控制不良信息的傳播與網(wǎng)絡(luò)聊天，加強密碼的管理。對于各業(yè)務(wù)部門機房要嚴(yán)格實行崗位責(zé)任制，對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)，并登記日志。

四、結(jié)束語

校園網(wǎng)安全是一個動態(tài)的發(fā)展過程，應(yīng)該是檢測、監(jiān)視、安全響應(yīng)的循環(huán)過程。只有全面了解校園的網(wǎng)絡(luò)狀況，以及網(wǎng)絡(luò)安全中存在的軟、硬件差異，才能因地制宜地制定安全策略，并實施網(wǎng)絡(luò)改造，在實施有效的技術(shù)手段的同時，配合完善的安全管理策略，提高安全管理人員的素質(zhì)，落實安全管理制度，并加強對上網(wǎng)用戶的安全知識及相關(guān)安全法規(guī)的培訓(xùn)。

參考文獻：

[1]閆宏生，計算機網(wǎng)絡(luò)安全與防護[M].電子工業(yè)出版社，2007.

[2]梁亞聲，計算機網(wǎng)絡(luò)安全教程[M].機械工業(yè)出版社，2008.

[3]Chris Brenton著，馬樹奇、金燕譯，網(wǎng)絡(luò)安全從入門到精通[M].電子工業(yè)出版社.

作者簡介：

王濤，男，漢族，湖南城市學(xué)院計算機系助教，研究方向：可信系統(tǒng)與網(wǎng)絡(luò)安全。