周　健

[摘要]校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多重要角色。校園網(wǎng)的安全問題始終困擾著網(wǎng)絡(luò)管理人員，主要介紹集中應(yīng)對(duì)網(wǎng)絡(luò)安全問題的策略。

[關(guān)鍵詞]校園網(wǎng)絡(luò)網(wǎng)絡(luò)安全分析對(duì)策入侵檢測(cè)

中圖分類號(hào)：G20文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)；1671—7597(2009)0620072-01

一、引言

校園網(wǎng)對(duì)提高學(xué)校的教育教學(xué)質(zhì)量，推進(jìn)以創(chuàng)新精神為核心的素質(zhì)教育起著至關(guān)重要的作用。如何保障網(wǎng)絡(luò)教學(xué)的正常進(jìn)行，教學(xué)資源的合法訪問，使網(wǎng)絡(luò)免受黑客、病毒、惡意軟件和其他不良意圖的攻擊就顯得尤為重要。校園網(wǎng)由于自身的特點(diǎn)也是安全問題比較突出的地方，安全管理也更為復(fù)雜、困難。其他網(wǎng)絡(luò)相比，我校校園網(wǎng)的以下特點(diǎn)導(dǎo)致安全管理非常復(fù)雜。

二、校園網(wǎng)安全特點(diǎn)

(一)我校校園中的計(jì)算機(jī)系統(tǒng)比較復(fù)雜。我校校園網(wǎng)建于1990年。至今校園網(wǎng)已經(jīng)經(jīng)過了4次升級(jí)，學(xué)校里的計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備情況非常復(fù)雜，比如辦公系統(tǒng)的電腦有近7個(gè)批次，絕大部分是聯(lián)想機(jī)器，有部分為組裝及其他品牌，電腦使用率都比較高，再加上學(xué)校家屬區(qū)納入我校校園網(wǎng)，其電腦都是自己購(gòu)買、自己維護(hù)。

(二)用戶群體比較活躍。學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，雖然我校規(guī)定學(xué)生不能夠帶電腦來校：但是每個(gè)班級(jí)配有多媒體設(shè)備，而且網(wǎng)絡(luò)是完全開放的，有些學(xué)生經(jīng)常利用下課時(shí)間嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，破壞校園網(wǎng)絡(luò)。

(三)網(wǎng)絡(luò)環(huán)境比較開放?，F(xiàn)在教學(xué)使用的課件體現(xiàn)了數(shù)據(jù)類型多樣(數(shù)據(jù)、語音、視頻等)，以及學(xué)校的無紙化辦公等特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也是較為寬松的。

(四)資金投入比較有限。我校對(duì)校園網(wǎng)的投入比較重視硬件(網(wǎng)絡(luò)終端如電腦、打印機(jī)等設(shè)備)建設(shè)，比較輕視網(wǎng)絡(luò)安全，特別是管理和維護(hù)人員方面的投入明顯不足。我校只有2個(gè)網(wǎng)管人員，基本上只能維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，無暇顧及、也沒有條件管理和維護(hù)學(xué)校數(shù)百臺(tái)計(jì)算機(jī)的安全。

(五)盜版資源泛濫。由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。我校辦公電腦基本上采用正版操作系統(tǒng)及殺毒軟件，但是教師生活區(qū)的電腦操作系統(tǒng)很難統(tǒng)一控制管理。

(六)用戶群體網(wǎng)絡(luò)安全意識(shí)比較薄弱。我校師生使用電腦水平良莠不齊，網(wǎng)絡(luò)安全意識(shí)比較淡薄，操作也不規(guī)范。有些老師的計(jì)算機(jī)接入校園網(wǎng)后感染病毒，反過來這臺(tái)感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)的運(yùn)行，于是出現(xiàn)終端系統(tǒng)用戶和網(wǎng)絡(luò)管理員相互指責(zé)的現(xiàn)象，浪費(fèi)了大量的時(shí)間和精力。

三、校園網(wǎng)常見攻擊

以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)。因此導(dǎo)致當(dāng)前校園網(wǎng)常見的風(fēng)險(xiǎn)如下：

1學(xué)校終端電腦普遍存在的操作系統(tǒng)的安全漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅(特別是AIiP攻擊)；2公用電腦(如各班級(jí)、處室)計(jì)算機(jī)蠕蟲、病毒泛濫，影響網(wǎng)絡(luò)安全運(yùn)行；3外來的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具：拒絕服務(wù)攻擊目前越來越普遍，不少開始針對(duì)重點(diǎn)高校的網(wǎng)站和服務(wù)器；4內(nèi)部用戶的攻擊行為，這些行為給校園網(wǎng)造成了不良的影響，破壞了學(xué)校網(wǎng)絡(luò)的安全運(yùn)行；5校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用，有的老師利用免費(fèi)的校園網(wǎng)資源提供商業(yè)的或者免費(fèi)的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用。

四、安全策略

我認(rèn)為加強(qiáng)校園網(wǎng)的安全管理工作需要從管理和技術(shù)兩個(gè)方面綜合考慮：

(一)加強(qiáng)安全組織瞥理建設(shè)。目前普遍認(rèn)為校園網(wǎng)安全管理工作應(yīng)該由網(wǎng)絡(luò)中心承擔(dān)，但是事實(shí)上，安全管理工作非常復(fù)雜，可能涉及各處室、班級(jí)的老師和學(xué)生，建議由學(xué)校具有決策權(quán)的機(jī)構(gòu)和領(lǐng)導(dǎo)組織和協(xié)調(diào)各處室的管理工作。另外，安全管理各項(xiàng)措施的實(shí)施，單純依靠網(wǎng)絡(luò)中心的力量也是不充分的。班級(jí)處室宿舍安全管理分級(jí)負(fù)責(zé)的組織體系建設(shè)仍然是必要的。

(二)加強(qiáng)網(wǎng)絡(luò)管理員及師生網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。加強(qiáng)師生安全意識(shí)和管理員安全技術(shù)的培訓(xùn)工作非常重要。我校針對(duì)老師開展一些有關(guān)網(wǎng)絡(luò)安全方面的校本培訓(xùn)，及通過開展關(guān)于網(wǎng)絡(luò)安全的選修課、講座等形式加強(qiáng)學(xué)生的網(wǎng)絡(luò)安全意識(shí)。對(duì)于網(wǎng)絡(luò)管理員，一定要重視專業(yè)培訓(xùn)。網(wǎng)管人員自身要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理。對(duì)公共機(jī)房要實(shí)行精確對(duì)人，我校使用的是機(jī)位的使用登記制度，這樣可對(duì)網(wǎng)絡(luò)用戶和服務(wù)帳號(hào)進(jìn)行精確的控制。定時(shí)對(duì)校園網(wǎng)系統(tǒng)的安全狀況做出評(píng)估和審核，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置-進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。

(三)選擇適合的殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。采用的殺毒軟件最好能夠支持所有的主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理；該殺毒軟件要能保護(hù)校園網(wǎng)所有可能的病毒入口·我校使用的殺毒軟件是瑞星網(wǎng)絡(luò)版，基本上可以保護(hù)各處室的電腦，網(wǎng)絡(luò)管理人員要及時(shí)更新病毒庫，最大限度的隔離病毒的傳播。

(四)采用VLAN技術(shù)(生活區(qū))。我校在2007年升級(jí)網(wǎng)絡(luò)中心的時(shí)候，更換了全部的交換機(jī)(現(xiàn)在用華為H3C E系列，支持VI,AN)，運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。我們把學(xué)校的網(wǎng)絡(luò)分為10個(gè)段，其中教師生活區(qū)每幢宿舍樓各一個(gè)，班級(jí)教學(xué)一個(gè)，辦公網(wǎng)絡(luò)一個(gè)。網(wǎng)絡(luò)中心實(shí)時(shí)監(jiān)測(cè)，只要發(fā)現(xiàn)哪個(gè)網(wǎng)段有問題，馬上隔離排查，這樣比較有效地控制了病毒及數(shù)據(jù)廣播在整個(gè)校園網(wǎng)的傳播。

(五)訪問控制(教室電腦)。對(duì)于學(xué)校電腦機(jī)房，實(shí)行訪問控制。這也是網(wǎng)絡(luò)安全防范和保護(hù)的最主要措施之一，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限，用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。

五、結(jié)束語

總之，校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，以上是本來擔(dān)任學(xué)校網(wǎng)絡(luò)管理員以來碰到的一些問題及建議。隨著計(jì)算機(jī)通信技術(shù)和教育現(xiàn)代化的不斷發(fā)展，校園網(wǎng)網(wǎng)絡(luò)將日益成為學(xué)校日常教學(xué)、教研和管理工作必不可缺的基礎(chǔ)設(shè)施。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于加強(qiáng)網(wǎng)絡(luò)安全性，確保校園網(wǎng)的正常運(yùn)行顯得十分重要。