隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的成熟、計算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛普及、中小學(xué)校校園網(wǎng)的建成以及計算機(jī)網(wǎng)絡(luò)資源共享范圍進(jìn)一步擴(kuò)大，信息安全問題顯得日益突出。為了保護(hù)數(shù)據(jù)和資源的安全，校園網(wǎng)必須考慮網(wǎng)絡(luò)安全問題及防護(hù)策略。

一、校園網(wǎng)絡(luò)安全分析

隨著校園網(wǎng)絡(luò)規(guī)模的擴(kuò)大，教師對校園網(wǎng)的依賴越來越強(qiáng)，網(wǎng)絡(luò)監(jiān)管則因而越來越難。由于許多教師和學(xué)生的計算機(jī)網(wǎng)絡(luò)安全意識薄弱、安全知識缺乏，使得校園網(wǎng)的一些計算機(jī)設(shè)備如各種服務(wù)器、計算機(jī)系統(tǒng)、路由器、交換機(jī)、集線器等硬件實(shí)體通信鏈路極易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染等)的影響。加上很多計算機(jī)機(jī)房沒有防震、防火、避雷、防干擾等設(shè)施，接地系統(tǒng)也忽視安全要求，因而抵御自然災(zāi)害和意外事故的能力較差，對校園網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。

計算機(jī)病毒是網(wǎng)絡(luò)安全的威脅之一。作為一種“計算機(jī)程序”，它不僅能破壞計算機(jī)系統(tǒng)，而且還能夠傳播、感染到其他系統(tǒng)。目前，新型的計算機(jī)病毒正向著更具破壞性、更隱蔽、感染率更高、傳播速度更快、適應(yīng)平臺更廣的方向發(fā)展。而對教育網(wǎng)來說，面對形形色色、良莠不齊的網(wǎng)絡(luò)資源，如果識別和過濾功能偏弱，不但會造成大量非法內(nèi)容自由出入，占用大量流量資源，造成流量堵塞等問題，而且某些游戲、暴力、色情等不良網(wǎng)絡(luò)內(nèi)容，也將極大地危害青少年的身心健康，導(dǎo)致無法想象的后果。

校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器和Web應(yīng)用服務(wù)器。目前針對DNS服務(wù)器的攻擊主要有兩類:一類是緩存區(qū)中毒。主要是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使發(fā)向合法站點(diǎn)的傳輸流改變方向而轉(zhuǎn)向他們指定的站點(diǎn)。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機(jī)制接管域注冊過程以控制合法的域。Web應(yīng)用服務(wù)器自身具有很多脆弱點(diǎn)，如Web應(yīng)用程序安全性較差，而系統(tǒng)管理員由于種種因素限制，又很難做到全面處理，所以極易受到惡意用戶的攻擊。

二、安全管理機(jī)制的建立

常用的安全管理機(jī)制有:口令管理;各種密鑰的生成、分發(fā)與管理;全網(wǎng)統(tǒng)一的管理員身份鑒別與授權(quán);建立全系統(tǒng)的安全評估體系;建立安全審計制度;建立系統(tǒng)及數(shù)據(jù)的備份制度;建立安全事件、安全報警反應(yīng)機(jī)制和處理預(yù)案;建立專門的安全問題小組和快速響應(yīng)體系的運(yùn)作等。

為了增強(qiáng)系統(tǒng)的防災(zāi)救災(zāi)能力，還應(yīng)制訂災(zāi)難性事故的應(yīng)急計劃，如緊急行動方案，資源(硬件、軟件、數(shù)據(jù)等)備份及操作計劃，系統(tǒng)恢復(fù)和檢測方法等。

三、校園網(wǎng)絡(luò)安全防護(hù)策略

下面就網(wǎng)絡(luò)系統(tǒng)的安全問題，提出一些個人防護(hù)策略。

1.物理安全策略

物理安全是指保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故破壞，免遭人為操作失誤或錯誤所導(dǎo)致的破壞等。這就必須在校園網(wǎng)規(guī)劃設(shè)計階段充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題，確保計算機(jī)系統(tǒng)有一個良好的通風(fēng)適溫環(huán)境。

2.軟件系統(tǒng)的安全配置

軟件系統(tǒng)的安全問題也不容忽視。因為任何軟件都有漏洞，所以大多數(shù)惡意攻擊者入侵都是在用戶不知情的情況下，利用操作系統(tǒng)的一些錯誤漏洞來實(shí)現(xiàn)的。所以無論是服務(wù)器端還是用戶終端，都需要配備網(wǎng)絡(luò)漏洞掃描系統(tǒng)，以檢測網(wǎng)絡(luò)中存在的安全漏洞。一旦有新發(fā)布的補(bǔ)丁程序應(yīng)及時到相關(guān)網(wǎng)站下載和安裝，以減少惡意攻擊現(xiàn)象的發(fā)生。

3.建立和應(yīng)用防病毒技術(shù)

計算機(jī)病毒是某些人利用計算機(jī)軟、硬件固有的脆弱性而編制的具有特殊功能的程序。其病毒傳播擴(kuò)散快，具有不可估量的威脅性和破壞力。校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)，需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，以加強(qiáng)上網(wǎng)計算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件?？紤]到病毒在網(wǎng)絡(luò)中傳播、感染的方式各異，途徑多種多樣，在建立網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全方位的校園防毒軟件，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的安全策略。

4.防火墻技術(shù)和入侵檢測系統(tǒng)

配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一?？梢栽趯W(xué)校內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處安裝防火墻，以阻擋來自外部網(wǎng)絡(luò)的入侵，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問自己的網(wǎng)絡(luò)，隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。入侵檢測技術(shù)是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整、立體的主動防御體系。

5.Web、Email、BBS的安全監(jiān)測系統(tǒng)

在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，可實(shí)時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。

6.漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。解決的方案是:尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式，最大可能地彌補(bǔ)最新的安全漏洞并消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)進(jìn)行模擬攻擊，從而暴露出網(wǎng)絡(luò)的漏洞。

7.網(wǎng)絡(luò)安全管理規(guī)范

在網(wǎng)絡(luò)安全中，除采用技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)的規(guī)章制度，對于確保網(wǎng)絡(luò)安全可靠運(yùn)行也將起到十分有效的作用。

(責(zé) 編 辛 欣)