王慧琳

中職校園網(wǎng)的安全問(wèn)題與防范策略

王慧琳

隨著互聯(lián)網(wǎng)的迅速發(fā)展與普及，網(wǎng)絡(luò)已經(jīng)成為人們獲取信息和資源的重要途徑，其應(yīng)用也越來(lái)越廣泛。校園網(wǎng)的網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各職業(yè)院校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題?；诋?dāng)前職業(yè)院校網(wǎng)絡(luò)安全的現(xiàn)狀及特點(diǎn)分析，提出對(duì)應(yīng)的控制策略和措施。

中職；校園網(wǎng)；安全問(wèn)題；防范策略

校園網(wǎng)作為重要的基礎(chǔ)設(shè)施，承擔(dān)著職業(yè)院校教學(xué)、科研、管理和對(duì)外交流等諸多功能，在學(xué)校數(shù)字信息化建設(shè)中起著決定性的地位。隨著近幾年職業(yè)教育的高速發(fā)展，職業(yè)院校內(nèi)的校園網(wǎng)也隨之蓬勃發(fā)展，但校園網(wǎng)安全問(wèn)題也越來(lái)越嚴(yán)重。如何確保校園網(wǎng)絡(luò)正常安全地運(yùn)行是職業(yè)院校所面臨的主要問(wèn)題。

一、中職校園網(wǎng)的安全問(wèn)題

影響校園網(wǎng)安全運(yùn)行的因素很多，既有來(lái)自校園網(wǎng)內(nèi)部，也有來(lái)自其他網(wǎng)站或外部環(huán)境的影響。校園網(wǎng)安全問(wèn)題主要表現(xiàn)在以下幾個(gè)方面。

（一）用戶規(guī)模大而活躍

由于中職校的特殊性，校園網(wǎng)用戶群體一般量比較大，人員結(jié)構(gòu)復(fù)雜，居住密集。隨著各種論壇、在線影視以及P2P的廣泛應(yīng)用，校園網(wǎng)帶寬被嚴(yán)重消耗，網(wǎng)路擁擠，從而使正常業(yè)務(wù)得不到保障。一旦感柒和傳播蠕蟲(chóng)病毒或受到ARP攻擊，必將造成大面積的用戶癱瘓。[1]此外，個(gè)別學(xué)生追求刺激，喜歡在網(wǎng)絡(luò)中嘗試冒險(xiǎn)，對(duì)黑客技術(shù)充滿了好奇，常有意無(wú)意地竊取、修改或者刪除數(shù)據(jù)庫(kù)中的重要內(nèi)容，給整個(gè)網(wǎng)絡(luò)造成嚴(yán)重的危害。

（二）系統(tǒng)管理復(fù)雜

校園網(wǎng)用戶是全校師生，整個(gè)網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)的購(gòu)置和管理情況非常復(fù)雜。學(xué)生和教師的電腦一般都是自己購(gòu)買、維護(hù)，種類繁雜，各種盜版系統(tǒng)、盜版軟件橫行，所有的端系統(tǒng)缺乏統(tǒng)一的安全策略（安裝防病毒軟件、設(shè)置可靠的口令等）。這就造成了校園網(wǎng)安全防御困難，易受攻擊，隨時(shí)可能出現(xiàn)病毒泛濫、數(shù)據(jù)損壞、信息丟失、系統(tǒng)癱瘓等嚴(yán)重后果。

（三）各類攻擊不斷

網(wǎng)絡(luò)安全的主要威脅可以分為外部入侵和內(nèi)部攻擊兩種形式，校園網(wǎng)大多數(shù)的攻擊來(lái)自局域網(wǎng)的內(nèi)部，而防火墻系統(tǒng)主要防范外部攻擊，對(duì)此幾乎無(wú)能為力。

某些惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺陷，對(duì)郵件服務(wù)器進(jìn)行攻擊。通過(guò)大量發(fā)送垃圾郵件，造成郵件服務(wù)器阻塞，增大校園網(wǎng)流量，甚至導(dǎo)致系統(tǒng)崩潰。還有用戶對(duì)校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和攻擊，造成網(wǎng)絡(luò)負(fù)載過(guò)重，致使服務(wù)器拒絕提供服務(wù)。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器和Web應(yīng)用服務(wù)器，目前針對(duì)DNS服務(wù)器的攻擊主要有兩類：一類是緩存區(qū)中毒，另一類是域劫持。Web應(yīng)用服務(wù)器比較脆弱，很多Web應(yīng)用程序具有嚴(yán)重的安全漏洞，因此，極易受到惡意用戶的攻擊。

（四）硬件管理困難

校園網(wǎng)的網(wǎng)絡(luò)交換設(shè)備一般都安裝在校園建筑內(nèi)，散布于整個(gè)學(xué)校，很難進(jìn)行全天候監(jiān)護(hù)，由此帶來(lái)的設(shè)備故障、自然損壞或人為破壞等因素，導(dǎo)致校園網(wǎng)硬件設(shè)備的管理比較困難。

二、中職校園網(wǎng)的防范策略

（一）采用安全認(rèn)證

針對(duì)目前動(dòng)態(tài)分配IP地址帶給校園網(wǎng)的不安全性，采用對(duì)校園內(nèi)所有用戶進(jìn)行身份認(rèn)證，不僅對(duì)內(nèi)部師生綁定IP與用戶身份，而且對(duì)外來(lái)用戶采用申請(qǐng)臨時(shí)賬號(hào)，防止其它非法接入。目前主流的網(wǎng)絡(luò)接入認(rèn)證方式有很多，如PPP0E認(rèn)證、MAC認(rèn)證、WEB認(rèn)證、802.1x等。其中802.1X認(rèn)證方式作為新推出的國(guó)際標(biāo)準(zhǔn)的安全認(rèn)證協(xié)議，正越來(lái)越引起廠商和運(yùn)營(yíng)商的重視，隨著更多的接入設(shè)備對(duì)該標(biāo)準(zhǔn)的支持，該認(rèn)證方式也會(huì)得到越來(lái)越多的應(yīng)用。[2]

（二）采用入侵防御系統(tǒng)

網(wǎng)絡(luò)安全防范中，傳統(tǒng)的方法是利用入侵檢測(cè)系統(tǒng)（IDS,IntrusionDetectionSystem）對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，發(fā)現(xiàn)可疑傳輸后發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。這種方法雖然可以部分地解決系統(tǒng)的安全問(wèn)題，但其較為被動(dòng)，難以從根本上避免黑客的攻擊。于是，入侵防御系統(tǒng)（IPS,Intrusion PreventionSystem）應(yīng)運(yùn)而生。IPS則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它串聯(lián)在網(wǎng)絡(luò)上（類似于通常所說(shuō)的網(wǎng)橋式防火墻），對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾。當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。這樣一種過(guò)濾模式，就可以更大限度地保證系統(tǒng)的安全。

（三）采用防火墻技術(shù)

防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制，從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。防火墻保護(hù)校園網(wǎng)內(nèi)網(wǎng)不被非授權(quán)用戶訪問(wèn)，控制互聯(lián)網(wǎng)用戶對(duì)網(wǎng)站系統(tǒng)的訪問(wèn)。目前技術(shù)最為復(fù)雜且安全級(jí)別最高的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。

同時(shí)，管理人員要根據(jù)實(shí)際情況對(duì)防火墻安全策略進(jìn)行不斷更新和完善，如定期進(jìn)行端口掃描，及時(shí)發(fā)現(xiàn)非法的服務(wù)或系統(tǒng)響應(yīng)；對(duì)與防火墻相連的所有網(wǎng)段的每個(gè)主機(jī)(包括防火墻)進(jìn)行掃描，并且把發(fā)現(xiàn)結(jié)果同基于策略的預(yù)期結(jié)果進(jìn)行對(duì)照。還要求維護(hù)人員根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn),以保證防火墻的有效性,從而達(dá)到網(wǎng)絡(luò)的長(zhǎng)期安全。[3]

（四）運(yùn)用Vlan技術(shù)

采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)，可以運(yùn)用Vlan技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。Vlan技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)或不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，并對(duì)相互間的訪問(wèn)加以控制，從而達(dá)到限制用戶非法訪問(wèn)的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法直接通信。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段與邏輯分段相結(jié)合的方法。

（五）對(duì)重要數(shù)據(jù)及時(shí)進(jìn)行備份，做好應(yīng)急預(yù)案

校園網(wǎng)內(nèi)部存在著非常重要的信息，必須及時(shí)對(duì)這些信息進(jìn)行完整的備份與及時(shí)的更新，以便在出現(xiàn)問(wèn)題的情況下迅速恢復(fù)。備份既包括對(duì)校園網(wǎng)重要數(shù)據(jù)的備份，也包括對(duì)核心設(shè)備和線路的備份。對(duì)于校園網(wǎng)內(nèi)部的核心線路，應(yīng)該保持完備和做出適當(dāng)?shù)膫浞?，進(jìn)而在一些線路出現(xiàn)問(wèn)題的情況下，可以及時(shí)采用備份線路來(lái)維持整個(gè)校園網(wǎng)的正常工作。[4]另外，做好應(yīng)急預(yù)案也是保障校園網(wǎng)安全的重要一步，一旦校園網(wǎng)出現(xiàn)故障，就應(yīng)立即啟動(dòng)相應(yīng)的應(yīng)急預(yù)案，進(jìn)而將校園網(wǎng)的破壞減少到最小。

（六）網(wǎng)絡(luò)殺毒軟件的安裝

為防止使用盜版軟件帶來(lái)的各種安全隱患，校園網(wǎng)內(nèi)計(jì)算機(jī)必須統(tǒng)一安裝正版網(wǎng)絡(luò)殺毒軟件，設(shè)置自動(dòng)更新機(jī)制，及時(shí)的更新病毒庫(kù)，防止最新型的病毒攻擊。

（七）加強(qiáng)設(shè)備的管理

加強(qiáng)對(duì)散布于校園各處的網(wǎng)絡(luò)設(shè)備的監(jiān)護(hù)，防止設(shè)備的自然損毀或人為破壞，其中最基本的就是為機(jī)房、網(wǎng)絡(luò)布線、供電等環(huán)節(jié)提供嚴(yán)格的安全保障。建立起一整套嚴(yán)格的校園網(wǎng)安全管理制度和一支具有安全管理技術(shù)和意識(shí)的網(wǎng)絡(luò)隊(duì)伍，還必須利用一切機(jī)會(huì)如新生入學(xué)教育和新員工上崗培訓(xùn)，開(kāi)展校園網(wǎng)安全意識(shí)和基本技能的培訓(xùn)。

隨著校園網(wǎng)的普及，校園網(wǎng)會(huì)發(fā)揮出越來(lái)越重要的作用，同時(shí)，各種新的校園網(wǎng)安全問(wèn)題也會(huì)不斷產(chǎn)生。由于系統(tǒng)和軟件本身的局限性和計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性，不論怎么防范都不可能徹底消除所有網(wǎng)絡(luò)系統(tǒng)的安全隱患，只有加強(qiáng)自身的安全意識(shí)，切實(shí)多措并舉保證校園網(wǎng)安全，避免非法用戶的訪問(wèn)以及黑客的惡意攻擊等，才能保證校園網(wǎng)獲得健康、高速的發(fā)展。

[1]陳開(kāi)張.淺談解決校園網(wǎng)安全問(wèn)題的幾種方法[J].信息與電腦，2012（2）：24.

[2]謝家立.劉瑾.校園網(wǎng)安全規(guī)劃與管理[J].信息安全與技術(shù),2012（3）：31-33.

[3]任利峰.校園網(wǎng)絡(luò)安全問(wèn)題分析與對(duì)策[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào),2009（2）：68-69.

[4]陳梁.關(guān)于高校校園網(wǎng)安全管理和維護(hù)的研究[J].中國(guó)建設(shè)教育,2011（1）：67-69.

[責(zé)任編輯 秦濤]

王慧琳，女，山西陽(yáng)泉交通職業(yè)中專學(xué)校講師，主要研究方向?yàn)橛?jì)算機(jī)與信息技術(shù)。

G710

A

1674-7747（2012）20-0040-02