摘 要：目前校園網的網絡安全面臨著嚴峻的考驗，根據高校校園網的網絡運行和管理現狀，結合高校校園網網絡信息安全存在嚴重風險，著重闡述高校校園網的網絡信息安全防范措施和對策。

關鍵詞：信息安全；網絡；校園網

中圖分類號：F49文獻標識碼：A 文章編號：1672-3198（2012）03-0240-01

1 校園網的網絡信息安全現狀

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統能連續(xù)、可靠、正常地運行，使網絡服務不中斷。網絡安全從本質上講就是網絡上信息的安全。目前，校園網的網絡安全正面臨著嚴峻挑戰(zhàn)。電子郵件系統使得大量垃圾郵件和病毒郵件肆意傳播，下載和上傳文件在方便師生交流的同時也帶來了病毒程序，黑客程序和黑客攻擊時有發(fā)生，由于安全意識淡薄沒有對接入網絡的計算機采取基本保護措施造成文檔資源流失、泄密等。校園網在提供給廣大師生方便快捷的行政辦公、教務教學，豐富多彩的數字化校園生活的同時，來自其內部和外部的危險時刻威脅著校園網網絡安全。

1.1 校園網網絡運行現狀

學校園網網絡運行以來，對學校的各項工作都起著促進作用。在綜合網絡信息服務方面，學校力求小而全的網絡服務宗旨，從建站以來學校一直重視學校主頁建設，不斷完善網頁設計和服務項目。目前己提供的信息服務模塊有上網瀏覽、學校新聞發(fā)布系統、電子公告系統、校園BBS、留言簿、FTP服務系統、校園郵件系統、校友錄系統、影視頻道等等。這些平臺給學生提供了交流思想、學習、情感、互通有無、反映建議與意見等交流空間。在信息化辦公環(huán)境方面，校園網的辦公系統應用，大大提高辦公效率。只要接入校園網的內網，教職員工就可以登錄自己的辦公賬號，進入各自辦公系統，針對性很強。但是校園網在提供給廣大師生員工方便快捷的同時，也帶來了許多安全性的問題。校園網內許多處室由于工作的需要，擁有自己的可以上傳文件資料的賬號和密碼，這就對網絡安全埋下了隱患，如有些需要上傳的文件沒有進行徹底的查毒殺毒就上傳到校園網上，成為了病毒傳播的源頭。每次重大的考試之前，信息技術中心的技術人員都要花費大量的時間進行網內病毒查殺工作，在查殺之后，網絡運行情況能夠好轉一些，但是一段時間以后，問題依舊比較嚴重，效果甚微，甚至于曾經出現過因為病毒大量密集發(fā)包造成個別交換機信息堵塞、網絡癱瘓的情況發(fā)生，可見，校園網上的病毒泛濫問題已經十分嚴重，危害之大。

1.2 校園網網絡管理現狀

學校制定了一系列的規(guī)章制度，用于規(guī)范校園網網絡管理。這些制度對校園網所屬的行政領導、政治審查、技術管理和維護、使用規(guī)則、信息保密、信息管理、信息發(fā)布等等方面都做出了詳細的規(guī)定，明確責任范圍。學校成立以主管領導為組長的校園網信息發(fā)布領導小組，該領導小組是學校網絡信息組織、管理、協調機構。學校黨委宣傳部負責上網信息的政治審查，學校辦公室負責上網信息的保密和統計數據的審查、監(jiān)督，信息技術中心負責有關信息的技術保障。各部門確定分管信息工作的領導和負責信息工作的信息員，負責收集、整理、編輯、上報信息。學校校園網絡設備設施（含子網設備）由學校信息技術中心統一管理和維護。任何部門和個人未經許可，不得打開子網機柜及其他網絡設備。用戶如發(fā)現終端設備或軟件出現問題，可報信息技術中心處理。信息技術中心要對網絡運行情況進行記錄，并對網絡系統及網上資源進行嚴格管理。

2 校園網網絡信息安全對策

2.1 訪問控制管理

訪問控制管理是安全性處理過程，即妨礙或促進用戶或系統間的通信，支持各種網絡資源，如計算機、Web服務器、路由器或任何其它系統或設備間的相互作用。訪問控制的認證過程可以通過登錄過程和自主訪問控制實現，校驗用戶并決定他們是否有權訪問具有更高安全控制權限的敏感區(qū)域和文件的認證級別。

2.2 從軟件上著手，設置防火墻

在Internet與校園網內網之間部署了一道防火墻，在內外網之間建立一道安全屏障。其中WWW、FTP、DNS服務器連接在防火墻的DMZ區(qū)（非軍事區(qū)，是為不信任系統提供服務的孤立網段，它阻止內網和外網直接通信，以保證內網安全），與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與Internet連接。這樣通過Internet進來的外網用戶只能訪問到對外公開的一些服務，既保護內網資源不被外部非授權用戶非法訪問破壞，也可以阻止內部用戶對外部不良資源的使用，并能夠對發(fā)生在網絡中的安全事件進行跟蹤和審計。根據校園網安全策略和安全目標，配置防火墻，過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和原路由器類型的攻擊，過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發(fā)起的對外的攻擊。

2.3 從硬件上著手，進行網絡版殺毒產品的部署

為了實現在整個局域網內杜絕病毒的感染、傳播和發(fā)作，應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷的實施和管理整個網絡的防病毒體系，我們部署了趨勢網絡版殺毒產品，實現遠程安裝、智能升級、遠程報警、集中管理、分布殺毒等功能。在學校信息技術中心網絡部的服務器上安裝趨勢殺毒軟件網絡版的系統中心，負責管理全校的主機網點。在各行政、教學單位等多個分支機構分別安裝趨勢殺毒軟件網絡版的客戶端。安裝完趨勢殺毒軟件網絡版后，在管理員控制臺對網絡中所有客戶端進行定時查殺病毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本級的查殺毒處理。信息技術中心網絡部負責對整個校園網的升級工作，為了安全和管理的方便，由網絡部的系統中心定期地、自動地到趨勢網站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其他的主機網點的客戶端，并自動對趨勢殺毒軟件網絡版進行更新。同時，因為只有網絡部才有Interact出口，便于整個網絡的統一管理。

在網絡設備嚴重匱乏的情況下，目前在信息安全技術方面部署的措施有防火墻和網絡版殺毒軟件。它們的使用在一定程度上很好地緩解了校園網的安全威脅問題，尤其是病毒泛濫的問題。從部署硬件防火墻和網絡版殺毒軟件以來，病毒攔截良好，整個校園網內部再也沒有發(fā)生過因為病毒造成的網絡故障導致網絡癱瘓問題，基本達到預期的目的效果。

2.4 從管理上著手，細化責任機制

網絡安全建設“三分技術，七分管理”，突出了“管理”在網絡安全建設中所處的重要地位。校園網網絡安全建設中，安全制度的良好實施和執(zhí)行能從很大程度上保證校園網網絡的信息安全。規(guī)范和細化各種校園網規(guī)章制度，明確各部門的職能和責任，并且嚴格執(zhí)行。具體可以包含網絡管理工作職責及分工、各個管理層的崗位職責規(guī)范（校領導、主任、管理員、維護員等）、校園網網絡管理值班制度、校園網使用與管理辦法、校園網計算機用戶行為規(guī)范、校園網信息發(fā)布規(guī)范、電子公告版服務管理規(guī)定、校園網收費管理辦法、校園網保修、檢測與維護管理辦法、校園網用戶責任書、校園網IP地址管理辦法、辦公郵件管理辦法、網站網頁管理辦法等等，有了各種細致明確的規(guī)章制度才能夠更好的規(guī)范校園網廣大用戶使用校園網的種種行為。

3 總結

應該看到，學校校園網的網絡設備匱乏，也使得一些安全技術沒有得到應用。僅有防火墻部署的網絡防御功能相對靜態(tài)，在動態(tài)防御方面相對不足，并且，校園網內由于采用操作系統等問題帶來的安全漏洞問題，目前的校園網安全部署也沒有很好的解決辦法。

因此，在條件允許的情況下，可以考慮增加入侵檢測系統的部署，根據校園網絡特點，將入侵檢測引擎接入中心交換機，對來自外部網和校園網內部的各種行為進行實時檢測。對于處于高校校園的發(fā)展，可以采用光纖線路與網絡中心的主樓連接起來。并且，在未來整個校園網內實現無線覆蓋以后，還可以為移動的用戶提供更加便捷、安全的校園網網絡服務。

參考文獻

［1］程瑋瑋，王清賢.防火墻技術原理及其安全脆弱性分析［J］.計算機應用，2003，23（10）.

［2］孫銳，王純.信息安全原理及應用［J］.第1版.北京：清華大學出版社，2003，（7）.

［3］楊義先.網絡信息安全與保密［M］.第2版.北京：北京郵電大學出版社，2002，（1）.

［4］罔寶玉.計算機網絡與信息安全［M］.第1版.北京：北京郵電大學出版社，2004，（8）.

［5］劉正勇.校園網系統集成技術與應用［M］.第1版.北京：清華大學出版社，2002，（6）.

［6］陳文冠，曹亮，陳興華.高校校園網信息安全的研究［J］.科技管理研究，2007，27（2）.