摘 要：現(xiàn)在有很多的校園網(wǎng)已經(jīng)建立起來了，為了防止黑客的入侵，一些有財(cái)力、有技術(shù)力量的學(xué)校紛紛建立防火墻。而對于大多數(shù)規(guī)模不大的學(xué)校，由于各種各樣的原因制約，至今未能建立起防火墻。就這種情況來看，建立一個(gè)簡單有效的安全防護(hù)機(jī)制是最為有效的辦法。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；系統(tǒng)漏洞

從各方面的統(tǒng)計(jì)來說，網(wǎng)絡(luò)安全問題80%以上是由于內(nèi)部人員的攻擊或不遵守規(guī)章制度或系統(tǒng)管理員失誤造成的。因此，建立一個(gè)有效的制約制度來阻止內(nèi)部人員造成安全問題是保證校園網(wǎng)安全的一個(gè)主要手段，除此，還應(yīng)使用一些技術(shù)手段來防止網(wǎng)絡(luò)安全問題的發(fā)生。

在做技術(shù)上的安全設(shè)置之前，應(yīng)該先了解一下造成網(wǎng)絡(luò)安全問題的黑客行為是怎樣的一個(gè)過程。對于黑客入侵，黑客們最常用的手段是獲得超級用戶口令，他們總是先分析目標(biāo)系統(tǒng)正在運(yùn)行哪些應(yīng)用程序，目前可獲得哪些權(quán)限，有哪些漏洞可加以利用，并最終利用這些漏洞獲取超級用戶權(quán)限，再達(dá)到他們的目的。

知道了黑客通常造成安全問題的基本途徑之后，就可以在技術(shù)上采取一些相應(yīng)的對策。

一、堵住所有能堵住的漏洞

首先要對操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。目前，大多數(shù)學(xué)校校園網(wǎng)服務(wù)器采用的操作系統(tǒng)是Windows NT Server 4.0、Windows 2000 Server或Windows 2000 Advanced Server，如果使用的操作系統(tǒng)是Windows NT Server 4.0，那么只要把操作系統(tǒng)的補(bǔ)丁打到SP6就可以了，如果使用的操作系統(tǒng)是Windows 2000系列的服務(wù)器操作系統(tǒng)，那就得勤快一點(diǎn)，可從“開始→Windows Update”修補(bǔ)操作系統(tǒng)的漏洞，或者到http：//windowsupdate.microsoft.com頁面

下載補(bǔ)丁包，把操作系統(tǒng)的漏洞補(bǔ)起來。為了能及時(shí)修補(bǔ)操作系統(tǒng)漏洞，建議用一臺(tái)計(jì)算機(jī)安裝跟服務(wù)器一樣的操作系統(tǒng)，每天檢查一次這臺(tái)計(jì)算機(jī)，有沒有新的操作系統(tǒng)補(bǔ)丁出來，如果出來新的補(bǔ)丁就及時(shí)更新，通過這種方法就能保證操作系統(tǒng)的漏洞處于最少狀態(tài)，這樣的操作系統(tǒng)是安全的。

二、要對服務(wù)器進(jìn)行合理的分配

如果校園網(wǎng)絡(luò)提供主頁、FTP、數(shù)據(jù)庫、E-mail、VOD等服務(wù)，當(dāng)有3臺(tái)服務(wù)器用于校園網(wǎng)的上述服務(wù)時(shí)，則主頁服務(wù)、FTP服務(wù)、校園管理平臺(tái)服務(wù)可放在同一臺(tái)服務(wù)器上，數(shù)據(jù)庫單獨(dú)一臺(tái)服務(wù)器，VOD單獨(dú)一臺(tái)服務(wù)器，而E-mail暫停。如果只有2臺(tái)服務(wù)器，建議把VOD服務(wù)停掉。這樣分配服務(wù)器可通過簡單的設(shè)置來增強(qiáng)服務(wù)器的安全性。服務(wù)器在這種分配下，由于功能單一、明確，并且考慮了數(shù)據(jù)的進(jìn)出問題，如主頁服務(wù)、匿名FTP服務(wù)、VOD服務(wù)都是數(shù)據(jù)只能讀出，不能寫入；校園管理平臺(tái)、內(nèi)部主頁的數(shù)據(jù)有讀出，也有寫入，但其需要用戶名和密碼，并且數(shù)據(jù)寫入只是以軟件預(yù)先定義的字段和方法寫入；數(shù)據(jù)庫服務(wù)是讀出寫入都可以，但需要輸入用戶名和口令。如果軟件設(shè)計(jì)的結(jié)構(gòu)是B/C/D（即瀏覽器/客戶端/數(shù)據(jù)庫）結(jié)構(gòu)的話，數(shù)據(jù)庫服務(wù)所在的這臺(tái)服務(wù)器的數(shù)據(jù)流寫入和讀出的執(zhí)行只能是另外特定的校園網(wǎng)服務(wù)器，否則就表明數(shù)據(jù)庫服務(wù)器遭到襲擊。在服務(wù)有明確、合理的分配情況下，服務(wù)器被攻擊的路徑就少了很多。

三、要合理地分配VLAN

網(wǎng)絡(luò)中心使用一個(gè)單獨(dú)的VLAN是比較合理的選擇。在主頁服務(wù)器里，所安裝的協(xié)議有TCP/IP協(xié)議、網(wǎng)絡(luò)客戶端和網(wǎng)絡(luò)文件共享，采用單獨(dú)的VLAN是在指導(dǎo)目標(biāo)主機(jī)的IP地址的條件下，在網(wǎng)絡(luò)中心以外也無法采用網(wǎng)絡(luò)文件共享進(jìn)行攻擊。而且，網(wǎng)絡(luò)中心采用單獨(dú)的VLAN，使得用戶和網(wǎng)絡(luò)中心有一定程度的隔離，使其他用戶和服務(wù)器之間只能通過指定的TCP/IP協(xié)議進(jìn)行通訊。

有些學(xué)校在校園網(wǎng)絡(luò)的出口上安裝了一臺(tái)代理服務(wù)器，這是一個(gè)很好的選擇。有了這臺(tái)代理服務(wù)器，校園網(wǎng)以外很難發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和計(jì)算機(jī)分布，并且加速了校園網(wǎng)中計(jì)算機(jī)訪問網(wǎng)頁的速度，將來還可在代理服務(wù)器上安裝防火墻。

最后，提醒系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員一定要掌管好超級用戶的口令，并且口令的設(shè)置也要符合口令設(shè)置規(guī)范，并在使用一段時(shí)間（一般不超過半年，兩個(gè)月以內(nèi)更佳）以后就要更換口令。

經(jīng)過如此處理，不能說黑客進(jìn)不來了，但99%以上的網(wǎng)絡(luò)安全問題就可以解決或防止。

（作者單位 江西省高安市職教中心）