【內(nèi)容摘要】 隨著多信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)為現(xiàn)代化教學(xué)提供了重要的資源，網(wǎng)絡(luò)拓寬了我們的視野，為我們提供了豐富的教學(xué)素材，實(shí)現(xiàn)教育資源共享，縮小了教育的地域差異等。為了更好的服務(wù)于教學(xué)，復(fù)雜的校園網(wǎng)絡(luò)應(yīng)運(yùn)而生，隨之而來的校園網(wǎng)的安全成為我們急需解決的問題，校園網(wǎng)絡(luò)安全已經(jīng)成為校園網(wǎng)管理的重要課題。

【關(guān)鍵詞】 服務(wù)器 有線網(wǎng)絡(luò) 無線網(wǎng)絡(luò)

現(xiàn)在的校園網(wǎng)絡(luò)僅僅實(shí)現(xiàn)上網(wǎng)查資料的功能已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足廣大師生的需求，隨時(shí)隨地能上網(wǎng)，穩(wěn)定快速安全的網(wǎng)絡(luò)才是大家需要的網(wǎng)絡(luò)。然而校園的面積大，辦公區(qū)分散，用網(wǎng)人員復(fù)雜并且網(wǎng)絡(luò)安全意識(shí)薄弱，沒有明確的用網(wǎng)管理體制導(dǎo)致校園網(wǎng)絡(luò)安全隱患隨處可見。

下面結(jié)合我校的實(shí)際情況來探討一下關(guān)于校園網(wǎng)安全的常見解決方案。

一、服務(wù)器

在整個(gè)校園網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器有著非常重要的地位，它是整個(gè)網(wǎng)絡(luò)運(yùn)行的前提，也是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)的核心。因此核心服務(wù)器安全設(shè)置對(duì)這個(gè)校園網(wǎng)絡(luò)的安全起著重要的作用。所以在實(shí)際的應(yīng)用中我們對(duì)于服務(wù)器的安全設(shè)置是必須要做的，下面我們以windows server 2003為例來介紹如何設(shè)置讓服務(wù)器更安全。

服務(wù)器的安全很大程度上取決于操作系統(tǒng)的安全， Windows server 2003作為服務(wù)器的操作系統(tǒng)，它具有高性能，高可靠性和高安全性的特點(diǎn)，決定其便于部署、管理和使用。Windows server 2003系統(tǒng)安全包括系統(tǒng)服務(wù)安全、文件權(quán)限安全、用戶賬戶安全等方面。

1）關(guān)閉不必要的服務(wù)

通常情況下，為了方便遠(yuǎn)程管理服務(wù)器，windows server 2003中會(huì)開啟相關(guān)的如中斷服務(wù)、IIS和RAS等服務(wù)，這就在便于遠(yuǎn)程管理的同時(shí)，給系統(tǒng)安全留下的漏洞，所以應(yīng)該盡量關(guān)閉這些不必要的服務(wù)。

有些惡意的程序也可能以服務(wù)的方式在系統(tǒng)中運(yùn)行，所以還要定期對(duì)系統(tǒng)開啟的服務(wù)進(jìn)行檢查。需要強(qiáng)調(diào)的是，系統(tǒng)的“文件和打印機(jī)共享功能”也要關(guān)閉。

2）身份驗(yàn)證和訪問控制

身份驗(yàn)證時(shí)系統(tǒng)安全的基礎(chǔ)，應(yīng)該對(duì)嘗試登陸訪問網(wǎng)絡(luò)資源的任何用戶進(jìn)行身份確認(rèn)，Windows server 2003家族身份驗(yàn)證啟用對(duì)所有網(wǎng)絡(luò)資源的單一登陸，允許用戶使用一個(gè)密碼登陸到域，然后向域中的任何計(jì)算機(jī)驗(yàn)證身份。

訪問控制是批準(zhǔn)用戶、組合計(jì)算機(jī)訪問網(wǎng)絡(luò)上的對(duì)象的過程。構(gòu)成訪問控制的主要概念是權(quán)限、用戶權(quán)利和對(duì)象審查。在這里我們可以為每一個(gè)登陸到域的用戶設(shè)置讀、寫和完全控制權(quán)限。

3）賬戶策略

對(duì)于校園網(wǎng)內(nèi)的用戶賬戶的保護(hù)主要使用密碼保護(hù)機(jī)制。為了避免因?yàn)橛脩裘艽a被破譯而導(dǎo)致系統(tǒng)被入侵，可采取提高密碼的破解難度、啟用賬戶鎖定策略、限制用戶登陸等措施，所有安全策略都是基于計(jì)算機(jī)配置的策略，用戶策略的定義在計(jì)算機(jī)上，卻影響用戶賬戶與計(jì)算機(jī)的交互。

4）用戶權(quán)限分配

對(duì)用戶賬戶權(quán)限的分配，是限制用戶訪問特定的網(wǎng)絡(luò)資源的有效方法，對(duì)于不同的資源可以特定的用戶訪問，訪問的權(quán)限是只讀、讀寫或者是完全控制，這個(gè)在“Active Directory用戶和計(jì)算機(jī)”管理工具或者設(shè)置組策略來實(shí)現(xiàn)這個(gè)功能

5）防病毒和防火墻的配置

殺毒軟件和防火墻的更新工作要及時(shí)，防火墻軟件根據(jù)自己不同的使用情況使用不同的網(wǎng)絡(luò)訪問策略，對(duì)日志的審查要及時(shí)有效的利用日志解決網(wǎng)絡(luò)或者病毒問題。

二、有線網(wǎng)絡(luò)

有線網(wǎng)絡(luò)是我們校園網(wǎng)內(nèi)網(wǎng)的重要組成部分，承載了大部分?jǐn)?shù)據(jù)交換。有線網(wǎng)絡(luò)的存在常見的問題如下：

1、資產(chǎn)管理失控。由于學(xué)校的管理人員有限，計(jì)算機(jī)數(shù)量眾多而且分布在不同的教學(xué)區(qū)，這樣就帶來很多管理的難題如網(wǎng)絡(luò)終端用戶硬件配備肆意組裝拆卸，操作系統(tǒng)隨意更換，各類應(yīng)用軟件胡亂安裝卸載等。面對(duì)這種情況我們唯一能做的就是統(tǒng)一發(fā)放計(jì)算機(jī)，統(tǒng)計(jì)詳細(xì)的配置信息，安排專門的人定期檢查計(jì)算機(jī)的配置是否被更改。安裝好常用的應(yīng)用軟件，殺毒軟件和防火墻，定期由服務(wù)器為各個(gè)終端分發(fā)補(bǔ)丁，不給黑客和病毒可趁之機(jī)。

2、網(wǎng)絡(luò)資源亂用。IP地址濫用，流量濫用。IP地址濫用，我們只能在做一臺(tái)DHCP服務(wù)器為網(wǎng)絡(luò)的所有的終端自動(dòng)獲取IP地址，從而防止IP泛濫。同一臺(tái)DHCP服務(wù)器給多個(gè)VLAN分配IP的問題我們可以建立幾個(gè)作用域，通過三層交換機(jī)做DHCP中繼來實(shí)現(xiàn)。流量濫用問題我們最簡(jiǎn)單的方法就是在路由器上做限速，這樣防止帶寬被嚴(yán)重占用導(dǎo)致網(wǎng)絡(luò)擁堵。

3、病毒入侵。由于補(bǔ)丁打的不及時(shí)、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)內(nèi)病毒泛濫、網(wǎng)絡(luò)堵塞、數(shù)據(jù)丟失損壞，而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施，從而為正常的上網(wǎng)帶來災(zāi)難性的持續(xù)的影響。對(duì)于這種常見的問題我們的解決方案是把問題的范圍縮小，然后在小范圍內(nèi)逐個(gè)排查，因此就非常有必要把不同的工作區(qū)內(nèi)設(shè)備整合到一個(gè)局域網(wǎng)內(nèi)，這個(gè)技術(shù)就是我們常用的VLAN，支持VLAN的硬件設(shè)備我們可以用三層交換機(jī)來實(shí)現(xiàn)，把不同的工作區(qū)劃分不同的VLAN。這樣做有助于我們正確的定位問題的區(qū)域，從而進(jìn)行排并提高工作效率。另外一個(gè)好處在于有效的抑制了廣播風(fēng)暴，提高網(wǎng)絡(luò)的利用效率。

4、三、無線網(wǎng)絡(luò)

隨著筆記本的普及，無線網(wǎng)絡(luò)在校園網(wǎng)內(nèi)起著很大作用，然而無線網(wǎng)絡(luò)的安全與否會(huì)影響整個(gè)校園網(wǎng)安全。

學(xué)校無線網(wǎng)絡(luò)的部署是以TP-LINK無線路由器為基礎(chǔ)，下面我們以TP-LINK為例探討無線網(wǎng)絡(luò)安全的問題：

1、我們要做的就是修改無線路由器默認(rèn)管理員密碼，雖然這個(gè)操作是最基本的，但還是有很多人忽略，無論是校園網(wǎng)絡(luò)和個(gè)人網(wǎng)絡(luò)都需要注意這一點(diǎn)。修改方法很簡(jiǎn)單，登陸路由器的IP即可。

2、修改路由器的默認(rèn)管理IP。雖然各個(gè)廠商的路由器默認(rèn)已經(jīng)設(shè)置好IP地址和DHCP網(wǎng)段，但是避免被別人惡意破解還是把它改成符合我們應(yīng)用的IP，不同的VLAN中無線路由器的IP設(shè)置成本VLAN的網(wǎng)段的IP即可。

3、使用靜態(tài)IP地址。物理地址過濾的方法能夠不分配IP給未經(jīng)授權(quán)用戶，但如果有客戶端使用MAC地址進(jìn)行欺騙的方法，也就是使局域網(wǎng)中已經(jīng)授權(quán)用戶的MAC地址，則這樣的過濾方法就沒用了，這是可以使用客戶端設(shè)置靜態(tài)IP地址的的方法，也就是關(guān)閉無線路由器的DHCP服務(wù)。

無線網(wǎng)絡(luò)安全不是技術(shù)問題，而是管理問題，當(dāng)前無線網(wǎng)絡(luò)的很多系統(tǒng)都有安全機(jī)制，只要我們利用好，無線網(wǎng)的安全問題就會(huì)迎刃而解。

四、結(jié)論

校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，長(zhǎng)期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，只有通過綜合運(yùn)用多項(xiàng)措施，加強(qiáng)管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，從而保證整個(gè)校園網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

1、戴有煒 windows server 2003網(wǎng)絡(luò)專業(yè)指南清華大學(xué)出版社 2004 年6月

2、雷震甲 網(wǎng)絡(luò)工程師教程（第三版） 清華大學(xué)出版社 2009年8月

3、楊哲 無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn) 電子工業(yè)出版社 2008年11月

4、商宏圖 Windows Server 2003應(yīng)用技術(shù) 機(jī)械工業(yè)出版社 2008年5月