孫春艷

(湖北省恩施州衛(wèi)生學校,湖北恩施 445000)

學校網絡安全探討

孫春艷

(湖北省恩施州衛(wèi)生學校,湖北恩施 445000)

在信息化時代,學校網絡即校園網在各級各類學校中的作用和地位愈來愈大,在很大程度上反映了一個學校的硬件建設情況。因此,為使學校網絡正常運轉,各學校除了資金投入外,更要有專業(yè)的網絡管理人員,以保證網絡的合理安全利用。

學校網絡 網絡安全 解決方案

學校網絡即校園網是在學校范圍內，在一定的教育思想和理論指導下，為學校教學、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機網絡。它是一個具有交互功能和專業(yè)性很強的局域網絡。近年來各級各類學校大力實施現代化教育技術工程：以電腦網絡為基礎，以圖書館、電教中心為信息源，以數字化為模式，提高學校教育教學的檔次和質量?，F對學校網絡安全作簡要分析并提出解決方案。

1 學校網絡安全存在的問題

第一，不良信息的傳播。互聯(lián)網直接連接到每個學生宿舍和教工宿舍，網上的各種信息如關于色情、暴力等內容的網站泛濫。

第二，計算機病毒的肆虐。由于計算機病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發(fā)現，并且一旦某臺機器感染病毒將迅速蔓延整個網絡，對校園網絡安全有著巨大的破壞性；同是計算機病毒的傳播方式也發(fā)生了根本性改變，它給網絡的安全管理帶來了很多麻煩。

第三，人為的惡意攻擊。校園網的開放性及技術的公開性，一些人為了使自己獲得某種非法利益，利用網絡協(xié)議，服務器和操作系統(tǒng)的安全漏洞以及管理上的疏忽非法訪問資源、刪改數據、破壞系統(tǒng)。

第四，操作系統(tǒng)存在安全漏洞。目前使用的操作系統(tǒng)存在很多安全漏洞，對網絡安全構成了威脅。許多校園網絡服務器的操作系統(tǒng)的安全風險級別不同加上系統(tǒng)管理員或使用人對該系統(tǒng)了解不夠和安全設置不當，這些都將對校園網絡構成威脅。

第五，網絡安全意識淡薄和管理制度的不完善。校園網上的安全威脅也來自管理意識的欠缺，管理機構的不健全，管理制度的不完善和管理技術的不先進等因素。由于學校的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束學生、教工的上網行為。

第六，電子郵件系統(tǒng)不夠完善。電子郵件是接入因特網的一個不可缺少的應用之一，同時也是病毒和垃圾的重要傳播途徑。目前，校園網郵件系統(tǒng)很多還是因特網上免費版本的郵件系統(tǒng)，它沒有提供完善的安全保護措施，更沒有提供對用戶的來往信件進行過濾、監(jiān)控和管理的手段。

第七，間諜軟件。間諜軟件惡意病毒代碼有進出現在各種免費軟件或共享軟件中，也會出現在文件共享客戶端中。它們可以監(jiān)控系統(tǒng)性能，竊取帳戶口令等信息，并將用戶數據發(fā)送給間諜軟件開發(fā)者。

第八，僵尸網絡。僵尸網絡已成為日益嚴重的安全威脅。僵尸程序通過聊天室、文件共享網絡感染存在漏洞的計算機，它們難以被發(fā)現，而能夠遠程控制被害人的計算機，然后組成僵尸軍團對其它計算機與網站發(fā)動攻擊，發(fā)送垃圾郵件或者竊取數據。

2 學校網絡安全解決方案

(1)規(guī)范出口的管理。學校網絡管理機構必須將所有的出口統(tǒng)一管理，為安全的實施提供最基礎的保障。

(2)配備完整系統(tǒng)的網絡安全設備。加大對學校網絡方面的資金投入，在網內和網外接口處配置一定的統(tǒng)一的安全設備。具體包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網絡版防病毒系統(tǒng)等。通過這些安全設備可以有效地控制病毒的入侵。

(3)構建一個覆蓋全網的防病毒、查漏體系。在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段，同時應實現遠程安裝、智能升級、遠程報警、分布查殺等多種功能。從以下幾個方面來解決：

1)架設防火墻。防火墻是在兩個網絡之間實現訪問控制的一個或一組軟件或硬件系統(tǒng)，是一種非常有效的網絡安全模型。利用防火墻，一是可以限制他人進入內部網絡，過濾掉不安全的服務和非法用戶；二是限定用戶訪問特殊站點；三是為監(jiān)視互連網安全提供方便。一般來說，防火墻物理位置位于內部網絡和外部網絡之間。

2)建立一個有效合理的病毒防御和查殺機制。主要做法是：網絡中心負責整個校園網的升級工作。為了安全和管理的方便起見，由網絡中心的系統(tǒng)中心定期地、自動地到殺毒軟件廠家網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到其他多個主機網點的客戶端與服務器端，并自動對殺毒軟件網絡版進行更新。

3)采用安全掃描技術。安全掃描技術是指手工地或使用特定的軟件工具——健全掃描器，對系統(tǒng)脆弱點進行評估，尋找可能對系統(tǒng)造成損害的安全漏洞。掃描主要分為系統(tǒng)掃描和網絡掃描兩個方面，系統(tǒng)掃描側重于主機系統(tǒng)的平臺安分性以及基于此平臺的應用系統(tǒng)的安全，而網絡掃描則側重于系統(tǒng)提供的網絡應用和服務以及相關的協(xié)議分析。

4)采用入侵檢測技術(簡稱“IDS”)是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。IDS一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。如服務器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上；重點保護網段的局域網交換機上。

5)解決I P盜用問題。方法是在路由器上捆綁IP和MAC地址。

(4)建立上網行為管理系統(tǒng)。上網行為管理系統(tǒng)，通過內容過濾、應用控制、帶寬管理、網頁過濾、流量分樣、監(jiān)控審計等功能，實現上網行為規(guī)范管理。

(5)嚴格規(guī)范上網場所的管理，集中進行監(jiān)控和管理。要解決用戶上網身份認證、上網日志保存和查詢的問題，最有效的解決方法就是采用集中身份認證、集中管理監(jiān)控的方式，具體有以下兩個步驟：

第一，用戶使用網絡首先通過統(tǒng)一的校級身份系統(tǒng)確認，非合法用戶無法使用校園網絡。

第二，合法用戶上網的行為受到統(tǒng)一的監(jiān)控并且上網行為日志集中保存在中心服務器上。

(6)改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能。

(7)采用VLAN技術服務器。VLAN技術的核心是網絡分段，根據不同的應用業(yè)務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，以達到限制非法訪問的目的。

(8)賬號和密碼保護。除管理好密碼外，對于一些不常用的賬戶要關閉，比如匿名登錄賬號等。

(9)采用網絡安全協(xié)議。它是在ISO七層協(xié)議中的任何一層采取安全措施。如在網絡層采用IPSec協(xié)議，在傳輸層采用SSL協(xié)議。

(10)Email安全措施。采用身份認證、加密和簽名、協(xié)議過濾等措施，還可在郵件服務器上安裝郵件過濾軟件，使大部分郵件病毒在郵件分發(fā)時被分檢過濾。

學校網絡是否安全不僅要考察其手段，還要考慮對網絡所采取的各種措施，其中不光是物理防范，還有人員的素質等其他“軟”因素，進行綜合評估，才能得出是否安全的結論。

[1]彭文勝,毛叔平.校園信息化規(guī)劃、管理及案例[M].上海:復旦大學出版社 ,2002.

[2]張惠平.淺談高校校園網絡安全分析及防護策略.《網絡安全》,2008.9.

[3]曾振東.校園網網絡安全解決方案初探.廣東青年干部學院學報,2009.

[4]段云所等.信息安全概論.