◆付振峰

(山東省日照市莒縣第一中學(xué))

隨著因特網(wǎng)的日益普及，普通中小學(xué)建設(shè)自己的校園網(wǎng)已成為大勢所趨。應(yīng)發(fā)展需要，我校建設(shè)了自己的校園網(wǎng)?？蓪W(xué)校沒有專業(yè)網(wǎng)絡(luò)安全保障團(tuán)隊(duì)，如何保證校園網(wǎng)的安全已成為校園網(wǎng)建設(shè)與使用中的難題。在建網(wǎng)之初，我接過了規(guī)劃與維護(hù)校園網(wǎng)的重任，通過著自己不斷地學(xué)習(xí)、探索與實(shí)踐，使學(xué)校網(wǎng)絡(luò)運(yùn)行保持安全穩(wěn)定?，F(xiàn)將探索與實(shí)踐的收獲總結(jié)出來與各位同仁探討，以求拋磚引玉。

一、校園網(wǎng)安全面臨的威脅

校園網(wǎng)建成后，特別是接入因特網(wǎng)后，面臨多方面的威脅，概括起來主要有:網(wǎng)絡(luò)設(shè)備的威脅、人為的無意失誤、惡意攻擊的威脅和軟件漏洞的威脅。

具體威脅有:網(wǎng)絡(luò)中的路由器、防火墻等設(shè)備本身是否預(yù)留后門或安裝竊聽裝置，其是否可靠對網(wǎng)絡(luò)的威脅;地震、雷擊等自然災(zāi)難對網(wǎng)絡(luò)設(shè)備的威脅;操作員安全配置不當(dāng)造成的安全漏洞;操作員安全意識不強(qiáng)，不慎重地選擇用戶口令，或?qū)⒆约旱馁~號隨意告訴他人或與他人共享等都會對網(wǎng)絡(luò)安全帶來威脅;惡意攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅;網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等方面存在著安全漏洞和隱蔽信道等不安全因素;網(wǎng)絡(luò)軟件也不可能百分之百的無缺陷和無漏洞。而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過的黑客侵入網(wǎng)絡(luò)內(nèi)部的事件，大部分就是安全措施不完善招致的苦果。

二、校園網(wǎng)安全策略探索與實(shí)踐

要保證校園網(wǎng)安全，首先應(yīng)確定網(wǎng)絡(luò)安全保護(hù)工作的目標(biāo)和對象，即校園網(wǎng)安全策略。網(wǎng)絡(luò)安全應(yīng)包括:設(shè)備安全、用戶安全、數(shù)據(jù)安全和軟件系統(tǒng)安全。即保證網(wǎng)絡(luò)設(shè)備運(yùn)行可靠，在發(fā)生自然災(zāi)難或遭到硬摧毀時(shí)仍能不間斷運(yùn)行，具有容災(zāi)抗毀和備份恢復(fù)能力;保證接入網(wǎng)絡(luò)的用戶是可信的，用戶接入網(wǎng)絡(luò)應(yīng)嚴(yán)格受控，上網(wǎng)必須登記并許可，防止惡意用戶對網(wǎng)絡(luò)系統(tǒng)的攻擊破壞;保證在網(wǎng)絡(luò)上傳輸、處理、存儲的數(shù)據(jù)是可信的，防止搭線竊聽、非授權(quán)訪問或惡意篡改;保證軟件系統(tǒng)安全可信，沒有預(yù)留后門或邏輯炸彈。

校園安全是校園網(wǎng)安全的前提與保障。確保校園安全，就要先做好校園防盜、防雷和用電安全。重要網(wǎng)絡(luò)設(shè)備還要安裝不間斷電源和穩(wěn)壓設(shè)備，做到不間斷穩(wěn)定運(yùn)行。校園網(wǎng)接入因特網(wǎng)后，黑客泛濫問題是校園網(wǎng)安全面臨的最大難題。為了消除隱患，保證校園網(wǎng)的安全，我主要進(jìn)行了以下探索與實(shí)踐:

1.嚴(yán)格規(guī)范的接入管理

保證校園網(wǎng)安全首先要保證接入網(wǎng)絡(luò)的用戶是可信的，這包括校園網(wǎng)內(nèi)部用戶和訪問校園網(wǎng)的用戶。校園網(wǎng)內(nèi)部用戶接入網(wǎng)絡(luò)應(yīng)嚴(yán)格受控，上網(wǎng)必須登記并許可，防止惡意用戶對網(wǎng)絡(luò)系統(tǒng)的攻擊破壞;對從因特網(wǎng)訪問校園網(wǎng)的用戶，要驗(yàn)證用戶的身份和權(quán)限、防止用戶越權(quán)操作，以保證網(wǎng)絡(luò)資源不被非法使用和訪問，防止惡意用戶對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊破壞。在實(shí)踐中，我們執(zhí)行入網(wǎng)登記制度，給每臺入網(wǎng)計(jì)算機(jī)分配固定IP地址，并在路由器上做好IP地址與MAC地址綁定，然后再配合賬號認(rèn)證對接入用戶進(jìn)行實(shí)名登記，確保每個(gè)入網(wǎng)用戶都是可信的。

2.部署防火墻和上網(wǎng)行為管理路由器

首先在校園網(wǎng)最前端部署防火墻，用來在校園內(nèi)網(wǎng)和公網(wǎng)的通信通道上建立一個(gè)訪問控制點(diǎn)，限制和控制校園網(wǎng)和外網(wǎng)之間的相互訪問。其次在辦公區(qū)、教學(xué)區(qū)和生活區(qū)的網(wǎng)絡(luò)連接處各部署上網(wǎng)行為管理路由器來認(rèn)證接入用戶和控制訪問權(quán)限，確保訪問安全通暢。

3.設(shè)置VLAN劃分IP子網(wǎng)

除了防止外來黑客攻擊之外，校園網(wǎng)內(nèi)部的訪問控制也極為重要，特別是辦公區(qū)、教學(xué)區(qū)和生活區(qū)網(wǎng)絡(luò)間的訪問控制。設(shè)置VLAN劃分IP子網(wǎng)是解決內(nèi)部安全問題的一個(gè)有效方法。

IP子網(wǎng)一般基于VLAN劃分，即一個(gè)VLAN分配一個(gè)IP子網(wǎng)。我將整個(gè)校園網(wǎng)劃分成教學(xué)、生活和辦公三個(gè)子網(wǎng)，即三個(gè)VLAN。從網(wǎng)絡(luò)角度看各個(gè)子網(wǎng)內(nèi)部可以實(shí)現(xiàn)無控制的資源共享，子網(wǎng)間通信必須通過第三IP包的源地址和目的地址及端口號、協(xié)議等決定轉(zhuǎn)發(fā)或丟棄該包，從而達(dá)到控制子網(wǎng)間訪問的目的。

4.確保計(jì)算機(jī)系統(tǒng)安全

入網(wǎng)的每臺計(jì)算機(jī)都要安裝殺毒軟件，做好病毒防治工作。該項(xiàng)工作首先由入網(wǎng)用戶選擇安裝高安全性能的殺毒軟件，如360殺毒、金山毒霸等，并對該軟件進(jìn)行及時(shí)地升級與更新，使用最新的病毒庫定期對系統(tǒng)進(jìn)行掃描，以防范和在第一時(shí)間內(nèi)消滅病毒。其次要安裝漏洞修復(fù)軟件，定期掃描系統(tǒng)，及時(shí)封堵操作系統(tǒng)和應(yīng)用軟件的安全漏洞。我?，F(xiàn)主要通過單機(jī)病毒防治與漏洞修復(fù)來保證各計(jì)算機(jī)系統(tǒng)安全，有條件時(shí)將會考慮使用網(wǎng)絡(luò)版軟件統(tǒng)一管理，對整個(gè)網(wǎng)絡(luò)安全進(jìn)行全面防御。

5.做好服務(wù)器安全管理

校園網(wǎng)中的各類服務(wù)器是學(xué)校資源中心，必須保證其安全穩(wěn)定可靠。我在學(xué)校的各類服務(wù)器上安裝了服務(wù)器安全狗，定期進(jìn)行服務(wù)器體檢、漏洞修復(fù)、賬號優(yōu)化、目錄權(quán)限優(yōu)化、系統(tǒng)服務(wù)優(yōu)化、注冊表優(yōu)化和垃圾清理等操作，隨時(shí)進(jìn)行最全面、最便捷的服務(wù)器系統(tǒng)優(yōu)化。服務(wù)器安全狗還可以進(jìn)行文件目錄守護(hù)、賬號保護(hù)和遠(yuǎn)程桌面保護(hù)，有效防止黑客提權(quán)和登錄服務(wù)器遠(yuǎn)程桌面。

學(xué)校網(wǎng)站是學(xué)校在因特網(wǎng)上的名片，為保證網(wǎng)站內(nèi)容安全可靠，我在網(wǎng)站服務(wù)器上安裝了網(wǎng)站安全狗，它可以對網(wǎng)站進(jìn)行全方位一體化防護(hù)，查殺網(wǎng)頁木馬、網(wǎng)頁掛馬、網(wǎng)頁黑鏈與畸形文件，保護(hù)網(wǎng)站免受注入、網(wǎng)馬、危險(xiǎn)組件、惡意程序執(zhí)行等一系列攻擊侵害。

三、結(jié)束語

隨著信息社會的迅速發(fā)展，網(wǎng)絡(luò)和信息的安全問題將越來越受到人們的重視。各類中小學(xué)應(yīng)增強(qiáng)安全意識，多花點(diǎn)精力和資金投入到校園網(wǎng)的安全建設(shè)中，防止黑客進(jìn)出我們的校園網(wǎng)。我們相信，通過各種政策法規(guī)和防范策略的制定與實(shí)施，因特網(wǎng)定將健康發(fā)展和不斷完善，必將給中小學(xué)的校園網(wǎng)建設(shè)和運(yùn)行帶來安全的曙光。

［1］公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局，中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會.信息網(wǎng)絡(luò)安全保護(hù)工作知識手冊.2002.

［2］張金峰.對當(dāng)前計(jì)算機(jī)信息網(wǎng)絡(luò)安全問題的幾點(diǎn)思考［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2001，(1).