劉方建

摘 要：隨著高校校園網(wǎng)規(guī)模急劇擴大、網(wǎng)絡(luò)應(yīng)用增多，網(wǎng)絡(luò)用戶數(shù)量劇增、對校園網(wǎng)的依賴程度日益增加，校園網(wǎng)安全通暢成為網(wǎng)絡(luò)管理者的第一要務(wù)。如何保證校園網(wǎng)的安全通暢運行，已成為當(dāng)前許多高校信息化建設(shè)的當(dāng)務(wù)之急。高校應(yīng)建立相關(guān)的管理措施，成立良好的校園網(wǎng)絡(luò)安全系統(tǒng)，保證所有類型的信息化建設(shè)都不受到外來訪問系統(tǒng)的破壞。

關(guān)鍵詞：高校校園；網(wǎng)絡(luò)安全；問題及對策

隨著高校校園信息化建設(shè)工作的整體推進，應(yīng)用系統(tǒng)的整合、統(tǒng)一門戶平臺的實施、數(shù)據(jù)存儲中心的建立以及各種信息的共享與交流，都需要切實做好校園網(wǎng)絡(luò)安全體系建設(shè)，建立事故預(yù)警機制，做好善后處理工作，結(jié)合硬件、軟件，采取各種技術(shù)措施，建立一個基于管理措施和多種技術(shù)的高校校園網(wǎng)絡(luò)安全體系，確保校園信息化各類基礎(chǔ)設(shè)施不受來自網(wǎng)內(nèi)和網(wǎng)外用戶非法訪問和破壞，管理內(nèi)部用戶對外部資源的合法訪問，全面做好校園信息化的安全保衛(wèi)工作。

1 高校校園網(wǎng)絡(luò)安全威脅

高校校園網(wǎng)絡(luò)通常接入著成千上萬臺計算機、服務(wù)器、交換機等終端設(shè)備，這些終端分布在不同的物理位置，由不同的用戶操作，有著不同的用途。由于使用者安全意識不強、網(wǎng)絡(luò)安全措施不及時、技術(shù)實施不到位或者惡意攻擊造成的損失時有發(fā)生。高校校園網(wǎng)絡(luò)常見的安全威脅主要有以下幾個方面：

1.1計算機病毒肆虐

校園網(wǎng)網(wǎng)絡(luò)在使用移動存儲設(shè)備、下載程序、收發(fā)電子郵件、瀏覽網(wǎng)頁甚至即時通信都有可能造成病毒的下載和傳播。大量病毒傳播不僅占用網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率下降，而且破壞網(wǎng)絡(luò)設(shè)備、服務(wù)器或單機，最終影響整個學(xué)校網(wǎng)絡(luò)系統(tǒng)的正常運作，嚴(yán)重的還可能造成校園網(wǎng)絡(luò)的癱瘓，是目前威脅校園網(wǎng)絡(luò)安全的主要因素之一。

1.2終端系統(tǒng)漏洞

我國高校的校園網(wǎng)站中的使用系統(tǒng)漏洞，以及計算機的系統(tǒng)應(yīng)用軟件的安全問題是現(xiàn)階段高校校園網(wǎng)絡(luò)中存在的普遍現(xiàn)象，這些情況出現(xiàn)之后會嚴(yán)重影響計算機的使用，甚至?xí)?dǎo)致校園網(wǎng)絡(luò)癱瘓，使用戶的信息安全受到威脅，造成的后果非常嚴(yán)重，而且一旦網(wǎng)絡(luò)出現(xiàn)的漏洞被黑客和惡意破壞的人員發(fā)現(xiàn)，就很容易造成嚴(yán)重的后果，一旦這些人員入侵校園網(wǎng)站，通過網(wǎng)站漏洞對于系統(tǒng)進行攻擊，對于校園主機的資源進行非法獲取。這樣的情況都嚴(yán)重的影響校園網(wǎng)絡(luò)的使用，并且黑客攻擊了網(wǎng)站之后，校園管理員并不能查勘其真實的身份，所以高校中還需要對安全網(wǎng)絡(luò)系統(tǒng)進行維護，并且在發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)最新版本的時候，網(wǎng)絡(luò)管理人員還需要及時的更新改進，保證網(wǎng)絡(luò)補丁能夠被及時修補，防止黑客和木馬的入侵，在系統(tǒng)更新之后還需要及時的安裝殺毒軟件等。

1.3網(wǎng)絡(luò)設(shè)備安全管理不足

從網(wǎng)絡(luò)設(shè)備所處層級看，校園網(wǎng)網(wǎng)絡(luò)層級一般可分為核心層、匯聚層、接入層，要確保各個層級的安全，網(wǎng)絡(luò)設(shè)備本身的安全可靠是前提，否則網(wǎng)絡(luò)設(shè)備所配置的安全策略就失去了其意義。為了集中管理存放在校內(nèi)各樓宇中的交換機設(shè)備，學(xué)校一般會購置具備遠(yuǎn)程管理功能的交換機，也同樣是出于集中管理的目的，網(wǎng)絡(luò)管理者往往會將交換機的遠(yuǎn)程登陸帳戶設(shè)置成一模一樣或者就干脆采用設(shè)備的出廠默認(rèn)值，如果攻擊者獲取到設(shè)備的登陸帳號，將會給用戶和網(wǎng)絡(luò)管理帶來無法想象的威脅。

1.4網(wǎng)絡(luò)中傳播的非法信息

在我國高校內(nèi)的網(wǎng)站，很多學(xué)生對網(wǎng)絡(luò)資源進行濫用，例如：非法上傳網(wǎng)絡(luò)資源，因為很多學(xué)生使用校園網(wǎng)絡(luò)玩游戲或者是下載電影，所以很多用戶在使用電腦的時間非常長，甚至超過一天一夜，這樣也會造成網(wǎng)絡(luò)資源的浪費和占用，是網(wǎng)絡(luò)變得非常慢占用網(wǎng)絡(luò)寬帶，這樣的情況也容易影響其他用戶。一旦網(wǎng)絡(luò)使用情況被阻止，有些人就開始使用其他渠道，這樣也會造成校園網(wǎng)絡(luò)出現(xiàn)安全隱患。

2 保障高校校園網(wǎng)絡(luò)安全策略

2.1做好病毒防范和控制

網(wǎng)絡(luò)管理者一般應(yīng)通過四種策略來防范和控制病毒在校園網(wǎng)中的廣泛傳播：一是在網(wǎng)關(guān)處禁止常見病毒的入侵，關(guān)閉校園網(wǎng)絡(luò)對外的可能產(chǎn)生病毒入侵的端口；二是在校園網(wǎng)內(nèi)安裝具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品，在整個校園網(wǎng)內(nèi)采取病毒防范措施；三是查找到病毒宿主機，對其實施隔離措施，將用戶的網(wǎng)絡(luò)訪問強行定向到校內(nèi)在線殺毒站點進行病毒查殺；四是對服務(wù)器等重要設(shè)備設(shè)定安全策略（如固定端口開放、審核策略、網(wǎng)絡(luò)訪問許可策略等），監(jiān)控系統(tǒng)狀態(tài)，有效防范校園網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。

2.2封堵終端安全漏洞

對操作系統(tǒng)來說，可以通過“打補丁”完成漏洞的封堵。若網(wǎng)絡(luò)設(shè)備出現(xiàn)安全漏洞，則可聯(lián)系設(shè)備廠商，獲取最新芯片程序并更新設(shè)備。在校園網(wǎng)內(nèi)，WEB站點通常比較多，代碼往往是由不同設(shè)計開發(fā)人員完成的，漏洞相對比較復(fù)雜，因此，網(wǎng)絡(luò)管理員需要定期或不定期的檢查WEB站點，發(fā)現(xiàn)問題及時解決。

2.3防范弱口令，加強密碼復(fù)雜度建設(shè)

對于網(wǎng)絡(luò)管理者來說，雖然管理的設(shè)備和應(yīng)用系統(tǒng)比較多，但更要加強密碼復(fù)雜度的建設(shè)，要徹底避免使用設(shè)備出廠默認(rèn)密碼或設(shè)置過于簡單的密碼，甚至需要定期或不定期的予以更換，這樣才能真正保護校園網(wǎng)絡(luò)正常運轉(zhuǎn)的基礎(chǔ)平臺。

2.4合理有序管理IP地址

IP地址是校園網(wǎng)絡(luò)各種功能得以實現(xiàn)的基礎(chǔ)。高校校園網(wǎng)絡(luò)一般可以采用DHCP服務(wù)方式使終端自動獲得IP地址，但為了防止終端用戶私自建立DHCP服務(wù)器造成校園網(wǎng)絡(luò)管理的混亂，可以配置支持DHCP Snooping功能的接入交換機，使終端用戶獲取的IP地址只能來自校園網(wǎng)絡(luò)管理中心。另一方面，為了防止用戶手動設(shè)置IP地址而造成沖突，可以配置支持IP Source Guard的接入交換機，使終端用戶自行設(shè)置的IP地址自動被交換機禁止，必須從DCHP服務(wù)器獲取IP地址后才可使用。

2.5加強網(wǎng)絡(luò)監(jiān)控力度

網(wǎng)絡(luò)管理者應(yīng)制定網(wǎng)絡(luò)監(jiān)控機制，采用適合網(wǎng)絡(luò)需要的安全產(chǎn)品和安全技術(shù)，建立一個功能完善、覆蓋整個校園網(wǎng)絡(luò)系統(tǒng)的監(jiān)控體系，加強實施力度，對整個網(wǎng)絡(luò)的運行狀況進行監(jiān)控和記錄，及時發(fā)現(xiàn)可疑的網(wǎng)絡(luò)活動并采取相應(yīng)措施，增強網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，阻止今后可能發(fā)生的入侵行為和病毒傳播，從而保證校園網(wǎng)絡(luò)安全、穩(wěn)定的提供各類服務(wù)。

2.6實施用戶網(wǎng)絡(luò)安全教育和培訓(xùn)

網(wǎng)絡(luò)管理者需要對校內(nèi)網(wǎng)絡(luò)用戶加強網(wǎng)絡(luò)安全教育，規(guī)范網(wǎng)絡(luò)文明行為，增強網(wǎng)絡(luò)安全意識，可以通過建立網(wǎng)站并發(fā)布相關(guān)安全規(guī)范操作方法，或定期組織各類培訓(xùn)，讓師生掌握各類網(wǎng)絡(luò)系統(tǒng)平臺的使用方法和基本的安全應(yīng)用技能（如不輕易使用存在一定安全隱患的軟件、不輕易瀏覽存在風(fēng)險的網(wǎng)站、不隨便打開未知電子郵件等），建立完善的培訓(xùn)制度和激勵機制，有效激發(fā)管理者和參與者的積極性，切實保證效果。

2.7采用訪問控制技術(shù)，保護重要資源

訪問控制技術(shù)是檢測和拒絕網(wǎng)絡(luò)中的未經(jīng)授權(quán)訪問，保障授權(quán)用戶正常訪問網(wǎng)絡(luò)資源所采取的安全措施體系，是校園網(wǎng)絡(luò)安全防范的主要策略。訪問控制技術(shù)涉及的策略主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制以及網(wǎng)絡(luò)端口和節(jié)點的安全控制等。

2.8采用虛擬局域網(wǎng)技術(shù)，隔離不同需求用戶

現(xiàn)在絕大多數(shù)高校校園網(wǎng)是交換以太網(wǎng)，根據(jù)盡可能減少網(wǎng)絡(luò)沖突域中N值的原則，利用交換機的VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）技術(shù)，可以把同一物理局域網(wǎng)內(nèi)的不同需求用戶邏輯地劃分成一個個網(wǎng)段，形成不同的廣播域，強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播，使不同VLAN的用戶相互間不能訪問，提高校園網(wǎng)絡(luò)的安全性。

3 結(jié)語

校園網(wǎng)絡(luò)安全問題是一個較為復(fù)雜的系統(tǒng)工程，需要在充分了解現(xiàn)有網(wǎng)絡(luò)安全狀況的前提下，通過管理和技術(shù)兩個策略層次全方位進行防范，設(shè)計合理的安全規(guī)劃方案，有效防止有害信息的流入、防止非法攻擊和未經(jīng)授權(quán)訪問、防止竊取內(nèi)部信息和對網(wǎng)絡(luò)資源的盜用、濫用等，充分發(fā)揮校園網(wǎng)絡(luò)安全穩(wěn)定的管理與服務(wù)功能，使校園網(wǎng)絡(luò)建設(shè)朝一個全面的、集成的、個性化的、開放的、安全的方向邁進，為學(xué)校的跨越式發(fā)展提供現(xiàn)代化的基礎(chǔ)平臺。

參考文獻：

[1]嚴(yán)軍鵬.高校校園網(wǎng)絡(luò)安全技術(shù)淺析[J].計算機與網(wǎng)絡(luò)，2015，41（21）：52-53.

[2]金山.基于信息化環(huán)境下的校園網(wǎng)絡(luò)安全建設(shè)與管理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（2）：21-22.

[3]張文川.一種校園網(wǎng)絡(luò)的優(yōu)化方案及應(yīng)用[J].軟件工程師，2014（10）：21-22.