王蓉

摘 要：網絡安全已成為計算機網絡的關鍵問題。各種網絡故障極為普遍，種類也多種多樣，要在網絡出現(xiàn)故障時做出準確的判斷并進行維護，快速診斷、及時修復，掌握一套行之有效的網絡安全理論、方法和技術是關鍵。校園計算機網絡安全管理涉及高校數(shù)字化校園建設各部門，要求有完善的管理制度和可靠的技術手段，構建完整的校園網絡安全體系。

關鍵詞：校園網；網絡安全；網絡故障

中圖分類號：TP393.18 文獻標志碼：A 文章編號：1673-291X（2017）18-0167-02

引言

人類已進入信息時代，計算機網絡已成為當今社會必不可少的工具之一。由于網絡具有的開放性，它在為人類帶來便利的同時，也帶來了眾多安全隱患。高等院校在日常教學和管理中，無論教師還是學生已經非常依賴校園計算機網絡。因此，校園網絡已成為各大專院校的重要基礎設施之一。而校園網絡覆蓋范圍廣，用戶使用量大，各種網絡故障極為普遍，種類也多種多樣，要在網絡出現(xiàn)故障時對出現(xiàn)故障做出準確的判斷并進行維護，快速診斷、及時修復，掌握一套行之有效的網絡維護理論、方法和技術是關鍵。同時，感染病毒，黑客竊取密碼或資料等問題層出不窮，校園計算機網絡安全帶來的危害也越來越嚴重，如何保障網絡安全已成為亟待解決的問題。所以，在校園網絡建設中加強網絡安全已經成為關鍵問題。

一、校園網安全策略的制定

校園網安全策略的制定包括制度安全和技術安全兩方面的內容。

制度安全策略的制定是根據高校的具體情況，明確和細化校園網的安全內容，制定行之有效的管理體系，明確各級管理員的用戶分級和職責，針對不同用戶提供對應的使用說明書，全面指導和規(guī)范校園網各級用戶的網絡行為。

技術安全策略通過校園網的安全設備和安全軟件來實現(xiàn)。具體采取以下安全設備和安全軟件：（1）設備的物理安全；（2）設備安全特性；（3）設置防火墻；（4）校園網路由器；（5）遠程訪問虛擬專用網絡集中器；（6）校園網入侵檢測系統(tǒng)；（7）校園網郵件過濾系統(tǒng)和網頁內容過濾系統(tǒng)；（8）驗證、授權和記賬服務器和其余相關網絡的驗證、授權和記賬服務器；（9）不同網絡設備上的訪問控制和訪問限制機制，比如 ACL 和 CAR；（10）校園網設備配置的安全管理軟件和數(shù)據備份系統(tǒng)；（11）校園網服務器和終端的安全管理系統(tǒng)。

二、安全管理措施

校園網安全管理的工作非常復雜，所面臨的威脅主要來源于人為的無意失誤，人為的惡意攻擊，各種軟件的漏洞和“后門”，非授權訪問，信息泄露或丟失，數(shù)據完整性遭到破壞等各個方面。涉及學校各部門的人員和業(yè)務，必須由決策層統(tǒng)一領導，由專門的信息安全管理委員會具體負責。根據“統(tǒng)一領導、層層落實、外防內審”的原則，成立包括決策機構、執(zhí)行機構、應急響應小組等各級網絡安全責任機構。校園網絡系統(tǒng)中的各種硬件設備、軟件、技術資料以及機房場地等是重要的校園網安全保護對象，需要采取有效措施進行管理，其主要有以下方面：

1.人員的管理。人是各個安全環(huán)節(jié)中最重要的因素，對人員的管理包括對網絡管理、維護者的管理和對網絡使用者的管理。重點需要加強對網絡管理、維護者的管理。許多安全事件都是由內部人員引起的，正所謂堡壘最容易從內部攻破。因此，需要明確管理員分級制度，建立有效的監(jiān)督機制，全面提高網絡管理、維護人員的安全意識、政治覺悟和道德品質。

2.硬件的管理。為了對硬件設備的購置、使用、維修、儲存等各環(huán)節(jié)進行有效管理。對所有設備均應建立項目齊全、管理嚴格的登記制度，嚴格控制硬件設備購置、移交、使用、維護、維修和報廢等各環(huán)節(jié)，管理工作正規(guī)化、日?；?，而且應由第三方機構做好檢查、監(jiān)督工作。每臺或每套設備的使用均應指定專人負責，并建立詳細的運行日志，由責任人進行設備的日常清洗及定期保養(yǎng)維護，保證設備處于最佳狀態(tài)。

3.機房的管理。機房場地的選擇、內部裝修、供配電系統(tǒng)要滿足防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊等要求，安置電磁屏蔽網，防止電磁波的干擾和泄露。重要部位需要設置有可靠的報警和消防設施。進入機房的人員必須經過有關安全管理人員的批準，進入和退出時間及進入理由要進行登記。同時，關鍵部位要設置門衛(wèi)或者電子報警裝置，防止非法闖入。

4.軟件的管理。軟件的管理對象包括操作系統(tǒng)、應用軟件、數(shù)據庫、安全軟件、工具軟件等，軟件管理要由責任心強、工作及業(yè)務能力高的專人負責。合理設置各種軟件的使用權限。建立安全日志，對系統(tǒng)升級、軟件的安裝和更新、軟件的各種異常情況的處理做到有據可查。

5.重要信息文件的管理。網絡管理中涉及的重要信息文件包括口令、配置、權威數(shù)據、重要技術文檔等，應該分級保存、做好備份文件。同時，采取切實有效的加密措施，防止重要信息的外泄。

三、安全設置原則

路由器、防火墻、網絡交換機、VPN 集中器等組成了校園網絡的關鍵設備，這些網絡設備有著共同的安全設置原則。

1.備份配置管理。備份配置能夠允許在發(fā)生網絡攻擊導致配置被破壞或者被以某種方式修改時，快速恢復網絡設備。因此，路由器的配置在路由器的非易失性隨機存儲器中保存的同時，還需要在一個適當?shù)奈恢帽４嬉粋€路由器配置副本。

2.控制關鍵設備的訪問。通過虛擬類型終端端口和控制臺和輔助端口兩種主要機制來防止對任何資源進行未授權的訪問，實現(xiàn)對校園網設備的訪問進行控制。

3.網絡設備的安全訪問。為防止遠程管理過程中的信息泄露問題，除了在網絡設備上建立用戶認證系統(tǒng)外，還應該考慮使用安全外殼協(xié)議（SSH）或者類似的方法對網絡設備的通信會話加密。

4.設備的密碼管理。使用加密機、動態(tài)口令、密碼鍵盤、密鑰分發(fā)器進行密碼的分級管理，放置密碼的最好位置是認證服務器，對于需要在設備自身放置的密碼應適當?shù)丶用?，防止窺探，以確保密碼安全。

5.開啟網絡設備的日志功能。日志記錄是網絡設備安全機制的重要組成部分。建立網絡的統(tǒng)一的日志主機，將網絡設備的日志按照統(tǒng)一格式上傳到日志服務器。利用信息完整日志的文件能夠為我們分析、查找相關信息提供重要的數(shù)據來源。

6.禁用不需要的服務。禁用不需要的服務，可提高安全性及系統(tǒng)運行速度，具體根據實際情況，如果網絡設備上的一些服務是不需要的，就應該禁用它們。

四、網絡設備的安全設置

1.路由體系結構。合理的路由過濾對于任何一個校園計算機網絡建設都是重要的，尤其當校園網與外部公共網絡連接時路由的結構設置中尤為重要。安全的路由體系結構不易受攻擊，同時也不易出現(xiàn)體系結構的漏洞。一個好的路由基礎結構設計能夠在網絡遭受攻擊期間幫助管理員降低網絡風險和縮短故障時間。在校園網絡中，需要確保只有真正包含在內部網絡上的路由才能正常運行。

使用靜態(tài)路由是確保安全的有效方法。靜態(tài)路由能夠使路由表中的代碼信息在網絡攻擊中不受影響，防止網絡中其他部分出現(xiàn)的安全問題對整個網絡的影響。另外，為確保安全使用靜態(tài)路由有必要定義默認路由信息。

目前主要有兩種提供安全使用路由器間交換路由的方法：（1）認證共享路由信息的路由器，確定是同一個可信源在進行交談。（2）認證共享路由信息的準確性，確保在傳輸時數(shù)據信息沒有被竄改。

2.防火墻的設置。防火墻的正確設置原則如下：（1）將防火墻設置校園網邊界。為保證校園網中的設備受到防火墻保護，防火墻的位置應盡可能在接近網絡最終出口和最初入口。這樣做也有助于校園網和公用網絡保持明確的分界。分界不清楚的網絡很容易遭到來自外部的攻擊。（2）為了保護重要信息和關鍵網段有時還需要將防火墻設置在校園網內部。比如在校園網中財務處、圖書館或教務處服務器這些需要特殊保護隔離的網段，需要通過防火墻設置防止其他非法用戶訪問。（3）為了防止防火墻被旁路，不應該將防火墻與路由器等其他的網絡設備并行設置，同時避免任何可能導致防火墻被旁路的設備在網絡拓撲中加入。（4）校園網與公用網絡之間應建立隔離區(qū)，例如通過 Web 服務器與校園網設備間建立聯(lián)系時，應把防火墻建立在這些服務器的隔離區(qū)之上。將外部服務器放置在與校園網分離的隔離區(qū)中，可迫使擁有外部服務器控制權的人員，訪問校園網絡時必須通過防火墻。

3.遠程訪問設置?，F(xiàn)在高?？梢圆捎媒⑦h程服務器的辦法解決遠程管理、維護、使用的問題。但是，為防止校園網受到遠程網絡攻擊，校園網必須設置防火墻，并且對通過遠程訪問服務器進入校園網的請求進行限定。同時，還應該在遠程訪問服務器上進行訪問過濾配置，限制非法連接的進入。

結語

保證校園網絡的高速正常運行涉及到教育教學、行政辦公、后勤生活的方方面面，對于學校的教學、科研、管理具有重要意義。網絡安全是通過各種科學手段使網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據受到保護，從本質上來講就是保護網絡上的信息安全，確保網絡系統(tǒng)連續(xù)、可靠、正常地運行。如何建立一套完善可靠的校園網絡安全體系，需要各級部門高度重視，通過有效手段和科技創(chuàng)新在不斷的實踐中總結提高網絡的安全性能。

參考文獻：

[1] 李賀華.校園網安全管理機構與制度建設的探討[J].中國公共安全：學術版，2009，（9）.

[2] 劉趙，孫海波.校園網信息系統(tǒng)安全管理策略研究[J].信息與電腦：理論版，2010，（2）.

[責任編輯 李曉群]