許學(xué)虎

【摘 要】當(dāng)前，隨著信息網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，影響中職學(xué)校校園網(wǎng)的不安全因素越來(lái)越多。本文列舉了影響校園網(wǎng)安全的常見(jiàn)因素，介紹了常用網(wǎng)絡(luò)安全技術(shù)，并提出了校園網(wǎng)安全問(wèn)題的解決方案。

隨著網(wǎng)絡(luò)的快速發(fā)展和不斷普及，很多中等職業(yè)學(xué)校都建設(shè)了校園網(wǎng)并通過(guò)各種渠道接入了Internet，還有些學(xué)校已經(jīng)使用校園網(wǎng)來(lái)提高學(xué)校的信息化管理水平。但是隨著校園網(wǎng)規(guī)模不斷擴(kuò)大，需要的功能不斷增加，應(yīng)用環(huán)境日趨復(fù)雜，負(fù)責(zé)管理校園網(wǎng)絡(luò)的管理人員相對(duì)較少，導(dǎo)致校園網(wǎng)事故時(shí)有發(fā)生。因此，對(duì)于如何提高校園網(wǎng)絡(luò)的安全性和穩(wěn)定性，是各個(gè)中職院校需要重視的問(wèn)題。

【關(guān)鍵詞】校園網(wǎng)安全；防火墻；入侵檢測(cè)技術(shù)；VLAN技術(shù)

一、校園網(wǎng)目前存在的安全隱患

1.計(jì)算機(jī)病毒的威脅

當(dāng)今社會(huì)，計(jì)算機(jī)病毒的威脅時(shí)刻影響著互聯(lián)網(wǎng)，病毒制造者不斷制造更隱蔽、破壞性更強(qiáng)的病毒。當(dāng)校園網(wǎng)接入Internet后，受病毒感染的機(jī)會(huì)成倍增加，往往在瀏覽一個(gè)網(wǎng)頁(yè)，或者打開(kāi)一個(gè)郵件時(shí)，都有可能使計(jì)算機(jī)感染上病毒。當(dāng)校園網(wǎng)中任意一臺(tái)機(jī)器感染上病毒，如果措施不當(dāng)，極有可能會(huì)造成嚴(yán)重后果，輕則系統(tǒng)被破壞，重則大量資料被毀，甚至造成硬件的損壞。還有可能會(huì)在局域網(wǎng)內(nèi)擴(kuò)散，破壞網(wǎng)絡(luò)資源，使整個(gè)網(wǎng)絡(luò)的效率和作用急劇下降，直至造成校園網(wǎng)絡(luò)系統(tǒng)的癱瘓。

2.非法入侵和破壞

黑客攻擊是網(wǎng)絡(luò)中一個(gè)常見(jiàn)的安全隱患，接入Internet的校園網(wǎng)同樣存在著被非法入侵的可能。現(xiàn)在互聯(lián)網(wǎng)中黑客工具隨處可以下載，黑客工具教學(xué)的網(wǎng)站和培訓(xùn)班到處都是，對(duì)于一個(gè)電腦愛(ài)好者來(lái)說(shuō)，想掌握一些黑客工具的使用已不再是一件難事。即使在校園網(wǎng)的內(nèi)部，也不乏躍躍欲試者，或有其他企圖者，他們也可能會(huì)使用非法的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，或者設(shè)法入侵服務(wù)器，有選擇的破壞信息的有效性和完整性，導(dǎo)致數(shù)據(jù)被獲取或修改，從而對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)造成破壞。

3.系統(tǒng)自身的安全隱患

任何系統(tǒng)都可能存在缺陷，操作系統(tǒng)和網(wǎng)絡(luò)軟件也是有漏洞的，中職院校校園網(wǎng)中服務(wù)器操作系統(tǒng)基本上使用的是Windows 2003 Server。數(shù)據(jù)庫(kù)服務(wù)器軟件基本上使用的是Sql Server?？蛻?hù)端使用的是Windows XP，這些都是微軟提供的軟件，它們的漏洞幾乎每隔幾天都有新的被發(fā)現(xiàn)，如果我們的使用者不及時(shí)下載更新補(bǔ)丁，入侵者就可以根據(jù)掃描的結(jié)果進(jìn)行攻擊。

4.其他隱患

校園網(wǎng)內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)資源的不規(guī)范使用，有些用戶(hù)盜用IP地址上網(wǎng)，有些用戶(hù)喜歡用BT進(jìn)行下載，占用了大量的網(wǎng)絡(luò)帶寬。如此等等，都影響著校園網(wǎng)的正常運(yùn)行。

二、校園網(wǎng)安全管理策略

1.搭建網(wǎng)絡(luò)防火墻

我校采用的是H3C SecPath U200-S設(shè)備，它是H3C公司面向中小型企業(yè)分支機(jī)構(gòu)設(shè)計(jì)推出的新一代UTM（United Threat Management，統(tǒng)一威脅管理）設(shè)備，采用高性能的多核、多線程安全平臺(tái)，保障在全部安全功能開(kāi)啟時(shí)性能不降低；在防火墻、VPN功能基礎(chǔ)上，集成了IPS、防病毒、URL過(guò)濾、協(xié)議內(nèi)容審計(jì)、帶寬管理以及反垃圾郵件等安全功能，產(chǎn)品具有極高的性?xún)r(jià)比。

H3C公司的SecPathU200-S能夠全面有效的保證用戶(hù)網(wǎng)絡(luò)的安全，同時(shí)還可以使用

戶(hù)避免部署多臺(tái)安全設(shè)備所帶來(lái)的運(yùn)營(yíng)成本和維護(hù)復(fù)雜性問(wèn)題。

2.部署行為管理程序

我校采用的是Panabit，它是集流量采集、應(yīng)用分析、帶寬管理于一體的服務(wù)器軟件系統(tǒng)，只需安裝在一臺(tái)合適的硬件平臺(tái)中，就成為一個(gè)專(zhuān)業(yè)的網(wǎng)絡(luò)設(shè)備，部署在網(wǎng)絡(luò)出口或流量匯聚的地方即可。

上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶(hù)控制和管理對(duì)互聯(lián)網(wǎng)的使用，包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶(hù)行為分析等功能。能夠幫助企業(yè)、機(jī)關(guān)單位辦公人員的網(wǎng)絡(luò)使用狀況，提高工作效率，提升網(wǎng)絡(luò)安全，預(yù)防泄密等。

3.安裝系統(tǒng)補(bǔ)丁

由于我校校園網(wǎng)使用的操作系統(tǒng)基本上是windows7.0、8.0，很多網(wǎng)絡(luò)病毒都是利用微軟的系統(tǒng)漏洞入侵個(gè)人電腦，進(jìn)而在網(wǎng)絡(luò)里進(jìn)行傳播。如果不及時(shí)更新系統(tǒng)補(bǔ)丁，病毒就可以利用這些漏洞進(jìn)行入侵。但在目前，由于學(xué)校電腦大部分是處于公用狀態(tài)，用戶(hù)使用的時(shí)候不會(huì)太在意漏洞的修補(bǔ)，從而給了病毒和木馬以可乘之機(jī)。為此信息辦網(wǎng)管人員在校園網(wǎng)絡(luò)中心部署了360網(wǎng)管版（原360企業(yè)版），提供全網(wǎng)統(tǒng)一體檢、打補(bǔ)丁、殺病毒、開(kāi)機(jī)加速、分發(fā)軟件、發(fā)送公告、流量監(jiān)控、資產(chǎn)管理等，讓網(wǎng)絡(luò)安全管理變得很簡(jiǎn)單。

4.VLAN控制

采用以太網(wǎng)交換技術(shù)的校園網(wǎng)絡(luò)，可以用VLAN技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN能夠幫忙實(shí)現(xiàn)流量控制，提供更高的安全性，使網(wǎng)絡(luò)設(shè)備的變更或移動(dòng)更加方便，VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，以達(dá)到限制非法訪問(wèn)的目的。我校根據(jù)辦公區(qū)域及功能區(qū)域劃分成5個(gè)網(wǎng)段，采用VLAN技術(shù)，利用網(wǎng)關(guān)保證信息的有效過(guò)濾，這樣就可以保證信息安全。

5.加強(qiáng)機(jī)房、班級(jí)教室管理

中職院校的計(jì)算機(jī)實(shí)驗(yàn)室上機(jī)人數(shù)多，機(jī)器使用頻率非常高，有相當(dāng)一部分學(xué)生喜歡玩網(wǎng)絡(luò)游戲，甚至?xí)低祵盤(pán)帶入實(shí)驗(yàn)室，這樣計(jì)算機(jī)就很容易感染病毒，通過(guò)網(wǎng)絡(luò)的迅速傳播，對(duì)校園網(wǎng)影響極大。必須加強(qiáng)對(duì)實(shí)驗(yàn)室計(jì)算機(jī)的防病毒管理。實(shí)驗(yàn)室計(jì)算機(jī)大多在學(xué)期開(kāi)始前就統(tǒng)一安裝操作系統(tǒng)和應(yīng)用軟件，并且使用了還原軟件，在開(kāi)機(jī)后能對(duì)系統(tǒng)盤(pán)或全部硬盤(pán)自動(dòng)還原。在這種情況下，隨著學(xué)期的進(jìn)行，往往來(lái)不及安裝最新的漏洞補(bǔ)丁，一旦有蠕蟲(chóng)病毒利用新的系統(tǒng)漏洞傳播，就很容易在實(shí)驗(yàn)室內(nèi)反復(fù)感染，并成為校園網(wǎng)上的“病毒源”，甚至可能造成網(wǎng)絡(luò)風(fēng)暴，進(jìn)而導(dǎo)致校園網(wǎng)崩潰。為此我校信息辦將所有的機(jī)房統(tǒng)一管理，將機(jī)房網(wǎng)絡(luò)單獨(dú)監(jiān)控，實(shí)現(xiàn)機(jī)房?jī)?nèi)網(wǎng)和校園外網(wǎng)的路由管理，學(xué)生上機(jī)通過(guò)登錄用戶(hù)名、密碼的方式使用電腦，利用“方竹”網(wǎng)管軟件隨時(shí)可以監(jiān)控學(xué)生使用情況，第一時(shí)間響應(yīng)。學(xué)生要使用外網(wǎng)，由任課教師提前在內(nèi)網(wǎng)申請(qǐng)，批準(zhǔn)后開(kāi)通網(wǎng)絡(luò)服務(wù)，通過(guò)“愛(ài)快”軟路由加以管理。

6.加強(qiáng)安全管理制度的落實(shí)

安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。需建立一套完善的校園網(wǎng)絡(luò)安全管理模式，加強(qiáng)對(duì)關(guān)鍵設(shè)備的日常檢查，做好服務(wù)器的日志工作，做好數(shù)據(jù)的備份工作，保管好管理員帳號(hào)密碼，做好地址綁定和流量控制。同時(shí)制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的進(jìn)行。加強(qiáng)網(wǎng)絡(luò)法律法規(guī)的宣傳教育，提高師生網(wǎng)絡(luò)安全意識(shí)。對(duì)教師和行政人員進(jìn)行上網(wǎng)相關(guān)防護(hù)知識(shí)的講座，使用戶(hù)養(yǎng)成一個(gè)良好的上網(wǎng)習(xí)慣，最后還需要制定應(yīng)急預(yù)案，及時(shí)解決校園網(wǎng)故障。

三、結(jié)束語(yǔ)

校園網(wǎng)絡(luò)的安全問(wèn)題，不僅是設(shè)備，技術(shù)的問(wèn)題，更是管理的問(wèn)題。只有在各種技術(shù)手段和管理措施到位的情況下，校園網(wǎng)才能安全穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1]謝希仁編著.計(jì)算機(jī)網(wǎng)絡(luò)（第6版）.電子工業(yè)出版社.2013-06-01

[2]劉金濤.淺談職業(yè)學(xué)校校園網(wǎng)的安全管理.濰坊學(xué)院學(xué)報(bào).2008.7

[3]宋凱，劉念主編.《計(jì)算機(jī)網(wǎng)絡(luò)》（普通高等教育電子信息類(lèi)規(guī)劃教材）.清華大學(xué)出版社.2010-02-01endprint