校園網(wǎng)絡安全隱患分析及對策

魏光杏，戴 月

（滁州職業(yè)技術學院，安徽 滁州 239000）

校園網(wǎng)絡安全隱患分析及對策

魏光杏，戴 月

（滁州職業(yè)技術學院，安徽 滁州 239000）

隨著校園網(wǎng)的不斷發(fā)展，校園網(wǎng)的安全正面臨著嚴峻挑戰(zhàn)。如何保護校園網(wǎng)安全已成為十分重要的研究課題。文章先分析了校園網(wǎng)中存在的不安全因素，提出的安全對策，經(jīng)過實踐驗證，效果較好。

校園網(wǎng)；網(wǎng)絡安全；計算機木馬

一、引言

教育信息化、校園網(wǎng)絡化作為網(wǎng)絡時代的教育方式和教育環(huán)境，己經(jīng)成為教育發(fā)展的方向。隨著網(wǎng)絡技術的發(fā)展與普及，校園網(wǎng)早已成為現(xiàn)代化教育建設的基礎設施，校園網(wǎng)建設己經(jīng)不僅僅只是局限于實現(xiàn)網(wǎng)絡內(nèi)部資源共享和外部信息互換。各學校為了能夠?qū)崿F(xiàn)以網(wǎng)養(yǎng)網(wǎng)，對網(wǎng)絡的設計提出了更高的要求，可運營、更安全、更實用成了今天對校園網(wǎng)絡關注的焦點。隨著各高校網(wǎng)絡規(guī)模的急劇膨脹、網(wǎng)絡用戶的快速增長，校園網(wǎng)網(wǎng)絡信息安全問題已經(jīng)成為當前各高校網(wǎng)絡建設中不可忽視的首要問題。

二、校園網(wǎng)安全面臨的問題

校園網(wǎng)絡作為學校重要的基礎設施，其安全狀況直接影響著學校的教學活動，校園網(wǎng)網(wǎng)絡上各種信息數(shù)據(jù)急劇的增加，校園網(wǎng)絡信息安全面臨嚴峻問題。校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡設備的危害和對網(wǎng)絡中數(shù)據(jù)信息的破壞，具體包括：

（一）計算機中的漏洞威脅。校園網(wǎng)絡系統(tǒng)中接入著成百上千臺計算機，這些計算機的操作系統(tǒng)各種各樣，通常分布在不同的物理位置，由不同的用戶操作，用于不同的用途。由于這些差異，使得校園網(wǎng)網(wǎng)絡中的客戶端的漏洞問題十分嚴重。而且客戶端使用的軟件不可能是百分之百的無缺陷或無漏洞的。這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

（二）人為的因素，包括人為的無意失誤和惡意攻擊。人為無意的失誤主要是操作員安全配置不當或用戶安全意識淡薄、口令過于簡單、網(wǎng)絡操作失誤等。人為的惡意攻擊是網(wǎng)絡安全所面臨的最大威脅之一，此類攻擊又分兩類：一類是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的前提下進行截獲、竊取與破譯，以獲得重要機密信息。

（三）計算機病毒的泛濫與黑客的攻擊。校園網(wǎng)網(wǎng)絡的方便快捷的同時也為病毒的肆意傳播留下可能，下載的程序和電子郵件都有可能攜有病毒。通過網(wǎng)絡傳播病毒無論在傳播速度，還是破壞性和傳播范圍等方面都是單機病毒無法比擬的。大量病毒傳播不僅占用網(wǎng)絡資源，而且破壞服務器或單機，最終影響整個學校網(wǎng)絡系統(tǒng)的正常運作。計算機病毒將導致計算機系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴重破壞，使網(wǎng)絡的效率和作用大大降低，也使許多網(wǎng)絡功能無法使用或不敢使用。現(xiàn)在的蠕蟲病毒和黑客技術結合在一起，常常導致拒絕服務攻擊（DOS），可以導致整個校園網(wǎng)絡癱瘓。

（四）其它方面威脅。校園網(wǎng)系統(tǒng)設備遭到破壞，包括各類計算機、網(wǎng)絡通信設備、存放數(shù)據(jù)的媒體、傳輸線路等。這些設備無論哪一個出現(xiàn)問題，都會給整個網(wǎng)絡帶來災難性的后果。網(wǎng)絡上的各種信息良蕎不齊，色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫，這些資源不但會占有流量資源，導致網(wǎng)絡堵塞、上網(wǎng)速度慢等問題，而且不良內(nèi)容將危害學生的身心健康，造成嚴重后果。

三、校園網(wǎng)安全對策

根據(jù)校園網(wǎng)所面臨的安全隱患，結合我院實際情況，制定了以下幾個安全對策。

（一）防火墻部署

目前在網(wǎng)絡安全中使用最廣泛的技術就是防火墻。防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。在與Internet相連的每一臺計算機上都裝上防火墻軟件，使之成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設置上按照以下原則來提高網(wǎng)絡安全性：

1.根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外網(wǎng)對校園內(nèi)網(wǎng)的不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則。

2.禁止訪問系統(tǒng)級別的服務 (如HTTP，F(xiàn)TP等)。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務。使用動態(tài)規(guī)則管理，允許授權運行的程序開放其端口服務，比如網(wǎng)絡游戲或者視頻語音電話軟件提供的服務。

3.必須正確設置局域網(wǎng)中客戶端的IP地址，使防火墻系統(tǒng)能認識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證在局域網(wǎng)中的客戶端能正常使用網(wǎng)絡服務（如文件、打印機共享）功能。

4.定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

5.允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理安全性。

（二）網(wǎng)絡殺毒軟件部署

在網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能，如Symantec AntiVirus 9.0殺毒軟件，具體設置如下：

1.在學院網(wǎng)絡中心配置一臺高效的服務器，并安裝Symantec AntiVirus 9.0企業(yè)版殺毒軟件。此服務器負責管理校園網(wǎng)內(nèi)網(wǎng)點的計算機。

2.在校園網(wǎng)內(nèi)各網(wǎng)點分別安裝Symantec AntiVirus 9.0企業(yè)版的客戶端。

3.安裝完Symantec AntiVirus 9.0企業(yè)版后，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端能夠定時進行對本機的查殺病毒。

4.網(wǎng)絡中心對整個校園網(wǎng)客戶端的升級。為了安全和管理的方便起見，由網(wǎng)絡中心的系統(tǒng)定期地、自動地到Symantec AntiVirus官方網(wǎng)站上獲取最新的升級文件 （包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到各辦公室的客戶端與服務器端，并自動對Symantec AntiVirus 9.0企業(yè)版進行更新。采取這種升級方式，一方面確保校園網(wǎng)內(nèi)的Symantec AntiVirus 9.0企業(yè)版殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒庫和掃描引擎而失去最新的防病毒能力。

（三）木馬防范

木馬，說是網(wǎng)絡安全的大敵。木馬是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一般一個木馬套裝程序含了兩部分：服務端和客戶端。植入對方電腦的是服務端，而黑客正是利用客戶端進入正在運行服務端的電腦。運行了木馬程序的服務端以后，會產(chǎn)生一個容易迷惑用戶的進程，暗中打開端口，向指定地點發(fā)送數(shù)據(jù)。它可以盜取的網(wǎng)絡賬號、盜取我們的網(wǎng)銀信息；利用即時通訊軟件盜取個人的身份，傳播木馬病毒；甚至電腦可能被黑客控制。在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。因此，如果是計算機感染了木馬，危害是不可想象的。

解決木馬的有效方法是預防。經(jīng)常用最新的掃描軟件對計算機系統(tǒng)進行漏洞掃描，積極下載并安裝補丁。木馬的清除一般可以通過各種最新殺毒軟件來進行查殺。對于新出現(xiàn)木馬的防治可以通過端口的掃描來進行，端口是計算機和外部網(wǎng)絡相連的邏輯接口。平時要多注意服務器中開放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監(jiān)測是否有木馬存在。

（四）網(wǎng)絡安全的管理

在確定了安全策略方案后，必須通過規(guī)范的管理來實施安全工作，將安全技術、安全策略和安全組織有機地結合起來，形成一個相互聯(lián)系、相互推動地整體，通過實際的工程運作和動態(tài)的運營維護，最終實現(xiàn)安全工作的目標。網(wǎng)絡安全管理應注意以下原則：

1.建立、健全安全管理體制，包括：制定安全管理等級和安全管理范圍，制定有關網(wǎng)絡操作使用規(guī)程，制定網(wǎng)絡系統(tǒng)的維護制度、制定相關人員的責任制等。

2.以預防為主，整治為輔。網(wǎng)絡安全要盡量考慮到各種可能出現(xiàn)的問題而采取相應的預防措施，從根源上防治問題的出現(xiàn)。而且經(jīng)常利用漏洞掃描器（Scanner）,定期對系統(tǒng)進行安全性評估，以便及時發(fā)現(xiàn)系統(tǒng)漏洞并實施修復。

3.提高師生的網(wǎng)絡安全意識。隨著校園計算機網(wǎng)絡的不斷發(fā)展，老師、學生在線學習、娛樂時間不斷的增加，但是他們可能就會在不經(jīng)意間感染計算機病毒并加以傳播，因此對學院師生進行安全使用網(wǎng)絡的知識培訓，加強網(wǎng)絡安全意識和網(wǎng)絡安全業(yè)務技能。

4.加強虛擬局域網(wǎng)的管理。校園網(wǎng)一般會分辦公區(qū)和學生宿舍區(qū)等幾個場所，因此可以把這些場所劃分多個虛擬局域網(wǎng)，提高網(wǎng)絡安全性。如果同一局域網(wǎng)內(nèi)仍有不同級別的安全域，可以繼續(xù)通過劃分子網(wǎng)及VLAN的方法加以訪問控制。

四、結束語

隨著計算機網(wǎng)絡技術的發(fā)展和應用，產(chǎn)生越來越多的網(wǎng)絡安全問題。互聯(lián)網(wǎng)的各種安全威脅在校園網(wǎng)的運行和管理中表現(xiàn)的尤為突出，安全技術是配合安全管理的輔助措施，在構建一個綜合的校園網(wǎng)絡安全系統(tǒng)時，可結合多種技術，靈活運用、與時具進，才能使我們的校園網(wǎng)更安全。

[1]劉欽創(chuàng).網(wǎng)絡安全技術與應用[J].計算機安全，2007，（3）.

[2]賈鐵軍.網(wǎng)絡安全技術及應用實踐教程[M].北京：機械工業(yè)出版社，2009，2.

[3]楊振會.淺析計算機網(wǎng)絡安全及防范技術[J].網(wǎng)絡通訊與安全，2006，（9）.

[4]朱林.簡析網(wǎng)絡蠕蟲和特洛伊木馬的防治對策[J].滁州職業(yè)技術學院學報，2009，(1).

TP393.08 < class="emphasis_bold">文獻標識碼：A

A

1671-5993（2010）03-0066-03

2010-09-13

本文為滁州職業(yè)技術學院2010年院級教學研究項目。

魏光杏(1976-)，男，安徽池州人，滁州職業(yè)技術學院講師，碩士研究生。