校園網(wǎng)絡(luò)安全體系的構(gòu)建

摘 要：本文在對(duì)校園網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出構(gòu)建一套安全校園網(wǎng)絡(luò)體系來(lái)確保校園網(wǎng)絡(luò)的可靠運(yùn)行。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著教育信息化進(jìn)程的推進(jìn)，校園網(wǎng)的普及和應(yīng)用系統(tǒng)越來(lái)越重要，學(xué)校對(duì)網(wǎng)絡(luò)的依賴也越來(lái)越強(qiáng)，利用校園網(wǎng)，學(xué)?？梢蚤_(kāi)展如教務(wù)系統(tǒng)管理、辦公自動(dòng)化、遠(yuǎn)程教育、校園一卡通等系列工作，極大的方便教學(xué)、科研等各項(xiàng)工作。然而由于網(wǎng)絡(luò)自身的特點(diǎn)，使得校園網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到各方面關(guān)注。如何防止黑客攻擊、非法入侵？如何保證校園內(nèi)部資源共享，數(shù)據(jù)安全？如何保證學(xué)生使用健康網(wǎng)絡(luò)等等。因此，構(gòu)建相對(duì)安全完善的校園網(wǎng)絡(luò)，確保校園網(wǎng)絡(luò)可靠的運(yùn)行，也就成為各大高等院校非常重視的問(wèn)題。

1 校園網(wǎng)絡(luò)面臨的潛在風(fēng)險(xiǎn)

1.1 系統(tǒng)自身漏洞

計(jì)算機(jī)普遍存在系統(tǒng)漏洞，通過(guò)系統(tǒng)漏洞電腦不法者或黑客，通過(guò)網(wǎng)絡(luò)植入木馬等方式來(lái)攻擊或控制您的電腦，獲取你的重要信息，甚至讓你系統(tǒng)奔潰。漏洞影響到的范圍非常大，包括系統(tǒng)本身、服務(wù)器、TCP/IP協(xié)議、網(wǎng)絡(luò)結(jié)構(gòu)、安全防火墻等。而且隨著時(shí)間的推移，新的系統(tǒng)漏洞會(huì)不斷出現(xiàn)，系統(tǒng)漏洞問(wèn)題也將長(zhǎng)期存在，這是校園網(wǎng)絡(luò)安全不得不面對(duì)的問(wèn)題之一。

1.2 外部的破壞行為

⑴網(wǎng)絡(luò)中的計(jì)算機(jī)病毒破壞。計(jì)算機(jī)病毒（Computer Virus）在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義為：“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)感染病毒后一般有如下癥狀：經(jīng)常死機(jī)、系統(tǒng)運(yùn)行變慢、數(shù)據(jù)丟失、信息泄露、系統(tǒng)奔潰、網(wǎng)絡(luò)癱瘓等。當(dāng)前計(jì)算機(jī)病毒傳播途徑有網(wǎng)絡(luò)傳播和硬件設(shè)備傳播，但主要源頭是網(wǎng)絡(luò)。當(dāng)用戶瀏覽不健康的網(wǎng)站或誤點(diǎn)一些非法站點(diǎn)或打開(kāi)不明郵件，點(diǎn)擊其中某些鏈接或下載某些軟件，病毒便會(huì)自動(dòng)安裝在你的電腦里。由于工作需要，校園網(wǎng)用戶間經(jīng)?；鲾?shù)據(jù)，這就會(huì)導(dǎo)致校園網(wǎng)中一旦有計(jì)算機(jī)感染到病毒，整個(gè)校園網(wǎng)上所有用戶都會(huì)感染到病毒。這將給我們工作和生活帶來(lái)極大的不便。

⑵網(wǎng)絡(luò)黑客惡意攻擊。黑客最早源自英文hacker，早期帶有褒義，而如今已被用于泛指那些專門入侵他人系統(tǒng)進(jìn)行不法行為的計(jì)算機(jī)高手。黑客可通過(guò)瀏覽器、硬盤(pán)共享、端口、網(wǎng)頁(yè)瀏覽等方式攻擊你計(jì)算機(jī)，獲取或破壞你電腦數(shù)據(jù)。比如瀏覽器中的cookie包含你每次登陸網(wǎng)站的名稱、瀏覽時(shí)間甚至登陸密碼，黑客可以用專門軟件來(lái)查看cookie，獲取你的信息，攻擊你的計(jì)算機(jī)。又如黑客通過(guò)網(wǎng)絡(luò)精靈（NetSpy）軟件可以神不知鬼不覺(jué)地在目標(biāo)機(jī)器上的下傳和上載任意文件，獲取其需要信息。

1.3 內(nèi)部的不當(dāng)行為

⑴管理人員的疏忽：如管理人員忘記設(shè)置防火墻，安全配置不當(dāng)，資源訪問(wèn)控制不合理以及正常刪除數(shù)據(jù)中的誤操作等失誤都可能會(huì)給校園網(wǎng)絡(luò)帶來(lái)安全隱患。

⑵資源濫用，校園網(wǎng)內(nèi)部網(wǎng)速較快，資源容易被人利用進(jìn)行商業(yè)的或免費(fèi)的視頻、網(wǎng)游、軟件資源下載等服務(wù)，占用校園網(wǎng)絡(luò)帶寬，影響網(wǎng)絡(luò)速度，給校園網(wǎng)帶來(lái)不安全因素。

⑶網(wǎng)絡(luò)用戶的不良行為：校園網(wǎng)用戶大多是青春少年，由于受網(wǎng)上不良信息誘導(dǎo)，容易瀏覽色情網(wǎng)站等，容易造成計(jì)算機(jī)中毒，給校園網(wǎng)帶來(lái)極大的安全威脅。同時(shí)由于學(xué)生思維活躍，對(duì)未知事物好奇，也會(huì)自己研究網(wǎng)絡(luò)攻擊行為技術(shù)，這也會(huì)給校園網(wǎng)絡(luò)帶來(lái)不安全隱患。

2 校園網(wǎng)絡(luò)安全體系的建構(gòu)

2.1 定期掃描、修復(fù)系統(tǒng)漏洞

作為管理人員除了運(yùn)用掃描程序等工具定期對(duì)服務(wù)器等進(jìn)行安全檢查，堵住安全漏洞構(gòu)建相對(duì)安全校園網(wǎng)的同時(shí)，還需要對(duì)校園網(wǎng)內(nèi)進(jìn)行系統(tǒng)管理，及時(shí)下載更新操作系統(tǒng)的補(bǔ)丁程序，關(guān)閉不需打開(kāi)的端口等防范措施，真正掌握和解決服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷和安全漏洞，將安全隱患降低到最小，盡可能的避免惡性安全事件的大范圍發(fā)生。

2.2 充分利用過(guò)濾系統(tǒng)和防火墻技術(shù)打造安全的校園網(wǎng)絡(luò)環(huán)境

⑴在校園網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)過(guò)濾系統(tǒng)，可以有效地過(guò)濾色情、暴力等不良信息，為校園綠色網(wǎng)絡(luò)運(yùn)行提供護(hù)航。

⑵防火墻作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道安全屏障，是非常重要的網(wǎng)絡(luò)安全技術(shù)。它可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，過(guò)濾掉一些攻擊或阻止一些非法訪問(wèn)，有效地阻擋外部網(wǎng)絡(luò)用戶的非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。因而我們可以根據(jù)校園網(wǎng)安全策略和網(wǎng)絡(luò)應(yīng)用實(shí)際，選用安全性、性能、功能好的防火墻來(lái)打造安全的校園網(wǎng)絡(luò)環(huán)境。如在internet和校園網(wǎng)內(nèi)網(wǎng)之間采用DMZ的防火墻部署方式，即在防火墻上多加一塊網(wǎng)卡，這樣就可以把提供對(duì)外服務(wù)的服務(wù)器和內(nèi)網(wǎng)的客戶端進(jìn)行有效的隔離。即使在DMZ中出現(xiàn)安全風(fēng)險(xiǎn)和漏洞，對(duì)內(nèi)部網(wǎng)絡(luò)造成的危害也可以得到很好的控制，從而保證校園網(wǎng)絡(luò)的安全運(yùn)行。

2.3 采取多種措施加強(qiáng)教育管理和防范

⑴加強(qiáng)學(xué)生網(wǎng)絡(luò)安全教育。作為好奇心和求知欲很強(qiáng)的學(xué)生，他們的不規(guī)范操作會(huì)帶來(lái)很多網(wǎng)絡(luò)安全問(wèn)題，這就需要教師在傳授網(wǎng)絡(luò)知識(shí)的同時(shí)，也要加強(qiáng)他們的網(wǎng)絡(luò)安全教育，讓學(xué)生了解相應(yīng)的網(wǎng)絡(luò)安全法規(guī)，做到文明上網(wǎng)，不瀏覽黃色色情等帶有病毒的不良網(wǎng)頁(yè)，做一名守法的好學(xué)生。

⑵用戶身份認(rèn)證的入網(wǎng)控制：校園網(wǎng)內(nèi)部用戶入網(wǎng)必須經(jīng)過(guò)身份認(rèn)證才能登錄。上網(wǎng)賬號(hào)學(xué)生可以為學(xué)號(hào)，教職工可以為工號(hào)，密碼為本人身份證后六位或者學(xué)生學(xué)號(hào)教職工工號(hào)。通過(guò)入網(wǎng)控制，一方面可以監(jiān)控用戶入網(wǎng)時(shí)間，瀏覽哪些站點(diǎn)。一方面也可以控制用戶可以可以獲取的網(wǎng)絡(luò)資源。有效地監(jiān)控學(xué)生的上網(wǎng)情況，減少校園網(wǎng)絡(luò)內(nèi)部終端用戶有意或無(wú)意的攻擊行為，從而大大地改善校園網(wǎng)絡(luò)的運(yùn)行環(huán)境。

⑶網(wǎng)絡(luò)權(quán)限控制：設(shè)定網(wǎng)絡(luò)權(quán)限是對(duì)網(wǎng)絡(luò)非法操作提出的一種安全保護(hù)措施。用戶或用戶組只有被賦予一定的權(quán)限，才可以訪問(wèn)和操作權(quán)限規(guī)定地目錄、子目錄、文件和其他資料。這樣有效地規(guī)范了校園網(wǎng)絡(luò)客戶端有意或無(wú)意的攻擊行為，保護(hù)校園網(wǎng)絡(luò)的安全性。

⑷大力宣傳讓客戶端使用正版軟件，提高計(jì)算機(jī)系統(tǒng)的安全系數(shù)。在校園內(nèi)公用計(jì)算機(jī)上安裝防病毒軟件并定期升級(jí)，盡可能讓校園內(nèi)其他客戶端安裝防病毒軟件。通過(guò)防病毒軟件定時(shí)殺毒，及時(shí)獲取最新升級(jí)文件，對(duì)軟件進(jìn)行更新。

⑸監(jiān)控客戶端，發(fā)現(xiàn)客戶端感染病毒等安全問(wèn)題后要及時(shí)采取措施，把危害消滅在萌芽中，最大限度地保護(hù)校園內(nèi)網(wǎng)絡(luò)資源。如使用網(wǎng)絡(luò)管理軟件，可以定期對(duì)客戶端流量進(jìn)行分析，防止非法濫用網(wǎng)絡(luò)資源行為，保證網(wǎng)絡(luò)服務(wù)的正常提供。

2.4 運(yùn)用VLAN技術(shù)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理

VLAN技術(shù)的核心功能就是不受網(wǎng)絡(luò)用戶物理位置的限制而是根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。通過(guò)網(wǎng)絡(luò)分段可以實(shí)現(xiàn)以下功能：一是抑制廣播風(fēng)暴，通過(guò)把廣播域分為小而獨(dú)立的VLAN，從而降低了網(wǎng)絡(luò)中廣播包所占的帶寬比例，顯著地提高網(wǎng)絡(luò)性能；二是提高網(wǎng)絡(luò)安全，虛擬技術(shù)可以根據(jù)需要將不同部門、不同級(jí)別的用戶群劃分在同一的VLAN，實(shí)現(xiàn)部門內(nèi)部資源共享。同時(shí)也可以將不同層次的用戶群劃分在不同的VLAN，將網(wǎng)絡(luò)劃分不同的網(wǎng)段相互間隔離，實(shí)現(xiàn)相互將訪問(wèn)控制。由于虛擬網(wǎng)之間的通信是通過(guò)路由技術(shù)而不是通過(guò)直接連接來(lái)實(shí)現(xiàn)的，因而彼此之間不需要知道具體的MAC地址，達(dá)到限制用戶非法訪問(wèn)的目的，從而使網(wǎng)絡(luò)安全性得到極大提高。

2.5 采用可靠的數(shù)據(jù)存儲(chǔ)技術(shù)，保證數(shù)據(jù)的安全性和完整性

構(gòu)建安全有效的校園網(wǎng)絡(luò)環(huán)境除了要阻止各類病毒和非法入侵外等方面外，還需要做好數(shù)據(jù)存儲(chǔ)的安全性。隨著數(shù)字化校園的發(fā)展，各種應(yīng)用和服務(wù)的不斷增加，需要存儲(chǔ)的數(shù)據(jù)將越來(lái)越多，可以采用網(wǎng)絡(luò)存儲(chǔ)來(lái)實(shí)現(xiàn)數(shù)據(jù)的完整性和安全性。比如可以根據(jù)校園網(wǎng)絡(luò)的實(shí)際情況，設(shè)置多臺(tái)中央存儲(chǔ)器。分別存儲(chǔ)各種應(yīng)用系統(tǒng)數(shù)據(jù)、校園門戶數(shù)據(jù)、一卡通及圖書(shū)館各類電子資源等。同時(shí)各臺(tái)中央存儲(chǔ)器之間互相備份，保證了數(shù)據(jù)的完整性和安全性，不會(huì)因存儲(chǔ)器突然出現(xiàn)的故障而使數(shù)據(jù)受到損失。

總之，安全的校園網(wǎng)絡(luò)體系是一個(gè)包含設(shè)備、技術(shù)、管理等較為復(fù)雜的系統(tǒng)工程。管理者只有全面考慮綜合運(yùn)用各種安全技術(shù)配合科學(xué)的網(wǎng)絡(luò)安全管理，根據(jù)校園網(wǎng)絡(luò)自身的情況和現(xiàn)有體系的中出現(xiàn)的漏洞及時(shí)維護(hù)和更新。從而建立起一套高效的校園網(wǎng)絡(luò)安全系統(tǒng)來(lái)保障校園網(wǎng)絡(luò)的良性發(fā)展。

[參考文獻(xiàn)]

[1]楊竣輝，黃嬋.高校校園網(wǎng)絡(luò)安全建設(shè)的思考[J].教育信息化，2006（4）.

[2]李紅映，王海峰，于莉潔.高校校園網(wǎng)絡(luò)安全實(shí)踐—談?wù)憬謱W(xué)院校園網(wǎng)絡(luò)安全建設(shè)[J].電腦知識(shí)與技術(shù)，2007（20）.

[3]王曉卉.高校校園網(wǎng)絡(luò)安全策略分析[J].知識(shí)經(jīng)濟(jì)，2011（1）.

[4]劉牙.淺析計(jì)算機(jī)系統(tǒng)漏洞及其防范[J].科學(xué)咨詢，2012（34）.

[5]周芳，宮曉曼，滕榮華.對(duì)校園網(wǎng)絡(luò)安全的研究[J].江西科技師范學(xué)院學(xué)報(bào)，2004（5）.

[6]張晟濤，李桂全，付麗群.淺析校園網(wǎng)絡(luò)安全控制與研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（16）.

[7]張海燕.淺談校園網(wǎng)安全技術(shù)[J].青海社會(huì)科學(xué)，2008（3）.

[8]張建嬌.高校校園網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)存儲(chǔ)方案的設(shè)計(jì)[J].科技信息，2013（10）.