淺析校園網(wǎng)安全建設(shè)

文 程 浥

隨著計算機網(wǎng)絡(luò)的普及和發(fā)展，校園網(wǎng)取得了突飛猛進的發(fā)展，成為學(xué)校信息化建設(shè)的重要基礎(chǔ)項目，在學(xué)校教學(xué)、科研和管理方面起著舉足輕重的作用。然而層出不窮的網(wǎng)絡(luò)病毒和信息安全隱患成為危害校園網(wǎng)運行的突出問題。

一、校園網(wǎng)的特點

筆者從事校園網(wǎng)絡(luò)管理多年，深刻體會到校園網(wǎng)絡(luò)具有應(yīng)用層面多、計算機數(shù)量大、使用者較復(fù)雜、計算機分布地點較廣等特點。

1.應(yīng)用層面多，計算機數(shù)量大

校園網(wǎng)需要滿足學(xué)校教育教學(xué)、行政管理等方面的需要。

(1)校園網(wǎng)需要滿足信息技術(shù)學(xué)科的教學(xué)。信息技術(shù)教學(xué)是校園網(wǎng)的重要應(yīng)用層面，特別是高中學(xué)校，學(xué)生要面對信息技術(shù)會考。經(jīng)由筆者調(diào)查，一般普通高中學(xué)?；旧吓鋫淞?個以上機房，每個機房的計算機在46～48臺，有的高中學(xué)校有多個校區(qū)，那么機房和計算機的數(shù)量更多。在這種情況下，維護學(xué)校機房機器的正常運轉(zhuǎn)，保障教學(xué)任務(wù)的順利完成，特別是保障信息技術(shù)考試的順利完成，就是大多數(shù)信息技術(shù)教師的日常工作，也是最重要的工作之一。而現(xiàn)在初中學(xué)校的機房也承擔了初中英語口語人機對話考試的任務(wù)，這也加大了初中信息技術(shù)教師的任務(wù)。

(2)校園網(wǎng)需要滿足學(xué)校的行政管理工作。大部分中學(xué)已經(jīng)順利完成內(nèi)網(wǎng)建設(shè)，許多日常行政管理工作都經(jīng)由網(wǎng)絡(luò)完成，比如簽到、一般文件的提交和傳達、打印任務(wù)申請等。尤其是區(qū)縣甚至高一級教育管理部門的文件傳達、信息流通(學(xué)籍管理、考試報名等)也是經(jīng)由網(wǎng)絡(luò)傳遞。所以，維護校園網(wǎng)絡(luò)內(nèi)外通暢，提高其安全性和穩(wěn)定性成為當下的重要任務(wù)。

(3)校園網(wǎng)需要滿足日常教學(xué)工作。筆者走訪了一些城區(qū)學(xué)校，發(fā)現(xiàn)隨著“校校通”工程的普及，學(xué)校的信息化程度得到極大的提高，多媒體教學(xué)設(shè)備已經(jīng)普及到了班級，這就意味著對于一所有3個年級、每年級8個班的普通高中或初中學(xué)校來說，常備的多媒體設(shè)備就有24套，再加上其他公共教室(報告廳、實驗室、電子備課室、電子圖書館等)，需要維護的計算機數(shù)量很大。一般情況下，普通高中學(xué)校需維護的計算機數(shù)量基本在350～400臺，普通初中的計算機數(shù)量也要在250臺左右。

2.使用者較為復(fù)雜

校園網(wǎng)絡(luò)的使用者涵蓋學(xué)生、教師、行政人員三個部分。不同使用者對于網(wǎng)絡(luò)的需求各不相同：對于學(xué)生，首先要滿足他們?nèi)粘Ｐ畔⒓夹g(shù)學(xué)習(xí)的需要，其次是特定時間段的信息搜索需要(電子圖書館、電子閱覽室)；對于教師，首先要滿足班級多媒體設(shè)備計算機日常教學(xué)需要，其次是教師備課信息搜索需要；對于行政人員來說，不僅要滿足日常管理的需要，還要保證與上級主管部門信息渠道的暢通、穩(wěn)定，以及內(nèi)網(wǎng)管理系統(tǒng)的正常運行。

同時，使用者對于信息技術(shù)以及網(wǎng)絡(luò)安全技術(shù)掌握的程度不同。這些使用者中大部分對于網(wǎng)絡(luò)安全技術(shù)的掌握程度較低，部分使用者掌握程度一般，少數(shù)使用者掌握程度較高，只有極少數(shù)使用者熟練掌握網(wǎng)絡(luò)安全技術(shù)，甚至可以幫助他人解決網(wǎng)絡(luò)安全問題。

使用者的復(fù)雜程度決定了網(wǎng)絡(luò)安全管理的復(fù)雜性，一方面要考慮到不同使用者的不同需求，另一方面也要考慮到針對網(wǎng)絡(luò)安全技術(shù)掌握程度不同的使用者開放不同程度的安全權(quán)限。

3.計算機分布廣泛

校園網(wǎng)絡(luò)計算機的分布不同于一般的辦公計算機分布，主要特點是有集中，有分散，個別高中學(xué)校有分校區(qū)，分布更為廣泛。

集中，集中于教學(xué)區(qū)域，包括教師辦公室、常規(guī)班級教室、計算機教室、電子備課室、電子閱覽室等；分散，分散于行政辦公樓的各行政科室。

二、影響校園網(wǎng)安全的因素

由上述分析可以看出，校園網(wǎng)絡(luò)有不同于一般辦公區(qū)域網(wǎng)絡(luò)的特點，所以筆者對影響校園網(wǎng)安全的因素有如下分析。

1.人為因素

(1)使用者的無意失誤。安全設(shè)置不當極易造成安全漏洞，比如口令遺失或者安全口令過于簡單等。

(2)網(wǎng)絡(luò)攻擊者的惡意攻擊。筆者走訪的初高中學(xué)?；径加凶约旱闹黜?，而絕大部分網(wǎng)站都被惡意攻擊過，網(wǎng)站頁面也被不同程度地篡改。目前預(yù)防網(wǎng)絡(luò)攻擊還是一項較為高端的技術(shù)，建議學(xué)校的外網(wǎng)主頁使用電信等大型運營商的機房托管服務(wù)，或者托管在高一級的教育主管部門機房。

2.病毒以及技術(shù)因素

(1)校園網(wǎng)外網(wǎng)路由的安全漏洞。現(xiàn)階段的學(xué)校外網(wǎng)連接普遍是電信的教育專線接入+路由配置，而如果在網(wǎng)絡(luò)中路由器配置錯誤，存在匿名FTP、Telnet的開放、口令文件缺乏安全保護、保留了不必要的保密終端、命令的不合理使用等，都會帶來或多或少的安全漏洞。黑客大多都是利用這些漏洞攻擊網(wǎng)絡(luò)，比如MAC，IP，TCP的地址標識可以被其他用戶窺探到，這為假冒身份提供了方便。

(2)病毒造成的網(wǎng)絡(luò)安全故障。很大一部分計算機安全故障都是由網(wǎng)絡(luò)病毒造成的，目前比較普遍的病毒大多通過網(wǎng)絡(luò)郵件、可執(zhí)行程序、U盤等移動存儲工具傳播，許多使用者缺乏一定的安全技術(shù)知識，往往不知不覺就成了病毒的傳播者。

三、網(wǎng)絡(luò)安全建設(shè)的建議

確保校園網(wǎng)絡(luò)的安全，應(yīng)該從硬件架設(shè)和管理上入手，關(guān)于網(wǎng)絡(luò)安全建設(shè)有一句話，叫“三分設(shè)備，七分管理”。完善的硬件設(shè)備提供了網(wǎng)絡(luò)安全的基礎(chǔ)條件，而體現(xiàn)管理者水平、提升校園網(wǎng)質(zhì)量的關(guān)鍵還是網(wǎng)絡(luò)的管理水平。

1.校園網(wǎng)絡(luò)安全的硬件架設(shè)

筆者在調(diào)查市區(qū)一級的普通初高中學(xué)校時發(fā)現(xiàn)，從“校校通”工程啟動至今，絕大部分學(xué)校已經(jīng)升級成電信固定IP、30 M帶寬的光纖接入，基于這種WAN連接，可以在硬件架設(shè)上采用網(wǎng)管安全硬件接入光纖，使用二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)架構(gòu)子網(wǎng)，各子網(wǎng)網(wǎng)段分設(shè)服務(wù)器管理(如圖1所示)。

圖1

現(xiàn)在的網(wǎng)關(guān)硬件已經(jīng)集成了硬件防火墻和路由器的功能，提供端口控制、流量控制、DHCP等其他功能，圖1的拓撲結(jié)構(gòu)只是顯示了2個子網(wǎng)，實際上根據(jù)具體需要，可以以物理地址劃分多個子網(wǎng)進行管理，也可以根據(jù)網(wǎng)絡(luò)用途劃分，比如所有教室計算機劃為子網(wǎng)A，辦公系統(tǒng)計算機劃為子網(wǎng)B，等等。有效地規(guī)劃子網(wǎng)可以避免廣播風(fēng)暴造成的危害，控制一般網(wǎng)絡(luò)病毒的傳播。

2.建立文件服務(wù)器

其實在大部分初高中學(xué)校，造成極大危害的病毒往往是一些流傳快但并不復(fù)雜的病毒，而這些病毒很大一部分是通過U盤等移動存儲設(shè)備傳播，例如1kb病毒、文件夾圖標病毒等。

部分教師和學(xué)生往往對這些病毒缺乏了解，在網(wǎng)上隨意下載軟件就極易感染，然后再通過移動存儲工具傳播到教室和辦公室的計算機上。由于教室和辦公室的計算機是公用設(shè)備，很容易造成大面積中毒。

針對這部分病毒，應(yīng)該建立文件服務(wù)器，并要區(qū)分外網(wǎng)和內(nèi)網(wǎng)。在內(nèi)網(wǎng)中避免使用U盤等移動設(shè)備，推薦使用內(nèi)網(wǎng)文件服務(wù)，這樣可以有效避免U盤帶來的病毒傳播。

3.完善內(nèi)網(wǎng)建設(shè)

完善內(nèi)網(wǎng)建設(shè)是校園網(wǎng)絡(luò)安全的重要組成部分，許多學(xué)校建設(shè)網(wǎng)絡(luò)往往在外網(wǎng)上花費了大量資金，請專門的公司設(shè)計制作對外發(fā)布信息的網(wǎng)站，而對于內(nèi)網(wǎng)建設(shè)并無多少作為。其實，如果說對外網(wǎng)站是學(xué)校的面子，那么內(nèi)網(wǎng)就是學(xué)校的里子，面子不好看固然丟人，但是里子不好的話，是“內(nèi)傷”。

內(nèi)網(wǎng)建設(shè)特別能體現(xiàn)一所學(xué)校的信息化建設(shè)程度，因為內(nèi)網(wǎng)從設(shè)計到實施，再落實到每個用戶的使用，后期的維護措施都要根據(jù)各所學(xué)校自身情況量身制定，所以內(nèi)網(wǎng)的應(yīng)用程度更能反映學(xué)校的信息化水平。

內(nèi)網(wǎng)配備文件服務(wù)、登錄服務(wù)、設(shè)備故障維修服務(wù)、打印服務(wù)等，一方面能促成辦公無紙化，另一方面也做到了校園的信息流通，節(jié)省了學(xué)校的運營成本。

通暢的校務(wù)管理平臺、教學(xué)資源平臺，也為教師的教研活動和自身發(fā)展提供了良好的技術(shù)保證。實際上，無論是新課程大綱的要求，還是國內(nèi)外對信息化建設(shè)的建議，都把“教育環(huán)境建設(shè)”放在重要的地位。而校園網(wǎng)內(nèi)網(wǎng)的建設(shè)正是信息化教育環(huán)境建設(shè)的體現(xiàn)。

4.針對計算機實行分級制度，做好病毒防護

校園網(wǎng)的計算機根據(jù)用途可分為：(1)辦公計算機，主要是供教師和行政人員使用，此類計算機使用者較為固定，可以理解為個人計算機；(2)公用計算機，如各班級教室多媒體設(shè)備中的計算機、計算機教室的計算機、電子圖書館的計算機、電子備課室的計算機等，這類計算機可以理解為是公共計算機，使用者不固定；(3)提供各種服務(wù)的服務(wù)器。

針對不同使用者的計算機，信息技術(shù)維護人員首先需要把每臺計算機的物理MAC地址與物理存放地和IP地址進行綁定，其次再確定該臺計算機的安全級別，最后針對不同安全級別的計算機進行安全配置，包括計算機本身權(quán)限、計算機系統(tǒng)還原設(shè)置、計算機網(wǎng)絡(luò)服務(wù)的安全權(quán)限等。

針對私密度較高、安全權(quán)限一般的個人計算機，病毒防護主要使用360安全衛(wèi)士和360殺毒軟件，系統(tǒng)還原僅采用確認制或不采用還原設(shè)置，網(wǎng)絡(luò)安全應(yīng)予以較大權(quán)限。當然，維護人員依然要備份該臺計算機的最初系統(tǒng)備份。

而針對公共計算機，除了安裝病毒防護軟件和防火墻，更要做好計算機的還原保護設(shè)置，網(wǎng)絡(luò)權(quán)限可適當開放。以筆者所在學(xué)校為例，教室計算機均在系統(tǒng)盤(一般是c：)配置系統(tǒng)還原，每次重啟可還原系統(tǒng)，一般情況下控制外網(wǎng)服務(wù)，在每周三中午12點，開放網(wǎng)絡(luò)服務(wù)和系統(tǒng)還原，來升級病毒防護軟件和系統(tǒng)軟件。而電子備課室和電子閱覽室則全盤配置系統(tǒng)還原，在每周四開放系統(tǒng)還原，升級病毒防護軟件和系統(tǒng)軟件。

針對安全需求極高的計算機，比如教務(wù)處用于學(xué)籍管理的計算機、校辦以及校檔案存放的計算機，除了一般的病毒防護外，還要定期備份系統(tǒng)，并嚴格遵守管理制度，做到專人專機，定期檢查口令。

5.信息技術(shù)教師要加強專業(yè)學(xué)習(xí)，針對使用者開展信息技術(shù)教程

網(wǎng)絡(luò)安全是一門綜合性的技術(shù)，網(wǎng)絡(luò)管理人員必須不斷地學(xué)習(xí)新的網(wǎng)絡(luò)知識，掌握新的網(wǎng)絡(luò)產(chǎn)品的功能，了解交換機和防火墻功能、操作系統(tǒng)性能、常見病毒攻擊方式等，才能更好地管理網(wǎng)絡(luò)。

而筆者走訪的各級學(xué)校中，每所學(xué)校的網(wǎng)絡(luò)維護人員都是該校的信息技術(shù)教師，這就給他們提出了更高的要求：在完成自身專職教學(xué)任務(wù)的基礎(chǔ)上，還要加強專業(yè)學(xué)習(xí)，提高信息技術(shù)水平和網(wǎng)絡(luò)安全技術(shù)水平。無論從時間上還是精力上，這都是對信息技術(shù)教師的考驗。所以，筆者建議各級學(xué)校的行政管理人員應(yīng)當考慮到這方面的特殊性，給予必要的支持。

對于大多數(shù)中小學(xué)而言，普遍使用者是中小學(xué)教師、行政科室人員和學(xué)生，這些用戶對于最新的網(wǎng)絡(luò)安全知識缺乏了解和認識，所以要對他們定期進行關(guān)于網(wǎng)絡(luò)安全知識的培訓(xùn)，可以結(jié)合一些常用的計算機軟件知識(比如課件制作、Excel的使用等)。