校園網(wǎng)安全策略分析

鞠　芳

[摘要]網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重中之重，特別是學(xué)校校園網(wǎng)的安全直接關(guān)系到教育教學(xué)活動的正常進行，必須引起人們的高度重視。對安全問題的來源進行分析，有針對性地預(yù)防，可以提高校園網(wǎng)的安全水平。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 病毒 防火墻 入侵檢測

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0220045－01

校園網(wǎng)作為數(shù)字化信息的最重要的傳輸載體，在學(xué)校建設(shè)和管理中發(fā)揮著日益重要的作用，對提高學(xué)校的管理水平和教學(xué)質(zhì)量都具有十分重要的意義。但是，隨著校園網(wǎng)規(guī)模日趨擴大、應(yīng)用環(huán)境日趨復(fù)雜，校園網(wǎng)絡(luò)安全事故時有發(fā)生。因此，如何防范校園網(wǎng)絡(luò)安全事故，保證校園網(wǎng)高效穩(wěn)定地運轉(zhuǎn)，就成為各學(xué)校越來越重視的問題。

一、網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織(ISO)對計算機系統(tǒng)安全的定義是：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露?！庇纱丝梢詫⒂嬎銠C網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、目前校園網(wǎng)絡(luò)的安全現(xiàn)狀

（一）操作系統(tǒng)的安全問題。目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS和Linux等，這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染。如不對操作系統(tǒng)進行及時更新，彌補漏洞，計算機即使安裝了防毒軟件也會被感染。

（二）病毒的破壞。計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。

（三）口令入侵。為管理和計費的方便，學(xué)校為每個上網(wǎng)的老師和學(xué)生分配一個賬號，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容或?qū)⑸暇W(wǎng)的費用轉(zhuǎn)嫁給他人，用不正常的手段竊取別人的口令，造成了費用管理的混亂。

（四）不良信息的傳播。在校園網(wǎng)接入Internet后，師生都可以通過校園網(wǎng)絡(luò)在自己的電腦上進入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力內(nèi)容的網(wǎng)站泛濫。這些信息違反了道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說，危害非常大。

三、校園網(wǎng)信息安全對策

（一）設(shè)置防火墻。防火墻是網(wǎng)絡(luò)安全的屏障。一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。在防火墻設(shè)置上可按以下原則配置來提高網(wǎng)絡(luò)安全性：（1）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。（2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。（3）在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。（4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。（5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性。

（二）架設(shè)入侵監(jiān)測系統(tǒng)(IDS)。在許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以同防火墻和路由器配合工作。

IDS掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。IDS是被動的，它監(jiān)測網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是捕捉危險或有惡意動作的信息包。IDS能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

（三）漏洞掃描系統(tǒng)。采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。要求每臺主機系統(tǒng)必須正確配置，為操作系統(tǒng)打夠補丁、保護好自己的密碼、關(guān)閉不需要打開的端口。例如：如果主機不提供諸如FTP、HTTP等公共服務(wù)，盡量關(guān)閉它們。

（四）部署網(wǎng)絡(luò)版殺毒軟件。最理想的狀況是在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時，為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的Windows2000服務(wù)器安裝一個網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機。在各主機節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)時也能夠定時進行對本機的查殺毒。

（五）制度化管理。

1．制定并嚴(yán)格執(zhí)行各種管理制度。安全管理制度的制定必須能隨著計算機應(yīng)用、網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級。

2．建立以學(xué)校網(wǎng)絡(luò)中心為主的計算機網(wǎng)絡(luò)安全應(yīng)急體系，各部門設(shè)立專門的計算機網(wǎng)絡(luò)安全員。各安全員應(yīng)及時向網(wǎng)絡(luò)中心匯報所發(fā)現(xiàn)的情況，以便及時處理。

3．實行管理員分級管理制度，由總管理員分配各部門的網(wǎng)絡(luò)管理員的管理權(quán)限。

4．建立用戶入網(wǎng)申請、登記制度，對上網(wǎng)的用戶建立檔案，記錄訪問日志，以便加強管理。

四、結(jié)束語

校園網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。對于校園網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全意識，加強網(wǎng)絡(luò)安全技術(shù)的掌握，注重對學(xué)生教工的網(wǎng)絡(luò)安全知識培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

參考文獻(xiàn)：

[1]蔣先華、許以臣等，校園網(wǎng)絡(luò)組應(yīng)用，北京：科學(xué)出版社，2003.

[2]黃曉紅，校園網(wǎng)信息系統(tǒng)的安全性分析，廣東輕工職業(yè)技術(shù)學(xué)院學(xué)報，2003.

[3]任紅衛(wèi)、鄧飛其，計算機網(wǎng)絡(luò)安全主要問題與對策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004.