魏光杏，戴 月

（滁州職業(yè)技術(shù)學(xué)院，安徽 滁州 239000）

校園網(wǎng)絡(luò)安全隱患分析及對策

魏光杏，戴 月

（滁州職業(yè)技術(shù)學(xué)院，安徽 滁州 239000）

隨著校園網(wǎng)的不斷發(fā)展，校園網(wǎng)的安全正面臨著嚴峻挑戰(zhàn)。如何保護校園網(wǎng)安全已成為十分重要的研究課題。文章先分析了校園網(wǎng)中存在的不安全因素，提出的安全對策，經(jīng)過實踐驗證，效果較好。

校園網(wǎng)；網(wǎng)絡(luò)安全；計算機木馬

一、引言

教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時代的教育方式和教育環(huán)境，己經(jīng)成為教育發(fā)展的方向。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與普及，校園網(wǎng)早已成為現(xiàn)代化教育建設(shè)的基礎(chǔ)設(shè)施，校園網(wǎng)建設(shè)己經(jīng)不僅僅只是局限于實現(xiàn)網(wǎng)絡(luò)內(nèi)部資源共享和外部信息互換。各學(xué)校為了能夠?qū)崿F(xiàn)以網(wǎng)養(yǎng)網(wǎng)，對網(wǎng)絡(luò)的設(shè)計提出了更高的要求，可運營、更安全、更實用成了今天對校園網(wǎng)絡(luò)關(guān)注的焦點。隨著各高校網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快速增長，校園網(wǎng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。

二、校園網(wǎng)安全面臨的問題

校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，其安全狀況直接影響著學(xué)校的教學(xué)活動，校園網(wǎng)網(wǎng)絡(luò)上各種信息數(shù)據(jù)急劇的增加，校園網(wǎng)絡(luò)信息安全面臨嚴峻問題。校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡(luò)設(shè)備的危害和對網(wǎng)絡(luò)中數(shù)據(jù)信息的破壞，具體包括：

（一）計算機中的漏洞威脅。校園網(wǎng)絡(luò)系統(tǒng)中接入著成百上千臺計算機，這些計算機的操作系統(tǒng)各種各樣，通常分布在不同的物理位置，由不同的用戶操作，用于不同的用途。由于這些差異，使得校園網(wǎng)網(wǎng)絡(luò)中的客戶端的漏洞問題十分嚴重。而且客戶端使用的軟件不可能是百分之百的無缺陷或無漏洞的。這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

（二）人為的因素，包括人為的無意失誤和惡意攻擊。人為無意的失誤主要是操作員安全配置不當(dāng)或用戶安全意識淡薄、口令過于簡單、網(wǎng)絡(luò)操作失誤等。人為的惡意攻擊是網(wǎng)絡(luò)安全所面臨的最大威脅之一，此類攻擊又分兩類：一類是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的前提下進行截獲、竊取與破譯，以獲得重要機密信息。

（三）計算機病毒的泛濫與黑客的攻擊。校園網(wǎng)網(wǎng)絡(luò)的方便快捷的同時也為病毒的肆意傳播留下可能，下載的程序和電子郵件都有可能攜有病毒。通過網(wǎng)絡(luò)傳播病毒無論在傳播速度，還是破壞性和傳播范圍等方面都是單機病毒無法比擬的。大量病毒傳播不僅占用網(wǎng)絡(luò)資源，而且破壞服務(wù)器或單機，最終影響整個學(xué)校網(wǎng)絡(luò)系統(tǒng)的正常運作。計算機病毒將導(dǎo)致計算機系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴重破壞，使網(wǎng)絡(luò)的效率和作用大大降低，也使許多網(wǎng)絡(luò)功能無法使用或不敢使用。現(xiàn)在的蠕蟲病毒和黑客技術(shù)結(jié)合在一起，常常導(dǎo)致拒絕服務(wù)攻擊（DOS），可以導(dǎo)致整個校園網(wǎng)絡(luò)癱瘓。

（四）其它方面威脅。校園網(wǎng)系統(tǒng)設(shè)備遭到破壞，包括各類計算機、網(wǎng)絡(luò)通信設(shè)備、存放數(shù)據(jù)的媒體、傳輸線路等。這些設(shè)備無論哪一個出現(xiàn)問題，都會給整個網(wǎng)絡(luò)帶來災(zāi)難性的后果。網(wǎng)絡(luò)上的各種信息良蕎不齊，色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫，這些資源不但會占有流量資源，導(dǎo)致網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且不良內(nèi)容將危害學(xué)生的身心健康，造成嚴重后果。

三、校園網(wǎng)安全對策

根據(jù)校園網(wǎng)所面臨的安全隱患，結(jié)合我院實際情況，制定了以下幾個安全對策。

（一）防火墻部署

目前在網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)就是防火墻。防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。在與Internet相連的每一臺計算機上都裝上防火墻軟件，使之成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則來提高網(wǎng)絡(luò)安全性：

1.根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外網(wǎng)對校園內(nèi)網(wǎng)的不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。

2.禁止訪問系統(tǒng)級別的服務(wù) (如HTTP，F(xiàn)TP等)。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放其端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。

3.必須正確設(shè)置局域網(wǎng)中客戶端的IP地址，使防火墻系統(tǒng)能認識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證在局域網(wǎng)中的客戶端能正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機共享）功能。

4.定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

5.允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性。

（二）網(wǎng)絡(luò)殺毒軟件部署

在網(wǎng)絡(luò)防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能，如Symantec AntiVirus 9.0殺毒軟件，具體設(shè)置如下：

1.在學(xué)院網(wǎng)絡(luò)中心配置一臺高效的服務(wù)器，并安裝Symantec AntiVirus 9.0企業(yè)版殺毒軟件。此服務(wù)器負責(zé)管理校園網(wǎng)內(nèi)網(wǎng)點的計算機。

2.在校園網(wǎng)內(nèi)各網(wǎng)點分別安裝Symantec AntiVirus 9.0企業(yè)版的客戶端。

3.安裝完Symantec AntiVirus 9.0企業(yè)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的設(shè)置，保證所有客戶端能夠定時進行對本機的查殺病毒。

4.網(wǎng)絡(luò)中心對整個校園網(wǎng)客戶端的升級。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)定期地、自動地到Symantec AntiVirus官方網(wǎng)站上獲取最新的升級文件 （包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到各辦公室的客戶端與服務(wù)器端，并自動對Symantec AntiVirus 9.0企業(yè)版進行更新。采取這種升級方式，一方面確保校園網(wǎng)內(nèi)的Symantec AntiVirus 9.0企業(yè)版殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因為沒有及時升級為最新的病毒庫和掃描引擎而失去最新的防病毒能力。

（三）木馬防范

木馬，說是網(wǎng)絡(luò)安全的大敵。木馬是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一般一個木馬套裝程序含了兩部分：服務(wù)端和客戶端。植入對方電腦的是服務(wù)端，而黑客正是利用客戶端進入正在運行服務(wù)端的電腦。運行了木馬程序的服務(wù)端以后，會產(chǎn)生一個容易迷惑用戶的進程，暗中打開端口，向指定地點發(fā)送數(shù)據(jù)。它可以盜取的網(wǎng)絡(luò)賬號、盜取我們的網(wǎng)銀信息；利用即時通訊軟件盜取個人的身份，傳播木馬病毒；甚至電腦可能被黑客控制。在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。因此，如果是計算機感染了木馬，危害是不可想象的。

解決木馬的有效方法是預(yù)防。經(jīng)常用最新的掃描軟件對計算機系統(tǒng)進行漏洞掃描，積極下載并安裝補丁。木馬的清除一般可以通過各種最新殺毒軟件來進行查殺。對于新出現(xiàn)木馬的防治可以通過端口的掃描來進行，端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口。平時要多注意服務(wù)器中開放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監(jiān)測是否有木馬存在。

（四）網(wǎng)絡(luò)安全的管理

在確定了安全策略方案后，必須通過規(guī)范的管理來實施安全工作，將安全技術(shù)、安全策略和安全組織有機地結(jié)合起來，形成一個相互聯(lián)系、相互推動地整體，通過實際的工程運作和動態(tài)的運營維護，最終實現(xiàn)安全工作的目標。網(wǎng)絡(luò)安全管理應(yīng)注意以下原則：

1.建立、健全安全管理體制，包括：制定安全管理等級和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程，制定網(wǎng)絡(luò)系統(tǒng)的維護制度、制定相關(guān)人員的責(zé)任制等。

2.以預(yù)防為主，整治為輔。網(wǎng)絡(luò)安全要盡量考慮到各種可能出現(xiàn)的問題而采取相應(yīng)的預(yù)防措施，從根源上防治問題的出現(xiàn)。而且經(jīng)常利用漏洞掃描器（Scanner）,定期對系統(tǒng)進行安全性評估，以便及時發(fā)現(xiàn)系統(tǒng)漏洞并實施修復(fù)。

3.提高師生的網(wǎng)絡(luò)安全意識。隨著校園計算機網(wǎng)絡(luò)的不斷發(fā)展，老師、學(xué)生在線學(xué)習(xí)、娛樂時間不斷的增加，但是他們可能就會在不經(jīng)意間感染計算機病毒并加以傳播，因此對學(xué)院師生進行安全使用網(wǎng)絡(luò)的知識培訓(xùn)，加強網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全業(yè)務(wù)技能。

4.加強虛擬局域網(wǎng)的管理。校園網(wǎng)一般會分辦公區(qū)和學(xué)生宿舍區(qū)等幾個場所，因此可以把這些場所劃分多個虛擬局域網(wǎng)，提高網(wǎng)絡(luò)安全性。如果同一局域網(wǎng)內(nèi)仍有不同級別的安全域，可以繼續(xù)通過劃分子網(wǎng)及VLAN的方法加以訪問控制。

四、結(jié)束語

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，產(chǎn)生越來越多的網(wǎng)絡(luò)安全問題。互聯(lián)網(wǎng)的各種安全威脅在校園網(wǎng)的運行和管理中表現(xiàn)的尤為突出，安全技術(shù)是配合安全管理的輔助措施，在構(gòu)建一個綜合的校園網(wǎng)絡(luò)安全系統(tǒng)時，可結(jié)合多種技術(shù)，靈活運用、與時具進，才能使我們的校園網(wǎng)更安全。

[1]劉欽創(chuàng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].計算機安全，2007，（3）.

[2]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程[M].北京：機械工業(yè)出版社，2009，2.

[3]楊振會.淺析計算機網(wǎng)絡(luò)安全及防范技術(shù)[J].網(wǎng)絡(luò)通訊與安全，2006，（9）.

[4]朱林.簡析網(wǎng)絡(luò)蠕蟲和特洛伊木馬的防治對策[J].滁州職業(yè)技術(shù)學(xué)院學(xué)報，2009，(1).

TP393.08 < class="emphasis_bold">文獻標識碼：A

A

1671-5993（2010）03-0066-03

2010-09-13

本文為滁州職業(yè)技術(shù)學(xué)院2010年院級教學(xué)研究項目。

魏光杏(1976-)，男，安徽池州人，滁州職業(yè)技術(shù)學(xué)院講師，碩士研究生。