☆ 劉有長

（中山大學附屬中學三水實驗學校，廣東佛山 528145）

中學校園網(wǎng)絡安全管理經(jīng)驗談

☆ 劉有長

（中山大學附屬中學三水實驗學校，廣東佛山 528145）

一、引言

隨著中學校園網(wǎng)絡應用的不斷深入，校園網(wǎng)上各種應用和信息急劇增多，網(wǎng)絡用戶數(shù)量的成倍增加，網(wǎng)絡的安全問題也不斷暴露出來，如何保障中學網(wǎng)絡的正常運行、確保資源的安全訪問，避免校園網(wǎng)絡遭受病毒、惡意軟件和黑客的攻擊就顯得十分重要。

中學校園網(wǎng)絡在建設和運行的過程中，必須針對不同的安全威脅，采用不同的網(wǎng)絡安全管理方法，制定相應的安全防范措施，確保校園網(wǎng)絡的正常工作。中學校園網(wǎng)絡安全管理主要包括兩方面：一方面是針對校園網(wǎng)絡實體的物理安全管理，另一方面是針對網(wǎng)絡信息的邏輯安全管理。

二、物理安全管理

1.防靜電管理

靜電是由物體的摩擦或電子設備感應而引起的，產(chǎn)生靜電后的電子設備元件極易吸附灰塵，導致設備加速老化或出現(xiàn)故障，校園網(wǎng)絡的電子設備應配備良好的接地系統(tǒng)避免靜電，同時，應將容易生產(chǎn)靜電的設備分開安裝，防止由于靜電放電損壞校園網(wǎng)絡設備的線路板。

2.防雷擊管理

校園網(wǎng)絡設備采用大規(guī)模集成電路芯片，其耐過電壓，過電流的能力極低，要防止其遭到雷擊。因此，應根據(jù)被保護設備的特點和雷電侵入的不同途徑，對于校園網(wǎng)絡的中心機房和一般設備，采取相應的防護措施，分類分級保護。

3.防電磁泄露管理

校園網(wǎng)絡中電子設備工作時會產(chǎn)生電磁波，這些電磁信號可被高靈敏度的接收設備接收并進行分析、還原，造成信息泄露。防電磁泄露的常用方法有三種：一是抑制電磁波發(fā)射；二是屏蔽隔離電磁波；三是對電磁波進行相關干擾。

4.防火管理

火災一般是由于電氣原因，人為或外部火災蔓延引起的，應經(jīng)常檢查校園網(wǎng)絡的設備，以及校園網(wǎng)絡各種電路的安全性，做好各種防火措施。

5.防盜管理

校園網(wǎng)絡設備被盜造成的損失可能遠超過計算機本身的價值，計算機中重要信息的丟失是無法復制恢復的，應采取嚴格的防范措施，對于重要的計算機系統(tǒng)及外部設備，可安裝防盜報警裝置及制定相應的安全保護措施。

三、邏輯安全管理

1.防病毒管理

計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質(zhì)或程序里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。在中學校園網(wǎng)絡條件下計算機病毒除了具有可傳播性、可執(zhí)行性、破壞性等共性外，還具有傳播性強、擴散面廣、傳播的形式復雜多樣等一些新的特點。

中學校園網(wǎng)預防病毒的措施主要是備份重要數(shù)據(jù)、安裝殺毒軟件、為操作系統(tǒng)打上補丁、及時關注流行病毒以及下載專殺工具、注意使用電腦時候的異常情況、注意定期掃描系統(tǒng)病毒、建立有效的計算機病毒防護體系。

中學計算機校園網(wǎng)絡預防病毒的方法主要有三種：一是軟件防治病毒，通過定期或不定期地利用反病毒軟件檢測計算機的病毒感染情況；二是在計算機上安插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對計算機的運行速度有一定的影響；三是在網(wǎng)絡接口卡上安裝防病毒芯片。上述三種方法，都是防病毒的有效手段，應根據(jù)網(wǎng)絡的規(guī)模、數(shù)據(jù)傳輸負荷等具體情況確定使用哪一種方法。

中學校園網(wǎng)絡防病毒的管理，首先應從硬件設備及軟件系統(tǒng)的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度，對網(wǎng)絡系統(tǒng)的管理員加強法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，對校園網(wǎng)絡普通用戶，尤其是對學生用戶應進行思想教育，培養(yǎng)他們正確使用校園網(wǎng)絡的好習慣，樹立起校園網(wǎng)絡防病毒的觀念。我們應該注意定期掃描系統(tǒng)，在上網(wǎng)時避免訪問非正規(guī)的網(wǎng)站及下載文件，在收到帶有附件的電子郵件時，應該先對附件進行病毒掃描確保安全后再打開。

2.防火墻管理

防火墻工作方式是將校園內(nèi)部網(wǎng)絡與外部網(wǎng)絡（如互聯(lián)網(wǎng)）之間或者內(nèi)部不同網(wǎng)段間互相隔離，通過訪問控制的方式來保護內(nèi)部網(wǎng)絡。防火墻最常見的應用是用來防止外部網(wǎng)絡（如互聯(lián)網(wǎng)路）上的危險（非法訪問和攻擊等）傳播到需要保護的內(nèi)部校園網(wǎng)絡，也可能在校園網(wǎng)絡內(nèi)部為了保護一些關鍵部門而設置內(nèi)部網(wǎng)絡防火墻。

防火墻有多種形式，有以軟件形式運行在普通計算機之上的，也有以固件形式設計在路由器之中的。目前，防火墻主要有三類：包過濾防火墻、應用代理型防火墻和狀態(tài)監(jiān)測型防火墻。包過濾型防火墻對用戶來說是透明的，處理速度快而且易于維護。應用代理型防火墻比包過濾更為可靠，但對用戶不透明。狀態(tài)監(jiān)測型防火墻非常堅固，但它會降低網(wǎng)絡的速度，而且配置也比較復雜。

中學校園網(wǎng)防火墻的管理有自己的原則，校園網(wǎng)與普通企業(yè)上網(wǎng)不同，因為一般企業(yè)上網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對內(nèi)部網(wǎng)絡的攻擊，而安裝在校園網(wǎng)上的防火墻，既要有“防外”的功能，又要有“防內(nèi)”的功能。所謂“防內(nèi)”，是因為學生中有不少網(wǎng)絡愛好者，在好奇心的驅(qū)使下或者是為了滿足某種單純的心理需要，會從互聯(lián)網(wǎng)上下載黑客工具，不顧后果的對校園網(wǎng)內(nèi)部網(wǎng)絡進行攻擊，特別是對學校內(nèi)部某些可能存放著重要資料的服務器進行攻擊，使學校的校園網(wǎng)絡遭受到不必要的損失。所以，設置校園網(wǎng)防火墻一方面要建立合理有效的安全過濾原則，對網(wǎng)絡數(shù)據(jù)包的協(xié)議、端口、源／目的地址、流向進行審核，嚴格控制內(nèi)網(wǎng)用戶的非法訪問。對于校園的一些WEB服務、FTP服務和Email等公共服務，可以利用防火墻建立DMZ（非軍事化區(qū)）進行防護。

3.VPN管理

VPN是慮擬專用網(wǎng)，它是利用公共網(wǎng)絡基礎設施，通過“隧道”技術、加密技術、認證技術和訪問控制等手段為我們提供了一種通過公用網(wǎng)絡安全地對內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式，達到與專用網(wǎng)絡類似的安全性能。使用者可以非常安全地傳輸重要信息和數(shù)據(jù)，而不必擔心會被攔截，從而輕松實現(xiàn)互聯(lián)網(wǎng)絡辦公現(xiàn)代化。

VPN的主要目的是建立一種靈活、低成本、可擴展的網(wǎng)絡互連手段以替代傳統(tǒng)的長途專線連接和遠程撥號連接，但同時VPN也是一種實現(xiàn)校園網(wǎng)絡內(nèi)部網(wǎng)安全隔離的有效方式。其優(yōu)點是：其一，成木低。VPN在設備的使用量上比專線方式的架構節(jié)省，故能使網(wǎng)絡的總成本降低。其二，良好的安全性。VPN架構中采用了多種安全機制，如隧道、加密、認證、數(shù)字簽名等技術，確保資料在公眾網(wǎng)絡中傳輸時的安全。其三，網(wǎng)絡架構彈性大。VPN的平臺具備完整的擴展性，從大學校園網(wǎng)絡的設備到小學幼兒園校園網(wǎng)絡的設備，甚至個人撥號用戶設備，均可被包含在整體的VPN架構中，以致他們可以在任何地方，都可以通過Internet訪問校園網(wǎng)絡的內(nèi)部資源。

筆者所在校坐落于廣東佛山三水逕口華僑經(jīng)濟區(qū)內(nèi)，而中山大學附屬中學位于廣州市，每個校區(qū)都有自己獨立的校園網(wǎng)絡，通過光纖接入互聯(lián)網(wǎng)絡，提供的公共網(wǎng)絡服務有電子郵件服務、WEB服務、DNS域名服務、多媒體視頻點播等。為了加強兩校區(qū)的合作，開展教學和科研的聯(lián)合辦公，考慮到校園網(wǎng)絡的安全因素，我們采用了VPN技術，采用Intranet VPN的模式來實現(xiàn)兩校區(qū)的互聯(lián)。對于在校外需要訪問學校內(nèi)部網(wǎng)絡的用戶，包括教師在線辦公和學生在線學習，我們采用 Remote Access VPN的模式來實現(xiàn)。

4.VLAN管理

VLAN是一種將局域網(wǎng)（LAN）設備從邏輯上劃分成多個網(wǎng)段（或者說是更小的局域網(wǎng)），從而實現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術。

VLAN在校園網(wǎng)絡中心交換機的實現(xiàn)方法，可以大致劃分為六類：①基于端口的VLAN，可以防止非法入侵者從內(nèi)部盜用IP地址；②基于MAC地址的VLAN，這種方式的VLAN的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN；③據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要；④根據(jù)IP組播的VLAN，即認為一個IP組播組就是一個VLAN；⑤按策略劃分的VLAN，基于策略組成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡層協(xié)議等；⑥按用戶定義、非用戶授權劃分的VLAN。

對校園網(wǎng)絡劃分VLAN的好處主要有二個：第一，控制廣播風暴，一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，可以控制廣播風暴的產(chǎn)生。第二，提高網(wǎng)絡整體安全性，通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡的整體性能和安全性。

中學校園網(wǎng)絡劃分VLAN的管理，主要考慮計算機網(wǎng)絡，視頻監(jiān)控網(wǎng)絡的安全運行，以及各部門和各處室的信息安全，提高校園網(wǎng)絡的性能，實踐中對學生計算機機房，學生電子閱覽室等場室劃分不同的VLAN，可以提高校園網(wǎng)絡的安全級別。

5.IDS管理

IDS是入侵檢測系統(tǒng)，就是依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。

IDS在校園網(wǎng)絡的使用和管理，大多數(shù)的入侵檢測的接入方式都是采用 pass－by方式來偵聽網(wǎng)絡上的數(shù)據(jù)流，所以，這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來阻斷當前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎之上就無能為力了。因為，防火墻的策略都是事先設置好的，無法動態(tài)設置策略，缺少針對攻擊的必要的靈活性，不能更好地保護網(wǎng)絡的安全，所以，需要建立IDS與防火墻的聯(lián)動機制，其目的就是更有效地阻斷所發(fā)生的攻擊事件，從而最大程度保障校園網(wǎng)絡的安全。

四、結束語

中學校園網(wǎng)絡是一個復雜的網(wǎng)絡環(huán)境，我們要根據(jù)實際情況，針對不同的網(wǎng)絡結構和不同的網(wǎng)絡應用，采用不同的網(wǎng)絡安全管理方法，構建一個綜合立體的安全校園網(wǎng)絡環(huán)境，在采取安全防范措施的同時，還必須有完善的安全管理規(guī)章制度和切實可行的安全管理機構，才能有效地實現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定的運行，為學校的信息化建設保駕護航。

[1]張治元.校園網(wǎng)安全威脅及其應對策略探討.長沙通信職業(yè)技術學院學報,2004,(04).

[2]馬駿,周君儀.淺談校園網(wǎng)網(wǎng)絡安全及防范技術.廣西輕工業(yè), 2007,(09).

[3]周莉.談校園網(wǎng)的建設與安全管理.電腦知識與技術(學術交流), 2007,(16).

[4]趙建偉.淺談校園網(wǎng)安全管理.科技信息(科學教研),2007,(25).

[5]弋建偉.淺析校園網(wǎng)安全.陜西師范大學學報(哲學社會科學版), 2007,(S2).

[6]王峻,劉定富.校園網(wǎng)的安全問題及防護措施.軟件導刊,2007, (16).

劉少穎]