于 貴

(四川文理學(xué)院數(shù)學(xué)與財(cái)經(jīng)系，四川 達(dá)州 635000)

校園網(wǎng)內(nèi)部安全防范淺談

于 貴

(四川文理學(xué)院數(shù)學(xué)與財(cái)經(jīng)系，四川 達(dá)州 635000)

闡述了校園網(wǎng)亟待需要加強(qiáng)安全防范，介紹了校園網(wǎng)中主要應(yīng)加強(qiáng)防范的對(duì)象以及針對(duì)各對(duì)象的防范措施，提出了要全面加固校園網(wǎng)應(yīng)注意的問(wèn)題。

校園網(wǎng)；內(nèi)部安全；防范

隨著教育信息化的高速發(fā)展，越來(lái)越多的大中專(zhuān)院校建立起自己的局域網(wǎng)絡(luò)，使得大中專(zhuān)院校的管理、教學(xué)和科研等各項(xiàng)工作對(duì)網(wǎng)絡(luò)的依賴(lài)程度越來(lái)越高，對(duì)信息系統(tǒng)的服務(wù)質(zhì)量也提出了更高的要求。但是，國(guó)內(nèi)大多數(shù)院校在校園網(wǎng)的安全系統(tǒng)設(shè)計(jì)上面，由于資金費(fèi)用方面的原因，對(duì)人力、財(cái)力、物力的投入不足，安全問(wèn)題可能?chē)?yán)重干擾網(wǎng)絡(luò)正常運(yùn)行，從而影響教學(xué)和管理機(jī)構(gòu)的正常工作[1～4]。因此，需要從多個(gè)角度、多個(gè)方面來(lái)看待和保障網(wǎng)絡(luò)安全[1,2]。下面，筆者將從防范對(duì)象著手略作介紹。

1 網(wǎng)絡(luò)設(shè)備管理和保護(hù)

網(wǎng)絡(luò)設(shè)備及部件是網(wǎng)絡(luò)當(dāng)中必備的硬件實(shí)體。網(wǎng)絡(luò)設(shè)備的數(shù)量是與日俱增，并且種類(lèi)繁多。常見(jiàn)的網(wǎng)絡(luò)設(shè)備有計(jì)算機(jī)(客戶(hù)端或服務(wù)器)、交換機(jī)、集線(xiàn)器、路由器、網(wǎng)橋、網(wǎng)關(guān)、無(wú)線(xiàn)AP等。其中網(wǎng)關(guān)最為重要，它是連接校園網(wǎng)和外網(wǎng)的必經(jīng)之路，是校園網(wǎng)連接外網(wǎng)的重要設(shè)備。校園網(wǎng)相對(duì)外網(wǎng)來(lái)說(shuō)，木馬與病毒是比較少的，但是如果校園網(wǎng)缺乏安全監(jiān)管和隔離機(jī)制，一旦校園網(wǎng)中有計(jì)算機(jī)感染木馬或者病毒，校園網(wǎng)當(dāng)中其他終端也將面臨被感染的可能性。

校園網(wǎng)當(dāng)中使用代理網(wǎng)關(guān)是一個(gè)不錯(cuò)的選擇。其優(yōu)勢(shì)在于校園網(wǎng)內(nèi)每個(gè)計(jì)算機(jī)終端不會(huì)和外網(wǎng)進(jìn)行直接地網(wǎng)絡(luò)數(shù)據(jù)包交換。內(nèi)部計(jì)算機(jī)終端必須通過(guò)代理網(wǎng)關(guān)才能訪(fǎng)問(wèn)到外網(wǎng)，這樣一來(lái)，校園網(wǎng)的網(wǎng)絡(luò)管理者就可以方便地在代理服務(wù)器上面對(duì)校園網(wǎng)內(nèi)部終端訪(fǎng)問(wèn)外網(wǎng)進(jìn)行管理，比如校園網(wǎng)管理者可以對(duì)校園網(wǎng)用戶(hù)進(jìn)行較為全面的監(jiān)控，可以過(guò)濾與限制訪(fǎng)問(wèn)外網(wǎng)的內(nèi)容。

一般來(lái)說(shuō)，一個(gè)局域網(wǎng)在連接外網(wǎng)的邊際處至少應(yīng)當(dāng)有一個(gè)防火墻或者具有安全防范功能的路由器，建立局域網(wǎng)的第一道防線(xiàn)。對(duì)于一個(gè)大中型校園網(wǎng)來(lái)說(shuō)，最好選擇使用功能較強(qiáng)大的硬件防火墻產(chǎn)品或者在路由器上進(jìn)行相關(guān)的設(shè)置。大部分的路由器產(chǎn)品都可以使用其內(nèi)置的IOS防火墻來(lái)防范外網(wǎng)的惡意攻擊，再加上硬件防火墻的使用，可以進(jìn)一步提高安全性。另外，對(duì)于終端數(shù)量相對(duì)比較多的校園網(wǎng)，添加域控制器進(jìn)行安全防范也是一個(gè)十分簡(jiǎn)單有效的方法。

2 密碼安全

網(wǎng)絡(luò)操作系統(tǒng)所提供的密碼安全策略是保障網(wǎng)絡(luò)安全的有效措施和簡(jiǎn)易操作方法。這里以Microsoft Windows NT系列的操作系統(tǒng)為例來(lái)進(jìn)行說(shuō)明。通過(guò)用戶(hù)名登錄系統(tǒng)，設(shè)置相應(yīng)的登錄密碼；為了提高安全性，對(duì)目錄和文件設(shè)置相應(yīng)的訪(fǎng)問(wèn)權(quán)限和密碼，從而控制用戶(hù)對(duì)目錄和文件的訪(fǎng)問(wèn)；指定用戶(hù)直接通過(guò)主機(jī)訪(fǎng)問(wèn)Internet等。除了設(shè)置用戶(hù)訪(fǎng)問(wèn)目錄和文件的權(quán)限，還可以設(shè)置網(wǎng)絡(luò)連接的屬性來(lái)提高安全性，如去掉本地連接屬性當(dāng)中TCP/IP協(xié)議和其他協(xié)議中的“Microsoft網(wǎng)絡(luò)用戶(hù)”和“Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享”的綁定，其他計(jì)算機(jī)終端也做相同的設(shè)置，就可以去掉TCP/IP協(xié)議中的綁

定。如使用Windows Server 2003，通過(guò)對(duì)系統(tǒng)自帶的工具進(jìn)行簡(jiǎn)單的設(shè)置，便可防止ICMP的碎片攻擊和風(fēng)暴攻擊。

另一方面，數(shù)據(jù)庫(kù)信息的安全也要加強(qiáng)。一般來(lái)說(shuō)，網(wǎng)絡(luò)中的數(shù)據(jù)組織形式主要有2種，一種是數(shù)據(jù)庫(kù)，另一種是文件形式；由于后一種數(shù)據(jù)組織形式的數(shù)據(jù)缺乏共享性，在實(shí)際應(yīng)用當(dāng)中，一般采用的是數(shù)據(jù)庫(kù)這種數(shù)據(jù)組織形式。通常，操作系統(tǒng)當(dāng)中沒(méi)有對(duì)數(shù)據(jù)庫(kù)信息提供額外的保密措施和方法，而數(shù)據(jù)庫(kù)的信息又是以重復(fù)讀和寫(xiě)的形式存儲(chǔ)在里面，所以就需要人為的對(duì)數(shù)據(jù)庫(kù)的安全性采取更加嚴(yán)密的方法和手段。因此，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的密碼保護(hù)顯得尤為重要。

此外，電子郵件是校園網(wǎng)與外網(wǎng)傳遞信息的重要工具。因此，需要對(duì)電子郵件用戶(hù)名、密碼及郵件內(nèi)容進(jìn)行加密處理，實(shí)際應(yīng)用中，可安裝簽名工具軟件來(lái)增強(qiáng)安全性。

3 計(jì)算機(jī)終端防護(hù)

一般來(lái)說(shuō)，計(jì)算機(jī)終端上必須安裝相應(yīng)的殺毒軟件和防火墻，基本要求是能嵌入式防毒殺毒、病毒數(shù)據(jù)庫(kù)更新快、實(shí)時(shí)防護(hù)以及占用系統(tǒng)資源小。目前，很多大公司都推出了一定時(shí)間免費(fèi)或長(zhǎng)期免費(fèi)的殺毒軟件和防火墻，用于各類(lèi)系統(tǒng)中的主動(dòng)防御，建議有選擇地使用。

絕大多數(shù)人使用的是微軟的Windows系列操作系統(tǒng)，主要受影響的就是在安裝軟件時(shí)不小心捆綁了流氓軟件或插件了，它們不僅占用了大量的窗口空間和系統(tǒng)資源，影響開(kāi)機(jī)速度，有時(shí)還會(huì)引起莫名其妙的錯(cuò)誤。建議安裝軟件時(shí)，注意其中的安裝提示信息，及時(shí)更新操作系統(tǒng)的補(bǔ)丁程序，在上網(wǎng)的時(shí)候，盡量不要確認(rèn)或點(diǎn)擊不明來(lái)源的主動(dòng)提示性超級(jí)鏈接，更不要輕易允許被瀏覽器阻止的惡意腳本運(yùn)行。

4 數(shù)據(jù)備份

為了維護(hù)校園網(wǎng)的安全，必須對(duì)計(jì)算機(jī)終端上或者網(wǎng)絡(luò)設(shè)備上的重要數(shù)據(jù)進(jìn)行備份，目的就是防止因?yàn)楦鞣N軟硬件故障、黑客的攻擊病或者病毒的侵襲等原因?qū)е孪到y(tǒng)崩潰，造成數(shù)據(jù)的丟失，從而造成更大的損失。

實(shí)際應(yīng)用中，一般可以選擇功能強(qiáng)大、使用靈活、操作簡(jiǎn)單的備份和恢復(fù)軟件，加強(qiáng)對(duì)數(shù)據(jù)的保護(hù)。目前的備份軟件種類(lèi)繁多，對(duì)于服務(wù)器來(lái)說(shuō)，可以采用CA的InocuLAN、ARCServe等，配合CA的災(zāi)難恢復(fù)軟件，可以較為全面地保護(hù)數(shù)據(jù)的安全；對(duì)于普通終端來(lái)說(shuō)，可以選擇GHOST等，即可實(shí)現(xiàn)數(shù)據(jù)備份。當(dāng)然，如果有條件的話(huà)，配置能實(shí)現(xiàn)數(shù)據(jù)備份或同步的硬件設(shè)備那將更好。

5 外部攻擊的防范

目前，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅主要來(lái)自外部攻擊，主要是惡意病毒攻擊和拒絕服務(wù)(DoS)攻擊?？梢詮囊韵聨讉€(gè)方面進(jìn)行網(wǎng)絡(luò)安全保護(hù)。一般地，通過(guò)設(shè)置限制措施，只允許相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入整個(gè)Web站點(diǎn)，就可以有效的防止黑客對(duì)站點(diǎn)的攻擊，這也是對(duì)付“拒絕服務(wù)”攻擊有效方法之一，尤其對(duì)于ICMP封包，包括ping指令等，應(yīng)當(dāng)加入拒絕的列表。

其次，可以通過(guò)安裝偵測(cè)非法入侵的系統(tǒng)，來(lái)提升硬件防火墻的性能，來(lái)達(dá)到監(jiān)控網(wǎng)絡(luò)運(yùn)行情況、過(guò)濾ICMP封包的內(nèi)容并及時(shí)攔截的非法的動(dòng)作；當(dāng)黑客或者木馬病毒入侵時(shí)，可以馬上起到作用來(lái)終止相應(yīng)的動(dòng)作，從而有效地防止竊取校園網(wǎng)的信息。實(shí)際操作中，網(wǎng)絡(luò)管理人員應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)的運(yùn)行情況，發(fā)現(xiàn)非法用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)應(yīng)當(dāng)立即終止，通常是通過(guò)工作站的IP地址規(guī)則對(duì)規(guī)定本地網(wǎng)絡(luò)設(shè)備的訪(fǎng)問(wèn)權(quán)限，目的就是以防止非法用戶(hù)進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行配置。

此外，網(wǎng)絡(luò)管理人員還應(yīng)該及時(shí)下載網(wǎng)絡(luò)設(shè)備最新的補(bǔ)丁程序，以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)，從而提高網(wǎng)絡(luò)設(shè)備的安全性，同時(shí)，還應(yīng)該經(jīng)常掃描、檢測(cè)整個(gè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，盡早發(fā)現(xiàn)各種設(shè)備的安全漏洞并實(shí)施補(bǔ)救措施，安裝補(bǔ)丁程序，才能做到有備無(wú)患。

[1]曾理.淺談校園網(wǎng)絡(luò)建設(shè)與應(yīng)用[J].電腦知識(shí)與技術(shù), 2009(13):42-43.

[4]談杰.淺談校園網(wǎng)安全性問(wèn)題及其控制策略對(duì)策分析[J].電腦知識(shí)與技術(shù), 2010(9):51-52.

[編輯] 洪云飛

10.3969/j.issn.1673-1409.2011.02.031

TP393

A

1673-1409(2011)02-0085-02

2010-10-01

于貴(1981-)，男，2003年大學(xué)畢業(yè)，碩士，講師，現(xiàn)主要從事網(wǎng)絡(luò)數(shù)據(jù)庫(kù)、多媒體技術(shù)方面的教學(xué)與研究工作；E-mail:ygsanm@vip.qq.com

?四川文理學(xué)院重點(diǎn)科研項(xiàng)目(2009A02Z)。