王慧琳

中職校園網(wǎng)的安全問題與防范策略

王慧琳

隨著互聯(lián)網(wǎng)的迅速發(fā)展與普及，網(wǎng)絡(luò)已經(jīng)成為人們獲取信息和資源的重要途徑，其應(yīng)用也越來越廣泛。校園網(wǎng)的網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各職業(yè)院校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題?；诋?dāng)前職業(yè)院校網(wǎng)絡(luò)安全的現(xiàn)狀及特點分析，提出對應(yīng)的控制策略和措施。

中職；校園網(wǎng)；安全問題；防范策略

校園網(wǎng)作為重要的基礎(chǔ)設(shè)施，承擔(dān)著職業(yè)院校教學(xué)、科研、管理和對外交流等諸多功能，在學(xué)校數(shù)字信息化建設(shè)中起著決定性的地位。隨著近幾年職業(yè)教育的高速發(fā)展，職業(yè)院校內(nèi)的校園網(wǎng)也隨之蓬勃發(fā)展，但校園網(wǎng)安全問題也越來越嚴重。如何確保校園網(wǎng)絡(luò)正常安全地運行是職業(yè)院校所面臨的主要問題。

一、中職校園網(wǎng)的安全問題

影響校園網(wǎng)安全運行的因素很多，既有來自校園網(wǎng)內(nèi)部，也有來自其他網(wǎng)站或外部環(huán)境的影響。校園網(wǎng)安全問題主要表現(xiàn)在以下幾個方面。

（一）用戶規(guī)模大而活躍

由于中職校的特殊性，校園網(wǎng)用戶群體一般量比較大，人員結(jié)構(gòu)復(fù)雜，居住密集。隨著各種論壇、在線影視以及P2P的廣泛應(yīng)用，校園網(wǎng)帶寬被嚴重消耗，網(wǎng)路擁擠，從而使正常業(yè)務(wù)得不到保障。一旦感柒和傳播蠕蟲病毒或受到ARP攻擊，必將造成大面積的用戶癱瘓。[1]此外，個別學(xué)生追求刺激，喜歡在網(wǎng)絡(luò)中嘗試冒險，對黑客技術(shù)充滿了好奇，常有意無意地竊取、修改或者刪除數(shù)據(jù)庫中的重要內(nèi)容，給整個網(wǎng)絡(luò)造成嚴重的危害。

（二）系統(tǒng)管理復(fù)雜

校園網(wǎng)用戶是全校師生，整個網(wǎng)絡(luò)中計算機系統(tǒng)的購置和管理情況非常復(fù)雜。學(xué)生和教師的電腦一般都是自己購買、維護，種類繁雜，各種盜版系統(tǒng)、盜版軟件橫行，所有的端系統(tǒng)缺乏統(tǒng)一的安全策略（安裝防病毒軟件、設(shè)置可靠的口令等）。這就造成了校園網(wǎng)安全防御困難，易受攻擊，隨時可能出現(xiàn)病毒泛濫、數(shù)據(jù)損壞、信息丟失、系統(tǒng)癱瘓等嚴重后果。

（三）各類攻擊不斷

網(wǎng)絡(luò)安全的主要威脅可以分為外部入侵和內(nèi)部攻擊兩種形式，校園網(wǎng)大多數(shù)的攻擊來自局域網(wǎng)的內(nèi)部，而防火墻系統(tǒng)主要防范外部攻擊，對此幾乎無能為力。

某些惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺陷，對郵件服務(wù)器進行攻擊。通過大量發(fā)送垃圾郵件，造成郵件服務(wù)器阻塞，增大校園網(wǎng)流量，甚至導(dǎo)致系統(tǒng)崩潰。還有用戶對校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進行掃描和攻擊，造成網(wǎng)絡(luò)負載過重，致使服務(wù)器拒絕提供服務(wù)。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器和Web應(yīng)用服務(wù)器，目前針對DNS服務(wù)器的攻擊主要有兩類：一類是緩存區(qū)中毒，另一類是域劫持。Web應(yīng)用服務(wù)器比較脆弱，很多Web應(yīng)用程序具有嚴重的安全漏洞，因此，極易受到惡意用戶的攻擊。

（四）硬件管理困難

校園網(wǎng)的網(wǎng)絡(luò)交換設(shè)備一般都安裝在校園建筑內(nèi)，散布于整個學(xué)校，很難進行全天候監(jiān)護，由此帶來的設(shè)備故障、自然損壞或人為破壞等因素，導(dǎo)致校園網(wǎng)硬件設(shè)備的管理比較困難。

二、中職校園網(wǎng)的防范策略

（一）采用安全認證

針對目前動態(tài)分配IP地址帶給校園網(wǎng)的不安全性，采用對校園內(nèi)所有用戶進行身份認證，不僅對內(nèi)部師生綁定IP與用戶身份，而且對外來用戶采用申請臨時賬號，防止其它非法接入。目前主流的網(wǎng)絡(luò)接入認證方式有很多，如PPP0E認證、MAC認證、WEB認證、802.1x等。其中802.1X認證方式作為新推出的國際標準的安全認證協(xié)議，正越來越引起廠商和運營商的重視，隨著更多的接入設(shè)備對該標準的支持，該認證方式也會得到越來越多的應(yīng)用。[2]

（二）采用入侵防御系統(tǒng)

網(wǎng)絡(luò)安全防范中，傳統(tǒng)的方法是利用入侵檢測系統(tǒng)（IDS,IntrusionDetectionSystem）對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，發(fā)現(xiàn)可疑傳輸后發(fā)出警報或者采取主動反應(yīng)措施，從而達到限制這些活動，以保護系統(tǒng)的安全。這種方法雖然可以部分地解決系統(tǒng)的安全問題，但其較為被動，難以從根本上避免黑客的攻擊。于是，入侵防御系統(tǒng)（IPS,Intrusion PreventionSystem）應(yīng)運而生。IPS則是一種主動的、積極的入侵防范、阻止系統(tǒng)，它串聯(lián)在網(wǎng)絡(luò)上（類似于通常所說的網(wǎng)橋式防火墻），對防火墻所不能過濾的攻擊進行過濾。當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。這樣一種過濾模式，就可以更大限度地保證系統(tǒng)的安全。

（三）采用防火墻技術(shù)

防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制，從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。防火墻保護校園網(wǎng)內(nèi)網(wǎng)不被非授權(quán)用戶訪問，控制互聯(lián)網(wǎng)用戶對網(wǎng)站系統(tǒng)的訪問。目前技術(shù)最為復(fù)雜且安全級別最高的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。

同時，管理人員要根據(jù)實際情況對防火墻安全策略進行不斷更新和完善，如定期進行端口掃描，及時發(fā)現(xiàn)非法的服務(wù)或系統(tǒng)響應(yīng)；對與防火墻相連的所有網(wǎng)段的每個主機(包括防火墻)進行掃描，并且把發(fā)現(xiàn)結(jié)果同基于策略的預(yù)期結(jié)果進行對照。還要求維護人員根據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設(shè)置正確的安全過濾規(guī)則，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問,以保證防火墻的有效性,從而達到網(wǎng)絡(luò)的長期安全。[3]

（四）運用Vlan技術(shù)

采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)，可以運用Vlan技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。Vlan技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)或不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，并對相互間的訪問加以控制，從而達到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，各網(wǎng)段相互之間無法直接通信。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進行分段。例如，對于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。在實際應(yīng)用過程中，通常采取物理分段與邏輯分段相結(jié)合的方法。

（五）對重要數(shù)據(jù)及時進行備份，做好應(yīng)急預(yù)案

校園網(wǎng)內(nèi)部存在著非常重要的信息，必須及時對這些信息進行完整的備份與及時的更新，以便在出現(xiàn)問題的情況下迅速恢復(fù)。備份既包括對校園網(wǎng)重要數(shù)據(jù)的備份，也包括對核心設(shè)備和線路的備份。對于校園網(wǎng)內(nèi)部的核心線路，應(yīng)該保持完備和做出適當(dāng)?shù)膫浞?，進而在一些線路出現(xiàn)問題的情況下，可以及時采用備份線路來維持整個校園網(wǎng)的正常工作。[4]另外，做好應(yīng)急預(yù)案也是保障校園網(wǎng)安全的重要一步，一旦校園網(wǎng)出現(xiàn)故障，就應(yīng)立即啟動相應(yīng)的應(yīng)急預(yù)案，進而將校園網(wǎng)的破壞減少到最小。

（六）網(wǎng)絡(luò)殺毒軟件的安裝

為防止使用盜版軟件帶來的各種安全隱患，校園網(wǎng)內(nèi)計算機必須統(tǒng)一安裝正版網(wǎng)絡(luò)殺毒軟件，設(shè)置自動更新機制，及時的更新病毒庫，防止最新型的病毒攻擊。

（七）加強設(shè)備的管理

加強對散布于校園各處的網(wǎng)絡(luò)設(shè)備的監(jiān)護，防止設(shè)備的自然損毀或人為破壞，其中最基本的就是為機房、網(wǎng)絡(luò)布線、供電等環(huán)節(jié)提供嚴格的安全保障。建立起一整套嚴格的校園網(wǎng)安全管理制度和一支具有安全管理技術(shù)和意識的網(wǎng)絡(luò)隊伍，還必須利用一切機會如新生入學(xué)教育和新員工上崗培訓(xùn)，開展校園網(wǎng)安全意識和基本技能的培訓(xùn)。

隨著校園網(wǎng)的普及，校園網(wǎng)會發(fā)揮出越來越重要的作用，同時，各種新的校園網(wǎng)安全問題也會不斷產(chǎn)生。由于系統(tǒng)和軟件本身的局限性和計算機網(wǎng)絡(luò)的開放性，不論怎么防范都不可能徹底消除所有網(wǎng)絡(luò)系統(tǒng)的安全隱患，只有加強自身的安全意識，切實多措并舉保證校園網(wǎng)安全，避免非法用戶的訪問以及黑客的惡意攻擊等，才能保證校園網(wǎng)獲得健康、高速的發(fā)展。

[1]陳開張.淺談解決校園網(wǎng)安全問題的幾種方法[J].信息與電腦，2012（2）：24.

[2]謝家立.劉瑾.校園網(wǎng)安全規(guī)劃與管理[J].信息安全與技術(shù),2012（3）：31-33.

[3]任利峰.校園網(wǎng)絡(luò)安全問題分析與對策[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報,2009（2）：68-69.

[4]陳梁.關(guān)于高校校園網(wǎng)安全管理和維護的研究[J].中國建設(shè)教育,2011（1）：67-69.

[責(zé)任編輯 秦濤]

王慧琳，女，山西陽泉交通職業(yè)中專學(xué)校講師，主要研究方向為計算機與信息技術(shù)。

G710

A

1674-7747（2012）20-0040-02