華興橋

隨著我國信息化進程的不斷加快，數(shù)字化校園作為網(wǎng)絡(luò)時代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。但在學(xué)校網(wǎng)絡(luò)建設(shè)中，由于專業(yè)技術(shù)人員的缺乏，用戶安全意識的不足，網(wǎng)絡(luò)安全問題日益突出。幾乎每所學(xué)校都不同程度地經(jīng)受了黑客攻擊、網(wǎng)絡(luò)病毒等干擾，給正常的教育教學(xué)帶來了一定影響。如何保證校園網(wǎng)絡(luò)正常運行，不受各種網(wǎng)絡(luò)病毒的侵害，已成為每所學(xué)校不可回避的緊迫問題。

一、校園網(wǎng)絡(luò)的安全隱患

1.專業(yè)人員缺乏，安全意識淡薄

現(xiàn)在的校園網(wǎng)絡(luò)建設(shè)主要投在網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)的投入比較少，尤其在專業(yè)技術(shù)人員的針對性培養(yǎng)和教師的信息技術(shù)培訓(xùn)方面，投入更少。校園網(wǎng)還基本處在一個開放的狀態(tài)，沒有更多的有效硬件的安全預(yù)警和防范措施，急需信息化教師這一軟件建設(shè)?，F(xiàn)在網(wǎng)絡(luò)技術(shù)高速發(fā)展，網(wǎng)絡(luò)應(yīng)用模式逐漸增多，而我們的教師和學(xué)生安全意識淡薄，導(dǎo)致了校園網(wǎng)絡(luò)多種安全問題的發(fā)生。

2.網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)性能下降

網(wǎng)絡(luò)在給大家提供方便的同時，也產(chǎn)生了多種病毒傳播途徑。尤其教育網(wǎng)，是一個大局域網(wǎng)，在給各校交流、學(xué)習(xí)提供方便的同時，也給病毒傳播提供了很好的通道。局域網(wǎng)病毒的泛濫，極大地消耗了網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)性能急劇下降，嚴重的會使教師隱私和重要數(shù)據(jù)外泄、大量數(shù)據(jù)丟失。數(shù)字化校園網(wǎng)絡(luò)安全防范不能只靠原來單機的方式，急需一個集中管理、監(jiān)控的安全體系。

3.管理機制不全，監(jiān)控存在疏漏

許多學(xué)校的數(shù)字化校園建設(shè)沒有特定的網(wǎng)絡(luò)管理部門，更沒有完善的網(wǎng)絡(luò)安全管理制度，在實施操作上難管理、難監(jiān)控。有很多學(xué)校的網(wǎng)絡(luò)管理員是普通教師，他們在完成日常教學(xué)任務(wù)的同時，兼帶維護、管理學(xué)校網(wǎng)絡(luò)的安全，在時間上、技術(shù)上都有壓力，這也是網(wǎng)絡(luò)監(jiān)控存在疏漏的一個重要原因。

綜上所述，數(shù)字化校園網(wǎng)絡(luò)安全形勢非常嚴峻。筆者根據(jù)這幾年的經(jīng)驗積累，對于構(gòu)建數(shù)字化校園網(wǎng)絡(luò)安全管理的方法與策略，提出一些構(gòu)架設(shè)想，希望對數(shù)字化校園網(wǎng)絡(luò)的安全建設(shè)有所幫助和借鑒。

二、校園網(wǎng)絡(luò)的安全構(gòu)架

1.添置防火墻，架設(shè)保護傘

學(xué)校要高瞻遠矚，建設(shè)網(wǎng)絡(luò)時必須購置硬件防火墻，為以后建設(shè)大規(guī)模校園網(wǎng)絡(luò)架設(shè)一把無形的保護傘，防御一些網(wǎng)絡(luò)盛行的病毒。

(1)適當(dāng)屏蔽，鋪設(shè)凈土

在信息時代，網(wǎng)絡(luò)成了我們生活和工作中不可缺少的一部分。但是在網(wǎng)絡(luò)帶來知識、帶來方便的同時，也夾雜著一些不健康的垃圾信息。學(xué)校是教育場所，絕對不可成為不良信息傳播的地方，更不允許成為游戲機房。針對小學(xué)生模仿性強、抵制力差等特點，我校果斷利用防火墻(如圖1所示)，通過屏蔽域名地址等手段，將4399網(wǎng)站、7K7K網(wǎng)站等游戲網(wǎng)站列入黑名單，使學(xué)生在校園內(nèi)不能正常瀏覽，從而遏制了學(xué)生課堂上玩游戲的不良習(xí)慣。同時，也阻止了網(wǎng)上蠕蟲病毒、木馬等通過Flash小游戲捆綁傳播。

圖1

(2)合理布局，免受打擾

網(wǎng)絡(luò)資源的共享、公開，使得微軟系統(tǒng)的漏洞在瞬間成為網(wǎng)上“灰客”的“甜餅”。(灰客：指某些對計算機和網(wǎng)絡(luò)安全感興趣，初步了解網(wǎng)絡(luò)安全知識，能夠利用黑客軟件或初級手法從事一些黑客行為的人。他們由于受技術(shù)限制，既不夠“黑”，但也不“白”，故稱“灰客”。)為此，可以在防火墻上添加服務(wù)規(guī)則，使得對外對內(nèi)訪問有所限制，讓在校園網(wǎng)內(nèi)部能正常訪問外部網(wǎng)絡(luò)，而外網(wǎng)用戶不能PING內(nèi)網(wǎng)，更不能訪問內(nèi)網(wǎng)資源，從技術(shù)上隔絕了外部的攻擊，使得校園網(wǎng)成為教師網(wǎng)上辦公、學(xué)習(xí)、交流的好地方，免受各種打擾。

硬件防火墻在校園網(wǎng)絡(luò)安全中起著不可估量的作用，更多參數(shù)、端口、規(guī)則的綜合設(shè)置能使整個網(wǎng)絡(luò)受到保護。

2.設(shè)置內(nèi)部網(wǎng)，構(gòu)筑護城河

加強內(nèi)部網(wǎng)絡(luò)設(shè)置，可以使得校園網(wǎng)絡(luò)免受一般侵害，亦可方便管理。根據(jù)學(xué)校的實際情況，將局域網(wǎng)接入Internet后，直接先過防火墻，通過防火墻代理再進入學(xué)校內(nèi)部網(wǎng)絡(luò)。通過這樣的設(shè)置，使得校園內(nèi)部不在沿用上一級分配的網(wǎng)關(guān)IP段，與同在教育網(wǎng)的其他學(xué)校劃清界限，組成屬于自己的一個局域網(wǎng)。

(1)分清類別—設(shè)置不同IP、工作組

在推崇辦公無紙化、普及多媒體教學(xué)的時候，考慮到學(xué)校信息化建設(shè)的重要性，2005年我校為每間教室都配備了多媒體設(shè)備，2009年達到教師人手一機，開始了信息化教育教學(xué)。在這種情況下，為了網(wǎng)絡(luò)的安全和管理的方便，在裝機時我們將工作電腦按使用類別分成若干組，并設(shè)立了不同的IP段：

①服務(wù)器組：192.168.0.2～192.168.0.254，分至WXEDU組；

②教師機組：192.168.1.1～192.168.1.254，分至WXTEC組；

③多媒體組：192.168.2.1～192.168.2.254，分至WXDMT組；

④學(xué)生機組：192.168.3.1～192.168.3.254，分至WXST組；

⑤綜合專項組：192.168.4.1～192.168.4.100，分至WXZX組。

這樣根據(jù)不同使用組構(gòu)建網(wǎng)絡(luò)，使組與組之間盡量減少關(guān)聯(lián)。

(2)分清類別—開設(shè)不同訪問權(quán)限

多媒體教室的建立，使得信息技術(shù)與其他學(xué)科很好地整合起來。生動活潑的多媒體教學(xué)方式深受學(xué)生的喜歡，其在給教學(xué)帶來生機的同時，也迫使學(xué)校對服務(wù)器資源進行規(guī)劃建設(shè)。為了使用的安全和資源的不丟失，可以考慮建立一臺域服務(wù)器，下邊的客戶機通過域服務(wù)器與其他服務(wù)器建立聯(lián)系，獲取一定的訪問權(quán)限。

①教師機組：建立資源庫讀取權(quán)，建立VOD點播權(quán)，建立文件服務(wù)器讀寫權(quán)；

②多媒體組：建立資源庫讀取權(quán)，建立VOD點播權(quán)；

③綜合專項組：建立資源庫讀取權(quán)，建立VOD點播權(quán)；

④學(xué)生機組：與服務(wù)器不建立主動聯(lián)系。

通過設(shè)置，有效促進教學(xué)資源的共享，學(xué)校的音像教材資料及優(yōu)秀視頻課、優(yōu)秀課件等得以推廣使用，同時也可避免同一教材的重復(fù)征訂。

3.設(shè)置終端機，建設(shè)護城堤

對終端機的設(shè)置尤為重要，校園網(wǎng)的安全問題往往都是從某一臺電腦出問題而引起的?？紤]到整個網(wǎng)絡(luò)的安全，對每個工作組設(shè)立不同訪問權(quán)限的同時，對每臺電腦設(shè)置不同限制，加強防范，提高整個網(wǎng)絡(luò)的安全。

(1)還原保護—還我一個干凈的系統(tǒng)

客戶端還原保護系統(tǒng)在校園網(wǎng)絡(luò)安全中起著不可忽視的作用，很多病毒、木馬在發(fā)生并未發(fā)作的時候就已經(jīng)被扼殺了。重啟電腦后系統(tǒng)還原成初裝的狀態(tài)，加載在系統(tǒng)進程和服務(wù)項中的多項命令因還原被清除，也能使很多小毛病因重啟而化解。像有些教師因不小心對系統(tǒng)誤設(shè)置導(dǎo)致聲音出不來、視頻不能正常播放，或者誤刪系統(tǒng)的某一個應(yīng)用程序等。同時，還原保護還能使學(xué)校工作電腦界面統(tǒng)一化，軟件一致化。

(2)受限用戶—讓你有想法沒行動

在還原系統(tǒng)及保護卡的環(huán)境下，已經(jīng)使得學(xué)校網(wǎng)絡(luò)有了一定的安全性。但是對于學(xué)生來說，有了這些還不夠。學(xué)生往往會輸錯網(wǎng)址、下載小程序等，將網(wǎng)上的小病毒、小木馬帶進校園網(wǎng)。雖然這些在下次重新啟動的時候能清除，但是這一段時間網(wǎng)絡(luò)訪問肯定受影響。因此在安裝學(xué)生機、專項教室電腦的時候，要給這些機器設(shè)置通過受限用戶登錄，并給不同的賬號使用本地磁盤時設(shè)置權(quán)限，以限制空間等形式防止學(xué)生偷偷上網(wǎng)下載游戲、進行QQ聊天等，在不經(jīng)意間保障網(wǎng)絡(luò)的安全。

4.運用網(wǎng)管軟件，打造神兵器

校園網(wǎng)絡(luò)在平時管理上并不輕松，信息技術(shù)教師技術(shù)有限、時間有限，在保證教學(xué)的同時再來維護網(wǎng)絡(luò)和電腦會感到很累。擁有合適的網(wǎng)管軟件，可以使工作變得方便化、統(tǒng)一化，工作效率也會提高。

(1)不求殺毒，但求管理

以我校為例，教育局統(tǒng)一招配的網(wǎng)絡(luò)殺毒軟件—江民網(wǎng)絡(luò)版，其殺毒能力比起卡巴、諾盾、麥咖啡、金山、瑞星等可能并不占優(yōu)，但是江民網(wǎng)絡(luò)版的后臺管理，筆者使用起來感覺還行。它的病毒管理、統(tǒng)計、下放補丁修復(fù)、遠程重啟、遠程關(guān)機、信息通知等功能，能及時反映下面客戶機的情況，同時在統(tǒng)一升級的時候也方便打補丁。

(2)看好我的網(wǎng)絡(luò)數(shù)據(jù)流

在監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流時，可以使用NAI公司出品sniffer pro協(xié)議分析軟件，它支持各種平臺，性能優(yōu)越。在以前ARP病毒頻頻光顧校園網(wǎng)的時候，令很多信息技術(shù)學(xué)科的教師頭痛不已，當(dāng)然我校也發(fā)生過這類攻擊，sniffer pro可以對局域網(wǎng)中電腦的連接、數(shù)據(jù)的交流進行很好的檢測，在網(wǎng)絡(luò)出現(xiàn)問題時做出及時準(zhǔn)確的操作。