文/牛曉望

在各類高新技術(shù)飛速發(fā)展的信息時(shí)代，互聯(lián)網(wǎng)已成為各個領(lǐng)域、各種群體廣泛應(yīng)用、交流的信息平臺，在人們的日常生活中發(fā)揮著不可替代的作用。隨著網(wǎng)絡(luò)信息教育影響的不斷發(fā)展擴(kuò)大，網(wǎng)絡(luò)作為新興媒體，已成為高校學(xué)生獲取知識和各種信息的主要途徑。在這種新形勢下，建設(shè)先進(jìn)、實(shí)用、開放、安全可靠的高校校園網(wǎng)對一個學(xué)校的生存發(fā)展顯得尤為重要。隨著高校信息化進(jìn)程的不斷推進(jìn)，高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐雜，用戶群密集且越來越活躍，其安全風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜。網(wǎng)絡(luò)時(shí)刻受病毒、黑客的威脅，不但會影響校園網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，還可能造成整個教務(wù)、管理系統(tǒng)中重要數(shù)據(jù)的丟失、損壞和泄露，給學(xué)校帶來不可估量的損失。因此，高校校園網(wǎng)安全問題不容忽視。

一、高校校園網(wǎng)中普遍存在的威脅

（一）計(jì)算機(jī)系統(tǒng)漏洞。高校校園網(wǎng)絡(luò)中，計(jì)算機(jī)軟件、硬件的不足或協(xié)議的缺陷，都屬于計(jì)算機(jī)系統(tǒng)的漏洞，它們對信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行會構(gòu)成不同程度的威脅。這些漏洞一旦被發(fā)現(xiàn)，攻擊者就可以在未授權(quán)的情況下訪問或破壞系統(tǒng)，從而危害整個校園網(wǎng)絡(luò)系統(tǒng)的安全。

（二）針對防火墻的攻擊。雖然防火墻對網(wǎng)絡(luò)邊界安全起了相當(dāng)大的保護(hù)作用，但我們都清楚，沒有哪一種防火墻是萬能的。防火墻不能完全防范黑客的刻意攻擊，也不能有效防范內(nèi)部用戶的攻擊，它時(shí)常存在著被侵?jǐn)_的可能性和受攻擊的威脅。而校園網(wǎng)的主要用戶——學(xué)生恰恰缺乏足夠的網(wǎng)絡(luò)常識和計(jì)算機(jī)病毒防范意識，他們會經(jīng)常有意或無意地對校園網(wǎng)進(jìn)行各種各樣的攻擊，以致嚴(yán)重影響了校園網(wǎng)的正常工作。

（三）外來的系統(tǒng)入侵、攻擊等惡意破壞行為。由于外來的系統(tǒng)入侵、攻擊等惡意破壞行為的發(fā)生，有些計(jì)算機(jī)很輕易地被攻破，其使用者往往不能在第一時(shí)間發(fā)現(xiàn)異常，個人信息一旦泄露，損失不可估量。這些被攻破的計(jì)算機(jī)又會成為黑客利用的工具和攻擊的對象，利用這些計(jì)算機(jī)再去攻擊其他系統(tǒng)，短時(shí)間內(nèi)整個系統(tǒng)就會面臨癱瘓的可能和更嚴(yán)重的后果。

（四）網(wǎng)絡(luò)病毒。隨著因特網(wǎng)的流行，計(jì)算機(jī)病毒借助網(wǎng)絡(luò)爆發(fā)流行，通過網(wǎng)絡(luò)傳播的病毒在傳播速度、破壞性、傳播范圍等方面都比單機(jī)病毒的危害性大，給使用者帶來了極大的損失。這些病毒一旦發(fā)作，會在最短的時(shí)間內(nèi)傳播影響到整個網(wǎng)絡(luò)系統(tǒng)，給用戶造成巨大的損失。

（五）IP地址及用戶賬號的盜用或多人使用同一賬號。由于互聯(lián)網(wǎng)中用戶數(shù)量眾多，難免出現(xiàn)盜用他人IP地址和用戶賬號的行為，這就大大增加了校園網(wǎng)系統(tǒng)管理的難度，IP地址沖突不斷、用戶無法正常上網(wǎng)；同時(shí)，由于某些軟件的功能相對簡單，存在明顯的漏洞——沒有對同一賬號同時(shí)登錄次數(shù)進(jìn)行限制，也使得多個用戶可以使用一個賬號同時(shí)上網(wǎng)，勢必會造成學(xué)校資源的流失以及教學(xué)秩序的混亂。

（六）垃圾郵件、不良信息的傳播。高校校園網(wǎng)的主要功能是為教學(xué)和科研服務(wù)的，因此，網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的，管理也是較為寬松的。作為該網(wǎng)絡(luò)中最活躍的用戶——學(xué)生，他們對網(wǎng)絡(luò)充滿了好奇，樂于探索各種信息，嘗試多樣操作方式，以獲取更寬泛、更豐富的網(wǎng)絡(luò)資源。如果沒有良好的網(wǎng)絡(luò)素質(zhì)，有些學(xué)生會嘗試使用網(wǎng)上學(xué)到的甚至自己研究的各種攻擊技術(shù)，傳播各種有害信息和垃圾郵件，給校園網(wǎng)造成不良影響。

二、網(wǎng)絡(luò)安全維護(hù)的幾種方案

校園網(wǎng)上大量存在的計(jì)算機(jī)病毒、黑客行為、木馬等安全威脅，無時(shí)無刻不在影響著校園網(wǎng)絡(luò)的健康有序發(fā)展。利用何種技術(shù)、方法及有效措施來保障高校校園網(wǎng)絡(luò)的安全，使其正常運(yùn)行、健康發(fā)展，已成為目前許多高校管理部門亟待解決的問題。

（一）加強(qiáng)校園網(wǎng)安全管理政策建設(shè)。制度建設(shè)是校園管理的基礎(chǔ)，對校園網(wǎng)的管理，更需要健全、有效的安全管理措施，告訴用戶哪些行為是允許的、哪些行為是不允許的，尤其對計(jì)算機(jī)使用權(quán)限的規(guī)定要全面、客觀、嚴(yán)謹(jǐn)，既要層次分明、嚴(yán)格把關(guān)，又要高效實(shí)用、有利于工作。諸如對學(xué)生用戶，要尤其重視健康上網(wǎng)的思想教育，正確引導(dǎo)學(xué)生合理使用網(wǎng)絡(luò)，指導(dǎo)與規(guī)范并行、提高與發(fā)展并重，使學(xué)生馳騁于網(wǎng)絡(luò)空間，去播種更多的綠色種子，去獲取更有價(jià)值的精神給養(yǎng)。

（二）建立安全的Web發(fā)布系統(tǒng)。高校校園網(wǎng)系統(tǒng)應(yīng)當(dāng)進(jìn)行綜合安全配置，建立安全的發(fā)布系統(tǒng)，防止黑客對Web頁面的非法篡改。同時(shí)，根據(jù)高校網(wǎng)絡(luò)用戶大多思想活躍、敏銳，善于思考、樂于活動的特點(diǎn)，應(yīng)不斷地調(diào)整、設(shè)置安全防御措施，使該系統(tǒng)較完整地具備實(shí)時(shí)監(jiān)控、實(shí)時(shí)阻斷、實(shí)時(shí)備份、實(shí)時(shí)恢復(fù)的基本能力。

（三）運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù)。高校校園網(wǎng)的規(guī)模通常都很大，網(wǎng)上的廣播信息會很多，特別是學(xué)生之間的網(wǎng)絡(luò)交流非常頻繁，大量的信息很容易形成廣播風(fēng)暴，引起網(wǎng)絡(luò)堵塞?？梢酝ㄟ^劃分很多虛擬局域網(wǎng)來減少整個網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，把廣播限制在各個虛擬網(wǎng)的范圍內(nèi)，從而提高網(wǎng)絡(luò)的傳輸效率。另外，VLAN根據(jù)不同的應(yīng)用業(yè)務(wù)及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，這樣可以限制用戶的非法訪問，將損失降到最低點(diǎn)。

（四）客戶賬號與IP地址、端口進(jìn)行綁定?，F(xiàn)在很多高校學(xué)生宿舍都設(shè)置了上網(wǎng)功能，學(xué)生使用校園網(wǎng)的頻率越發(fā)頻繁，同一宿舍的端口被學(xué)生分線為多個端口，當(dāng)一臺機(jī)器發(fā)生問題，其他同端口的機(jī)器也有影響，不利于網(wǎng)絡(luò)管理，因此，應(yīng)當(dāng)將客戶賬號與IP地址、端口進(jìn)行綁定。這可以極大地提高客戶行為的唯一性，有效防止IP地址和客戶賬號盜用現(xiàn)象的發(fā)生。對賬號登錄次數(shù)進(jìn)行限定，避免多人次使用同一賬號上網(wǎng)的現(xiàn)象。系統(tǒng)提供內(nèi)、外網(wǎng)NAT（地址轉(zhuǎn)換）功能，避免內(nèi)網(wǎng)IP地址的暴露，可以降低遭受網(wǎng)絡(luò)攻擊的可能性。

（五）運(yùn)用過濾平臺和防火墻技術(shù)。大學(xué)生思想活躍，能夠敏銳地捕捉各類信息，但也缺乏屏蔽不良信息的能力。作為校園網(wǎng)管理者，應(yīng)當(dāng)引進(jìn)過濾技術(shù)，幫助學(xué)生屏蔽不良網(wǎng)站的干擾，對網(wǎng)上色情、暴力和其他不健康的內(nèi)容進(jìn)行過濾、堵截。如，設(shè)置電子公告服務(wù)內(nèi)容的過濾系統(tǒng)和郵件過濾系統(tǒng)。防火墻技術(shù)包含動態(tài)的過濾包、應(yīng)用代理服務(wù)器、用戶認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換、預(yù)警模塊、日志及計(jì)費(fèi)分析等功能,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開，保護(hù)校園網(wǎng)絡(luò)不被未授權(quán)的第三方入侵。

三、其他安全配套機(jī)制

要建立一個真正安全的網(wǎng)絡(luò)環(huán)境，還要加強(qiáng)以下幾方面的工作，以便多層次地保障系統(tǒng)的安全性能。

（一）設(shè)置病毒防治系統(tǒng)。服務(wù)器應(yīng)當(dāng)安裝計(jì)算機(jī)病毒防治系統(tǒng)，以防止病毒入侵并對已經(jīng)入侵的病毒及時(shí)進(jìn)行檢測和清除。該病毒防治系統(tǒng)，還應(yīng)該具備實(shí)時(shí)更新功能，將抵御病毒侵入的正能量提到最高值，以應(yīng)對突發(fā)的、更加趨于復(fù)雜的、隱蔽的病毒攻擊。

（二）郵件過濾系統(tǒng)。自身具備郵件系統(tǒng)的網(wǎng)站必須建立郵件過濾系統(tǒng)，它具備反惡意攻擊、反垃圾郵件、郵件病毒過濾、郵件內(nèi)容過濾四項(xiàng)基本功能，以對不同性質(zhì)的非法郵件和可疑郵件作分別處理，防止惡意使用者利用服務(wù)器大量轉(zhuǎn)發(fā)不良郵件。這些功能可以為學(xué)生營造健康有序的網(wǎng)絡(luò)空間和環(huán)境。

（三）網(wǎng)絡(luò)入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中，利用審計(jì)記錄、入侵檢測系統(tǒng)能夠識別出任何不希望發(fā)生的活動，從而達(dá)到保護(hù)系統(tǒng)安全的目的。網(wǎng)絡(luò)入侵檢測系統(tǒng)能對網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為做出策略反應(yīng)，及時(shí)切斷資料入侵源，并通過各種途徑通知網(wǎng)絡(luò)管理員，最大限度地保障系統(tǒng)安全。同時(shí)，要求網(wǎng)絡(luò)入侵檢測系統(tǒng)本身應(yīng)當(dāng)具有一定的抗攻擊能力。

（四）漏洞掃描系統(tǒng)的設(shè)計(jì)。解決網(wǎng)絡(luò)安全問題，首先要弄清網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。漏洞掃描系統(tǒng)根據(jù)大型網(wǎng)絡(luò)的復(fù)雜性及其變化規(guī)律，查找網(wǎng)絡(luò)安全漏洞，評估并提出修改建議，利用優(yōu)化系統(tǒng)配置和補(bǔ)丁等方式彌補(bǔ)最新的安全漏洞，消除安全隱患。

此外，還需對服務(wù)器系統(tǒng)做到有限授權(quán)、預(yù)防攻擊、主機(jī)恢復(fù)、審計(jì)跟蹤等安全措施。如采用服務(wù)器備份機(jī)制，采用災(zāi)難恢復(fù)機(jī)制來確保系統(tǒng)被破壞后能及時(shí)地進(jìn)行恢復(fù)，保證不影響正常的教學(xué)秩序。災(zāi)難恢復(fù)機(jī)制中最為重要的當(dāng)屬備份機(jī)制。

網(wǎng)絡(luò)安全防范技術(shù)不斷進(jìn)步的同時(shí)，威脅網(wǎng)絡(luò)安全的計(jì)算機(jī)病毒技術(shù)、黑客技術(shù)、木馬技術(shù)等也在不斷地發(fā)展變化。因此，應(yīng)該意識到在校園網(wǎng)絡(luò)的建設(shè)實(shí)踐中，追求百分之百的網(wǎng)絡(luò)安全是不可能的，綜合運(yùn)用多種網(wǎng)絡(luò)安全技術(shù)構(gòu)建一個相對安全可靠、先進(jìn)實(shí)用的校園網(wǎng)才是明智之舉。