孫春艷

(湖北省恩施州衛(wèi)生學(xué)校,湖北恩施 445000)

學(xué)校網(wǎng)絡(luò)安全探討

孫春艷

(湖北省恩施州衛(wèi)生學(xué)校,湖北恩施 445000)

在信息化時代,學(xué)校網(wǎng)絡(luò)即校園網(wǎng)在各級各類學(xué)校中的作用和地位愈來愈大,在很大程度上反映了一個學(xué)校的硬件建設(shè)情況。因此,為使學(xué)校網(wǎng)絡(luò)正常運轉(zhuǎn),各學(xué)校除了資金投入外,更要有專業(yè)的網(wǎng)絡(luò)管理人員,以保證網(wǎng)絡(luò)的合理安全利用。

學(xué)校網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 解決方案

學(xué)校網(wǎng)絡(luò)即校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡(luò)。它是一個具有交互功能和專業(yè)性很強的局域網(wǎng)絡(luò)。近年來各級各類學(xué)校大力實施現(xiàn)代化教育技術(shù)工程：以電腦網(wǎng)絡(luò)為基礎(chǔ)，以圖書館、電教中心為信息源，以數(shù)字化為模式，提高學(xué)校教育教學(xué)的檔次和質(zhì)量。現(xiàn)對學(xué)校網(wǎng)絡(luò)安全作簡要分析并提出解決方案。

1 學(xué)校網(wǎng)絡(luò)安全存在的問題

第一，不良信息的傳播?；ヂ?lián)網(wǎng)直接連接到每個學(xué)生宿舍和教工宿舍，網(wǎng)上的各種信息如關(guān)于色情、暴力等內(nèi)容的網(wǎng)站泛濫。

第二，計算機病毒的肆虐。由于計算機病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發(fā)現(xiàn)，并且一旦某臺機器感染病毒將迅速蔓延整個網(wǎng)絡(luò)，對校園網(wǎng)絡(luò)安全有著巨大的破壞性；同是計算機病毒的傳播方式也發(fā)生了根本性改變，它給網(wǎng)絡(luò)的安全管理帶來了很多麻煩。

第三，人為的惡意攻擊。校園網(wǎng)的開放性及技術(shù)的公開性，一些人為了使自己獲得某種非法利益，利用網(wǎng)絡(luò)協(xié)議，服務(wù)器和操作系統(tǒng)的安全漏洞以及管理上的疏忽非法訪問資源、刪改數(shù)據(jù)、破壞系統(tǒng)。

第四，操作系統(tǒng)存在安全漏洞。目前使用的操作系統(tǒng)存在很多安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。許多校園網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)的安全風(fēng)險級別不同加上系統(tǒng)管理員或使用人對該系統(tǒng)了解不夠和安全設(shè)置不當，這些都將對校園網(wǎng)絡(luò)構(gòu)成威脅。

第五，網(wǎng)絡(luò)安全意識淡薄和管理制度的不完善。校園網(wǎng)上的安全威脅也來自管理意識的欠缺，管理機構(gòu)的不健全，管理制度的不完善和管理技術(shù)的不先進等因素。由于學(xué)校的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束學(xué)生、教工的上網(wǎng)行為。

第六，電子郵件系統(tǒng)不夠完善。電子郵件是接入因特網(wǎng)的一個不可缺少的應(yīng)用之一，同時也是病毒和垃圾的重要傳播途徑。目前，校園網(wǎng)郵件系統(tǒng)很多還是因特網(wǎng)上免費版本的郵件系統(tǒng)，它沒有提供完善的安全保護措施，更沒有提供對用戶的來往信件進行過濾、監(jiān)控和管理的手段。

第七，間諜軟件。間諜軟件惡意病毒代碼有進出現(xiàn)在各種免費軟件或共享軟件中，也會出現(xiàn)在文件共享客戶端中。它們可以監(jiān)控系統(tǒng)性能，竊取帳戶口令等信息，并將用戶數(shù)據(jù)發(fā)送給間諜軟件開發(fā)者。

第八，僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)已成為日益嚴重的安全威脅。僵尸程序通過聊天室、文件共享網(wǎng)絡(luò)感染存在漏洞的計算機，它們難以被發(fā)現(xiàn)，而能夠遠程控制被害人的計算機，然后組成僵尸軍團對其它計算機與網(wǎng)站發(fā)動攻擊，發(fā)送垃圾郵件或者竊取數(shù)據(jù)。

2 學(xué)校網(wǎng)絡(luò)安全解決方案

(1)規(guī)范出口的管理。學(xué)校網(wǎng)絡(luò)管理機構(gòu)必須將所有的出口統(tǒng)一管理，為安全的實施提供最基礎(chǔ)的保障。

(2)配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。加大對學(xué)校網(wǎng)絡(luò)方面的資金投入，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一的安全設(shè)備。具體包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)等。通過這些安全設(shè)備可以有效地控制病毒的入侵。

(3)構(gòu)建一個覆蓋全網(wǎng)的防病毒、查漏體系。在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段，同時應(yīng)實現(xiàn)遠程安裝、智能升級、遠程報警、分布查殺等多種功能。從以下幾個方面來解決：

1)架設(shè)防火墻。防火墻是在兩個網(wǎng)絡(luò)之間實現(xiàn)訪問控制的一個或一組軟件或硬件系統(tǒng)，是一種非常有效的網(wǎng)絡(luò)安全模型。利用防火墻，一是可以限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；二是限定用戶訪問特殊站點；三是為監(jiān)視互連網(wǎng)安全提供方便。一般來說，防火墻物理位置位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

2)建立一個有效合理的病毒防御和查殺機制。主要做法是：網(wǎng)絡(luò)中心負責(zé)整個校園網(wǎng)的升級工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到殺毒軟件廠家網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到其他多個主機網(wǎng)點的客戶端與服務(wù)器端，并自動對殺毒軟件網(wǎng)絡(luò)版進行更新。

3)采用安全掃描技術(shù)。安全掃描技術(shù)是指手工地或使用特定的軟件工具——健全掃描器，對系統(tǒng)脆弱點進行評估，尋找可能對系統(tǒng)造成損害的安全漏洞。掃描主要分為系統(tǒng)掃描和網(wǎng)絡(luò)掃描兩個方面，系統(tǒng)掃描側(cè)重于主機系統(tǒng)的平臺安分性以及基于此平臺的應(yīng)用系統(tǒng)的安全，而網(wǎng)絡(luò)掃描則側(cè)重于系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)以及相關(guān)的協(xié)議分析。

4)采用入侵檢測技術(shù)(簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。如服務(wù)器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上；重點保護網(wǎng)段的局域網(wǎng)交換機上。

5)解決I P盜用問題。方法是在路由器上捆綁IP和MAC地址。

(4)建立上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)，通過內(nèi)容過濾、應(yīng)用控制、帶寬管理、網(wǎng)頁過濾、流量分樣、監(jiān)控審計等功能，實現(xiàn)上網(wǎng)行為規(guī)范管理。

(5)嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理。要解決用戶上網(wǎng)身份認證、上網(wǎng)日志保存和查詢的問題，最有效的解決方法就是采用集中身份認證、集中管理監(jiān)控的方式，具體有以下兩個步驟：

第一，用戶使用網(wǎng)絡(luò)首先通過統(tǒng)一的校級身份系統(tǒng)確認，非合法用戶無法使用校園網(wǎng)絡(luò)。

第二，合法用戶上網(wǎng)的行為受到統(tǒng)一的監(jiān)控并且上網(wǎng)行為日志集中保存在中心服務(wù)器上。

(6)改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能。

(7)采用VLAN技術(shù)服務(wù)器。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，以達到限制非法訪問的目的。

(8)賬號和密碼保護。除管理好密碼外，對于一些不常用的賬戶要關(guān)閉，比如匿名登錄賬號等。

(9)采用網(wǎng)絡(luò)安全協(xié)議。它是在ISO七層協(xié)議中的任何一層采取安全措施。如在網(wǎng)絡(luò)層采用IPSec協(xié)議，在傳輸層采用SSL協(xié)議。

(10)Email安全措施。采用身份認證、加密和簽名、協(xié)議過濾等措施，還可在郵件服務(wù)器上安裝郵件過濾軟件，使大部分郵件病毒在郵件分發(fā)時被分檢過濾。

學(xué)校網(wǎng)絡(luò)是否安全不僅要考察其手段，還要考慮對網(wǎng)絡(luò)所采取的各種措施，其中不光是物理防范，還有人員的素質(zhì)等其他“軟”因素，進行綜合評估，才能得出是否安全的結(jié)論。

[1]彭文勝,毛叔平.校園信息化規(guī)劃、管理及案例[M].上海:復(fù)旦大學(xué)出版社 ,2002.

[2]張惠平.淺談高校校園網(wǎng)絡(luò)安全分析及防護策略.《網(wǎng)絡(luò)安全》,2008.9.

[3]曾振東.校園網(wǎng)網(wǎng)絡(luò)安全解決方案初探.廣東青年干部學(xué)院學(xué)報,2009.

[4]段云所等.信息安全概論.