韓素娟

【摘 要】計算機技術和網(wǎng)絡技術的發(fā)展，硬件制造和技術成本的降低，使得社會中越來越多的領域成為互聯(lián)網(wǎng)的受益者，高校校園網(wǎng)絡更是在教學、管理、科研中發(fā)揮重要的作用。但校園網(wǎng)在為學校的發(fā)展帶來便利時，也存在著安全威脅。本文首先介紹了網(wǎng)絡中存在的安全威脅，然后陳述了高校校園網(wǎng)絡的安全現(xiàn)狀，最后提出增強校園網(wǎng)絡安全的管理措施。

【關鍵詞】校園網(wǎng)絡；漏洞；網(wǎng)絡安全；管理策略

0 引言

隨著網(wǎng)絡技術應用在社會政治、經(jīng)濟、文化、生產(chǎn)等領域的普及，社會信息化建設已初具規(guī)模。校園網(wǎng)絡系統(tǒng)在高校中的興起和完善，為學校的智能化教學、網(wǎng)絡化管理、自由化科研帶來了機遇。然而，另一方面，網(wǎng)絡安全問題不僅阻礙網(wǎng)絡技術在高校中應用范圍的拓展，更限制高校網(wǎng)絡中信息的海量傳遞。加強校園網(wǎng)絡安全管理建設， 不僅關系到學校的整體形象，也關系到學校的整體利益。一方面，教育管理的智能化發(fā)展，使校園網(wǎng)成為每個高校的信息化展示的門戶；另一方面，校園網(wǎng)中隱含了大量的學校的信息資料，學校的整個運營離不開網(wǎng)絡，一旦出了問題，都會造成巨大損失。所以，我們在加強校園網(wǎng)絡建設的同時，一定要注意校園網(wǎng)絡的安全，增強網(wǎng)絡的安全管理，制定合理的管理策略。

1 網(wǎng)絡中存在的安全威脅

網(wǎng)絡給人們生活帶來不愉快和尷尬的事例舉不勝舉，存儲在計算機中的信息不知不覺被刪除、在數(shù)據(jù)庫中的記錄不知何時被修改、正在使用的計算機卻不知何故突然“開機”等等，諸如此類的安全威脅事件數(shù)不勝數(shù)。

常見的安全威脅有：

（1）網(wǎng)絡通信協(xié)議的弱點

TCP/IP協(xié)議設計是面向開放的網(wǎng)絡環(huán)境，缺乏類似認證等基本安全特性，這些弱點帶來許多直接的安全威脅。

（2）操作系統(tǒng)的漏洞

操作系統(tǒng)不僅負責網(wǎng)絡硬件設備的接口封裝，同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序?qū)崿F(xiàn)。幾乎所有操作系統(tǒng)的代碼規(guī)模都很大，這決定其中幾乎肯定存在實現(xiàn)的缺陷和漏洞。

（3）應用系統(tǒng)設計的漏洞

與操作系統(tǒng)情況類似，應用程序的設計過程也會帶來很多由于人的局限性所導致的缺陷或漏洞。

（4）網(wǎng)絡系統(tǒng)設計的缺陷

合理的網(wǎng)絡設計在節(jié)約資源的情況下，還可以提供較好的安全性，不合理的網(wǎng)絡設計則成為網(wǎng)絡的安全威脅。

（5）惡意攻擊

有組織、有特定目的人為惡意攻擊是網(wǎng)絡安全威脅的重要表現(xiàn)。這樣的威脅有時來自合法的用戶。

（6）網(wǎng)絡物理設備

網(wǎng)絡物理設備自身的電磁泄露所引起的漏洞引發(fā)的隱患是一類極為重要的網(wǎng)絡安全威脅，網(wǎng)絡設備的自然老化也可能帶來安全隱患。

（7）管理不當

管理制度的不到位、技術手段的使用不當?shù)榷伎赡軒韲乐氐陌踩[患，比如計算機設備的盜竊、防火墻配置不合理等。

網(wǎng)絡的開放性為我們帶來了方便，但其脆弱性讓攻擊者有機可乘。隨著安全威脅手段的多樣化，病毒、木馬種類的增長，“后門”與漏洞的發(fā)現(xiàn)，使得信息安全得不到有效的保障，威脅著社會中某些重要信息的機密性、完整性、可靠性。

2 高校校園網(wǎng)絡安全現(xiàn)狀

2.1 校園網(wǎng)絡的特點

校園網(wǎng)絡因其存在于學校中，所以存在區(qū)別于其它局域網(wǎng)絡的特點。

2.1.1 龐大的用戶群體

校園中學生、教師、員工的數(shù)量龐大，每一個IP地址可能面對多個用戶的使用，每一位用戶又進行各自不同的網(wǎng)絡訪問，不固定的用戶群體和大量的信息交互使校園網(wǎng)用戶感染網(wǎng)絡病毒的概率很高。

2.1.2 應用領域的模塊化與互聯(lián)

教學、黨政、科研、后勤等不同的工作使用著不同的服務器和網(wǎng)絡設備，這也使得校園網(wǎng)絡存在模塊化，但同時方便所有用戶對這些工作的資源的訪問，各個模塊之間存在著聯(lián)系。

2.1.3 網(wǎng)絡用戶的自主性與動態(tài)性大

U盤、移動硬盤、便攜式計算機的大量使用，增加了網(wǎng)絡中病毒的傳播速度。而且，隨著經(jīng)濟的發(fā)展，智能手機、平板電腦等網(wǎng)絡終端設備的動態(tài)接入，其使用的不確定性也增加了校園網(wǎng)絡的安全隱患。

2.2 校園網(wǎng)絡存在的安全問題

2.2.1 入侵與主動攻擊

校園網(wǎng)絡因其高帶寬，資源豐富、網(wǎng)關出口種類多等，為用戶帶來了便利的同時，也成為了病毒等傳播的最快途徑。網(wǎng)絡主要面對的攻擊有病毒、木馬蠕蟲等。計算機病毒變種的更新之快，使各類殺毒軟件都沒辦法起到完全防護，它們往往破壞校園網(wǎng)絡的運行，致使網(wǎng)絡癱瘓或破壞校園網(wǎng)絡數(shù)據(jù)庫中的信息，使數(shù)據(jù)不可用；木馬則是悄悄植入網(wǎng)絡中的服務器主機，使黑客對校園網(wǎng)絡進行遠程控制；蠕蟲除了具有病毒傳播性、隱蔽性、破壞性；也可主動傳播并且不利用文件寄生，對校園網(wǎng)的破壞更是強烈。

2.2.2 網(wǎng)絡安全隔離薄弱

校園網(wǎng)與整個廣域網(wǎng)的互聯(lián)，為學校的用戶帶來方便的同時，也為某些黑客帶來了施展技術的空間。所以對校園網(wǎng)絡進行有效的安全隔離是必須的。防火墻系統(tǒng)相關技術的發(fā)展已經(jīng)比較成熟，但這只是對外防護而已，它對于網(wǎng)絡內(nèi)部的威脅不起作用。這就使得網(wǎng)絡內(nèi)部的攻擊成為重大隱患。例如，有些學生出于對黑客技術的好奇和興趣，利用黑客工具或手段攻擊校園網(wǎng)絡，或者，大家在使用有病毒的U盤或電腦，使病毒通過局域互聯(lián)在校園網(wǎng)中擴散。這些攻擊通常對學校存放重要資料的服務器攻擊，使學校重要的資料丟失或損壞，對學校造成重大損失。

2.2.3 系統(tǒng)與軟件的漏洞

目前的校園網(wǎng)絡大都是利用Internet技術構建的，同時又與Internet相連，Internet的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議，缺乏響相應的安全機制，因此給網(wǎng)絡攻擊帶來了“后門”便利。如操作系統(tǒng)的漏洞，或安裝軟件的漏洞都成為校園網(wǎng)絡的安全隱患，校園網(wǎng)上沒有采取正確的安全策略和安全機制，缺乏先進的網(wǎng)絡技術、工具、手段和產(chǎn)品，缺乏先進的系統(tǒng)恢復等，都是威脅網(wǎng)絡安全的重要因素。

2.2.4 缺乏網(wǎng)絡監(jiān)控措施

因為校園網(wǎng)絡內(nèi)部用戶使用人數(shù)多，范圍廣的特點，使得網(wǎng)絡監(jiān)管難度較大，這就使一部分人通過盜用或冒充他人的合法IP進行通信和從事不正當?shù)男袨?。這既阻礙了合法用戶的正常使用，同時為網(wǎng)絡正常工作帶來了安全隱患。同時，由于校園網(wǎng)絡使用者范圍之廣，一些沒有安全意識的用戶，用不安全的設備進行機密數(shù)據(jù)的操作或傳播，對校園網(wǎng)來說都是隱患。

2.2.5 數(shù)據(jù)的安全與備份

數(shù)據(jù)是整個校園網(wǎng)絡的核心，學校服務器中存儲的重要數(shù)據(jù)、檔案，不論是對學校還是對個人用戶，都是至關重要的，一旦被竊取或破壞，都會造成難以挽回的損失，而且有些數(shù)據(jù)是不可恢復的，所以對數(shù)據(jù)的即時備份和恢復措施是必要的。

3 校園網(wǎng)絡安全管理措施

3.1 構建網(wǎng)絡防毒體系

隨著網(wǎng)絡安全技術的發(fā)展，病毒防護技術也有進步。面對各種類型的計算機病毒和各種病毒傳播途徑，要做到多級防護，包括：基于網(wǎng)關的防病毒系統(tǒng)、基于服務器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。在建立多級防護系統(tǒng)的同時，設立病毒預防中心，從中心定期對各個級別的設備進行病毒軟件的發(fā)放和更新，并對網(wǎng)絡中設備工作狀態(tài)進行統(tǒng)計評估，定期制定保護方案。這樣不但可以做到主機防范病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，從而保證校園網(wǎng)絡的安全。

3.2 防火墻與物理隔離的結合使用

防火墻是用來對進入校園網(wǎng)絡的數(shù)據(jù)和用戶進行審查控制，決定其是否可以進入校園網(wǎng)絡，是校園網(wǎng)絡的防護大門，一般是軟硬一體的網(wǎng)絡安全設備。因為校園網(wǎng)的一些信息不能公布于眾，因此必須對這些信息進行嚴格保密，因此對校園網(wǎng)絡要構建專用防火墻，過濾掉不安全的服務和非法訪問，控制對特殊節(jié)點的訪問，提供對網(wǎng)絡訪問的監(jiān)聽和預警，系統(tǒng)認證，生成安全日志，通過對日志中訪問情況分析改進防護措施。同時，對校園網(wǎng)絡結構進行子網(wǎng)劃分，在各個子網(wǎng)設立防火墻和訪問控制系統(tǒng)，使各個子域間保持局部安全。

由于Internet網(wǎng)絡沒有絕對安全，所以對于高度機密的數(shù)據(jù)，只能使用物理隔離的設備進行操作，做到“涉密的工作不上網(wǎng)，上網(wǎng)的工作不設密”。

3.3 完善校園網(wǎng)絡安全機制和管理手段。

“堡壘往往從內(nèi)部被攻破”，網(wǎng)絡中的安全問題有很大一部分是由于內(nèi)部原因造成。如系統(tǒng)和軟件老化存在漏洞，用戶的不當操作和疏忽。因此學校應當對校內(nèi)低水平的使用者進行定期培訓和指導，提高用戶群體的安全意識。此外，管理人員要對防火墻、IDS入侵檢測系統(tǒng)、郵件過濾網(wǎng)關、路由器進行合理配置，注重服務器和信息系統(tǒng)漏洞的防范，即時更新補丁，并采用安全策略和安全機制，有效的防止病毒和黑客的攻擊，加強系統(tǒng)的安全性。

3.4 操作系統(tǒng)檢測的預防與漏洞檢測

攻擊者往往通過檢測操作系統(tǒng)版本與配置來獲得系統(tǒng)或運行在其上的軟件的漏洞，所以對于操作系統(tǒng)檢測和漏洞掃描的防范十分重要。對于反操作系統(tǒng)檢測可以用端口掃描檢測工具來監(jiān)視OS檢測活動，并利用安全代理或邊界防火墻對敏感信息進行過濾。同時，也可以使用一些Honeypot類欺騙技術來誤導攻擊者。對于漏洞，目前在Internet上有許多研究計算機網(wǎng)絡安全漏洞的收集、分類和整理，以及漏洞庫的構造和維護的團體和組織，他們經(jīng)常會公布些新產(chǎn)生的漏洞。經(jīng)常瀏覽該類網(wǎng)站如安全焦點、中國國家信息安全漏洞共享平臺，發(fā)現(xiàn)、更新校園服務器系統(tǒng)漏洞，確保系統(tǒng)的安全性。

3.5 數(shù)據(jù)恢復與定期備份

對于學校來說，最重要的是學校中的各種各樣的數(shù)據(jù)資料，包括校園網(wǎng)的使用也是為了方便對數(shù)據(jù)的操作和保存。所以應該定期對所有服務器資料，特別是數(shù)據(jù)服務器，系統(tǒng)日志進行備份。但是備份不僅僅是對數(shù)據(jù)文件的備份，也不是僅僅使用拷貝的手段就進行了備份。對整個網(wǎng)絡系統(tǒng)進行備份即網(wǎng)絡系統(tǒng)的備份才能在系統(tǒng)遭遇破壞時，可方便地恢復原系統(tǒng)。最好使用專業(yè)的備份軟件，它可以通過優(yōu)化數(shù)據(jù)的傳輸率來提高備份的速度。這樣，即使校園網(wǎng)服務器遭到破壞數(shù)據(jù)丟失，也可即時恢復，不至于造成不可挽回的損失。

4 結束語

高校校園的網(wǎng)絡化、信息化為高校的教學和辦公帶來了方便，也為學生們的學習和生活帶來了很多好處，但同時網(wǎng)絡中的安全威脅也影響著校園網(wǎng)絡的工作和每一個用戶的正常使用。如何構建新安全的校園網(wǎng)絡，實現(xiàn)網(wǎng)絡的智能化安全管理，值得我們今后繼續(xù)研究和探索。

【參考文獻】

[1]齊德顯，胡錚.網(wǎng)絡與信息資源管理[M].北京：北京兵器工業(yè)出版社，2005.

[2]邵波，王其和.計算機網(wǎng)絡安全技術及應用[M].北京：電子工業(yè)出版社，2005.

[3]黃中偉.計算機網(wǎng)絡管理與安全技術[M]北京：人民郵電出版社，2005.

[4]曾曉燕.計算機網(wǎng)絡安全的管理研究[J]吉林畫報·新視界，2011，4：35-36.

[5]李輝.計算機網(wǎng)絡安全與對策[J]濰坊學院學報，2007，7（2）：54-56.

[6]趙鳴.校園網(wǎng)運行管理概述[J]大連理工大學學報，2005，45（z1）：86-89.

[7]火長志.校園網(wǎng)絡建設及安全的設計分析[J]吉林畫報·新視界，2011，4：36-38.

[8]孔凡士.高校校園網(wǎng)絡安全管理策略[J]信陽師范學院學報，2006，26（3）：79-81.

[責任編輯：楊玉潔]