許學虎

【摘 要】當前，隨著信息網(wǎng)絡技術的迅猛發(fā)展，影響中職學校校園網(wǎng)的不安全因素越來越多。本文列舉了影響校園網(wǎng)安全的常見因素，介紹了常用網(wǎng)絡安全技術，并提出了校園網(wǎng)安全問題的解決方案。

隨著網(wǎng)絡的快速發(fā)展和不斷普及，很多中等職業(yè)學校都建設了校園網(wǎng)并通過各種渠道接入了Internet，還有些學校已經(jīng)使用校園網(wǎng)來提高學校的信息化管理水平。但是隨著校園網(wǎng)規(guī)模不斷擴大，需要的功能不斷增加，應用環(huán)境日趨復雜，負責管理校園網(wǎng)絡的管理人員相對較少，導致校園網(wǎng)事故時有發(fā)生。因此，對于如何提高校園網(wǎng)絡的安全性和穩(wěn)定性，是各個中職院校需要重視的問題。

【關鍵詞】校園網(wǎng)安全；防火墻；入侵檢測技術；VLAN技術

一、校園網(wǎng)目前存在的安全隱患

1.計算機病毒的威脅

當今社會，計算機病毒的威脅時刻影響著互聯(lián)網(wǎng)，病毒制造者不斷制造更隱蔽、破壞性更強的病毒。當校園網(wǎng)接入Internet后，受病毒感染的機會成倍增加，往往在瀏覽一個網(wǎng)頁，或者打開一個郵件時，都有可能使計算機感染上病毒。當校園網(wǎng)中任意一臺機器感染上病毒，如果措施不當，極有可能會造成嚴重后果，輕則系統(tǒng)被破壞，重則大量資料被毀，甚至造成硬件的損壞。還有可能會在局域網(wǎng)內擴散，破壞網(wǎng)絡資源，使整個網(wǎng)絡的效率和作用急劇下降，直至造成校園網(wǎng)絡系統(tǒng)的癱瘓。

2.非法入侵和破壞

黑客攻擊是網(wǎng)絡中一個常見的安全隱患，接入Internet的校園網(wǎng)同樣存在著被非法入侵的可能?，F(xiàn)在互聯(lián)網(wǎng)中黑客工具隨處可以下載，黑客工具教學的網(wǎng)站和培訓班到處都是，對于一個電腦愛好者來說，想掌握一些黑客工具的使用已不再是一件難事。即使在校園網(wǎng)的內部，也不乏躍躍欲試者，或有其他企圖者，他們也可能會使用非法的手段對網(wǎng)絡進行攻擊，或者設法入侵服務器，有選擇的破壞信息的有效性和完整性，導致數(shù)據(jù)被獲取或修改，從而對整個網(wǎng)絡系統(tǒng)造成破壞。

3.系統(tǒng)自身的安全隱患

任何系統(tǒng)都可能存在缺陷，操作系統(tǒng)和網(wǎng)絡軟件也是有漏洞的，中職院校校園網(wǎng)中服務器操作系統(tǒng)基本上使用的是Windows 2003 Server。數(shù)據(jù)庫服務器軟件基本上使用的是Sql Server?？蛻舳耸褂玫氖荳indows XP，這些都是微軟提供的軟件，它們的漏洞幾乎每隔幾天都有新的被發(fā)現(xiàn)，如果我們的使用者不及時下載更新補丁，入侵者就可以根據(jù)掃描的結果進行攻擊。

4.其他隱患

校園網(wǎng)內部用戶對網(wǎng)絡資源的不規(guī)范使用，有些用戶盜用IP地址上網(wǎng)，有些用戶喜歡用BT進行下載，占用了大量的網(wǎng)絡帶寬。如此等等，都影響著校園網(wǎng)的正常運行。

二、校園網(wǎng)安全管理策略

1.搭建網(wǎng)絡防火墻

我校采用的是H3C SecPath U200-S設備，它是H3C公司面向中小型企業(yè)分支機構設計推出的新一代UTM（United Threat Management，統(tǒng)一威脅管理）設備，采用高性能的多核、多線程安全平臺，保障在全部安全功能開啟時性能不降低；在防火墻、VPN功能基礎上，集成了IPS、防病毒、URL過濾、協(xié)議內容審計、帶寬管理以及反垃圾郵件等安全功能，產(chǎn)品具有極高的性價比。

H3C公司的SecPathU200-S能夠全面有效的保證用戶網(wǎng)絡的安全，同時還可以使用

戶避免部署多臺安全設備所帶來的運營成本和維護復雜性問題。

2.部署行為管理程序

我校采用的是Panabit，它是集流量采集、應用分析、帶寬管理于一體的服務器軟件系統(tǒng)，只需安裝在一臺合適的硬件平臺中，就成為一個專業(yè)的網(wǎng)絡設備，部署在網(wǎng)絡出口或流量匯聚的地方即可。

上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等功能。能夠幫助企業(yè)、機關單位辦公人員的網(wǎng)絡使用狀況，提高工作效率，提升網(wǎng)絡安全，預防泄密等。

3.安裝系統(tǒng)補丁

由于我校校園網(wǎng)使用的操作系統(tǒng)基本上是windows7.0、8.0，很多網(wǎng)絡病毒都是利用微軟的系統(tǒng)漏洞入侵個人電腦，進而在網(wǎng)絡里進行傳播。如果不及時更新系統(tǒng)補丁，病毒就可以利用這些漏洞進行入侵。但在目前，由于學校電腦大部分是處于公用狀態(tài)，用戶使用的時候不會太在意漏洞的修補，從而給了病毒和木馬以可乘之機。為此信息辦網(wǎng)管人員在校園網(wǎng)絡中心部署了360網(wǎng)管版（原360企業(yè)版），提供全網(wǎng)統(tǒng)一體檢、打補丁、殺病毒、開機加速、分發(fā)軟件、發(fā)送公告、流量監(jiān)控、資產(chǎn)管理等，讓網(wǎng)絡安全管理變得很簡單。

4.VLAN控制

采用以太網(wǎng)交換技術的校園網(wǎng)絡，可以用VLAN技術來加強內部網(wǎng)絡管理。VLAN能夠幫忙實現(xiàn)流量控制，提供更高的安全性，使網(wǎng)絡設備的變更或移動更加方便，VLAN技術的核心是網(wǎng)絡分段，根據(jù)不同的應用業(yè)務以及不同的安全級別，將網(wǎng)絡分段并進行隔離，以達到限制非法訪問的目的。我校根據(jù)辦公區(qū)域及功能區(qū)域劃分成5個網(wǎng)段，采用VLAN技術，利用網(wǎng)關保證信息的有效過濾，這樣就可以保證信息安全。

5.加強機房、班級教室管理

中職院校的計算機實驗室上機人數(shù)多，機器使用頻率非常高，有相當一部分學生喜歡玩網(wǎng)絡游戲，甚至會偷偷將U盤帶入實驗室，這樣計算機就很容易感染病毒，通過網(wǎng)絡的迅速傳播，對校園網(wǎng)影響極大。必須加強對實驗室計算機的防病毒管理。實驗室計算機大多在學期開始前就統(tǒng)一安裝操作系統(tǒng)和應用軟件，并且使用了還原軟件，在開機后能對系統(tǒng)盤或全部硬盤自動還原。在這種情況下，隨著學期的進行，往往來不及安裝最新的漏洞補丁，一旦有蠕蟲病毒利用新的系統(tǒng)漏洞傳播，就很容易在實驗室內反復感染，并成為校園網(wǎng)上的“病毒源”，甚至可能造成網(wǎng)絡風暴，進而導致校園網(wǎng)崩潰。為此我校信息辦將所有的機房統(tǒng)一管理，將機房網(wǎng)絡單獨監(jiān)控，實現(xiàn)機房內網(wǎng)和校園外網(wǎng)的路由管理，學生上機通過登錄用戶名、密碼的方式使用電腦，利用“方竹”網(wǎng)管軟件隨時可以監(jiān)控學生使用情況，第一時間響應。學生要使用外網(wǎng)，由任課教師提前在內網(wǎng)申請，批準后開通網(wǎng)絡服務，通過“愛快”軟路由加以管理。

6.加強安全管理制度的落實

安全管理是保證網(wǎng)絡安全的基礎，安全技術是配合安全管理的輔助措施。需建立一套完善的校園網(wǎng)絡安全管理模式，加強對關鍵設備的日常檢查，做好服務器的日志工作，做好數(shù)據(jù)的備份工作，保管好管理員帳號密碼，做好地址綁定和流量控制。同時制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的進行。加強網(wǎng)絡法律法規(guī)的宣傳教育，提高師生網(wǎng)絡安全意識。對教師和行政人員進行上網(wǎng)相關防護知識的講座，使用戶養(yǎng)成一個良好的上網(wǎng)習慣，最后還需要制定應急預案，及時解決校園網(wǎng)故障。

三、結束語

校園網(wǎng)絡的安全問題，不僅是設備，技術的問題，更是管理的問題。只有在各種技術手段和管理措施到位的情況下，校園網(wǎng)才能安全穩(wěn)定的運行。

參考文獻：

[1]謝希仁編著.計算機網(wǎng)絡（第6版）.電子工業(yè)出版社.2013-06-01

[2]劉金濤.淺談職業(yè)學校校園網(wǎng)的安全管理.濰坊學院學報.2008.7

[3]宋凱，劉念主編.《計算機網(wǎng)絡》（普通高等教育電子信息類規(guī)劃教材）.清華大學出版社.2010-02-01endprint