高校校園網絡安全現狀及分析

隨著計算機網絡及計算機課程的進一步普及，越來越多的學校構建了網絡環(huán)境，大多數學生已掌握了基本的計算機和網絡知識的基礎。然而校園網絡的安全問題已成為威脅信息技術教育進一步推進的首要問題。

一、校園網絡安全面臨嚴峻挑戰(zhàn)

隨著教育部“計算機基礎”課程的進一步普及，越來越多的學校具備網絡環(huán)境，隨著計算機輔助教學軟件的日益增多和教學資源庫的日益完善，學生在掌握了基本的計算機和網絡知識的基礎上，逐漸將之應用于其他學科的學習，充分發(fā)揮這一先進工具的作用。

然而還有一些現象不容樂觀。通過對已建校園網的中小學校的調查發(fā)現，校園網絡的安全問題已經成為威脅信息技術教育進一步推進的首要問題，和互聯網經受的考驗一樣，病毒、攻擊和各種各樣的不健康信息以其越來越大的危害侵蝕學校這片凈土。這些網絡安全問題主要體現在以下幾個方面。

1.不健康信息。據對國內各省市中小學校的調查表明，不健康信息借助網絡這一方便的傳播工具正在逐漸侵害著孩子們的成長。

對此現象的蔓延目前大多學校沒有防患于未然的良策。據教育專家分析，學生的好奇心理、逆反心理加上網絡這一方便的傳播工具是產生這些現象的罪魁禍首，這一現象將隨教育信息化的進一步推進日益嚴重。

2.病毒。幾乎從計算機誕生之日起，病毒就成為威脅信息技術發(fā)展的負面因素，到今天為止，數以萬計的計算機病毒以其“光輝”的發(fā)展歷史同時被記入信息技術發(fā)展史。

在學校，幾乎每個網管教師都飽受病毒的困擾，學校的病毒可能來源于各個方面——互聯網、軟盤、光盤等，用傳統(tǒng)的辦法防不勝防，為了不占用學生和教師們正常的工作時間，網管教師幾乎要犧牲所有的業(yè)余時間和節(jié)假日，不遺余力地修復癱瘓的計算機和網絡，但這種修復往往是滯后的，網管教師仍舊要背負各種各樣的責備。

3.攻擊。相對于前兩種危害而言，學校受到網絡攻擊造成的危害算是比較小的，網絡攻擊更多體現在網絡技術比較發(fā)達的地區(qū)。

二、校園網絡安全問題的特點和需求分析

和企事業(yè)網絡相比，校園網絡的安全問題有其顯著的特點，這些特點主要體現在以下幾個方面：

1.企事業(yè)單位如金融、證券、國家機關對于數據安全的考慮總是放在第一位的，其次才考慮對于病毒和不健康信息的防范；學校是教書育人的環(huán)境，學生的世界觀尚未完全成型，很多學生還處于青春期，很容易受到不健康信息的誤導。學校總是把防范不健康信息作為校園網絡安全的第一道防線，其次才考慮病毒和攻擊。

2.企事業(yè)單位人手一機，人員的流動性不大，且每人的工作內容不同，對本機的保護性較強，管理也相對容易，各種安全漏洞一般很難從軟、光盤進入，只需從網關處防范即可；學校學生的流動性較大，機器易受各種各樣的感染。

3.對于昂貴的防火墻等設備，大部分學校承受不起，現在已經是理智的投資時代，很少有學校愿意投資僅僅是概念上的網絡安全建設。

4.企事業(yè)單位對于網絡安全的定義僅限于防范，學校擔負著教學育人的任務，所以對于網絡安全的定義還包括嚴格的管理，當學生沉湎于其中時進行合適的管理和引導，防患于未然。

從以上特點分析，學校對校園網絡安全產品的需求是分層次的，但主要應該體現在以下幾個方面。能夠全方位地杜絕不健康信息在校園網上的泛濫；具有較強的管理功能，使主管教師能及時發(fā)現、及時處理、防止擴散，在學生未受影響之前進行消除；具有較強的防病毒功能；具有防黑客攻擊功能；產品性價比優(yōu)良，不應占據過多投資；產品的運行和維護簡單，運行費用低廉。

三、某大學校園網絡安全策略

該大學校園網絡采用兩級結構：主干網和子網。校園網的主干采用成熟的100M快速以太網，由網絡中心用光纖聯至各座大樓的分節(jié)點，再經分節(jié)點的交換機連接到大樓的各個用戶。這種配置結構既保證了主干網信息可靠、高速、無瓶頸地傳輸，又為用戶計算機接入提供了靈活、方便的手段。

1.校園網絡的IP路由信息和訪問范圍的控制管理。校園網絡主要采用TCP/IP網絡協議，網上的路由器間需要交換路由信息，IP路由信息交換有動態(tài)和靜態(tài)兩種方式。采用靜態(tài)路由協議，與上一級網絡中心相連，不采用RIP主要原因是為了防止網絡上不正確的路由信息對本校園網絡的影響。

為了控制用訪問一些網絡采用IP的限制，在路由器上加入這兩條指令：

ip access-group 100 out

access-list 100 permit ip 202.xx.xx.xx 0.0.0.xx any

access-list 100 permit ip any國內ip列表 ip反向mask

表示只有96網段上202.xx.xx.xx-202.xx.xx.xx的用戶才能訪問國外網站，這樣防止其他用戶訪問國外網站，造成國外流量劇增，從而增加經費開支。此外，有些校園網絡web服務器的內容，如校園網絡辦公信息系統(tǒng)只能讓校園網絡內用戶訪問，在Web服務器設置定義源IP訪問范圍；利用網絡的c類地址的超網掩碼技術實現這一功能。也就是校園內部用戶可以訪問校園網絡辦公信息的內容。

2.校園網絡設備防雷電的防范策略。由于雷電直擊，及其他電磁感應，未受保護的網絡負載設備將被瞬態(tài)過電壓破壞數據傳輸、耗損元件、或者毀壞芯片，造成不穩(wěn)定的性能、硬件故障等問題。

建筑物的防雷主要通過安裝避雷針來實現，它可以有效地防止雷擊損害建筑物并大大降低雷直接擊中網絡傳輸線和網絡設備及電源線的可能性，在一定程度上起到網絡防雷的作用。

電源防雷的主要作用是防止雷擊過電壓從電源供入端進入設備，保障設備及數據傳輸暢通無阻。普通插座的接地端要接地，地線不但直接影響電源防雷器的效能而且還影響到信號防雷器的效能。盡管在電源和通信線路等外接引入線路上安裝了防雷保護裝置，由于雷擊發(fā)生時網絡線(如雙絞線)感應到的過電壓，會影響網絡的正常運行甚至徹底破壞網絡系統(tǒng)。由外來線路進入的DDN或ISDN一定要在重要線路的網絡接口上做相應的保護，如防火墻內外網接口，安裝RJ45防雷器等，一旦有雷擊就可以避免雷擊造成網絡設備的嚴重損失。　　4.校園網絡安全策略。在計算機網絡日益擴展和普及的今天，計算機安全要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵的能力，還要提高對遠程數據傳輸的保密性，避免在傳輸途中遭受非法竊取。

在防治網絡病毒方面，接受不明電子郵件，下載軟件如：.zip.exe等文件過程中應特別加以注意。它們都有潛伏病毒的可能性。

對于系統(tǒng)本身安全性，主要考慮服務器自身的穩(wěn)定性，增強自身的抵抗能力，杜絕一切可能讓黑客入侵的渠道，避免造成對系統(tǒng)的威脅。對重要系統(tǒng)，必須加上防火墻和數據加密技術加以保護。

計算機系統(tǒng)安全是個很大的范疇，操作系統(tǒng)、應用軟件、硬件本身都有可能出現一些情況，平時應重視，加以防范。

在網絡操作系統(tǒng)安全預防措施。

1)盡量使ftp，mail等服務器與之分開，去掉ftp，sendmail，tftp，NIS，NFS，finger，netstat等一些無關的應用。

2)定期查看服務器中的日志logs文件，分析一切可疑事件。在errorlog中出現rm，login，/bin/perl，/bin/sh等之類記錄時，服務器可能會受到一些非法用戶的入侵嘗試。

3)網絡管理員要及時安裝網絡OS補丁程序。如windows2000有iis的漏洞，需要安裝補丁程序sp1、sp2。

5.利用防火墻增強網絡的安全性和可管理性。當一個網絡接上Internet之后，除了考慮計算機病毒、系統(tǒng)的穩(wěn)定之外，更主要的是要防止非法用戶的入侵。而目前防止的措施主要靠防火墻完成。防火墻(firewall)是指一個由軟件或和硬件設備組合而成，處于網絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。在構建安全網絡環(huán)境的過程中，防火墻是一個系統(tǒng)，主要用來執(zhí)行兩個網絡之間的訪問控制策略，通常應用防火墻的目的有以下幾方面：限制他人進入內部網絡；過濾掉不安全的服務和非法用戶；防止入侵者接近網絡系統(tǒng)；限定用戶訪問特殊站點；為監(jiān)視局域網安全提供方便。

防火墻總體安全框架為：物理地址→IP地址→身份認證→應用層過濾，分別采用IP/MAC綁定，狀態(tài)包過濾技術，身份認證，內容過濾等安全策略。通過這樣的數據流程對內部網絡進行全面的保護。

IP/MAC綁定技術方便了網絡的IP地址管理，杜絕了內部網IP地址盜用，狀態(tài)包過濾技術依據連接狀態(tài)信息進行更加全面地過濾；而且在對包的網絡層信息進行過濾的同時，更強調對應用層信息的過濾，因此大大提高了網絡系統(tǒng)的安全性。在應用層實現內容過濾，主要是網頁內容過濾，SMTP電子郵件標題過濾阻止病毒郵件，防止外部網絡不安全或管理員不希望通過的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡。

防火墻貫穿內部網絡的整個防御過程：防火墻能夠檢測到通過防火墻的各種入侵、攻擊和異常事件，并以相應的方式通知相關人員，安全員依據這些警報信息及時修改相應的安全策略，重新制定訪問控制規(guī)則；由安全員分析審計信息，修正策略，制定新的過濾規(guī)則。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且必須定期進行，以對付黑客新增的入侵攻擊手段。

四、結語

一個網絡系統(tǒng)的正常運行和安全防范是一項聯系范圍很廣的任務，需要整個網絡各個環(huán)節(jié)的工作者不斷地積累工作經驗，加強專業(yè)知識的學習和技能提高。不斷地根據實際情況完善軟件、硬件防護體系，才能使網絡保持在平穩(wěn)的狀態(tài)中運行。