加固校园网安全

　　自1994年以来，互联网在我国取得了飞速发展，联网的计算机、上网用户和网站的数目逐年倍增。各大专院校相继建立了自己的校园网。Internet技术和现代教育的快速发展以及越来越紧密的结合使得校园网成为学校教育、教学、科研和管理的重要平台。

　　校园网的安全稳定运行对于学校未来的发展及学校教育水平、教学水平、科研水平和现代化办学水平的提高都具有重大意义，对于加强与主管部门、兄弟院校和学生家长的沟通交流，甚至和国际接轨也具有不可忽视的作用。与此同时，随着校园网络规模的不断扩大和校园网应用的普及，网络设备和网络用户激增，校园网的网络安全问题也日渐突出，制约了校园网进一步发展、普及。

　　本文在对校园网存在的网络安全问题进行详尽分析的基础上，提出相应的防范措施。

　　威胁校园网安全的因素

　　1.现有网络内在安全的脆弱性

　　Internet作为一种开放的、标准的技术，是面向所有用户的，所有资源均通过网络共享。当前，计算机网络系统都在使用的TCP/IP协议以及FTP、E-mail、NFS等应用，本身都包含着许多影响网络安全的因素，存在着许多漏洞。

　　2.操作系统自身的缺陷

　　由于操作系统的程序是动态连接的，I/O设备的驱动程序与系统服务都可以用打补丁的方法升级和动态连接。这种途径不但操作系统的开发商可以使用，“黑客”也可以使用。因此，这种使用打补丁与渗透开发的操作系统是不可能从根本上解决安全问题的。操作系统可在网络节点上远程创建与激活进程，更令人不安的是创建的进程具有可创建新进程的权力，再加上操作系统支持在网络上加载程序，就构成了在远端服务器上安装“间谍”软件的条件。网络操作系统提供的RPC服务、Daemon系统进程等也是黑客的最爱。

　　3.应用软件本身的漏洞

　　我们日常使用的Microsoft Office套件漏洞不断、补丁不断，它也存在操作系统的脆弱性。另外，不管是日常经常使用的Microsoft Office套件，还是不经常用到的数据库管理系统(DBMS)，它们的安全都建立在操作系统基础之上，必须与操作系统的安全配套，这使得它们在安全方面存在先天不足。

　　4.花样翻新、愈演愈烈的计算机病毒和黑客攻击

　　系统软件和应用软件的漏洞不断以及Internet先天的脆弱性使得计算机病毒有了存在的先天土壤。一些人出于好奇、逞能心理，还有一些人出于报复或其他动机，编写病毒程序或攻击他人的服务器。

　　5.管理员和用户本身安全意识不强

　　管理员和用户本身安全意识不强，用户名及密码太简单。一些网络使用多年，网络管理员与用户的用户名、密码从未改过，甚至还处于缺省状态。许多网络安全事故都是由内部人员的不规范操作或有意破坏造成的。

　　6.使用者自身的特点

　　校园网络有别于一般的Intranet。首先，它的主要使用者为处于青少年阶段的学生，他们好奇心强、求胜逞强心重、法律意识比较淡泊，大部分学校对他们的信息道德教育不到位，使他们产生崇拜黑客的想法，总想一试身手；其次，某些网站为了点击率及自身的利益，提供黑客软件及教程下载；此外，学生精力旺盛，掌握了大量的计算机和网络专业知识，所以他们易产生黑客行为或编写病毒程序。

　　7.内部的不安全因素

　　随着Intranet在教育行业的普及和发展，各学校的网站也不再仅仅用于宣传。对外用于远程教育、教学资源等有偿服务，对内用于办公自动化、无纸化办公等。校园网上大部分资料信息(包括考试题库、学生成绩、学生档案、人事信息、财务账目等)绝不能被非法访问或更改。一般企业网的不安全因素主要来自外部，而校园网的不安全因素主要来自内部。

　　8.学生的攻击

　　学生接触最多的就是校园网络，对之相对熟悉了解，而校园网上又有很多他们感兴趣的东西，所以学校网站比较容易成为他们首选的攻击目标。另外，从病毒发展的历史可以看出，病毒程序的编写者主要是青年人，以在校大学生为主，所以校园网也比较容易成为病毒程序的试验场。

　　在校园网接入Internet后，师生都可以通过校园网络上网浏览信息，为教师了解新的教育信息、学习新的教学方法提供了方便，为学生打开了一扇了解世界的窗户，使师生可以在信息的海洋中遨游。然而，Internet上的信息良莠不齐，有关黄色、暴力、邪教内容的网站泛滥，这些有毒的信息违反人类的道德标准和有关的法律规范，对人生观和世界观正在形成的学生来说，危害非常大。如果防范措施不力，部分学生可能会进入这些网站，还可能会把这些信息在校园网内传播。

　　防范措施

　　目前，比较成熟的网络安全技术产品有：防火墙、入侵检测、身份认证、病毒防范、信息过滤、数据加密、VPN、VLAN、容错、数据备份、地址绑定等。但网络安全不只是这些技术产品的简单堆砌，它是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。

　　1.根据用户的特性和需求划分VLAN

　　校园局域网与其他企事业单位的局域网相比，联网计算机及网络用户的群体更为复杂。有教师备课机、学生机房、学生宿舍、图书馆、家属区以及人事、财务、后勤等行政办公计算机等。不同的用户对于网络有着不同的需求，对于自身信息的安全性要求也不同，据此可以将校园网划分为多个VLAN。

　　2.在校园网出口设置防火墙网关

　　防火墙网关能有效隔离校园网和外部互联网，使校园网与互联网之间的访问连接得到有效控制，阻止黑客对校园网的非法访问和攻击。针对校园网中部分重要的网段(如院长办公室、教务、财务、人事、科研中心、重要实验室等)设置防火墙网关，将他们和学生机房、学生宿舍及家属区的网段隔离，提供最基本的网络层的访问控制，使之不会受到来自校内其他网段的攻击。

　　3.合理运用入侵检测技术

　　入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。可以利用入侵检测技术构架校园网的主动防御体系，加强对校园网特别是行政、教研、服务器等重点网段的保护。

　　4.设置访问控制管理系统和智能信息过滤系统

　　在学生上网比较集中的网段(如学生机房、学生宿舍、图书馆等)，设置Internet访问控制管理系统和智能信息过滤系统，从技术上对学生的上网行为进行管理和监控，防止学生有意无意访问含有黄、赌、毒、暴力、邪教等内容的网站。另外，还要加强对学生的信息道德教育、法制教育及上网行为的管理，使他们不再主动上网浏览、下载、传播这类信息。

　　5.加强服务器安全设置

　　服务器是校园网的核心设备，也是黑客们的主要攻击对象，所以它们要有最高的安全性。网络操作系统是校园网服务器系统中最重要的组成部分，用户通过使用网络操作系统来使用校园网络资源，所以服务器安全的前提是网络操作系统的安全。

　　提示：安装Windows Server 2003时选择高版本的英文版，所有分区采用NTFS格式，系统和日志一个区，另外基本上一个应用服务一个区。

　　安装时选择定制安装，只安装需要的服务组件，安装完Windows 2003后，要先升级、打补丁、安装应用程序，然后再联网调试；在服务器上只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议，解除NetBIOS和TCP/IP协议的绑定；把共享文件的授权用户从“Everyone”组改为具体的授权用户；把权限从“完全控制”改为想给的授权；关闭默认共享、远程管理和远程IPC，防止IPC入侵；账户和密码位数要足够长、足够复杂、经常更改，不能用姓名、电话、生日、学校名、科室名等简单的单词当密码；开启账户策略中的密码策略，启用密码复杂性要求，设置密码最长存活期；默认状态下所有端口都是开启的，可以根据服务器所提供服务的性质，关闭那些不需要开启的服务和端口；安全审（下转第117页）（上接第116页）核是Windows 2000自带的入侵检测方法，应开启安全审核策略；服务器安装设置完好后为它创建一个紧急修复磁盘，防备系统一不小心被破坏而不能正常启动；对服务器进行漏洞扫描，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞，消除安全隐患。

　　6.加强防范，防止病毒泛滥

　　要建立一个有效合理的病毒预防和查杀机制。通过在网络中部署分布式、网络化的防病毒系统，不仅可以让单机有效地防止病毒侵害，还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。

　　◆ 及时有效对病毒进行查杀。

　　◆ 保证所有计算机都安装了网络版杀毒软件的客户端，不能漏掉一个，否则就会出现“木桶效应”，使整个网络重新被病毒感染。

　　◆ 及时升级服务器端杀毒软件的病毒库，并要求客户端也要及时升级病毒库，并定期进行全网计算机病毒扫描。

　　◆ 近年爆发的计算机病毒如冲击波、震荡波、QQ尾巴等都是利用操作系统或应用软件本身的漏洞进行传播，所以要及时安装系统补丁，截断病毒传播的途径，配合杀毒软件起到双重防范病毒的效果。

　　◆ 要求校园网用户在安装了学校提供的网络版杀毒软件后，不得再私自安装其他杀毒软件，以免互相冲突。

　　7.在防火墙内口上捆绑IP和MAC地址，在汇聚交换机上捆绑IP和MAC地址，在接入交换机上捆绑端口和MAC地址。

　　通过MAC地址、IP地址、交换机端口的双重捆绑，解决校园网中IP地址盗用问题和IP冲突问题。

　　8.容错和备份

　　对于重要的服务器，可以进行双机热备、磁盘镜像；对于重要的数据信息，采用数据备份技术，要定期进行备份、存储，做到防患于未然。一旦出现系统瘫痪、崩溃，可通过备份的数据信息快速地恢复系统。

　　9.加强内部安全管理，提高用户的安全意识

　　为了确保网络和系统的正常运转，应该建立严格的局域网管理制度和机房上机管理制度，杜绝人为因素造成网络不安全。配备相应的网络管理人员负责整个网络安全的日常管理及维护。

　　校园网络安全问题的解决不仅仅需要先进的网络安全技术及网络安全设备，更需要严格的校园网管理制度和校园网安全意识，是一个系统化的工程，涉及范围很广。随着校园网规模的扩大和网络应用的发展,还会出现新的网络安全问题,所以不会有绝对的和永久的安全，因此网络管理员就需要不断学习，提高自身技术水平。