校園網(wǎng)絡(luò)的常見問題與建議

周　健

[摘要]校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多重要角色。校園網(wǎng)的安全問題始終困擾著網(wǎng)絡(luò)管理人員，主要介紹集中應(yīng)對網(wǎng)絡(luò)安全問題的策略。

[關(guān)鍵詞]校園網(wǎng)絡(luò)網(wǎng)絡(luò)安全分析對策入侵檢測

中圖分類號：G20文獻(xiàn)標(biāo)識碼：A文章編號；1671—7597(2009)0620072-01

一、引言

校園網(wǎng)對提高學(xué)校的教育教學(xué)質(zhì)量，推進(jìn)以創(chuàng)新精神為核心的素質(zhì)教育起著至關(guān)重要的作用。如何保障網(wǎng)絡(luò)教學(xué)的正常進(jìn)行，教學(xué)資源的合法訪問，使網(wǎng)絡(luò)免受黑客、病毒、惡意軟件和其他不良意圖的攻擊就顯得尤為重要。校園網(wǎng)由于自身的特點也是安全問題比較突出的地方，安全管理也更為復(fù)雜、困難。其他網(wǎng)絡(luò)相比，我校校園網(wǎng)的以下特點導(dǎo)致安全管理非常復(fù)雜。

二、校園網(wǎng)安全特點

(一)我校校園中的計算機系統(tǒng)比較復(fù)雜。我校校園網(wǎng)建于1990年。至今校園網(wǎng)已經(jīng)經(jīng)過了4次升級，學(xué)校里的計算機與網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備情況非常復(fù)雜，比如辦公系統(tǒng)的電腦有近7個批次，絕大部分是聯(lián)想機器，有部分為組裝及其他品牌，電腦使用率都比較高，再加上學(xué)校家屬區(qū)納入我校校園網(wǎng)，其電腦都是自己購買、自己維護(hù)。

(二)用戶群體比較活躍。學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，雖然我校規(guī)定學(xué)生不能夠帶電腦來校：但是每個班級配有多媒體設(shè)備，而且網(wǎng)絡(luò)是完全開放的，有些學(xué)生經(jīng)常利用下課時間嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，破壞校園網(wǎng)絡(luò)。

(三)網(wǎng)絡(luò)環(huán)境比較開放?，F(xiàn)在教學(xué)使用的課件體現(xiàn)了數(shù)據(jù)類型多樣(數(shù)據(jù)、語音、視頻等)，以及學(xué)校的無紙化辦公等特點決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也是較為寬松的。

(四)資金投入比較有限。我校對校園網(wǎng)的投入比較重視硬件(網(wǎng)絡(luò)終端如電腦、打印機等設(shè)備)建設(shè)，比較輕視網(wǎng)絡(luò)安全，特別是管理和維護(hù)人員方面的投入明顯不足。我校只有2個網(wǎng)管人員，基本上只能維護(hù)網(wǎng)絡(luò)的正常運行，無暇顧及、也沒有條件管理和維護(hù)學(xué)校數(shù)百臺計算機的安全。

(五)盜版資源泛濫。由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。我校辦公電腦基本上采用正版操作系統(tǒng)及殺毒軟件，但是教師生活區(qū)的電腦操作系統(tǒng)很難統(tǒng)一控制管理。

(六)用戶群體網(wǎng)絡(luò)安全意識比較薄弱。我校師生使用電腦水平良莠不齊，網(wǎng)絡(luò)安全意識比較淡薄，操作也不規(guī)范。有些老師的計算機接入校園網(wǎng)后感染病毒，反過來這臺感染病毒的計算機又影響了校園網(wǎng)的運行，于是出現(xiàn)終端系統(tǒng)用戶和網(wǎng)絡(luò)管理員相互指責(zé)的現(xiàn)象，浪費了大量的時間和精力。

三、校園網(wǎng)常見攻擊

以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)。因此導(dǎo)致當(dāng)前校園網(wǎng)常見的風(fēng)險如下：

1學(xué)校終端電腦普遍存在的操作系統(tǒng)的安全漏洞，對信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運行構(gòu)成嚴(yán)重的威脅(特別是AIiP攻擊)；2公用電腦(如各班級、處室)計算機蠕蟲、病毒泛濫，影響網(wǎng)絡(luò)安全運行；3外來的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計算機已經(jīng)被攻破，用作黑客攻擊的工具：拒絕服務(wù)攻擊目前越來越普遍，不少開始針對重點高校的網(wǎng)站和服務(wù)器；4內(nèi)部用戶的攻擊行為，這些行為給校園網(wǎng)造成了不良的影響，破壞了學(xué)校網(wǎng)絡(luò)的安全運行；5校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用，有的老師利用免費的校園網(wǎng)資源提供商業(yè)的或者免費的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用。

四、安全策略

我認(rèn)為加強校園網(wǎng)的安全管理工作需要從管理和技術(shù)兩個方面綜合考慮：

(一)加強安全組織瞥理建設(shè)。目前普遍認(rèn)為校園網(wǎng)安全管理工作應(yīng)該由網(wǎng)絡(luò)中心承擔(dān)，但是事實上，安全管理工作非常復(fù)雜，可能涉及各處室、班級的老師和學(xué)生，建議由學(xué)校具有決策權(quán)的機構(gòu)和領(lǐng)導(dǎo)組織和協(xié)調(diào)各處室的管理工作。另外，安全管理各項措施的實施，單純依靠網(wǎng)絡(luò)中心的力量也是不充分的。班級處室宿舍安全管理分級負(fù)責(zé)的組織體系建設(shè)仍然是必要的。

(二)加強網(wǎng)絡(luò)管理員及師生網(wǎng)絡(luò)安全意識培訓(xùn)。加強師生安全意識和管理員安全技術(shù)的培訓(xùn)工作非常重要。我校針對老師開展一些有關(guān)網(wǎng)絡(luò)安全方面的校本培訓(xùn)，及通過開展關(guān)于網(wǎng)絡(luò)安全的選修課、講座等形式加強學(xué)生的網(wǎng)絡(luò)安全意識。對于網(wǎng)絡(luò)管理員，一定要重視專業(yè)培訓(xùn)。網(wǎng)管人員自身要加強網(wǎng)絡(luò)安全意識，要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對系統(tǒng)日志進(jìn)行管理。對公共機房要實行精確對人，我校使用的是機位的使用登記制度，這樣可對網(wǎng)絡(luò)用戶和服務(wù)帳號進(jìn)行精確的控制。定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置-進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。

(三)選擇適合的殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。采用的殺毒軟件最好能夠支持所有的主流平臺，并實現(xiàn)軟件安裝、升級、配置的中央管理；該殺毒軟件要能保護(hù)校園網(wǎng)所有可能的病毒入口·我校使用的殺毒軟件是瑞星網(wǎng)絡(luò)版，基本上可以保護(hù)各處室的電腦，網(wǎng)絡(luò)管理人員要及時更新病毒庫，最大限度的隔離病毒的傳播。

(四)采用VLAN技術(shù)(生活區(qū))。我校在2007年升級網(wǎng)絡(luò)中心的時候，更換了全部的交換機(現(xiàn)在用華為H3C E系列，支持VI,AN)，運用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。我們把學(xué)校的網(wǎng)絡(luò)分為10個段，其中教師生活區(qū)每幢宿舍樓各一個，班級教學(xué)一個，辦公網(wǎng)絡(luò)一個。網(wǎng)絡(luò)中心實時監(jiān)測，只要發(fā)現(xiàn)哪個網(wǎng)段有問題，馬上隔離排查，這樣比較有效地控制了病毒及數(shù)據(jù)廣播在整個校園網(wǎng)的傳播。

(五)訪問控制(教室電腦)。對于學(xué)校電腦機房，實行訪問控制。這也是網(wǎng)絡(luò)安全防范和保護(hù)的最主要措施之一，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限，用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。

五、結(jié)束語

總之，校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，以上是本來擔(dān)任學(xué)校網(wǎng)絡(luò)管理員以來碰到的一些問題及建議。隨著計算機通信技術(shù)和教育現(xiàn)代化的不斷發(fā)展，校園網(wǎng)網(wǎng)絡(luò)將日益成為學(xué)校日常教學(xué)、教研和管理工作必不可缺的基礎(chǔ)設(shè)施。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于加強網(wǎng)絡(luò)安全性，確保校園網(wǎng)的正常運行顯得十分重要。