付達(dá)杰　連飛

【摘要】計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率，實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。高校網(wǎng)絡(luò)在高校建設(shè)中發(fā)揮著越來越重要的作用，因此高校網(wǎng)絡(luò)安全成為廣泛關(guān)注的焦點(diǎn)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防范措施；高校；安全策略

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01—0386-02

高校網(wǎng)絡(luò)廣泛的應(yīng)用已成為高校中不可缺少的基礎(chǔ)設(shè)施，教學(xué)輔助、行政管理、圖書管理等日常應(yīng)用管理使得高校網(wǎng)絡(luò)的規(guī)模在逐漸擴(kuò)大，同時(shí)系統(tǒng)應(yīng)用的不斷深入也使得網(wǎng)絡(luò)環(huán)境更加復(fù)雜。高校網(wǎng)絡(luò)具有連接形式多樣化，終端分布不均，網(wǎng)絡(luò)開放性、互連性強(qiáng)等特征，從而高校網(wǎng)絡(luò)安全成為一個(gè)重要問題。

一、網(wǎng)絡(luò)安全概念

所謂網(wǎng)絡(luò)安全就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)亦不被中斷，也就是說，計(jì)算機(jī)網(wǎng)絡(luò)的安全性，是由數(shù)據(jù)的安全性、系統(tǒng)的安全性和內(nèi)部管理人員的安全意識等幾部分組成。

二、高校網(wǎng)絡(luò)的特點(diǎn)

（1）速度快、規(guī)模大

校園網(wǎng)是最早的寬帶網(wǎng)絡(luò)，普遍使用以太網(wǎng)技術(shù)決定了校園網(wǎng)最初帶寬不低10Mbps。目前普遍使用了百兆到桌面、千兆甚至萬兆實(shí)現(xiàn)主干互聯(lián)，校園網(wǎng)的用戶群體一般也比較大，少則數(shù)千人多則數(shù)萬人。高校學(xué)生一般集中在宿舍、微機(jī)室，因?yàn)橛脩羧罕容^密集，正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問題一般蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。

（2）計(jì)算機(jī)系統(tǒng)管理復(fù)雜

高校網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)的購置和管理情況比較復(fù)雜，如學(xué)生宿舍電腦一般學(xué)生自己花錢購買、自己維護(hù)的，因?yàn)闆]有統(tǒng)一的資源管理和設(shè)備管理，出現(xiàn)安全問題后，通常無法分清責(zé)任。比較典型的現(xiàn)象是，用戶的計(jì)算機(jī)接入校園網(wǎng)后感染了病毒，反過來這臺感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)的正常運(yùn)行，這時(shí)出現(xiàn)客戶端系統(tǒng)用戶和網(wǎng)絡(luò)管理員相互指責(zé)的現(xiàn)象。

（3）網(wǎng)絡(luò)環(huán)境的開放

因?yàn)榻虒W(xué)和科研的特點(diǎn)決定了網(wǎng)絡(luò)環(huán)境開放性、管理也是較為寬松的。如企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量，甚至不允許外部發(fā)起的連接進(jìn)入不了防火墻，但是在高校網(wǎng)絡(luò)環(huán)境下通常是行不通的，至少在校園網(wǎng)的主干不能實(shí)施過多的限制，否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。

三、高校網(wǎng)絡(luò)面臨的安全問題

因?yàn)楦咝Ｓ?jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性和共享性的特點(diǎn)，不可避免地會受到病毒、惡意軟件和其他不軌行為的安全威脅和攻擊，導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡(luò)癱瘓的事情時(shí)有發(fā)生。那么如何維護(hù)好網(wǎng)絡(luò)的安全，就成了高校網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

（1）網(wǎng)絡(luò)硬件系統(tǒng)

硬件安全問題可以分為兩種，一種是物理安全，一種是設(shè)置安全。從物理上講，高校校園網(wǎng)絡(luò)的安全是脆弱的，因?yàn)樾@網(wǎng)絡(luò)設(shè)備分布較為廣泛，任何個(gè)人或部門都不能時(shí)刻對這些設(shè)備進(jìn)行全面監(jiān)控；另一個(gè)方面，大多數(shù)高校將有限的經(jīng)費(fèi)主要投入在一些基本的網(wǎng)絡(luò)設(shè)備上，對于保證網(wǎng)絡(luò)安全的硬件投入較少，例如只注重服務(wù)器、路由器、交換機(jī)的性能而忽略了防火墻、殺毒軟件的重要性，相對減少投入，所以導(dǎo)致校園網(wǎng)基本還處在一個(gè)個(gè)開放的狀態(tài)，沒有任何有效的安全預(yù)警機(jī)制和防范措施。

（2）來自校園網(wǎng)內(nèi)部攻擊

學(xué)生作為計(jì)算機(jī)的特殊使用群體，他們對互聯(lián)網(wǎng)的黑客技術(shù)、校園網(wǎng)的結(jié)構(gòu)與應(yīng)用模式、操作系統(tǒng)的漏洞等等都是沒有太多秘密而言的，但他們的好奇心強(qiáng)，而學(xué)院又沒有有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，因此學(xué)生很容易運(yùn)用ARP欺騙、黑客攻擊軟件等手段。在這樣的情況下，校園網(wǎng)絡(luò)必然承受大量的來自內(nèi)部的攻擊，而源于內(nèi)部的攻擊恰恰是很難防御的。

（3）來自校園網(wǎng)外部攻擊

來自Internet的病毒攻擊。在享受Internet的高效便捷的同時(shí)，大量的網(wǎng)絡(luò)病毒也伴隨攻擊而來。計(jì)算機(jī)病毒直接影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行速度，破壞系統(tǒng)軟件和文件系統(tǒng)，甚至造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。現(xiàn)階段，出現(xiàn)了專門攻擊計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒，如特洛伊木馬、蠕蟲病毒、AV終結(jié)者等等。

來自黑客攻擊。高校園網(wǎng)絡(luò)不成熟，管理也比較松散，因此網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、開放性和易受攻擊性?？赡軙π@網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸，致使服務(wù)中斷，也可能入侵Web或其他文件服務(wù)器刪除或篡改數(shù)據(jù)，致使系統(tǒng)癱瘓甚至完全崩潰，此外黑客還有可能向網(wǎng)絡(luò)傳送附帶病毒的文件，達(dá)到間接破壞的目的，因此黑客的攻擊不僅殺傷力大，而且隱蔽性強(qiáng)。

（4）操作系統(tǒng)或軟件的漏洞

高校網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)大多為WindowsXP、UNIX、Linux等，由于系統(tǒng)或多或少都存在不同程度的安全漏洞，微軟的操作系統(tǒng)界面深得人心，但其層出不窮的安全漏洞也令人堪憂，如不對操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)各種漏洞，計(jì)算機(jī)即使安裝了防毒軟件也會反復(fù)感染。

各種應(yīng)用軟件同樣存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅，而且高校里面很多學(xué)生從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，這些軟件的使用也可能被攻擊者侵入和利用。

（5）管理方面的問題

高校網(wǎng)絡(luò)的用戶群體少則數(shù)千人、多則數(shù)萬人，數(shù)據(jù)量大、速度快，隨著接人校園網(wǎng)節(jié)點(diǎn)日漸增多，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播，加上學(xué)院對上網(wǎng)場所管理較混亂，由于缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無法唯一識別，存在極大的安全隱患。

四、網(wǎng)絡(luò)安全防范策略

1、設(shè)備安全管理策略

在高校網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段，網(wǎng)絡(luò)中心應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題，將一些重要的網(wǎng)絡(luò)設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中式管理。各種通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止無意損壞。對于終端設(shè)備如工作站、小型交換機(jī)、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人，進(jìn)行嚴(yán)格管理，同時(shí)，校園網(wǎng)設(shè)備的選用也應(yīng)從安全角度考慮選用具有較高的可用性、可靠性、可擴(kuò)展性，支持對稱多處理器、內(nèi)存糾錯(cuò)能力強(qiáng)的服務(wù)器、三層交換技術(shù)和磁盤管理等因素。

2、漏洞掃描系統(tǒng)策略

解決網(wǎng)絡(luò)中安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估風(fēng)險(xiǎn)并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。例如：采用NSS網(wǎng)絡(luò)安全掃描器，定期對校園網(wǎng)絡(luò)服務(wù)器、工作站、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果得到校園網(wǎng)絡(luò)詳細(xì)可靠的安全性分析報(bào)告，進(jìn)而提高網(wǎng)絡(luò)安全的整體水平。

3、軟件防范策略

（1）使用正版操作系統(tǒng)，及時(shí)打補(bǔ)丁和系統(tǒng)升級

使用正版的操作系統(tǒng)軟件，可以確保使用者訪問最新的功能、安全性和技術(shù)支持，有助于提高工作效率和擴(kuò)展PC的功能，另外，目前使用的各類操作系統(tǒng)并不是非常安全，在安全性方面存在著很多漏洞，因此，使用者還要及時(shí)上網(wǎng)更新系統(tǒng)，到專門的網(wǎng)站上下載補(bǔ)丁程序，第一時(shí)間確保操作系統(tǒng)的安全性。

（2）殺毒軟件

可以通過購買專殺病毒的工具軟件，殺毒軟件應(yīng)具有能夠支持所有系統(tǒng)的平臺，并實(shí)現(xiàn)軟件安裝、升級、配置的中央管理，要能保護(hù)校園網(wǎng)所有可能的病毒人口，即要支持所有可能用到的Internet協(xié)議及郵件系統(tǒng)，具有較強(qiáng)的防護(hù)功能，可對數(shù)據(jù)程序提供有效保護(hù)的特征。

4、信息過濾與防火墻技術(shù)策略

過濾器技術(shù)可以屏蔽不良的網(wǎng)站，對網(wǎng)上色情、暴力和邪教等有了強(qiáng)大的堵截功能。有害信息過濾對于大中型高職院校校園網(wǎng)絡(luò)，必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng)，實(shí)現(xiàn)對整個(gè)校園內(nèi)電腦訪問互聯(lián)網(wǎng)進(jìn)行有害信息過濾管理。

防火墻技術(shù)是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，在Internet與校園網(wǎng)內(nèi)網(wǎng)之間安裝防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。它用來限制外部非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源，通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入，防止偷竊或起破壞作用的惡意攻擊。也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤。

5、管理方面

（1）組織管理機(jī)構(gòu)

建立一個(gè)專門負(fù)責(zé)安全管理的組織機(jī)構(gòu)，該組織機(jī)構(gòu)由學(xué)校主要領(lǐng)導(dǎo)掛帥，并由技術(shù)部門和管理部門的人員構(gòu)成。該組織機(jī)構(gòu)制定安全政策和策略以及一系列體現(xiàn)安全政策的規(guī)章制度并監(jiān)督執(zhí)行。該組織機(jī)構(gòu)還負(fù)責(zé)對師生員工加強(qiáng)安全教育，增強(qiáng)他們的安全意識。網(wǎng)絡(luò)的安全組織機(jī)構(gòu)的設(shè)置盡量與行政隸屬關(guān)系一致，借助行政手段確保網(wǎng)絡(luò)安全政策的順利實(shí)施。為了組織機(jī)構(gòu)能夠更好的開展工作，細(xì)化分工，機(jī)構(gòu)應(yīng)分別建立若干小組。包括：網(wǎng)絡(luò)安全監(jiān)控審計(jì)小組，負(fù)責(zé)調(diào)查非法的外部或內(nèi)部入侵；網(wǎng)絡(luò)安全預(yù)警小組，負(fù)責(zé)研究跟蹤各種滲透和反滲透技術(shù)；網(wǎng)絡(luò)訪問控制小組，負(fù)責(zé)統(tǒng)一用戶、權(quán)限、設(shè)備的管理；安全技術(shù)應(yīng)急反應(yīng)小組，負(fù)責(zé)處理事故、修復(fù)系統(tǒng)和數(shù)據(jù)等。

（2）制定安全管理制度

建立和完善安全管理制度，強(qiáng)化安全管理，做到嚴(yán)格按照安全管理制度進(jìn)行規(guī)范操作。要確保網(wǎng)絡(luò)安全在安全管理機(jī)構(gòu)的領(lǐng)導(dǎo)下嚴(yán)格制定和執(zhí)行安全管理制度，設(shè)立安全崗位，層層落實(shí)安全責(zé)任制，做到責(zé)任到人。

總體上講，校園網(wǎng)安全建設(shè)是以安全策略為核心，以安全設(shè)施為支撐，以安全技術(shù)為手段，以管理措施和安全服務(wù)為保障，并通過安全培訓(xùn)加強(qiáng)所有用戶的安全意識，從而完善安全防范體系賴以生存的大環(huán)境。另外值得我們注意的是，由于安全問題的日趨復(fù)雜，加之校園網(wǎng)自身的情況也在不斷地發(fā)展變化，因此校園網(wǎng)安全建設(shè)也應(yīng)該是隨之動(dòng)態(tài)變化的，這樣才能確保它的有效性和先進(jìn)性。

參考文獻(xiàn)

[1]王智賢，現(xiàn)代網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒及其防治計(jì)算機(jī)與網(wǎng)絡(luò)2005

[2]蔣少萍，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及優(yōu)化方案計(jì)算機(jī)與網(wǎng)絡(luò)2005

[3]李超，于博，周立.高校網(wǎng)安全管理策略綜述.電腦知識與技術(shù)，2008