馬新華

摘 要：目前技工院?；旧隙紭?gòu)建了校園網(wǎng)絡(luò)，通過(guò)校園網(wǎng)對(duì)教育教學(xué)進(jìn)行管理，從互聯(lián)網(wǎng)獲取教育教學(xué)資源，以實(shí)現(xiàn)辦公自動(dòng)化，但是校園網(wǎng)給我們帶來(lái)便利的同時(shí)，也給我們提出了如何加強(qiáng)校園網(wǎng)絡(luò)安全管理的問(wèn)題。

關(guān)鍵詞：校園網(wǎng)；計(jì)算機(jī)病毒；防火墻；黑客；網(wǎng)絡(luò)安全

校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，在技工院校的教學(xué)、教研、管理和對(duì)外聯(lián)絡(luò)工作過(guò)程中起著重要的作用。隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)的安全問(wèn)題日益突出。安全策略越來(lái)越成為校園網(wǎng)絡(luò)的關(guān)健因素。如何使校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，已成為技工院校越來(lái)越重視的問(wèn)題，針對(duì)目前技工院校園網(wǎng)存在的安全問(wèn)題、特點(diǎn)和常見(jiàn)的威脅進(jìn)行分析，提出加強(qiáng)校園網(wǎng)絡(luò)安全管理的相應(yīng)對(duì)策。

一、技工院校校園網(wǎng)的特點(diǎn)

校園網(wǎng)是覆蓋校園范圍的計(jì)算機(jī)網(wǎng)絡(luò)，主要采用計(jì)算機(jī)局域網(wǎng)技術(shù)、互聯(lián)網(wǎng)技術(shù)及網(wǎng)絡(luò)接入技術(shù)。校園網(wǎng)由于網(wǎng)絡(luò)普及、用戶(hù)群密集而且活躍的特點(diǎn)，是安全問(wèn)題比較突出的地方，安全管理也較為復(fù)雜、困難。與政府或企業(yè)網(wǎng)相比，技工院校園網(wǎng)的以下特點(diǎn)導(dǎo)致安全管理非常復(fù)雜。

（一）資金投入不足，網(wǎng)絡(luò)管理人員不夠。校園網(wǎng)的建設(shè)和管理常都輕視網(wǎng)絡(luò)安全，其主要原因是技工院校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)不足和現(xiàn)有網(wǎng)絡(luò)管理員的人手不夠，技工院校一般將有限的經(jīng)費(fèi)投在其他關(guān)健設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒(méi)有比較系統(tǒng)的投入；再則，由于網(wǎng)絡(luò)管理員人手缺少網(wǎng)絡(luò)管理難于到位。致使校園網(wǎng)處在一個(gè)開(kāi)放的狀態(tài)，無(wú)法實(shí)時(shí)監(jiān)控，缺少有效的安全預(yù)警手段和防范措施。

（二）校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜。校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)的購(gòu)置和管理情況非常復(fù)雜。比如學(xué)生宿舍中的電腦一般是學(xué)生自己花錢(qián)購(gòu)買(mǎi)、自己維護(hù)的，在這種情況下，要求所有的客戶(hù)端系統(tǒng)實(shí)行統(tǒng)一的安全政策（如安裝防病毒軟件、設(shè)置可靠的口令）是非常困難的。由于沒(méi)有統(tǒng)一的設(shè)備管理，出現(xiàn)安全問(wèn)題后通常無(wú)法分清責(zé)任。

（三）用戶(hù)群規(guī)模大。校園內(nèi)用戶(hù)群體密集，由于高寬帶和大用戶(hù)量的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題一般蔓延較快，對(duì)網(wǎng)絡(luò)影響比較嚴(yán)重。

（四）網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有制定完善的網(wǎng)絡(luò)安全管理制度。校園網(wǎng)絡(luò)上的用戶(hù)安全意識(shí)淡薄，大量非正常訪問(wèn)導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)也為網(wǎng)絡(luò)帶來(lái)了極大的安全隱患。另外，由于網(wǎng)絡(luò)安全管理機(jī)制不完善，致使不能有效地管理好校園網(wǎng)。

二、技工院校校園網(wǎng)絡(luò)存在的安全問(wèn)題

（一）系統(tǒng)漏洞。普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅。主要存在以下安全隱患；本身系統(tǒng)的漏洞，瀏覽器的漏洞，IIS的漏洞等。

（二）病毒的危害。通過(guò)網(wǎng)絡(luò)傳播病毒無(wú)論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入internet后，為外面的病毒進(jìn)入學(xué)校網(wǎng)絡(luò)打開(kāi)方便之門(mén)，下載的程序和電子郵件都可能帶有病毒。

（三）外來(lái)的系統(tǒng)入侵、攻擊等嚴(yán)重破壞行為。校園網(wǎng)中有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具；不少黑客技術(shù)開(kāi)始針對(duì)院校網(wǎng)站和服務(wù)器。黑客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，表現(xiàn)在以下幾個(gè)方面：對(duì)學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，破壞學(xué)校形象；向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓；利用學(xué)院的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等。

（四）校園網(wǎng)內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)資源的濫用。有的校園網(wǎng)用戶(hù)利用免費(fèi)的校園資源提供商或者免費(fèi)視頻、軟件資源下載，占用了大量的帶寬影響了校園網(wǎng)的應(yīng)用。

三、技工院校校園網(wǎng)絡(luò)安全管理策略

針對(duì)技工院校校園網(wǎng)內(nèi)用戶(hù)的特殊情況，網(wǎng)絡(luò)用戶(hù)大部分是學(xué)院的各教學(xué)、教研、行政機(jī)關(guān)的教師和管理人員，我們不能對(duì)用戶(hù)做過(guò)多的限制。因此，技工院校校園網(wǎng)絡(luò)安全的建設(shè)與管理必須依據(jù)以下原則進(jìn)行：對(duì)用戶(hù)的硬件要求較低，盡可能利用原有設(shè)備，充分發(fā)揮原有設(shè)備的技術(shù)潛力。同時(shí)考慮添置設(shè)備的先進(jìn)性和可擴(kuò)展性，為今后網(wǎng)絡(luò)的不斷發(fā)展創(chuàng)造良好的條件。校園網(wǎng)涉及的用戶(hù)較多，使用全網(wǎng)管理軟件或全網(wǎng)部署的網(wǎng)絡(luò)版殺毒軟件，會(huì)給網(wǎng)絡(luò)管理帶來(lái)巨大的負(fù)擔(dān)，因此只有采用軟硬件結(jié)合，多種手段相互配合的方式才能達(dá)到最佳的效果。

（一）部署硬件防火墻。防火墻技術(shù)是建立現(xiàn)代通信技術(shù)和信息安全基礎(chǔ)上的應(yīng)用安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，有效地將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)隔離開(kāi)來(lái)，保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

從總體上看，防火墻應(yīng)該具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)訪問(wèn)行為；封堵某些禁止行為；記錄通過(guò)防火墻信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和警告。

根據(jù)技工院校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的實(shí)際情況和運(yùn)行的要求，我們可以采用網(wǎng)絡(luò)入口與WEB服務(wù)器分離管理的安全措施，以確保網(wǎng)絡(luò)訪問(wèn)速度不受影響；其具體方案詳見(jiàn)如下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即：網(wǎng)絡(luò)入口采用高速緩存、地址映射的方法（客戶(hù)不需訪問(wèn)WEB服務(wù)器時(shí)，客戶(hù)的就可以不經(jīng)WEB防火墻直接訪問(wèn)外網(wǎng)），WEB服器采用WAF型防火墻，這樣基本可以做到對(duì)內(nèi)網(wǎng)和WEB服務(wù)器萬(wàn)無(wú)一失的保護(hù)。

校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（二）建立一個(gè)有效合理的病毒防御和查殺機(jī)制。通過(guò)在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機(jī)有效地防病毒侵害，還可以使管理員從中央位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)狀態(tài)下的病毒保護(hù)。主要做法是：網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由網(wǎng)絡(luò)中心系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件廠家網(wǎng)站上獲取最新的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶(hù)端與服務(wù)器端，并自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級(jí)方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒功能；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是由程序自動(dòng)、智能地完成，可以避免由于人為因素造成網(wǎng)絡(luò)中部分用戶(hù)因?yàn)闆](méi)有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。

（三）安裝補(bǔ)丁程序。目前技工院校校園網(wǎng)服務(wù)器一般使用的是微軟windows server 2008操作系統(tǒng)，由于使用較多，漏洞也不斷發(fā)現(xiàn)，微軟的操作系統(tǒng)成了黑客攻擊的對(duì)象。所以裝好系統(tǒng)后一定要進(jìn)行升級(jí)和打補(bǔ)丁，同時(shí)管理員還要經(jīng)常關(guān)注微軟公司的網(wǎng)站，及時(shí)下載最新的操作系統(tǒng)補(bǔ)丁。

（四）定期對(duì)服務(wù)器進(jìn)行備份與維護(hù)。為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)服務(wù)不小心非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次備份外， 還應(yīng)及時(shí)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行備份。同時(shí)應(yīng)將修改過(guò)的重要文件存放在不同服務(wù)器上，以便出現(xiàn)系統(tǒng)崩潰時(shí)可及時(shí)將系統(tǒng)恢復(fù)到正常狀態(tài)。

（五）帳號(hào)和密碼保護(hù)。帳號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線(xiàn)，目前網(wǎng)上的大部分系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始的，一旦黑客進(jìn)入系統(tǒng)，那么前面防衛(wèi)措施幾乎沒(méi)有作用，所以對(duì)服務(wù)器管理員的帳號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全的非常重要的措施。系統(tǒng)管理員密碼的位數(shù)要多，至少應(yīng)該在8位以上，而且不要設(shè)置成容易猜測(cè)的密碼，如自己的姓名、出生年日期等。對(duì)普通用戶(hù)，設(shè)置一定帳號(hào)管理策略，如強(qiáng)制用戶(hù)每月更新一次密碼。對(duì)于一些不常用的帳戶(hù)要關(guān)閉，比如匿名登錄帳號(hào)。

（六）監(jiān)測(cè)系統(tǒng)日志。建立客戶(hù)端上網(wǎng)日志和WEB服務(wù)器上網(wǎng)日志的運(yùn)行監(jiān)測(cè)機(jī)制，通過(guò)運(yùn)行日志程序，系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的帳號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行了分析，你可以知道是否有異常現(xiàn)象。

（七）加強(qiáng)內(nèi)部安全管理，提高用戶(hù)的安全意識(shí)。在使用外來(lái)移動(dòng)存儲(chǔ)設(shè)備時(shí)應(yīng)確保無(wú)病毒后再在校內(nèi)機(jī)器上使用，防止病毒利用校園網(wǎng)進(jìn)行傳播。電子郵件的安全只能由用戶(hù)自己控制；在瀏覽網(wǎng)頁(yè)時(shí)，可能會(huì)遇上陷阱，這些都要求用戶(hù)保持警惕。

（八）配備專(zhuān)職校園網(wǎng)絡(luò)信息安全管理員，強(qiáng)化網(wǎng)絡(luò)信息安全管理職能。根據(jù)技工院校校園網(wǎng)絡(luò)信息安全的實(shí)際情況和校園網(wǎng)絡(luò)信息安全管理的要求，校園網(wǎng)絡(luò)信息安全管理工作至少配備3名專(zhuān)職校園網(wǎng)絡(luò)信息安全管理員（其中：網(wǎng)絡(luò)操作系統(tǒng)及系統(tǒng)安全管理1人，網(wǎng)絡(luò)設(shè)備維護(hù)及設(shè)備安全管理 1人，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)維護(hù)及網(wǎng)絡(luò)信息安全管理 1人），使之能全面的、有效的履行校園網(wǎng)絡(luò)安全管理的職能；進(jìn)一步完善校園網(wǎng)絡(luò)安全管理機(jī)制，進(jìn)一步拓展校園網(wǎng)絡(luò)資源，不斷提升網(wǎng)絡(luò)安全技術(shù)的水平，以確保校園網(wǎng)絡(luò)安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn)。

結(jié)語(yǔ)：互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展對(duì)校園網(wǎng)絡(luò)師生的生活和學(xué)習(xí)已產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中無(wú)處不在。但在享受高科技帶來(lái)的便利的同時(shí)，我們需要清醒地認(rèn)識(shí)到，網(wǎng)絡(luò)安全問(wèn)題的日益突出，越來(lái)越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，只有很好地解決網(wǎng)絡(luò)安全問(wèn)題，校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展。校園網(wǎng)絡(luò)安全問(wèn)題決不是一勞永逸的事情。校園網(wǎng)絡(luò)自身的情況不斷變化，新的安全問(wèn)題不斷涌現(xiàn)，必須根據(jù)情況的變化和現(xiàn)有解決方案中暴露的一些問(wèn)題，不斷進(jìn)行及時(shí)的維護(hù)和更新，保證網(wǎng)絡(luò)安全防范體系的良好發(fā)展，確保它的有效性和先進(jìn)性。

參考文獻(xiàn)：

[1] 賈鐵軍著，《網(wǎng)絡(luò)安全實(shí)用技術(shù)》，北京：清華大學(xué)出版社 ，2011.8[M]

[2] （美）比德韋爾（Bidwell，T.）等著，吳東升等譯，《信息時(shí)代的個(gè)人安全策略》，北京：科學(xué)出版社，2003.6[M]