浅析校园网安全建设

浅析校园网安全建设

随着计算机网络的普及和发展，校园网取得了突飞猛进的发展，成为学校信息化建设的重要基础项目，在学校教学、科研和管理方面起着举足轻重的作用。然而层出不穷的网络病毒和信息安全隐患成为危害校园网运行的突出问题。

一、校园网的特点

笔者从事校园网络管理多年，深刻体会到校园网络具有应用层面多、计算机数量大、使用者较复杂、计算机分布地点较广等特点。

1.应用层面多，计算机数量大

校园网需要满足学校教育教学、行政管理等方面的需要。 校园网需要满足信息技术学科的教学。信息技术教学是校园网的重要应用层面，特别是高中学校，学生要面对信息技术会考。经由笔者调查，一般普通高中学校基本上配备了4个以上机房，每个机房的计算机在46～48台，有的高中学校有多个校区，那么机房和计算机的数量更多。在这种情况下，维护学校机房机器的正常运转，保障教学任务的顺利完成，特别是保障信息技术考试的顺利完成，就是大多数信息技术教师的日常工作，也是最重要的工作之一。而现在初中学校的机房也承担了初中英语口语人机对话考试的任务，这也加大了初中信息技术教师的任务。

校园网需要满足学校的行政管理工作。大部分中学已经顺利完成内网建设，许多日常行政管理工作都经由网络完成，比如签到、一般文件的提交和传达、打印任务申请等。尤其是区县甚至高一级教育管理部门的文件传达、信息流通（学籍管理、考试报名等）也是经由网络传递。所以，维护校园网络内外通畅，提高其安全性和稳定性成为当下的重要任务。

校园网需要满足日常教学工作。笔者走访了一些城区学校，发现随着“校校通”工程的普及，学校的信息化程度得到极大的提高，多媒体教学设备已经普及到了班级，这就意味着对于一所有3个年级、每年级8个班的普通高中或初中学校来说，常备的多媒体设备就有24套，再加上其他公共教室（报告厅、实验室、电子备课室、电子图书馆等），需要维护的计算机数量很大。一般情况下，普通高中学校需维护的计算机数量基本在350～400台，普通初中的计算机数量也要在250台左右。

2.使用者较为复杂

校园网络的使用者涵盖学生、教师、行政人员三个部分。不同使用者对于网络的需求各不相同：对于学生，首先要满足他们日常信息技术学习的需要，其次是特定时间段的信息搜索需要（电子图书馆、电子阅览室）；对于教师，首先要满足班级多媒体设备计算机日常教学需要，其次是教师备课信息搜索需要；对于行政人员来说，不仅要满足日常管理的需要，还要保证与上级主管部门信息渠道的畅通、稳定，以及内网管理系统的正常运行。

同时，使用者对于信息技术以及网络安全技术掌握的程度不同。这些使用者中大部分对于网络安全技术的掌握程度较低，部分使用者掌握程度一般，少数使用者掌握程度较高，只有极少数使用者熟练掌握网络安全技术，甚至可以帮助他人解决网络安全问题。

使用者的复杂程度决定了网络安全管理的复杂性，一方面要考虑到不同使用者的不同需求，另一方面也要考虑到针对网络安全技术掌握程度不同的使用者开放不同程度的安全权限。

3.计算机分布广泛

校园网络计算机的分布不同于一般的办公计算机分布，主要特点是有集中，有分散，个别高中学校有分校区，分布更为广泛。

集中，集中于教学区域，包括教师办公室、常规班级教室、计算机教室、电子备课室、电子阅览室等；分散，分散于行政办公楼的各行政科室。

二、影响校园网安全的因素

由上述分析可以看出，校园网络有不同于一般办公区域网络的特点，所以笔者对影响校园网安全的因素有如下分析。

1.人为因素

使用者的无意失误。安全设置不当极易造成安全漏洞，比如口令遗失或者安全口令过于简单等。

网络攻击者的恶意攻击。笔者走访的初高中学校基本都有自己的主页，而绝大部分网站都被恶意攻击过，网站页面也被不同程度地篡改。目前预防网络攻击还是一项较为高端的技术，建议学校的外网主页使用电信等大型运营商的机房托管服务，或者托管在高一级的教育主管部门机房。

2.病毒以及技术因素

校园网外网路由的安全漏洞。现阶段的学校外网连接普遍是电信的教育专线接入+路由配置，而如果在网络中路由器配置错误，存在匿名FTP、Telnet的开放、口令文件缺乏安全保护、保留了不必要的保密终端、命令的不合理使用等，都会带来或多或少的安全漏洞。黑客大多都是利用这些漏洞攻击网络，比如MAC，IP，TCP的地址标识可以被其他用户窥探到，这为假冒身份提供了方便。

病毒造成的网络安全故障。很大一部分计算机安全故障都是由网络病毒造成的，目前比较普遍的病毒大多通过网络邮件、可执行程序、U盘等移动存储工具传播，许多使用者缺乏一定的安全技术知识，往往不知不觉就成了病毒的传播者。

三、网络安全建设的建议

确保校园网络的安全，应该从硬件架设和管理上入手，关于网络安全建设有

一句话，叫“三分设备，七分管理”。完善的硬件设备提供了网络安全的基础条件，而体现管理者水平、提升校园网质量的关键还是网络的管理水平。

1.校园网络安全的硬件架设

笔者在调查市区一级的普通初高中学校时发现，从“校校通”工程启动至今，绝大部分学校已经升级成电信固定IP、30 M带宽的光纤接入，基于这种WAN连接，可以在硬件架设上采用网管安全硬件接入光纤，使用二层交换技术+三层转发技术架构子网，各子网网段分设服务器管理（如图1所示）。

图1

现在的网关硬件已经集成了硬件防火墙和路由器的功能，提供端口控制、流量控制、DHCP等其他功能，图1的拓扑结构只是显示了2个子网，实际上根据具体需要，可以以物理地址划分多个子网进行管理，也可以根据网络用途划分，比如所有教室计算机划为子网A，办公系统计算机划为子网B，等等。有效地规划子网可以避免广播风暴造成的危害，控制一般网络病毒的传播。