浅谈校园网的安全构建

浅谈校园网的安全构建　胡功林　（江汉大学实验师范学院　湖北　武汉４３００６４）　摘　要　随着校园网的建立，基于校园网的教学、科研和管理的应用系统相继建成和使用，使得人们对网络　的依赖性日益增大。校园网的网络安全问题也日益显得突出，网络信息安全就成为各个院校不得不面对的一个　问题。分析了校园网管理存在的问题，提出了信息安全应采取的防护措施，最后指出校园网安全构建应注意的几　个问题　关键词　校园网　网络环境　网络安全　中图分类号ＴＰ３９３、ｌ８　文献标识码Ａ　ｌ校园网信息安全的分析　情况非常复杂．比如学生宿舍中的电脑一　入明显不足。在中国大多数的校园网中，通　般是学生自己花钱购买、自己维护的，有的　常只有网络中心的少数ｌＴ作人员　他们只　校园网一般由两大部分组成：一部分　院系是统一采购、有技术人员负责维护的，　能维护网络的正常运行，无暇顾及、也没有　是内网部分，包括教学局域网、各院系局域　有些院系则是教师自主购买、没有专人维　条件管理和维护数万台计算机的安全，院、　网、图书馆局域网和办公自动化局域网等，　护的。这种情况下要求所有的端系统实施　系一级专职的计算机系统管理员对计算机　比如安装防病毒软件、设　系统的安全是非常重要的。　形成了院校的管理信息系统。为了确保信　统一的安全政策ｆ息安全．这种局域网必须在物理上采用完　置可靠的口令１是非常困难的。由于没有统　２．６盗版资源泛滥　全隔离的方法。另一部分是外网部分，包括　一一的资产管理和设备管理．出现安全问题　由于缺乏版权意识，盗版软件、影视资　些公开服务器，主要负责与教育科研网、　后通常无法分清责任。比较典型的现象是，　源在校园网中普遍使用，这些软件的传播　一互联网的连接以及远程移动用户等的接　用户的计算机接入校园网后感染病毒，反　方面占用了大量的网络带宽，给网络安　Ｍｉｃｒｏｓｏｆｔ公司　人。这部分是通过外部网交换机连接至互　过来这台感染病毒的计算机义影响了校园　全带来了一定的隐患。比如，联网服务器．构成一个独立的网段。　　网的运行．于是容易出现端系统用户和网　对盗版的ＸＰ操作系统的更新作了限制，外网部分的安全我们不必多说，面临　络管理员相互指责的现象。更有些计算机　盗版安装的计算机系统今后会留下大量的　从网络上随意下载的　很多安全问题：校园内网部分的黑客大部　甚至服务器系统建设完毕之后无人管理，　安全漏洞。另一方面，后门等恶意代码，许　分是在校学生。很多人具有较高的网络水　甚至被攻击者攻破作为攻击的跳板、变成　软件中可能隐藏木马、平和学习能力．极强烈的好奇心和争胜欲　攻击试验床也无人觉察。　望．为了炫耀或者学习实践，对网络有比较　２．３活跃的用户群体　大的攻击性。这就对校园网的管理提出了　多系统因此被攻击者侵入和利用。　根据校园网管理的以上特点，必须有　高等学校的学生通常是最活跃的网络　针对性地对校园网络信息安全采取防护措　　更新、更高的要求——网络安全管理要“内　用户．对网络新技术充满好奇。勇于尝试。　施。外兼防”。　如果没有意识到后果的严重性，有些学生　会尝试使用网上学到的、甚至自己研究的　３校园网信息安全采取的防护措　施　３．１物理上断绝内网部分和外网部分的　连通　２校园网管理主要存在的问题　２．１校园网的速度快和规模大　各种攻击技术，可能对网络造成一定的影　响和破坏　４开放的网络环境　高校校园网是最早的宽带网络，普遍　２．使用的太网技术决定ｒ校园网最初的带宽　由于教学和科研的特点决定了校园网　为了保证内部信息的绝对安全，使内　不低于１０Ｍｂｐｓ，目前普遍使用了百兆到桌　络环境应该是开放的、管理也是较为宽松　网和外网完全隔离。只有在物理上将二者　企业网可以限制允许Ｗｅｂ浏览　完全断开。　面、千兆甚至万兆实现园区主干互联。校园　的。比如．２保证操作系统的安全　网的用户群体一般也比较大，少则数千人、　和电子邮件的流量，甚至限制外部发起的　３．多则数万人。中国的高校学生一般集中住　连接不允许进入防火墙；但是在校园网环　保证操作系统的安全是整个安全系统　宿．因而用户群比较密集。正是由于高带宽　境下通常是行不通的，至少在校园网的主　的根本。特别是服务器上尽量使用非　ＮＤＯＷＳ操作系统，或即使选用ＷＩＮ—　和大用户量的特点．网络安全问题一般蔓　干不能实施过多的限制，否则一些新的应　ＷＩ延快、对网络的影响比较严重。　用、新的技术很难在校园网内部实施。　ＤＯＷＳ操作系统也选用英文的操作系统，　并且要不断增加安全补丁；另外，还需要建　５有限的投入　２．２校园网中的计算机系统管理比较复　２．杂　校园网的建设和管理通常都轻视了网　立一套对系统的监控系统，并建立和实施　　校园网中的计算机系统的购置和管理　络安全．特别是管理和维护人员方面的投　有效的用户口令和访问控制等制度。收稿Ｅｌ期：２００６—０５—２８　１８６　科技创业月刊２００６年第ｌ０期　维普资讯 http://www.cqvip.com

应用技术　３．３重要资料进行备份　访问权限．以防止从外界对网络设备配置　进行合理、科学地设定；②尽量减少高权限　以防止因各种软硬件故障、病毒的侵　的非法修改。　袭和黑客的破坏等原因导致系统崩溃，进　３．９防范计算机病毒　而蒙受重大损失。从对数据的保护来看，选　用户的数量．用户越多，漏洞就越多；③尽　量限制网络使用者对系统及网络的操作权　从病毒发展趋势来看．现在的病毒已　限及使用时间：④网络管理员要对网络用　单种行为，变成依赖互联网　户及用户帐号进行系统的管理；⑤密码要　择功能完善、使用灵活的备份软件是必不　经由单一传播、⑥管理员　可少的。目前应用中的备份软件是比较多　传播．集电子邮件、文件传染等多种传播方　有一定的长度．要有一定的期限；的．配合各种灾难恢复软件，可以较为全面　式．融黑客、木马等多种攻击手段为一身的　帐号最好只能从校园网内部的固定工作站　地保护数据的安全　３．４采用安全交换机　广义的“新病毒”。　此，在内网考虑防病毒　登陆．禁止网外用户用管理员账号登陆。科　时选择产品需要重点考虑以下几点：防杀　学管理网络用户的账号及权限是确保校园　内网的信息传输采用广播技术，数据　毒方式需要全面地与互联网结合，不仅有　网网络安全的一个重要保证，许多学校之　很容易受到监听和截获．因此需要使用安　传统的手动查杀与文件监控．还必须对网　所以出现安全问题，主要就是在这方面有　全交换机．利用网络分段及ＶＬＡＮ的方法　从物理上或逻辑上隔离网络资源，以加强　内网的相对安全性　３．５使用代理网关　使用代理网关的好处在于．网络数据　包的交换不会直接在内外网络之间进行　内部计算机必须通过代理网关，进而才能　访问到Ｉｎｔｅｒｎｅｔ，这样操作者便可以比较方　便地在代理服务器上对网络内部的计算机　访问外部网络进行限制。并且网关也可以　对数据封包进行验证和对密码进行确认等　安全管制。　３．６选择和设置防火墙　由于校园网本身构成特点．应该选择　在路由器上进行相关的设置或购买更为强　大的防火墙产品。对于几乎所有系列的路　由器产品来说，都可以通过内置的防火墙　防范部分的攻击，而硬件防火墙的应用．可　以使安全性得到进一步加强。当然应该根　据安全、经济情况选择合适的防火墙。　３．７信息保密防范　可以利用网络操作系统所提供的保密　措施。以Ｗｉｎｄｏｗｓ为例．进行用户名登录注　册。设置登录密码。设置目录和文件访问权　限和密码．以控制用户只能操作什么样的　目录和文件．或设置用户级访问控制．以及　通过主机访问Ｉｎｔｅｒｎｅｔ等。　３．８从攻击角度入手　目前，计算机网络系统的安全威胁有　很大一部分来自拒绝服务ｆＤＯＳ）攻击和计　算机病毒攻击。对付“拒绝服务”攻击有效　的方法，是只允许跟整个Ｗｅｂ站点有关的　网络流量进入．就可以预防此类的黑客攻　击，尤其对于ＩＣＭＰ封包，包括ｐｉｎｇ指令　等，应当进行阻绝处理。　通过安装非法入侵侦测系统．可以提　升防火墙的性能，达到监控网络、执行立即　拦截动作以及分析过滤封包和内容的动　作，当窃取者入侵时可以立刻有效终止服　务，以便有效地预防内部机密信息被窃取。　同时应限制非法用户对网络的访问，规定　具有ＩＰ地址的工作站对本地网络设备的　络层、邮件客户端进行实时监控，防止病毒　所失误　入侵；产品应有完善的在线升级服务．使用　４．３选用稳定性、安全性较高的硬件、软　户随时拥有最新的防病毒能力；对病毒经　件系统　常攻击的应用程序提供重点保护：产品厂　目前Ｉｎｔｅｒｎｅｔ上的许多安全问题都是　商应具备快速反应的病毒检测网．在病毒　由硬件、软件自身缺陷以及漏洞造成的。因　爆发的第一时间即能提供解决方案：厂商　此．在建立校园网的时候，我们就要选择稳　能提供完整、即时的反病毒咨询．提高用户　定性、安全性较高的产品。如硬件系统中的　的反病毒意识与警觉性，尽快地让用户了　路由器、服务器、交换机等核心部件，我们　解到新病毒的特点和解决方案。　在选取的过程中要把安全性、稳定性放在　３．１０实施密钥管理　首位．否则由于硬件系统出现的安全问题　入侵者攻击校园网目标的时候．９０％　往往都是非常致命的，会给学校带来不可　会把破译普通用户的口令作为第一步。因　估量的损失。软件方面主要是网络操作系　此用户应该选取合适的口令。　统的选取。现今的网络系统较多，各有长处　４校园网安全维护应注意的问题　和短处：ＵＮＩＸ网络系统安全性较高．但使　用较困难．对硬件要求也较高，不太适合小　教育信息化．校园网的建设是基础．而　型网络：Ｗｉｎｄｏｗｓ　ＮＴ使用简单．但稳定性、　网络信息安全是保障。为了应对严峻的“安　安全性稍差．适用于对安全性要求不太高　全性”挑战．我们不能被动地采取追堵和拦　的小型网络；而Ｌｉｎｕｘ介于两者之间，是一　截等方法．而应该积极主动地运用各种手　个不错的网络操作系统。依照笔者的观点，　段直面来自各个方面的挑战。校园网的安　校园网络中心还是应该以ＵＮＩＸ类操作系　全维护主要注意以下几点：　统为主（视条件及要求选取ＵＮＩＸ还是　４．１全校师生安全意识的培养　Ｌｉｎｕｘ）．以Ｗｉｎｄｏｗｓ　ＮＴ为辅。存放重要信　网络安全并不仅仅是网管人员的事　息、对安全性、稳定性要求较高的服务器以　情，实际上．全校人员都应该是网络安全的　ＵＮＩＸ类系统为主．其他可以使用Ｗｉｎｄｏｗｓ　维护者。我们有必要对全校所有人进行网　ＮＴ，这样我们就能有效地将系统安全隐患　络安全、病毒防范的教育。否则．他们的一　减少。基本达到网络安全的目的。　个小小的失误都有可能造成整个校园网的　４．４要有完善的网络管理制度　重大安全隐患．造成不必要的损失　对全校　校园网建成后．要有比较完善的网络　师生员工进行网络安全教育的目的是尽量　管理制度．从制度上将网络安全管理规范　避免一些人为漏洞的存在．自觉规范自己　起来。让学校所有网络的使用者在制度许　使用网络的方法．加强防范意识．将可能出　可的范围内使用网络，达到安全防范的目　现的安全漏洞堵死　的。网络管理制度是学校校园网稳定工作　安全意识的培养主要从以下几个方面　的前提．也是校园网络安全、学校信息安全　人手：了解常用的攻击手段及攻击程序：了　的保证　解密码的安全性：了解病毒的传播方法及　总的说来．校园网络安全是十分重要　破坏性；了解网络的开放性；了解基本的信　的问题．特别是在Ｉｎｔｅｒｎｅｔ飞速发展的今　息加密方法。　天。任何一个上网用户都应该把其放到一　４．２严格控制网络使用者的权限　个非常重要、非常紧迫的问题来看。　网络的安全问题实际上是一个网络使　（责任编辑秋实）　用权限的问题。非法入侵的最终目的就是　获取系统的最高管理权限。所以我们有必　要注意以下几点：①网络使用者的权限要　ＰＩｏＮＥＥＲＩＮＧ　ＷｌＴＨ　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮｏＬｏＧＹ　ＭｏＮＴＨＬＹⅣ０．１０　２００６　１８７