校园网的安全及对策

　　 
　　校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。

　　一、 安全的表现形式
　　由于学校是以教学活动为中心的场所，网络的安全问题也有自己的特点。主要表现在：
　　1． 不良信息的传播
　　在校园网接入Inte.net后，师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大。如果安全措施不好，不仅会有部分学生进入这些网站，还会把这些信息在校园内传播。
　　2． 病毒的危害
　　通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后，为外面病毒进入学校大开方便之门，下载的程序和电子邮件都可能带有病毒。
　　3． 非法访问
　　学校涉及到的机密不是很多，来自外部的非法访问的可能性要少一些，关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案，使正常的教学练习失去意义。更有甚者，有的学生可能在考前获得考试内容，严重地破坏了学校的管理秩序。
　　4． 恶意破坏
　　这包括对网络设备和网络系统两个方面的破坏。
　　网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等，它们分布在整个校园内，管理起来非常困难，某些人员可能出于各种目的，有意或无意地将它们损坏，这样会造成校园网络全部或部分瘫痪。
　　另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使整个网络陷于瘫痪；利用学校的邮件服务器转发各种非法的信息等。
　　5． 口令入侵
　　为管理和计费的方便，一般来说，学校为每个上网的老师和学生分配一个账号和密码，并根据其应用范围，分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成管理的混乱。
　　二、 威胁安全的因素
　　1．物理因素
　　从物理上讲，校园网络的安全是脆弱的。就如通信领域所面临的问题一样，校园网络涉及的设备分布极为广泛，任何个人或部门都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施, 包括通信线、电话线、局域网、远程网等都有可能遭到破坏，从而引起业务的中断。如果是包含数据的软盘、光碟、主机等被盗，更会引起数据的丢失和泄露。
　　2．技术因素
　　目前的校园网络大都是利用Internet技术构建的，同时又与Internet相连。Internet网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议，缺乏相应的安全机制，而且Internet最初的设计基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外，随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在，比如我们常用的操作系统，无论是Windows还是Unix几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。
　　在校园网上没有采取正确的安全策略和安全机制，缺乏先进的网络安全技术、工具、手段和产品，缺乏先进的系统恢复、备份技术和工具等原因，也是威胁网络安全的重要因素。
　　3．管理因素
　　严格的管理是校园网安全的重要措施。事实上，很多学校都疏于这方面的管理。对网络的管理思想麻痹，对网络安全保护不够重视，舍不得投入必要的人力、财力、物力来加强网络的安全管理。
　　4．使用者因素
　　校园网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配，限定用户的某些行为，以避免故意的或非故意的某些破坏。然而，更多的安全措施必须由使用者自己来完成，比如：
　　（1）密码控制
　　在校园网内一般由用户来管理自己的登录密码。用户必须对自己密码的安全性负责。
　　（2）文件管理
　　用户对自己的文件必须负责。
　　（3）运行安全的程序
　　一个用户只要有写文件、运行文件的权利，就有可能无意中给系统装上木马程序。
　　（4）增强防范意识
　　电子邮件的安全只能由用户自己控制; 在浏览网页时，可能遇上陷阱，这些都要求用户保持警惕。
　　5．宣传教育因素
　　目前关于网络安全的法律法规都已出台，学校网管中心也都制定了各自的管理制度，但宣传教育的力度不够。许多师生法律意识淡薄，出于好奇或卖弄编程技巧的心理，破坏了网络的安全。网上活跃的黑客交流活动，也为他们的破坏活动奠定了技术基础。
　　三、 安全管理的策略
　　校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为保证校园网络的安全性，一般采用以下一些策略：
　　1．设备安全
　　在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止无意损坏。对于终端设备，如工作站、小型交换机、集线器和其他转接设备要落实到人，进行严格管理。
　　2．技术保证
　　目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。针对校园网来说，我们觉得最主要应该采取以下一些技术措施：
　　（1）运用内容过滤器和防火墙
　　过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等内容有强大的堵截功能。
　　防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换、IP防假冒、预警模块、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。
　　（2）运用VLAN技术
　　采用交换式局域网技术（ATM或以太交换）的校园网络，可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段。根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。
　　物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段相互之间无法直接通信。逻辑分段则是指将整个系统在网络层上进行分段。例如，对于TCP/IP 网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法。
　　（3）杀毒软件
　　选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征：第一，能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；第二，要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐；第三，具有较强的防护功能，可以对数据、程序提供有效的保护。
　　3．网络的管理
　　这种管理除了建立起一套严格的安全管理规章制度外，还必须培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
　　网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行精确到人、到机位的使用登记制度，则可对网络用户和服务账号进行精确的控制。定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。
　　4．用户教育
　　除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外，还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

原文转自：http://www.ltesting.net