校园网络安全隐患分析及对策

魏光杏，戴 月

（滁州职业技术学院，安徽 滁州 239000）

校园网络安全隐患分析及对策

魏光杏，戴 月

（滁州职业技术学院，安徽 滁州 239000）

随着校园网的不断发展，校园网的安全正面临着严峻挑战。如何保护校园网安全已成为十分重要的研究课题。文章先分析了校园网中存在的不安全因素，提出的安全对策，经过实践验证，效果较好。

校园网；网络安全；计算机木马

一、引言

教育信息化、校园网络化作为网络时代的教育方式和教育环境，己经成为教育发展的方向。随着网络技术的发展与普及，校园网早已成为现代化教育建设的基础设施，校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。各学校为了能够实现以网养网，对网络的设计提出了更高的要求，可运营、更安全、更实用成了今天对校园网络关注的焦点。随着各高校网络规模的急剧膨胀、网络用户的快速增长，校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。

二、校园网安全面临的问题

校园网络作为学校重要的基础设施，其安全状况直接影响着学校的教学活动，校园网网络上各种信息数据急剧的增加，校园网络信息安全面临严峻问题。校园网面临的威胁大体可分为对网络设备的危害和对网络中数据信息的破坏，具体包括：

（一）计算机中的漏洞威胁。校园网络系统中接入着成百上千台计算机，这些计算机的操作系统各种各样，通常分布在不同的物理位置，由不同的用户操作，用于不同的用途。由于这些差异，使得校园网网络中的客户端的漏洞问题十分严重。而且客户端使用的软件不可能是百分之百的无缺陷或无漏洞的。这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。

（二）人为的因素，包括人为的无意失误和恶意攻击。人为无意的失误主要是操作员安全配置不当或用户安全意识淡薄、口令过于简单、网络操作失误等。人为的恶意攻击是网络安全所面临的最大威胁之一，此类攻击又分两类：一类是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的前提下进行截获、窃取与破译，以获得重要机密信息。

（三）计算机病毒的泛滥与黑客的攻击。校园网网络的方便快捷的同时也为病毒的肆意传播留下可能，下载的程序和电子邮件都有可能携有病毒。通过网络传播病毒无论在传播速度，还是破坏性和传播范围等方面都是单机病毒无法比拟的。大量病毒传播不仅占用网络资源，而且破坏服务器或单机，最终影响整个学校网络系统的正常运作。计算机病毒将导致计算机系统瘫痪，程序和数据严重破坏，使网络的效率和作用大大降低，也使许多网络功能无法使用或不敢使用。现在的蠕虫病毒和黑客技术结合在一起，常常导致拒绝服务攻击（DOS），可以导致整个校园网络瘫痪。

（四）其它方面威胁。校园网系统设备遭到破坏，包括各类计算机、网络通信设备、存放数据的媒体、传输线路等。这些设备无论哪一个出现问题，都会给整个网络带来灾难性的后果。网络上的各种信息良荞不齐，色情、暴力、邪教内容的网站泛滥，这些资源不但会占有流量资源，导致网络堵塞、上网速度慢等问题，而且不良内容将危害学生的身心健康，造成严重后果。

三、校园网安全对策

根据校园网所面临的安全隐患，结合我院实际情况，制定了以下几个安全对策。

（一）防火墙部署

目前在网络安全中使用最广泛的技术就是防火墙。防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。在与Internet相连的每一台计算机上都装上防火墙软件，使之成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则来提高网络安全性：

1.根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容，包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

2.禁止访问系统级别的服务 (如HTTP，FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放其端口服务，比如网络游戏或者视频语音电话软件提供的服务。

3.必须正确设置局域网中客户端的IP地址，使防火墙系统能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证在局域网中的客户端能正常使用网络服务（如文件、打印机共享）功能。

4.定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

5.允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

（二）网络杀毒软件部署

在网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能，如Symantec AntiVirus 9.0杀毒软件，具体设置如下：

1.在学院网络中心配置一台高效的服务器，并安装Symantec AntiVirus 9.0企业版杀毒软件。此服务器负责管理校园网内网点的计算机。

2.在校园网内各网点分别安装Symantec AntiVirus 9.0企业版的客户端。

3.安装完Symantec AntiVirus 9.0企业版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端能够定时进行对本机的查杀病毒。

4.网络中心对整个校园网客户端的升级。为了安全和管理的方便起见，由网络中心的系统定期地、自动地到Symantec AntiVirus官方网站上获取最新的升级文件 （包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到各办公室的客户端与服务器端，并自动对Symantec AntiVirus 9.0企业版进行更新。采取这种升级方式，一方面确保校园网内的Symantec AntiVirus 9.0企业版杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是有程序来自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒库和扫描引擎而失去最新的防病毒能力。

（三）木马防范

木马，说是网络安全的大敌。木马是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一般一个木马套装程序含了两部分：服务端和客户端。植入对方电脑的是服务端，而黑客正是利用客户端进入正在运行服务端的电脑。运行了木马程序的服务端以后，会产生一个容易迷惑用户的进程，暗中打开端口，向指定地点发送数据。它可以盗取的网络账号、盗取我们的网银信息；利用即时通讯软件盗取个人的身份，传播木马病毒；甚至电脑可能被黑客控制。在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。因此，如果是计算机感染了木马，危害是不可想象的。

解决木马的有效方法是预防。经常用最新的扫描软件对计算机系统进行漏洞扫描，积极下载并安装补丁。木马的清除一般可以通过各种最新杀毒软件来进行查杀。对于新出现木马的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口。平时要多注意服务器中开放的端口，如果有一些新端口的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。

（四）网络安全的管理

在确定了安全策略方案后，必须通过规范的管理来实施安全工作，将安全技术、安全策略和安全组织有机地结合起来，形成一个相互联系、相互推动地整体，通过实际的工程运作和动态的运营维护，最终实现安全工作的目标。网络安全管理应注意以下原则：

1.建立、健全安全管理体制，包括：制定安全管理等级和安全管理范围，制定有关网络操作使用规程，制定网络系统的维护制度、制定相关人员的责任制等。

2.以预防为主，整治为辅。网络安全要尽量考虑到各种可能出现的问题而采取相应的预防措施，从根源上防治问题的出现。而且经常利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，以便及时发现系统漏洞并实施修复。

3.提高师生的网络安全意识。随着校园计算机网络的不断发展，老师、学生在线学习、娱乐时间不断的增加，但是他们可能就会在不经意间感染计算机病毒并加以传播，因此对学院师生进行安全使用网络的知识培训，加强网络安全意识和网络安全业务技能。

4.加强虚拟局域网的管理。校园网一般会分办公区和学生宿舍区等几个场所，因此可以把这些场所划分多个虚拟局域网，提高网络安全性。如果同一局域网内仍有不同级别的安全域，可以继续通过划分子网及VLAN的方法加以访问控制。

四、结束语

随着计算机网络技术的发展和应用，产生越来越多的网络安全问题。互联网的各种安全威胁在校园网的运行和管理中表现的尤为突出，安全技术是配合安全管理的辅助措施，在构建一个综合的校园网络安全系统时，可结合多种技术，灵活运用、与时具进，才能使我们的校园网更安全。

[1]刘钦创.网络安全技术与应用[J].计算机安全，2007，（3）.

[2]贾铁军.网络安全技术及应用实践教程[M].北京：机械工业出版社，2009，2.

[3]杨振会.浅析计算机网络安全及防范技术[J].网络通讯与安全，2006，（9）.

[4]朱林.简析网络蠕虫和特洛伊木马的防治对策[J].滁州职业技术学院学报，2009，(1).

TP393.08 < class="emphasis_bold">文献标识码：A

A

1671-5993（2010）03-0066-03

2010-09-13

本文为滁州职业技术学院2010年院级教学研究项目。

魏光杏(1976-)，男，安徽池州人，滁州职业技术学院讲师，硕士研究生。