摘 要:校园网作为学校信息化建设的基础设施,在教学、科研、管理等方面起着举足轻重的作用。校园网是否能安全、可靠运行,真正发挥作用,关键看是否建立全面的、立体的网络安全防范体系以保护校园信息和关键应用的安全。该文分析了校园网运行过程中存在的安全问题,提出了如何构建一个安全、稳定、可靠的校园网。
关键词:校园网;网络安全;防范
1.引言
随着高校招生规模扩大,校园网用户数量也快速增加。为了满足不同层次、不同需求的校园网用户上网的需要,许多学校开通了BT、MSN、QQ、游戏等应用服务。开放各种应用服务,导致校园网的安全威胁不断增加,各种网络安全事件已经在一些高校发生。同时,校园网络管理人员的水平参差不齐,责任心不强,大多数网络人员在工作之前没有受过系统的安全规程教育,缺乏计算机网络安全基本常识,甚至在服务器上不设置系统管理员密码,不安装防火墙和杀毒软件等。日益泛滥的计算机病毒、各种系统的安全漏洞导致校园网受到攻击的可能性愈来愈大,严重威胁校园网络的安全。那么,在现有的条件下如何加强校园网络的管理,保证网络畅通、安全,直接关系到学校的整体形象,关系到师生的切身利益。
2.校园网络面临的安全问题分析
2.1硬件系统的安全问题
硬件系统的安全问题分为两种,一是物理安全,二是设置安全。
物理安全是指保护服务器、交换机、防火墙等网络设备,光缆和双绞线等网络线路以及UPS电源等设备免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。特别要提的是:我国不少校园网机房,没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,造成的网络安全问题屡见不鲜。
设置安全是指在设备上进行必要的安全设置,如服务器、交换机密码设置等;交换机及路由器等设备的密码设置简单、使用设备的初始密码、密码采用明文的方式等都会导致严重的校园网安全问题。有些校园网服务器上启用了远程桌面连接,导致黑客利用系统漏洞取得远程控制权,对服务器实施恶意破坏。
2.2网络管理上的问题
很多学校在建设校园网的时候,大多是重建设,轻管理,没有完善的管理规章制度,安全管理意识淡薄。对于重要的资源,没有采用安全访问控制策略,非授权用户能够非法访问重要资源。校园网的用户群体一般比较大,少则数百人、多则数千人,各用户的上网需求不同,少数用户上网行为存在恶意性,不少学校没有购买实名上网认证系统及上网行为管理系统,学生的上网记录也没有。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,在没有对上网流量精确控制的情况下学生通过网络在线看电影、听音乐,很容易造成网络堵塞。
2.3人为的恶意攻击
攻击可以分为外部和内部两种。外部的攻击一般是来自互联网;内部的攻击一般是内部的用户实施的攻击。随着人们对外部攻击和INTERNET的安全日益重视,来自内部网络的攻击却有愈演愈烈之势,据统计,来自内部的攻击占到人为攻击的70%。高等学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。由于没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,这可能对网络造成一定的影响和破坏,给学校带来不可挽救的损失。
2.4计算机病毒的威胁
校园网络带给大家带来方便的同时,也为计算机病毒的快速传播提供了场所。特别是现在校园网络接入互联网的带宽不断的提高,为用户下载提供了方便,许多从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,这些软件的使用也可能被攻击者侵入和利用。而许多校园网用户没有采用安全防护措施,造成病毒泛滥、信息丢失、数据损坏、系统瘫痪等严重后果,甚至被黑客当成“傀儡机”实施攻击,而自己却感觉不到。
2.5操作系统的安全漏洞
目前,我们所使用的操作系统存在着许多安全漏洞,对网络安全造成一定的威胁。自从微软推出 Windows操作系统,到至今 Windows 7系统的诞生,其不可避免的漏洞,一直都是让大家所头疼的一件事情。当然,其它操作系统如UNIX、Linux等也存在安全漏洞,但由于其使用较Windows复杂,且基于UNIX平台的黑客工具较少,暴露的问题也就没有Windows严重。漏洞的存在给黑客入侵、病毒木马侵入提供了便利条件。
2.6互联网信息良莠不齐
目前互联网上有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的大学生危害非常大。各种论坛审核不够严格,便于部分必有用心的人发表敏感信息和传播非法言论,对学校甚至会产生很严重的负面影响。
3.校园网络安全管理策略
3.1优化硬件,确保安全
校园网建设投资巨大,为了保障校园网硬件设备的正常运行,我们首先要保证硬件系统的物理安全。因此许多高校建设了高标准的IDC机房,主要包括配置精密空调系统、机房环境监控系统、UPS系统、门禁系统、气体灭火系统、防雷与接地系统等,构建安全、稳定的网络运行环境。将全院的主要网络设备集中在IDC机房,共享机房资源,进行统一监管,提高了网络运行的可靠性和安全性。
在交换机上利用 VLAN技术,根据不同的应用和安全级别,把校园网络进行分段和隔离,不同网段之间的互相访问实现了控制和管理,对广播型的网络病毒抑制起到非常好的效果。利用ACL使用包过滤技术,开放常用的端口服务,对不常用的端口服务进行控制。
在服务器上对用户安全设置(停掉Guest 帐号、限制不必要的用户数量、administrator帐号改名、创建陷阱帐号等方面)、密码安全设置(使用强壮密码、经常变换密码、设置屏幕保护密码等方式)、系统安全设置(使用NTFS格式分区、运行防毒软件、关闭默认共享、禁止从光驱及USB启动等)、服务安全设置(关闭不必要的服务和端口、及时备份等)四个方面进行相应的设置,保证服务器的安全运行。
3.2规范制度,加强管理
人们常说三分技术、七分管理,管理作为网络安全保障主要的方面,其水平的高低很大程度上决定了网络的安全性能。我们根据自身情况制定了《校园计算机网络管理办法》、《校园网IP地址管理暂行规定》
、《校园信息发布及保密管理暂行规定》等规章制度,从制度上保证了网络管理规范有序。做到主要设备有专人负责管理维护,并设置相应的权限。建立了值班制度,网络中心每天有专人值班并做好值班记录。建立了兼职的院—系的计算机管理、维护队伍。设立了定期集中学习的制度,同时加强对校园网用户的安全意识教育和安全技术培训, 如安装杀毒软件并定期升级病毒库,安装系统补丁,不安装捆绑软件等。
3.3采用防火墙,防止受攻击
校园网络出口主要用防火墙来防范外部的攻击,并制定相应的访问控制策略。通过防火墙把内、外网进行隔离,外网口与 Internet 连接,内网口连接核心交换机,DMZ接口连接对外访问的服务器。在防火墙的设置安全过滤策略上,严格审核IP数据包的协议、端口、源地址、目的地址等,设置敏感地址和关键字过滤。定期保存防火墙的访问日志,及时发现攻击行为和不良的上网记录。
3.4部署网络杀毒,降低病毒危害
通过购买网络版的防病毒软件来实现校内用户软件的安装、升级、配置的统一管理,实现及时更新,远程查杀。为了实现以上功能,我院配置了一台高性能的计算机作为金山网络版杀毒软件的控制端,负责管理各终端主机病毒的防治工作,在各用户主机上安装网络版杀毒软件的客户端。通过杀毒软件的控制台进行定时杀毒的设置和自动升级的设置,确保杀毒和升级的时效性,使校园网具有较强的防病毒能力。
3.5加强漏洞扫描,及时打上补丁
利用网络安全扫描工具,查找网络安全漏洞、评估风险并提出修改建议。采用金山毒霸的漏洞扫描系统定期对工作站、服务器进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
3.6控制流量,过滤网站
由于学院覆盖多个校区,对于本部以外的校区,先设置总的流量,再具体到每个应用或协议的流量,并将学院的流量监控图形采用大屏实时显示,随时监控那些流量异常的用户,发现问题及时通知用户,了解原因。上下班时间实行不同的管理策略,限制了P2P、在线视频等消耗大量带宽的应用。通过购买上网行为系统,对师生的上网行为进行监控,及时发现有害的网站,并对其有害信息的过滤管理。
3.7动静结合,身份认证
根据不同的子网性质,对学院的IP地址统一规划,对于固定人员区域(如办公区)的计算机采用静态地址,并建立IP 地址与 MAC地址、MAC与端口、IP地址与账号的三绑定,防止IP地址及账号盗用;对于不固定人员区域(如教学区)的计算机采用动态地址及用户账号结合的方法。根据公安部的要求,执行实名上网制度,并留有日志查询。
3.8加强检查指导,数据备份完善
我们对网络设备定期检查、评估安全;对学院的网站信息定期检查,并进行评比,对于留言板等互动性栏目有专人审核、做到文责自负,避免非法言论传播。
服务器采用了本地镜像、双机热备、实时的大容量存储系统来进行备份,根据财力的可能,最好实现异地备份。
4.结语
总之,校园网络安全问题是一个复杂的系统工程,对抗与安全永无止境,绝对安全可靠的网络系统是不存在的,我们还有很多工作需要努力去做。要建立起全面的、立体的网络安全体系,就要加强网络安全意识、注重网络管理、提高网络用户自身信息技术水平,这样才能共同构建一个安全、稳定、高效的校园网。
参考文献:
[1] 邝艺光. 高校校园网络安全隐患及防范对策[J]. 珠海城市职业技术学院学报,2007(12).
[2] 马荣华. 高校校园网络安全管理策略[J]. 郑州铁路职业技术学院学报,2008(1).
[3] 李小志. 高校校园网络安全分析及解决方案[J]. 现代教育技术,2008(3).
[4] 李 欣. 高校校园网络安全探索[J]. 中国现代教育装备,2007(1).
