隨著計(jì)算機(jī)網(wǎng)絡(luò)及計(jì)算機(jī)課程的進(jìn)一步普及，越來(lái)越多的學(xué)校構(gòu)建了網(wǎng)絡(luò)環(huán)境，大多數(shù)學(xué)生已掌握了基本的計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)的基礎(chǔ)。然而校園網(wǎng)絡(luò)的安全問(wèn)題已成為威脅信息技術(shù)教育進(jìn)一步推進(jìn)的首要問(wèn)題。

一、校園網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

隨著教育部“計(jì)算機(jī)基礎(chǔ)”課程的進(jìn)一步普及，越來(lái)越多的學(xué)校具備網(wǎng)絡(luò)環(huán)境，隨著計(jì)算機(jī)輔助教學(xué)軟件的日益增多和教學(xué)資源庫(kù)的日益完善，學(xué)生在掌握了基本的計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)的基礎(chǔ)上，逐漸將之應(yīng)用于其他學(xué)科的學(xué)習(xí)，充分發(fā)揮這一先進(jìn)工具的作用。

然而還有一些現(xiàn)象不容樂(lè)觀。通過(guò)對(duì)已建校園網(wǎng)的中小學(xué)校的調(diào)查發(fā)現(xiàn)，校園網(wǎng)絡(luò)的安全問(wèn)題已經(jīng)成為威脅信息技術(shù)教育進(jìn)一步推進(jìn)的首要問(wèn)題，和互聯(lián)網(wǎng)經(jīng)受的考驗(yàn)一樣，病毒、攻擊和各種各樣的不健康信息以其越來(lái)越大的危害侵蝕學(xué)校這片凈土。這些網(wǎng)絡(luò)安全問(wèn)題主要體現(xiàn)在以下幾個(gè)方面。

1.不健康信息。據(jù)對(duì)國(guó)內(nèi)各省市中小學(xué)校的調(diào)查表明，不健康信息借助網(wǎng)絡(luò)這一方便的傳播工具正在逐漸侵害著孩子們的成長(zhǎng)。

對(duì)此現(xiàn)象的蔓延目前大多學(xué)校沒(méi)有防患于未然的良策。據(jù)教育專(zhuān)家分析，學(xué)生的好奇心理、逆反心理加上網(wǎng)絡(luò)這一方便的傳播工具是產(chǎn)生這些現(xiàn)象的罪魁禍?zhǔn)?，這一現(xiàn)象將隨教育信息化的進(jìn)一步推進(jìn)日益嚴(yán)重。

2.病毒。幾乎從計(jì)算機(jī)誕生之日起，病毒就成為威脅信息技術(shù)發(fā)展的負(fù)面因素，到今天為止，數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)病毒以其“光輝”的發(fā)展歷史同時(shí)被記入信息技術(shù)發(fā)展史。

在學(xué)校，幾乎每個(gè)網(wǎng)管教師都飽受病毒的困擾，學(xué)校的病毒可能來(lái)源于各個(gè)方面——互聯(lián)網(wǎng)、軟盤(pán)、光盤(pán)等，用傳統(tǒng)的辦法防不勝防，為了不占用學(xué)生和教師們正常的工作時(shí)間，網(wǎng)管教師幾乎要犧牲所有的業(yè)余時(shí)間和節(jié)假日，不遺余力地修復(fù)癱瘓的計(jì)算機(jī)和網(wǎng)絡(luò)，但這種修復(fù)往往是滯后的，網(wǎng)管教師仍舊要背負(fù)各種各樣的責(zé)備。

3.攻擊。相對(duì)于前兩種危害而言，學(xué)校受到網(wǎng)絡(luò)攻擊造成的危害算是比較小的，網(wǎng)絡(luò)攻擊更多體現(xiàn)在網(wǎng)絡(luò)技術(shù)比較發(fā)達(dá)的地區(qū)。

二、校園網(wǎng)絡(luò)安全問(wèn)題的特點(diǎn)和需求分析

和企事業(yè)網(wǎng)絡(luò)相比，校園網(wǎng)絡(luò)的安全問(wèn)題有其顯著的特點(diǎn)，這些特點(diǎn)主要體現(xiàn)在以下幾個(gè)方面：

1.企事業(yè)單位如金融、證券、國(guó)家機(jī)關(guān)對(duì)于數(shù)據(jù)安全的考慮總是放在第一位的，其次才考慮對(duì)于病毒和不健康信息的防范；學(xué)校是教書(shū)育人的環(huán)境，學(xué)生的世界觀尚未完全成型，很多學(xué)生還處于青春期，很容易受到不健康信息的誤導(dǎo)。學(xué)校總是把防范不健康信息作為校園網(wǎng)絡(luò)安全的第一道防線(xiàn)，其次才考慮病毒和攻擊。

2.企事業(yè)單位人手一機(jī)，人員的流動(dòng)性不大，且每人的工作內(nèi)容不同，對(duì)本機(jī)的保護(hù)性較強(qiáng)，管理也相對(duì)容易，各種安全漏洞一般很難從軟、光盤(pán)進(jìn)入，只需從網(wǎng)關(guān)處防范即可；學(xué)校學(xué)生的流動(dòng)性較大，機(jī)器易受各種各樣的感染。

3.對(duì)于昂貴的防火墻等設(shè)備，大部分學(xué)校承受不起，現(xiàn)在已經(jīng)是理智的投資時(shí)代，很少有學(xué)校愿意投資僅僅是概念上的網(wǎng)絡(luò)安全建設(shè)。

4.企事業(yè)單位對(duì)于網(wǎng)絡(luò)安全的定義僅限于防范，學(xué)校擔(dān)負(fù)著教學(xué)育人的任務(wù)，所以對(duì)于網(wǎng)絡(luò)安全的定義還包括嚴(yán)格的管理，當(dāng)學(xué)生沉湎于其中時(shí)進(jìn)行合適的管理和引導(dǎo)，防患于未然。

從以上特點(diǎn)分析，學(xué)校對(duì)校園網(wǎng)絡(luò)安全產(chǎn)品的需求是分層次的，但主要應(yīng)該體現(xiàn)在以下幾個(gè)方面。能夠全方位地杜絕不健康信息在校園網(wǎng)上的泛濫；具有較強(qiáng)的管理功能，使主管教師能及時(shí)發(fā)現(xiàn)、及時(shí)處理、防止擴(kuò)散，在學(xué)生未受影響之前進(jìn)行消除；具有較強(qiáng)的防病毒功能；具有防黑客攻擊功能；產(chǎn)品性?xún)r(jià)比優(yōu)良，不應(yīng)占據(jù)過(guò)多投資；產(chǎn)品的運(yùn)行和維護(hù)簡(jiǎn)單，運(yùn)行費(fèi)用低廉。

三、某大學(xué)校園網(wǎng)絡(luò)安全策略

該大學(xué)校園網(wǎng)絡(luò)采用兩級(jí)結(jié)構(gòu)：主干網(wǎng)和子網(wǎng)。校園網(wǎng)的主干采用成熟的100M快速以太網(wǎng)，由網(wǎng)絡(luò)中心用光纖聯(lián)至各座大樓的分節(jié)點(diǎn)，再經(jīng)分節(jié)點(diǎn)的交換機(jī)連接到大樓的各個(gè)用戶(hù)。這種配置結(jié)構(gòu)既保證了主干網(wǎng)信息可靠、高速、無(wú)瓶頸地傳輸，又為用戶(hù)計(jì)算機(jī)接入提供了靈活、方便的手段。

1.校園網(wǎng)絡(luò)的IP路由信息和訪(fǎng)問(wèn)范圍的控制管理。校園網(wǎng)絡(luò)主要采用TCP/IP網(wǎng)絡(luò)協(xié)議，網(wǎng)上的路由器間需要交換路由信息，IP路由信息交換有動(dòng)態(tài)和靜態(tài)兩種方式。采用靜態(tài)路由協(xié)議，與上一級(jí)網(wǎng)絡(luò)中心相連，不采用RIP主要原因是為了防止網(wǎng)絡(luò)上不正確的路由信息對(duì)本校園網(wǎng)絡(luò)的影響。

為了控制用訪(fǎng)問(wèn)一些網(wǎng)絡(luò)采用IP的限制，在路由器上加入這兩條指令：

ip access-group 100 out

access-list 100 permit ip 202.xx.xx.xx 0.0.0.xx any

access-list 100 permit ip any國(guó)內(nèi)ip列表 ip反向mask

表示只有96網(wǎng)段上202.xx.xx.xx-202.xx.xx.xx的用戶(hù)才能訪(fǎng)問(wèn)國(guó)外網(wǎng)站，這樣防止其他用戶(hù)訪(fǎng)問(wèn)國(guó)外網(wǎng)站，造成國(guó)外流量劇增，從而增加經(jīng)費(fèi)開(kāi)支。此外，有些校園網(wǎng)絡(luò)web服務(wù)器的內(nèi)容，如校園網(wǎng)絡(luò)辦公信息系統(tǒng)只能讓校園網(wǎng)絡(luò)內(nèi)用戶(hù)訪(fǎng)問(wèn)，在Web服務(wù)器設(shè)置定義源IP訪(fǎng)問(wèn)范圍；利用網(wǎng)絡(luò)的c類(lèi)地址的超網(wǎng)掩碼技術(shù)實(shí)現(xiàn)這一功能。也就是校園內(nèi)部用戶(hù)可以訪(fǎng)問(wèn)校園網(wǎng)絡(luò)辦公信息的內(nèi)容。

2.校園網(wǎng)絡(luò)設(shè)備防雷電的防范策略。由于雷電直擊，及其他電磁感應(yīng)，未受保護(hù)的網(wǎng)絡(luò)負(fù)載設(shè)備將被瞬態(tài)過(guò)電壓破壞數(shù)據(jù)傳輸、耗損元件、或者毀壞芯片，造成不穩(wěn)定的性能、硬件故障等問(wèn)題。

建筑物的防雷主要通過(guò)安裝避雷針來(lái)實(shí)現(xiàn)，它可以有效地防止雷擊損害建筑物并大大降低雷直接擊中網(wǎng)絡(luò)傳輸線(xiàn)和網(wǎng)絡(luò)設(shè)備及電源線(xiàn)的可能性，在一定程度上起到網(wǎng)絡(luò)防雷的作用。

電源防雷的主要作用是防止雷擊過(guò)電壓從電源供入端進(jìn)入設(shè)備，保障設(shè)備及數(shù)據(jù)傳輸暢通無(wú)阻。普通插座的接地端要接地，地線(xiàn)不但直接影響電源防雷器的效能而且還影響到信號(hào)防雷器的效能。盡管在電源和通信線(xiàn)路等外接引入線(xiàn)路上安裝了防雷保護(hù)裝置，由于雷擊發(fā)生時(shí)網(wǎng)絡(luò)線(xiàn)(如雙絞線(xiàn))感應(yīng)到的過(guò)電壓，會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行甚至徹底破壞網(wǎng)絡(luò)系統(tǒng)。由外來(lái)線(xiàn)路進(jìn)入的DDN或ISDN一定要在重要線(xiàn)路的網(wǎng)絡(luò)接口上做相應(yīng)的保護(hù)，如防火墻內(nèi)外網(wǎng)接口，安裝RJ45防雷器等，一旦有雷擊就可以避免雷擊造成網(wǎng)絡(luò)設(shè)備的嚴(yán)重?fù)p失?！　?.校園網(wǎng)絡(luò)安全策略。在計(jì)算機(jī)網(wǎng)絡(luò)日益擴(kuò)展和普及的今天，計(jì)算機(jī)安全要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來(lái)非法黑客入侵的能力，還要提高對(duì)遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄?，避免在傳輸途中遭受非法竊取。

在防治網(wǎng)絡(luò)病毒方面，接受不明電子郵件，下載軟件如：.zip.exe等文件過(guò)程中應(yīng)特別加以注意。它們都有潛伏病毒的可能性。

對(duì)于系統(tǒng)本身安全性，主要考慮服務(wù)器自身的穩(wěn)定性，增強(qiáng)自身的抵抗能力，杜絕一切可能讓黑客入侵的渠道，避免造成對(duì)系統(tǒng)的威脅。對(duì)重要系統(tǒng)，必須加上防火墻和數(shù)據(jù)加密技術(shù)加以保護(hù)。

計(jì)算機(jī)系統(tǒng)安全是個(gè)很大的范疇，操作系統(tǒng)、應(yīng)用軟件、硬件本身都有可能出現(xiàn)一些情況，平時(shí)應(yīng)重視，加以防范。

在網(wǎng)絡(luò)操作系統(tǒng)安全預(yù)防措施。

1)盡量使ftp，mail等服務(wù)器與之分開(kāi)，去掉ftp，sendmail，tftp，NIS，NFS，finger，netstat等一些無(wú)關(guān)的應(yīng)用。

2)定期查看服務(wù)器中的日志logs文件，分析一切可疑事件。在errorlog中出現(xiàn)rm，login，/bin/perl，/bin/sh等之類(lèi)記錄時(shí)，服務(wù)器可能會(huì)受到一些非法用戶(hù)的入侵嘗試。

3)網(wǎng)絡(luò)管理員要及時(shí)安裝網(wǎng)絡(luò)OS補(bǔ)丁程序。如windows2000有iis的漏洞，需要安裝補(bǔ)丁程序sp1、sp2。

5.利用防火墻增強(qiáng)網(wǎng)絡(luò)的安全性和可管理性。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后，除了考慮計(jì)算機(jī)病毒、系統(tǒng)的穩(wěn)定之外，更主要的是要防止非法用戶(hù)的入侵。而目前防止的措施主要靠防火墻完成。防火墻(firewall)是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道(Internet)之間，限制外界用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)及管理內(nèi)部用戶(hù)訪(fǎng)問(wèn)外界網(wǎng)絡(luò)的權(quán)限。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過(guò)程中，防火墻是一個(gè)系統(tǒng)，主要用來(lái)執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)控制策略，通常應(yīng)用防火墻的目的有以下幾方面：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過(guò)濾掉不安全的服務(wù)和非法用戶(hù)；防止入侵者接近網(wǎng)絡(luò)系統(tǒng)；限定用戶(hù)訪(fǎng)問(wèn)特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。

防火墻總體安全框架為：物理地址→IP地址→身份認(rèn)證→應(yīng)用層過(guò)濾，分別采用IP/MAC綁定，狀態(tài)包過(guò)濾技術(shù)，身份認(rèn)證，內(nèi)容過(guò)濾等安全策略。通過(guò)這樣的數(shù)據(jù)流程對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行全面的保護(hù)。

IP/MAC綁定技術(shù)方便了網(wǎng)絡(luò)的IP地址管理，杜絕了內(nèi)部網(wǎng)IP地址盜用，狀態(tài)包過(guò)濾技術(shù)依據(jù)連接狀態(tài)信息進(jìn)行更加全面地過(guò)濾；而且在對(duì)包的網(wǎng)絡(luò)層信息進(jìn)行過(guò)濾的同時(shí)，更強(qiáng)調(diào)對(duì)應(yīng)用層信息的過(guò)濾，因此大大提高了網(wǎng)絡(luò)系統(tǒng)的安全性。在應(yīng)用層實(shí)現(xiàn)內(nèi)容過(guò)濾，主要是網(wǎng)頁(yè)內(nèi)容過(guò)濾，SMTP電子郵件標(biāo)題過(guò)濾阻止病毒郵件，防止外部網(wǎng)絡(luò)不安全或管理員不希望通過(guò)的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。

防火墻貫穿內(nèi)部網(wǎng)絡(luò)的整個(gè)防御過(guò)程：防火墻能夠檢測(cè)到通過(guò)防火墻的各種入侵、攻擊和異常事件，并以相應(yīng)的方式通知相關(guān)人員，安全員依據(jù)這些警報(bào)信息及時(shí)修改相應(yīng)的安全策略，重新制定訪(fǎng)問(wèn)控制規(guī)則；由安全員分析審計(jì)信息，修正策略，制定新的過(guò)濾規(guī)則。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且必須定期進(jìn)行，以對(duì)付黑客新增的入侵攻擊手段。

四、結(jié)語(yǔ)

一個(gè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和安全防范是一項(xiàng)聯(lián)系范圍很廣的任務(wù)，需要整個(gè)網(wǎng)絡(luò)各個(gè)環(huán)節(jié)的工作者不斷地積累工作經(jīng)驗(yàn)，加強(qiáng)專(zhuān)業(yè)知識(shí)的學(xué)習(xí)和技能提高。不斷地根據(jù)實(shí)際情況完善軟件、硬件防護(hù)體系，才能使網(wǎng)絡(luò)保持在平穩(wěn)的狀態(tài)中運(yùn)行。