周凯文

摘要：当今社会已步入网络时代，计算机网络深入到了社会生活的各个领域，以计算机网络为基础的现代信息技术教育已在我国中小学校得到了普及和快速发展，在网络信息化技术在校园得到广泛应用的同时，校园网络安全的重要性也日趋显现，本文正是从此问题出发，针对对目前校园网络在管理和使用上的常见安全问题和漏洞进行分析，指出常见的攻击手段和需采取的防护措施。

关键词：计算机网络问题措施

一、前言

校园网络作为学校的基础设施和学校教育信息化的主要载体与媒介，是日常教学管理和与外界互通交流的重要渠道，它为在校师生提供着教学、科研、管理的平台，校园网络安全的重要性毋庸置疑，如何维护与防范校园网络安全业已成为广大学校网络管理员所关注的热点。

二、校园网络安全存在的问题

从学校校园网络服务的对象和运行的环境来看，校园网络所存在的问题也具有鲜明的特点。主要表现在：

1.内部网络系统防护措施不严密，系统存在非法越权访问现象。虽然中小学校内部网络系统一般不存放涉密数据，所以来自外部互联网之上的威胁不多，因此，许多校园网络系统管理员没有针对网络系统的访问权限做出严格的限定，但同样的安全隐患也正存在于网络内部，如某些考试资源服务器，网站数据库服务器等，有些学生为了获取某些考试答案而攻击服务器，当中也有一些黑客技术爱好者使用一些木马软件进行漏洞扫描攻击。

2.某些系统使用率低，疏于管理，漏洞偏多。校园网络中存在一些长时间不用或使用率较低的系统，由于使用率低，无人关注，管理员很少对其进行监视和管理，随着运行环境的不断变化和外界技术的逐渐进步，这类系统自身存在的程序漏洞也日渐增多，许多网络攻击者正是利用疏于管理的软件漏洞作为切入点，采取旁注式攻击，进而控制整个服务器，渗透进入到校园内部网络实施攻击行为。

3.网络设备在策略配置上存在缺陷，无法真正有效的过滤掉攻击行为。校园网络安全与防范不仅仅是网络安全硬件的简单堆砌，许多学校投入财力，购买大量网络安全设备，只经过简单配置或直接以默认配置就投入运行使用，其实其中存在大量安全隐患，每个网络环境依据其运行对象与组成架构都有其独特的安全防护重点，而各学校网络管理员一般由学校信息技术学科教师兼任，在忙于教务的同时，疏忽了对网络设备的配置使用进行精细化管理，这样许多网络设备的安全配置工作就由外包服务商来完成，但由于外部人员往往不可能根据学校网络运行的特点与运行的业务需求进行细化配置，就可能会存在疏漏之处，在日后的网络运行中可能会带来安全漏洞。例如，某些网络设备的IP访问策略、判断攻击行为规则、网络访问控制规则等。

4.校园网络使用者安全意识淡薄，导致应用系统从内部感染病毒。就目前来看，许多中小学校的师生、网络管理员的网络使用行为还不规范，网络安全问题未能引起重视，有些教师、学生在内部网络上网时，访问不良网站、随意复制程序文件等行为较为普遍，有些网络服务器甚至存在一机多用的现象，服务器操作系统由于其用途和特性的不同，决定了其特殊性，例如，如果使用者安装了某些聊天工具、网络软件、远程共享软件，就可能导致服务器主动开放一些易受攻击的端口（如135、139、445、3389等），从而使系统被攻击的可能性增大。

三、校园网络安全的防范措施

目前，比较成熟稳定的网络安全技术产品有：硬件防火墙、入侵检测系统（intrusion detection system，简称“IDS”）、入侵防御系统（IPS）、网络杀毒软件、上网行为管控、数据云备份、VPN、VLAN、地址绑定等，但网络安全技术不仅仅是硬件产品的简单堆砌，它应当包括从应用系统到网络访问、从硬件设备到使用服务的一个整体性、体系性的有机结合。

1.在校园网络出口合理布置防火墙网关

防火墙位于计算机和所连接的网络之间，所有经流的网络通信都要经过网络防火墙，防火墙会对此进行扫描并对其中非法数据包进行过滤拦截，网络管理员还可以根据网络使用的需要通过防火墙关闭一些不用的端口，屏蔽一些指定的IP地址的通信请求。

根据用户的需求和群体特性进行网络划分VLAN，VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"，在传统的网络结构中，所有的用户同处一个网络环境，这必然会造成网络性能的下降，管理的混乱和不便，所以我们就要对其进行分域划分管理，VLAN是一组存在于逻辑上的用户与设备，经过网络管理员的组织划分，可以将学校内部诸如不同地理位置的教室、网络功能室、办公室根据使用者的群体对其进行归类划分，与传统的局域网络技术相比，它具有灵活度高、使用成本低、可控性高、安全性强的特点。

2.通过地址绑定技术，运用访问控制系统实现信息智能化过滤。校园网络中使用度较高的群体是学生，而学生使用网络的场所一般在于计算机网络教室、图书馆、宿舍等。通过IP地址和MAC地址的绑定，既可以避免IP地址的盗用，也可以避免ARP病毒和攻击行为，同时也可配合网络攻击监控日志对攻击来源做出判断和定位，在上网行为控制策略中可限定网络使用者的访问站点范围，使用的端口等。

3.增强服务器安全配置，杜绝漏洞扫描攻击。服务器是校园网络运行的核心设备，也是黑客们攻击的青睐对象，一般直接与外部网络交流的服务器受到攻击的几率更高，例如web服务器，大多数学校门户网站服务器应用系统与数据库都安装在同一台服务器之上，运行的网站内容管理系统（CMS）种类繁杂，有相当部分的CMS系统源程序编写不够严谨，存在缺陷，攻击者可通过诸如SQL注入、网站目录扫描、弱口令破解、上传木马提权等攻击行为对门户网站进行控制，这种情况下，就需要网络管理者做好服务器的安全配置，对网站程序存在的注入漏洞进行查漏填补，例如，一些文本输入框、文件上传服务、用户登录入口等，通过网站信息发布服务（IIS、Apache等）进行发布后，由于缺乏对用户提交的查询字符串中的危险字符进行过滤，造成某些攻击者可利用SQL命令进行查询，从而对网站数据库构成直接威胁，获取管理员帐号并进一步获取系统控制权限（webshell）。系统管理员需要对系统关键部位做好安全防护，如注册表SAM目录的权限控制，利用操作系统自带的安全策略，对远程端口访问、IP访问、数据库进程权限、上传目录文件执行权限做出严格细致的限定。

4.制定科学的网络安全访问策略。这里所说的策略，是指网络管理员根据服务器运行的应用系统特性，利用服务器自带的管理工具创建出的一系列访问控制措施。解决校园网络安全并不只是在互联网与内网之间放置一个防火墙就高枕无忧，还需要我们来加强系统本身的强壮度，关闭“后门”和遗漏，关闭不必要的端口服务可以保护网络安全，有的校园网络部署有内部DNS服务器，为多个应用系统提供二级域名服务，基于域名服务的重要性，一般不推荐与其他系统共用服务器，这时我们就要根据DNS服务的特性，只开放53端口，在系统防火墙中将其设为例外或在路由器中只映射53端口。比如，网站服务器所使用的端口为80端口（以IIS为例），我们在制定该服务器的安全策略时可以选择只开放80端口，关闭掉其余无用的端口服务，如邮件服务smtp的25端口，ftp服务的21端口。

5.建立网络安全制度保障，增强运维人员技术水平。校园网络的安全问题不仅要部署网络安全防护设备，更需要建立严格的网络安全管理制度，需要网络用户自觉遵守，人人维护网络安全，人人注意网络安全，随着现代教育技术在校园中的广泛应用，校园网络的规模必将不断扩大，网络安全问题也变得更加重要，因此，作为学校网络管理员就要不断学习安全防护知识，增强网络安全意识。