叶　波

校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，但随着应用的深入，各种各样的安全问题开始困扰我们。特别是近期校园网出现的一些新问题，例如ARP造成网络运行不稳定、P2P软件占用大量网络带宽、大量的系统和应用程序的漏洞被利用、一种病毒多种传播手段等。因此我们必须不断研究校园网面临的安全问题，结合本校网络的实际情况找出解决这些问题的具体方法，为学校的教育教学提供一个良好的网络环境。

一、校园网面临的主要安全隐患

1.各种操作系统以及应用软件自身存在的漏洞是当前校园网最大的安全隐患

所谓漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。随着软件交流规模的不断增大，系统中的安全漏洞或“后门”不可避免地存在，比如我们常用的操作系统，无论是Windows还是Unix几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、一些应用软件等都被发现存在安全隐患。目前鲜为人知的安全漏洞或脆弱点就多达140处，而且随着时间的推移，将会有更多新安全漏洞被人发现和利用，严重威胁校园网的安全。

漏洞形成的因素主要有：首先，计算机系统设计的问题。如网络应用需要开放某些端口,同样也为黑客留下了侵入通道。对于一些开源性的系统或应用程序，黑客会分析其源码找到漏洞进行攻击。其次，计算机病毒攻击网络。计算机病毒具备破坏性和传染性,主要通过电子邮件、文件下载、网络访问、移动介质等形式进行传播,可造成数据破坏、系统异常、网络瘫痪。广义上的计算机病毒概念已经超过原有范畴,可包括:传统病毒、蠕虫、木马、后门、恶意网页代码(恶意Java脚本/ActiveX)等。再次，管理人员的不安全行为。大多数网管都没有严格遵守网络相关操作章程,导致疏忽了诸多安全漏洞。最后，人为的恶意攻击。

2.计算机蠕虫、病毒泛滥

网络蠕虫病毒的危害日益严重，种类和数量日益增多，发作日益频繁。现在蠕虫病毒往往与黑客技术结合，计算机中毒发作后，常导致拒绝服务攻击，连累全网服务中断。过去病毒最大的“本事”是复制自身到其他程序。现在它具有了蠕虫的特点，通过网络到处乱窜。还有些病毒具有黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。

3.来自网络外部的入侵、攻击等恶意破坏行为

有些计算机被攻破后，成为黑客的工具，进行再次攻击。例如，系统代理攻击就是攻击针对单个主机，并通过RealSecure系统代理对它进行监视。拒绝服务攻击在一般情况下，是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，使被攻击对象停止部分或全部服务，拒绝服务攻击的典型方法有SYN Flood、Ping Flood等。

目前在互联网上，人们可以自由下载很多攻击工具。这类攻击工具设置简单、使用方便，这意味着攻击所需要的技术门槛大大降低。因此，一个技术平平的普通攻击者很可能就是对系统造成巨大危害的黑客。

4.内部用户的攻击行为

例如，授权访问尝试指的是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试，典型方法包括FTP root和NetBus等。预攻击探测指在连续的非授权访问尝试过程中，攻击者为了获得网络内部和周围的信息使用这种攻击尝试，典型例子包括Satan扫描、端口扫描和IP半途扫描等。这些行为给校园网造成了不良的影响。

5.校园网内部用户对网络资源的滥用

有人利用校园网资源进行商业的或免费的视频、软件资源下载服务，占用了大量珍贵的网络带宽。

6.垃圾邮件、不良信息的传播等

二、维护校园网安全的对策

1.及时发现新漏洞，查明网络中存在的安全隐患和威胁，采取积极的技术手段防止黑客攻击

首先，在安装操作系统和应用软件之后及时安装补丁程序，并密切关注国内外著名的安全站点，及时获得最新的网络漏洞信息。在使用网络系统时，要设置和保管好账号、密码和系统中的日志文件，并尽可能地做好备份工作。其次，及时开启防火墙，建立安全屏障。防火墙可以屏蔽内部网络的信息和结构并降低来自外部网络的攻击。再次，利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击，必须通过主机开放的端口。黑客常利用Satan、Netbrute、SuperScan等工具进行端口扫描。防止端口扫描的方法：一是在系统中将特定的端口关闭，二是利用PortMapping等软件，对端口进行限制或是转向，最后通过加密、网络分段、划分虚拟局域网等技术防止网络监听。

2.安装防火墙和网络杀毒软件，防范网络病毒

未来网络威胁的特征是病毒传播的速度越来越快、从发现漏洞到利用漏洞进行攻击之间的间隔越来越短。因此无论是手动的还是自动的应对措施，它们的作用都有限。唯一的方法是主动预防，即部署整体的网络安全解决方案代替简单的反病毒解决方案。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。实现软件安装、升级、配置的中央管理不仅要对进入校园网内部的请求进行病毒扫描和内容过滤，而且还要在内部用户访问Internet、进行内部应用之前，在本地网络边界进行病毒扫描和内容过滤，从而防止受到病毒、恶意代码的破坏，提高网络的安全性和可用性。

3.防范黑客入侵和对校园网的破坏行为

为防止来自网络外部的入侵、攻击等恶意破坏行为，使用电脑时应注意以下几个方面的问题：密码安全、电子邮件安全、IE的安全、聊天软件的安全、系统程序的安全、文件的安全等。

4.采取有利措施防止内部用户非正常使用和对校园网的的攻击行为

建立各部门计算机使用制度，明确用户的责任和义务，为用户设定开机密码，防止乱用或被他人盗用。严禁各部门随意安装和运行一些带有黑客性质的软件。严禁使用未检验的光盘、软盘和其他移动存储设备。对校园网上的计算机实施IP和MAC地址的绑定，防止私自乱改IP的现象发生。注意对校园网服务器的安全防护。运用VLAN技术来加强内部网络管理。

5.合理控制网络流量，保证学校教育教学的正常需要

目前许多软件诸如bt、emule、kugoo、kamun、VaGaa、Podcast Bar、迅雷、Kuho、PP点点通等，这些软件在使用时都要占用大量网络带宽，严重影响上网速度，这就是当前校园网用户觉得网速越来越慢的主要原因。解决这个问题要结合各学校的实际情况，有条件的可以购置流控设备，对网络流量进行动态控制，没条件的也可以直接在交换机上对各端口流量进行控制，以保证大多数人正常使用校园网。

6.利用过滤技术控制不良信息的传播，营造一个健康的校园网络环境

7.加强对校园网的科学、规范化管理

除了建立起一套严格的安全管理制度外，还必须培养一支具有安全管理意识的网络队伍。

校园网络的各种安全性威胁在其运行和管理中表现得尤为突出,加强校园网的安全管理是当前非常迫切、充满挑战的任务，也是一项长期、复杂的工作。在目前的情况下，我们应当对自己学校的实际情况加强管理，认真查找安全隐患，及时解决存在的问题，运用多种手段，千方百计地提高校园网络的安全性，从而建立起一套真正适合学校计算机网络的安全体系。

参考文献

[1]顾巧论,高铁杠,贾春福等.计算机网络安全[M].北京:清华大学出版社,2004(9).

[2]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005(11).