王　涛

[摘要]高校校园网络在校园管理、日常教学等方面的重要性不言而喻，随着高校规模的扩大，其校园网络已显得日趋重要。分析目前高校校园网络所存在的安全隐患，并就如何提高校园网络的安全性提出一些安全策略。

[关键词]网络安全 校园网 策略

中图分类号：G47文献标识码：A文章编号：1671－7597（2009）0510174－01

一、引言

随着校园网应用的深入，校园网安全问题越来越被人们重视。在校园网的建设中一般都最先应用最先进的网络技术，网络应用普及，用户群密集而且活跃，安全问题非常突出，安全管理更为复杂，因此稳定的网络和计算机系统成为教育信息化的重要保障，网络及信息安全也成为高校关注焦点之一。

二、高校校园网所存在的隐患

校园网的功能架构大致可以分为对内部分，对外部分和网络管理部分。对内主要包括教学局域网、图书馆局域网、办公自动化局域网的建设，对外主要实现校园网与Internet的基础接入。当前，高校校园网络普遍的安全隐患和漏洞有以下几种：

（一）操作系统的安全缺陷。目前使用的网络操作系统都存在安全漏洞，近年来的冲击波、震荡波就是利用微软操作系统的漏洞进行攻击的。Unix操作系统的远程过程调用RPC软件包中包含具有缓冲区溢出缺陷的程序，容易为入侵者提供溢出攻击。此外，操作系统还存在着隐蔽通道、天窗等不可避免的安全问题。

（二）计算机病毒的威胁。计算机病毒是校园网安全最大的威胁，由于计算机病毒具有隐蔽性、破坏性、传染性等特性，一般不容易被发现，并且一旦校园内某台机器感染病毒将能迅速蔓延整个网络，对校园网络安全有着巨大的破坏性。近年来的“CIH病毒”以及“爱虫病毒”、“震荡波”等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。

（三）恶意攻击。高校学生对新鲜事物充满好奇同时又具备一定的能力，部分学生使用BT软件下载文件，对服务器造成威胁；部分对黑客技术感兴趣的学生可能会利用网络获得的知识来攻击校园网络，校园网内针对QQ的黑客程序随处可见。

（四）用户管理方面的问题。网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。随着校园内计算机应用的大范围普及，接入校园网节点日益增多，学生通过网络在线看电影、听音乐、使用BT软件下载，很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

三、校园网络系统安全的解决途径

针对常见的校园网安全威胁，建立有效的安全策略迫在眉睫，只有建立一套解决校园网安全威胁的整体解决方案，才能保证校园网的安全运行，笔者根据自己的实践经验，总结出几种安全对策：

（一）运用防火墙技术。防火墙是构建整个网络安全体系的核心，它位于内部网和外部网之间，成为内外网之间的一道牢固的安全屏障。

若校园网不加防范地连入Internet，很容易受到入侵者的攻击，严重时会导致网络的瘫痪。防火墙分离可信任的校园内部网和不可信的公共网，是不同网络之间信息的唯一出入口。能根据学校的安全政策控制（允许、拒绝、监测）出入网络的信息流，具有较强的抗攻击能力。

校园网防火墙系统的设计常使用代理服务器属于应用层防火墙，它连接外部网与内部网充当防火墙，因为校园网内的机器不直接与Internet相连，客户机的内部资源不会受到侵犯，同时，又可在代理服务器上控制内部网客户机对Internet资源和服务的访问。

（二）入侵检测系统。对于校园网而言，不但要防御外部的攻击还要考虑内部的攻击。但是，防火墙毕竟只是被动防御，因此必须还应该采用入侵检测系统（IDS）。IDS所采用的不是被动防御的策略，而是主动监视、检测和识别正在进行的或已经成功的入侵行为，并及时报告给网络管理者。但是单靠入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。所以，让IDS与防火墙结合起来互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系，解决了传统信息安全技术的弊端，解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。

（三）网络杀毒软件。从网络管理和病毒监控的角度来说，校园网宜选用网络版防病毒软件。因为网络版防病毒软件的管理功能更强大，网络管理员只要及时在服务器端进行升级，客户端启动后就可以自动升级，网管员还可以对所有安装客户端的计算机进行病毒监控、远程杀毒，及时了解校园网中病毒疫情。

（四）运用虚拟局域网技术。VLAN(Virtual Local Area Network)即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。

VLAN技术的核心是网络分段，根据不同的部门及不同的安全机制，将网络进行隔离，可以达到限制用户非法访问的目的。采用交换式局域网技术组建的校园网络，可以运用VLAN技术来加强内部网络管理。

（五）管理方面的提高。校园网各机房和各业务部门机房都要有专门的管理员负责其网络安全问题，并建立完善的管理制度。对学生开放的机房，要安装机器还原卡，减少外来感染机会，控制和监视每台机器的下载文件，控制不良信息的传播与网络聊天，加强密码的管理。对于各业务部门机房要严格实行岗位责任制，对应用系统重要数据的修改要经过授权，并登记日志。

四、结束语

校园网安全是一个动态的发展过程，应该是检测、监视、安全响应的循环过程。只有全面了解校园的网络状况，以及网络安全中存在的软、硬件差异，才能因地制宜地制定安全策略，并实施网络改造，在实施有效的技术手段的同时，配合完善的安全管理策略，提高安全管理人员的素质，落实安全管理制度，并加强对上网用户的安全知识及相关安全法规的培训。

参考文献：

[1]闫宏生，计算机网络安全与防护[M].电子工业出版社，2007.

[2]梁亚声，计算机网络安全教程[M].机械工业出版社，2008.

[3]Chris Brenton著，马树奇、金燕译，网络安全从入门到精通[M].电子工业出版社.

作者简介：

王涛，男，汉族，湖南城市学院计算机系助教，研究方向：可信系统与网络安全。