郑茂华

中图分类号：TP393TP393.08文献标识码：A文章编号：1673-0992（2009）05-045-02

摘要：在校园网的初期建设中，由于安全意识、安全管理等多方面的原因，网络安全没有引起足够的重视，造成网络安全事故不断发生，校园网运行和管理所面临的安全问题也就愈发突出。因此, 建设健全校园网络安全体系已经成为数字化校园建设过程中不可忽视的重要组成部分。

关键词：校园；网络；隐患；安全技术

校园网络的发展改善了教育技术和网络教育应用的环境，革新了现有的教学手段、教学方法和教学模式，推动了信息技术和现代远程教育的发展。校园网络的普及和广泛应用，提升了学校的信息化、数字化水平；如何保证校园网络安全、有效地运行，已成为目前许多学校面临的重要课题。

一、校园网络安全概述

1.校园网络安全的定义

校园网是指基于互联网应用的，提供以学习活动为核心的，兼顾教学与学校管理的网络媒体教学环境。校园网网络安全是指校园网信息系统和信息资源不受自然和人为有害因素的威胁和危害。广义的校园网网络安全包括实体安全、运行安全、数据安全、软件安全和通信安全等。其中，实体安全主要是指校园网硬件设备和通信线路的安全，其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全，其威胁主要来自信息破坏和信息泄漏。狭义的校园网网络安全是指校园网网络的信息安全，凡是涉及到网络上信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论。

2.校园网络安全的特点

第一，开放性。由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面较企业网络来说更宽松一些，这样就会留下一些安全隐患。第二，活跃性。在学校中，在校学生通常是最活跃的网络用户，而且数量非常庞大，他们对网络新技术充满好奇，敢于尝试。尤其是一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏。第三，复杂性。大多数用户基本上使用的是盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例如留有后门、携带病毒等，这些将会影响计算机系统的正常运行。

二、校园网络安全隐患

1.网络连接安全隐患

几乎所有校园网都与Internet链接，这对宣传学校、扩大学校的影响和知名度很有好处。但是，在带来方便的同时也带来安全风险。对于校园网的安全来说所有的Internet用户都属于不信任的，无法保证不发生攻击行为，需要特别注意防范。浏览网页是绝大多数上网者的事情，令人遗憾的是，过去一直被认为浏览网页是安全的观念现在已经被彻底打破，大量事实表明仅仅是阅读了某些网页，就完全有可能在浏览者的机器上运行任何程序，比如格式化硬盘，安装木马，肆意篡改浏览器，限制某些功能等等。

2.系统漏洞安全隐患

系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前校园网上所使用的操作系统主要有Unix，Linus，Windows系列，而且以Windows系列操作系统最多。不管哪一种操作系统都存在大量已知和未知的漏洞，国际上一些安全组织已经发布了大量的安全漏洞，其中一些漏洞可以导致入侵者获得管理员的权限，有一些漏洞则可以被用来实施拒绝服务攻击，一些漏洞则成为病毒攻击的对象。近几年来，利用漏洞开发的计算机病毒在互联网上泛滥成灾，频频掀起发作狂潮，并且随着网络带宽和计算机数量的增加，病毒的传播速度越来越快。

3.网络病毒侵袭隐患

计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒以计算机为载体，利用操作系统和应用程序的漏洞主动进行攻击，是一种通过网络传统的恶性病毒。它不仅具有传播性，隐蔽性，破坏性等特性，同时还具有不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合等特征。在产生的破坏性上，计算机病毒可以在短短的时间内蔓延整个网络，造成网络瘫痪。

4.管理制度安全隐患

管理制度是保障信息化建设安全的重要组成部分，许多学校都存在着重建设轻管理的倾向。实践证明，安全管理制度不完善是网络风险的重要来源之一。比如，网络管理员配备不当、用户安全意识不强、用户口令设置不合理、管理制度不健全等，都会给信息安全带来严重威胁。IP地址的盗用、混用问题，校园网内部连接的计算机有的是得到合法的IP地址，有的没有申请过IP地址，如果没有IP地址的用户冒用合法用户的IP地址上网，这就是IP地址的盗用；IP地址的混用是指用户由于某些原因，人为地修改了机器的静态的IP地址。这两种情况都能造成局域网内部地址的冲突，严重影响着网络的正常使用。

另外，地震、水灾、火灾等环境事故，电源故障，人为操作失误或错误等网络的外部环境安全隐患也是整个网络系统安全的前提。

三、校园网络安全技术运用

1.网络防火墙技术 防火墙是网络安全的屏障，它能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。因此要在Internet与校园网内网之间部署一台防火墙，构筑内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Inter-net进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。

2.网络入侵监测技术

对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，有些攻击方式可以绕过防火墙，直接侵入到内部网络，使得网络安全受到威胁。入侵检测系统(IDS)是近年来出现的新型网络安全技术，IDS能够实时分析内部网和外部网的数据通讯信息，分辨入侵企图，在网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应对策，最大限度保护网络的安全。它可以弥补防火墙的不足，作为一种积极主动地安全防护技术，提供了一种对外部攻击、内部攻击以及误操作的实时保护，最大限度的降低可能的入侵危害。由于它与防火墙有很强的互补性，所以在网络安全系统的设计过程中，入侵检测系统经常与防火墙实现联动。

3.数据加密技术 加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。数据加密技术是为提高网络上的信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。数据加密技术作为主动网络安全技术，是提供网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段，是许多安全措施的基本保证。加密后的数据能保证在传输、使用和转换时不被第三方获取数据。基于数据加密技术以上特点，在校园网络中传送重要信息时要使用数据加密技术来保证信息的安全。

4.防网络病毒技术

在网络环境下，病毒传播速度很快，大量的数据包经常使网络瘫痪，仅用单机版的杀病毒软件已经难以清除网络病毒，必须使用网络版的杀病毒产品，并在网络设备上进行相应的设置，阻断病毒的传播，从病毒的源头和传播途径两方面解决问题。在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心，负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒，并自动对网络版杀毒软件进行更新。 安全防范体系的建立不是一劳永逸的，必须根据情况的变化和现有体系中暴露出的一些问题，不断对此体系进行及时的维护和更新，保证网络安全防范体系的良性发展。

参考文献：

[1]凌捷.计算机数据安全技术[M].北京:科学出版社.2004

[2]张世永.网络安全原理与应用「M].北京:科学出版社.2003

[3]高文莲.高校校园网安全设计与实现.长治学院学报.2005.4

[4]文光斌.主动防御网络安全研究[J].计算机安全，2006.8