■王健

“学校网站上不了……”作为学校网管，当笔者接到这样的电话时，脑海里立刻闪过一个念头——难道被“黑”了？当打开Web服务器一看，网站首页已被更改，只显示一串字符——被黑客攻击。于是迅速从备份文件恢复首页文件，使Web服务器正常……

金陵中等专业学校校园网络现状如拓扑图（图1）所示：电信铁通光纤100 M双接入，NetEye防火墙，以Cisco 4006三层交换主交换，Cisco 29系列为楼层交换，均以光纤互连，主干1 000 M，百兆交换到桌面，拥有Web服务器、VOD、FTP服务器、MAIL服务器、校务教务管理平台等服务器，网内机器全部部署网络版瑞星杀毒软件。

这样的拓扑结构应该说是比较安全的，可为什么会导致网站被“黑”呢？1）学校的防火墙出现故障损坏，未能及时购置新设备，可校园网Web网站不能停止服务。笔者考虑到这里是学校，再加上新设备正在招标，不久即将更换设备，心存侥幸，估计不大可能受到攻击，故将Web服务器直接暴露在公网上，没有任何防御措施。2）更致命的，为了管理Web服务器的便捷，开设其他一些服务，但是在站点权限设置上多开放了用户权限，于是给黑客开了一个小小的“后门”，直接导致Web服务器受到攻击被黑。

目前校园网内出现的问题主要有：病毒（特别是计算机局域网病毒）；IP地址盗用；防火墙问题；黑客攻击；系统补丁；网络应用服务器的权限设置等。综观校园网络出现的问题，影响校园网络安全的，无外乎两种因素：人为因素和自然因素。其中人为因素危害最大，归纳起来主要有3种。

1）人为的无意失误。网络管理员安全配置不当会造成安全漏洞；不合理地设定资源访问控制，一些共享资源就有可能被偶然或无意破坏；不合理的路由设置会导致网络中断。网络安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享；机器不安装杀毒软件，导致局域网内病毒横行；随意设置IP地址，引发IP地址冲突，影响正常用户的网络使用……

2）人为的恶意攻击。这就是常说的黑客攻击，它是计算机网络所面临的最大威胁。黑客攻击又可以分为两种。一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性。这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包，并对之进行更改使之失效；或者故意添加一些有利于自己的信息，起到信息误导的作用；或者登录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益。积极侵犯者的破坏作用最大。另一类是被动攻击，它是在不影响正常工作的情况下，进行截获窃取、破译以获得重要的机密信息，如网游、信用卡账号密码的盗取，这种仅窃取而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。

3）网络软件的漏洞和“后门”。无论系统软件还是网络应用软件，不可能百分之百无缺陷或无漏洞，然而这些缺陷恰恰是黑客进行攻击的首选目标。目前大家使用的操作系统都有很多的漏洞，曾经出现过的网络大事件都是因为系统软件有漏洞，导致系统崩溃甚至信息资料完全丢失，造成极大的经济损失。还有许多师生在安装应用软件时一不小心把一些流氓软件和木马同时装进系统，无论是对单机还是整个校园网都带来安全隐患。

鉴于诸多网络不安全因素，使得网络管理员必须采取相应的策略来应付。通过多年的网络管理经验及吸取本次网站被“黑”的教训，笔者针对校园网络安全提出几点安全策略。

1）网络管理机制。网络安全建设是“三分设备，七分管理”，没有切实可行的安全保障体系和制度，网络安全都是空谈。健全的网络安全管理规章制度，是解决网络安全问题的所有安全策略中最重要的一点。①必须建立一支高技术、高素质、高责任心的校园网络安全管理队伍，同时对网络管理员进行专业知识和技能培训，提高管理能力；②制定网络信息安全法规，做到有章可循、有法可依，包括机器名称的规范及IP地址的规范使用等；③定期对学校教师和其他人员进行电脑常规使用及信息安全知识普及；④在学校网站设立“信息中心”栏目，发布网络法令法规、网络病毒公告、操作系统更新公告等，并提供常用软件的补丁下载或建立校园网内公共FTP。

2）硬件设备保障机制。

①防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。防火墙是一种按某种规则对专网和互联网，或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离)，从而阻断不希望发生的网络间通信的系统。部署防火墙技术，构筑内外网之间的安全屏障，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。在原防火墙出现损坏的情况下，现已申购Cisco ASA5200防火墙。但值得注意的是，安装防火墙并不能做到绝对的安全，如：不能封锁不经由防火墙的攻击，不能防止感染病毒的软件和文件的传输，不能防止数据驱动方式攻击，不能防范内部侵入及攻击。

②VLAN技术。校园网络终端的增多使得单个网段的IP地址捉襟见肘，IP的盗用也越来越频繁。可以利用VLAN技术来加强内部网络管理，VLAN技术的核心是网络分段。根据不同的应用以及不同的安全级别，将网络分段并隔离，实现相互的访问控制，可以达到限定用户非法访问的目的。

③带宽及流量控制系统。学校共有机器1 253台，接入网络的有1 000余台，其中教师机近300台，机房机器700多台，一般情况下同时在线机器约400多台。原先用10 M电信＋10 M铁通双接入，按照同时在线的机器数量，带宽相对比较吃紧，大家感觉网速较慢。现已向电信局申请100 M带宽。

而网速较慢的原因除了带宽的限制，还有网络流量的问题。现在的网络资源十分丰富，BT、电驴、迅雷等多线程下载及在线影视播放都将占用极大的带宽资源。利用流量控制设备进行流量分析，可以感知自己校园网络的性能，可以限定所有用户的带宽，也可以限定单个用户的带宽，还可以限定应用程序占用带宽……解决了以前网络流量分配不公，极少部分终端用户占用大部分资源的问题，从而保证网关和防火墙的安全。而且其预警机制可以让用户为无法预料的网络事件作出提前反应。

④入侵检测系统IDS（Intrusion Detection System）。网络安全是整体、动态的。为了确保网络更加安全，必需配备入侵检测系统，对透过防火墙的攻击进行检测并作出相应反应（记录、报警、阻断）。入侵检测系统可以对入侵行为进行侦测，通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。如出现任何不应该发生的活动，将采取相应的措施报告并制止入侵活动。采用IDS可以增强校园网系统抵御非法入侵的能力，并帮助网络管理员对入侵行为进行跟踪。

3）病毒防护机制。在网络防病毒方案中，最终要达到一个目的就是：要在整个校园内部局域网杜绝病毒的感染、传播和发作。为了实现这一点，网络管理员应该在整个网络内可能感染和传播病毒的终端采取相应的防病毒手段。同时为了有效、便捷地实施和管理整个网络防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。学生选用瑞星网络版杀毒软件，并部署到位。

4）信息备份机制。学校资料虽然不像商业网站的资料那样都带有明确的价值，但是关系到整个学校正常的教学状况，极其重要。所以应该定期对所有服务器资料特别是数据服务器、系统日志进行备份。但是备份不仅仅是对数据文件的备份，也不是仅仅使用拷贝的手段进行备份。对整个网络系统进行备份才能在系统遭遇破坏时方便地恢复原系统。最好使用专业的备份软件，它可以通过优化数据的传输率来提高备份的速度。使用此方法可以在网络问题不可解决之时重新导入系统或数据，将造成的危害程度减到最小。

校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统。在网络安全日益影响到校园网运行的情况下，不能够去保障校园网绝对的安全，只能说要尽一切可能去制止、减小一切非法的访问和操作。要完善校园网管理制度，对相关的校园网管理人员进行培训，对学生进行网络道德教育，提高公德意识，安装最新的防病毒软件和病毒防火墙，不断安装软件补丁、更新系统漏洞，对重要文件进行备份，从多个方面进行防范，把校园网不安全因素降到最少。

校园网络安全是一个系统工程，因此需要建立互相支撑的多种安全机制，并将各种安全技术结合在一起，才能生成一个高效、通用、安全的网络系统。当前网络技术飞速发展，校园网对学校教学、管理、科研等各方面产生巨大的促进作用，希望大家能共同努力探索、实践，构建校园网的安全长城。■