于 贵

(四川文理学院数学与财经系，四川 达州 635000)

校园网内部安全防范浅谈

于 贵

(四川文理学院数学与财经系，四川 达州 635000)

阐述了校园网亟待需要加强安全防范，介绍了校园网中主要应加强防范的对象以及针对各对象的防范措施，提出了要全面加固校园网应注意的问题。

校园网；内部安全；防范

随着教育信息化的高速发展，越来越多的大中专院校建立起自己的局域网络，使得大中专院校的管理、教学和科研等各项工作对网络的依赖程度越来越高，对信息系统的服务质量也提出了更高的要求。但是，国内大多数院校在校园网的安全系统设计上面，由于资金费用方面的原因，对人力、财力、物力的投入不足，安全问题可能严重干扰网络正常运行，从而影响教学和管理机构的正常工作[1～4]。因此，需要从多个角度、多个方面来看待和保障网络安全[1,2]。下面，笔者将从防范对象着手略作介绍。

1 网络设备管理和保护

网络设备及部件是网络当中必备的硬件实体。网络设备的数量是与日俱增，并且种类繁多。常见的网络设备有计算机(客户端或服务器)、交换机、集线器、路由器、网桥、网关、无线AP等。其中网关最为重要，它是连接校园网和外网的必经之路，是校园网连接外网的重要设备。校园网相对外网来说，木马与病毒是比较少的，但是如果校园网缺乏安全监管和隔离机制，一旦校园网中有计算机感染木马或者病毒，校园网当中其他终端也将面临被感染的可能性。

校园网当中使用代理网关是一个不错的选择。其优势在于校园网内每个计算机终端不会和外网进行直接地网络数据包交换。内部计算机终端必须通过代理网关才能访问到外网，这样一来，校园网的网络管理者就可以方便地在代理服务器上面对校园网内部终端访问外网进行管理，比如校园网管理者可以对校园网用户进行较为全面的监控，可以过滤与限制访问外网的内容。

一般来说，一个局域网在连接外网的边际处至少应当有一个防火墙或者具有安全防范功能的路由器，建立局域网的第一道防线。对于一个大中型校园网来说，最好选择使用功能较强大的硬件防火墙产品或者在路由器上进行相关的设置。大部分的路由器产品都可以使用其内置的IOS防火墙来防范外网的恶意攻击，再加上硬件防火墙的使用，可以进一步提高安全性。另外，对于终端数量相对比较多的校园网，添加域控制器进行安全防范也是一个十分简单有效的方法。

2 密码安全

网络操作系统所提供的密码安全策略是保障网络安全的有效措施和简易操作方法。这里以Microsoft Windows NT系列的操作系统为例来进行说明。通过用户名登录系统，设置相应的登录密码；为了提高安全性，对目录和文件设置相应的访问权限和密码，从而控制用户对目录和文件的访问；指定用户直接通过主机访问Internet等。除了设置用户访问目录和文件的权限，还可以设置网络连接的属性来提高安全性，如去掉本地连接属性当中TCP/IP协议和其他协议中的“Microsoft网络用户”和“Microsoft网络上的文件与打印机共享”的绑定，其他计算机终端也做相同的设置，就可以去掉TCP/IP协议中的绑

定。如使用Windows Server 2003，通过对系统自带的工具进行简单的设置，便可防止ICMP的碎片攻击和风暴攻击。

另一方面，数据库信息的安全也要加强。一般来说，网络中的数据组织形式主要有2种，一种是数据库，另一种是文件形式；由于后一种数据组织形式的数据缺乏共享性，在实际应用当中，一般采用的是数据库这种数据组织形式。通常，操作系统当中没有对数据库信息提供额外的保密措施和方法，而数据库的信息又是以重复读和写的形式存储在里面，所以就需要人为的对数据库的安全性采取更加严密的方法和手段。因此，加强对数据库访问的密码保护显得尤为重要。

此外，电子邮件是校园网与外网传递信息的重要工具。因此，需要对电子邮件用户名、密码及邮件内容进行加密处理，实际应用中，可安装签名工具软件来增强安全性。

3 计算机终端防护

一般来说，计算机终端上必须安装相应的杀毒软件和防火墙，基本要求是能嵌入式防毒杀毒、病毒数据库更新快、实时防护以及占用系统资源小。目前，很多大公司都推出了一定时间免费或长期免费的杀毒软件和防火墙，用于各类系统中的主动防御，建议有选择地使用。

绝大多数人使用的是微软的Windows系列操作系统，主要受影响的就是在安装软件时不小心捆绑了流氓软件或插件了，它们不仅占用了大量的窗口空间和系统资源，影响开机速度，有时还会引起莫名其妙的错误。建议安装软件时，注意其中的安装提示信息，及时更新操作系统的补丁程序，在上网的时候，尽量不要确认或点击不明来源的主动提示性超级链接，更不要轻易允许被浏览器阻止的恶意脚本运行。

4 数据备份

为了维护校园网的安全，必须对计算机终端上或者网络设备上的重要数据进行备份，目的就是防止因为各种软硬件故障、黑客的攻击病或者病毒的侵袭等原因导致系统崩溃，造成数据的丢失，从而造成更大的损失。

实际应用中，一般可以选择功能强大、使用灵活、操作简单的备份和恢复软件，加强对数据的保护。目前的备份软件种类繁多，对于服务器来说，可以采用CA的InocuLAN、ARCServe等，配合CA的灾难恢复软件，可以较为全面地保护数据的安全；对于普通终端来说，可以选择GHOST等，即可实现数据备份。当然，如果有条件的话，配置能实现数据备份或同步的硬件设备那将更好。

5 外部攻击的防范

目前，计算机网络系统所面临的安全威胁主要来自外部攻击，主要是恶意病毒攻击和拒绝服务(DoS)攻击。可以从以下几个方面进行网络安全保护。一般地，通过设置限制措施，只允许相关的网络数据进入整个Web站点，就可以有效的防止黑客对站点的攻击，这也是对付“拒绝服务”攻击有效方法之一，尤其对于ICMP封包，包括ping指令等，应当加入拒绝的列表。

其次，可以通过安装侦测非法入侵的系统，来提升硬件防火墙的性能，来达到监控网络运行情况、过滤ICMP封包的内容并及时拦截的非法的动作；当黑客或者木马病毒入侵时，可以马上起到作用来终止相应的动作，从而有效地防止窃取校园网的信息。实际操作中，网络管理人员应该时刻关注网络的运行情况，发现非法用户对网络的访问应当立即终止，通常是通过工作站的IP地址规则对规定本地网络设备的访问权限，目的就是以防止非法用户进入网络设备进行配置。

此外，网络管理人员还应该及时下载网络设备最新的补丁程序，以便对网络设备进行升级，从而提高网络设备的安全性，同时，还应该经常扫描、检测整个校园网内部网络的关键节点，尽早发现各种设备的安全漏洞并实施补救措施，安装补丁程序，才能做到有备无患。

[1]曾理.浅谈校园网络建设与应用[J].电脑知识与技术, 2009(13):42-43.

[4]谈杰.浅谈校园网安全性问题及其控制策略对策分析[J].电脑知识与技术, 2010(9):51-52.

[编辑] 洪云飞

10.3969/j.issn.1673-1409.2011.02.031

TP393

A

1673-1409(2011)02-0085-02

2010-10-01

于贵(1981-)，男，2003年大学毕业，硕士，讲师，现主要从事网络数据库、多媒体技术方面的教学与研究工作；E-mail:ygsanm@vip.qq.com

❶四川文理学院重点科研项目(2009A02Z)。