刘方建

摘 要：随着高校校园网规模急剧扩大、网络应用增多，网络用户数量剧增、对校园网的依赖程度日益增加，校园网安全通畅成为网络管理者的第一要务。如何保证校园网的安全通畅运行，已成为当前许多高校信息化建设的当务之急。高校应建立相关的管理措施，成立良好的校园网络安全系统，保证所有类型的信息化建设都不受到外来访问系统的破坏。

关键词：高校校园；网络安全；问题及对策

随着高校校园信息化建设工作的整体推进，应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流，都需要切实做好校园网络安全体系建设，建立事故预警机制，做好善后处理工作，结合硬件、软件，采取各种技术措施，建立一个基于管理措施和多种技术的高校校园网络安全体系，确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏，管理内部用户对外部资源的合法访问，全面做好校园信息化的安全保卫工作。

1 高校校园网络安全威胁

高校校园网络通常接入着成千上万台计算机、服务器、交换机等终端设备，这些终端分布在不同的物理位置，由不同的用户操作，有着不同的用途。由于使用者安全意识不强、网络安全措施不及时、技术实施不到位或者恶意攻击造成的损失时有发生。高校校园网络常见的安全威胁主要有以下几个方面：

1.1计算机病毒肆虐

校园网网络在使用移动存储设备、下载程序、收发电子邮件、浏览网页甚至即时通信都有可能造成病毒的下载和传播。大量病毒传播不仅占用网络资源、使网络效率下降，而且破坏网络设备、服务器或单机，最终影响整个学校网络系统的正常运作，严重的还可能造成校园网络的瘫痪，是目前威胁校园网络安全的主要因素之一。

1.2终端系统漏洞

我国高校的校园网站中的使用系统漏洞，以及计算机的系统应用软件的安全问题是现阶段高校校园网絡中存在的普遍现象，这些情况出现之后会严重影响计算机的使用，甚至会导致校园网络瘫痪，使用户的信息安全受到威胁，造成的后果非常严重，而且一旦网络出现的漏洞被黑客和恶意破坏的人员发现，就很容易造成严重的后果，一旦这些人员入侵校园网站，通过网站漏洞对于系统进行攻击，对于校园主机的资源进行非法获取。这样的情况都严重的影响校园网络的使用，并且黑客攻击了网站之后，校园管理员并不能查勘其真实的身份，所以高校中还需要对安全网络系统进行维护，并且在发现网络系统出现最新版本的时候，网络管理人员还需要及时的更新改进，保证网络补丁能够被及时修补，防止黑客和木马的入侵，在系统更新之后还需要及时的安装杀毒软件等。

1.3网络设备安全管理不足

从网络设备所处层级看，校园网网络层级一般可分为核心层、汇聚层、接入层，要确保各个层级的安全，网络设备本身的安全可靠是前提，否则网络设备所配置的安全策略就失去了其意义。为了集中管理存放在校内各楼宇中的交换机设备，学校一般会购置具备远程管理功能的交换机，也同样是出于集中管理的目的，网络管理者往往会将交换机的远程登陆帐户设置成一模一样或者就干脆采用设备的出厂默认值，如果攻击者获取到设备的登陆帐号，将会给用户和网络管理带来无法想象的威胁。

1.4网络中传播的非法信息

在我国高校内的网站，很多学生对网络资源进行滥用，例如：非法上传网络资源，因为很多学生使用校园网络玩游戏或者是下载电影，所以很多用户在使用电脑的时间非常长，甚至超过一天一夜，这样也会造成网络资源的浪费和占用，是网络变得非常慢占用网络宽带，这样的情况也容易影响其他用户。一旦网络使用情况被阻止，有些人就开始使用其他渠道，这样也会造成校园网络出现安全隐患。

2 保障高校校园网络安全策略

2.1做好病毒防范和控制

网络管理者一般应通过四种策略来防范和控制病毒在校园网中的广泛传播：一是在网关处禁止常见病毒的入侵，关闭校园网络对外的可能产生病毒入侵的端口；二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，在整个校园网内采取病毒防范措施；三是查找到病毒宿主机，对其实施隔离措施，将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀；四是对服务器等重要设备设定安全策略（如固定端口开放、审核策略、网络访问许可策略等），监控系统状态，有效防范校园网络内的病毒和恶意入侵。

2.2封堵终端安全漏洞

对操作系统来说，可以通过“打补丁”完成漏洞的封堵。若网络设备出现安全漏洞，则可联系设备厂商，获取最新芯片程序并更新设备。在校园网内，WEB站点通常比较多，代码往往是由不同设计开发人员完成的，漏洞相对比较复杂，因此，网络管理员需要定期或不定期的检查WEB站点，发现问题及时解决。

2.3防范弱口令，加强密码复杂度建设

对于网络管理者来说，虽然管理的设备和应用系统比较多，但更要加强密码复杂度的建设，要彻底避免使用设备出厂默认密码或设置过于简单的密码，甚至需要定期或不定期的予以更换，这样才能真正保护校园网络正常运转的基础平台。

2.4合理有序管理IP地址

IP地址是校园网络各种功能得以实现的基础。高校校园网络一般可以采用DHCP服务方式使终端自动获得IP地址，但为了防止终端用户私自建立DHCP服务器造成校园网络管理的混乱，可以配置支持DHCP Snooping功能的接入交换机，使终端用户获取的IP地址只能来自校园网络管理中心。另一方面，为了防止用户手动设置IP地址而造成冲突，可以配置支持IP Source Guard的接入交换机，使终端用户自行设置的IP地址自动被交换机禁止，必须从DCHP服务器获取IP地址后才可使用。

2.5加强网络监控力度

网络管理者应制定网络监控机制，采用适合网络需要的安全产品和安全技术，建立一个功能完善、覆盖整个校园网络系统的监控体系，加强实施力度，对整个网络的运行状况进行监控和记录，及时发现可疑的网络活动并采取相应措施，增强网络安全的自我适应性和反应能力，阻止今后可能发生的入侵行为和病毒传播，从而保证校园网络安全、稳定的提供各类服务。

2.6实施用户网络安全教育和培训

网络管理者需要对校内网络用户加强网络安全教育，规范网络文明行为，增强网络安全意识，可以通过建立网站并发布相关安全规范操作方法，或定期组织各类培训，让师生掌握各类网络系统平台的使用方法和基本的安全应用技能（如不轻易使用存在一定安全隐患的软件、不轻易浏览存在风险的网站、不随便打开未知电子邮件等），建立完善的培训制度和激励机制，有效激发管理者和参与者的积极性，切实保证效果。

2.7采用访问控制技术，保护重要资源

访问控制技术是检测和拒绝网络中的未经授权访问，保障授权用户正常访问网络资源所采取的安全措施体系，是校园网络安全防范的主要策略。访問控制技术涉及的策略主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制以及网络端口和节点的安全控制等。

2.8采用虚拟局域网技术，隔离不同需求用户

现在绝大多数高校校园网是交换以太网，根据尽可能减少网络冲突域中N值的原则，利用交换机的VLAN（Virtual Local Area Network，虚拟局域网）技术，可以把同一物理局域网内的不同需求用户逻辑地划分成一个个网段，形成不同的广播域，强化网络管理和网络安全，控制不必要的数据广播，使不同VLAN的用户相互间不能访问，提高校园网络的安全性。

3 结语

校园网络安全问题是一个较为复杂的系统工程，需要在充分了解现有网络安全状况的前提下，通过管理和技术两个策略层次全方位进行防范，设计合理的安全规划方案，有效防止有害信息的流入、防止非法攻击和未经授权访问、防止窃取内部信息和对网络资源的盗用、滥用等，充分发挥校园网络安全稳定的管理与服务功能，使校园网络建设朝一个全面的、集成的、个性化的、开放的、安全的方向迈进，为学校的跨越式发展提供现代化的基础平台。

参考文献：

[1]严军鹏.高校校园网络安全技术浅析[J].计算机与网络，2015，41（21）：52-53.

[2]金山.基于信息化环境下的校园网络安全建设与管理[J].网络安全技术与应用，2016（2）：21-22.

[3]张文川.一种校园网络的优化方案及应用[J].软件工程师，2014（10）：21-22.