周　健

[摘要]校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多重要角色。校园网的安全问题始终困扰着网络管理人员，主要介绍集中应对网络安全问题的策略。

[关键词]校园网络网络安全分析对策入侵检测

中图分类号：G20文献标识码：A文章编号；1671—7597(2009)0620072-01

一、引言

校园网对提高学校的教育教学质量，推进以创新精神为核心的素质教育起着至关重要的作用。如何保障网络教学的正常进行，教学资源的合法访问，使网络免受黑客、病毒、恶意软件和其他不良意图的攻击就显得尤为重要。校园网由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂、困难。其他网络相比，我校校园网的以下特点导致安全管理非常复杂。

二、校园网安全特点

(一)我校校园中的计算机系统比较复杂。我校校园网建于1990年。至今校园网已经经过了4次升级，学校里的计算机与网络系统硬件设备情况非常复杂，比如办公系统的电脑有近7个批次，绝大部分是联想机器，有部分为组装及其他品牌，电脑使用率都比较高，再加上学校家属区纳入我校校园网，其电脑都是自己购买、自己维护。

(二)用户群体比较活跃。学校的学生通常是最活跃的网络用户，虽然我校规定学生不能够带电脑来校：但是每个班级配有多媒体设备，而且网络是完全开放的，有些学生经常利用下课时间尝试使用网上学到的、甚至自己研究的各种攻击技术，破坏校园网络。

(三)网络环境比较开放。现在教学使用的课件体现了数据类型多样(数据、语音、视频等)，以及学校的无纸化办公等特点决定了校园网络环境应该是开放的、管理也是较为宽松的。

(四)资金投入比较有限。我校对校园网的投入比较重视硬件(网络终端如电脑、打印机等设备)建设，比较轻视网络安全，特别是管理和维护人员方面的投入明显不足。我校只有2个网管人员，基本上只能维护网络的正常运行，无暇顾及、也没有条件管理和维护学校数百台计算机的安全。

(五)盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。我校办公电脑基本上采用正版操作系统及杀毒软件，但是教师生活区的电脑操作系统很难统一控制管理。

(六)用户群体网络安全意识比较薄弱。我校师生使用电脑水平良莠不齐，网络安全意识比较淡薄，操作也不规范。有些老师的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网的运行，于是出现终端系统用户和网络管理员相互指责的现象，浪费了大量的时间和精力。

三、校园网常见攻击

以上各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下：

1学校终端电脑普遍存在的操作系统的安全漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁(特别是AIiP攻击)；2公用电脑(如各班级、处室)计算机蠕虫、病毒泛滥，影响网络安全运行；3外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具：拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器；4内部用户的攻击行为，这些行为给校园网造成了不良的影响，破坏了学校网络的安全运行；5校园网内部用户对网络资源的滥用，有的老师利用免费的校园网资源提供商业的或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了校园网的应用。

四、安全策略

我认为加强校园网的安全管理工作需要从管理和技术两个方面综合考虑：

(一)加强安全组织瞥理建设。目前普遍认为校园网安全管理工作应该由网络中心承担，但是事实上，安全管理工作非常复杂，可能涉及各处室、班级的老师和学生，建议由学校具有决策权的机构和领导组织和协调各处室的管理工作。另外，安全管理各项措施的实施，单纯依靠网络中心的力量也是不充分的。班级处室宿舍安全管理分级负责的组织体系建设仍然是必要的。

(二)加强网络管理员及师生网络安全意识培训。加强师生安全意识和管理员安全技术的培训工作非常重要。我校针对老师开展一些有关网络安全方面的校本培训，及通过开展关于网络安全的选修课、讲座等形式加强学生的网络安全意识。对于网络管理员，一定要重视专业培训。网管人员自身要加强网络安全意识，要建立与维护完整的网络用户数据库，严格对系统日志进行管理。对公共机房要实行精确对人，我校使用的是机位的使用登记制度，这样可对网络用户和服务帐号进行精确的控制。定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置-进行入侵防范，发出安全公告，紧急修复系统。

(三)选择适合的杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。采用的杀毒软件最好能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；该杀毒软件要能保护校园网所有可能的病毒入口·我校使用的杀毒软件是瑞星网络版，基本上可以保护各处室的电脑，网络管理人员要及时更新病毒库，最大限度的隔离病毒的传播。

(四)采用VLAN技术(生活区)。我校在2007年升级网络中心的时候，更换了全部的交换机(现在用华为H3C E系列，支持VI,AN)，运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段。根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。我们把学校的网络分为10个段，其中教师生活区每幢宿舍楼各一个，班级教学一个，办公网络一个。网络中心实时监测，只要发现哪个网段有问题，马上隔离排查，这样比较有效地控制了病毒及数据广播在整个校园网的传播。

(五)访问控制(教室电脑)。对于学校电脑机房，实行访问控制。这也是网络安全防范和保护的最主要措施之一，其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。

五、结束语

总之，校园网的安全问题是一个较为复杂的系统工程，以上是本来担任学校网络管理员以来碰到的一些问题及建议。随着计算机通信技术和教育现代化的不断发展，校园网网络将日益成为学校日常教学、教研和管理工作必不可缺的基础设施。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于加强网络安全性，确保校园网的正常运行显得十分重要。