黄丽芬

（广西工业职业技术学院建筑工程系，广西 南宁 530001）

如何让校园网能正常运行，为师生与行政管理人员的工作、学习提供优质服务，并确保网络中的重要信息与数据的保密性与安全性，是校园网络管理中不容忽视的环节。本文针对校园网络的特点，对网络的实际安全状况和应用进行全面的分析，设计并制定了安全防范策略。

1 校园网安全策略的原则

校园网安全策略，是针对校园网安全而制定的一整套规则和决策，网络的安全策略可以说是在一定条件下的成本和效率的平衡[1~2]，虽然网络的具体应用环境不同，但在制定安全策略时，应遵循一些总的原则。

（1）适应性原则。制定的安全策略，必须是和网络的实际应用环境相结合的，例如校园网的开放环境，就必须允许匿名登录，而一般的企业网络的安全策略，可能不允许匿名登录。对于具体网络的安全策略，应从实际情况出发，根据自身的特点，制定出有针对性的切实可行的安全措施。

（2）动态性原则。安全策略又是在一定时期采取的安全措施。由于用户在不断增加，网络规模在不断扩大，网络技术本身的发展也很快，而安全检查措施是防范性的，持续不断的，所以制定的安全检查措施，必须不断适应网络发展和环境的变化。

（3）简单性原则。网络用户越多，网络拓朴越复杂，采用的网络设备种类和软件种类越多，网络提供的服务和捆绑的协议越多，出现安全漏洞的可能性就越大；出现安全问题后，找出问题原因和责任者的难度就越大。

（4）系统性原则。网络安全管理是一个系统化的工作，必须考虑到整个网络的各个方面。也就是在制定安全策略时，应全面考虑网络上各类用户、各种设备和各种情况，有计划有准备地采取相应的策略。

以下的安全策略，是笔者根据所在的学院的具体环境和现有条件所制定的，是一种小型校园网的安全策略。校园网的网络结构模型如图1所示。

图1 校园网络结构图

2 安全策略的制定

2.1 技术安全策略

（1）关闭不必要的服务和服务端口。端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障[3]，端口配置正确与否，直接影响到主机的安全，很多黑客攻击程序，是针对特定服务和特定端口的，为了降低遭受黑客攻击的危险，应该关闭那些不必要的服务和服务端口。例如：如果学校不对外提供网络服务的话，则代理服务器应将所有对外的端口关闭，否则只开放相应的端口；而对内则仅开放一些必须的服务端口，例如DNS服务端口UDP 53、HTTP服务端口TCP 80、FTP服务端口TCP 21、SMTP服务端口TCP 25、POP3服务端口TCP 110等。根据需要，可限制教学子网上的学生机上网，或对访问的站点作出限制，或禁止与正常教学无关的服务。

（2）规划网络隔离。其一，内外网之间的隔离。通过代理服务器实现了校园网和Internet的有效隔离。网络使用代理服务器访问Internet，不仅可以降低访问成本，而且隐藏了内部网络的规模和特性，加强了网络的安全性。从综合性能上考虑，我校使用了Win Route作为代理服务器软件，实现通过一个IP地址供全校用户访问Internet。通过代理服务器提供防火墙动态包过滤功能，对穿越代理服务器的信息流进行全面的控制。可以让过滤机制动态决定，哪些数据包得以穿越代理服务器进入校园网，供内部网应用服务使用；也可以手动配置数据包过滤器，指定允许透过代理服务器的数据包类型。而采用在需要网络通信时自动打开端口，通信结束时立即关闭端口的方式。校园网在Internet上显露的出入端口数量被减少到最低程度，安全性大大提高。

其二，办公子网和教学子网的隔离。为了便于安全管理，合理分配IP地址资源，把校园网划分为教学子网和办公子网。从以上的网络结构模型可看到，从物理上把教学网和办公网单独配置为一个子网，通过两级交换机与服务器相连。其中教学子网配置有域控制器/文件服务器、WEB/FTP服务器、邮件服务器等，办公子网则配置有域控制器/文件服务器、数据库服务器等。由各域控制器充当DHCP服务器角色，分别负责本子网的IP地址分配工作，并通过域模式实现用户与资源的管理。办公子网主要面向学校的各级领导及各职能部门，能够实现对网络数据的查询、修改、添加、删除等操作。教学子网的用户主要是学生，主要面向教学，能够根据专业教学要求，实现教育资源的合理配置和充分利用。

（3）使用双向NAT（网络地址翻译转换）技术。利用双向NAT转换技术，在内部网络通过内部网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，使其和端口通过外部网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过外部网卡访问内部网络时，其并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。

学院目前上Internet的途径，是采用ADSL方式，对外只有一个合法的IP地址。通过采用上述的NAT技术，实现了全校所有计算机的正常Internet访问。

（4）目录和文件安全控制。校园网络管理员为不同的用户设置不同的权限。为了控制服务器上用户的权限，同时也为了预防可能出现的入侵行为，必须非常小心地设置目录和文件夹的访问权限。如对于提供给学生访问的资源，就必须把权限严格限制在正常的教学需要范围内。

（5）用户操作权限控制。分配各种用户权限，用户只能在授权范围内进行访问。网络管理员根据访问权限，将用户分为：

特殊用户——包括网络管理员的对网络、系统和应用软件服务有特权操作许可的用户；

普通用户——指那些由网络管理员根据实际需要，为其分配操作权限的用户，如教师和学生。

（6）数据备份。对校园网的重要信息进行备份。人员的错误操作、设备的物理损坏、以及意外故障的发生，都会造成系统瘫痪，甚至使网络数据信息无法恢复，给学校造成重大损失。根据学校的具体情况，采用软件自动及手工备份方式，并使用硬盘和可刻录光盘等介质实施数据的备份。

（7）防病毒。建立防病毒中心服务器。在服务器上安装杀毒软件网络版的系统中心控制台，负责管理整个校园网的防病毒。安装客户机与服务器防病毒软件，通过防病毒系统中心控制台，设置校园网中的每台用户机杀毒软件网络版的客户端。在中心控制台上，对所有客户机进行定时查杀毒的设置，使在没有联网时，也能够定时查杀本机病毒。为了安全和管理方便，设置防病毒系统中心服务器自动定期到相关网站获取最新的升级文件，并自动将最新的升级文件分发到所有客户端和服务端，自动对杀毒软件网络版进行更新。

2.2 管理策略

为了确保网络的安全，除了采用各种技术手段外，还应从管理上采取有效的措施。制定一套严格的规章制度并切实执行，对确保网络的安全，将起到十分有效的作用。网络安全管理策略的内容，包括确定安全管理的范围、制定各种安全管理制度，以及一旦出现问题时，采取的各种应急措施等。

（1）物理安全。保护计算机网络系统的所有硬件基础设施免受自然灾害、人为破坏。机房按有关的安全标准构建，安装防盗、防火报警系统，安装防雷电系统等安全设施。以确保财产安全。

（2）规章制度。学院针对不同的用户制定各种规章制度，来规范网络用户特别是网络管理员的工作及行为，明确其权利和义务。如安全消防制度、机房管理制度、上机人员守则等。

（3）网管员用户分组管理与访问控制。网管员按任务的不同，分成若干用户组，不同的用户组，有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。

（4）监控。针对近年来学生素质普遍不高，机房设备往往受到损坏的情况，实施现场实时监控，并保存记录。出现问题时，可通过记录核实情况并及时作出有效的处理，有效地增大了安全系数。

3 结束语

本文主要从技术和管理两个方面，阐述了校园网的安全策略，先进的安全检查技术，是信息安全的根本保障，用户应对自身面临的威胁进行风险评估，根据安全服务的种类，选择相应的安全机制，然后集成先进的安全技术。

[1]蔡慧萍.影响校园网安全的几个因素及常见防范措施[J].江西师范学院学报，2003，10(5)：26-28.

[2]雷峥嵘，吴为春.校园网的安全问题及策略[J].计算机应用研究，2003，3(3)：130-132.

[3]郭拯危，闵 林.校园网安全策略的设计[J].河南大学学报（自然科学版），2003，3（32）：23-28.