高校校园网络安全现状及分析

随着计算机网络及计算机课程的进一步普及，越来越多的学校构建了网络环境，大多数学生已掌握了基本的计算机和网络知识的基础。然而校园网络的安全问题已成为威胁信息技术教育进一步推进的首要问题。

一、校园网络安全面临严峻挑战

随着教育部“计算机基础”课程的进一步普及，越来越多的学校具备网络环境，随着计算机辅助教学软件的日益增多和教学资源库的日益完善，学生在掌握了基本的计算机和网络知识的基础上，逐渐将之应用于其他学科的学习，充分发挥这一先进工具的作用。

然而还有一些现象不容乐观。通过对已建校园网的中小学校的调查发现，校园网络的安全问题已经成为威胁信息技术教育进一步推进的首要问题，和互联网经受的考验一样，病毒、攻击和各种各样的不健康信息以其越来越大的危害侵蚀学校这片净土。这些网络安全问题主要体现在以下几个方面。

1.不健康信息。据对国内各省市中小学校的调查表明，不健康信息借助网络这一方便的传播工具正在逐渐侵害着孩子们的成长。

对此现象的蔓延目前大多学校没有防患于未然的良策。据教育专家分析，学生的好奇心理、逆反心理加上网络这一方便的传播工具是产生这些现象的罪魁祸首，这一现象将随教育信息化的进一步推进日益严重。

2.病毒。几乎从计算机诞生之日起，病毒就成为威胁信息技术发展的负面因素，到今天为止，数以万计的计算机病毒以其“光辉”的发展历史同时被记入信息技术发展史。

在学校，几乎每个网管教师都饱受病毒的困扰，学校的病毒可能来源于各个方面——互联网、软盘、光盘等，用传统的办法防不胜防，为了不占用学生和教师们正常的工作时间，网管教师几乎要牺牲所有的业余时间和节假日，不遗余力地修复瘫痪的计算机和网络，但这种修复往往是滞后的，网管教师仍旧要背负各种各样的责备。

3.攻击。相对于前两种危害而言，学校受到网络攻击造成的危害算是比较小的，网络攻击更多体现在网络技术比较发达的地区。

二、校园网络安全问题的特点和需求分析

和企事业网络相比，校园网络的安全问题有其显著的特点，这些特点主要体现在以下几个方面：

1.企事业单位如金融、证券、国家机关对于数据安全的考虑总是放在第一位的，其次才考虑对于病毒和不健康信息的防范；学校是教书育人的环境，学生的世界观尚未完全成型，很多学生还处于青春期，很容易受到不健康信息的误导。学校总是把防范不健康信息作为校园网络安全的第一道防线，其次才考虑病毒和攻击。

2.企事业单位人手一机，人员的流动性不大，且每人的工作内容不同，对本机的保护性较强，管理也相对容易，各种安全漏洞一般很难从软、光盘进入，只需从网关处防范即可；学校学生的流动性较大，机器易受各种各样的感染。

3.对于昂贵的防火墙等设备，大部分学校承受不起，现在已经是理智的投资时代，很少有学校愿意投资仅仅是概念上的网络安全建设。

4.企事业单位对于网络安全的定义仅限于防范，学校担负着教学育人的任务，所以对于网络安全的定义还包括严格的管理，当学生沉湎于其中时进行合适的管理和引导，防患于未然。

从以上特点分析，学校对校园网络安全产品的需求是分层次的，但主要应该体现在以下几个方面。能够全方位地杜绝不健康信息在校园网上的泛滥；具有较强的管理功能，使主管教师能及时发现、及时处理、防止扩散，在学生未受影响之前进行消除；具有较强的防病毒功能；具有防黑客攻击功能；产品性价比优良，不应占据过多投资；产品的运行和维护简单，运行费用低廉。

三、某大学校园网络安全策略

该大学校园网络采用两级结构：主干网和子网。校园网的主干采用成熟的100M快速以太网，由网络中心用光纤联至各座大楼的分节点，再经分节点的交换机连接到大楼的各个用户。这种配置结构既保证了主干网信息可靠、高速、无瓶颈地传输，又为用户计算机接入提供了灵活、方便的手段。

1.校园网络的IP路由信息和访问范围的控制管理。校园网络主要采用TCP/IP网络协议，网上的路由器间需要交换路由信息，IP路由信息交换有动态和静态两种方式。采用静态路由协议，与上一级网络中心相连，不采用RIP主要原因是为了防止网络上不正确的路由信息对本校园网络的影响。

为了控制用访问一些网络采用IP的限制，在路由器上加入这两条指令：

ip access-group 100 out

access-list 100 permit ip 202.xx.xx.xx 0.0.0.xx any

access-list 100 permit ip any国内ip列表 ip反向mask

表示只有96网段上202.xx.xx.xx-202.xx.xx.xx的用户才能访问国外网站，这样防止其他用户访问国外网站，造成国外流量剧增，从而增加经费开支。此外，有些校园网络web服务器的内容，如校园网络办公信息系统只能让校园网络内用户访问，在Web服务器设置定义源IP访问范围；利用网络的c类地址的超网掩码技术实现这一功能。也就是校园内部用户可以访问校园网络办公信息的内容。

2.校园网络设备防雷电的防范策略。由于雷电直击，及其他电磁感应，未受保护的网络负载设备将被瞬态过电压破坏数据传输、耗损元件、或者毁坏芯片，造成不稳定的性能、硬件故障等问题。

建筑物的防雷主要通过安装避雷针来实现，它可以有效地防止雷击损害建筑物并大大降低雷直接击中网络传输线和网络设备及电源线的可能性，在一定程度上起到网络防雷的作用。

电源防雷的主要作用是防止雷击过电压从电源供入端进入设备，保障设备及数据传输畅通无阻。普通插座的接地端要接地，地线不但直接影响电源防雷器的效能而且还影响到信号防雷器的效能。尽管在电源和通信线路等外接引入线路上安装了防雷保护装置，由于雷击发生时网络线(如双绞线)感应到的过电压，会影响网络的正常运行甚至彻底破坏网络系统。由外来线路进入的DDN或ISDN一定要在重要线路的网络接口上做相应的保护，如防火墙内外网接口，安装RJ45防雷器等，一旦有雷击就可以避免雷击造成网络设备的严重损失。　　4.校园网络安全策略。在计算机网络日益扩展和普及的今天，计算机安全要求更高，涉及面更广。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。

在防治网络病毒方面，接受不明电子邮件，下载软件如：.zip.exe等文件过程中应特别加以注意。它们都有潜伏病毒的可能性。

对于系统本身安全性，主要考虑服务器自身的稳定性，增强自身的抵抗能力，杜绝一切可能让黑客入侵的渠道，避免造成对系统的威胁。对重要系统，必须加上防火墙和数据加密技术加以保护。

计算机系统安全是个很大的范畴，操作系统、应用软件、硬件本身都有可能出现一些情况，平时应重视，加以防范。

在网络操作系统安全预防措施。

1)尽量使ftp，mail等服务器与之分开，去掉ftp，sendmail，tftp，NIS，NFS，finger，netstat等一些无关的应用。

2)定期查看服务器中的日志logs文件，分析一切可疑事件。在errorlog中出现rm，login，/bin/perl，/bin/sh等之类记录时，服务器可能会受到一些非法用户的入侵尝试。

3)网络管理员要及时安装网络OS补丁程序。如windows2000有iis的漏洞，需要安装补丁程序sp1、sp2。

5.利用防火墙增强网络的安全性和可管理性。当一个网络接上Internet之后，除了考虑计算机病毒、系统的稳定之外，更主要的是要防止非法用户的入侵。而目前防止的措施主要靠防火墙完成。防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。在构建安全网络环境的过程中，防火墙是一个系统，主要用来执行两个网络之间的访问控制策略，通常应用防火墙的目的有以下几方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近网络系统；限定用户访问特殊站点；为监视局域网安全提供方便。

防火墙总体安全框架为：物理地址→IP地址→身份认证→应用层过滤，分别采用IP/MAC绑定，状态包过滤技术，身份认证，内容过滤等安全策略。通过这样的数据流程对内部网络进行全面的保护。

IP/MAC绑定技术方便了网络的IP地址管理，杜绝了内部网IP地址盗用，状态包过滤技术依据连接状态信息进行更加全面地过滤；而且在对包的网络层信息进行过滤的同时，更强调对应用层信息的过滤，因此大大提高了网络系统的安全性。在应用层实现内容过滤，主要是网页内容过滤，SMTP电子邮件标题过滤阻止病毒邮件，防止外部网络不安全或管理员不希望通过的信息流入内部网络和限制内部网络的重要信息流到外部网络。

防火墙贯穿内部网络的整个防御过程：防火墙能够检测到通过防火墙的各种入侵、攻击和异常事件，并以相应的方式通知相关人员，安全员依据这些警报信息及时修改相应的安全策略，重新制定访问控制规则；由安全员分析审计信息，修正策略，制定新的过滤规则。防火墙和相应的操作系统应该用补丁程序进行升级且必须定期进行，以对付黑客新增的入侵攻击手段。

四、结语

一个网络系统的正常运行和安全防范是一项联系范围很广的任务，需要整个网络各个环节的工作者不断地积累工作经验，加强专业知识的学习和技能提高。不断地根据实际情况完善软件、硬件防护体系，才能使网络保持在平稳的状态中运行。