浅谈中学校园网络安全维护的应对策略

摘 要：随着信息技术的发展和“数字校园”的推进，校园网络安全影响着学校正常工作的开展。各中学对网络的依赖性越来越强，其安全问题也日益突出。另外，网络规模的扩大，用户对网络性能的要求不断提高，使得校园网安全问题受到了广泛关注。如何提高校园网安全问题、提高“数字校园”的高效运行是一个系统工程的问题。安全的防范不仅需要局部处理，更需要全方位的考虑和主动防范。只有这样，才能取得网络上的主动权，避免受到攻击，保障校园网的正常运行。本文就中学校园网络安全的几个方面提出一些措施，以加强校园网络的安全维护。

关键词：校园网络安全；网络管理；跟踪监测；端口管理

在信息化社会到来的今天，许多中学都建立了不同规模的校园网络，并以各种方式接入了Internet。网络的普及，弥补了传统教学的很多不足，促进了现代化教学手段的使用，但随之而来的校园网络安全也成了广大校园网络管理者比较头疼的问题。学校服务器被攻击，网站被篡改，教学数据被删除，甚至网络瘫痪等事件时有发生。所以，必须加强校园网络的安全维护，确保校园网安全、稳定、高效地运转。

要管理好所承担的网络管理工作，必须先了解目前中学网络拓扑图。

■

学校网络拓扑解析：校园网络的外接网路有两条，其一是电信百M光纤，另一条是地区教育城域网光纤，两条线路均通过防火墙过滤，所有网络中的外网访问由路由指向电信线路，教育网相关应用由路由指向教育城域网。

拓扑图危险等级分析：（1）A1，A2，A3处危险均来自校园网外部，尤其是A1处危险等级最高，因为黑客有可能以校园网WEB服务器为跳板，直接进入到学校内部网络进行破坏。（2）B处危险来自学校内部网络，相对容易监控。

就拓扑图分析该网络存在的安全隐患：（1）网络病毒；（2）黑客恶意攻击；（3）不良信息；（4）设备安全；（5）web服务器和数据库服务器的安全漏洞；（6）系统服务器的安全漏洞。

一、从技术手段上提高网络安全性

针对以上拓扑结构，结合实际操作经验就技术实现手段来谈谈如何改进中学校园网络安全维护。

（一）网络病毒防治

通过网络途径，病毒的传播速度快得惊人，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。对于学生机房里的电脑，可以采用安装硬件或软件还原系统来防止病毒的入侵。对于教师的办公电脑，要及时安装杀毒软件并及时更新，现在的免费杀毒软件很多，例如金山毒霸、360杀毒软件等。同时，办公区电脑的补丁安装也不能马虎。

现在校园网络中常见的病毒主要是“ARP木马”类的病毒。它发作时，中毒的机器会伪造某台电脑的MAC地址，如果伪造地址为网关服务器的地址，那么对整个网络就会造成影响，表现为用户上网时电脑不断弹出网络地址冲突的提示。对于此类病毒，在清除以后，可以采用在交换机内进行IP地址与MAC地址的双向绑定，也可以采用安装一些ARP防火墙软件的方来解决，如Anti ARP Sniffer和360安全卫士。笔者目前给学校的办公电脑做了个启动文件，来静态绑定网关IP，防止ARP欺骗，读者可以借鉴arpd、arps、 网关地址、网关MAC地址等。

（二）恶意攻击防御

恶意攻击，主要来自外网和内网。

1.外网的攻击。首先是路由器，它属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需要采取严格的安全管理措施，比如口令加密、加载严格的访问列表，关闭无关的服务端口。如果厂家推出了新的软件升级包，要及时更新版本，尽量减少漏洞。

其次是服务器，服务器安全分为硬件方面和软件方面。硬件方面，要求该服务器具有较高的可用性、可靠性、可扩展性，最好还要有不间断电源UPS来供电，硬盘防护要采用软件或者硬件RAID（磁盘阵列），这样才能很好的保存我们放置在服务器里的文件数据。对于重要数据还要养成定时备份，存放到不同的服务器里或者进行刻录保存的习惯。软件方面，现在大部分中学的服务器安装的都是Windows 2003/2008，对于操作系统的安全补丁一定要及时更新，做好防范措施。同时，还要根据自已的实际，对操作系统进行安全配置，关闭不需要的服务。

2.校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的威胁将会更大一些。

首先，现在黑客攻击工具在网上泛滥成灾，而中学生的心理特点也决定着他们对此类工具充满好奇，极想尝试，所以不能忽视，必须防范。具体做法是在每个学生机中安装一个网络监控的客户端，教师就可在服务端随时监控学生机的流量，发现异常及时处理。同时，在平时也要在这方面多加强学生的教育，使他们明确“网络道德”、“网络犯罪”等概念。各办公室的计算机共享目录的设置也要注意，我们常利用共享目录进行传文件，一定要养成使用后把共享关闭的习惯，防止非法访问者对上面的资料、文档进行查看、修改、删除。网上就有这样一个例子，某中学教务处不注意把期末考试题放到了一个共享目录中，结果被上机的同学通过网上邻居发现了，造成了试题泄露的严重后果。所以，应加强目录共享安全意识。

其次，BT、电驴等P2P软件的普及使用，应引起广大网络管理员重视。这类软件的下载方式是以抢占带宽来达到下载目的，对于这一类软件的防范，可以通过防火墙功能，采用IP限速或者关闭服务实现。

最后，控制广播风暴的最好方式是划分VLAN。它除了能控制广播风暴，还能够帮助控制流量，提供更高的安全性。

（三）不良信息过滤

网络犹如打开的房门窗，在和煦的春风吹进来的同时，也会有讨厌的苍蝇飞进来。我们在带领学生接受网络信息的同时要做好对不良信息的防范。可以采用安装网络过滤器来过滤不良信息，或通过防火墙设置禁止访问网址列表，这样就能实现学生的绿色上网了。

（四）网络设备安全

网络设备设置安全是指对路由器、服务器、交换机等设备的安全配置，现在很多学校网络管理员会在路由器和服务器上加密码，但很容易忽略另外一种设备――可网管的交换机，一旦这种设备被人取得控制权，那就很容易造成网络瘫痪的严重后果。

（五）Web服务器和数据库服务器的安全漏洞的安全防范

1.Web服务器的安全防范。目前很多学校的校园网Web服务器均采用了微软的IIS服务器，我也就此做一些安全配置建议：（1）不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。（2）删除IIS默认创建的Inetpub目录（在安装系统的盘上）。（3）删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。（4）删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml，.shtm，.stm。（5）更改IIS日志的路径。右键单击“默认Web站点属性网站”在启用日志记录下点击属性。（6）使用UrlScan。UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析，可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000 Server需要先安装1.0或2.0的版本。如果没有特殊的要求，采用UrlScan默认配置就可以了。但是，如果要在服务器运行程序，并进行调试，需打开要%WINDIR%＼System32＼Inetsrv＼URLscan，文件夹中的URLScan.ini文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。如果网页是.asp网页，需要在DenyExtensions删除.asp相关的内容。如果网页使用了非ASCII代码，就需要在Option节中将Allow HighBit Characters的值设为1。在对URLScan.ini文件做了更改后，需要重启IIS服务器才能生效，快速方法是在运行中输入iisreset。

2.数据库服务器的安全防范。以下防范主要针对使用范围很广的SQL数据库服务器：（1）System Administrators角色最好不要超过两个。（2）如果是在本机，最好将身份验证配置为Win登陆。（3）不要使用Sa账户，为其配置一个超级复杂的密码。（4）删除以下的扩展存储过程格式为use master；sp_dropextendedproc“扩展存储过程名”；xp_cmdshell是进入操作系统的最佳捷径，删除；访问注册表的存储过程，删除Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring；OLE自动存储过程，不需要删除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop。（5）隐藏 SQL Server，更改默认的1433端口。右击实例选属性常规，在网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

（六）对系统服务器安全漏洞的安全配置

目前主流的系统服务器是Windows Server 2003或者Windows Server2008，以下也是针对此类服务器的安全配置建议：

1.隐藏重要文件/目录。可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼ Current-Version＼Explorer＼Advanced＼Folder＼Hi-dden＼SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0。

2.启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3.防止SYN洪水攻击：HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters新建DWORD值，名为SynAttackProtect，值为2。

4.禁止响应ICMP路由通告报文。HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters＼Interfaces＼interface新建DWORD值，名为PerformRouterDiscovery，值为0。

二、提高网络安全性的重要支撑――网管工作建议

1.定期更改系统服务器的密码，并使他够复杂，做好相关服务器的例行检查，确保服务器的运行状态正常，例如数据库服务器能否正常按计划备份。保持服务器的正常及时升级，及时打好补丁。

2.如有条件可以给网络用户进行不定期培训，培养用户正确安全使用网络终端设备的习惯。

3.去一些著名的杀毒软件网站看看，了解最新的系统漏洞、病毒资讯。利用黑客工具扫描网络，例如流光、sql注入扫描工具等。

4.做好网络终端行为的日志记录尤为重要，这里推荐一款免费的网络工具――“科来网络分析系统”，它对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络事故，规避安全风险，提高网络性能，增大网络可用性价（上接第199页）值。

网络安全已经分化为一门独立的课程，安全技术和黑客技术就像是盾和矛，总在互相促进发展。网络没有绝对的安全，只有不断加强网络管理者的安全意识和自我学习的理念，才能把网络提高到一个相对安全的层次。

中学校园网络的安全维护是一个系统性工程，由于网络本身具有开放性、脆弱性等特点，加上校园网络前期的设计和后期的投入等诸多原因，都将会形成对校园网络安全的威胁。所以，校园网络的安全问题不能仅仅依靠相关设备和网络安全技术来维护，而是需要整体考虑系统的安全需求，建立相应的维护制度，将各种安全技术的维护手段结合在一起，才能生成一个高效、通用、安全的校园网络，才能更好地促进教育教学活动的开展。

参考文献：

[1]（美）William Stallings.网络安全基础应用与标准（第三版） [M].北京：清华大学出版社，2007.

[2]邓吉，柳靖.黑客攻防实战详解[M].北京：电子工业出版社，2006.