校园网络安全技术策略

摘要：网络安全越来越受到人们的重视，本文结合笔者在校园网络管理的一些经验体会，从目前校园网络中普遍存在的安全问题和校园网络安全解决方案两大方面，对校园网的安全谈了自己的看法和策略，供大家参考。

关键词：校园网；网络安全；网络管理

中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)06-11545-02

1 引言

随着“校校通”工程、教育城域网的深入开展，许多学校都建立了校园网络并投入使用，这无疑对丰富教学形式，实现资源共享，加快信息处理，提高工作效率都起到无法估量的作用。校园网络在学校的信息化建设中扮演了至关重要的角色，但在网络建设的过程中，由于对技术的偏好和网络安全意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害成为各个学校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

2 目前校园网络中普遍存在的安全问题

2.1 网络安全方面的投入不足，没有系统的网络安全设施配备

大多数学校网络建设经费不足，所以就将有限的经费投在关键设备上，对于网络安全建设没有比较系统的投入，使得校园网处在一个开放的状态，没有有效的安全预警手段和防范措施。

2.2 缺少专业的网络管理员

网络出口、网络监控、日志系统等缺乏有效的管理，上网用户的身份无法唯一识别，存在极大的安全隐患。

2.3 电子邮件系统极不完善，缺乏安全管理和监控的手段

电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决

2.4 网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。

网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。

2.5 网络安全意识淡薄，没有指定完善的网络安全管理制度

校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。

综上所述，校园网络安全的形势非常严峻，目前，许多学校的校园网都以WINDOWS NT做为系统平台，由IIS（Internet Information Server）提供WEB等等服务。下面本人结合自己校园网络管理的一点经验与体会，提几个基本的、关键的解决方案。

3 校园网络安全解决方案

3.1 配备完整的、系统的网络安全设备，规范出口的管理

校园网出口配备了双冗余的Cisco PIX535防火墙，把校园网络分成三个隔离网段：校园内部各功能网、DMZ区、Internet。通过防火墙的隔离，防止了跨网攻击、网络间干扰等安全隐患，同时病毒的感染范围也可以得到有效的控制，使各网段的安全性大大提高。

我校校园网采用了包括路由器、防火墙和交换机在内的三层立体集成化安全防御。第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，为防止外部用户对服务器进行非法操作，对服务器的内容进行删除、修改等破坏，必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能，可防止各服务器受到来自外部的破坏。第二层防护由PIX防火墙保障。PIX防火墙将校园内部网和外部完全分开，PIX是内部各网络子系统对外的惟一出口，通过使用PIX防火墙隔离内、外网络，更进一步保障了内部网络的安全。第三层防护由交换机提供。网络管理员在核心交换机部署防火墙模块，这是抵御外部攻击的第三道屏障，也是防止内部攻击的有利手段。

3.2 服务器安全措施

3.2.1 密码的设置

众所周知，用密码保护系统和数据的安全是最基本、最常用的方法。但目前发生的大多数安全问题，还是由于密码管理不严造成的，因此密码口令的有效管理是非常基本的，也是非常重要的。首先，绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，“入侵者”就能通过网络轻而易举的进入系统，另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出的字符作为密码，例如常有人将自己名字的缩写或6位相同的数字进行密码设置。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中，有一个sam文件，它是windows NT的用户帐户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如L0phtCrack）对它进行解码分析。在用L0phtCrack破解时，如果使用"暴力破解" 方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。

3.2.2 及时为系统打补丁

对于Windows操作系统的服务器，采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统，网络管理人员时刻关心相关厂商的网站上的补丁列表，及时为系统打上相应的补丁。

3.2.3 用户终端IP地址配置

我校选用支持DHCP Snooping功能的接入交换机，用户的IP地址只能由网络中心分配，而不能来自非法的IP地址提供者。对于学校的职能部门，因为存在一些专用服务器，为了防止用户将IP地址手动设置成服务器的地址而造成冲突，职能部门的接入交换机全部采用支持IP SourceGuard的交换机，用户必须从DCHP服务器取得IP地址才可进行通信，私自设定IP地址将会自动被交换机禁止。

3.2.4 进行有效的监控和管理

上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证这个记录的法律性和准确性。

4 用户终端系统安全措施

用户终端的安全包含两个方面：一个是操作系统的安全性，一个是应用程序的安全性。 针对操作系统的安全性，我校的校园网内安装了Windows更新服务器，每天凌晨定时从微软网站同步下载补丁程序，并及时下发给终端机，使终端机能及时获得更新的操作系统补丁。 应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响，针对病毒影响，我们采用了两层安全模式：一是在校园网内安装了网络版的瑞星杀毒软件；二是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关，一旦发现下联的客户机有中毒的症状，则主动切断用户的连接，并将用户的链接定向到瑞星杀毒软件进行查杀病毒，并通过自行编写的ActiveX控件更改客户端的注册表，使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响，要求校内终端用户安装Windows Defender。

5 完善电子邮件系统，提供安全监控和管理功能

针对目前邮件系统存在的安全隐患，我校的邮件系统采用Eyou的产品，我们在Eyou系统中内嵌了杀毒软件，对用户的邮件直接进行病毒的查杀。对于出入学校的邮件，进行垃圾邮件检查、病毒检查。

6 配备专业的网络安全管理员，严格管理制度

随着网络技术的迅速发展和上网用户对网络的了解程度越深，网络安全的形势就越严峻，近几年互联网络安全问题频频出现，可见现状还是“道高一尺，魔高一丈”。俗话说，网络安全“三分设备、七分管理”，安全管理贯穿于整个安全防范体系的始终。必须制订一系列安全管理制度，对安全技术和安全设施进行管理，对网络管理人员进行及时的网络安全理论培训、安全技术培训、安全产品培训以及业务培训，学校有必要颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少网络安全隐患。只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的发展。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。