校园网安全规划与管理

【 摘 要 】 校园网是一种特殊的局域网，能够实现Internet的各种基本功能，由于其承载的信息量较大，安全问题就显得格外突出。文章从校园网安全的角度出发，介绍了校园网安全涉及的四个方面，并从这四个方面进行论述，提出了解决方法，有助于网络管理者增强应对网络安全的策略。

【 关键词 】 校园网；安全；病毒与木马；管理

Campus Network Security Planning and Management

Xie Jia-li 1 Liu Jin 2

（1.Shijiazhuang Vocational College of Science &Technology HebeiShijiazhuang 052165；2. Shijiazhuang Installation Engineering Co., Ltd. HebeiShijiazhuang 050031）

【 Abstract 】 Campus network is a kind of special local area network, can realize the basic functions of Internet, due to its carrying a large amount of information, security becomes more prominent. This article from the campus network security angle, introduced the campus net security involves 4 aspects, and from this 4 aspects carries on the elaboration, proposed the solution method, help network managers to enhance coping with the network security strategy.

【 Keywords 】 campus network; security; virus and trojan；management

1 引言

随着高等院校信息化的不断发展，教师和学生的日常办公、学习，越来越多的依赖于校园网络，校园网俨然成为教师的办公助手、学生的第二课堂。可因此引发的校园网安全性问题，也成为网络使用者最为关心的问题。

网络安全从其本质上来讲就是网络中的信息安全。校园网的安全设计应满足高性能、高可靠性，高安全性等特点，在校园网中常见的安全性问题诸如内/外网接入安全、病毒、木马、用户信息管理、数据管理等，而且校园网内用户数量多，信息点相对分散，用户水平参差不齐，这些都会给网络管理者带来困难，对于网络管理者来说，既要具有先进的管理技术，又要具有先进的管理策略。为此，我们在校园网安全规划管理中，应当有以下考虑。

2 校园网内网安全的涉及方面

校园网内网安全基于数据（信息）的安全、内/外网接入安全、病毒、木马防御等方面的考虑，包括教学内网、图书馆内网、办公自动化内网等分支网络。

2.1 内网安全定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。内网是一个单位或个人能够自主管理的网络，通常是局域网。

内网安全是指信息在内网中传输是的安全，例如信息传输、存储、授权等方面的安全，还包括相关设备的安全，如防火、放盗等。内网安全的目的是实现信息的保密性、完整性、可用性、可控性和可靠性。

2.2 校园网内网安全涉及范围

计算机网络具有与生俱来的缺陷，网络协议的安全性也是导致校园网比较脆弱的根本原因。校园网地理覆盖范围较大，内部分支网络多，信息点数量大且相对分散，主要涉及数据安全、网络协议安全、内/外网接入安全和计算机病毒、木马防御四个方面。

（1）数据安全：

校园网承载了学校各类数据的存储与传输，如学生成绩、学籍信息、各类教学资源等，一旦受到病毒或木马的攻击，或数据被泄露、丢失，后果都将十分严重；此外，各种服务器、计算机的物理安全，如防火、防盗等，也是数据安全的重要组成部分。

（2）网络协议安全：

网络协议是计算机之间为了互联而共同遵守的规则。目前的互联网络所采用的主流协议是TCP/IP，由于在其设计初期人们过分强调其开发性和便利性，没有仔细考虑其安全性，因此很多的网络协议都存在严重的安全漏洞，给Internet留下了许多安全隐患。

另外，有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。常见的协议安全问题有TCP协议的三次握手机制安全问题、IP协议的IP欺骗安全问题等，对校园网构成很大的威胁。

（3）内、外网接入安全：

当今的大学校园网络，多为双线或多线接入，包括教育网专线和所在地的公用网专线。考虑到校园网内访问数据量更多的偏向Internet的访问，所以在校园网内、外网接入位置应放置相应的安全设备，布置安全策略来保证用户访问Internet的安全。

考虑到内网的安全性，原则上不建议完全开放内网，为外网所访问，必须要开放的内容，如WWW服务器，E-mail服务器等，也应设置在DMZ区域，方便管理。其他内容服务器，则应禁止外部网络的访问。

（4）计算机病毒、木马防御：

信息时代，计算机病毒、木马几乎无孔不入，对于校园网这类网络来说，一旦流行开来，直接影响到学校和学生的数据安全，尤其是学校的公共机房，往往是病毒、木马传播的主要来源，学生通过使用U盘等移动存储设备，很容易感染病毒、木马，所以在机房等公共信息设施要特别注意病毒、木马的防御工作。

3 校园网安全规划与管理

校园网的安全，并不是安装一个防火墙，或为系统打补丁就能够实现，它是一个系统的工程，大到校园网中的路由器、交换机等网络设备，小到一台计算机，都要进行安全的规划和管理，才能够实现全网的整体安全，全网的安全，才是校园网安全的最高目标。

3.1 内网安全规划与管理

内网用户通过校园网接入Internet，是引发安全问题的主要因素，鉴于此，应做一下考虑。

（1）用户接入Internet安全：

内网用户身份认证是保障内网安全的重要手段，通过认证、授权等方式对用户的上网行为进行管理，以市场上在售的上网行为管理设备来说，可以实现用户访问Internet的行为控制、访问行为记录、流量控制和网页过滤等多种安全功能。

在内网的出口位置安置此类设备，不仅可以实现用户上网的常规安全管理，同时，还能够解决以往只能实现学生PC的MAC地址与IP地址绑定，管理力度不够，出现问题无法责任人的问题，实现用户上网的实名制管理，将用户姓名、PC的IP、MAC地址等信息进行绑定，如果出现安全问题，能够及时发现，及时解决。此举能够大大提高内网的安全性，也能够有效限制用户通过内网在Internet中各种不良言论，有利于净化网络环境。

（2）内网互访安全：

在用户访问内网资源时，也应加以区分，例如，教师专用内网，可供教师登录成绩、查看各类信息使用，但学生不应能够访问教师专网。可在网络入口处设置身份认证服务器，教师通过浏览器访问时，需要输入教师姓名和专用ID，通过验证才能访问，学生没有专用的ID，无法访问。此方法要求教师严格保存自己的ID，以防泄漏，造成不必要的麻烦。

此外，还可以采用访问控制策略的方法，在网络入口设置访问控制策略，只允许教师办公网段的IP访问，学生使用的网段IP将被禁止访问，以此提高访问安全性。但此种方法，IP地址易被人盗用，存在一定的安全隐患，不宜单独使用，建议上述两种方法结合使用，以达到较高的安全性。

3.2 内、外网接入安全规划与管理

内外网接入安全涉及内部用户访问外部网络，外部用户访问内部网络等问题，应做一下考虑。

（1）内网用户访问外网：

校园网内部数据流向外网是，在出口位置的网络设备应对数据加以区分，考虑到现今的校园网多为双线、多线接入，数据流出时要选择不同线路出口，例如教育网访问出教育网专线，一般的Internet访问出公共网络专线，以此提高访问速度，而且配合使用上网行为管理设备，提高访问安全性。

（2）外网用户访问内网：

外部网络的数据相对内部网络的数据而言，安全性较差，需要严格区分。在外网入口处放置防火墙，用来检查流入数据的安全性，考虑到防火墙（三层防火墙）功能上的不足，只能检查数据和IP，可在入口处配合使用IDS设备和IPS设备，检查流经的信息流，从中发现恶意行为。

另外，将允许访问的各种服务器安置在DMZ区域，禁止外网访问的服务器设置在校园网内部，并且能够根据访问连接的不同加以区分，外网禁止访问，内网可以访问。如果需要实现外部网络访问内部网络的时候，可以采用VPN的技术，通过加密的方式实现安全的远程访问内部网络。

3.3 校园网计算机房的安全管理

校园网内计算机房担任了教师教学和学生自由上机的任务，使用频率高，安全方面格外重要，主要包括系统安全和物理安全。

（1）系统安全：

系统安全指存储数据、操作系统和网络服务等方面的安全。威胁系统安全的因素有系统漏洞、病毒和木马等。用户使用的操作系统多为Windows系统，漏洞较多，黑客利用操作系统的漏洞，就可以发起网络攻击，一但攻破一台计算机，那么利用这台计算机作为跳板，可以对全网进行攻击，带来的影响将难以估量。

解决系统漏洞的方法主要是安装系统补丁程序，通过打补丁来修补系统漏洞，增加系统安全性；解决计算机病毒、木马的方法：

一是安装相应的安全软件，如360安全卫士等，并定期更新升级，以保证最佳的工作状态；

二是从管理制度上加以控制，严禁内网用户访问非法的网站，以此减少出现安全问题的几率。

对于系统中安装的各类软件、应用程序，应当做好备份的工作，一旦系统崩溃或某个软件不能正常工作，可以及时的还原系统，不会影响正常使用。

解决数据安全的方法有网络分段，隔离敏感网络资源、数据备份、文档加密、权限管控、身份认证等，通过这些方法来提高校园网中数据的安全性。

（2）物理安全：

计算机房的物理安全指各种物理设备的安全，机房的建设应符合GB50173-93《电子计算机机房设计规范》的要求，包括机房防火、防盗、供电系统安装UPS,考虑到电源和信号系统的防雷击安全，在电力和信号入口处应安装浪涌保护器等防雷装置，技术上应符合GB50343-2004 《建筑物电子信息系统防雷技术规范》。其他安全项目均应按照相应的标准设置并安装，从技术上保证设备安全。

此外，还要完善各类规章制度，如计算机机房管理制度、校园网网络管理制度等，对计算机房管理人员进行技术和制度方面的培训，从根本上杜绝事故发生的机会。并且应当定期的组织网络安全方面的科普讲座，为学生普及网络安全知识，指导学生如何正确使用校园网，如何安全的在机房上机，以此提高机房的物理安全。

4 总结

随着信息技术的普及，各种网络技术为更多的用户所掌握，任何一种防范手段都不是永久有效的，安全与威胁永远是并存的。本文从校园网安全的整体出发，叙述了各个方面的安全规划与管理，文中所提到的各种威胁校园网络安全的因素，以及解决的方式方法，仅为校园网安全的研究和管理者们提出一条思路，在具体实施上还需要进一步研究、探索。通过技术与制度的不断完善，必定能够实现安全的校园网络。

参考文献

[1] 诸葛建伟.网络攻防技术与实践[M].电子工业出版社，2011.

[2] 徐大伟.基于高校校园网安全问题的分析与对策[J].长春师范学院学,2005（12）.

[3] 任利峰.校园网络安全问题分析与对策[J].吉林农业科技学院学报,2009(02).

[4] GB 50343-2004.建筑物电子信息系统防雷技术规范[S].

作者简介：

谢家立 (1982-)，男，本科，网络工程师，石家庄科技职业学院信息工程系计算机教研组组长，研究方向：计算机网络应用、网络安全。

刘瑾（1982-），女，助理工程师，研究方向：建筑综合布线、弱点工程。