校园网的安全设置与维护论文

浅谈校园网的安全及对策
校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，但随着应用的深入，校园网上的各种数据会急剧增加，各种各样的安全问题开始困扰我们。本人结合几年来对校园网建设安全管理中逐步摸索、积累的一些经验和教训，讨论如何加强校园网安全管理策略，仅供大家参考，避免以后少走弯路。



一、威胁校园网安全的因素。



1、物理因素。

从物理上讲，校园网络的安全是脆弱的，就如通讯领域所面临的问题一样，校园网络涉及设备分布极为广泛，任何个人或部门都不可能时刻对这些设备进行全面监控，任何安置在不能上锁的地方的设施，包括通信光缆、电缆、电话线、局域网、远程网等都有可能遭到破坏，从而引起校园网络的瘫痪，影响正常教学业务的进行。如果是包含数据的软盘、光碟、主机等被盗，更会引起数据的丢失和泄露。

2、技术因素。

目前的校园网络大都是利用Internet技术构造的，同时又与Internet相连。Internet网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP／IP协议，缺乏相应的安全机制，而且Internet最初的设计基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外，随着软件交流规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在，比如我们常用的操作系统，无论是Windows还是Unix几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。

在校园网上没有采取正确的安全策略和安全机制，缺乏先进的网络安全技术，工具手段和产品，缺乏先进的系统恢复，备份技术和工具等原因，也是威胁网络安全的重要因素。

3、管理因素。

严格的管理是校园网安全的重要措施。事实上，很多学校都疏于这方面的管理，对网络的管理思想麻痹，对网络安全保护不够重视，舍不得投入必要的人力、财力、物力来加强网络的安全管理。

4、使用者因素。

校园网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为，以免故意的或非故意的某些破坏。然后，更多的安全措施必须由使用者来完成。使用者，安全意识淡薄，操作不规范是威胁校园网安全的主要因素。

5、宣传教育因素。

目前关于网络安全的法律法规都已出台，各校也都制定了各自的管理制度，但宣传教育的力度不够。许多师生法律意识淡薄，出于好奇或卖弄编程技巧的心理，破坏了网络的安全。网上的黑客交流活动，也为他们的破坏活动奠定了技术基础。

二、网络的安全策略

所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。

网络的安全策略就是针对网络的实际情况（被保护信息价值、被攻击危险性、可投入的资金），在网络管理的整个过程，具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。

校园网具有访问方式多样，用户群庞大，网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为保证校园网络的安全性，一般采用以下一些策略：

1、设备安全。

在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路电器等尽量实行集中管理。各种通信线路尽量实行深埋，穿线或架空，并有明显标记，防止意外损坏。对于终端设备如工作站、小型交换机、集线器和其他转接设备要落实到人，进行严格管理。

2、技术保证。

目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。针对校园网来说，我觉得最主要应该采取以下一些技术措施：

①运用内容过滤器和防火墙（特别校园内开网吧的学校）。

过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等有了强大的堵截功能。

防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。

②运用VLAN技术。

采用交换式局域网技术（ATM或以太交换）的校园网络，可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段，根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。

物理分段通常是指将网络在物理层和数据段链路层分为若干网段，各网段相互之间无法直接通信。

逻辑分段则是将整个系统在网络层上进行分段。例如：对于TCP／IP网络，可以把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法。

③杀毒软件。

选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征：

第一，能够支持所有的系统平台，并实现软件安装、升级、配置的中央管理。

第二，要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。

第三，具有较强的防护功能，可以对数据程序提供有效的保护。

④访问控制

这是网络安全防范和保护的最主要措施之一，其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。

3、网络的管理。

这种管理除了建立起一套严格的安全管理制度外，还必须培养一支具有安全管理意识的网络队伍。



网络管理人员通过对所有用户设置资源使用权限和口令，对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志 进行管理。对公共机房实行精确对人，到机位的使用登记制度，则可对网络用户和服务帐号进行精确的控制。

定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。

4、网络用户的教育和培训。

除了对用户进行有关网络安全的法律和规章制度进行宣传教育外，还必须让网络用户知道和了解下列一些安全策略：

①用一个长且难猜的口令，不要将自己的口令告诉任何人。

②清楚自己和有数据存储的位置，知道如何备份和恢复。

③定期参加网络知识和网络安全的培训，了解网络安全知识，养成注意安全的工作习惯。

④尽量不要在本地硬盘上共享文件，因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上，既安全又方便了他人随时使用文件。

⑤设置客户机的BIOS，不允许从软驱启动。

⑥设置有显示的屏幕保护，并且加上口令保护。

⑦当你较长时间离开机器时，一定要退出网络。

⑧安装启动时病毒扫描软件。虽然绝大多数病毒对NT服务器不构成威胁，但会通过NT网在客户端很快传播开来。

5、事件救援及灾难恢复措施。

为保证网络系统发生灾难后做到有的放矢，必须制定一套完整可行的事件救援，灾难恢复计划及方案。

另外，还要做好计算机系统、网络、应用软件及各种资料数据的备份，有可能的话，应建立备份数据库系统。

总之，校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统，提高校园网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展，网络的安全 有待于在实践中进一步研究和探索。在目前的情况下，我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施，互相配合,加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高校园网络的安全性，从而建立起一套真正适合学校计算机网络的安全体系。