中图分类号:TP393.08文献标识码:A文章编号:1671-7597(2011)0510125-01
0 引言
计算机及网络技术的快速发展,极大推动了校园网络的建设。但是,网络的布局与结构正逐步朝复杂、庞大的方向发展,但教师和学生在使用校园网络的同时却时常忽略网络安全问题,导致校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。为了解决子网的分散性和学生用户的杂乱性并有效地保证网络的保密性和安全性,校园网络的运行管理和安全策略显得格外重要。
1 校园网面临的安全隐患
1.1 人为疏忽或管理上的欠缺。这些疏忽包括了用户在使用校园网络共享资源时没有设置共享密码、资源访问的权限过低、使用的密码过于简单,经常使用远程桌面登陆或者随意将自己账号转借别人使用等等。随便使用一些局域网查看软件在校园网上搜索一下,一大堆共享文件夹找出来,而且很多是没有设置共享密码,其中也不乏一些重要的文件。出现这种现状,大多数是用户的安全防范意识淡薄,操作不规范而造成的。很多学校在建设校园网的时候,大多是重建设,轻管理,没有完善的管理规章制度,安全管理意识单薄,重要的设备,如各种服务器、主干交换机、路由器等都比较分散,没有集中管理,终端设备没有落实到具体个人管理等等,都是对网络安全造成威胁的隐患。
1.2 人为的恶意攻击。攻击可以分为外部和内部两种。外部的攻击一般是来自互联网,内部的攻击一般是内部的用户,高等学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。由于没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,这可能对网络造成一定的影响和破坏。这两种攻击也分为主动和被动。主动的攻击是以各种方式有选择地破坏信息的有效性和完整性;被动的攻击则是在不影响网络的正常工作的情况下,进行截获、窃取、破译以获得重要信息。人为的恶意攻击是计算机网络面临的最大威胁,对计算机网络造成极大的危害,导致重要机密数据的泄露,给学校带来不可挽救的损失。
1.3 计算机病毒的威胁。校园网络带给大家方便的同时,也成了计算机病毒传播最快捷的途径。随着网络的快速发展,病毒编制者水平的提高以及病毒与黑客软件的结合,使网络病毒频繁爆发,造成不可估计的损害,轻则是和用户开个玩笑,重者破坏计算机软件、硬件,导致机密数据外泄,还可能使得整个网络处于瘫痪状态。特别是现在校园网络接入互联网的带宽不断的提高,BT的流行、传输文件越来越简单,为用户下载提供了方便,但下载的软件和电子邮件有可能带有病毒,这无疑也为网络病毒的传播大开方便之门。因此,网络病毒的防范任务就更加重要。
1.4 操作系统的安全漏洞带来的威胁。目前,我们所使用的操作系统存在着许多安全漏洞,对网络安全造成一定的威胁。自从微软推出Windows操作系统,到至今Vista系统的诞生,其不可避免的漏洞,一直都是让大家所头疼的一件事情。因为各种黑客入侵、病毒木马侵入,都是在有漏洞的系统内进行的,如果你的系统在管理上出现了问题,就会很容易被黑客所光顾。
1.5 自然灾害带来的安全隐患。主要是指火灾、水灾、风暴、地震等破坏,以及环境(温度、湿度、振动、冲击、污染)的影响。据有关方面调查,我国高校中的不少计算机房,没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统疏于周到考虑,抵御自然灾害的能力较差,事故不断,因断电而设备损坏、数据丢失的现象亦屡见不鲜。
2 解决校园网络安全问题的对策
由于校园网网络将日益成为学校日常教学、教研和管理工作必不可缺的基础设施。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于加强网络安全性,确保校园网的正常运行显得十分重要。针对以上校园网络安全问题,提出如下解决方案:
2.1 防病毒技术。计算机病毒常用的伎俩是潜伏、复制和破坏,所以防治的基本任务是发现、解剖和杀灭。针对计算机病毒的发展,我们主要需要防范蠕虫病毒、木马程序和恶意代码、脚本病毒及邮件病毒。我们要加强网络安全意识,平時需要养成病毒库经常性升级的习惯,提高防范意识,建立灾难备份系统,并且在收到邮件时不急于打开,先扫描有无病毒。
2.2 安装系统补丁程序。据统计,大部分的网络病毒是通过系统安全漏洞进行传播的,用户应该定期到微软官方网站去下载最新的安全补丁,以防患于未然。在安装系统补丁过程中,我们还需要注意以下几点:首先,我们需要知道补丁是功能性的补丁还是系统漏洞补丁。系统漏洞补丁我们必须及时安装,否则很可能被黑客利用。功能性补丁就看我们是否需要选择安装与不安装;其次,每次打补丁之前,我们需要了解补丁的兼容性。由于软件版本在不断地更新,由补丁兼容性的问题而导致系统崩溃的情况常有发生;再次,在安装补丁时要有安装技巧。安装补丁可以在一台计算机上安装,测试无误后再全部安装。
2.3 防火墙技术。防火墙是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,而保护内部网免受非法用户的侵入。根据校园网安全目标,我们需要规划设置正确的安全过滤规则,这些安全规则审核数据包的内容包括:协议、端口、源地址、目的地址、流向等,严格禁止来自公网对校园内部网非法的访问;在配置防火墙配置时,需要过滤掉以内部网络地址进入路由器的IP包,这样我们就可以防范假冒源地址和假冒源路由类型的攻击;在配置防火墙时,我们还需要过滤掉以非法IP地址离开内部网络的数据包,防止内部网络发起的对外攻击;在防火墙上建立内网计算机的IP地址和MAC地址的一一对应表,IP地址和MAC不对应的一律禁止;建立定期查看防火墙访问日志的规定,及时发现攻击行为;我们还要允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
2.4 关闭一些不必要的端口。俗话说,无孔不入,你多开一个端口,就多给黑客一个入侵的机会。所以,我们在操作系统访问上,要把一些平时不用的端口都关了,让病毒、木马没门可入。一般情况下,我们可以关闭以下端口:
1)23端口。这个端口主要用做Telnet登录。
2)21端口。这个端口主要用来运行FTP服务。
3)135端口。通过135端口入侵就是在利用操作系统的RPC漏洞。
2.5 数据加密技术。与防火墙配合使用的安全技术还有数据加密技术,数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此我们要养成使用复杂的密码习惯,而且密码要经常更换。对于关键的数据,我们可以使用数据加密技术,只有指定的人使用密钥才能使用数据。
2.6 加强人为管理。俗话说:“三分技术,七分管理”。校园网络面对一批又一批好奇心很强的学生,要正确引导学生的好奇心到正确的科学创作上,而不是模仿黑客攻击校园网络。