浅谈校园网安全管理

1、    浅谈校园网安全管理    计算机技术、网络技术、信息处理技术以及多媒体技术的飞速发展，为学校信息化建设注入了新的活力。学校信息化建设必然要依托校园网。只有建成高速、稳定、安全、可靠的校园网，学校的数字信息资源、网络服务、信息服务等应用系统，才能正常运行，才能为教师教学和学生学习创造良好的环境。但是，我们必须清醒地看到：如果校园网的安全性得不到保障，必然会成为学校信息化建设的障碍，甚至给学校的教学工作带来很大的负面影响。 一、校园网的安全隐患 1病毒感染 校园网中病毒的主要来源有盗版光盘、电子邮件、恶意的网页、网络共享

2、、软盘等。主要入侵途径见下： 1)轻率地使用盗版光盘上的软件，因为光盘是只读的，即便发现了病毒也无法删除，再加上它廉价的优势，很容易误用。 2)随着互联网的发展，电子邮件被频繁地使用，这给蠕虫类病毒提供了良好的空间，毫无防备的接收电子邮件，甚至是仅仅选中了一封邮件的标题头，就有可能使病毒在你的机器里安家落户了。现在网络病毒肆意横行，传播速度快、破坏性强、传播范围广，我们必须多加小心。 3)浏览网页是绝大多数上网者的事情，令人遗憾的是，过去一直被认为浏览网页是安全的观念现在已经被彻底打破，大量事实表明仅仅是阅读了某些网页(当然是含有恶意代码的网页，事实上你并不知道它

3、有害)，就完全有可能在你的机器上运行任何程序，比如格式化你的硬盘，安装木马，把你的浏览器肆意篡改，限制某些功能等等。 4)在校园网中设置网络共享可以极大的方便用户共享信息，但是不幸的是如果共享文件中有病毒，它就会感染使用此共享文件的系统，进而影响到所有的用户。 5)来自软盘的入侵，校园网方便了人们的数据交流，软盘的使用量大大减少，但是如果不小心使用了带有引导区病毒的软盘，尽管这种病毒不能成功的驻留你的机器，但是它有可能破坏你的硬盘分区，导致数据丢失。 2网络攻击 随着网络技术的发展，鱼龙混杂的东西都来了，各种网络攻击事件频频发生，黑客的恶意行为给人们带来

4、了难以估量的损失，甚至有些教师一上网就心有余悸。分析网络攻击将有助于做好防范措施。网络攻击主要有以下几种形式： 1)拒绝服务(dos)：就是对服务器产生大量的服务请求，使服务器忙于响应大量的应答讯息，造成的现象为tcpip栈崩溃，导致与internet的连接中断、有无数的窗口被打开、系统死机，甚至重新启动等等，使得服务器系统不胜负荷，致使服务器丧失提供正常服务的能力。这种攻击不需要高深的知识，仅从网上下载一些程序winnuker,flusho等，甚至使用简单的网络命令ping(伪装ip地址)，也能够造成系统资源大量消耗，最终形成dos攻击，致使系统当机。 2)木马程序：你的

5、机器上一旦被人种植了木马，就意味着你的机器就可以被别人像你自己一样使用，你的一举一动都在他人的掌握之中，甚至利用你的机器去做些你不知道的事情，而那个人可能是在地球的那一边，很难发现他。 3)网络嗅探器：是指嗅探类程序，他们潜伏在网络中，利用互联网透明传输的弱点，悄悄地捕获着网络上的数据包，如果没有实施安全措施的话，网络已无安全性可言。 4)黑客入侵：是指某些具有顶尖网络技术的人士，使用扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定操作就能够控制整个系统(这当然也包括你自己的机器，只要他愿意)。当然校园网遭受黑客攻击的可能性很小，但也不能够排除一些小小黑客们把

6、校园网的机器作为“鸡肉”来小试牛刀，这是因为校园网的机器安全措施一般较差，还是注意的好啊。 3校园网内部的威胁 主要有ip地址的盗用，混用问题，校园网内部连接的计算机有的是得到合法的ip地址，有的没有申请过ip地址，如果没有ip地址的用户冒用合法用户的ip地址上网，这就是ip地址的盗用；ip地址的混用是指用户由于某些原因，人为地修改了机器的静态的ip地址。这两种情况都能造成局域网内部地址的冲突，严重影响着网络的正常使用。 二、安全解决方案 好的安全解决方案要从环境、用户、产品、意识等方面来考虑，进行综合分析，逐个解决存在的问题，把可能发生的危害排除在发生

7、之前，达到安全防护的目的。并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中，而不是顾此失彼，仅仅强调某个环节。 1选用先进的设备组建网络系统。在校园网建设和使用过程中，设备的选用和维护在校园网中占有极其重要的地位。比如选用先进的三层交换机来连接电信局的服务器和校园网的各个终端用户，来实现宽带上网。这样可以避免以太网侦听的危险，用户间进行通讯时，数据包不会被同一台集线器上的其他用户侦听，使得数据通讯更加保密。 2采用虚拟局域网技术(vlan)。一个vlan组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

8、使用vlan具有以下优点： 1)控制广播风暴，一个vlan就是一个逻辑广播域，通过对vlan的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2)提高网络整体安全性，通过路由访问列表和mac地址分配等vlan划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同的 vlan中，从而提高交换式网络的整体性能和安全性。 3加固操作系统。随着技术的发展，操作系统越来越复杂，从而导致了操作系统本身的漏洞也越来越多，这样就使得操作系统不是绝对安全、万无一失的。最近几年针对windows、unix安全漏洞的各种病毒、网络攻击日益增多，因此我们必须加固

9、机器中的操作系统，主要采取以下方法： 1)及时安装系统补丁程序，各大厂商都会在他们自己的网站以及授权站点上公布，都是免费使用的，需要注意的是，下载安装补丁程序时需要仔细阅读附带的安装说明书，以防补丁程序带来无谓的损失。 2)最小化系统，遵循最小化原则，也就是说，能不装的一定不装，一定要装得要尽量少装，因为每多一个不必要的模块，就增加了一份不安全的因素，所以对于系统要严格检查去掉不必要的模块，提高系统的安全性。 3)进行安全设置，比如用户权限的分配，共享目录的开放与否、注册表的安全配置、浏览器的安全等级等等。例如去年影响较坏的某些站点，当浏览其主页后，浏览器被莫名其

10、妙地的修改了，开始菜单的部分功能被禁用，还出现了一些很碍眼的信息，使得有些用户大为恐慌。其实这种情况完全可以通过升级浏览器的版本、设置较高的安全等级来避免。由于系统默认的配置适合大多数人，但是安全性往往较差，所以对这些进行适当的设置，能够提高系统的安全性。 4安装杀毒软件。现在大多数用户都了解了病毒，也都安装杀毒软件，需要说明的是，安装了杀毒软件并不能保证你的机器已经完全拒病毒于门外了，你还需要做以下的事情： 1)及时升级杀毒软件，这是由于杀毒软件的滞后性所决定的，否则的话，新的网络蠕虫病毒仍然可以在你的机器里畅通无阻，而你自己却认为已经安装了杀毒软件，已经固若金汤了，那岂

11、不是夜郎自大。 2)要经常使用杀毒软件检查系统并清除病毒，安装后，如果长期不用，那也起不到杀毒作用了，充其量也不过只是一种摆设而已。 3)使用杀毒软件的监控功能，这样能够有效地把木马程序、网页炸弹等有害程序拒之门外。 5安装防火墙技术。防火墙技术是控制进和出两个方向通讯的门槛，是抵御来自网络攻击最有效的手段之一，它能允许你“同意”的人和数据进入你的网络或机器，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。因此它能够最大程度的保护你的系统信息不向外泄漏，所以对通过交换机直接上宽带的用户而言，使用

12、防火墙至少可以帮你抵挡来自网络常见的攻击方式： 1)拒绝服务(dos)，防火墙能识别诸如winnuker,flusho等所发送的数据包，提醒用户作相应的处理，及时切断与某个 ip的通讯，预防dos的形成。 2)监控不明程序进程，木马类程序往往隐藏在正常的程序中，它们后台运行然后通过网络与主控端联系，往往很难被发现，而防火墙的监控进程功能就可以有效地拦截含有木马类的不明程序在你的机器上的运行，从而达到安全防护的目的。 3)对于熟悉网络的用户而言，还可以使用防火墙的端口阻塞功能关闭不需要的端口，可以有效地保护系统信息不向外泄漏，并且也降低了黑客利用开放的端口入侵的可能

13、性，从而达到安全防护的目的。 4)与杀毒软件一样，安装了防火墙以后，并非万事大吉。要想充分发挥它的安全防护作用，还必须对它进行跟踪和维护，要与商家保持密切的联系，经常关注商家的动态，特别是一些免费使用的防火墙，象天网防火墙、绿色警戒等，因为商家一旦发现其产品存在安全漏洞，就会尽快发布更新程序，此时应尽快确认真伪并对防火墙进行更新。 6提高安全意识。大量的安全事件表明：缺乏安全意识是导致事件发生的重要因素之一。因此还需要把安全意识提到议事日程上来。就校园网而言，在做好技术防护的同时，加强校园网的安全教育，提高安全意识，掌握使用安全工具的能力，提高遵守相关安全制度的自觉性，对于

14、维护网络的安全也是非常重要的。具体如下： 1)向用户讲解互联网的基本知识，使用户了解到互联网给人们带来方便的同时也带来了更为不安全的因素，这种不安全性是互联网的历史原因造成的，我们一时间还不能完全避免。 2)简单的了解tcpip协议、端口、ip地址、www服务、ftp服务、email服务、注册表的功能及使用等。 3)了解vb和java script activex的互动性。 4)使用户能够正确地设置浏览器，会清除上网留下的个人行踪。 5)能够掌握杀毒软件、防火墙软件的设置和使用。 6)在使用qq等聊天程序时要特别注意，由于设计上使用u

15、dp协议的原因，它很容易泄露你的系统信息 要经常升级qq程序。 7)接收电子邮件时打开杀毒软件的实时监控功能。 8)不要擅自改动机器的ip地址，虽然经常更改机器的ip地址可以防止木马类程序的攻击，可是这不是有效的途径，这样会造成ip地址的混乱，影响网络的正常运作，我们应该借助有效的工具软件来查杀木马程序，做好防范措施。 9)浏览网站时尽量去那些名气大、流量大的网站，因为它们的安全性一般是很好的。因为有些网站往往在你刚登录上去，你的机器就可能已经染上了病毒；网页里的脚本可以执行你硬盘上的程序；有时当你浏览某些网页时，浏览器会自动下载某类文件，这是很危险的；有的网页通过cgi程序就能窃取你硬盘上的资料等等，所以浏览网页时要有选择性。 10)单位要加强对校园网安全管理人员的培训，使他们从技术上提高应对各种攻击的能力。 以上是我对网络安全的一些粗浅的认识