校园网安全问题及对策

2012年第09期

吉林省教育学院学报

No.09，2012

第28卷JOURNAL OF EDUCATIONAL INSTITUTE OF JILIN PROVINCE

Vol .28（总309期）

Total No .309

收稿日期：2012—05—18

作者简介：刘奇超（1980—），男，河南郑州人。郑州市电子信息工程学校，讲师，研究方向：网络技术。

校园网安全问题及对策

刘奇超

（郑州市电子信息工程学校，河南郑州450007）

摘要：本文分析了校园网内存在的各种安全问题，如不良信息、病毒、非法访问等，这些都给校园网的安全造成了危害。本文针对这些问题，提出了校园网安全的对策。

关键词：校园网；安全；地址绑定；防火墙；病毒中图分类号：G647

文献标识码：A

文章编号：1671—1580（2012）09—0153—02

一、校园网安全的几个表现形式

（一）不良信息

目前Internet 上的信息良莠不齐，虽然经过国家大力打击，仍有一些国外网站存在色情、暴力、谣言等问题。这些有害的信息严重违反了国家的有关法律法规，同时对正处于青春期，人生观和世界观都正在形成的学生造成了非常大的危害。如果校园网

管理措施不完善，不仅会有学生浏览这些信息，还会让这些信息在校园内传播。

（二）病毒

校园网在提供给师生方便的同时，也是网络病毒传递的重要途径。当前，网络病毒也呈现了新的特点，比如，制造网络病毒的人水平越来越高，网络病毒和黑客软件紧密结合等，校园网络病毒的泛滥不仅造成了学校网络使用者的隐私和学校重要部门的重要数据外泄，也消耗了大量的网络资源，从而造成了校园网络性能的急剧下降。从“蠕虫”、“冲击波”、“震荡波”到“熊猫烧香”等网络病毒的发作我们可以看到，网络病毒的防范形式越来越严峻。（三）管理混乱校园网是校园信息化的重要基础，是学生和教师进行学习和交流的重要平台。但是，目前很多校园网由于缺乏严格的管理和监控，很多方面都存在

非常严重的监管漏洞，

比如IP 地址是自动分配的，不是绑定地址，只要接入这个网络就可以自动获取

地址，浏览网络资源；校园网内部的FTP 资源没有

设置密码，允许匿名访问；校园网内的无线网络密码随便告知他人等，这些问题都显示校园网安全管理混乱，对校园网络的安全造成了很大的隐患。

（四）网络安全管理制度不健全

校园网络经常出现的不负责任的言论，甚至用内部邮件传播一些病毒攻击，使用黑客软件扫描某个地址段的机器，使用黑客软件破解别人的机器密码等现象屡见不鲜，一部分人只是好奇，而另一部分人可能怀着不可告人的目的。这些现象中有相当一部分来自校园网内部，就是说攻击源和被攻击者都是校园网的使用者，这充分反映了校园网络安全管理的缺失，使用者安全意识淡薄，攻击者法律意识淡薄，这也是造成校园网络不安全的一个重要因素。

二、网络安全防护对策网络安全包括五个基本要素：机密性、完整性、可用性、可控性和可审查性。针对上述种种情况，要保证校园网的安全稳定运行，确保数据的安全，必须采取以下防护策略。

（一）使用VLAN 技术

VLAN 技术即虚拟局域网技术。是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制，而根据用户需求进行网络分段。一个VLAN 可以在一个交换机或者跨交换机实现。VLAN 可以根据网络用户的位置、作用、部门

3

51

或者网络用户所使用的应用程序和协议来进行分组。我们可以在校园网这个大的局域网内根据不同的部门和不同的应用划分出若干个VLAN，能为局域网解决冲突域、广播域和带宽问题。另外，VLAN 还具有灵活性和可扩展性等特点，便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在校园网中有效利用虚拟局域网技术能够提高网络运行效率。

（二）绑定IP地址

校园网络中，最方便的捣乱方法就是盗用别人的IP地址，被盗用IP地址的计算机不仅不能正常使用校园网络，而且还会频繁出现IP地址被占用的提示对话框，给校园网络安全和用户应用带来极大的隐患。捆绑IP地址和Mac地址就能有效地避免这种现象。我们可以先对接入校园网的计算机进行静态IP地址划分，然后将IP地址和各计算机的MAC地址一一对应，绑定在学校的三层交换机上。具体操作命令根据三层交换机厂家而有所不同，所以，这里略去具体操作步骤。

（三）使用防火墙技术

1．包过滤技术

“包过滤技术是在TCP/IP参考模型的网络层对数据包进行过滤，过滤的依据是防火墙内设置的访问控制表。这种技术通过检查数据流中每个数据包的源地址、目的地址、端口号、协议状态等，或检查它们的组合来确定是否允许该数据包通过。”［1］2．应用层代理技术

这种防火墙通过一种代理技术参与到一个TCP 连接的全过程。从校园网部发出的数据包经过使用代理技术的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

3．状态包过滤技术

状态包过滤技术是一种基于连接状态检测的技术，这种技术将属于同一个连接的所有数据包看作一个完整的数据流，并对接收到的数据进行分析，以判断其是否是合法的连接，从而实现动态的过滤。

这种技术与第一种包过滤技术的区别在于：状态包过滤技术的检测系统维护一个状态表，让这些系统跟踪通过防火墙全部开放的连接。而包过滤防火墙就没有这个功能，包过滤防火墙在目前的环境中惟一使用的地方就是面向互联网的路由器。这些设备通常执行基本的包过滤规则以消除明显的不需要的通讯并且减轻紧跟在这台路由器后面的状态监测防火墙的工作负荷。

（四）防病毒技术

面对网络病毒的威胁，防病毒技术也从单击防护发展到反黑与反病毒相结合，从入口开始拦截病毒，防病毒厂商也能根据客户需求进行个性化的定制，针对客户存在的问题提出全面的解决方案。

校园网可以根据实际情况构建多层次的病毒防护体系，比如可以在接入校园网的每台主机上安装客户端防病毒软件；在学校服务器上安装防病毒软件；在学校网上安装基于网关防病毒软件。这样一个立体的防护体系可以极大程度地保证校园网络不受病毒的侵害。

同时，校园网的管理者还要慎选防病毒产品，所选择的防病毒产品应与现有的网络具有拓扑契合性，校园网应选用网络版的防病毒软件，最好选择单一品牌的防病毒软件产品。选择防病毒产品时还应考虑具体因素，如：病毒查杀能力，对新病毒的反应能力，病毒的实时检测能力，是否方便管理，易于操作，同时还要考虑系统的兼容性等因素。

（五）建立健全安全体系管理机制

为了保护校园网络系统的安全，促进校园网络的应用和发展，除了国家制定的各种规章制度外，校园网的管理者必须结合本校实际情况设计合理的校园网络安全管理制度，在制定时应遵循可操作性、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。从立体管理、层层防护的角度出发，明确哪些操作可以做，哪些操作不可以做，违反了该制度应当受到怎样的处罚等。制度建立后还应积极宣传，提高使用者的安全意识和防护能力，确保校园网络安全稳定地运行。

校园网络的运行安全是一项长期而艰巨的任务，校园网的管理者必须从技术到管理建立立体化的防护网，才能确保校园网络正常稳定地运行，才能为广大师生提供方便、快捷的服务。

［参考文献］

［1］http：//baike．baidu．com/view/3026687．htm．

［2］龚静．高校校园网的安全与防护［J］．教育信息化，2005（4）．［3］刘晓辉．网络管理标准教程［M］．北京：人民邮电出版社，2002．

［4］查贵庭，彭其军，罗国富．校园网安全威胁及安全系统构建［J］．计算机应用研究，2005（3）．

［5］马琛．浅析高校校园网络安全管理［J］．黑龙江科技信息，2008（21）．

451