1校园网络安全问题的分析

1.1病毒传播“重灾区”

校园网在提供给广大师生工作方便的同时,也变成了病毒传播最快捷的途径,特别是P2P等网络新技术的运用,通过P2P下载的程序、电影、软件和电子邮件都可能带有病毒。网络病毒轻则会大量占用有限的带宽,使网络速度变慢,重则会导致用户的信息和重要数据外泄,造成严重的后果。

1.2安全意识“薄弱区”

早期的网络结构中,只有防火墙设备对服务器群进行安全防护,其主要手段是端口控制和包过滤等措施,这些防护措施在Web2.0时代到来后,在P2P技术广泛应用和接入终端多样化的情况下,已略显不足,但很多网管人员还没有引起足够的重视,淡化了安全防范的意识。现在,随着黑客攻击工具(如灰鸽子、特洛伊木马、DDoS攻击软件)的“傻瓜”化使用,大大增加网络受攻击的可能性。

1.3人为破坏“试验区”

网络设备包括路由器、行为管理、防火墙、服务器以及交换机等,其中路由器、行为管理、防火墙、服务器等设备一般都放置于中心机房,受到人为的破坏可能性要小一些,而接入交换机、光纤和网线则分布在校园内的各个建筑中,某些人员可能出于好奇或试验的目的将它们有意无意地损坏,造成校园网络的瘫痪。另一方面是好奇心重的师生或不法人员利用黑客工具对校园网络系统进行破坏,如侵入学校数据库,在学校论坛上链接非法或虚假信息,利用ARP欺骗软件试验网络的管理水平等。

1.4软件自身“漏洞区”

在目前的校园网络中,绝大多数用户都在使用微软的windows操作系统和运行于windows操作系统之下的各类应用软件,这些系统软件和应用软件由于技术的原因或多或少都存在着安全漏洞,而这些安全漏洞的存在,可能会被病毒或黑客利用,使得校园网络安全受到极大的威胁。如广大师生广泛使用的Flash插件、Office办公软件、QQ等即时通讯软件和各类在线视频播放软件等。特别是IE浏览器,不断爆出高危漏洞,近日,又曝出cve编号为cve-2012-4969,远程攻击者可利用这个漏洞执行任意代码。

1.5非法信息“集散区”

许多中小学校园网经过多年的建设,网络拓扑结构较为复杂,使网络的监控变得非常困难。特别是随着无线网的高速普及应用,各种自带设备(BYOD)和无线智能终端(如ipad、智能手机)的接入,加剧了网络管理的难度。加上现在网络上各种论坛、blog、微信等个人信息渠道的泛滥,网民网络道德行为失范,导致互联网上的非法信息泛滥成灾,使校园网成为非法信息的集散区。综上所述,校园网安全管理应从两方面入手:一方面是建立健全网络使用的各种制度,规范用户的上网行为,提高校园网用户安全防范意识;另一方面是从设备入手,选用先进的网络设备,利用先进的网络技术,构建相对安全的网络体系。

2校园网络安全问题的对策

2.1完善网络制度建设

制度管理是保障网络安全管理的基础,为了加强对计算机信息网络的安全保护,维护网络秩序,学校应加强相关法律法规的学习和宣传。如《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》及《“两高”明确利用互联网手机等传播淫秽电子信息犯罪行为适用法律标准》等政策法规的学习。学校还可依据相关的政策法规制定学校网络管理的制度,从制度上保证网络的安全正常运行、规范网络用户的网上行为,从认识上提高网络用户的安全意识。

2.2强化技术防范手段

保障网络安全运行不能仅靠制度,只有不断强化技术防范手段,提高安全风险意识,不迷信任何安全神话,从技术上构筑相对安全的“堡垒”才是行之有效的策略。

2.2.1重视一“墙”之隔

在网络边界配置防火墙,利用硬件防火墙的强大功能为网络提供安全保护是当前中小学校园网的通行做法。但很多网络管理员并没有高度重视防火墙的防“火”作用,策略配置不够全面,甚至使用设备的初始密码,将网络之门洞开。由于技术的原因,早期的防火墙配置较为复杂,也制约了性能的发挥。随着网络技术的发展,部分硬件厂商已推出下一代防火墙,这些防火墙有强大的主动防御功能,配有超大URL分类过滤库,可以有效地拦截非法、病毒等不良网站,同时集成IPS入侵防御和云查杀引擎,能大大提高网络的安全运行能力,有条件的学校不妨在设备的升级换代时选用。

2.2.2关注一“路”由你

路由器是网络环境中的另一个重要设备,它是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。我们可以利用路由器的访问控制列表(ACL)来执行数据包的过滤,达到控制网络上数据包的传递,限制虚拟终端线路的通信量或者控制路由选择更新的目的。如网络中只开放Web服务,则只需允许http协议通过,屏蔽像ftp、telnet等一些协议,提高网络的安全性能。

2.2.3倾注一“网”情深

网络安全管理不能是一味地面对虚拟世界的比特流,应用纯技术手段进行攻击与防范的技术游戏,同时也要倾注感情,进行人性化的管理。

(1)应用网络行为管理。现在网上聊天、网上购物、在线视频、BT下载、网络游戏等诸多应用的同时,给网络带大巨大的压力。为了有效控制、记录用户的上网行为,简化管理难度,笔者使用深信服公司的行为管理,它可以根据带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA等办公软件的正常使用,提升办公应用的使用效率,还可以详尽记录用户的上网轨迹,做到网络行为有据可查。但也不能无视教职工正常的娱乐需求,进行一味的网络封堵,在保证网络办公的同时,应充分考虑网络的其它应用。

(2)部署防泄露方案。校园网中用户的注册信息、学生的学籍、教职工的登记信息以及财务数据都是需要保护的机密数据。这些信息一但因管理不善被入侵或丢失,会造成严重的后果。作为网管人员要有高度的责任心及时做好数据的备份和加密保护工作。有条件的学校甚至可以部署数据丢失防范(DLP)解决方案,DLP解决方案具有监控和防御功能,可以热备数据,防止因机器故障导致数据丢失,还有中心化管理功能,包括策略的创建和执行,生成报告和数据过滤等。

(3)部署网络杀毒产品。由于网络和病毒的自身特点,网络病毒防不胜防,尽管现在有一些如360免费杀毒产品,但我们不能过高地要求师生,不能拔高他们的信息技术能力,除了规范他们的上网行为,养成良好的上网习惯外,学校还要根据自身条件部署网络版杀毒软件。如卡巴斯基(Kaspersky)网络版杀毒软件或赛门铁克(Symantec)公司的网络防病毒软件。总之,网络安全是动态的,没有绝对的安全。苹果电脑(MAC)因为采用独特的安全机制,在病毒肆虐的互联网时代,被喻为最坚固的堡垒,然后在2012年4月,苹果电脑大规模感染病毒,令这个坚不可摧的安全神话瞬间破灭。互联网时代,安全和威胁永远是一对矛盾体,不要讨论矛利还是盾是坚,只要我们事事想在前,做在前,才可能真正保证校园网系统的安全和正常、稳定的运行。

作者：侯军单位：沭阳县东关实验小学