三、校園網(wǎng)安全防護措施
　　3.1 安裝配置防火墻
“防火墻”是由軟件和硬件設備組合而成的計算機網(wǎng)絡安全防護設備, 設置防火墻是保護內部網(wǎng)絡免于外部網(wǎng)絡侵擾的重要措施。防火墻雖然能防范黑客攻擊, 但防火墻≠安全。在Internet 與校園網(wǎng)內網(wǎng)之間部署一臺防火墻, 就在內外網(wǎng)之間建立了一道牢固的安全屏障, 其中WWW、E- mail 、FTP、DNS 服務器連接在防火墻的DMZ 區(qū), 與內、外網(wǎng)間進行隔離, 內網(wǎng)口連接校園網(wǎng)內網(wǎng)交換機, 外網(wǎng)口通過路由器與Cernet 、Internet 連接。這樣, 通過Internet 進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(如WWW、E - mail 、FTP、DNS 等) , 既保護內網(wǎng)資源不被外部非授權用戶非法訪問和破壞, 也阻止了內部用戶對外部不良資源的使用, 并能夠對發(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。建立內網(wǎng)計算機的IP 地址和MAC 地址的對應表, 防止IP 地址被盜用; 定期查看防火墻訪問日志, 以及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。
　　3.2 內容檢測
　　另外,還有許多問題, 僅靠防火墻是解決不了的。如為了控制不良信息的傳播, 在校園網(wǎng)中需要安裝網(wǎng)絡行為管理系統(tǒng), 來保障網(wǎng)絡信息的健康安全?，F(xiàn)在的內容檢測軟件, 功能趨于成熟, 可以對郵件收發(fā)、網(wǎng)頁瀏覽、文件下載、遠程登陸、文件共享等多種網(wǎng)絡常見應用進行精細化審計; 可監(jiān)測服務器異常開放的陌生端口, 有效發(fā)現(xiàn)系統(tǒng)中的異常的服務; 并繪制出直觀的流量曲線圖。通過內容檢測系統(tǒng), 可以有效地防止對反政府、犯罪、邪教及黃、賭、毒等不良網(wǎng)站的訪問, 防止學校的對外形象受到影響, 使學校免于受到刑事牽連。此類產品主要有, 網(wǎng)盾網(wǎng)絡行為管理系統(tǒng)(ENM) , 復旦光華S.Audit 網(wǎng)絡入侵檢測與安全審計系統(tǒng), 綠信互聯(lián)網(wǎng)訪問管理系統(tǒng)(AR22000) 。
　　3.3 建立賬號和密碼管理機制
　　賬號和密碼保護可以說是系統(tǒng)的第一道防線, 目前網(wǎng)上大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的, 因此對服務器系統(tǒng)管理員的賬號和密碼進行管理是保證系統(tǒng)安全非常重要的
措施。為保證口令安全, 系統(tǒng)管理員密碼的位數(shù)一定要多, 至少應該在8 位以上, 不要用姓名、生日、電話號碼、常用單詞等作為口令, 在口令中混合使用大小寫字母并將數(shù)字、符號等引入口令中來, 定期修改口令, 避免重復使用舊口令等。對于普通用戶, 設置一定的賬號管理策略, 如強制用戶每個月更改一次密碼。對于一些不常用的賬戶要關閉, 比如匿名登錄賬號。
　　3.4 及時安裝軟件補丁程序
　　軟件系統(tǒng)的安全問題是最多的, 也是最復雜的。任何軟件都有漏洞, 作為網(wǎng)絡系統(tǒng)管理員就有責任及時地將“補丁”打上。大部分校園網(wǎng)服務器使用的是微軟的Win2dows NTP2000 操作系統(tǒng), 因為使用的人特別多, 所以發(fā)現(xiàn)的Bug 也特別多, 同時, 蓄意攻擊的人也就特別多。微軟公司為了彌補操作系統(tǒng)的安全漏洞, 在其網(wǎng)站上提供了許多補丁, 網(wǎng)絡系統(tǒng)管理員要經常瀏覽這些官方網(wǎng)站下載并安裝相關補丁修補程序及各種升級包。
　　3.5 關閉不必要的端口和服務
　　服務器操作系統(tǒng)在安裝的時候, 會啟動一些不需要的服務, 這樣不但占用系統(tǒng)資源, 而且增加了系統(tǒng)的安全隱患。停止運行服務器上不必要的服務, 關閉不必要的端口,防止有人利用這些服務和端口進行非法操作。
　　3.6 安裝網(wǎng)絡殺毒軟件
　　現(xiàn)在網(wǎng)絡上的病毒非常猖獗, 這就需要在網(wǎng)絡服務器上安裝網(wǎng)絡版的殺毒軟件來控制病毒的傳播, 目前, 大多數(shù)反病毒廠商(如賽門鐵克、瑞星、冠群金辰、趨勢、熊貓等) 都已經推出了網(wǎng)絡版的殺毒軟件; 同時, 在網(wǎng)絡版的殺毒軟件使用中, 必須要定期或及時升級殺毒軟件的引擎、病毒庫。
　　3.7 劃分子網(wǎng)
　　運用VLAN 技術將網(wǎng)絡按功能劃分成若干個子網(wǎng), 是一個加強內部網(wǎng)絡管理的有效手段。可以通過訪問策略進行合理的限制, 比如劃分學生子網(wǎng)和教師子網(wǎng), 使學生不能直接訪問專屬
教師的內容。對于一些安全性要求比較高的部門, 必要時還需要進行物理隔離。
　　3.8 定期檢測服務器系統(tǒng)
　　通過運行系統(tǒng)日志程序, 系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形, 包括最近登錄的時間、使用的賬號、進行的活動等。日志程序要定期生成報表, 對報表進行分析, 你可以知道是否有異?，F(xiàn)象。為防止不能預料的系統(tǒng)故障或用戶不小心的非法操作, 必須對系統(tǒng)進行安全備份。
　　3.9 綜合管理
　　綜合安全管理是保證網(wǎng)絡安全的基礎,安全技術是配合安全管理的輔助措施, 網(wǎng)絡的安全需要組織、技術兩方面的措施來保證。為數(shù)不少的學生對網(wǎng)絡技術非常感興趣,有些水平還非常高, 只靠“防”和“堵”是不行的, 應該引導學生將網(wǎng)絡技術運用到校園網(wǎng)的安全建設, 從而既滿足了學生的表現(xiàn)欲望, 又保障了校園網(wǎng)的安全。僅有正確的引導是不夠的, 還會有個別學生越軌, 這時候就需要制定一整套的規(guī)章制度來約束個別學生的行為。有效的使用網(wǎng)管軟件對分散安裝的設備進行實時檢測,以便及時發(fā)生問題進行處理。一定要建立一套校園網(wǎng)絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度等,并采取切實有效的措施,保證制度的執(zhí)行。
　　四、社會工程學對網(wǎng)絡安全帶來的影響
　　曾經有一個管理員的密碼被外界修改了, 管理員無法使用自己的密碼, 于是經過對日志的檢查, 除了一個IP 地址登錄過改了管理員密碼外, 沒有任何被入侵的痕跡。問這個管理員的密碼都有誰知道, 他說除了他一個人誰也不知道, 他的密碼每周都要換, 而且密碼也相當強壯。問他最近有什么特別的事情發(fā)生, 他說沒什么事情發(fā)生, 只是最近他們買了一臺服務器, 昨天那個公司的人來電話說服務器有漏洞要遠程進行升級工作, 需要管理員的密碼。一般來說公司或者廠家不會向用戶詢問有關用戶密碼的事情,很明顯這就是利用社會工程學造成的一個騙局。一直以來搞網(wǎng)絡安全的都把注意力放在了技術的層面上, 但入侵絕不僅是技術上的入
侵。例如, 某省的工商銀行的郵箱被盜, 給所有網(wǎng)上注冊的用戶發(fā)了一封郵件, 說是銀行系統(tǒng)要升級需要用戶的卡號和密碼, 雖然工行很快發(fā)布了通知, 但是誰有知道有多少安全意識薄弱的人按照郵件的內容去做了呢?利用社會工程學進行入侵的人, 肯定在其背后有所圖謀, 否則很少有人花這么大的心思來構思一場巧妙的騙局,從某個層面來說利用社會工程學10 %的入侵要比利用技術90 %的入侵可怕的多。隨著電子商務離我們越來越近, 安全問題也越來越嚴重, 真正高技術的入侵者畢竟只是很少的一部分, 但是利用社會工程學的入侵者卻不需要很強的計算機功底, 也可以說一個對計算機一知半解的人也可以造成入侵。所謂的騙術, 有多少是已經用過的, 但至今我們還沒有發(fā)現(xiàn)的呢? 這個問題不是靠技術所能解決的, 而是一種廣泛的安全意識。
　　五、結束語
　　網(wǎng)絡安全是一個循序漸進的過程,不可能一蹴而就。雖然理論上常常稱在安全方面花費1 %的精力, 就可以防御99 %的安全進攻和威脅, 但歸根結底, 安全體系取決于系統(tǒng)中最薄弱的一塊, 面對系統(tǒng)中所發(fā)現(xiàn)的新的、越來越多的安全漏洞, 沒有一套健全的系統(tǒng)的安全機制, 就不能及時發(fā)現(xiàn)漏洞并加以制止。很明顯, 再完善的安全體系,也不可能實現(xiàn)100 %的安全, 但是, 至少我們通過各種努力, 加固整個系統(tǒng), 減少不必要的損失。校園網(wǎng)的安全問題不僅僅是技術上的問題, 而且包括教師、學生等人為因素, 它依賴于安全教育和安全意識, 必須在意識上和管理上自始至終重視校園網(wǎng)的安全建設。
　　參考文獻
　　[1 ] 王竹林等. 網(wǎng)絡安全實踐[M] . 西安: 西安電子科技大學出版社, 2002. 8.
　　[2 ] 王保順等. 校園網(wǎng)設計與遠程教學系統(tǒng)開發(fā)[M] . 北京: 人民郵電出版社, 2003. 1.
　　[3 ] 史忠植. 高級計算機網(wǎng)絡[M] . 北京: 電子工業(yè)出版社, 2002. 1.
?