浅谈中职校园网络的安全及管理.docVIP

浅谈中职校园网络的安全及管理 　　摘 要：本文在分析中职校园网络安全隐患的基础上，提出了确保校园网络安全的解决方案，并重点就如何设置路由器防范拒绝服务（DoS）攻击进行了阐述，以达到硬件防火墙的效果，从而提高校园网络的安全性。 　　关键词：中职；校园网络；安全隐患；路由器设置 　　随着网络技术和internet的发展，各中职学校都建立了自己的校园网络，校园网为教师和学生的工作、学习、交流提供了许多方便，改变了传统的教学和学习方式。在中职学校，尤其是办学规模较小、经济情况较弱的学校，校园网络的构建本身存在一些缺陷，如许多学校没有购置防火墙设备。在硬件条件有限的情况下，如何搞好校园网络的安全与管理、提高校园网络运行能力是十分值得校园网管理员探讨的问题。 　　一、校园网的安全隐患 　　探讨校园网络安全首先要分析校园网络存在哪些方面的安全隐患及来源特点，笔者认为中职校园网络的安全隐患主要归于如下几种情况： 　　1. 病毒感染。 　　病毒感染是校园网中最常见、最严重的一种安全威胁，病毒防范最重要的方法是堵住它的入侵途径。而校园网病毒的主要入侵途径有以下四种：（1）浏览网页、电子邮件而感染的网络病毒，如有蠕虫类病毒、木马程序等。（2）网络共享的携带病毒文件，从而感染了使用此共享文件的系统。（3）携带病毒的盗版光盘的软件。（4）携带病毒的U盘、移动硬盘等移动存储设备。 　　2. 网络攻击。 　　随着网络技术的发展，各种网络攻击事件频频发生，黑客的恶意行为不时导致学校网络瘫痪，令校园网管理人员十分头痛。笔者分析，网络攻击主要有以下四种形式：（1）拒绝服务(DoS)：DoS攻击是利用一批受控制的机器向一台机器发起攻击，具有较大的破坏性。DoS攻击通过对服务器产生大量的服务请求，使服务器忙于响应应答讯息，造成TCP／IP栈崩溃，导致与Internet的连接中断、无数的窗口被打开、系统死机，甚至重新启动等，造成服务器系统不胜负荷，丧失提供正常服务的能力。（2）木马程序：是一种能够在受害者毫不察觉的情况下渗透到系统的程序代码。受害电脑一旦被种植了木马，就意味着控制者能够通过控制主机去控制受害系统，进行秘密信息的窃取或破坏。（3）网络嗅探器：是指嗅探类程序，它们潜伏在网络中，利用互联网透明传输的弱点，悄悄地捕获网络上的数据包。（4）黑客入侵：是指某些具有顶尖网络技术的人士，通过扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定操作控制整个系统。 　　3. 校园网络内部的威胁。 　　中职校园网的用户数量很多，包括了教师、行政人员、学生和家长等。相对企业网络，校园网来自内部的威胁更加严重。主要有如下三种情况：（1）MAC地址盗用：指上网用户通过修改注册表，将自己的MAC地址改为一个未知的MAC地址或是别人的MAC地址。MAC地址的盗用对网络安全带来巨大的隐患。（2）IP地址盗用：是指用户私自更改自己的IP地址或通过各种软件进行IP的攻击。有些用户出于某种原因，手工更改自己的IP地址，使得原本IP地址的合法用户无法正常上网，导致网络管理的混乱。DoS攻击是最常见的IP攻击方式，其原理是非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，导致服务器无法正常工作。（3）账号盗用：这里更多的是指“账号的共享”。对于校园网的管理来说，如果没有对账号做好管理，一个账号可能被多个用户使用，账号的混乱使得管理员无法实现“网络管理到人”的目的。 　　4. 操作系统的安全漏洞。 　　随着技术的发展，操作系统越来越复杂，从而导致了操作系统本身的漏洞也越来越多，这样就使得操作系统不是绝对安全、万无一失的。 　　二、校园网络安全解决方案 　　校园网络安全是一个系统的、全局管理问题，网络上的任何一个漏洞，都有可能影响整个网络的安全。一个较好的安全解决方案不但要从环境、用户、产品和意识等方面来考虑，同时要进行综合分析，逐个解决存在的问题，把可能发生的危害排除在发生之前，达到安全防护的目的，并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中。 　　1. 选用先进的组网设备。 　　在校园网建设和使用过程中，设备的选用和维护至关重要。如通过三层交换机来连接电信局的服务器和校园网的各个终端用户实现宽带上网，避免以太网侦听的危险。 　　2. 采用虚拟局域网技术(VLAN)。 　　一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同的VLAN中，从而提高交换式网络的整体性能和安全性。 　　3. 加固操作系统。 　　针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多，因