三、校园网安全防护措施
　　3.1 安装配置防火墙
“防火墙”是由软件和硬件设备组合而成的计算机网络安全防护设备, 设置防火墙是保护内部网络免于外部网络侵扰的重要措施。防火墙虽然能防范黑客攻击, 但防火墙≠安全。在Internet 与校园网内网之间部署一台防火墙, 就在内外网之间建立了一道牢固的安全屏障, 其中WWW、E- mail 、FTP、DNS 服务器连接在防火墙的DMZ 区, 与内、外网间进行隔离, 内网口连接校园网内网交换机, 外网口通过路由器与Cernet 、Internet 连接。这样, 通过Internet 进来的外网用户只能访问到对外公开的一些服务(如WWW、E - mail 、FTP、DNS 等) , 既保护内网资源不被外部非授权用户非法访问和破坏, 也阻止了内部用户对外部不良资源的使用, 并能够对发生在网络中的安全事件进行跟踪和审计。建立内网计算机的IP 地址和MAC 地址的对应表, 防止IP 地址被盗用; 定期查看防火墙访问日志, 以及时发现攻击行为和不良的上网记录。
　　3.2 内容检测
　　另外,还有许多问题, 仅靠防火墙是解决不了的。如为了控制不良信息的传播, 在校园网中需要安装网络行为管理系统, 来保障网络信息的健康安全。现在的内容检测软件, 功能趋于成熟, 可以对邮件收发、网页浏览、文件下载、远程登陆、文件共享等多种网络常见应用进行精细化审计; 可监测服务器异常开放的陌生端口, 有效发现系统中的异常的服务; 并绘制出直观的流量曲线图。通过内容检测系统, 可以有效地防止对反政府、犯罪、邪教及黄、赌、毒等不良网站的访问, 防止学校的对外形象受到影响, 使学校免于受到刑事牵连。此类产品主要有, 网盾网络行为管理系统(ENM) , 复旦光华S.Audit 网络入侵检测与安全审计系统, 绿信互联网访问管理系统(AR22000) 。
　　3.3 建立账号和密码管理机制
　　账号和密码保护可以说是系统的第一道防线, 目前网上大部分对系统的攻击都是从截获或猜测密码开始的, 因此对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的
措施。为保证口令安全, 系统管理员密码的位数一定要多, 至少应该在8 位以上, 不要用姓名、生日、电话号码、常用单词等作为口令, 在口令中混合使用大小写字母并将数字、符号等引入口令中来, 定期修改口令, 避免重复使用旧口令等。对于普通用户, 设置一定的账号管理策略, 如强制用户每个月更改一次密码。对于一些不常用的账户要关闭, 比如匿名登录账号。
　　3.4 及时安装软件补丁程序
　　软件系统的安全问题是最多的, 也是最复杂的。任何软件都有漏洞, 作为网络系统管理员就有责任及时地将“补丁”打上。大部分校园网服务器使用的是微软的Win2dows NTP2000 操作系统, 因为使用的人特别多, 所以发现的Bug 也特别多, 同时, 蓄意攻击的人也就特别多。微软公司为了弥补操作系统的安全漏洞, 在其网站上提供了许多补丁, 网络系统管理员要经常浏览这些官方网站下载并安装相关补丁修补程序及各种升级包。
　　3.5 关闭不必要的端口和服务
　　服务器操作系统在安装的时候, 会启动一些不需要的服务, 这样不但占用系统资源, 而且增加了系统的安全隐患。停止运行服务器上不必要的服务, 关闭不必要的端口,防止有人利用这些服务和端口进行非法操作。
　　3.6 安装网络杀毒软件
　　现在网络上的病毒非常猖獗, 这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播, 目前, 大多数反病毒厂商(如赛门铁克、瑞星、冠群金辰、趋势、熊猫等) 都已经推出了网络版的杀毒软件; 同时, 在网络版的杀毒软件使用中, 必须要定期或及时升级杀毒软件的引擎、病毒库。
　　3.7 划分子网
　　运用VLAN 技术将网络按功能划分成若干个子网, 是一个加强内部网络管理的有效手段。可以通过访问策略进行合理的限制, 比如划分学生子网和教师子网, 使学生不能直接访问专属
教师的内容。对于一些安全性要求比较高的部门, 必要时还需要进行物理隔离。
　　3.8 定期检测服务器系统
　　通过运行系统日志程序, 系统会记录下所有用户使用系统的情形, 包括最近登录的时间、使用的账号、进行的活动等。日志程序要定期生成报表, 对报表进行分析, 你可以知道是否有异常现象。为防止不能预料的系统故障或用户不小心的非法操作, 必须对系统进行安全备份。
　　3.9 综合管理
　　综合安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施, 网络的安全需要组织、技术两方面的措施来保证。为数不少的学生对网络技术非常感兴趣,有些水平还非常高, 只靠“防”和“堵”是不行的, 应该引导学生将网络技术运用到校园网的安全建设, 从而既满足了学生的表现欲望, 又保障了校园网的安全。仅有正确的引导是不够的, 还会有个别学生越轨, 这时候就需要制定一整套的规章制度来约束个别学生的行为。有效的使用网管软件对分散安装的设备进行实时检测,以便及时发生问题进行处理。一定要建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施,保证制度的执行。
　　四、社会工程学对网络安全带来的影响
　　曾经有一个管理员的密码被外界修改了, 管理员无法使用自己的密码, 于是经过对日志的检查, 除了一个IP 地址登录过改了管理员密码外, 没有任何被入侵的痕迹。问这个管理员的密码都有谁知道, 他说除了他一个人谁也不知道, 他的密码每周都要换, 而且密码也相当强壮。问他最近有什么特别的事情发生, 他说没什么事情发生, 只是最近他们买了一台服务器, 昨天那个公司的人来电话说服务器有漏洞要远程进行升级工作, 需要管理员的密码。一般来说公司或者厂家不会向用户询问有关用户密码的事情,很明显这就是利用社会工程学造成的一个骗局。一直以来搞网络安全的都把注意力放在了技术的层面上, 但入侵绝不仅是技术上的入
侵。例如, 某省的工商银行的邮箱被盗, 给所有网上注册的用户发了一封邮件, 说是银行系统要升级需要用户的卡号和密码, 虽然工行很快发布了通知, 但是谁有知道有多少安全意识薄弱的人按照邮件的内容去做了呢?利用社会工程学进行入侵的人, 肯定在其背后有所图谋, 否则很少有人花这么大的心思来构思一场巧妙的骗局,从某个层面来说利用社会工程学10 %的入侵要比利用技术90 %的入侵可怕的多。随着电子商务离我们越来越近, 安全问题也越来越严重, 真正高技术的入侵者毕竟只是很少的一部分, 但是利用社会工程学的入侵者却不需要很强的计算机功底, 也可以说一个对计算机一知半解的人也可以造成入侵。所谓的骗术, 有多少是已经用过的, 但至今我们还没有发现的呢? 这个问题不是靠技术所能解决的, 而是一种广泛的安全意识。
　　五、结束语
　　网络安全是一个循序渐进的过程,不可能一蹴而就。虽然理论上常常称在安全方面花费1 %的精力, 就可以防御99 %的安全进攻和威胁, 但归根结底, 安全体系取决于系统中最薄弱的一块, 面对系统中所发现的新的、越来越多的安全漏洞, 没有一套健全的系统的安全机制, 就不能及时发现漏洞并加以制止。很明显, 再完善的安全体系,也不可能实现100 %的安全, 但是, 至少我们通过各种努力, 加固整个系统, 减少不必要的损失。校园网的安全问题不仅仅是技术上的问题, 而且包括教师、学生等人为因素, 它依赖于安全教育和安全意识, 必须在意识上和管理上自始至终重视校园网的安全建设。
　　参考文献
　　[1 ] 王竹林等. 网络安全实践[M] . 西安: 西安电子科技大学出版社, 2002. 8.
　　[2 ] 王保顺等. 校园网设计与远程教学系统开发[M] . 北京: 人民邮电出版社, 2003. 1.
　　[3 ] 史忠植. 高级计算机网络[M] . 北京: 电子工业出版社, 2002. 1.