浅析校园局域网安全

摘 要：校园局域网安全已经成为校园网络应用的重要前提。文章对局域网中常见安全现象进行了简要的概括分析并提出了加强网络安全防范的技术措施。

关键词：局域网；网络安全；安全防护措施

中图分类号：TP393.17

近几年网络在我国得到了飞速发展，现在很多家庭有了电脑，并且也连接上了因特网，作为一所完全中学，我校的信息技术建设也得到了学校领导的充分重视，每位教师都配备了能够接入互联网络的计算机，这给教学带来了充分的便利，与此同时，我校的网络安全也在经受严峻的考验。

网络的迅速发展给我们带来了很大的便利，但同时网络的迅速发展给传播病毒木马等恶意程序也带来了更快的通道，我们如何保护个人隐私及资料，我作为学校网络管理人员，又如何保障学校网络畅通，不被攻击，这都给我的工作提出了严峻的考验，工作之余我不断学习网络技术知识，考取国家软考网络工程师资格证，提高自己理论知识水平的同时，将理论应用与实践，积累了一些经验，拿出来与大家分享。

对于中小学网络安全面临的问题，我认为主要是保障网络畅通，预防学校服务器被黑客攻击，防止个人资料丢失等，涉密的信息不多。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用网络安全。一个企业的网络安全水平将由与网络安全有关的所有环节中最薄弱的环节决定。很多单位认为我们是小企业，没有资金去搞网络安全及数据保密备份工作，其实，企业可以根据自身特点及需要，来定制符合自己实际情况的安全防御体系，在安全木桶的不同木板上都要投入，投入多少可以根据企业自身情况来决定，一定不能有短板。

网络攻击形式按网络服务分为：E-Mail、FTP、Telnet、R服务、IIS等， 按技术途径分为：口令攻击、Dos攻击、种植木马，按攻击目的分为：数据窃取、伪造滥用资源、篡改数据。

了解了主流网络攻击方法以及自身单位需要防御哪些攻击，剩下就是根据自己单位实际预算来完成木桶上的每个木板，很人多认为我们安装杀毒软件就可以了，不需要防火墙，或者安装个防火墙，就万事大吉，不需要购置入侵保护系统，要知道，黑客攻击的就是网络安全的最短板，可能你每个方面做得都很好，但是有一个地方疏漏，就会导致黑客长驱直入，获取所有网络权限，进出自由。

我们单位在外边界上为一台路由器，外网为电信30M光纤接入，光电转换器转为电口，路由器内网接口和核心交换机之间接入一台绿盟NIPS，即通常所说的入侵保护系统，这样所有出公网的数据流以及从公网来访问内部网络的数据流都要经过这台入侵保护系统，它自身带防火墙模块、防病毒模块，它内部定义了很多规则库，名称为攻击事件、蠕虫事件、病毒事件、高风险事件等，用户根据自身需要将这些事件全部阻止，这就大大降低了网络被攻击的风险，用户如果认为网络安全优先于网络速度，可以将中低风险事件以及可疑网络事件都添加进来，当然这也会导致网络速度变慢，网络也更安全。用户通过日志也可以查看哪些计算机受到攻击，对这些被攻击的计算机进行安全检查，入系统补丁、防病毒软件升级等。因为入侵保护系统工作在应用层，根据这台入侵保护系统的功能，用户除了安全性的防御以外，还能根据学校自身特点来禁止教师在教学时段使用某些应用程序，如游戏、多线程下载等。

根据学校自身情况，除了在路由器上关闭了很多病毒蠕虫常用的攻击端口外，我在核心交换机上划分了10个C类的VLAN，分别对应3个机房、及各个部门，有效控制网络广播，提高网络的安全性，在路由交换安全上，建议大家设置加密的密码，对调试路由设备建议采用SSH方式，如果认为有必要，或者经常需要远程接入，可以采用AAA认证方式来进行会更加安全。并且建议设置访问控制列表来限制远程访问位置。

在服务器上不需要的服务及端口尽量禁止，如果能用linux做的服务尽量用linux来做，我校的http ftp以及图片服务器 vod服务器都是采用linux系统来实现，众所周知，windows系统界面友好，但就是窗口式的模式导致系统资源的大量占用，windows系统漏洞较多，并且在windows下能够运行的病毒木马也较多，我校大部分服务器采用的为linux 企业版4，安装好服务后，禁用其他服务及端口，修改启动配置文件直接将启动模式改为3，速度又快，系统又稳定，一学期几乎不用维护。

学校有了入侵保护系统，并在上面启用了防火墙及防病毒网关系统，终端计算机仍需要安装杀毒软件，我校购买了瑞星网络版杀毒软件，网络版与单机版的最大区别在于网络版可以由主控端控制终端用户集体杀毒，这样就避免了网管一台一台杀毒，病毒仍然在网络中传播。现在的攻击都来自于应用层，安全设备、网络版杀毒软件都设置好了，终端计算机的安全也尤为重要，我们对全校教师定期培训计算机维护知识，同时也会加入很多网络安全方面的知识。主要包括以下几个方面：一是及时更新操作系统补丁及杀毒软件；二是定期对计算机及存储设备杀毒；三是不下载运行来历不明的软件；四是不浏览入侵保护系统提示的恶意站点等；五是对个人重要数据定期做异地备份等。

我们为了让教师能够理解为何要升级补丁，以及安装个人版防火墙杀毒软件等，我们还给教师现场演示了大名鼎鼎的bt5中MSF攻击套件如何制作病毒，绕过杀毒软件，完全控制对方计算机，对于不安装补丁的计算机更是顺手拈来。了解了这些黑客攻击手段，教师才从更深层次理解如何安全使用计算机网络，教师拥有了较高的安全意识对于学校整个网络安全性的提升尤为重要。在培训中，我们还专门增加了一个内容，那就是容灾备份，数据对我们每个人来说都尤为重要，尤其对于我校财务部门、教务部门等，数据的保密到不是很关键，关键在于是否能够将以前的数据安全的保存下来，随时都能够找到以前的数据，老师的数据备份意识是薄弱的，他们认为硬盘是不会坏的，数据不删除是不会丢的，这就使很多教师进入了数据备份的误区。

据国际标准SHARE78的定义，灾难恢复解决方案可根据以下主要方面所达到的程度分为七级，即从低到高有七种不同层次的灾难恢复解决方案。可以根据企业数据的重要性以及您需要恢复的速度和程度，来设计选择并实现您的灾难恢复计划。在人们的印象里，由于目前容灾系统的实施多集中在金融、电信等行业的大型企业之中，所以他们理所当然地认为，只有大型企业才需要容灾系统。我校信息中心的重要文件服务器采用了raid0+1模式的scsi硬盘来做服务，这种模式既考虑了硬盘的安全性，又兼顾了文件服务器的速度，定期对重要数据进行光盘刻录，对于学校而言已经基本够用，如果对于服务要求较高，宕机时间不能过长，那就需要有数据备份，有备用系统的2级备份方式，我校目前采用为1级备份方式，即有数据备份，无备用系统。教师的数据备份通常建议老师根据自己的具体情况对数据进行定期的异地备份，如在办公室计算机的文档可以在家中电脑业做备份，这样一个地方的数据丢失，可以从另一台电脑中拷贝，如果是大量的照片及录像课视频建议刻录光盘进行备份。

硬件方面我校从外边界的防火墙到内部的路由交换设备，软件方面我校从网络版杀毒软件到教师安全意识的提升，都努力做到了尽量安全，最后，没有绝对安全的网络，数据备份的根本目的就是重新利用，数据备份工具的核心就是恢复。我们将网络安全工作的目的了解清楚，也就能够实现校园网络的相对安全。

参考文献：

[1]颜菲.浅谈在局域网中数据库应用系统的开发[J].计算机光盘软件与应用，2013（11）.

[2]张艳.浅析计算机网络安全防护措施[J].计算机光盘软件与应用，2012（18）.

作者单位：新疆农业大学附属中学，乌鲁木齐 830052