学校校园网技术安全防护浅谈

学校校园网技术安全防护浅谈

摘要：现在有很多的校园网已经建立起来了，为了防止黑客的入侵，一些有财力、有技术力量的学校纷纷建立防火墙。而对于大多数规模不大的学校，由于各种各样的原因制约，至今未能建立起防火墙。就这种情况来看，建立一个简单有效的安全防护机制是最为有效的办法。

关键词：校园网；网络安全；系统漏洞

从各方面的统计来说，网络安全问题80%以上是由于内部人员的攻击或不遵守规章制度或系统管理员失误造成的。因此，建立一个有效的制约制度来阻止内部人员造成安全问题是保证校园网安全

的一个主要手段，除此，还应使用一些技术手段来防止网络安全问题的发生。

在做技术上的安全设置之前，应该先了解一下造成网络安全问题的黑客行为是怎样的一个过程。对于黑客入侵，黑客们最常用的手段是获得超级用户口令，他们总是先分析目标系统正在运行哪些应用程序，目前可获得哪些权限，有哪些漏洞可加以利用，并最终利用这些漏洞获取超级用户权限，再达到他们的目的。

知道了黑客通常造成安全问题的基本途径之后，就可以在技术上采取一些相应的对策。

一、堵住所有能堵住的漏洞

首先要对操作系统的漏洞进行修补。目前，大多数学校校园网服务器采用的操作系统是windows nt server 4.0、windows 2000

server或windows 2000 advanced server，如果使用的操作系统是windows nt server 4.0，那么只要把操作系统的补丁打到sp6就可以了，如果使用的操作系统是windows 2000系列的服务器操作系统，那就得勤快一点，可从“开始→windows update”修补操作系统的漏洞，或者到http：//页面

下载补丁包，把操作系统的漏洞补起来。为了能及时修补操作系统漏洞，建议用一台计算机安装跟服务器一样的操作系统，每天检查一次这台计算机，有没有新的操作系统补丁出来，如果出来新的补丁就及时更新，通过这种方法就能保证操作系统的漏洞处于最少状态，这样的操作系统是安全的。

二、要对服务器进行合理的分配

如果校园网络提供主页、ftp、数据库、e-mail、vod等服务，当有3台服务器用于校园网的上述服务时，则主页服务、ftp服务、校园管理平台服务可放在同一台服务器上，数据库单独一台服务器，vod单独一台服务器，而e-mail暂停。如果只有2台服务器，建议把vod服务停掉。这样分配服务器可通过简单的设置来增强服务器的安全性。服务器在这种分配下，由于功能单一、明确，并且考虑了数据的进出问题，如主页服务、匿名ftp服务、vod服务都是数据只能读出，不能写入；校园管理平台、内部主页的数据有读出，也有写入，但其需要用户名和密码，并且数据写入只是以软件预先定义的字段和方法写入；数据库服务是读出写入都可以，但需

要输入用户名和口令。如果软件设计的结构是b/c/d（即浏览器/

客户端/数据库）结构的话，数据库服务所在的这台服务器的数据流写入和读出的执行只能是另外特定的校园网服务器，否则就表明数据库服务器遭到袭击。在服务有明确、合理的分配情况下，服务器被攻击的路径就少了很多。

三、要合理地分配vlan

网络中心使用一个单独的vlan是比较合理的选择。在主页服务器里，所安装的协议有tcp/ip协议、网络客户端和网络文件共享，采用单独的vlan是在指导目标主机的ip地址的条件下，在网络中心以外也无法采用网络文件共享进行攻击。而且，网络中心采用单独的vlan，使得用户和网络中心有一定程度的隔离，使其他用户和服务器之间只能通过指定的tcp/ip协议进行通讯。

有些学校在校园网络的出口上安装了一台代理服务器，这是一个很好的选择。有了这台代理服务器，校园网以外很难发现内部网络的结构和计算机分布，并且加速了校园网中计算机访问网页的速度，将来还可在代理服务器上安装防火墙。

最后，提醒系统管理员、网络管理员和安全管理员一定要掌管好超级用户的口令，并且口令的设置也要符合口令设置规范，并在使用一段时间（一般不超过半年，两个月以内更佳）以后就要更换口令。

经过如此处理，不能说黑客进不来了，但99%以上的网络安全问题就可以解决或防止。

（作者单位江西省高安市职教中心）