中学校园网络安全维护应对策略

浅谈中学校园网络安全维护的应对策略摘要：随着信息技术的发展和“数字校园”的推进，校园网络安全影响着学校正常工作的开展。各中学对网络的依赖性越来越强，其安全问题也日益突出。另外，网络规模的扩大，用户对网络性能的要求不断提高，使得校园网安全问题受到了广泛关注。如何提高校园网安全问题、提高“数字校园”的高效运行是一个系统工程的问题。安全的防范不仅需要局部处理，更需要全方位的考虑和主动防范。只有这样，才能取得网络上的主动权，避免受到攻击，保障校园网的正常运行。本文就中学校园网络安全的几个方面提出一些措施，以加强校园网络的安全维护。

关键词：校园网络安全；网络管理；跟踪监测；端口管理

在信息化社会到来的今天，许多中学都建立了不同规模的校园网络，并以各种方式接入了internet。网络的普及，弥补了传统教学的很多不足，促进了现代化教学手段的使用，但随之而来的校园网络安全也成了广大校园网络管理者比较头疼的问题。学校服务器被攻击，网站被篡改，教学数据被删除，甚至网络瘫痪等事件时有发生。所以，必须加强校园网络的安全维护，确保校园网安全、稳定、高效地运转。

要管理好所承担的网络管理工作，必须先了解目前中学网络拓扑图。

■

学校网络拓扑解析：校园网络的外接网路有两条，其一是电信

百m光纤，另一条是地区教育城域网光纤，两条线路均通过防火墙过滤，所有网络中的外网访问由路由指向电信线路，教育网相关应用由路由指向教育城域网。

拓扑图危险等级分析：（1）a1，a2，a3处危险均来自校园网外部，尤其是a1处危险等级最高，因为黑客有可能以校园网web服务器为跳板，直接进入到学校内部网络进行破坏。（2）b处危险来自学校内部网络，相对容易监控。

就拓扑图分析该网络存在的安全隐患：（1）网络病毒；（2）黑客恶意攻击；（3）不良信息；（4）设备安全；（5）web服务器和数据库服务器的安全漏洞；（6）系统服务器的安全漏洞。

一、从技术手段上提高网络安全性

针对以上拓扑结构，结合实际操作经验就技术实现手段来谈谈如何改进中学校园网络安全维护。

（一）网络病毒防治

通过网络途径，病毒的传播速度快得惊人，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。对于学生机房里的电脑，可以采用安装硬件或软件还原系统来防止病毒的入侵。对于教师的办公电脑，要及时安装杀毒软件并及时更新，现在的免费杀毒软件很多，例如金山毒霸、360杀毒软件等。同时，办公区电脑的补丁安装也不能马虎。

现在校园网络中常见的病毒主要是“arp木马”类的病毒。它发作时，中毒的机器会伪造某台电脑的mac地址，如果伪造地址为网

关服务器的地址，那么对整个网络就会造成影响，表现为用户上网时电脑不断弹出网络地址冲突的提示。对于此类病毒，在清除以后，可以采用在交换机内进行ip地址与mac地址的双向绑定，也可以采用安装一些arp防火墙软件的方来解决，如anti arp sniffer

和360安全卫士。笔者目前给学校的办公电脑做了个启动文件，来静态绑定网关ip，防止arp欺骗，读者可以借鉴arp–d、arp–s、网关地址、网关mac地址等。

（二）恶意攻击防御

恶意攻击，主要来自外网和内网。

1.外网的攻击。首先是路由器，它属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需要采取严格的安全管理措施，比如口令加密、加载严格的访问列表，关闭无关的服务端口。如果厂家推出了新的软件升级包，要及时更新版本，尽量减少漏洞。

其次是服务器，服务器安全分为硬件方面和软件方面。硬件方面，要求该服务器具有较高的可用性、可靠性、可扩展性，最好还要有不间断电源ups来供电，硬盘防护要采用软件或者硬件raid （磁盘阵列），这样才能很好的保存我们放置在服务器里的文件数据。对于重要数据还要养成定时备份，存放到不同的服务器里或者进行刻录保存的习惯。软件方面，现在大部分中学的服务器安装的都是windows 2003/2008，对于操作系统的安全补丁一定要及时更新，做好防范措施。同时，还要根据自已的实际，对操作系统进行安全配置，关闭不需要的服务。

2.校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的威胁将会更大一些。

首先，现在黑客攻击工具在网上泛滥成灾，而中学生的心理特点也决定着他们对此类工具充满好奇，极想尝试，所以不能忽视，必须防范。具体做法是在每个学生机中安装一个网络监控的客户端，教师就可在服务端随时监控学生机的流量，发现异常及时处理。同时，在平时也要在这方面多加强学生的教育，使他们明确“网络道德”、“网络犯罪”等概念。各办公室的计算机共享目录的设置也要注意，我们常利用共享目录进行传文件，一定要养成使用后把共享关闭的习惯，防止非法访问者对上面的资料、文档进行查看、修改、删除。网上就有这样一个例子，某中学教务处不注意把期末考试题放到了一个共享目录中，结果被上机的同学通过网上邻居发现了，造成了试题泄露的严重后果。所以，应加强目录共享安全意识。

其次，bt、电驴等p2p软件的普及使用，应引起广大网络管理员重视。这类软件的下载方式是以抢占带宽来达到下载目的，对于这一类软件的防范，可以通过防火墙功能，采用ip限速或者关闭服务实现。

最后，控制广播风暴的最好方式是划分vlan。它除了能控制广播风暴，还能够帮助控制流量，提供更高的安全性。

（三）不良信息过滤

网络犹如打开的房门窗，在和煦的春风吹进来的同时，也会有讨厌的苍蝇飞进来。我们在带领学生接受网络信息的同时要做好对

不良信息的防范。可以采用安装网络过滤器来过滤不良信息，或通过防火墙设置禁止访问网址列表，这样就能实现学生的绿色上网了。

（四）网络设备安全

网络设备设置安全是指对路由器、服务器、交换机等设备的安全配置，现在很多学校网络管理员会在路由器和服务器上加密码，但很容易忽略另外一种设备——可网管的交换机，一旦这种设备被人取得控制权，那就很容易造成网络瘫痪的严重后果。

（五）web服务器和数据库服务器的安全漏洞的安全防范

1.web服务器的安全防范。目前很多学校的校园网web服务器均采用了微软的iis服务器，我也就此做一些安全配置建议：（1）不使用默认的web站点，如果使用也要将将iis目录与系统磁盘分开。（2）删除iis默认创建的inetpub目录（在安装系统的盘上）。（3）删除系统盘下的虚拟目录，如：_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。（4）删除不必要的iis扩展名映射。右键单击“默认web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要

为.shtml，.shtm，.stm。（5）更改iis日志的路径。右键单击“默认web站点→属性→网站”在启用日志记录下点击属性。（6）使用urlscan。urlscan是一个isapi筛选器，它对传入的http数据包进行分析，可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000 server需要先安装1.0或2.0的版本。如果没有特殊