校园局域网安全解决方案

摘 要：随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，学校教育教学在很大程度上依赖于网络，数据、信息的不安全性同时也暴露出来，很多时候学校的一些信息被删除、丢失，或校园网内经常有大规模的病毒出现。因此，校园网络必须有足够强的安全措施，无论是公众网还是校园网中，网络的安全措施应能全方位地针对各种不同的威胁和脆弱性，文章主要从五个安全层面考虑来保护校园网的安全，这样才能确保网络信息的保密性、完整性和可用性。

关键词：校园网；安全；网络

中图分类号：TP393.08 文献标识码：A 文章编号：1673-8454（2012）02-0082-02

随着学校教育信息化的不断发展，计算机数量及网络规模越来越大。河北正定中学现在已有计算机1200多台，交换机、路由器等网络设备将近100台，家属院网络也由我校网络中心接入，网络接点更多，2006年我校新校区从主校区接入Internet，而且以后规模逐渐增大，同时网络硬件、软件安全问题越来越突出。

一、物理安全

1.网络中心设备安全

网络中心已安装防盗网，建议外窗也安装上，平时注意窗户和门上锁，定期对网络中心和服务器进行整理和保养，防止服务器受潮和灰尘的污染，定期对电线及各种线路进行检查，以免发生电源故障，平时还要注意防火和防雷，保障机房的安全。

2.办公楼、图书馆等各个交换点的安全

对办公楼、图书馆及各个教学楼的网络设备进行定期检查，对数量进行清查，定期清扫设备，对线路进行整理，防止出现漏电现象的发生；家属院的网络设备每学期进行检查，更要注意上锁，保障设备的安全，还要检查各网络节点，以防止外部环境进入我校网络。

二、网络层安全

我校已有上千台机器，随着网络的不断增大，需要对网络进行划分，划分成多个网络及将网络分出不同的等级，还要对各个网络之间进行访问控制。

1.划分多个子网

我校现已划分18个虚拟局域网，办公楼1个、各个教学楼1个、电教楼和图书馆及后勤3个、学生机房3个、备课室3个、家属院2个、新校区5个，这样可以防止网络广播风暴的发生，还可以在各个Vlan之间进行网络层访问控制。

2.加强各个网络之间的访问控制

在中心交换机上对校园网内各个Vlan只允许必要的协议通过，对于具有威胁性或者易受病毒感染的协议和端口进行屏蔽；对服务器Vlan进行重点设置，只开放必要的端口；在路由器上进行一些设置，对学生教室和机房进行有效控制；还要注意学校内网与Internet之间的访问控制，在路由器和外网之间加上防火墙，对外部的内容进行过滤，这样可有效地解决一些外网对我校的攻击。

3.定期对网络安全进行检测

现在互联网病毒日益泛滥，黑客攻击较多，每天要查看中心交换机、路由器的运行情况，提供快速响应故障的手段，同时还可以具备较好的安全取证，消除网络隐患；定期对交换机和路由器做出备份，以在发生灾难性破坏时对系统进行恢复，保障校园网的正常运行。

三、系统安全

1.服务器端系统安全

现在服务器分为Win2003和Win2000操作系统，服务器划分为独立的Vlan，由于各个服务器承担了不同的功能和资源，对服务器要做出相应的安全策略，对于Win2003系统做出防火墙策略。只开放服务器及软件相应的功能和端口，防止黑客的攻击和病毒的感染，如果出现恶意攻击及时向领导汇报。定时对服务器进行漏洞扫描，及早发现隐患，定时升级和打补丁，以及打好各个软件的补丁。还要注意密码的保护和设置，对服务器整个系统进行备份。

2.客户端系统安全

我校现已达到每人一台计算机，加上各科室计算机，数量较多，这样要求每台计算机使用机主和科室的拼音名字，以防止重名，而且能够快速查出网络故障和安全隐患的根源，有效地防止了对整个网络造成的影响。

四、软件安全

1.服务器资源安全

我校拥有WWW、FTP、CNKI、校信通等多个服务器资源，对于有数据变化的资源，要做到每天对数据库进行备份。服务器资源的访问也要做到不同等级的控制，至于对外公布的WWW服务，每天要注意网页内容，对于反动、不安全因素及时删除，以免造成不良影响。除WWW、FTP以外，所有资源只允许校内访问，对有后台管理页面的只允许管理员进行访问，以防止程序和资源被破坏。

2.杀毒软件的安装

服务器端定时对杀毒软件进行升级，每台计算机要求安装、运行瑞星杀毒软件，对杀毒软件进行防病毒安全策略设置，每天对计算机进行杀毒汇总，及时注意流行病毒的发作，对于一些流行病毒要及时找出专杀工具，放置于学校主页上供客户端下载，防止大规模病毒传染，保障校园网的正常运行。

3.账号和密码保护

首先是服务器账号、密码，设置要复杂，符合密码安全设置要求，只允许微机调教组管理员拥有，注意密码的保密，并且每学期对服务器密码进行修改。其次是FTP应用，由于我校FTP使用量较大，并且对外发布，对FTP有管理权限的账号和密码不能公布于网上，现在很多教师的账号和密码设置过于简单，建议重新设置，或者经常修改，防止黑客进行漏洞攻击，造成数据的丢失。对于网页和软件后台管理的账号和密码，只允许管理员拥有，需要其他非专业教师知道的，使他的权限和功能降至最低，以免发生误操作。

五、管理层安全

1.网络中心管理制度

网络中心由专人负责，非网管人员不得随意进入，在网络中心内不得随意安装其它电器和非服务器工作站。对网络的核心资源实行备份保护(含硬件、软件、数据)，存放核心资源的场所要有严密的安全保障措施。未经网络中心许可，各部门不得对现有网络(包括网络设备和软件配置)随意改动。加强对有权限进入网络工作的人员的管理，对网络口令实行分权分级别管理，同级别的口令不得互用，要定期对口令进行修改并备案存档。

2.网络设备及软件的管理

网络设备只允许网络管理员进行管理，管理员需掌握每个网络设备的安装地点和相关配置，对于施工和其他维修人员必须有一位管理员陪同或协助进行管理，在期间注意密码及资料的保密。

在软件光盘管理方面，必须严格其使用和借出程序，只允许管理员进行使用，并且在学校范围内，平时还要注意软件的维护和保养，对一些操作系统和软件正版盘做出备份。

以上从多个层面来构造我校局域网安全解决方案，需要强调的是，网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面，既有层次上的划分、结构上的划分，也有防范目标上的差别。在层次上涉及物理层的安全、网络层的安全、传输层的安全、应用层的安全等；在结构上，不同节点考虑的安全是不同的；在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节（如审计），有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系，应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术、产品、安全解决方案。

参考文献：

[1]李寿廷.计算机网络安全技术[J].才智，2009，（12）.

[2]虞坤源.PLC控制技术在横排头闸门控制中的应用[J].安徽水利水电职业技术学院学报，2009，（2）.

[3]严有日.论计算机网络安全问题及防范措施[J].赤峰学院学报(自然科学版)，2010，（3）.

（编辑：鲁利瑞）