加强校园网安全管理措施

    校园网的安全是一个庞大的系统工程，需要全方位防范。防范不仅是被动的，更要主动进行，只有这样，才能取得主动权，使网络避免有意无意的攻击。

    及时发现网络设备和服务器中的新漏洞，查明网络中存在的安全隐患和威胁，要求网络是一个可适应性开环式网络，即系统具有互联网扫描功能、系统扫描功能、数据库扫描功能、实时入侵监控功能和系统安全决策功能。只有动态的网络才可能是一个安全性高的网络，图1是P2DR可适应性的网络安全模型。它的基本思想是：以安全策略为核心，通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供依据，当发现系统有异常时，根据系统安全策略作出快速响应，从而保护系统安全。

    一个具有高安全性的校园网通常需要从以下几个方面进行综合防范。

    防范一：网络病毒防范。未来网络威胁的特征是：病毒传播的速度越来越快、从发现漏洞到利用漏洞进行攻击之间的间隔越来越短。因此，无论是手动的还是自动的应对措施，它们的作用都有限。唯一的方法是主动预防，即部署整体的网络安全解决方案代替简单的反病毒解决方案。不仅要对进入校园网内部的请求进行病毒扫描和内容过滤，而且还要在内部用户访问Internet、进行内部应用之前，在本地网络边界进行病毒扫描和内容过滤，从而防止用户的关键业务受到病毒、恶意代码的破坏，提高网络的安全性和可用性。

    防范二：网络安全隔离防范。如设置流量过滤和防火墙：正确配置网络设备进行流量过滤可以有效提高网络的性能，合理使用防火墙有利于提高网络抵抗黑客攻击的能力和系统的安全性。其他措施有：隔离内部不同网段，建立VLAN；内外网络采用两套IP地址，网络地址实行转换；通过IP地址与MAC地址对应，防止IP欺骗；基于用户和IP地址的网络计费和流量统计与控制；提供应用代理服务，隔离内外网络；提供准入控制；支持透明接入和VPN及其管理。

    防范三：网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制，可以最大限度地保护网络资源。如:配备入侵检测系统，Web、E-mail、BBS的安全监测系统，网络监听系统等。安全监控是指实时对网络和网络上的服务进行安全扫描、纪录和检测，分析网络的工作情况和运行趋势，以此判断网络是否处于健康状态。及时发现不安全因素，对网络的攻击报警及时反馈。通过监控手段，增强网络安全的自我适应性和反应能力，从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、MRTG和Sniffer等工具，形成一个从实时监控到离线审计在内，功能较完整、覆盖面较广的监控管理系统。

    防范四：网络安全漏洞。对于非专业人员，他们无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞问题，这时，需要借助第三方产品（如：漏洞扫描系统）的帮助，及时发现安全隐患，提出相应的安全解决方案。

    防范五：数据备份和恢复。建立完整的网络数据备份系统应具备以下功能：计算机网络数据备份自动化；使数据备份工作制度化、科学化；有效管理介质，防止读写操作错误；对数据形成分门别类的介质存储，使数据的保存更细致、科学；自动介质的清洗轮转，提高介质的安全性和使用寿命；以备份服务器为中心，对各种平台的应用系统及其他信息数据进行集中备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理、集中管理。

    防范六：有害信息的过滤。对于大中型校园网来说，还需要配备一套综合的网络管理和信息过滤相结合的系统，实现对用户访问互联网时进行有害信息的过滤和管理。

    防范七：网络安全服务。为了确保整个网络的安全有效运行，有必要对网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及配套的专业措施。