未雨绸缪二校园网双防策略

【 tulaoshi.com - 网络基础知识 】

[本站原创]

中小学校园网对安全性的要求有其自身的特殊性，除了传统意义上的信息安全（如对色情、暴力、反动等不良信息的过滤）以外，还应提高对病毒、恶意攻击以及物理设备的安全防范。本文以笔者的实际经验为基础，跟大家一起谈谈如何构筑一个比较实用的校园网安全防范体系。

上篇 未雨绸缪一校园网隐患分析 讲到的是常见的安全隐患，接着我们会谈到防范

构筑校园网安全防范体系

明确了危害校园网安全的种种隐患以后，我们就可以对症下药去排除这些隐患。在整体架构上，我们从两个大的方面着手讨论：防毒和防攻击。

A、防毒

下载来源不明的盗版软件、接受不明身份的电子邮件等行为都有可能招致病毒的袭击。面对猖獗的网络病毒，单机版的杀毒软件往往显得力不从心。那么我们就无计可施了吗？不是的，安装网络版的杀毒软件就不失为一个上策。目前很多大的杀毒软件厂商都已推出了网络版产品，且价格在逐步下调。

以“KV江民杀毒王网络版”为例，按照提示完成控制台和客户端的安装后，即可通过控制中心对整个系统进行全网杀毒、全网查毒以及全网升级等操作（图1）。例如我们要进行全网杀毒的操作，可单击[工具栏]上的[全网杀毒]按钮，系统即可对所有在线的客户端同时进行杀毒操作。而客户端的操作方法跟单机版KV基本一样，拥有单机版的全部功能。

B、防攻击

尽管中小学校不属于对数据安全要求很高的行业，但来自校园内部和外界的恶意攻击依然存在。可是如何防范这些有心或无心的恶意攻击呢？我们可以从以下几个方面着手：

1、及时安装补丁程序

正是由于软件漏洞的存在才促使了“补丁（Patch）”程序的不断推出。及时地为软件安装最新的“补丁”程序能够最大限度的降低被攻击的风险。针对学校常用的视窗系统软件和Office系列应用软件，建议大家经常到微软的下载站下载并安装最新的补丁程序。如最新的IE6 SP1、Win2000 SP4、Office2000 SP3、Office XP SP2等。

例如为了提高IE6的安全系数，我们需要安装其最新的补丁程序IE6 SP1。IE6 Service Pack 1 (SP1) 是 Windows XP/2003中IE6核心技术的最新版本，到http://www.microsoft.com/downloads找到并下载该补丁的安装程序。安装过程比较简单，按照向导即可轻松完成（图2）。

2、安装和设置防火墙 

抵御来自校园网外界攻击的最有效手段就是在对外服务器上安装防火墙。防火墙(firewall)是指一个基于软件或和硬件设备的、处于内部网络和Internet之间的、能够限制外界用户对内部网络访问及管理内部用户访问外界网络的权限的系统。鉴于中小学校园网的规模一般不大（大多为中小型网络），且考虑到资金等诸多问题，安装基于软件的防火墙比较合适。这方面的产品很多，如Windows XP2003系统自带的防火墙、天网防火墙、瑞星防火墙等。

在安装上防火墙以后，只有对其进行适当的设置才能发挥有效的防护作用。以天网防火墙个人版为例，假如我们要设置一个防范端口攻击的IP规则，可进行如下操作：

找到并单击[自定义IP规则]图标，勾选并双击[IP规则]选项打开“IP规则修改”对话框（图3）。将[名称]设为“防范端口攻击”，[数据包方向]设为“接收”，[对方IP地址]设为“任何地址”。在窗口下半部分切换至[TCP]标签下，[本地端口]和[对方端口]均设为“从0到65535”（即机器中的所有端口），然后勾选[SYN]选项。[当满足上面条件时]进行[拦截]操作，[同时还]要进行[记录]、[警告]和[发声]。最后单击[确定]按钮完成设置，回到规则菜单中，勾选“防范端口攻击”规则即可。这样在每次启动天网防火墙时本地机的所有端口就都处于保护之中了。这只是防范恶意攻击的一个简单例子，您可以进行灵活设置以起到更安全的作用。

3、加强用户权限管理和密码管理

校园网内部的威胁主要来自于学生的好奇心和破坏欲，加强对学生用户的权限管理可以在一定程度上降低这种威胁。在密码管理方面，对于比较敏感的密码如Administrator的密码应当设置成比较复杂且不易被猜到的字符串。决不能以自己的名字、出生日期或电话号码作为密码。领导、教师机器的远程访问密码和共享密码也应遵循以上原则。

我们可以借助Windows XP/2003的“账户策略”功能定制密码策略，以Windows 2003为例，依次单击[开始]→[管理工具]→[本地安全策略