网络的生命在于其安全性。所谓网络安全就是保护网络系统的硬件、软件及系统中的数据不受偶然原因或者恶意攻击而遭到破坏、更改、泄露，系统能连续、可靠、正常地运行，网络服务不中断。随着校园网应用越来越广泛，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。本文结合笔者多年校园网络管理的经验，简要谈一些具体的安全部署方法及注意点。
    1.网络防火墙的部署
   “网络防火墙”是一种用来加强网络之间访问控制、防止外部网络用户以非法手段侵入内部网络访问、保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包链接方式按照事先设定的安全策略来实施检查，以决定网络之间的通信是否被允许，从而达到监视网络运行状态的目的。
    我们应该在校园网的什么地方部署防火墙呢？首先，应该在校园网内部网络（特别是提供各种服务和重要数据的服务器）与外部Internet的接口处安装防火墙，以阻挡来自外部网络的入侵。其次，如果校园网内部网络规模较大，并且设有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙。第三，校园网内部管理系统、办公教学系统与公网的连接之间也应该设置防火墙。安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装。如图1。

    2.基于VLAN的校园网安全部署
    采用交换式局域网技术（ATM或以太交换）的校园网络，可以用VLAN技术来加强内部网络管理。VLAN能够帮助控制流量，提供更高的安全性，使网络设备的变更或移动更加方便。VLAN技术的核心是网络分段，根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，以达到限制非法访问的目的。网络分段分为物理分段和逻辑分段两种方式。物理分段通常是将网络在物理层和数据段链路层分为若干网段，各网段相互之间无法直接通信。逻辑分段则是将整个系统在网络层上进行分段。例如：对于TCP／IP网络，可以把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。实际应用时，通常采取物理分段与逻辑分段相结合的方法。

    如图2所示，为了提高网络的安全性，应避免将教师和学生处于同一网段，可将教师和学生划分为两个子网VLAN。将二级交换机（1）上的端口1设为上行端口，与上级中心交换机相连。由于该端口需要被两个VLAN共用，故将其端口模式设置为tagged。端口2-12分配给教师VLAN，端口模式设置为untagged，端口13-24分配给学生VLAN，端口模式设置为untagged。同样将二级交换机（2）上的端口1设为上行口，与上级中心交换机相连，端口模式设置为tagged；端口2-12分给教师VLAN，端口13-24分给学生VLAN，端口模式都设置为untagged。
    3.病毒与电子邮件的安全部署
    目前，病毒已从存储介质（软盘、硬盘和光盘）感染发展为通过网络感染，从而使病毒的传播速度极快、破坏力更强。防止计算机病毒是校园计算机网络安全工作的重要环节。根据学校的实际情况，应将校园网划分出不同的区域，并制定不同级别的病毒安全策略：①核心区：学校的计算中心、办公网、图书馆等。对核心区的设备要实施严密的安全防护，统一安装对应级别的防病毒产品，接受统一管理，统一更新，定期执行统一的病毒扫描，杜绝病毒在核心区设备上藏匿。同时严格限制使用者对防病毒策略的修改，确保防病毒水平的高度一致。②可管理区：电子阅览室、学生机房、教室等区域的计算机。对可管理区的设备，要结合学校的资产管理，查清设备的部署情况，并加强巡回检查，通过人力投入和程序的自动执行，提高防护水平。同时可使用杀毒软件的在线安全风险检查工具，找出该区域内的变动情况。③不可管理区：学生宿舍、客座教师的设备、临时进入校园网络的设备等。校园网络管理员基本上无法在不可管理区的设备上安装客户端软件，设备安全的维护需要依靠使用者自觉完成。网络管理员有责任为不可管理区的用户提供在线病毒扫描服务，以便在用户需要检查和清除所使用设备上的病毒时，获得必要的技术帮助。
    目前电子邮件已经是主要的办公、交流手段，大多数学校已经构建了自己的电子邮件系统。电子邮件系统的开放性使得垃圾邮件泛滥，据不完全统计，校园网中80%的信件是垃圾邮件。这不仅影响网络速度，更使某些校园网的邮件系统成为不良邮件的转发地。因此，对电子邮件系统的安全必须重视高度。我们可以采用“邮件系统＋邮件中继网关”的方法提高邮件服务器的安全性，如图3所示。

    
   这种方法具有如下几个特点：①最大化保证内、外网电子邮件安全。在E-mail服务器和Internet之间完全隔离；这样，一方面充分保障邮件系统的安全性，另外一方面，通过中继网关或物理隔离网闸（邮件中继服务器），最大化的保证邮件服务器的通信畅通无阻。②自由收发内外网电子邮件。内网邮件服务器与外网不直接相连，内网用户可以在不改变原来使用习惯的前提下方便地自由收发内外网电子邮件。③从内到外的安全认证，三维立体的安全布防。在邮件中继网关上同时部署邮件杀毒软件和反垃圾邮件软件，做到病毒和垃圾邮件的集中查杀、过滤。
    4.上网身份认证的安全部署
    身份认证系统是整个校园网络安全体系的基础。如果没有用户身份认证系统，发现了安全问题大多只能不了了之。因此，全校统一的身份认证系统，是学校信息化建设必须考虑的一个非常重要的内容。对身份认证系统的技术选型应慎之又慎。虽然现在校园网内的一些应用系统或多或少都具有一定的身份认证功能，但它们的安全性、通用性、及时性和权威性都不能令人满意。必须建立基于校园网络的全校统一的身份认证系统，才能彻底解决问题，为校园信息化的各项应用系统提供安全可靠的保证。
    现在计算机及网络系统中常用的身份认证方式主要有以下几种：用户名/密码方式、IC卡认证、动态口令、生物特征认证和USB Key认证，如图4所示。

    目前校园网一般采用用户名/密码的身份认证或IC卡认证方式。“用户名/密码”认证是最简单常用的身份认证方法。密码由用户自己设定，只要正确输入密码，计算机就认为操作者是合法用户。但是，有的用户为了防止遗忘密码，经常采用生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这非常容易造成密码泄漏。而“IC卡”认证是基于“what you have”的验证手段。IC卡是一种内置集成电路的芯片，存有与用户身份相关的数据，由专门厂商通过专门设备生产，是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户身份。IC卡硬件不可复制可保证用户身份不会被仿冒。
    5.基于管理的安全部署
    网络安全建设是“三分设备，七分管理”，没有切实可行的安全保障体系和制度，网络安全就变成了空谈。除了建立起一套严格的安全管理制度外，还必须培养一支具有安全管理意识的网络管理队伍。网络管理人员通过对所有用户设置资源使用权限和口令，对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式，有效地保证系统的安全。网管人员还需要建立完整的网络用户数据库，并重视维护，严格对系统日志进行管理，对公共机房实行精确到人、到机位的使用登记制度，以便对网络用户和服务账号进行精确控制。网管人员还需要定时对校园网系统的安全状况做出审核和评估、关注网络安全动态、调整相关安全设置、进行入侵防范、发出安全公告、紧急修复系统。
    随着基于网络的应用日益广泛，网络安全问题越来越显得重要。只有较好地解决网络安全问题，校园网络的应用才能健康、有序地发展。（技术编辑　蒋先华）
参考文献：
［1］段海新.校园网安全问题分析与对策.2005年9月.
［2］陈庆章.计算机网络.2005年12月.