導語：如何才能寫好一篇校園網(wǎng)絡安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:校園網(wǎng);網(wǎng)絡安全;病毒;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

網(wǎng)絡的應用日益豐富,目前e-mail、ftp、WWW已經(jīng)非常普遍。近幾年發(fā)展起來的VOD點播、網(wǎng)上交友、網(wǎng)上游戲、網(wǎng)上求職、網(wǎng)上購物、網(wǎng)上醫(yī)療以及網(wǎng)上學習等也是如火如荼、雖然這些應用還處于發(fā)展階段,但是有很大的發(fā)展前景。目前校園網(wǎng)的建設也得到了快速的發(fā)展,全國絕大多數(shù)的高校建成了自己的校園網(wǎng)絡。

隨著網(wǎng)絡規(guī)模的急劇膨脹、網(wǎng)絡用戶的快速增長,關鍵性應用的不斷普及和深入,校園網(wǎng)已經(jīng)成為教育行業(yè)信息化的關鍵網(wǎng)絡基礎設施。伴隨著校園網(wǎng)絡的發(fā)展,“數(shù)字校園”概念逐漸被高等院校采納并實施。可以說,高速、穩(wěn)定、安全、可管理是“數(shù)字校園”建設的基本要求和最終目標。下面就我個人在工作中的經(jīng)驗,談談對校園網(wǎng)安全的一些看法。

1 系統(tǒng)的安全

雖然操作系統(tǒng)的功能及安全性日趨完善,但從目前來看,最近流行于網(wǎng)絡上的“ARP”、“機器狗”等病毒都是利用系統(tǒng)的漏洞進行傳播的。各種系統(tǒng)都或多或少存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡安全的首要問題。作為一個網(wǎng)絡管理人員,及時發(fā)現(xiàn)并修補系統(tǒng)漏洞是主要任務。對于正在使用的軟件和服務,應該密切關注其官網(wǎng)的最新版本和安全信息,一旦發(fā)現(xiàn)有關的安全問題就立即對軟件進行必要的補丁和升級。

一般啟動操作系統(tǒng)時,會同時啟動數(shù)十個服務,但有些服務時沒有必要的,反而會成為黑客、病毒和木馬入侵的隱患。如允許遠程修改注冊表、提供IPC連接、默認共享等,應及時關閉這些服務。同時嚴格控制用戶向系統(tǒng)的訪問,可以利用身份驗證和用戶權(quán)限控制技術,兩者結(jié)合使用,給予不同的用戶不同的操作權(quán)限,實現(xiàn)信息安全的分級管理。

2 防火墻與入侵檢測系統(tǒng)的使用

應用服務器在校園網(wǎng)中的使用量很大,極易成為黑客攻擊的主要對象。因此們需要對所有的外部網(wǎng)絡接口隔離,用防火墻在內(nèi) 外網(wǎng)之間構(gòu)建一道安全屏障。防火墻會對數(shù)據(jù)包進行過濾,阻止外部非法用戶的訪問和破壞。所以在防火墻配置上,我們要根據(jù)每個學校的需求設置正確的安全過濾規(guī)則,網(wǎng)絡管理人員應定期查看防火墻的記錄日志,及時發(fā)現(xiàn)攻擊行為和不良記錄并采取相應的對策。

入侵檢測系統(tǒng)相對防火墻,是一種積極主動的安全防護技術,能夠在系統(tǒng)受到危害前發(fā)出警報。即使一個系統(tǒng)中不存在某個漏洞,但是檢測系統(tǒng)仍然可以檢測到相應的攻擊事件并調(diào)整狀態(tài)做出警告。所以,入侵監(jiān)測系統(tǒng)能夠及時發(fā)現(xiàn)攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護網(wǎng)絡安全,將安全隱患降到最低。

3 個人用戶安全

大多數(shù)的校園網(wǎng)用戶安全意識淡薄,比如不使用殺毒軟件或不及時更新病毒庫;不及時更新系統(tǒng)漏洞;使用移動存儲時沒有事先殺毒;接受或運行來歷不明的文件或郵件;瀏覽黃色或非法網(wǎng)站等行為,這些行為都有可能導致電腦中毒。中毒后對方能在你的電腦上上傳、下載文件,偷取你的各種賬號信息及密碼。除了能泄露個人資料外,如今很多病毒能夠通過用戶單機對校園網(wǎng)進行攻擊,惡意的向被攻擊服務器發(fā)送信息,嚴重的占用校園網(wǎng)帶寬,致使網(wǎng)絡運行速度慢,嚴重的更處于一種癱瘓的狀態(tài)。

所以個人用戶的安全也不能小視,作為網(wǎng)絡管理人員,在推廣網(wǎng)絡應用的同時,也要加強上網(wǎng)行為安全的宣傳教育工作,并制定相應的制度,防范和制止各種違法行為。

4 結(jié)論

校園網(wǎng)安全體系是一個動態(tài)的、不斷發(fā)展的機制,當然不論我們怎么防范,由于系統(tǒng)和軟件本身的局限性和計算機網(wǎng)絡的開放性,我們都不可能徹底的消除所有網(wǎng)絡系統(tǒng)的安全隱患。但是作為一名網(wǎng)絡管理人員,我們需要提高工作熱情,加強責任心,頭腦中時刻具備安全意識,提高自己的專業(yè)知識和技能,為廣大師生提供更快、更安全的校園網(wǎng)環(huán)境。

參考文獻:

[1] 賈遂民.校園網(wǎng)絡安全分析與對策[J].卿城大學學報:自然科學版. 2005(2):83-86.

[2] 凌捷,肖鵬,何東風. 防火墻本身的安全問題淺析[J].計算機應用與軟件 2004(7):138-140.

篇2

關鍵詞：校園網(wǎng)絡；網(wǎng)絡安全；系統(tǒng)安全

隨著網(wǎng)絡技術的不斷發(fā)展和Internet的日益普及，許多學校都建立了校園網(wǎng)絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享起到了無法估量的作用。但一些教師和學生在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導致了校園計算機系統(tǒng)的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，教師和學生都應加強對校園網(wǎng)絡的安全重視。網(wǎng)絡的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡的安全，就成了校園網(wǎng)絡管理人員的一個重要課題。

一、校園網(wǎng)絡現(xiàn)狀

隨著電腦的普及，計算機技術并沒有像早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在學校的學生們就更不用說了。幾乎每所學校都有其自身的網(wǎng)絡體系，無論是無線網(wǎng)絡還是有線網(wǎng)絡。有了網(wǎng)絡的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動態(tài)模式，這樣才能更好地激發(fā)學生的學習興趣。在大家看來每所學校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網(wǎng)絡是否暢通，上網(wǎng)是否安全，網(wǎng)絡是否可以抵御黑客攻擊，上網(wǎng)時我們的賬號是否存在風險等問題。網(wǎng)絡安全主要是網(wǎng)絡信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡運行安全和內(nèi)部網(wǎng)絡安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機和服務器的運行安全，主要措施有反病毒、入侵檢測、審計分析等技術。

（一）反病毒技術

計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染給其它程序，并進行自我復制，特別是在網(wǎng)絡環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等。

（二）入侵檢測

入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡或計算C系統(tǒng)中的若干關鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。在校園網(wǎng)中服務器為用戶提供著各種的服務，但是服務提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險。因此，從安全角度考慮，應將不必要的服務關閉，只向公眾提供他們所需的基本的服務。

（三）審計監(jiān)控技術

審計監(jiān)控不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、類聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡運行安全

網(wǎng)絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施，保證網(wǎng)絡受到攻擊后能盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據(jù)備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案?！盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中，只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放，具有速度快和調(diào)用方便的特點?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝。其特點是便于保管，用以彌補“熱備份”的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡安全檢測，以增強機構(gòu)內(nèi)部網(wǎng)的安全性。

（一）訪問控制

在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術是目前保護內(nèi)部網(wǎng)安全最主要，同時也是最有效和最經(jīng)濟的措施之一。防火墻技術可以決定哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。應該強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才能實現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡的一個網(wǎng)段與另一個網(wǎng)段，防止一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。

（二）網(wǎng)絡安全檢測

篇3

一、防病毒技術

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網(wǎng)必須在網(wǎng)絡系統(tǒng)的各個環(huán)節(jié)嚴加防范，才能控制或阻止病毒的侵害?？紤]學校教學用機數(shù)量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網(wǎng)傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內(nèi)部網(wǎng)絡上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、江民、金山等，網(wǎng)絡上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網(wǎng)絡隔離技術

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機可以使用個人防火墻，網(wǎng)上這樣的免費或限時軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡隔離技術在內(nèi)、外部主機系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機的操作系統(tǒng)對外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡之間形成了物理隔離帶，消除了基于網(wǎng)絡協(xié)議的攻擊。這種技術的應用，必將使校園網(wǎng)絡管理高效化、簡單化，安全級別也更高。

三、VLAN技術

隨著校園網(wǎng)絡規(guī)模擴大，網(wǎng)內(nèi)機器超過200臺時網(wǎng)絡管理將極為困難。在實際應用時，采取VLAN技術把校園網(wǎng)劃分為行政辦公、教師、學生等子網(wǎng)。劃分可以跨過物理設備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡風暴在必要范圍內(nèi)，并增強網(wǎng)絡的安全性，利于管理。根據(jù)校園網(wǎng)管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據(jù)MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數(shù)量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網(wǎng)時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用，把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優(yōu)點，用戶計算機可以不修改網(wǎng)絡配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡層，網(wǎng)絡工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡設備也不一定具備VLAN所有劃分方式。因此，學校要根據(jù)自己的要求和價格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡設備，再根據(jù)實際設備選擇適合的VLAN劃分方式配置網(wǎng)絡。

四、云防護技術

校園網(wǎng)中Email、BBS、Web、即時通信、上傳下載各種服務和應用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網(wǎng)絡的聯(lián)合攻擊規(guī)模越來越大，破壞性越來越強。許多校園網(wǎng)絡工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網(wǎng)絡”就是通過掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對目標進行DOS等攻擊；還有“零日攻擊”指惡意運用立即被發(fā)現(xiàn)的安全漏洞，利用時間差在網(wǎng)絡未及防范的情況下實施攻擊。

篇4

關鍵詞：校園網(wǎng) 網(wǎng)絡安全 分析

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416(2012)07-0163-02

學校作為培養(yǎng)人才的基地，愈來愈多的校園網(wǎng)通過專線與互聯(lián)網(wǎng)接軌，讓學校中的老師和學生可以自由到互聯(lián)網(wǎng)上瀏覽、查找他們感興趣的內(nèi)容和所渴求的知識，感受網(wǎng)絡所帶來的這些豐富的信息資源，提供更廣闊的學習環(huán)境。與此同時，網(wǎng)上的“黑客”也很可能趁機攻入學校內(nèi)網(wǎng)，破壞校內(nèi)服務器上的數(shù)據(jù)，使校園網(wǎng)的安全受到威脅。并且，學校對學生的網(wǎng)上教育和上網(wǎng)管理也面臨著新的挑戰(zhàn)。

1、校園網(wǎng)所面臨的問題

1.1 內(nèi)部資料庫安全問題

校園網(wǎng)與普通企業(yè)網(wǎng)不同，因為一般企業(yè)網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對內(nèi)部網(wǎng)絡的攻擊，對互聯(lián)網(wǎng)上、或者是校園網(wǎng)內(nèi)部服務器進行攻擊，主要對學校內(nèi)部的某些可能存放著重要資料的服務器，諸如，存放主要給教師使用的試題庫，對于學生就有著極大的誘惑力，在好奇心或者是為了滿足某些單純的心理需要，而不顧后果的對校園內(nèi)部服務器進行的攻擊，使學校的內(nèi)部資料遭受到不必要的損失。

1.2 對學生上網(wǎng)的管理

學生上網(wǎng)的管理主要從三個方面進行管理：

(1)學生所瀏覽網(wǎng)站的限制。

(2)學生上網(wǎng)費用統(tǒng)計的問題。

(3)學生上網(wǎng)對熱門網(wǎng)點的統(tǒng)計，及時了解學生的網(wǎng)上動向，有利于更一步引導學生過好網(wǎng)上生活。

如何才能從內(nèi)、外網(wǎng)兩方面共同建設安全、可信賴、有效的新網(wǎng)絡呢？根據(jù)校園網(wǎng)全安的相關知識，網(wǎng)絡內(nèi)部的安全措施應包括：在終端設備上全面安裝防病毒軟件，在網(wǎng)絡接入交換機上進行客戶端的安全認證，匯聚設備上使用ACL軟件防火墻技術，建立內(nèi)部網(wǎng)絡規(guī)章制度，保障內(nèi)部網(wǎng)絡的所有設備的安全可信賴。另外，在接入外部網(wǎng)絡的入口處使用硬件防火墻設備作為防止外部網(wǎng)絡非法的、未授權(quán)的訪問，對流經(jīng)的每一個數(shù)據(jù)流進行檢曬，以保護整個校園網(wǎng)的安全。

2、安裝殺毒軟件

校園信息化建設極大地方便了學校的教學工作，同時也為計算機病毒的蔓延打開了方便之門。各種病毒無時無刻不在威脅著網(wǎng)絡的安全，對于計算機網(wǎng)絡病毒防治，只有把技術手段和管理機制緊密結(jié)合，切斷病毒的傳播途徑，盡可能地降低感染病毒的風險；其次不要隨便使用含有病毒的程序；在使用前最好先進行查殺病毒；最后建立全方位、立體化防毒反黑網(wǎng)絡，基本原則是防殺結(jié)合、以防為主、以殺為輔、軟硬互補、標本兼治。

3、網(wǎng)絡設備安全

先是從內(nèi)部網(wǎng)絡所有設備安全出發(fā)，對網(wǎng)絡中接入設備進行安全設置，在接入交換機的端口上，對網(wǎng)絡中所有接入的用戶進行認證和安全管理。

校園網(wǎng)安全中主要存在以下三個問題，一個是由于學生宿舍上網(wǎng)人數(shù)較多，在學生宿舍中安裝網(wǎng)絡端口，需要上網(wǎng)的學生可以在學校網(wǎng)絡管理中心申請帳戶。另一個是由于后來由申請賬戶的數(shù)目很多，有的宿舍只開通一個賬戶后，在端口上接一個小型路由器或交換機，宿舍中的學生就可能通過路由器或交換機上網(wǎng)，由于網(wǎng)絡管理中心無法確認最終用戶，給網(wǎng)絡帶來了很多不安全因素。最后一個是要為所有的交換設備控制臺端口配置密碼，以保證非管理員進行登錄設備，修改設備配置參數(shù)。

網(wǎng)絡設備安全部分配置如下：

(1)配置接入交換機端口的安全和最大連接數(shù)限制。

Switch(config-if-range)#switchport port-security !開啟1-23端口安全端口的功能

Switch(config-if-range)#switchport port-secruity maximum 1!開啟1-23端口安全地址個數(shù)為1

Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全違例的處理方式為shutdown

(2)配置交換機控制臺密碼安全。

配置交換機登錄密碼

Switch(config)#enable secret level 1 0 abc

配置交換機的特權(quán)密碼

Switch(config)#enable secret level 15 0 abc

(3)配置交換機端口的地址綁定。

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的綁定

4、網(wǎng)絡區(qū)域安全

在校園網(wǎng)中，由于學生訪問量較大，有的學生登錄到教師辦公網(wǎng)查看考試試卷，有的學生向?qū)W校FTP服務器上上傳垃圾文件等現(xiàn)象。

由于教師網(wǎng)中的FTP服務器上存有大量的教師考試資料和教學資料，如果要禁止學生進行訪問，但允許學生訪問其他服務器（WWW服務器、E-mail服務器等）的話，要在網(wǎng)絡中心交換機的接口上配置應用擴展ACL技術，如（表1）所示，在s1和s2 上分別進行相關的配置，即可滿足需要。

表1 校園網(wǎng)部分地址規(guī)劃

5、虛擬專用網(wǎng)VPN

目前我們所說的VPN安全技術主要是指隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術(Key Management)、使用者與設備身份認證技術（Authentication）。

根據(jù)校園網(wǎng)的實際情況，簡要分析、校園網(wǎng)專用網(wǎng)VPN的情況。各自都有自已的專用網(wǎng)，要想使這兩個不同區(qū)域的部門經(jīng)常進行通信，又要保證部門數(shù)據(jù)的安全，學校采用隧道虛擬專用網(wǎng)VPN技術。

使用遂道技術建立了新、老兩個校區(qū)的專用網(wǎng)，其網(wǎng)絡地址分別為172.16.0.0和192.168.0.0。新、老校區(qū)通過公用的Internet網(wǎng)構(gòu)成一個VPN。新、老校區(qū)都有一個路由器具有合法的公網(wǎng)IP地址，如(圖2)所示路由器R1和R2。各自路由器在和新、老校區(qū)內(nèi)部網(wǎng)絡的接口地址是新、老校區(qū)的本地地址。

6、全網(wǎng)絡的安全

在校園網(wǎng)互聯(lián)互通的基礎上，當校園網(wǎng)連接到Internet上時，除了利用ACL“軟”手段防范來自內(nèi)部網(wǎng)絡攻擊外，還需要在網(wǎng)絡上的關鍵部位，部置硬件防火墻來防范來自外部網(wǎng)絡的攻擊。

在校園網(wǎng)安全設備中防火墻是相對最有效的網(wǎng)絡安全設備，它是一種綜合性的技術，它涉及計算機網(wǎng)絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、安全規(guī)范及操作系統(tǒng)等多方面內(nèi)容。

參考文獻

[1]韓爭勝.IPv6關鍵技術及其網(wǎng)絡安全研究[D].西北工業(yè)大學,2005.

[2]鐘林.基于Linux平臺的IPv4/IPv6校園網(wǎng)研究與設計[D].南京理工大學,2006.

[3]363—382.于新俊.大連電力學校校園網(wǎng)設計與實現(xiàn)[D].大連理工大學,2003.

篇5

關鍵詞：校園網(wǎng)；網(wǎng)絡安全；防火墻；入侵檢測

中圖分類號：TP393.18

如今計算機網(wǎng)絡技術迅速發(fā)展，校園網(wǎng)也不斷發(fā)展。校園網(wǎng)對學校的一些教學活動、學生學習、教育管理等各個方面都發(fā)揮著重要的作用。因此，維護、保證校園網(wǎng)的安全成為一項重要的任務。校園網(wǎng)絡一直存在著安全隱患，出現(xiàn)各種安全問題層出不窮，最常見的是病毒入侵、黑客攻擊等，導致數(shù)據(jù)丟失和個人隱私泄露，給學校、學生與教師帶來巨大損失。校園網(wǎng)作為學校最基礎也是最重要的設備，更要全面分析這些安全策略，來抵御任何網(wǎng)絡攻擊與威脅，使校園網(wǎng)穩(wěn)定有效地運行下去。

1 校園網(wǎng)安全問題分析

校園網(wǎng)絡系統(tǒng)是為儲存學生數(shù)據(jù)資料、為學生和教師提供服務并收集信息、為整個校園提供網(wǎng)絡教育的一個平臺。因此，校園網(wǎng)絡安全策略的目的是防止人們?yōu)E用甚至竊取所有校園數(shù)據(jù)資源，并抵御網(wǎng)絡黑客和各種病毒、木馬程序的攻擊。應保證校園網(wǎng)絡系統(tǒng)安全有效的運行，保證教學完善進行。

1.1 校園網(wǎng)出現(xiàn)安全隱患的原因。首先，由于網(wǎng)絡管理員在設置上造成的一些失誤，例如對校園網(wǎng)的操作系統(tǒng)、硬件設備以及相關軟件進行的配置不當所造成的一些安全漏洞問題，所導致的未安全設置路由器IP、用戶的訪問權(quán)限過大以及過多打開服務器端口等。這些情況都會給校園網(wǎng)安全帶來巨大的隱患。其次，一些人利用網(wǎng)絡安全漏洞，對校園網(wǎng)絡數(shù)據(jù)進行惡意破壞，他們可能會攻擊學校的Web服務器，破壞學校主頁、竊取學校機密文件、向?qū)W校服務器發(fā)送大量信息而導致校園網(wǎng)絡癱瘓等。

1.2 校園網(wǎng)絡安全隱患的后果。校園網(wǎng)存在的網(wǎng)絡隱患包括：使用病毒、木馬程序、惡意代碼等進行郵件發(fā)送和接收、遠程管理等一些手段進行傳播，其傳播速度越來越快，并且破壞性極大。并且各種病毒、木馬程序等被不斷更新，更加智能化。這些安全隱患問題所造成的損失巨大。學校的數(shù)據(jù)可能被破壞或篡改，甚至會丟失；一些加密文檔、數(shù)據(jù)被竊取或盜用、一些不良信息被傳播、學校教師或?qū)W生的個人隱私被泄露。

2 校園網(wǎng)絡的安全防護技術

我國的校園網(wǎng)通常以防火墻和入侵檢測系統(tǒng)作為網(wǎng)絡安全防護系統(tǒng)。各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設備也需要不斷地進行改進，各種殺毒軟件也需不斷進行升級，且防御意識也要不斷加強。不經(jīng)意的疏忽都有可能給學校造成很大損失。

2.1 防護墻技術。一般網(wǎng)絡安全的第一道防線是處于外網(wǎng)與校內(nèi)網(wǎng)相連位置的防火墻。防火墻最主要的任務是：根據(jù)規(guī)則對請求進出的所有網(wǎng)絡數(shù)據(jù)進行審查，只有滿足規(guī)則的數(shù)據(jù)才會被允許通過網(wǎng)絡；反之則被拒絕。其缺點是：因為防火墻技術屬于被動的網(wǎng)絡防護技術，所以它無法將病毒性的數(shù)據(jù)檢測出來；由于校園網(wǎng)內(nèi)部用戶網(wǎng)絡流量未經(jīng)過防火墻，因此它不能防御校園網(wǎng)內(nèi)部一些用戶發(fā)起對FTP服務器、web服務器、DNS服務器以及MAIL服務器等的攻擊。另一方面，如果這些服務器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務器進行轉(zhuǎn)發(fā)，導致其靈活性下降且功能特性較差；對于抵御外網(wǎng)的攻擊和入侵比較困難，甚至對一些警報有時無法作出及時的響應；系統(tǒng)管理員只有時刻仔細監(jiān)視防火墻，才可能會注意到黑客的攻擊，這樣非常不方便；另外探測與測試防火墻的配置較困難。

2.2 入侵檢測系統(tǒng)。首先，入侵檢測系統(tǒng)（IDS）是指任何有能力進行檢測或改變網(wǎng)絡狀態(tài)的系統(tǒng)，或者是系統(tǒng)的集合。之后IDS能夠發(fā)送警報或是采取設定的行動來維護網(wǎng)絡安全。IDS的一些主要功能：對系統(tǒng)活動和用戶進行分析并監(jiān)測，可以對一些重要的資料、文獻、數(shù)據(jù)等進行評估，判斷它們的完整性；負責系統(tǒng)日志的管理工作，對已知攻擊行為和違反安全策略的用戶活動能夠識別出來；可以對系統(tǒng)的配置進行檢測，并能夠找出漏洞。

IDS在結(jié)構(gòu)上分為基于主機的IDS即HIDS與基于網(wǎng)絡的IDS即NIDS。最特別的HIDS是PortSentry軟件，通常HIDS的數(shù)據(jù)源為系統(tǒng)日志和應用程序日志等，分析從主機獲取的信息，將其作為監(jiān)控程序來運行，一般其保護的是自身所在的整個系統(tǒng)。而NIDS工作于OSI-RM網(wǎng)絡層，以網(wǎng)絡上的數(shù)據(jù)包作為數(shù)據(jù)源并對其進行分析。通常在部署NIDS時會將主機的網(wǎng)卡設置成混雜模式，以監(jiān)聽、分析所有本網(wǎng)段內(nèi)的數(shù)據(jù)包。

3 校園網(wǎng)的安全策略分析

3.1 登錄控制。登錄控制主要保證網(wǎng)絡資源被非法使用或訪問，是一種較為有效的網(wǎng)絡安全防范和保護措施。登錄控制能夠有效監(jiān)測校園網(wǎng)絡的用戶登錄到服務器和路由器等網(wǎng)絡設備來獲取信息資源，可控制監(jiān)測用戶進入網(wǎng)絡的時間及地點。一般用戶訪問網(wǎng)絡控制有以下三個步驟：識別和驗證用戶名、用戶口令以及用戶賬號的缺省限制檢查。其中只要有任何一項未通過，此用戶都不能進入網(wǎng)絡。所以，通過登錄控制能夠進一步保證校園網(wǎng)絡安全。

3.2 權(quán)限控制。針對網(wǎng)絡的非法操作提出了權(quán)限控制，它賦予訪問用戶與用戶組一定的權(quán)限，以限制其對資料、目錄、文件以及其他共享資源的訪問，對打印機等共享設備的操作。也是一種保護校園網(wǎng)絡安全的策略。

3.3 定制IP安全策略。在Windows 2000中最新提供了一種基于點到點安全模型的IP安全策略，它可以更好的保證網(wǎng)絡數(shù)據(jù)的安全。為防止一些惡意病毒程序?qū)Ρ镜貦C器的訪問，在工作時可關閉服務為空的端口。IP安全策略能夠安全有效地將計算機的數(shù)據(jù)傳送到終端計算機。

3.4 虛擬網(wǎng)絡的控制。如果校園網(wǎng)絡是由交換式局域網(wǎng)技術組建的， 那么通過擬網(wǎng)絡技術可以加強其內(nèi)部網(wǎng)絡管理。虛擬網(wǎng)絡技術的核心是網(wǎng)絡分段，它按不同的部分和安全機制來隔離網(wǎng)絡，來避免用戶非法進入系統(tǒng)。網(wǎng)絡分段有物理和邏輯兩種分段方式。在物理層和數(shù)據(jù)鏈路層進行網(wǎng)絡分段的為物理分段；在網(wǎng)絡層進行整個系統(tǒng)分段的為邏輯層。分開的各網(wǎng)段之間無法直接通信。一般情況下將物理分段與邏輯分段相結(jié)合來進行實際應用。

3.5 將防火墻與入侵檢測系統(tǒng)結(jié)合。防火墻是最基本保證網(wǎng)絡安全的措施，它可按照需要來阻斷或允許網(wǎng)絡進入。IDS是對防火墻進行的重要修補，其基本作用是監(jiān)測內(nèi)部網(wǎng)絡流量，并對所識別到的攻擊進行報警。防火墻是最有效的減小掃描威脅的方式。而IDS可探測與阻礙主機的掃描，不能作為以防火墻的作用來維護網(wǎng)絡安全。因為采用防火墻與IDS相結(jié)合不僅可以保護到校園網(wǎng)絡受外界攻擊，還能夠檢測校園網(wǎng)內(nèi)部的網(wǎng)絡通信進行和流量，并采取響應措施如報警或抵抗行為。所以這是最好的一種網(wǎng)絡安全策略。

3.6 安裝防毒殺毒軟件。最常用的一種網(wǎng)絡安全防范手段就是安裝防毒殺毒軟件。防毒殺毒軟件可根據(jù)病毒庫來對收到的郵件和信息、下載的信息數(shù)據(jù)、U盤等移動設備來進行殺毒，是對防火墻與入侵系統(tǒng)強有力的補充。但是病毒軟件也存在弊端，因為它是根據(jù)病毒特征庫進行查毒和殺毒，只能對病毒特征庫中存在的病毒進行檢測和查殺，所以它不能夠有效欄截最新出現(xiàn)的一些病毒。由此看來，仍要加強對我國校園網(wǎng)的安全策略的完善。

4 結(jié)束語

保護校園網(wǎng)絡的安全是一項任重而道遠的任務，遇到的問題越來越復雜。但隨著網(wǎng)絡技術的不斷更新發(fā)展，對各種安全隱患問題的研究與探索，可以有效地保護校園網(wǎng)絡的發(fā)展。通過采用防火墻技術與入侵檢測系統(tǒng)相結(jié)合，對校園網(wǎng)絡進行權(quán)限設置等，可以有效地提高校園網(wǎng)絡的安全系數(shù)。

參考文獻：

[1]黃彬.淺析高校網(wǎng)絡安全存在的問題及對策[J].信息安全與技術，2011（02）：78-79.

[2]張莉.淺談校園網(wǎng)的安全隱患及防范措施[J].網(wǎng)絡安全技術與應用，2011（01）：102-103.

篇6

關鍵詞:校園網(wǎng)絡;信息安全;防范策略

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6631-02

1 概述

網(wǎng)絡信息安全是指保護信息財產(chǎn),防止信息被非授權(quán)地訪問、使用、泄露、分解、修改和毀壞,以求保證信息的保密性、完整性、可用性和可追責性,使信息保障能正確實施、信息系統(tǒng)能如意運行、信息服務能滿足要求。隨著計算機技術和通信技術的發(fā)展,認清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統(tǒng)的安全性將十分重要。同時進行信息系統(tǒng)安全防范,不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施[1-2]。

1.1 網(wǎng)絡安全的基本組成

從內(nèi)容上看,網(wǎng)絡安全大致包括四個方面:

1) 網(wǎng)絡實體安全:如計算機的物理條件、物理環(huán)境及設施的安全標準,計算機硬件、附屬設備及網(wǎng)絡傳輸線路的安裝及配置等。

2) 軟件安全:如保護網(wǎng)絡系統(tǒng)不被非法侵入,系統(tǒng)軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等。

3) 網(wǎng)絡中的數(shù)據(jù)安全:如保護網(wǎng)絡信息的數(shù)據(jù)安全,不被非法存取,保護其完整、一致等。

4) 網(wǎng)絡安全管理:如運行時突發(fā)事件的安全處理等,包括采取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內(nèi)容。

1.2 網(wǎng)絡信息安全的目標

1) 完整性:完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

2) 可用性:可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。

3) 可控性:可控性是指授權(quán)機構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性,可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

4) 保密性:保密性是網(wǎng)絡信息不被泄露給非授權(quán)的用戶、實體或過程,或供其利用的特性。即,防止信息泄漏給非授權(quán)個人或?qū)嶓w,信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎之上,保障網(wǎng)絡信息安全的重要手段。

5) 可審查性:在信息交流過程結(jié)束后,通信雙方不能抵賴曾經(jīng)做出的行為,也不能否認曾經(jīng)接收到對方的信息。

2 校園網(wǎng)安全管理的特點及常見威脅[3-4]

2.1 校園網(wǎng)安全管理的特點

校園網(wǎng)是學校發(fā)展的重要基礎設施,它不僅為學校提供各種本地網(wǎng)絡應用,同時也是溝通學校校園網(wǎng)內(nèi)外部網(wǎng)絡的橋梁。筆者根據(jù)自身校園情況,認為當前校園網(wǎng)有以下特點:

1) 操作方便,易于管理:校園網(wǎng)接入復雜而且面積較大,網(wǎng)絡維護需要方便快捷,設備網(wǎng)管性強,從而方便網(wǎng)絡故障的快速排除。

2) 認證計費:校園網(wǎng)對學生上網(wǎng)必須進行有效的控制和計費策略,以提高網(wǎng)絡的利用率。

3) 安全可靠:校園網(wǎng)中同樣有大量關于檔案管理和教學的重要數(shù)據(jù),如果被破壞或竊取,對學校都將是一個很大的損失;

4) 校園信息結(jié)構(gòu)出現(xiàn)多樣化:校園網(wǎng)應用分為辦公管理、電子教學和遠程通訊等三大內(nèi)容。數(shù)據(jù)類型復雜,不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求;

5) 高速的局域網(wǎng)連接:由于校園網(wǎng)的核心是面向自身校園師生的網(wǎng)絡,因此局域網(wǎng)是建設重點。網(wǎng)絡信息中包含大量多媒體信息,故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項重要要求。

2.2 校園網(wǎng)絡信息的主要威脅

網(wǎng)絡病毒是校園網(wǎng)絡信息的最主要威脅,它除了具有可傳播性、可執(zhí)行性、穩(wěn)蔽性、破壞性等計算機病毒的共性外,還具有一些新的特點:

1) 感染速度快:只要有一臺工作站中病毒,幾分鐘內(nèi)就可能將網(wǎng)上的數(shù)百臺計算機全部感染。

2) 擴散面廣:病毒在網(wǎng)絡中擴散速度快、擴散范圍大,不僅能迅速感染局域網(wǎng)內(nèi)的所有計算機,還能通過網(wǎng)絡將病毒在一瞬間傳播到千里之外。

3) 傳播形式復雜多樣、難于徹底清除:單機上的計算機病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除,而網(wǎng)絡中只要有一臺工作站未能消毒干凈就可使整個網(wǎng)絡重新被病毒感染,甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。

4) 破壞性大:網(wǎng)絡上病毒將直接影響網(wǎng)絡的工作,輕則降低速度,影響工作效率,重則導致網(wǎng)絡崩潰,服務器信息被破壞。

5) 潛在危險性大。校園網(wǎng)絡一旦感染了病毒,即使病毒已被清除,其潛在的危險也是巨大的,大部分的網(wǎng)絡在病毒被清除后一個月內(nèi)會再次感染。

6) 黑客攻擊手段與病毒破壞技術相結(jié)合。病毒開始利用操作系統(tǒng)以及包括IE、outlook 、ICQ等常用網(wǎng)絡軟件的安全漏洞,進人機器內(nèi)部進行遠程控制,造成數(shù)據(jù)外泄及系統(tǒng)破壞。

3 網(wǎng)絡安全的防范[5-7]

1) 網(wǎng)絡病毒的防范:在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的防病毒產(chǎn)品:一個由服務器端統(tǒng)一控制管理客戶端的全方位、多層次的防病毒軟件。針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒策略,并通過定期或不定期的升級,使網(wǎng)絡免受病毒的侵襲。

2) 防火墻技術:防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻技術是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制進、出一個網(wǎng)絡的權(quán)限,在內(nèi)部和外部兩個網(wǎng)絡之間建立一個安全控制點,對進、出內(nèi)部網(wǎng)絡的服務和訪問進行控制和審計,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問、干擾和破壞內(nèi)部網(wǎng)絡資源。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡的安全。在局域網(wǎng)網(wǎng)絡出口設置防火墻,并對防火墻制定安全策略,對一些不安全的端口和協(xié)議進行限制,使所有的服務器、工作站及網(wǎng)絡設備都在防火墻的保護之下,同時配置一臺日志服務器記錄、保存防火墻日志,詳細記錄了進、出網(wǎng)絡的活動,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問內(nèi)部網(wǎng)絡資源。

3) 入侵檢測系統(tǒng):入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。入侵檢測屬于動態(tài)的安全技術,它能幫助系統(tǒng)主動應對網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力,同時也提高了校園網(wǎng)信息安全基礎結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能在不影響校園網(wǎng)絡性能的情況下能對校園網(wǎng)絡進行監(jiān)測,從而實現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

4) 身份認證:身份認證是任何一個安全的計算機所必需的組成部分。身份認證必須做到準確無誤地將對方辨認出來,同時還應該提供雙向的認證,即互相證明自己的身份,網(wǎng)絡環(huán)境下的身份認證比較復雜,因為驗證身份的雙方都是通過網(wǎng)絡而不是直接接觸的,傳統(tǒng)的指紋等手段已無法使用,同時大量的黑客隨時隨地都可能嘗試向網(wǎng)絡滲透,截獲合法用戶口令并冒名頂替,以合法身份入網(wǎng),所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法,以及采用高科技手段的密碼技術進行身份驗證。

5) 漏洞掃描系統(tǒng):面對大型網(wǎng)絡的復雜性和不斷變化的情況,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡 安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

6) 訪問控制技術:訪問控制根據(jù)用戶的身份賦予其相應的權(quán)限,即按事先確定的規(guī)則決定主體對客體的訪問是否合法,當一主體試圖非法使用一個未經(jīng)授權(quán)使用的客體時,該機制將拒絕這一企圖,其主要通過注冊口令、用戶分組控制、文件權(quán)限控制三個層次完成。此外,審計、日志、入侵偵察及報警等對保護網(wǎng)絡安全起一定的輔助作用,只有將上述各項技術很好地配合起來,才能為網(wǎng)絡建立一道安全的屏障。

7) IP盜用問題的解決:在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

8) 利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全:對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。

4 結(jié)束語

本文所提到的校園網(wǎng)絡安全防范只是加強安全性的建議,并不是做到這些就可以保證萬無一失。認清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統(tǒng)的安全性將十分重要,只有當網(wǎng)絡中的使用者學會如何安全的使用網(wǎng)絡資源時,才能最終保證整個網(wǎng)絡的安全?？傊?網(wǎng)絡安全是一個綜合性的課題,只有嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡管理人才才能完好、實時地保證信息的完整性和確證性,為校園網(wǎng)絡提供強大的安全服務。

參考文獻:

[1] 李衛(wèi).計算機網(wǎng)絡安全與管理[M].北京:清華大學出版社,2004.

[2] 李俊宇.信息安全技術基礎[M].北京:冶金工業(yè)出版社.2004.

[3] 哈利,賈建勛,譯.計算機病毒揭秘[M].北京:人民郵電出版社,2002.

[4] 程勝利,談冉,熊文龍,等.計算機病毒及其防治技術[M].北京:清華大學出版社,2004.

[5] 寧章.計算機及網(wǎng)絡安全與防護基礎[M].北京:北京航空航天大學出版社,1999.

篇7

【關鍵詞】校園網(wǎng)；網(wǎng)絡安全；安全策略

【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158（2013）07-0329-02

1 校園網(wǎng)絡安全規(guī)范

校園的網(wǎng)絡安全是指利用各種網(wǎng)絡監(jiān)控和管理技術措施，對網(wǎng)絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實施保護，使其不會因為一些不利因素而遭到破壞，從而保證網(wǎng)絡系統(tǒng)連續(xù)、安全、可靠地運行。

學校網(wǎng)絡中心負責網(wǎng)絡設備的運行管理，信息中心負責網(wǎng)絡資源，系統(tǒng)管理員口令絕對保密，根據(jù)用戶需求嚴格控制，合理分配用戶權(quán)限，向?qū)W生開放的教學實驗室應禁止使用軟驅(qū)和光驅(qū)，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網(wǎng)絡狀況分析

（1）資源分布和應用服務體系

校園網(wǎng)絡可向網(wǎng)絡用戶提供：域名服務（DNS），電子郵件服務（Email），遠程登錄（telnet），文件傳輸服務（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲，交換，檢索等服務。

（2）網(wǎng)絡結(jié)構(gòu)的劃分

整個網(wǎng)絡是由各網(wǎng)絡中心，和園區(qū)內(nèi)部網(wǎng)絡通過各種通信方式互聯(lián)而成，所有網(wǎng)絡可歸納為由連接子網(wǎng)、公共子網(wǎng)、服務子網(wǎng)、內(nèi)部網(wǎng)四個部分組成。這四部分組成一個獨立單位的局域網(wǎng)，然后通過廣域連接與其他網(wǎng)絡連接。

2.2 網(wǎng)絡安全目標

為了增加網(wǎng)絡安全性，必須對信息資源加以保護，對服務資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內(nèi)部信息；即需要身份驗證以及根據(jù)根據(jù)身份進行訪問控制。

C：敏感信息；即需要驗證身份和傳輸加密。

（2）服務資源包括：內(nèi)部服務資源、公眾服務資源

內(nèi)部服務資源：面向已知客戶，管理和控制內(nèi)部用戶對信息資源的訪問。

公眾服務資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網(wǎng)絡安全技術的應用

3.1 建立網(wǎng)絡安全模型

通信雙方在網(wǎng)絡上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡環(huán)境中安全地傳輸信息，需要對信息提供安全機制和安全服務。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息，并在雙方發(fā)生爭議時進行仲裁。設計一個網(wǎng)絡安全方案時，需要完成以下四個基本任務：

（1）設計一個算法，執(zhí)行安全相關的轉(zhuǎn)換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發(fā)與共享的方法；

（4）設定兩個責任者使用的協(xié)議，利用算法和秘密信息取得安全服務。

3.2 數(shù)據(jù)備份方法

數(shù)據(jù)備份有多種實現(xiàn)形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續(xù)的物理磁盤塊上，備份系統(tǒng)能識別文件結(jié)構(gòu)，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結(jié)構(gòu)，從而提高備份的性能。因為在執(zhí)行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問題，可以使用備份文件快速地恢復數(shù)據(jù)。

（4）增量備份

為了解決完全備份的兩個缺點，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數(shù)據(jù)。因為在特定的時間段內(nèi)只有少量的文件發(fā)生改變，既節(jié)省空間，又縮短了備份的時間。因而這種備份方法比較經(jīng)濟，可以頻繁地進行。

（5）差異備份

差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復時涉及到備份記錄數(shù)量限制在兩個，以簡化恢復的復雜性。

3.3 防火墻技術

防火墻是在網(wǎng)絡之間通過執(zhí)行控制策略來保護網(wǎng)絡的系統(tǒng)，它包括硬件和軟件。設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權(quán)用戶使用。

防火墻是一個由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護目的不同，防火墻系統(tǒng)的配置與實現(xiàn)方式也有很大的區(qū)別。簡單的一個包過濾路由器或應用網(wǎng)關、應用服務器都可以作為防火墻使用。

3.4 入侵檢測技術

入侵檢測系統(tǒng)是對計算機和網(wǎng)絡資源的惡意使用行為進行識別的系統(tǒng)。它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部的非法授權(quán)行為，并采取相應的防護手段。它的基本功能包括：

（1）監(jiān)控、分析用戶和系統(tǒng)的行為。

（2）檢查系統(tǒng)的配置和漏洞。

（3）評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。

（4）對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡管理人員報警。

（5）對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。

4 校園網(wǎng)主動防御體系

校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的。在設計校園網(wǎng)網(wǎng)絡安全系統(tǒng)時，首先要了解學校的需要和目標，制定安全策略。因此網(wǎng)絡安全防范體系應該是動態(tài)變化的，必須不斷適應安全環(huán)境的變化，以保證網(wǎng)絡安全防范體系的良性發(fā)展，確保它的有效性和先進性。

安全管理貫穿整個安全防范體系，是安全防范體系的核心。網(wǎng)絡系統(tǒng)的安全性不只是技術方面的問題，一個有效的安全防范體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實，安全管理主要是對安全技術和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術是輔助安全管理的措施。當網(wǎng)絡出現(xiàn)攻擊行為或其它安全威脅時，無法進行實時的檢測、監(jiān)控、報告與預警。同時，也無法提供黑客攻擊的追蹤線索，即缺乏對網(wǎng)絡的可控性與可審查性。這就要求網(wǎng)絡管理員經(jīng)常通過網(wǎng)絡攻擊掃描器提前識別弱點區(qū)域，入侵系統(tǒng)監(jiān)控和響應安全事件，必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵。

結(jié)論

通過上述分析，我提出如下校園網(wǎng)絡安全防范策略：

（1）利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡直接通信；

（2）利用防火墻建立網(wǎng)絡的安全保護措施，保證系統(tǒng)安全；

（3）利用防火墻對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將訪問權(quán)限控制在最低限度內(nèi)；

（4）在Internet出口處，使用NetHawk監(jiān)控系統(tǒng)進行網(wǎng)絡活動實時監(jiān)控；

（5）在本校區(qū)部署RJ-iTop網(wǎng)絡隱患掃描系統(tǒng)，定期對整個網(wǎng)絡的安全狀況進行評估，及時彌補出現(xiàn)的漏洞；

（6）加強網(wǎng)絡安全管理，提高全體人員的網(wǎng)絡安全意識和防范技術。

[1] 馮登國.計算機通信網(wǎng)絡安全[M].北京：清華大學出版社，2001，3

[2] 蔡立軍.計算機網(wǎng)絡安全技術[M].北京：中國水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計算機網(wǎng)絡與信息安全[M].北京：希望電子出版社，2006.2：42-43

篇8

安全網(wǎng)絡中，計算機病毒通過訪問進行非法侵入。所以，對網(wǎng)絡的訪問進行控制，是有效保護網(wǎng)絡的安全以及資源不被非法利用的有效途徑。（1）對非法用戶的訪問進行嚴格防范。黑客以及間諜就是所謂非法用戶中帶有攻擊性的人群，他們對網(wǎng)絡進行攻擊，就是非法訪問。計算機中口令、密碼、用戶名等保護措施，當面臨攻擊性的非法用戶時，輕而易舉就能被破解，不能有效對信息實現(xiàn)保護。所以，我們必須要采用能夠有效進行保護的防護措施，在訪問中設定資源只有合法用戶才能訪問，非法用戶禁止的權(quán)限。（2）對合法用戶中含有的非授權(quán)訪問進行防范。在合法用戶中，也會有非授權(quán)訪問的情況，簡單說，就是合法用戶在訪問時，沒經(jīng)過許可情況下，對不該進入的資源進行訪問?？偟膩碚f，每個人的計算機系統(tǒng)里面都有一部分可以對外訪問的信息，另一部分是被保密的信息，屬于個人隱私。所以，面對計算機信息的龐大服務人群時，一定要嚴格監(jiān)控是否具有訪問權(quán)限。

2系統(tǒng)安全

網(wǎng)絡中，系統(tǒng)安全為防止網(wǎng)絡被外界的危害侵蝕，采用一系列防護措施對網(wǎng)絡進行保護，其中包括邏輯安全和物理安全。（1）物理安全。在上文中提到過物理安全，它是在計算機網(wǎng)絡中，對網(wǎng)絡安全設備進行物理保護，避免網(wǎng)絡系統(tǒng)被破壞、資源文件丟失等的重要防護措施。物理角度上來說，校園網(wǎng)絡因為涉及范圍廣且復雜，共用場所較多，不能像私人財產(chǎn)那樣進行保護，所以從一定程度上來說，校園網(wǎng)絡安全比較脆弱。校園網(wǎng)絡中，所有不能上鎖的地方，都有可能受到非法入侵、破壞。例如，電纜、光纜、遠程網(wǎng)、局域網(wǎng)、電話線等。一旦這些地方受到非法入侵，教學的正常進行就會受到影響。（2）邏輯安全。信息的保密性、可用性和完整性是構(gòu)成邏輯安全的主要部分。保密性是說，信息不可對沒有經(jīng)過授權(quán)許可的人泄露；完整性是指計算機系統(tǒng)中，可以做修改、刪除一些程序和數(shù)據(jù)部分；可用性是說合法用戶能夠?qū)τ嬎銠C資源以及數(shù)據(jù)進行操縱，能夠及時、安全、正確的被服務，反之，非法用戶沒有訪問權(quán)限。

3防范計算機病毒

篇9

關鍵詞：校園網(wǎng) 網(wǎng)絡安全 設計

以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡技術的應用日益普及和深入，伴隨著網(wǎng)絡技術的高速發(fā)展，各種各樣的安全問題也相繼出現(xiàn)，校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會影響和巨大的經(jīng)濟損失。

一、物理安全設計

為保證校園網(wǎng)信息網(wǎng)絡系統(tǒng)的物理安全，除在網(wǎng)絡規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面：對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調(diào)、消防控制線，以及通風、波導，門的關起等。對本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來的設備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進行傳輸。

二、網(wǎng)絡共享資源和數(shù)據(jù)信息安全設計

針對這個問題，我們決定使用VLAN技術和計算機網(wǎng)絡物理隔離來實現(xiàn)。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。

IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。從目前來看，根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員，被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡的升級。

但是，這種劃分模式將虛擬網(wǎng)絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了。

三、計算機病毒、黑客以及電子郵件應用風險防控設計

1.防病毒技術。病毒伴隨著計算機系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現(xiàn)在INTERNET上，并且借助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護服務器和網(wǎng)絡中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，需要應用基于網(wǎng)絡的防病毒技術。這些技術包括：基于網(wǎng)關的防病毒系統(tǒng)、基于服務器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如，我們準備在主機上統(tǒng)一安裝網(wǎng)絡防病毒產(chǎn)品套間，并在計算機信息網(wǎng)絡中設置防病毒中央控制臺，從控制臺給所有的網(wǎng)絡用戶進行防病毒軟件的分發(fā)，從而達到統(tǒng)一升級和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡的防病毒軟件后，不但可以做到主機防范病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統(tǒng)，從而保證計算機網(wǎng)絡信息安全。形成的整體拓撲圖。

2.防火墻技術。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡安全專用設備，專門用于TCP/IP體系的網(wǎng)絡層提供鑒別，訪問控制，安全審計，網(wǎng)絡地址轉(zhuǎn)換（NAT），IDS，VPN，應用等功能，保護內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡，解決內(nèi)部計算機信息網(wǎng)絡出入口的安全問題。

篇10

關鍵詞: 數(shù)字化校園 校園網(wǎng) 網(wǎng)絡安全

一、引言

逐漸豐富起來的應用和信息資源使校園網(wǎng)在學校教學、科研和管理等方面發(fā)揮的作用日益重要,廣大師生從事教學、科研、生活和管理工作時對校園網(wǎng)依賴性也越來越高。然而,外部黑客的侵襲,內(nèi)部人員的攻擊,不良、非法信息的侵入和病毒破壞都能造成網(wǎng)絡信息系統(tǒng)的癱瘓,嚴重威脅著網(wǎng)絡的正常使用。網(wǎng)絡的生命就在于網(wǎng)絡的安全性。那么,在現(xiàn)有的條件下如何加強校園網(wǎng)絡的防護,保證網(wǎng)絡的暢通、信息的完整,直接關系到學校的整體形象、關系到學校的整體利益、關系到學生的成長和成才。

二、校園網(wǎng)面臨的安全隱患

絕大部分高校校園網(wǎng)通過Cernet與Internet相連,在享受Internet資源的同時,也面臨著遭受來自Internet的外部攻擊風險。同時,校園網(wǎng)連接除了學校各院、系等教學、行政單位網(wǎng)絡外,還連接著校內(nèi)的學生機,由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解,因此校園網(wǎng)還存在著來自內(nèi)部的安全隱患。由此我們分析高校校園網(wǎng)絡安全主要面臨著以下四個方面的威脅。

1.程序安全漏洞

網(wǎng)絡設備、操作系統(tǒng)和應用軟件都可能存在安全漏洞。這些漏洞一旦被黑客和病毒利用,將給校園網(wǎng)帶來災難性的后果。并且,軟件和硬件配置不當同樣會造成相當嚴重的安全問題。

2.網(wǎng)絡入侵

包括黑客、破壞者和其他試圖非法訪問網(wǎng)絡資源的用戶。入侵可能來自校園網(wǎng)外部,也可能來自校園網(wǎng)內(nèi)部。攻擊的動機可能是惡意破壞,也可能是出于興趣和好奇心,但同樣都會給校園網(wǎng)的安全造成威脅。校園網(wǎng)的使用者主要是學生,部分學生對網(wǎng)絡很感興趣,而且具有一定的專業(yè)水平,攻擊校園網(wǎng)就成了他們表現(xiàn)自己所學知識的首選。

3.計算機病毒的威脅

校園網(wǎng)絡帶給大家方便的同時,也成了計算機病毒傳播最快捷的途徑。隨著網(wǎng)絡的快速發(fā)展,病毒編制者水平的提高和病毒與黑客軟件的結(jié)合,使網(wǎng)絡病毒頻繁爆發(fā),造成不可估計的損害,輕則是和用戶開個玩笑,重則破壞計算機軟件、硬件,導致機密數(shù)據(jù)外泄,還可能使得整個網(wǎng)絡處于癱瘓狀態(tài)。特別是現(xiàn)在校園網(wǎng)絡接入互聯(lián)網(wǎng)的帶寬不斷地提高,BT流行,傳輸文件越來越簡單,為用戶下載提供了方便,但下載的軟件和電子郵件有可能帶有病毒,這無疑也為網(wǎng)絡病毒的傳播大開方便之門。

4.用戶安全意識薄弱

校園網(wǎng)是以大量用戶為中心的系統(tǒng),一個合法的用戶在這個系統(tǒng)中可以執(zhí)行大多數(shù)操作。盡管網(wǎng)管人員通過訪問控制策略等手段可以限定用戶的某些對網(wǎng)絡產(chǎn)生破壞的行為,但更多的安全措施必須由用戶自己來完成。用戶安全意識薄弱,操作不規(guī)范都是威脅校園網(wǎng)安全的主要因素。比如U盤病毒在校內(nèi)大范圍地傳播。

三、校園網(wǎng)安全措施

網(wǎng)絡安全是一個涉及面較廣的問題,應該說任何單一的安全措施都不可能提供真正的全方位的網(wǎng)絡安全。[1]針對高校網(wǎng)絡具有較多的用戶群,訪問方式多樣,網(wǎng)絡訪問突發(fā)性較高等特點,一方面我們要加強網(wǎng)絡安全技術層面上的維護,另一方面也要加強校園網(wǎng)的使用管理,具體策略如下。

1.加強校園網(wǎng)安全管理

學校管理層應重視高校計算機網(wǎng)絡的安全管理,加大投入,完善校園網(wǎng)安全管理的各項規(guī)章制度,健全網(wǎng)絡安全監(jiān)督機制;并引進專業(yè)的網(wǎng)絡安全管理人才,對網(wǎng)絡管理人員進行專項培訓,加強安全意識和安全業(yè)務技能;重視校園網(wǎng)用戶安全教育,大力開展學生網(wǎng)絡道德教育,對大學生進行安全常識教育,如防病毒軟件的安裝、病毒庫的更新、來歷不明電子郵件的處理等,以抵御來自校園網(wǎng)外部的攻擊。

2.構(gòu)建全面的安全技術策略

從技術應用層面考慮,應通過合理有效的網(wǎng)絡管理技術來應對日趨復雜多變的網(wǎng)絡環(huán)境,通過各種技術手段來監(jiān)督、組織和控制網(wǎng)絡通信服務,以及信息的處理,確保校園網(wǎng)安全運行。

(1)訪問控制

訪問控制的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查等。當用戶進入網(wǎng)絡后,網(wǎng)絡系統(tǒng)就賦予這一用戶一定的訪問權(quán)限,用戶只能在其權(quán)限內(nèi)進行操作。賬號和密碼保護可以說是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統(tǒng),那么前面的防衛(wèi)措施幾乎就沒有作用,所以對服務器系統(tǒng)管理員的賬號和密碼進行管理是保證系統(tǒng)安全非常重要的措施。系統(tǒng)管理員密碼的位數(shù)一定要多,至少應該在8位以上,而且不要設置成容易猜測的密碼,如自己的名字、出生日期等。對于普通用戶,設置一定的賬號管理策略,如各種開機口令、登陸口令、共享權(quán)限口令等,并強制用戶每個月更改一次密碼。[2]對于一些不常用的賬戶要關閉,比如匿名登錄賬號。

(2)配備完整的系統(tǒng)的網(wǎng)絡安全設備

校園網(wǎng)絡雖然比較復雜,但從整體技術架構(gòu)來看,還是屬于局域網(wǎng)范疇,因此,在局域網(wǎng)和外部網(wǎng)絡接口處配置統(tǒng)一的網(wǎng)絡安全控制和監(jiān)管設備即可將絕大多數(shù)外部攻擊拒之門外。另外需要注意的是,校園網(wǎng)絡現(xiàn)在基本上都是高速網(wǎng)絡,因此配置安全設備既要考慮到功能,又必須考慮性能,將配置安全設備后對網(wǎng)絡性能的影響盡可能的降到最低。據(jù)此要求,校園網(wǎng)絡需要配備以下安全設備:高性能的硬件防火墻;旁路監(jiān)聽型的入侵檢測系統(tǒng);漏洞掃描系統(tǒng);安全審計系統(tǒng);旁路監(jiān)聽型不良內(nèi)容過濾系統(tǒng);覆蓋全校范圍的網(wǎng)絡版防病毒系統(tǒng);網(wǎng)絡故障檢測,以及網(wǎng)絡故障診斷設備。通過配置這些安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡的故障可以迅速定位并解決。

(3)安裝補丁程序和網(wǎng)絡殺毒軟件

任何操作系統(tǒng)都有漏洞,大部分校園網(wǎng)服務器使用的操作系統(tǒng)都有漏洞,尤其是Windows 2000、Windows 2003等微軟的操作系統(tǒng)。網(wǎng)絡系統(tǒng)管理員需要及時對系統(tǒng)進行升級,有時候也可以借助第三方安全軟件來對系統(tǒng)進行升級,如“360安全衛(wèi)士”就是很好的免費軟件。

電腦病毒的防范,根據(jù)校園網(wǎng)現(xiàn)狀,在充分考慮可行性的基礎上,可采用殺毒軟件網(wǎng)絡版的分級管理,多重防護體系作為校園網(wǎng)的防病毒管理架構(gòu)。充分使用殺毒軟件網(wǎng)絡版所擁有的“遠程安裝”、“智能升級”、“集中管理”等多種功能,為校園網(wǎng)絡建立起一個完善的防病毒體系。

四、結(jié)語

隨著網(wǎng)絡技術的迅猛發(fā)展,校園網(wǎng)安全問題也會變的異常嚴峻,本文歸納并提出了一些校園網(wǎng)絡信息安全防護的方法和策略。如今,校園網(wǎng)絡越來越多地擔當著學校教學、科研、管理和對外交流等許多重要的角色。尤其是現(xiàn)代高等院校,逐步實現(xiàn)網(wǎng)絡化和信息化辦公、網(wǎng)絡學術交流等是院校自身發(fā)展的必經(jīng)之路。

參考文獻: