導言：作為寫作愛好者，不可錯過為您精心挑選的10篇校園網(wǎng)絡安全，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

網(wǎng)絡的應用日益豐富,目前e-mail、ftp、WWW已經(jīng)非常普遍。近幾年發(fā)展起來的VOD點播、網(wǎng)上交友、網(wǎng)上游戲、網(wǎng)上求職、網(wǎng)上購物、網(wǎng)上醫(yī)療以及網(wǎng)上學習等也是如火如荼、雖然這些應用還處于發(fā)展階段,但是有很大的發(fā)展前景。目前校園網(wǎng)的建設也得到了快速的發(fā)展,全國絕大多數(shù)的高校建成了自己的校園網(wǎng)絡。

隨著網(wǎng)絡規(guī)模的急劇膨脹、網(wǎng)絡用戶的快速增長,關鍵性應用的不斷普及和深入,校園網(wǎng)已經(jīng)成為教育行業(yè)信息化的關鍵網(wǎng)絡基礎設施。伴隨著校園網(wǎng)絡的發(fā)展,“數(shù)字校園”概念逐漸被高等院校采納并實施?？梢哉f,高速、穩(wěn)定、安全、可管理是“數(shù)字校園”建設的基本要求和最終目標。下面就我個人在工作中的經(jīng)驗,談談對校園網(wǎng)安全的一些看法。

1 系統(tǒng)的安全

雖然操作系統(tǒng)的功能及安全性日趨完善,但從目前來看,最近流行于網(wǎng)絡上的“ARP”、“機器狗”等病毒都是利用系統(tǒng)的漏洞進行傳播的。各種系統(tǒng)都或多或少存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡安全的首要問題。作為一個網(wǎng)絡管理人員,及時發(fā)現(xiàn)并修補系統(tǒng)漏洞是主要任務。對于正在使用的軟件和服務,應該密切關注其官網(wǎng)的最新版本和安全信息,一旦發(fā)現(xiàn)有關的安全問題就立即對軟件進行必要的補丁和升級。

一般啟動操作系統(tǒng)時,會同時啟動數(shù)十個服務,但有些服務時沒有必要的,反而會成為黑客、病毒和木馬入侵的隱患。如允許遠程修改注冊表、提供IPC連接、默認共享等,應及時關閉這些服務。同時嚴格控制用戶向系統(tǒng)的訪問,可以利用身份驗證和用戶權限控制技術,兩者結合使用,給予不同的用戶不同的操作權限,實現(xiàn)信息安全的分級管理。

2 防火墻與入侵檢測系統(tǒng)的使用

應用服務器在校園網(wǎng)中的使用量很大,極易成為黑客攻擊的主要對象。因此們需要對所有的外部網(wǎng)絡接口隔離,用防火墻在內(nèi) 外網(wǎng)之間構建一道安全屏障。防火墻會對數(shù)據(jù)包進行過濾,阻止外部非法用戶的訪問和破壞。所以在防火墻配置上,我們要根據(jù)每個學校的需求設置正確的安全過濾規(guī)則,網(wǎng)絡管理人員應定期查看防火墻的記錄日志,及時發(fā)現(xiàn)攻擊行為和不良記錄并采取相應的對策。

入侵檢測系統(tǒng)相對防火墻,是一種積極主動的安全防護技術,能夠在系統(tǒng)受到危害前發(fā)出警報。即使一個系統(tǒng)中不存在某個漏洞,但是檢測系統(tǒng)仍然可以檢測到相應的攻擊事件并調(diào)整狀態(tài)做出警告。所以,入侵監(jiān)測系統(tǒng)能夠及時發(fā)現(xiàn)攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護網(wǎng)絡安全,將安全隱患降到最低。

3 個人用戶安全

大多數(shù)的校園網(wǎng)用戶安全意識淡薄,比如不使用殺毒軟件或不及時更新病毒庫;不及時更新系統(tǒng)漏洞;使用移動存儲時沒有事先殺毒;接受或運行來歷不明的文件或郵件;瀏覽黃色或非法網(wǎng)站等行為,這些行為都有可能導致電腦中毒。中毒后對方能在你的電腦上上傳、下載文件,偷取你的各種賬號信息及密碼。除了能泄露個人資料外,如今很多病毒能夠通過用戶單機對校園網(wǎng)進行攻擊,惡意的向被攻擊服務器發(fā)送信息,嚴重的占用校園網(wǎng)帶寬,致使網(wǎng)絡運行速度慢,嚴重的更處于一種癱瘓的狀態(tài)。

所以個人用戶的安全也不能小視,作為網(wǎng)絡管理人員,在推廣網(wǎng)絡應用的同時,也要加強上網(wǎng)行為安全的宣傳教育工作,并制定相應的制度,防范和制止各種違法行為。

4 結論

校園網(wǎng)安全體系是一個動態(tài)的、不斷發(fā)展的機制,當然不論我們怎么防范,由于系統(tǒng)和軟件本身的局限性和計算機網(wǎng)絡的開放性,我們都不可能徹底的消除所有網(wǎng)絡系統(tǒng)的安全隱患。但是作為一名網(wǎng)絡管理人員,我們需要提高工作熱情,加強責任心,頭腦中時刻具備安全意識,提高自己的專業(yè)知識和技能,為廣大師生提供更快、更安全的校園網(wǎng)環(huán)境。

參考文獻:

[1] 賈遂民.校園網(wǎng)絡安全分析與對策[J].卿城大學學報:自然科學版. 2005(2):83-86.

篇2

校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學校應在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應的防病毒手段，在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，使整個校園網(wǎng)絡有防病毒能力。

（四）口令加密和訪問控制

校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網(wǎng)絡的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內(nèi)進行操作，合理設置網(wǎng)絡共享文件，對各工作站的網(wǎng)絡軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志、交換機及路由器日志、網(wǎng)絡服務器日志、內(nèi)部用戶非法活動日志等，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故，有效地保護網(wǎng)絡安全。

（五）VLAN(虛擬局域網(wǎng))技術

VLAN(虛擬局域網(wǎng))技術，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關或防火墻等設備進行連接，網(wǎng)絡管理員借助VLAN技

術管理整個網(wǎng)絡，通過設置命令，對每個子網(wǎng)進行單獨管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡病毒、木馬程序，從而在整個網(wǎng)絡環(huán)境下，計算機能安全運行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難，對網(wǎng)絡系統(tǒng)軟件應該有專人管理，定期做好服務器系統(tǒng)、網(wǎng)絡通信系統(tǒng)、應用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案，對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡資源表和網(wǎng)絡設備檔案上。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段。

（七）入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡安全系統(tǒng)，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時，IDS能檢測和發(fā)現(xiàn)入侵行為并報警，通知網(wǎng)絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，大大提高了網(wǎng)絡的安全性。

（八）增強網(wǎng)絡安全意識、健全學校統(tǒng)一規(guī)范管理制度

根據(jù)學校實際情況，對師生進行網(wǎng)絡安全防范意識教育，使他們具備基本的網(wǎng)絡安全知識。制定相關的網(wǎng)絡安全管理制度（網(wǎng)絡操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等）。安排專人負責校園網(wǎng)絡的安全保護管理工作，對學校專業(yè)技術人員定期進行安全教育和培訓，提高工作人員的網(wǎng)絡安全的警惕性和自覺性，并安排專業(yè)技術人員定期對校園網(wǎng)進行維護。

三、結論

校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網(wǎng)絡系統(tǒng)，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡的安全體系，提高校園網(wǎng)絡的安全防范能力。

參考文獻：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡安全[M].清華大學出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡技術教程[M].清華大學出版社,2004.

3、劉清山.網(wǎng)絡安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社,2000.

5、張冬梅.網(wǎng)絡信息安全的威脅與防范[J].湖南財經(jīng)高等?？茖W校學報,2002(8).

篇3

中圖分類號：TP393.18

網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。社會信息化的高速發(fā)展提高了人們的生活水平和工作效率，但是，在高速發(fā)展的過程中也給人們的生活、工作帶了了巨大的安全隱患，高校校園網(wǎng)絡安全問題更是層出不窮。由于校園網(wǎng)承載著學校日常辦公和生活的各個方面，這些安全隱患的存在無疑是對學校工作的巨大威脅。校園網(wǎng)大體上可分為兩部分：內(nèi)網(wǎng)和外網(wǎng)。內(nèi)網(wǎng)是學校信息管理系統(tǒng)的核心，是學校日常工作正常進行的保障，外網(wǎng)是學校和外界接觸，進行互聯(lián)和信息交換的通道。這兩者的安全問題是學校工作有條不紊地進行的基礎保障。因此，深入探討校園網(wǎng)絡安全問題并提出相應的解決方案是十分必要的。

1 目前高校校園網(wǎng)安全現(xiàn)狀

影響網(wǎng)絡安全的因素有很多，但是由于校園網(wǎng)功能的特殊性，使得校園網(wǎng)的安全問題也有一定的特殊性。

（1）校園網(wǎng)運行方式。為了學生入網(wǎng)和計費的方便，學校一般會下分給學生入網(wǎng)賬號并分配IP，同時將不同的使用權限分配給相應的用戶。某些用戶為了訪問自己訪問權限以外的內(nèi)容或者為了轉(zhuǎn)嫁上網(wǎng)費用，用不正常的手段竊取別人的賬號和密碼，從而造成了校園網(wǎng)計費和管理上的混亂。

（2）病毒入侵。計算機病毒可以破壞計算機的軟件系統(tǒng)，更有甚者可以破壞整個校園網(wǎng)絡使其處于癱瘓狀態(tài)。計算機病毒是影響校園網(wǎng)絡安全的主要因素。計算機感染病毒以后，輕則系統(tǒng)運行速度明顯變慢，頻繁宕機，重則文件被刪除，硬盤分區(qū)表被破壞，甚至硬盤被非法格式化，還可能引發(fā)硬件的損壞。還有些病毒一旦感染主機，就會將系統(tǒng)中的防病毒程序關掉，讓防病毒防線整個崩潰。

（3）操作系統(tǒng)本身的缺陷。校園網(wǎng)絡用戶使用的操作系統(tǒng)相對較單一，目前校園網(wǎng)用戶使用最多的當屬windows。黑客可以利用系統(tǒng)本身的缺陷而制造病毒入侵校園網(wǎng)，這種入侵由于用戶操作系統(tǒng)的單一性將是大范圍高強度的。

（4）用戶瀏覽網(wǎng)頁。校園網(wǎng)用戶較多，用戶所瀏覽的網(wǎng)頁信息也是多種多樣。一些不健康信息的流入往往夾帶著不易察覺的病毒而導致個人信息的流出。

（5）內(nèi)部人員操作不規(guī)范。在日常教學活動中，用戶使用網(wǎng)絡設備不規(guī)范很容易導致網(wǎng)絡安全問題的發(fā)生。比如用戶在公共設備上使用U盤時不注意殺毒，在設備上隨意安裝軟件等。

（6）傳輸協(xié)議漏洞?，F(xiàn)在用的一些傳輸協(xié)議如TCP、UDP等在制定時本身有一些漏洞，一些攻擊者就會利用這些漏洞惡意請求資源而造成服務器超載，其結果是目標系統(tǒng)不能正常運行而超載。

2 校園網(wǎng)絡安全問題解決方案

網(wǎng)絡安全問題已經(jīng)不僅僅是一個網(wǎng)絡技術問題了，它還可能涉及到法律問題。完整的網(wǎng)絡安全解決方案應該是人、網(wǎng)絡技術、法律三者的協(xié)調(diào)統(tǒng)一。從常見的網(wǎng)絡安全問題著手，應對策略應包括硬件維護、軟件維護、管理員自身素質(zhì)的提升、用戶良好習慣的養(yǎng)成等方面。

（1）合理的網(wǎng)絡規(guī)劃。網(wǎng)絡規(guī)劃初期就應該考慮到網(wǎng)絡安全隱患的存在。網(wǎng)絡規(guī)模、網(wǎng)絡服務類型、速度、使用與維護、劃分節(jié)點等都要考慮到。在網(wǎng)絡總體設計上要考慮到盡量使用成熟的網(wǎng)絡交換技術。在布線上要使得各個大樓的布線標準統(tǒng)一，按照國際化標準和工業(yè)化標準規(guī)范化布線，防止將來維護出現(xiàn)困難。

（2）訪問控制。訪問控制策略是網(wǎng)絡安全防范最重要的策略之一。訪問控制第一應該是入網(wǎng)訪問控制，規(guī)定哪些用戶可以通過校園網(wǎng)訪問網(wǎng)絡資源，通過用戶登錄和密碼認證方式來控制入網(wǎng)人員將會大大提高網(wǎng)絡安全性能。第二是訪問權限控制，規(guī)定不同的用戶擁有不同的訪問intenet資源的權限，規(guī)定哪些用戶或用戶組可以訪問哪些目錄或子目錄。

（3）校園網(wǎng)分段。在分布式網(wǎng)絡環(huán)境下，應該以部門或機構來劃分VLAN。限制網(wǎng)絡上的廣播，將網(wǎng)絡劃分為多個VLAN可減少參與廣播風暴的設備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。

（4）防火墻技術。提到網(wǎng)絡安全就不得不提到防火墻。防火墻是一項協(xié)助確保信息安全的設備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件 。一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全 。防火墻是網(wǎng)絡中不可缺少的安全措施，加強防火墻的功能是保障校園網(wǎng)安全的重要措施。

（5）病毒防護系統(tǒng)。由于計算機網(wǎng)絡的特點，病毒傳播起來是非常迅速的。校園網(wǎng)可以看做是機遇服務器操作平臺的內(nèi)部局域網(wǎng)，如果與網(wǎng)絡互連則必須要考慮到網(wǎng)絡病毒入侵問題。病毒的猖獗促使我們必須在校園網(wǎng)絡服務器上安裝網(wǎng)絡版的殺毒軟件以從源頭上就開始保護計算機網(wǎng)絡。用戶端也應該安裝殺毒軟件來保護網(wǎng)絡，用戶在日常使用計算機時應養(yǎng)成良好的習慣，并掌握一些常用的殺毒技巧，一旦發(fā)現(xiàn)感染病毒，首先進行隔離，將其從聯(lián)網(wǎng)狀態(tài)中分離出來，然后殺毒。

（6）定期備份服務器。系統(tǒng)的定期備份可以解決一些不能預料的故障或用戶誤操作帶來的不可逆的問題。定期備份服務器可以保障網(wǎng)絡安全。

（7）加強學生的道德法制教育。學生的好奇心和上網(wǎng)的不規(guī)范往往給服務器帶來很多的問題，加強學生的道德法制教育，讓學生了解正確上網(wǎng)和綠色上網(wǎng)的規(guī)范，做遵紀守法的人。

3 校園網(wǎng)發(fā)展前景

展望未來，隨著計算機技術的不斷進步、信息化的不斷發(fā)展、網(wǎng)絡通信的不斷推廣、網(wǎng)絡技術與計算機技術的有機結合，這些將為我們打造一個信息高度共享以及信息互動辦事高效的現(xiàn)代化校園。我們可以利用物聯(lián)網(wǎng)技術實現(xiàn)學校資產(chǎn)的管理，利用無線傳輸和射頻技術實現(xiàn)師生在日常生活中高效便捷的交流。我們可以將云計算、大數(shù)據(jù)、計算機技術、信息自動采集等等一些前沿技術結合起來，塑造一個高效便捷的現(xiàn)代化校園。

4 結語

計算機網(wǎng)絡的發(fā)展無疑給我們的生活帶來了巨大的方便，校園網(wǎng)絡只有通過有效的設計和管理，保證其安全有效地運行才能實現(xiàn)它的真正價值。校園網(wǎng)絡的每一次進步都需要考慮到網(wǎng)絡的安全性，保障信息安全是校園網(wǎng)絡的主要工作之一。在升級校園網(wǎng)絡的同時一定要結合現(xiàn)有的高端技術，分析本校網(wǎng)絡特性，在結合實際的基礎上構造一個安全高效便捷的校園網(wǎng)絡。

參考文獻：

[1]張德慶.Internet網(wǎng)絡安全管理研究，2001.

[2]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策，2005.

[3]楊波.從信息安全角度看校園網(wǎng)發(fā)展現(xiàn)狀，2007.

[4]陳新建.校園網(wǎng)的安全現(xiàn)狀和改進對策，2007.

[5]王越，羅森林.信息系統(tǒng)與安全對抗理論[M].北京：北京理工大學出版社，2006.

篇4

隨著網(wǎng)絡技術的不斷發(fā)展和Internet的日益普及，許多學校都建立了校園網(wǎng)絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享起到了無法估量的作用。但一些教師和學生在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導致了校園計算機系統(tǒng)的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，教師和學生都應加強對校園網(wǎng)絡的安全重視。網(wǎng)絡的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡的安全，就成了校園網(wǎng)絡管理人員的一個重要課題。

一、校園網(wǎng)絡現(xiàn)狀

隨著電腦的普及，計算機技術并沒有像早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在學校的學生們就更不用說了。幾乎每所學校都有其自身的網(wǎng)絡體系，無論是無線網(wǎng)絡還是有線網(wǎng)絡。有了網(wǎng)絡的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動態(tài)模式，這樣才能更好地激發(fā)學生的學習興趣。在大家看來每所學校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網(wǎng)絡是否暢通，上網(wǎng)是否安全，網(wǎng)絡是否可以抵御黑客攻擊，上網(wǎng)時我們的賬號是否存在風險等問題。網(wǎng)絡安全主要是網(wǎng)絡信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡運行安全和內(nèi)部網(wǎng)絡安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機和服務器的運行安全，主要措施有反病毒、入侵檢測、審計分析等技術。

（一）反病毒技術

計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染給其它程序，并進行自我復制，特別是在網(wǎng)絡環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。

（二）入侵檢測

入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡或計算C系統(tǒng)中的若干關鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。在校園網(wǎng)中服務器為用戶提供著各種的服務，但是服務提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險。因此，從安全角度考慮，應將不必要的服務關閉，只向公眾提供他們所需的基本的服務。

（三）審計監(jiān)控技術

審計監(jiān)控不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、類聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡運行安全

網(wǎng)絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施，保證網(wǎng)絡受到攻擊后能盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據(jù)備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案?！盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中，只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放，具有速度快和調(diào)用方便的特點?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝。其特點是便于保管，用以彌補“熱備份”的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡安全檢測，以增強機構內(nèi)部網(wǎng)的安全性。

（一）訪問控制

在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術是目前保護內(nèi)部網(wǎng)安全最主要，同時也是最有效和最經(jīng)濟的措施之一。防火墻技術可以決定哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。應該強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才能實現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡的一個網(wǎng)段與另一個網(wǎng)段，防止一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。

篇5

中圖分類號：TP393 文獻標識碼：A

1 惡意代碼概述

1.1 惡意代碼的定義及起源

惡意代碼又可叫做Malware，現(xiàn)在對惡意代碼的定義有很多種，本人對惡意代碼的定義是：凡是阻礙計算機正常運行或者是破壞計算機數(shù)據(jù)及硬件的指令或程序統(tǒng)稱為惡意代碼。

第一個蠕蟲惡意代碼是在1988年美國康奈爾大學，釋放該惡意代碼的人叫做Robert Morris，在該惡意代碼釋放的短短幾小時內(nèi)，當時整個Internet聯(lián)網(wǎng)計算機因感染惡意代碼而癱瘓的計算機多達6000余臺，占當時整個聯(lián)網(wǎng)計算機總數(shù)10個百分點，直接造成1000多萬美元的經(jīng)濟損失。而到二十世紀末，CIH病毒及其變種爆發(fā)后對Internet聯(lián)網(wǎng)計算機造成的危害更加嚴重，據(jù)不完全統(tǒng)計，僅1999年4月爆發(fā)的CIH病毒變種就造成了超過十億美元的損失，有超過6000萬臺計算機被破壞。截至2011年上半年安天實驗室對互聯(lián)網(wǎng)惡意代碼疫情統(tǒng)計表明，惡意代碼的數(shù)量在不斷增長，僅2011年上半年該實驗室就捕獲489萬多個惡意代碼樣本，同比增長了10個百分點。

1.2 惡意代碼的類型及特點

根據(jù)惡意代碼的運行特點，可以將惡意代碼分為獨立運行和需要宿主的兩大類。獨立運行的惡意代碼是指操作系統(tǒng)能夠調(diào)度和運行的完整程序；而需要宿主的是指在脫離了特定的程序或環(huán)境下不能獨立存在的程序片斷。惡意代碼具有傳染性、隱蔽性、潛伏性、多態(tài)性和破壞性等特點。為擴大感染范圍，惡意代碼通過各種辦法從已感染的計算機傳播擴散到未感染的計算機，一旦進入未感染的計算機后，潛伏在計算機內(nèi)部，當用戶執(zhí)行惡意代碼程序后，就會迅速搜索目標感染繁殖，這就是惡意代碼的傳染性；另外惡意代碼由于其非法性，為了不被在感染前查殺刪除，惡意代碼經(jīng)常通過各種手段躲在合法程序中隱蔽起來，等用戶運行后，迅速奪取系統(tǒng)控制權并大量感染其他程序，而用戶都不會感到異常，這就是惡意代碼的隱蔽性和潛伏性；惡意代碼每次感染后都試圖改變其形態(tài)，惡意代碼的主體相同，但是其改變了表達方式，通過不同的字節(jié)序列來防止被掃描特征字符串查出，這就是惡意代碼的多態(tài)性；另外有些惡意代碼由于設計者的目的就是為了徹底破壞系統(tǒng)數(shù)據(jù)，這些惡意代碼一旦被執(zhí)行就會毀滅系統(tǒng)數(shù)據(jù)，使系統(tǒng)癱瘓，這就是惡意代碼的破壞性。

2 現(xiàn)有惡意代碼檢測方法及評價

至今為止，對于惡意代碼的檢測還沒有一個能檢測所有惡意代碼的方案，究其檢測的難易程度來說，針對應用系統(tǒng)的惡意代碼檢測相對容易一些，而內(nèi)核級的惡意代碼檢測就困難復雜很多。目前，對惡意代碼攻擊防范的研究主要包括誤用檢測方法、權限控制方法、完整性控制方法。通過對達到計算機的代碼掃描匹配惡意代碼特征庫來檢測惡意代碼并對符合惡意代碼特征庫特征的代碼進行阻斷，防范惡意代碼入侵稱之為誤用檢測法；因為惡意代碼本身只是一段可執(zhí)行的代碼，只有執(zhí)行后取得系統(tǒng)權限再進行破壞的，所以我們可以通過控制系統(tǒng)權限，讓惡意代碼的各種請求不被許可，使得惡意代碼喪失破壞力，這就是權限控制法；加入惡意代碼已經(jīng)感染破壞了某個文件，我們可以通過破壞該文件的完整性，來阻斷惡意代碼對整個系統(tǒng)資源的感染破壞，保護其它未被感染破壞的系統(tǒng)重要資源的完整性，這就是完整性控制方法。

3 校園網(wǎng)惡意代碼防范思考及實踐

盡管人們對惡意代碼作了大量研究并采取了各種方法措施，但問題遠遠沒有解決，而且新的破壞性更強的惡意代碼不斷出現(xiàn)，校園網(wǎng)信息安全面臨這越來越大的威脅。因此，研究校園網(wǎng)絡如何應對惡意代碼攻擊具有重要的現(xiàn)實意義。從上述分析看出，攻擊和防范技術的競爭不會停止，而在競爭中，防范技術相對來說總是被動的，想一勞永逸的解決惡意代碼問題是不實際的，只有不停的進步，不停的創(chuàng)新，才能更好的防范惡意代碼攻擊。校園網(wǎng)由于具有開放自由、控制自主、投入較少等特點，導致校園網(wǎng)絡安全更為嚴重，而由于每個校園網(wǎng)具體情況不同，難以制定一個統(tǒng)一的解決方法，但是可以借鑒兄弟院校的網(wǎng)絡安全防范經(jīng)驗，對自身校園網(wǎng)不同點進行必要的調(diào)整。基于上述考慮，中國教育和科研網(wǎng)絡應急響應組和《中國教育網(wǎng)絡》雜志社共同組織成立了一個名為“校園網(wǎng)運行于安全管理論壇”，各高等院校校園網(wǎng)運維技術人員參加，以技術交流和信息共享促進校園網(wǎng)安全管理為宗旨，共同討論校園網(wǎng)常見的安全問題?，F(xiàn)該論壇已經(jīng)成為高等院校校園網(wǎng)絡安全技術交流的一個重要的平臺。

4 結束語

隨著網(wǎng)絡技術的發(fā)展，計算機網(wǎng)絡安全威脅越來越大，構成威脅的因素很多，造成的損失也越來越大，現(xiàn)在網(wǎng)絡安全已經(jīng)越來越受到重視。因此，構建一個全面的校園網(wǎng)絡安全防御體系有著非常重要的意義。

篇6

現(xiàn)在的校園網(wǎng)絡僅僅實現(xiàn)上網(wǎng)查資料的功能已經(jīng)遠遠不能滿足廣大師生的需求，隨時隨地能上網(wǎng)，穩(wěn)定快速安全的網(wǎng)絡才是大家需要的網(wǎng)絡。然而校園的面積大，辦公區(qū)分散，用網(wǎng)人員復雜并且網(wǎng)絡安全意識薄弱，沒有明確的用網(wǎng)管理體制導致校園網(wǎng)絡安全隱患隨處可見。

下面結合我校的實際情況來探討一下關于校園網(wǎng)安全的常見解決方案。

一、服務器

在整個校園網(wǎng)絡結構中，服務器有著非常重要的地位，它是整個網(wǎng)絡運行的前提，也是整個網(wǎng)絡數(shù)據(jù)存儲的核心。因此核心服務器安全設置對這個校園網(wǎng)絡的安全起著重要的作用。所以在實際的應用中我們對于服務器的安全設置是必須要做的，下面我們以windows server 2003為例來介紹如何設置讓服務器更安全。

服務器的安全很大程度上取決于操作系統(tǒng)的安全， Windows server 2003作為服務器的操作系統(tǒng)，它具有高性能，高可靠性和高安全性的特點，決定其便于部署、管理和使用。Windows server 2003系統(tǒng)安全包括系統(tǒng)服務安全、文件權限安全、用戶賬戶安全等方面。

1）關閉不必要的服務

通常情況下，為了方便遠程管理服務器，windows server 2003中會開啟相關的如中斷服務、IIS和RAS等服務，這就在便于遠程管理的同時，給系統(tǒng)安全留下的漏洞，所以應該盡量關閉這些不必要的服務。

有些惡意的程序也可能以服務的方式在系統(tǒng)中運行，所以還要定期對系統(tǒng)開啟的服務進行檢查。需要強調(diào)的是，系統(tǒng)的“文件和打印機共享功能”也要關閉。

2）身份驗證和訪問控制

身份驗證時系統(tǒng)安全的基礎，應該對嘗試登陸訪問網(wǎng)絡資源的任何用戶進行身份確認，Windows server 2003家族身份驗證啟用對所有網(wǎng)絡資源的單一登陸，允許用戶使用一個密碼登陸到域，然后向域中的任何計算機驗證身份。

訪問控制是批準用戶、組合計算機訪問網(wǎng)絡上的對象的過程。構成訪問控制的主要概念是權限、用戶權利和對象審查。在這里我們可以為每一個登陸到域的用戶設置讀、寫和完全控制權限。

3）賬戶策略

對于校園網(wǎng)內(nèi)的用戶賬戶的保護主要使用密碼保護機制。為了避免因為用戶密碼被破譯而導致系統(tǒng)被入侵，可采取提高密碼的破解難度、啟用賬戶鎖定策略、限制用戶登陸等措施，所有安全策略都是基于計算機配置的策略，用戶策略的定義在計算機上，卻影響用戶賬戶與計算機的交互。

4）用戶權限分配

對用戶賬戶權限的分配，是限制用戶訪問特定的網(wǎng)絡資源的有效方法，對于不同的資源可以特定的用戶訪問，訪問的權限是只讀、讀寫或者是完全控制，這個在“Active Directory用戶和計算機”管理工具或者設置組策略來實現(xiàn)這個功能

5）防病毒和防火墻的配置

殺毒軟件和防火墻的更新工作要及時，防火墻軟件根據(jù)自己不同的使用情況使用不同的網(wǎng)絡訪問策略，對日志的審查要及時有效的利用日志解決網(wǎng)絡或者病毒問題。

二、有線網(wǎng)絡

有線網(wǎng)絡是我們校園網(wǎng)內(nèi)網(wǎng)的重要組成部分，承載了大部分數(shù)據(jù)交換。有線網(wǎng)絡的存在常見的問題如下：

1、 資產(chǎn)管理失控。由于學校的管理人員有限，計算機數(shù)量眾多而且分布在不同的教學區(qū)，這樣就帶來很多管理的難題如網(wǎng)絡終端用戶硬件配備肆意組裝拆卸，操作系統(tǒng)隨意更換，各類應用軟件胡亂安裝卸載等。面對這種情況我們唯一能做的就是統(tǒng)一發(fā)放計算機，統(tǒng)計詳細的配置信息，安排專門的人定期檢查計算機的配置是否被更改。安裝好常用的應用軟件，殺毒軟件和防火墻，定期由服務器為各個終端分發(fā)補丁，不給黑客和病毒可趁之機。

2、 網(wǎng)絡資源亂用。IP地址濫用，流量濫用。IP地址濫用，我們只能在做一臺DHCP服務器為網(wǎng)絡的所有的終端自動獲取IP地址，從而防止IP泛濫。同一臺DHCP服務器給多個VLAN分配IP的問題我們可以建立幾個作用域，通過三層交換機做DHCP中繼來實現(xiàn)。流量濫用問題我們最簡單的方法就是在路由器上做限速，這樣防止帶寬被嚴重占用導致網(wǎng)絡擁堵。

3、 病毒入侵。由于補丁打的不及時、網(wǎng)絡濫用、非法接入等因素導致網(wǎng)絡內(nèi)病毒泛濫、網(wǎng)絡堵塞、數(shù)據(jù)丟失損壞，而且無法找到災難的源頭以迅速采取隔離等處理措施，從而為正常的上網(wǎng)帶來災難性的持續(xù)的影響。對于這種常見的問題我們的解決方案是把問題的范圍縮小，然后在小范圍內(nèi)逐個排查，因此就非常有必要把不同的工作區(qū)內(nèi)設備整合到一個局域網(wǎng)內(nèi)，這個技術就是我們常用的VLAN，支持VLAN的硬件設備我們可以用三層交換機來實現(xiàn)，把不同的工作區(qū)劃分不同的VLAN。這樣做有助于我們正確的定位問題的區(qū)域，從而進行排并提高工作效率。另外一個好處在于有效的抑制了廣播風暴，提高網(wǎng)絡的利用效率。

4、 三、無線網(wǎng)絡

隨著筆記本的普及，無線網(wǎng)絡在校園網(wǎng)內(nèi)起著很大作用，然而無線網(wǎng)絡的安全與否會影響整個校園網(wǎng)安全。

學校無線網(wǎng)絡的部署是以TP-LINK無線路由器為基礎，下面我們以TP-LINK為例探討無線網(wǎng)絡安全的問題：

1、 我們要做的就是修改無線路由器默認管理員密碼，雖然這個操作是最基本的，但還是有很多人忽略，無論是校園網(wǎng)絡和個人網(wǎng)絡都需要注意這一點。修改方法很簡單，登陸路由器的IP即可。

2、 修改路由器的默認管理IP。雖然各個廠商的路由器默認已經(jīng)設置好IP地址和DHCP網(wǎng)段，但是避免被別人惡意破解還是把它改成符合我們應用的IP，不同的VLAN中無線路由器的IP設置成本VLAN的網(wǎng)段的IP即可。

3、 使用靜態(tài)IP地址。物理地址過濾的方法能夠不分配IP給未經(jīng)授權用戶，但如果有客戶端使用MAC地址進行欺騙的方法，也就是使局域網(wǎng)中已經(jīng)授權用戶的MAC地址，則這樣的過濾方法就沒用了，這是可以使用客戶端設置靜態(tài)IP地址的的方法，也就是關閉無線路由器的DHCP服務。

無線網(wǎng)絡安全不是技術問題，而是管理問題，當前無線網(wǎng)絡的很多系統(tǒng)都有安全機制，只要我們利用好，無線網(wǎng)的安全問題就會迎刃而解。

四、結論

校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網(wǎng)絡系統(tǒng)，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡的安全體系，從而保證整個校園網(wǎng)絡的安全。

參考文獻：

1、戴有煒 windows server 2003網(wǎng)絡專業(yè)指南 清華大學出版社 2004 年6月

篇7

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網(wǎng)必須在網(wǎng)絡系統(tǒng)的各個環(huán)節(jié)嚴加防范，才能控制或阻止病毒的侵害。考慮學校教學用機數(shù)量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網(wǎng)傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內(nèi)部網(wǎng)絡上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、江民、金山等，網(wǎng)絡上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網(wǎng)絡隔離技術

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機可以使用個人防火墻，網(wǎng)上這樣的免費或限時軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡隔離技術在內(nèi)、外部主機系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機的操作系統(tǒng)對外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡之間形成了物理隔離帶，消除了基于網(wǎng)絡協(xié)議的攻擊。這種技術的應用，必將使校園網(wǎng)絡管理高效化、簡單化，安全級別也更高。

三、VLAN技術

隨著校園網(wǎng)絡規(guī)模擴大，網(wǎng)內(nèi)機器超過200臺時網(wǎng)絡管理將極為困難。在實際應用時，采取VLAN技術把校園網(wǎng)劃分為行政辦公、教師、學生等子網(wǎng)。劃分可以跨過物理設備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡風暴在必要范圍內(nèi)，并增強網(wǎng)絡的安全性，利于管理。根據(jù)校園網(wǎng)管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據(jù)MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數(shù)量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網(wǎng)時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用，把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優(yōu)點，用戶計算機可以不修改網(wǎng)絡配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡層，網(wǎng)絡工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡設備也不一定具備VLAN所有劃分方式。因此，學校要根據(jù)自己的要求和價格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡設備，再根據(jù)實際設備選擇適合的VLAN劃分方式配置網(wǎng)絡。

四、云防護技術

篇8

校園網(wǎng)是指利用網(wǎng)絡設備、通信介質(zhì)和適宜的組網(wǎng)技術與協(xié)議以及各類系統(tǒng)管理軟件和應用軟件，將校園內(nèi)計算機和各種終端設備有機地集成在一起，用于教學、科研、管理、資源共享等方面的局域網(wǎng)絡系統(tǒng)。校園網(wǎng)絡安全是指學校網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運行。隨著“校校通”工程的深入實施，學校教育信息化、校園網(wǎng)絡化已經(jīng)成為網(wǎng)絡時代的教育的發(fā)展方向。目前校園網(wǎng)絡內(nèi)存在很大的安全隱患，建立一套切實可行的校園網(wǎng)絡防范措施，已成為校園網(wǎng)絡建設中面臨和亟待解決的重要問題。

一、校園網(wǎng)絡安全現(xiàn)狀分析

（一）網(wǎng)絡安全設施配備不夠

學校在建立自己的內(nèi)網(wǎng)時，由于意識薄弱與經(jīng)費投入不足等方面的原因，比如將原有的單機互聯(lián)，使用原有的網(wǎng)絡設施；校園網(wǎng)絡的各種硬件設備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導致數(shù)據(jù)的丟失、泄露或網(wǎng)絡中斷；機房設計不合理，溫度、濕度不適應以及無抗靜電、抗磁干擾等設施；網(wǎng)絡安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡安全設施配備等等；以上情況都使得校園網(wǎng)絡基本處在一個開放的狀態(tài)，沒有有效的安全預警手段和防范措施。

（二）學校校園網(wǎng)絡上的用戶網(wǎng)絡信息安全意識淡薄、管理制度不完善

學校師生對網(wǎng)絡安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質(zhì)隨意使用；學校網(wǎng)絡管理人員缺乏必要的專業(yè)知識，不能安全地配置和管理網(wǎng)絡；學校機房的登記管理制度不健全，允許不應進入的人進入機房；學校師生上網(wǎng)身份無法唯一識別，不能有效的規(guī)范和約束師生的非法訪問行為；缺乏統(tǒng)一的網(wǎng)絡出口、網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控、日志系統(tǒng)，使學校的網(wǎng)絡管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計算機安裝還原卡或使用還原軟件，關機后啟動即恢復到初始狀態(tài)，這些導致校園網(wǎng)形成很大的安全漏洞。

（三）學校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡中所使用的網(wǎng)管設備和軟件絕大多數(shù)是舶來品，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設置時可能存在各種不合理操作，在網(wǎng)絡上運行時，這些網(wǎng)絡系統(tǒng)和接口都相應增加網(wǎng)絡的不安全因素。

（四）計算機病毒、網(wǎng)絡病毒泛濫，造成網(wǎng)絡性能急劇下降，重要數(shù)據(jù)丟失

網(wǎng)絡病毒是指病毒突破網(wǎng)絡的安全性，傳播到網(wǎng)絡服務器，進而在整個網(wǎng)絡上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復制性、破壞性等特點。它的破壞性是巨大的，一旦學校網(wǎng)絡中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡，只要網(wǎng)絡中有幾臺電腦中毒，就會堵塞出口，導致網(wǎng)絡的“拒絕服務”，嚴重時會造成網(wǎng)絡癱瘓?！秴⒖枷ⅰ?989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡病毒的爆發(fā)中可以看出，網(wǎng)絡病毒的防范任務越來越嚴峻。

綜上所述，學校校園網(wǎng)絡的安全形勢非常嚴峻，在這種情況下，學校如何能夠保證網(wǎng)絡的安全運行，同時又能提供豐富的網(wǎng)絡資源，保障辦公、教學以及學生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡面臨的安全問題，文章提出以下校園網(wǎng)絡安全防范措施。

二、校園網(wǎng)絡的主要防范措施

（一）服務器

學校在建校園網(wǎng)絡之時配置一臺服務器，它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介，在服務器上執(zhí)行服務的軟件應用程序，對服務器進行一些必要的設置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務器，服務器會檢查用戶的訪問請求是否符合規(guī)定，才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣，既保護內(nèi)網(wǎng)資源不被外部非授權用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，外部網(wǎng)絡只能看到該服務器而無法獲知內(nèi)部網(wǎng)絡上的任何計算機信息，整個校園網(wǎng)絡只有服務器是可見的，從而大大增強了校園網(wǎng)絡的安全性。

（二）防火墻

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡安全防范產(chǎn)品之一。它是軟件或硬件設備的組合，通常被用來進行網(wǎng)絡安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理，在網(wǎng)絡間建立一個安全網(wǎng)關，對網(wǎng)絡數(shù)據(jù)進行過濾（允許/拒絕），控制數(shù)據(jù)包的進出，封堵某些禁止行為，提供網(wǎng)絡使用狀況（網(wǎng)絡數(shù)據(jù)的實時/事后分析及處理，網(wǎng)絡數(shù)據(jù)流動情況的監(jiān)控分析，通過日志分析，獲取時間、地址、協(xié)議和流量，網(wǎng)絡是否受到監(jiān)視和攻擊），對網(wǎng)絡攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統(tǒng)的破壞，可以最大限度地保證校園網(wǎng)應用服務系統(tǒng)的安全工作。

（三）防治網(wǎng)絡病毒

校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學校應在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應的防病毒手段，在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，使整個校園網(wǎng)絡有防病毒能力。

（四）口令加密和訪問控制

校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網(wǎng)絡的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內(nèi)進行操作，合理設置網(wǎng)絡共享文件，對各工作站的網(wǎng)絡軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志、交換機及路由器日志、網(wǎng)絡服務器日志、內(nèi)部用戶非法活動日志等，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故，有效地保護網(wǎng)絡安全。

（五）VLAN(虛擬局域網(wǎng))技術

VLAN(虛擬局域網(wǎng))技術，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關或防火墻等設備進行連接，網(wǎng)絡管理員借助VLAN技術管理整個網(wǎng)絡，通過設置命令，對每個子網(wǎng)進行單獨管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡病毒、木馬程序，從而在整個網(wǎng)絡環(huán)境下，計算機能安全運行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難，對網(wǎng)絡系統(tǒng)軟件應該有專人管理，定期做好服務器系統(tǒng)、網(wǎng)絡通信系統(tǒng)、應用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案，對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡資源表和網(wǎng)絡設備檔案上。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段。

（七）入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡安全系統(tǒng)，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時，IDS能檢測和發(fā)現(xiàn)入侵行為并報警，通知網(wǎng)絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，大大提高了網(wǎng)絡的安全性。

（八）增強網(wǎng)絡安全意識、健全學校統(tǒng)一規(guī)范管理制度

根據(jù)學校實際情況，對師生進行網(wǎng)絡安全防范意識教育，使他們具備基本的網(wǎng)絡安全知識。制定相關的網(wǎng)絡安全管理制度（網(wǎng)絡操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等）。安排專人負責校園網(wǎng)絡的安全保護管理工作，對學校專業(yè)技術人員定期進行安全教育和培訓，提高工作人員的網(wǎng)絡安全的警惕性和自覺性，并安排專業(yè)技術人員定期對校園網(wǎng)進行維護。

三、結論

校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網(wǎng)絡系統(tǒng)，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡的安全體系，提高校園網(wǎng)絡的安全防范能力。

參考文獻：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡安全[M].清華大學出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡技術教程[M].清華大學出版社,2004.

3、劉清山.網(wǎng)絡安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社,2000.

5、張冬梅.網(wǎng)絡信息安全的威脅與防范[J].湖南財經(jīng)高等?？茖W校學報,2002(8).

篇9

中圖分類號：TN94 文獻標識碼：A DOI：10.3969/j.issn.1672-0407.2012.02.003

文章編號：1672-0407(2012）02-008-03 收稿日期：2011-11-9

隨著科學技術的進步，尤其是計算機網(wǎng)絡的迅猛發(fā)展，人類已經(jīng)逐漸步入信息時代 ，因而導致了人們的生活方式、思維方式，工作方式，以及教育方式將隨之而改變。特別是在教育領域，網(wǎng)絡、多媒體與教育的結合，將會徹底改變傳統(tǒng)的教育思想、觀念、內(nèi)容、方法，改變傳統(tǒng)的人才培養(yǎng)模式。信息化已經(jīng)成為當今世界經(jīng)濟和社會發(fā)展的大趨勢，以多媒體和網(wǎng)絡技術為核心的信息技術已成為拓展人類能力的創(chuàng)造性工具。教育信息化是教育改革與發(fā)展的必然。教育信息化是社會信息化的一個重要組成部分，是教育現(xiàn)代化的一個重要標志，國家教育部將信息技術課程列入中小學的必修課程，隨著教育信息化的深入，信息技術課程將會越來越重要。

在這樣的一個前提下，各中小學紛紛組建自己的校園網(wǎng)。校園網(wǎng)的建設，不僅使得信息技術這一門課程在具體的教育教學上得到了有力的硬件保證，更重要的是使得校園網(wǎng)內(nèi)部的資源得到了最大的共享，方便了各科目的教育教學。同時，基于校園網(wǎng)絡這個平臺所建設的管理信息系統(tǒng)和辦公自動化系統(tǒng)等各種應用系統(tǒng)，極大地提高了學校的教育教學管理效率。

但是，在校園網(wǎng)的使用和建設中，我們享受它給我們帶來的極大便利的同時也面臨著很多嚴重的網(wǎng)絡安全問題。這些問題，有的是看得到的甚至已經(jīng)在使用的過程中彰顯出來了的，有的是我們短時間內(nèi)看不到的，但是卻可以預見的。

總的來說，引起校園網(wǎng)絡安全問題主要有以下幾個因素：自然因素，人為因素，硬件設備因素和系統(tǒng)及網(wǎng)絡服務因素。

一、自然因素

說到自然因素，大家都可以想得到的，那就是如水災、火災、雷擊等等自然災害。這些自然因素可以對我們的校園網(wǎng)設備和系統(tǒng)造成各種各樣可大可小的損失。譬如我們的一個機房就曾因為遭受水災損壞了幾臺電腦的主機，原因就是天花板出現(xiàn)了漏水的情況，導致水滴進入主機。所以在校園網(wǎng)的建設過程中一定要保證不能出現(xiàn)類似情況，否則損失的可能是幾臺電腦，也可能是整個機房。再者就是雷擊，在雷雨天里，盡量切斷相關網(wǎng)絡硬件和系統(tǒng)設備的電源，盡量不使用電腦，以免造成不必要的損失。

以上所說的是影響我們網(wǎng)絡安全的一些自然災害，還有一類就是環(huán)境干擾，主要是跟電的使用有關,因為突然斷電而導致整個網(wǎng)絡服務的中斷，造成數(shù)據(jù)丟失或存儲設備的損壞;因為電壓的不穩(wěn)定而造成電腦硬件設備的損壞，這樣的例子不勝枚舉。帶來的損失也讓我們心痛不已。所以我們校園網(wǎng)的建設要盡量使用獨立電源并能夠有穩(wěn)壓措施。在經(jīng)濟允許的條件下購買相應功率的UPS電源，要給校園網(wǎng)的中心大腦――服務器配備一臺UPS，以保證校園資源平臺的正常運行。去年的時候，我校教學樓施工，結果施工單位使用了大功率的電力工具，導致教學樓的電壓極不穩(wěn)定，忽高忽低，進而造成幾個辦公室的電腦陷入癱瘓，幸而發(fā)現(xiàn)及時，沒有造成過大的損失。由此可見，獨立電源和穩(wěn)定的電壓對我們校園網(wǎng)絡的建設是何等的重要。

無論是自然災害還是環(huán)境干擾都會給我們的校園網(wǎng)絡帶來一定程度上的損失，甚至是毀滅性的損失。有的發(fā)生概率比較小，但我們不能忽視它，有的發(fā)生的概率比較大，那我們更應該給予相當程度的重視。這些因素都不是不可防范的，只要我們的措施到位，那么就可以避免安全事故的發(fā)生。如裝置避雷針防止雷擊，如裝置穩(wěn)壓設備防止電壓波動。

二、人為因素

說到人為因素，可能每一位網(wǎng)絡管理人員都會苦笑。因為人為因素實在是校園網(wǎng)絡安全面臨的最大問題。因為人是使用者，使用者的素質(zhì)和水平直接影響校園網(wǎng)絡安全。

我校校園網(wǎng)絡建設初期，人為因素主要表現(xiàn)在機房。由于使用者是學生，所以管理起來比較容易。只要跟同學們強調(diào)需要注意的各種事項，他們還是能夠比較規(guī)范地去使用電腦。即使有個別的同學出于對電腦的好奇與探求而造成一些電腦故障也比較容易解決。

近兩年來，我校在信息技術方面加大了投資，不斷對校園網(wǎng)進行升級。不僅每個辦公室配置了一定數(shù)量的電腦，還給每個教室配置了多媒體一體化設備。使得我們的校園網(wǎng)日趨成熟、完善。在硬件得到保證的前提下，一些以前未曾出現(xiàn)過的網(wǎng)絡安全隱患也紛紛彰顯出來了。具體表現(xiàn)在這樣幾個方面：

一個是各辦公室的電腦使用不當造成電腦頻繁出現(xiàn)故障。因為老師們使用電腦水平的參差不齊，所以出現(xiàn)的問題千奇百怪。給管理者的維護和維修工作帶來了極大的不便。今天這個反映電腦不能上網(wǎng)了，明天那個反映WORD不能用了。當我們?nèi)ゾS修的時候結果發(fā)現(xiàn)要么系統(tǒng)文件被刪除，要么安裝了形形的軟件，要么中了病毒。怎樣才能有效地解決這樣一個問題？只有靠制度，因此在校長室的督促下，我校信息技術小組出臺了《徐霞客中學教師電腦使用管理制度》。之后，辦公室電腦出現(xiàn)故障的機率大大減少。再一個就是對老師們進行系統(tǒng)的培訓，提高他們的使用水平。這一點，我們電教中心的工作做得非常到位。年輕教師通過模塊一、二、三的學習與考試，極大提高了自身的電腦使用水平，這樣不僅有助我們校園網(wǎng)絡的管理，更有利于老師們自己的教學工作，因為信息技術與其他學科的整合是必然的趨勢。

再一個就是教室里多媒體設備的使用不當造成設備不能正常使用，浪費了資源。我們的多媒體包括背投、投影儀和一臺電腦，是我們校園網(wǎng)絡的一個新的組成部分。因為對新設備的陌生，所以很多老師使用的時候不能夠按照步驟去執(zhí)行操作。在這樣的情況下，我們信息技術組組織了多媒體設備使用的培訓班。每個學期培訓一到兩次，直到老師們能夠熟練操作為止。

第三個就是一些管理系統(tǒng)的用戶和口令的泄漏將會給教學管理帶來一些不安定的因素。比如我們的公文流轉(zhuǎn)，有很多文件是任課老師不應該看到的。那我們就要做好這方面的保護措施。

今年我校校長室出臺了一項文件，要求每位老師通過相應的校內(nèi)培訓，領取由我們信息技術小組監(jiān)督制作的校級“現(xiàn)代教育設備操作證”。共有五張，一號證為移動存儲設備的使用，合格者可以領取一張證書及一個學校配借的U盤；二號證為三個模塊考試或OFFICE完全合格通過；三號證為課件的制作，要求每個老師自己獨立制作一個本學科的課件，經(jīng)審核合格后方可領取該證；四號證為熟練電腦基本操作、熟練進行中英文字符的輸入；五號證為教室多媒體的使用，要求老師經(jīng)過培訓合格并能夠正確使用教室多媒體即可領取該證。

我覺得這個做法很有意義，不僅提高了每位老師的操作水平，更增強了他們的進取心和責任心。

當然在一再強調(diào)別人應該如何規(guī)范使用電腦的同時，作為管理者，我們更應該嚴格要求自己，時刻記住自己是一個監(jiān)督者、管理者，有意地進行一些破壞行為。

三、硬件設備因素

校園網(wǎng)絡的硬件設備主要包括主機系統(tǒng)、工作站、個人PC、打印機、交換機、路由器等以及連接這些設備的電纜、光纖、雙絞線等傳輸線。綜合來看，硬件設備因素造成網(wǎng)絡安全主要表現(xiàn)在以下幾個方面：

（一）硬件設備的質(zhì)量問題引起的網(wǎng)絡安全問題

這是一個非?？陀^的問題。如果我們所購買的設備質(zhì)量不是很過硬，那么在使用的壽命方面就不能夠得到保證。對于硬件設備的質(zhì)量的安全因素，主要在校園網(wǎng)絡各種傳輸線路和計算機網(wǎng)絡設備選型和購買時通過嚴格的對比、選擇和檢驗來減小風險。

（二）校園網(wǎng)絡體系結構不合理引起的網(wǎng)絡安全問題

一個好的校園網(wǎng)關鍵在于有一個好的規(guī)劃。如果沒有好的規(guī)劃，整個網(wǎng)絡框架混亂，那么肯定會存在相當大的安全隱患。校園網(wǎng)的初期建設一般都是在電腦公司的協(xié)助下完成，而接下來的升級工作則由網(wǎng)絡管理人員來規(guī)劃，怎樣使得整個網(wǎng)絡在升級后顯得依然協(xié)調(diào)、合理，是一件非常重要的事情。我們不能用加減乘除的生硬手法來改造我們的校園網(wǎng)，那樣的升級只會讓校園網(wǎng)整體臃腫不堪，而起到的作用并沒有明顯的增強。那樣就跟升級這個初衷不吻合了。我們理想中的升級是使得校園網(wǎng)運轉(zhuǎn)起來更流暢，工作起來效率更高。這一切都離不開合理的升級規(guī)劃。我校早期的校園網(wǎng)規(guī)劃就存在著不合理性，從而導致機房無法進行正常的網(wǎng)絡教學管理。在校園網(wǎng)升級時我們重新調(diào)整了中心機房的位置并重新布線，這樣一來，我們二樓三樓的機房都可以正常運轉(zhuǎn)起來，不再存在不必要的管理工作。減少了網(wǎng)絡安全故障的發(fā)生。

（三）硬件設備自然損壞引起的網(wǎng)絡安全問題

硬件設備中原器件的老化將導致設備不能正常使用，線路的老化同樣會影響到網(wǎng)絡數(shù)據(jù)傳輸?shù)耐暾?。為了減小硬件自然損壞安全因素造成的損失，在校園網(wǎng)建設中對于重要的硬件系統(tǒng)都應該有相應的備用設備，并且針對硬件系統(tǒng)的損壞制訂有效的應急計劃。

（四）硬件設備的人為破壞或盜竊引起的網(wǎng)絡安全問題

怎樣解決因為人為破壞或盜竊引起的網(wǎng)絡安全問題？我認為可以通過機房管理、人員管理相應管理措施的制訂和實施，以及對于機房、硬件設備和傳輸線路的安全保安措施來防范。

四、系統(tǒng)及網(wǎng)絡服務因素

一個校園網(wǎng)絡僅有硬件設備肯定是不夠的，就如同我們稱呼一臺什么都沒有安裝的電腦為裸機一樣。校園網(wǎng)的正式運轉(zhuǎn)還得需要軟件的激活。而軟件又分為系統(tǒng)軟件和應用軟件。在這兩類軟件中所存在的安全因素一般來源于以下兩個方面，一是軟件系統(tǒng)本身體系結構的不安全，一是軟件系統(tǒng)在編程過程中由于疏忽或者其他原因造成的軟件臭蟲而引起的安全漏洞。

沒有絕對完美的軟件系統(tǒng)，尤其是我們當前所用的操作系統(tǒng)更是存在著許多漏洞。雖然功能強大了，但操作系統(tǒng)本身也變得臃腫了。所以產(chǎn)生一些BUG的機率也大大增加了，更易引起系統(tǒng)的崩潰。

操作系統(tǒng)是一個平臺，我們需要的文件服務、網(wǎng)絡服務都是基于這個平臺來工作的。所以它一旦崩潰，不僅會給網(wǎng)絡管理帶來麻煩，更會丟失文件、中斷網(wǎng)絡服務等。而防范這些網(wǎng)絡安全故障發(fā)生的有效措施就是要經(jīng)常備份文件，并做好系統(tǒng)文件的備份工作。

而網(wǎng)絡服務同樣是我們校園網(wǎng)不可缺少的重要組成部分，也是我們校園網(wǎng)絡建設的主方向，它主要依靠操作系統(tǒng)來實現(xiàn)。一般的理解就是利用網(wǎng)絡服務來訪問互聯(lián)網(wǎng)，進而查找資料。其實它所包含的內(nèi)容遠不止于此，我們平常所用的文件共享、打印機共享都屬于網(wǎng)絡服務，當然還包括電子郵件的收發(fā)、通過FTP實現(xiàn)文件的共享和傳送等等。在我們開放這些服務，讓用戶享受了網(wǎng)絡服務的方便性的同時，也帶來了很多影響網(wǎng)絡安全隱患。

篇10

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416(2012)07-0163-02

學校作為培養(yǎng)人才的基地，愈來愈多的校園網(wǎng)通過專線與互聯(lián)網(wǎng)接軌，讓學校中的老師和學生可以自由到互聯(lián)網(wǎng)上瀏覽、查找他們感興趣的內(nèi)容和所渴求的知識，感受網(wǎng)絡所帶來的這些豐富的信息資源，提供更廣闊的學習環(huán)境。與此同時，網(wǎng)上的“黑客”也很可能趁機攻入學校內(nèi)網(wǎng)，破壞校內(nèi)服務器上的數(shù)據(jù)，使校園網(wǎng)的安全受到威脅。并且，學校對學生的網(wǎng)上教育和上網(wǎng)管理也面臨著新的挑戰(zhàn)。

1、校園網(wǎng)所面臨的問題

1.1 內(nèi)部資料庫安全問題

校園網(wǎng)與普通企業(yè)網(wǎng)不同，因為一般企業(yè)網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對內(nèi)部網(wǎng)絡的攻擊，對互聯(lián)網(wǎng)上、或者是校園網(wǎng)內(nèi)部服務器進行攻擊，主要對學校內(nèi)部的某些可能存放著重要資料的服務器，諸如，存放主要給教師使用的試題庫，對于學生就有著極大的誘惑力，在好奇心或者是為了滿足某些單純的心理需要，而不顧后果的對校園內(nèi)部服務器進行的攻擊，使學校的內(nèi)部資料遭受到不必要的損失。

1.2 對學生上網(wǎng)的管理

學生上網(wǎng)的管理主要從三個方面進行管理：

(1)學生所瀏覽網(wǎng)站的限制。

(2)學生上網(wǎng)費用統(tǒng)計的問題。

(3)學生上網(wǎng)對熱門網(wǎng)點的統(tǒng)計，及時了解學生的網(wǎng)上動向，有利于更一步引導學生過好網(wǎng)上生活。

如何才能從內(nèi)、外網(wǎng)兩方面共同建設安全、可信賴、有效的新網(wǎng)絡呢？根據(jù)校園網(wǎng)全安的相關知識，網(wǎng)絡內(nèi)部的安全措施應包括：在終端設備上全面安裝防病毒軟件，在網(wǎng)絡接入交換機上進行客戶端的安全認證，匯聚設備上使用ACL軟件防火墻技術，建立內(nèi)部網(wǎng)絡規(guī)章制度，保障內(nèi)部網(wǎng)絡的所有設備的安全可信賴。另外，在接入外部網(wǎng)絡的入口處使用硬件防火墻設備作為防止外部網(wǎng)絡非法的、未授權的訪問，對流經(jīng)的每一個數(shù)據(jù)流進行檢曬，以保護整個校園網(wǎng)的安全。

2、安裝殺毒軟件

校園信息化建設極大地方便了學校的教學工作，同時也為計算機病毒的蔓延打開了方便之門。各種病毒無時無刻不在威脅著網(wǎng)絡的安全，對于計算機網(wǎng)絡病毒防治，只有把技術手段和管理機制緊密結合，切斷病毒的傳播途徑，盡可能地降低感染病毒的風險；其次不要隨便使用含有病毒的程序；在使用前最好先進行查殺病毒；最后建立全方位、立體化防毒反黑網(wǎng)絡，基本原則是防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治。

3、網(wǎng)絡設備安全

先是從內(nèi)部網(wǎng)絡所有設備安全出發(fā)，對網(wǎng)絡中接入設備進行安全設置，在接入交換機的端口上，對網(wǎng)絡中所有接入的用戶進行認證和安全管理。

校園網(wǎng)安全中主要存在以下三個問題，一個是由于學生宿舍上網(wǎng)人數(shù)較多，在學生宿舍中安裝網(wǎng)絡端口，需要上網(wǎng)的學生可以在學校網(wǎng)絡管理中心申請帳戶。另一個是由于后來由申請賬戶的數(shù)目很多，有的宿舍只開通一個賬戶后，在端口上接一個小型路由器或交換機，宿舍中的學生就可能通過路由器或交換機上網(wǎng)，由于網(wǎng)絡管理中心無法確認最終用戶，給網(wǎng)絡帶來了很多不安全因素。最后一個是要為所有的交換設備控制臺端口配置密碼，以保證非管理員進行登錄設備，修改設備配置參數(shù)。

網(wǎng)絡設備安全部分配置如下：

(1)配置接入交換機端口的安全和最大連接數(shù)限制。

Switch(config-if-range)#switchport port-security !開啟1-23端口安全端口的功能

Switch(config-if-range)#switchport port-secruity maximum 1!開啟1-23端口安全地址個數(shù)為1

Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全違例的處理方式為shutdown

(2)配置交換機控制臺密碼安全。

配置交換機登錄密碼

Switch(config)#enable secret level 1 0 abc

配置交換機的特權密碼

Switch(config)#enable secret level 15 0 abc

(3)配置交換機端口的地址綁定。

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的綁定

4、網(wǎng)絡區(qū)域安全

在校園網(wǎng)中，由于學生訪問量較大，有的學生登錄到教師辦公網(wǎng)查看考試試卷，有的學生向?qū)W校FTP服務器上上傳垃圾文件等現(xiàn)象。

由于教師網(wǎng)中的FTP服務器上存有大量的教師考試資料和教學資料，如果要禁止學生進行訪問，但允許學生訪問其他服務器（WWW服務器、E-mail服務器等）的話，要在網(wǎng)絡中心交換機的接口上配置應用擴展ACL技術，如（表1）所示，在s1和s2 上分別進行相關的配置，即可滿足需要。

表1 校園網(wǎng)部分地址規(guī)劃

5、虛擬專用網(wǎng)VPN

目前我們所說的VPN安全技術主要是指隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術(Key Management)、使用者與設備身份認證技術（Authentication）。

根據(jù)校園網(wǎng)的實際情況，簡要分析、校園網(wǎng)專用網(wǎng)VPN的情況。各自都有自已的專用網(wǎng)，要想使這兩個不同區(qū)域的部門經(jīng)常進行通信，又要保證部門數(shù)據(jù)的安全，學校采用隧道虛擬專用網(wǎng)VPN技術。

使用遂道技術建立了新、老兩個校區(qū)的專用網(wǎng)，其網(wǎng)絡地址分別為172.16.0.0和192.168.0.0。新、老校區(qū)通過公用的Internet網(wǎng)構成一個VPN。新、老校區(qū)都有一個路由器具有合法的公網(wǎng)IP地址，如(圖2)所示路由器R1和R2。各自路由器在和新、老校區(qū)內(nèi)部網(wǎng)絡的接口地址是新、老校區(qū)的本地地址。

6、全網(wǎng)絡的安全

在校園網(wǎng)互聯(lián)互通的基礎上，當校園網(wǎng)連接到Internet上時，除了利用ACL“軟”手段防范來自內(nèi)部網(wǎng)絡攻擊外，還需要在網(wǎng)絡上的關鍵部位，部置硬件防火墻來防范來自外部網(wǎng)絡的攻擊。

在校園網(wǎng)安全設備中防火墻是相對最有效的網(wǎng)絡安全設備，它是一種綜合性的技術，它涉及計算機網(wǎng)絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、安全規(guī)范及操作系統(tǒng)等多方面內(nèi)容。

參考文獻

[1]韓爭勝.IPv6關鍵技術及其網(wǎng)絡安全研究[D].西北工業(yè)大學,2005.

[2]鐘林.基于Linux平臺的IPv4/IPv6校園網(wǎng)研究與設計[D].南京理工大學,2006.