導(dǎo)語(yǔ)：如何才能寫好一篇校園網(wǎng)絡(luò)安全，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;病毒;防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

網(wǎng)絡(luò)的應(yīng)用日益豐富,目前e-mail、ftp、WWW已經(jīng)非常普遍。近幾年發(fā)展起來(lái)的VOD點(diǎn)播、網(wǎng)上交友、網(wǎng)上游戲、網(wǎng)上求職、網(wǎng)上購(gòu)物、網(wǎng)上醫(yī)療以及網(wǎng)上學(xué)習(xí)等也是如火如荼、雖然這些應(yīng)用還處于發(fā)展階段,但是有很大的發(fā)展前景。目前校園網(wǎng)的建設(shè)也得到了快速的發(fā)展,全國(guó)絕大多數(shù)的高校建成了自己的校園網(wǎng)絡(luò)。

隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快速增長(zhǎng),關(guān)鍵性應(yīng)用的不斷普及和深入,校園網(wǎng)已經(jīng)成為教育行業(yè)信息化的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施。伴隨著校園網(wǎng)絡(luò)的發(fā)展,“數(shù)字校園”概念逐漸被高等院校采納并實(shí)施。可以說(shuō),高速、穩(wěn)定、安全、可管理是“數(shù)字校園”建設(shè)的基本要求和最終目標(biāo)。下面就我個(gè)人在工作中的經(jīng)驗(yàn),談?wù)剬?duì)校園網(wǎng)安全的一些看法。

1 系統(tǒng)的安全

雖然操作系統(tǒng)的功能及安全性日趨完善,但從目前來(lái)看,最近流行于網(wǎng)絡(luò)上的“ARP”、“機(jī)器狗”等病毒都是利用系統(tǒng)的漏洞進(jìn)行傳播的。各種系統(tǒng)都或多或少存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問(wèn)題。作為一個(gè)網(wǎng)絡(luò)管理人員,及時(shí)發(fā)現(xiàn)并修補(bǔ)系統(tǒng)漏洞是主要任務(wù)。對(duì)于正在使用的軟件和服務(wù),應(yīng)該密切關(guān)注其官網(wǎng)的最新版本和安全信息,一旦發(fā)現(xiàn)有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。

一般啟動(dòng)操作系統(tǒng)時(shí),會(huì)同時(shí)啟動(dòng)數(shù)十個(gè)服務(wù),但有些服務(wù)時(shí)沒(méi)有必要的,反而會(huì)成為黑客、病毒和木馬入侵的隱患。如允許遠(yuǎn)程修改注冊(cè)表、提供IPC連接、默認(rèn)共享等,應(yīng)及時(shí)關(guān)閉這些服務(wù)。同時(shí)嚴(yán)格控制用戶向系統(tǒng)的訪問(wèn),可以利用身份驗(yàn)證和用戶權(quán)限控制技術(shù),兩者結(jié)合使用,給予不同的用戶不同的操作權(quán)限,實(shí)現(xiàn)信息安全的分級(jí)管理。

2 防火墻與入侵檢測(cè)系統(tǒng)的使用

應(yīng)用服務(wù)器在校園網(wǎng)中的使用量很大,極易成為黑客攻擊的主要對(duì)象。因此們需要對(duì)所有的外部網(wǎng)絡(luò)接口隔離,用防火墻在內(nèi) 外網(wǎng)之間構(gòu)建一道安全屏障。防火墻會(huì)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,阻止外部非法用戶的訪問(wèn)和破壞。所以在防火墻配置上,我們要根據(jù)每個(gè)學(xué)校的需求設(shè)置正確的安全過(guò)濾規(guī)則,網(wǎng)絡(luò)管理人員應(yīng)定期查看防火墻的記錄日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良記錄并采取相應(yīng)的對(duì)策。

入侵檢測(cè)系統(tǒng)相對(duì)防火墻,是一種積極主動(dòng)的安全防護(hù)技術(shù),能夠在系統(tǒng)受到危害前發(fā)出警報(bào)。即使一個(gè)系統(tǒng)中不存在某個(gè)漏洞,但是檢測(cè)系統(tǒng)仍然可以檢測(cè)到相應(yīng)的攻擊事件并調(diào)整狀態(tài)做出警告。所以,入侵監(jiān)測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護(hù)網(wǎng)絡(luò)安全,將安全隱患降到最低。

3 個(gè)人用戶安全

大多數(shù)的校園網(wǎng)用戶安全意識(shí)淡薄,比如不使用殺毒軟件或不及時(shí)更新病毒庫(kù);不及時(shí)更新系統(tǒng)漏洞;使用移動(dòng)存儲(chǔ)時(shí)沒(méi)有事先殺毒;接受或運(yùn)行來(lái)歷不明的文件或郵件;瀏覽黃色或非法網(wǎng)站等行為,這些行為都有可能導(dǎo)致電腦中毒。中毒后對(duì)方能在你的電腦上上傳、下載文件,偷取你的各種賬號(hào)信息及密碼。除了能泄露個(gè)人資料外,如今很多病毒能夠通過(guò)用戶單機(jī)對(duì)校園網(wǎng)進(jìn)行攻擊,惡意的向被攻擊服務(wù)器發(fā)送信息,嚴(yán)重的占用校園網(wǎng)帶寬,致使網(wǎng)絡(luò)運(yùn)行速度慢,嚴(yán)重的更處于一種癱瘓的狀態(tài)。

所以個(gè)人用戶的安全也不能小視,作為網(wǎng)絡(luò)管理人員,在推廣網(wǎng)絡(luò)應(yīng)用的同時(shí),也要加強(qiáng)上網(wǎng)行為安全的宣傳教育工作,并制定相應(yīng)的制度,防范和制止各種違法行為。

4 結(jié)論

校園網(wǎng)安全體系是一個(gè)動(dòng)態(tài)的、不斷發(fā)展的機(jī)制,當(dāng)然不論我們?cè)趺捶婪?由于系統(tǒng)和軟件本身的局限性和計(jì)算機(jī)網(wǎng)絡(luò)的開放性,我們都不可能徹底的消除所有網(wǎng)絡(luò)系統(tǒng)的安全隱患。但是作為一名網(wǎng)絡(luò)管理人員,我們需要提高工作熱情,加強(qiáng)責(zé)任心,頭腦中時(shí)刻具備安全意識(shí),提高自己的專業(yè)知識(shí)和技能,為廣大師生提供更快、更安全的校園網(wǎng)環(huán)境。

參考文獻(xiàn):

[1] 賈遂民.校園網(wǎng)絡(luò)安全分析與對(duì)策[J].卿城大學(xué)學(xué)報(bào):自然科學(xué)版. 2005(2):83-86.

[2] 凌捷,肖鵬,何東風(fēng). 防火墻本身的安全問(wèn)題淺析[J].計(jì)算機(jī)應(yīng)用與軟件 2004(7):138-140.

篇2

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；系統(tǒng)安全

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享起到了無(wú)法估量的作用。但一些教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視。網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

一、校園網(wǎng)絡(luò)現(xiàn)狀

隨著電腦的普及，計(jì)算機(jī)技術(shù)并沒(méi)有像早年想象的那么遙遠(yuǎn)。幾乎每個(gè)人都知道一些最基本的電腦維護(hù)的知識(shí)，對(duì)于生活在學(xué)校的學(xué)生們就更不用說(shuō)了。幾乎每所學(xué)校都有其自身的網(wǎng)絡(luò)體系，無(wú)論是無(wú)線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)。有了網(wǎng)絡(luò)的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動(dòng)態(tài)模式，這樣才能更好地激發(fā)學(xué)生的學(xué)習(xí)興趣。在大家看來(lái)每所學(xué)校所關(guān)心的安全領(lǐng)域問(wèn)題是大致相同的，無(wú)論是在哪方面，無(wú)疑就是網(wǎng)絡(luò)是否暢通，上網(wǎng)是否安全，網(wǎng)絡(luò)是否可以抵御黑客攻擊，上網(wǎng)時(shí)我們的賬號(hào)是否存在風(fēng)險(xiǎn)等問(wèn)題。網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施有反病毒、入侵檢測(cè)、審計(jì)分析等技術(shù)。

（一）反病毒技術(shù)

計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序，它能夠傳染給其它程序，并進(jìn)行自我復(fù)制，特別是在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力，因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)，具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)，或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。

（二）入侵檢測(cè)

入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算C系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。在校園網(wǎng)中服務(wù)器為用戶提供著各種的服務(wù)，但是服務(wù)提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險(xiǎn)。因此，從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供他們所需的基本的服務(wù)。

（三）審計(jì)監(jiān)控技術(shù)

審計(jì)監(jiān)控不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題，并且它是后面階段事故處理的重要依據(jù)。另外，通過(guò)對(duì)安全事件的不斷收集、類聚和分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡(luò)運(yùn)行安全

網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施，保證網(wǎng)絡(luò)受到攻擊后能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過(guò)的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過(guò)的所有文件。

根據(jù)備份的存儲(chǔ)媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點(diǎn)?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管，用以彌補(bǔ)“熱備份”的一些不足。進(jìn)行備份的過(guò)程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。

（一）訪問(wèn)控制

在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中，采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全最主要，同時(shí)也是最有效和最經(jīng)濟(jì)的措施之一。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中，才能實(shí)現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。

（二）網(wǎng)絡(luò)安全檢測(cè)

篇3

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞能力越來(lái)越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害。考慮學(xué)校教學(xué)用機(jī)數(shù)量龐大，要建立全面的主動(dòng)病毒防護(hù)體系，在每臺(tái)工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時(shí)有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁(yè)攜帶的Applet小應(yīng)用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢(shì)、江民、金山等，網(wǎng)絡(luò)上也不乏免費(fèi)殺毒軟件，如360殺毒。首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，注意定期查殺，及時(shí)進(jìn)行軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個(gè)人防火墻，網(wǎng)上這樣的免費(fèi)或限時(shí)軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺(tái)和專用操作系統(tǒng)，甚至芯片級(jí)硬件防火墻使用專門芯片硬件平臺(tái)。沒(méi)有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對(duì)外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡(jiǎn)單化，安全級(jí)別也更高。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過(guò)200臺(tái)時(shí)網(wǎng)絡(luò)管理將極為困難。在實(shí)際應(yīng)用時(shí)，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過(guò)物理設(shè)備，各子網(wǎng)之間無(wú)法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性，利于管理。根據(jù)校園網(wǎng)管理特點(diǎn)，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個(gè)VLAN對(duì)應(yīng)一個(gè)端口集合，一個(gè)端口在某一時(shí)間只能位于一個(gè)VLAN中。比如可以把交換機(jī)SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機(jī)SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡(jiǎn)單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動(dòng)時(shí)，新端口不位于原VLAN中時(shí)，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個(gè)MAC地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLANl中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識(shí)別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動(dòng)位置，更換端口，也不會(huì)改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時(shí)，如果用戶數(shù)量較多，要收集所有計(jì)算機(jī)MAC地址，對(duì)所有計(jì)算機(jī)進(jìn)行配置，工作量極大；后期，每一臺(tái)新計(jì)算機(jī)入網(wǎng)時(shí)，也需要添加到對(duì)應(yīng)的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設(shè)置為VLANI給教師使用，把192.168.2.1-192.168.2.200設(shè)置為VLAN2給學(xué)生使用。它具有第2種劃分方法的優(yōu)點(diǎn)，用戶計(jì)算機(jī)可以不修改網(wǎng)絡(luò)配置移動(dòng)，并且無(wú)需收集MAC地址對(duì)所有計(jì)算機(jī)單獨(dú)配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價(jià)格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實(shí)際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中Email、BBS、Web、即時(shí)通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對(duì)網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來(lái)越大，破壞性越來(lái)越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點(diǎn)要么成為“僵尸”，要么成為被攻擊的對(duì)象。比如：“僵尸網(wǎng)絡(luò)”就是通過(guò)掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對(duì)目標(biāo)進(jìn)行DOS等攻擊；還有“零日攻擊”指惡意運(yùn)用立即被發(fā)現(xiàn)的安全漏洞，利用時(shí)間差在網(wǎng)絡(luò)未及防范的情況下實(shí)施攻擊。

篇4

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全 分析

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416(2012)07-0163-02

學(xué)校作為培養(yǎng)人才的基地，愈來(lái)愈多的校園網(wǎng)通過(guò)專線與互聯(lián)網(wǎng)接軌，讓學(xué)校中的老師和學(xué)生可以自由到互聯(lián)網(wǎng)上瀏覽、查找他們感興趣的內(nèi)容和所渴求的知識(shí)，感受網(wǎng)絡(luò)所帶來(lái)的這些豐富的信息資源，提供更廣闊的學(xué)習(xí)環(huán)境。與此同時(shí)，網(wǎng)上的“黑客”也很可能趁機(jī)攻入學(xué)校內(nèi)網(wǎng)，破壞校內(nèi)服務(wù)器上的數(shù)據(jù)，使校園網(wǎng)的安全受到威脅。并且，學(xué)校對(duì)學(xué)生的網(wǎng)上教育和上網(wǎng)管理也面臨著新的挑戰(zhàn)。

1、校園網(wǎng)所面臨的問(wèn)題

1.1 內(nèi)部資料庫(kù)安全問(wèn)題

校園網(wǎng)與普通企業(yè)網(wǎng)不同，因?yàn)橐话闫髽I(yè)網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，對(duì)互聯(lián)網(wǎng)上、或者是校園網(wǎng)內(nèi)部服務(wù)器進(jìn)行攻擊，主要對(duì)學(xué)校內(nèi)部的某些可能存放著重要資料的服務(wù)器，諸如，存放主要給教師使用的試題庫(kù)，對(duì)于學(xué)生就有著極大的誘惑力，在好奇心或者是為了滿足某些單純的心理需要，而不顧后果的對(duì)校園內(nèi)部服務(wù)器進(jìn)行的攻擊，使學(xué)校的內(nèi)部資料遭受到不必要的損失。

1.2 對(duì)學(xué)生上網(wǎng)的管理

學(xué)生上網(wǎng)的管理主要從三個(gè)方面進(jìn)行管理：

(1)學(xué)生所瀏覽網(wǎng)站的限制。

(2)學(xué)生上網(wǎng)費(fèi)用統(tǒng)計(jì)的問(wèn)題。

(3)學(xué)生上網(wǎng)對(duì)熱門網(wǎng)點(diǎn)的統(tǒng)計(jì)，及時(shí)了解學(xué)生的網(wǎng)上動(dòng)向，有利于更一步引導(dǎo)學(xué)生過(guò)好網(wǎng)上生活。

如何才能從內(nèi)、外網(wǎng)兩方面共同建設(shè)安全、可信賴、有效的新網(wǎng)絡(luò)呢？根據(jù)校園網(wǎng)全安的相關(guān)知識(shí)，網(wǎng)絡(luò)內(nèi)部的安全措施應(yīng)包括：在終端設(shè)備上全面安裝防病毒軟件，在網(wǎng)絡(luò)接入交換機(jī)上進(jìn)行客戶端的安全認(rèn)證，匯聚設(shè)備上使用ACL軟件防火墻技術(shù)，建立內(nèi)部網(wǎng)絡(luò)規(guī)章制度，保障內(nèi)部網(wǎng)絡(luò)的所有設(shè)備的安全可信賴。另外，在接入外部網(wǎng)絡(luò)的入口處使用硬件防火墻設(shè)備作為防止外部網(wǎng)絡(luò)非法的、未授權(quán)的訪問(wèn)，對(duì)流經(jīng)的每一個(gè)數(shù)據(jù)流進(jìn)行檢曬，以保護(hù)整個(gè)校園網(wǎng)的安全。

2、安裝殺毒軟件

校園信息化建設(shè)極大地方便了學(xué)校的教學(xué)工作，同時(shí)也為計(jì)算機(jī)病毒的蔓延打開了方便之門。各種病毒無(wú)時(shí)無(wú)刻不在威脅著網(wǎng)絡(luò)的安全，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)病毒防治，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合，切斷病毒的傳播途徑，盡可能地降低感染病毒的風(fēng)險(xiǎn)；其次不要隨便使用含有病毒的程序；在使用前最好先進(jìn)行查殺病毒；最后建立全方位、立體化防毒反黑網(wǎng)絡(luò)，基本原則是防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治。

3、網(wǎng)絡(luò)設(shè)備安全

先是從內(nèi)部網(wǎng)絡(luò)所有設(shè)備安全出發(fā)，對(duì)網(wǎng)絡(luò)中接入設(shè)備進(jìn)行安全設(shè)置，在接入交換機(jī)的端口上，對(duì)網(wǎng)絡(luò)中所有接入的用戶進(jìn)行認(rèn)證和安全管理。

校園網(wǎng)安全中主要存在以下三個(gè)問(wèn)題，一個(gè)是由于學(xué)生宿舍上網(wǎng)人數(shù)較多，在學(xué)生宿舍中安裝網(wǎng)絡(luò)端口，需要上網(wǎng)的學(xué)生可以在學(xué)校網(wǎng)絡(luò)管理中心申請(qǐng)帳戶。另一個(gè)是由于后來(lái)由申請(qǐng)賬戶的數(shù)目很多，有的宿舍只開通一個(gè)賬戶后，在端口上接一個(gè)小型路由器或交換機(jī)，宿舍中的學(xué)生就可能通過(guò)路由器或交換機(jī)上網(wǎng)，由于網(wǎng)絡(luò)管理中心無(wú)法確認(rèn)最終用戶，給網(wǎng)絡(luò)帶來(lái)了很多不安全因素。最后一個(gè)是要為所有的交換設(shè)備控制臺(tái)端口配置密碼，以保證非管理員進(jìn)行登錄設(shè)備，修改設(shè)備配置參數(shù)。

網(wǎng)絡(luò)設(shè)備安全部分配置如下：

(1)配置接入交換機(jī)端口的安全和最大連接數(shù)限制。

Switch(config-if-range)#switchport port-security !開啟1-23端口安全端口的功能

Switch(config-if-range)#switchport port-secruity maximum 1!開啟1-23端口安全地址個(gè)數(shù)為1

Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全違例的處理方式為shutdown

(2)配置交換機(jī)控制臺(tái)密碼安全。

配置交換機(jī)登錄密碼

Switch(config)#enable secret level 1 0 abc

配置交換機(jī)的特權(quán)密碼

Switch(config)#enable secret level 15 0 abc

(3)配置交換機(jī)端口的地址綁定。

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的綁定

4、網(wǎng)絡(luò)區(qū)域安全

在校園網(wǎng)中，由于學(xué)生訪問(wèn)量較大，有的學(xué)生登錄到教師辦公網(wǎng)查看考試試卷，有的學(xué)生向?qū)W校FTP服務(wù)器上上傳垃圾文件等現(xiàn)象。

由于教師網(wǎng)中的FTP服務(wù)器上存有大量的教師考試資料和教學(xué)資料，如果要禁止學(xué)生進(jìn)行訪問(wèn)，但允許學(xué)生訪問(wèn)其他服務(wù)器（WWW服務(wù)器、E-mail服務(wù)器等）的話，要在網(wǎng)絡(luò)中心交換機(jī)的接口上配置應(yīng)用擴(kuò)展ACL技術(shù)，如（表1）所示，在s1和s2 上分別進(jìn)行相關(guān)的配置，即可滿足需要。

表1 校園網(wǎng)部分地址規(guī)劃

5、虛擬專用網(wǎng)VPN

目前我們所說(shuō)的VPN安全技術(shù)主要是指隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

根據(jù)校園網(wǎng)的實(shí)際情況，簡(jiǎn)要分析、校園網(wǎng)專用網(wǎng)VPN的情況。各自都有自已的專用網(wǎng)，要想使這兩個(gè)不同區(qū)域的部門經(jīng)常進(jìn)行通信，又要保證部門數(shù)據(jù)的安全，學(xué)校采用隧道虛擬專用網(wǎng)VPN技術(shù)。

使用遂道技術(shù)建立了新、老兩個(gè)校區(qū)的專用網(wǎng)，其網(wǎng)絡(luò)地址分別為172.16.0.0和192.168.0.0。新、老校區(qū)通過(guò)公用的Internet網(wǎng)構(gòu)成一個(gè)VPN。新、老校區(qū)都有一個(gè)路由器具有合法的公網(wǎng)IP地址，如(圖2)所示路由器R1和R2。各自路由器在和新、老校區(qū)內(nèi)部網(wǎng)絡(luò)的接口地址是新、老校區(qū)的本地地址。

6、全網(wǎng)絡(luò)的安全

在校園網(wǎng)互聯(lián)互通的基礎(chǔ)上，當(dāng)校園網(wǎng)連接到Internet上時(shí)，除了利用ACL“軟”手段防范來(lái)自內(nèi)部網(wǎng)絡(luò)攻擊外，還需要在網(wǎng)絡(luò)上的關(guān)鍵部位，部置硬件防火墻來(lái)防范來(lái)自外部網(wǎng)絡(luò)的攻擊。

在校園網(wǎng)安全設(shè)備中防火墻是相對(duì)最有效的網(wǎng)絡(luò)安全設(shè)備，它是一種綜合性的技術(shù)，它涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、安全規(guī)范及操作系統(tǒng)等多方面內(nèi)容。

參考文獻(xiàn)

[1]韓爭(zhēng)勝.IPv6關(guān)鍵技術(shù)及其網(wǎng)絡(luò)安全研究[D].西北工業(yè)大學(xué),2005.

[2]鐘林.基于Linux平臺(tái)的IPv4/IPv6校園網(wǎng)研究與設(shè)計(jì)[D].南京理工大學(xué),2006.

[3]363—382.于新俊.大連電力學(xué)校校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[D].大連理工大學(xué),2003.

篇5

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻；入侵檢測(cè)

中圖分類號(hào)：TP393.18

如今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展，校園網(wǎng)也不斷發(fā)展。校園網(wǎng)對(duì)學(xué)校的一些教學(xué)活動(dòng)、學(xué)生學(xué)習(xí)、教育管理等各個(gè)方面都發(fā)揮著重要的作用。因此，維護(hù)、保證校園網(wǎng)的安全成為一項(xiàng)重要的任務(wù)。校園網(wǎng)絡(luò)一直存在著安全隱患，出現(xiàn)各種安全問(wèn)題層出不窮，最常見的是病毒入侵、黑客攻擊等，導(dǎo)致數(shù)據(jù)丟失和個(gè)人隱私泄露，給學(xué)校、學(xué)生與教師帶來(lái)巨大損失。校園網(wǎng)作為學(xué)校最基礎(chǔ)也是最重要的設(shè)備，更要全面分析這些安全策略，來(lái)抵御任何網(wǎng)絡(luò)攻擊與威脅，使校園網(wǎng)穩(wěn)定有效地運(yùn)行下去。

1 校園網(wǎng)安全問(wèn)題分析

校園網(wǎng)絡(luò)系統(tǒng)是為儲(chǔ)存學(xué)生數(shù)據(jù)資料、為學(xué)生和教師提供服務(wù)并收集信息、為整個(gè)校園提供網(wǎng)絡(luò)教育的一個(gè)平臺(tái)。因此，校園網(wǎng)絡(luò)安全策略的目的是防止人們?yōu)E用甚至竊取所有校園數(shù)據(jù)資源，并抵御網(wǎng)絡(luò)黑客和各種病毒、木馬程序的攻擊。應(yīng)保證校園網(wǎng)絡(luò)系統(tǒng)安全有效的運(yùn)行，保證教學(xué)完善進(jìn)行。

1.1 校園網(wǎng)出現(xiàn)安全隱患的原因。首先，由于網(wǎng)絡(luò)管理員在設(shè)置上造成的一些失誤，例如對(duì)校園網(wǎng)的操作系統(tǒng)、硬件設(shè)備以及相關(guān)軟件進(jìn)行的配置不當(dāng)所造成的一些安全漏洞問(wèn)題，所導(dǎo)致的未安全設(shè)置路由器IP、用戶的訪問(wèn)權(quán)限過(guò)大以及過(guò)多打開服務(wù)器端口等。這些情況都會(huì)給校園網(wǎng)安全帶來(lái)巨大的隱患。其次，一些人利用網(wǎng)絡(luò)安全漏洞，對(duì)校園網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行惡意破壞，他們可能會(huì)攻擊學(xué)校的Web服務(wù)器，破壞學(xué)校主頁(yè)、竊取學(xué)校機(jī)密文件、向?qū)W校服務(wù)器發(fā)送大量信息而導(dǎo)致校園網(wǎng)絡(luò)癱瘓等。

1.2 校園網(wǎng)絡(luò)安全隱患的后果。校園網(wǎng)存在的網(wǎng)絡(luò)隱患包括：使用病毒、木馬程序、惡意代碼等進(jìn)行郵件發(fā)送和接收、遠(yuǎn)程管理等一些手段進(jìn)行傳播，其傳播速度越來(lái)越快，并且破壞性極大。并且各種病毒、木馬程序等被不斷更新，更加智能化。這些安全隱患問(wèn)題所造成的損失巨大。學(xué)校的數(shù)據(jù)可能被破壞或篡改，甚至?xí)G失；一些加密文檔、數(shù)據(jù)被竊取或盜用、一些不良信息被傳播、學(xué)校教師或?qū)W生的個(gè)人隱私被泄露。

2 校園網(wǎng)絡(luò)的安全防護(hù)技術(shù)

我國(guó)的校園網(wǎng)通常以防火墻和入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設(shè)備也需要不斷地進(jìn)行改進(jìn)，各種殺毒軟件也需不斷進(jìn)行升級(jí)，且防御意識(shí)也要不斷加強(qiáng)。不經(jīng)意的疏忽都有可能給學(xué)校造成很大損失。

2.1 防護(hù)墻技術(shù)。一般網(wǎng)絡(luò)安全的第一道防線是處于外網(wǎng)與校內(nèi)網(wǎng)相連位置的防火墻。防火墻最主要的任務(wù)是：根據(jù)規(guī)則對(duì)請(qǐng)求進(jìn)出的所有網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審查，只有滿足規(guī)則的數(shù)據(jù)才會(huì)被允許通過(guò)網(wǎng)絡(luò)；反之則被拒絕。其缺點(diǎn)是：因?yàn)榉阑饓夹g(shù)屬于被動(dòng)的網(wǎng)絡(luò)防護(hù)技術(shù)，所以它無(wú)法將病毒性的數(shù)據(jù)檢測(cè)出來(lái)；由于校園網(wǎng)內(nèi)部用戶網(wǎng)絡(luò)流量未經(jīng)過(guò)防火墻，因此它不能防御校園網(wǎng)內(nèi)部一些用戶發(fā)起對(duì)FTP服務(wù)器、web服務(wù)器、DNS服務(wù)器以及MAIL服務(wù)器等的攻擊。另一方面，如果這些服務(wù)器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，導(dǎo)致其靈活性下降且功能特性較差；對(duì)于抵御外網(wǎng)的攻擊和入侵比較困難，甚至對(duì)一些警報(bào)有時(shí)無(wú)法作出及時(shí)的響應(yīng)；系統(tǒng)管理員只有時(shí)刻仔細(xì)監(jiān)視防火墻，才可能會(huì)注意到黑客的攻擊，這樣非常不方便；另外探測(cè)與測(cè)試防火墻的配置較困難。

2.2 入侵檢測(cè)系統(tǒng)。首先，入侵檢測(cè)系統(tǒng)（IDS）是指任何有能力進(jìn)行檢測(cè)或改變網(wǎng)絡(luò)狀態(tài)的系統(tǒng)，或者是系統(tǒng)的集合。之后IDS能夠發(fā)送警報(bào)或是采取設(shè)定的行動(dòng)來(lái)維護(hù)網(wǎng)絡(luò)安全。IDS的一些主要功能：對(duì)系統(tǒng)活動(dòng)和用戶進(jìn)行分析并監(jiān)測(cè)，可以對(duì)一些重要的資料、文獻(xiàn)、數(shù)據(jù)等進(jìn)行評(píng)估，判斷它們的完整性；負(fù)責(zé)系統(tǒng)日志的管理工作，對(duì)已知攻擊行為和違反安全策略的用戶活動(dòng)能夠識(shí)別出來(lái)；可以對(duì)系統(tǒng)的配置進(jìn)行檢測(cè)，并能夠找出漏洞。

IDS在結(jié)構(gòu)上分為基于主機(jī)的IDS即HIDS與基于網(wǎng)絡(luò)的IDS即NIDS。最特別的HIDS是PortSentry軟件，通常HIDS的數(shù)據(jù)源為系統(tǒng)日志和應(yīng)用程序日志等，分析從主機(jī)獲取的信息，將其作為監(jiān)控程序來(lái)運(yùn)行，一般其保護(hù)的是自身所在的整個(gè)系統(tǒng)。而NIDS工作于OSI-RM網(wǎng)絡(luò)層，以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源并對(duì)其進(jìn)行分析。通常在部署NIDS時(shí)會(huì)將主機(jī)的網(wǎng)卡設(shè)置成混雜模式，以監(jiān)聽、分析所有本網(wǎng)段內(nèi)的數(shù)據(jù)包。

3 校園網(wǎng)的安全策略分析

3.1 登錄控制。登錄控制主要保證網(wǎng)絡(luò)資源被非法使用或訪問(wèn)，是一種較為有效的網(wǎng)絡(luò)安全防范和保護(hù)措施。登錄控制能夠有效監(jiān)測(cè)校園網(wǎng)絡(luò)的用戶登錄到服務(wù)器和路由器等網(wǎng)絡(luò)設(shè)備來(lái)獲取信息資源，可控制監(jiān)測(cè)用戶進(jìn)入網(wǎng)絡(luò)的時(shí)間及地點(diǎn)。一般用戶訪問(wèn)網(wǎng)絡(luò)控制有以下三個(gè)步驟：識(shí)別和驗(yàn)證用戶名、用戶口令以及用戶賬號(hào)的缺省限制檢查。其中只要有任何一項(xiàng)未通過(guò)，此用戶都不能進(jìn)入網(wǎng)絡(luò)。所以，通過(guò)登錄控制能夠進(jìn)一步保證校園網(wǎng)絡(luò)安全。

3.2 權(quán)限控制。針對(duì)網(wǎng)絡(luò)的非法操作提出了權(quán)限控制，它賦予訪問(wèn)用戶與用戶組一定的權(quán)限，以限制其對(duì)資料、目錄、文件以及其他共享資源的訪問(wèn)，對(duì)打印機(jī)等共享設(shè)備的操作。也是一種保護(hù)校園網(wǎng)絡(luò)安全的策略。

3.3 定制IP安全策略。在Windows 2000中最新提供了一種基于點(diǎn)到點(diǎn)安全模型的IP安全策略，它可以更好的保證網(wǎng)絡(luò)數(shù)據(jù)的安全。為防止一些惡意病毒程序?qū)Ρ镜貦C(jī)器的訪問(wèn)，在工作時(shí)可關(guān)閉服務(wù)為空的端口。IP安全策略能夠安全有效地將計(jì)算機(jī)的數(shù)據(jù)傳送到終端計(jì)算機(jī)。

3.4 虛擬網(wǎng)絡(luò)的控制。如果校園網(wǎng)絡(luò)是由交換式局域網(wǎng)技術(shù)組建的， 那么通過(guò)擬網(wǎng)絡(luò)技術(shù)可以加強(qiáng)其內(nèi)部網(wǎng)絡(luò)管理。虛擬網(wǎng)絡(luò)技術(shù)的核心是網(wǎng)絡(luò)分段，它按不同的部分和安全機(jī)制來(lái)隔離網(wǎng)絡(luò)，來(lái)避免用戶非法進(jìn)入系統(tǒng)。網(wǎng)絡(luò)分段有物理和邏輯兩種分段方式。在物理層和數(shù)據(jù)鏈路層進(jìn)行網(wǎng)絡(luò)分段的為物理分段；在網(wǎng)絡(luò)層進(jìn)行整個(gè)系統(tǒng)分段的為邏輯層。分開的各網(wǎng)段之間無(wú)法直接通信。一般情況下將物理分段與邏輯分段相結(jié)合來(lái)進(jìn)行實(shí)際應(yīng)用。

3.5 將防火墻與入侵檢測(cè)系統(tǒng)結(jié)合。防火墻是最基本保證網(wǎng)絡(luò)安全的措施，它可按照需要來(lái)阻斷或允許網(wǎng)絡(luò)進(jìn)入。IDS是對(duì)防火墻進(jìn)行的重要修補(bǔ)，其基本作用是監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)流量，并對(duì)所識(shí)別到的攻擊進(jìn)行報(bào)警。防火墻是最有效的減小掃描威脅的方式。而IDS可探測(cè)與阻礙主機(jī)的掃描，不能作為以防火墻的作用來(lái)維護(hù)網(wǎng)絡(luò)安全。因?yàn)椴捎梅阑饓εcIDS相結(jié)合不僅可以保護(hù)到校園網(wǎng)絡(luò)受外界攻擊，還能夠檢測(cè)校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)通信進(jìn)行和流量，并采取響應(yīng)措施如報(bào)警或抵抗行為。所以這是最好的一種網(wǎng)絡(luò)安全策略。

3.6 安裝防毒殺毒軟件。最常用的一種網(wǎng)絡(luò)安全防范手段就是安裝防毒殺毒軟件。防毒殺毒軟件可根據(jù)病毒庫(kù)來(lái)對(duì)收到的郵件和信息、下載的信息數(shù)據(jù)、U盤等移動(dòng)設(shè)備來(lái)進(jìn)行殺毒，是對(duì)防火墻與入侵系統(tǒng)強(qiáng)有力的補(bǔ)充。但是病毒軟件也存在弊端，因?yàn)樗歉鶕?jù)病毒特征庫(kù)進(jìn)行查毒和殺毒，只能對(duì)病毒特征庫(kù)中存在的病毒進(jìn)行檢測(cè)和查殺，所以它不能夠有效欄截最新出現(xiàn)的一些病毒。由此看來(lái)，仍要加強(qiáng)對(duì)我國(guó)校園網(wǎng)的安全策略的完善。

4 結(jié)束語(yǔ)

保護(hù)校園網(wǎng)絡(luò)的安全是一項(xiàng)任重而道遠(yuǎn)的任務(wù)，遇到的問(wèn)題越來(lái)越復(fù)雜。但隨著網(wǎng)絡(luò)技術(shù)的不斷更新發(fā)展，對(duì)各種安全隱患問(wèn)題的研究與探索，可以有效地保護(hù)校園網(wǎng)絡(luò)的發(fā)展。通過(guò)采用防火墻技術(shù)與入侵檢測(cè)系統(tǒng)相結(jié)合，對(duì)校園網(wǎng)絡(luò)進(jìn)行權(quán)限設(shè)置等，可以有效地提高校園網(wǎng)絡(luò)的安全系數(shù)。

參考文獻(xiàn)：

[1]黃彬.淺析高校網(wǎng)絡(luò)安全存在的問(wèn)題及對(duì)策[J].信息安全與技術(shù)，2011（02）：78-79.

[2]張莉.淺談校園網(wǎng)的安全隱患及防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（01）：102-103.

篇6

關(guān)鍵詞:校園網(wǎng)絡(luò);信息安全;防范策略

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)24-6631-02

1 概述

網(wǎng)絡(luò)信息安全是指保護(hù)信息財(cái)產(chǎn),防止信息被非授權(quán)地訪問(wèn)、使用、泄露、分解、修改和毀壞,以求保證信息的保密性、完整性、可用性和可追責(zé)性,使信息保障能正確實(shí)施、信息系統(tǒng)能如意運(yùn)行、信息服務(wù)能滿足要求。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展,認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對(duì)于保障信息系統(tǒng)的安全性將十分重要。同時(shí)進(jìn)行信息系統(tǒng)安全防范,不斷追蹤新技術(shù)的應(yīng)用情況,及時(shí)升級(jí)、完善自身的防御措施[1-2]。

1.1 網(wǎng)絡(luò)安全的基本組成

從內(nèi)容上看,網(wǎng)絡(luò)安全大致包括四個(gè)方面:

1) 網(wǎng)絡(luò)實(shí)體安全:如計(jì)算機(jī)的物理?xiàng)l件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn),計(jì)算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。

2) 軟件安全:如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入,系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等。

3) 網(wǎng)絡(luò)中的數(shù)據(jù)安全:如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全,不被非法存取,保護(hù)其完整、一致等。

4) 網(wǎng)絡(luò)安全管理:如運(yùn)行時(shí)突發(fā)事件的安全處理等,包括采取計(jì)算機(jī)安全技術(shù),建立安全管理制度,開展安全審計(jì),進(jìn)行風(fēng)險(xiǎn)分析等內(nèi)容。

1.2 網(wǎng)絡(luò)信息安全的目標(biāo)

1) 完整性:完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不人、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

2) 可用性:可用性是指合法用戶訪問(wèn)并能按要求順序使用信息的特性,即保證合法用戶在需要時(shí)可以訪問(wèn)到信息。

3) 可控性:可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性,可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

4) 保密性:保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程,或供其利用的特性。即,防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w,信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上,保障網(wǎng)絡(luò)信息安全的重要手段。

5) 可審查性:在信息交流過(guò)程結(jié)束后,通信雙方不能抵賴曾經(jīng)做出的行為,也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。

2 校園網(wǎng)安全管理的特點(diǎn)及常見威脅[3-4]

2.1 校園網(wǎng)安全管理的特點(diǎn)

校園網(wǎng)是學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施,它不僅為學(xué)校提供各種本地網(wǎng)絡(luò)應(yīng)用,同時(shí)也是溝通學(xué)校校園網(wǎng)內(nèi)外部網(wǎng)絡(luò)的橋梁。筆者根據(jù)自身校園情況,認(rèn)為當(dāng)前校園網(wǎng)有以下特點(diǎn):

1) 操作方便,易于管理:校園網(wǎng)接入復(fù)雜而且面積較大,網(wǎng)絡(luò)維護(hù)需要方便快捷,設(shè)備網(wǎng)管性強(qiáng),從而方便網(wǎng)絡(luò)故障的快速排除。

2) 認(rèn)證計(jì)費(fèi):校園網(wǎng)對(duì)學(xué)生上網(wǎng)必須進(jìn)行有效的控制和計(jì)費(fèi)策略,以提高網(wǎng)絡(luò)的利用率。

3) 安全可靠:校園網(wǎng)中同樣有大量關(guān)于檔案管理和教學(xué)的重要數(shù)據(jù),如果被破壞或竊取,對(duì)學(xué)校都將是一個(gè)很大的損失;

4) 校園信息結(jié)構(gòu)出現(xiàn)多樣化:校園網(wǎng)應(yīng)用分為辦公管理、電子教學(xué)和遠(yuǎn)程通訊等三大內(nèi)容。數(shù)據(jù)類型復(fù)雜,不同類型數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求;

5) 高速的局域網(wǎng)連接:由于校園網(wǎng)的核心是面向自身校園師生的網(wǎng)絡(luò),因此局域網(wǎng)是建設(shè)重點(diǎn)。網(wǎng)絡(luò)信息中包含大量多媒體信息,故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)重要要求。

2.2 校園網(wǎng)絡(luò)信息的主要威脅

網(wǎng)絡(luò)病毒是校園網(wǎng)絡(luò)信息的最主要威脅,它除了具有可傳播性、可執(zhí)行性、穩(wěn)蔽性、破壞性等計(jì)算機(jī)病毒的共性外,還具有一些新的特點(diǎn):

1) 感染速度快:只要有一臺(tái)工作站中病毒,幾分鐘內(nèi)就可能將網(wǎng)上的數(shù)百臺(tái)計(jì)算機(jī)全部感染。

2) 擴(kuò)散面廣:病毒在網(wǎng)絡(luò)中擴(kuò)散速度快、擴(kuò)散范圍大,不僅能迅速感染局域網(wǎng)內(nèi)的所有計(jì)算機(jī),還能通過(guò)網(wǎng)絡(luò)將病毒在一瞬間傳播到千里之外。

3) 傳播形式復(fù)雜多樣、難于徹底清除:單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過(guò)刪除帶毒文件、低級(jí)格式化硬盤等措施將病毒徹底清除,而網(wǎng)絡(luò)中只要有一臺(tái)工作站未能消毒干凈就可使整個(gè)網(wǎng)絡(luò)重新被病毒感染,甚至剛剛完成清除工作的一臺(tái)工作站就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。

4) 破壞性大:網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作,輕則降低速度,影響工作效率,重則導(dǎo)致網(wǎng)絡(luò)崩潰,服務(wù)器信息被破壞。

5) 潛在危險(xiǎn)性大。校園網(wǎng)絡(luò)一旦感染了病毒,即使病毒已被清除,其潛在的危險(xiǎn)也是巨大的,大部分的網(wǎng)絡(luò)在病毒被清除后一個(gè)月內(nèi)會(huì)再次感染。

6) 黑客攻擊手段與病毒破壞技術(shù)相結(jié)合。病毒開始利用操作系統(tǒng)以及包括IE、outlook 、ICQ等常用網(wǎng)絡(luò)軟件的安全漏洞,進(jìn)人機(jī)器內(nèi)部進(jìn)行遠(yuǎn)程控制,造成數(shù)據(jù)外泄及系統(tǒng)破壞。

3 網(wǎng)絡(luò)安全的防范[5-7]

1) 網(wǎng)絡(luò)病毒的防范:在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的防病毒產(chǎn)品:一個(gè)由服務(wù)器端統(tǒng)一控制管理客戶端的全方位、多層次的防病毒軟件。針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒策略,并通過(guò)定期或不定期的升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲。

2) 防火墻技術(shù):防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻技術(shù)是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制進(jìn)、出一個(gè)網(wǎng)絡(luò)的權(quán)限,在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì),防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)、干擾和破壞內(nèi)部網(wǎng)絡(luò)資源。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。在局域網(wǎng)網(wǎng)絡(luò)出口設(shè)置防火墻,并對(duì)防火墻制定安全策略,對(duì)一些不安全的端口和協(xié)議進(jìn)行限制,使所有的服務(wù)器、工作站及網(wǎng)絡(luò)設(shè)備都在防火墻的保護(hù)之下,同時(shí)配置一臺(tái)日志服務(wù)器記錄、保存防火墻日志,詳細(xì)記錄了進(jìn)、出網(wǎng)絡(luò)的活動(dòng),防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。

3) 入侵檢測(cè)系統(tǒng):入侵檢測(cè)系統(tǒng)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過(guò)此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測(cè)屬于動(dòng)態(tài)的安全技術(shù),它能幫助系統(tǒng)主動(dòng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,同時(shí)也提高了校園網(wǎng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)能在不影響校園網(wǎng)絡(luò)性能的情況下能對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而實(shí)現(xiàn)對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

4) 身份認(rèn)證:身份認(rèn)證是任何一個(gè)安全的計(jì)算機(jī)所必需的組成部分。身份認(rèn)證必須做到準(zhǔn)確無(wú)誤地將對(duì)方辨認(rèn)出來(lái),同時(shí)還應(yīng)該提供雙向的認(rèn)證,即互相證明自己的身份,網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證比較復(fù)雜,因?yàn)轵?yàn)證身份的雙方都是通過(guò)網(wǎng)絡(luò)而不是直接接觸的,傳統(tǒng)的指紋等手段已無(wú)法使用,同時(shí)大量的黑客隨時(shí)隨地都可能嘗試向網(wǎng)絡(luò)滲透,截獲合法用戶口令并冒名頂替,以合法身份入網(wǎng),所以目前通常采用的是基于對(duì)稱密鑰加密或公開密鑰加密的方法,以及采用高科技手段的密碼技術(shù)進(jìn)行身份驗(yàn)證。

5) 漏洞掃描系統(tǒng):面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

6) 訪問(wèn)控制技術(shù):訪問(wèn)控制根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限,即按事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法,當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí),該機(jī)制將拒絕這一企圖,其主要通過(guò)注冊(cè)口令、用戶分組控制、文件權(quán)限控制三個(gè)層次完成。此外,審計(jì)、日志、入侵偵察及報(bào)警等對(duì)保護(hù)網(wǎng)絡(luò)安全起一定的輔助作用,只有將上述各項(xiàng)技術(shù)很好地配合起來(lái),才能為網(wǎng)絡(luò)建立一道安全的屏障。

7) IP盜用問(wèn)題的解決:在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

8) 利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全:對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下,我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長(zhǎng)期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

4 結(jié)束語(yǔ)

本文所提到的校園網(wǎng)絡(luò)安全防范只是加強(qiáng)安全性的建議,并不是做到這些就可以保證萬(wàn)無(wú)一失。認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對(duì)于保障信息系統(tǒng)的安全性將十分重要,只有當(dāng)網(wǎng)絡(luò)中的使用者學(xué)會(huì)如何安全的使用網(wǎng)絡(luò)資源時(shí),才能最終保證整個(gè)網(wǎng)絡(luò)的安全?？傊?網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,只有嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實(shí)時(shí)地保證信息的完整性和確證性,為校園網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。

參考文獻(xiàn):

[1] 李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社,2004.

[2] 李俊宇.信息安全技術(shù)基礎(chǔ)[M].北京:冶金工業(yè)出版社.2004.

[3] 哈利,賈建勛,譯.計(jì)算機(jī)病毒揭秘[M].北京:人民郵電出版社,2002.

[4] 程勝利,談冉,熊文龍,等.計(jì)算機(jī)病毒及其防治技術(shù)[M].北京:清華大學(xué)出版社,2004.

[5] 寧章.計(jì)算機(jī)及網(wǎng)絡(luò)安全與防護(hù)基礎(chǔ)[M].北京:北京航空航天大學(xué)出版社,1999.

篇7

【關(guān)鍵詞】校園網(wǎng)；網(wǎng)絡(luò)安全；安全策略

【中圖分類號(hào)】TN915.08【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0329-02

1 校園網(wǎng)絡(luò)安全規(guī)范

校園的網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)措施，對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實(shí)施保護(hù)，使其不會(huì)因?yàn)橐恍┎焕蛩囟獾狡茐?，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全、可靠地運(yùn)行。

學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行管理，信息中心負(fù)責(zé)網(wǎng)絡(luò)資源，系統(tǒng)管理員口令絕對(duì)保密，根據(jù)用戶需求嚴(yán)格控制，合理分配用戶權(quán)限，向?qū)W生開放的教學(xué)實(shí)驗(yàn)室應(yīng)禁止使用軟驅(qū)和光驅(qū)，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網(wǎng)絡(luò)狀況分析

（1）資源分布和應(yīng)用服務(wù)體系

校園網(wǎng)絡(luò)可向網(wǎng)絡(luò)用戶提供：域名服務(wù)（DNS），電子郵件服務(wù)（Email），遠(yuǎn)程登錄（telnet），文件傳輸服務(wù)（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲(chǔ)，交換，檢索等服務(wù)。

（2）網(wǎng)絡(luò)結(jié)構(gòu)的劃分

整個(gè)網(wǎng)絡(luò)是由各網(wǎng)絡(luò)中心，和園區(qū)內(nèi)部網(wǎng)絡(luò)通過(guò)各種通信方式互聯(lián)而成，所有網(wǎng)絡(luò)可歸納為由連接子網(wǎng)、公共子網(wǎng)、服務(wù)子網(wǎng)、內(nèi)部網(wǎng)四個(gè)部分組成。這四部分組成一個(gè)獨(dú)立單位的局域網(wǎng)，然后通過(guò)廣域連接與其他網(wǎng)絡(luò)連接。

2.2 網(wǎng)絡(luò)安全目標(biāo)

為了增加網(wǎng)絡(luò)安全性，必須對(duì)信息資源加以保護(hù)，對(duì)服務(wù)資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問(wèn)控制。

b：內(nèi)部信息；即需要身份驗(yàn)證以及根據(jù)根據(jù)身份進(jìn)行訪問(wèn)控制。

C：敏感信息；即需要驗(yàn)證身份和傳輸加密。

（2）服務(wù)資源包括：內(nèi)部服務(wù)資源、公眾服務(wù)資源

內(nèi)部服務(wù)資源：面向已知客戶，管理和控制內(nèi)部用戶對(duì)信息資源的訪問(wèn)。

公眾服務(wù)資源：面向匿名客戶，防止和抵御外來(lái)的攻擊。

3 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

3.1 建立網(wǎng)絡(luò)安全模型

通信雙方在網(wǎng)絡(luò)上傳輸信息時(shí)，需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對(duì)信息提供安全機(jī)制和安全服務(wù)。

為了信息的安全傳輸，通常需要一個(gè)可信任的第三方。第三方的作用是負(fù)責(zé)向通信雙方秘密信息，并在雙方發(fā)生爭(zhēng)議時(shí)進(jìn)行仲裁。設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全方案時(shí)，需要完成以下四個(gè)基本任務(wù)：

（1）設(shè)計(jì)一個(gè)算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發(fā)與共享的方法；

（4）設(shè)定兩個(gè)責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)。

3.2 數(shù)據(jù)備份方法

數(shù)據(jù)備份有多種實(shí)現(xiàn)形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個(gè)文件都由不同的邏輯塊組成，每個(gè)邏輯塊存儲(chǔ)在連續(xù)的物理磁盤塊上，備份系統(tǒng)能識(shí)別文件結(jié)構(gòu)，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設(shè)備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時(shí)忽略文件結(jié)構(gòu)，從而提高備份的性能。因?yàn)樵趫?zhí)行過(guò)程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個(gè)系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進(jìn)行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問(wèn)題，可以使用備份文件快速地恢復(fù)數(shù)據(jù)。

（4）增量備份

為了解決完全備份的兩個(gè)缺點(diǎn)，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對(duì)于上次備份操作更新過(guò)的數(shù)據(jù)。因?yàn)樵谔囟ǖ臅r(shí)間段內(nèi)只有少量的文件發(fā)生改變，既節(jié)省空間，又縮短了備份的時(shí)間。因而這種備份方法比較經(jīng)濟(jì)，可以頻繁地進(jìn)行。

（5）差異備份

差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復(fù)時(shí)涉及到備份記錄數(shù)量限制在兩個(gè)，以簡(jiǎn)化恢復(fù)的復(fù)雜性。

3.3 防火墻技術(shù)

防火墻是在網(wǎng)絡(luò)之間通過(guò)執(zhí)行控制策略來(lái)保護(hù)網(wǎng)絡(luò)的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。

防火墻是一個(gè)由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護(hù)目的不同，防火墻系統(tǒng)的配置與實(shí)現(xiàn)方式也有很大的區(qū)別。簡(jiǎn)單的一個(gè)包過(guò)濾路由器或應(yīng)用網(wǎng)關(guān)、應(yīng)用服務(wù)器都可以作為防火墻使用。

3.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)。它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自內(nèi)部的非法授權(quán)行為，并采取相應(yīng)的防護(hù)手段。它的基本功能包括：

（1）監(jiān)控、分析用戶和系統(tǒng)的行為。

（2）檢查系統(tǒng)的配置和漏洞。

（3）評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。

（4）對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類型，并向網(wǎng)絡(luò)管理人員報(bào)警。

（5）對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。

4 校園網(wǎng)主動(dòng)防御體系

校園網(wǎng)的安全威脅既有來(lái)自校內(nèi)的，也有來(lái)自校外的。在設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時(shí)，首先要了解學(xué)校的需要和目標(biāo)，制定安全策略。因此網(wǎng)絡(luò)安全防范體系應(yīng)該是動(dòng)態(tài)變化的，必須不斷適應(yīng)安全環(huán)境的變化，以保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保它的有效性和先進(jìn)性。

安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心。網(wǎng)絡(luò)系統(tǒng)的安全性不只是技術(shù)方面的問(wèn)題，一個(gè)有效的安全防范體系應(yīng)該是以安全策略為核心，以安全技術(shù)為支撐，以安全管理為落實(shí)，安全管理主要是對(duì)安全技術(shù)和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術(shù)是輔助安全管理的措施。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或其它安全威脅時(shí)，無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，也無(wú)法提供黑客攻擊的追蹤線索，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求網(wǎng)絡(luò)管理員經(jīng)常通過(guò)網(wǎng)絡(luò)攻擊掃描器提前識(shí)別弱點(diǎn)區(qū)域，入侵系統(tǒng)監(jiān)控和響應(yīng)安全事件，必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵。

結(jié)論

通過(guò)上述分析，我提出如下校園網(wǎng)絡(luò)安全防范策略：

（1）利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

（2）利用防火墻建立網(wǎng)絡(luò)的安全保護(hù)措施，保證系統(tǒng)安全；

（3）利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問(wèn)被拒絕；利用防火墻加強(qiáng)合法用戶的訪問(wèn)認(rèn)證，同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將訪問(wèn)權(quán)限控制在最低限度內(nèi)；

（4）在Internet出口處，使用NetHawk監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控；

（5）在本校區(qū)部署RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，及時(shí)彌補(bǔ)出現(xiàn)的漏洞；

（6）加強(qiáng)網(wǎng)絡(luò)安全管理，提高全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。

[1] 馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2001，3

[2] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國(guó)水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M].北京：希望電子出版社，2006.2：42-43

篇8

安全網(wǎng)絡(luò)中，計(jì)算機(jī)病毒通過(guò)訪問(wèn)進(jìn)行非法侵入。所以，對(duì)網(wǎng)絡(luò)的訪問(wèn)進(jìn)行控制，是有效保護(hù)網(wǎng)絡(luò)的安全以及資源不被非法利用的有效途徑。（1）對(duì)非法用戶的訪問(wèn)進(jìn)行嚴(yán)格防范。黑客以及間諜就是所謂非法用戶中帶有攻擊性的人群，他們對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，就是非法訪問(wèn)。計(jì)算機(jī)中口令、密碼、用戶名等保護(hù)措施，當(dāng)面臨攻擊性的非法用戶時(shí)，輕而易舉就能被破解，不能有效對(duì)信息實(shí)現(xiàn)保護(hù)。所以，我們必須要采用能夠有效進(jìn)行保護(hù)的防護(hù)措施，在訪問(wèn)中設(shè)定資源只有合法用戶才能訪問(wèn)，非法用戶禁止的權(quán)限。（2）對(duì)合法用戶中含有的非授權(quán)訪問(wèn)進(jìn)行防范。在合法用戶中，也會(huì)有非授權(quán)訪問(wèn)的情況，簡(jiǎn)單說(shuō)，就是合法用戶在訪問(wèn)時(shí)，沒(méi)經(jīng)過(guò)許可情況下，對(duì)不該進(jìn)入的資源進(jìn)行訪問(wèn)。總的來(lái)說(shuō)，每個(gè)人的計(jì)算機(jī)系統(tǒng)里面都有一部分可以對(duì)外訪問(wèn)的信息，另一部分是被保密的信息，屬于個(gè)人隱私。所以，面對(duì)計(jì)算機(jī)信息的龐大服務(wù)人群時(shí)，一定要嚴(yán)格監(jiān)控是否具有訪問(wèn)權(quán)限。

2系統(tǒng)安全

網(wǎng)絡(luò)中，系統(tǒng)安全為防止網(wǎng)絡(luò)被外界的危害侵蝕，采用一系列防護(hù)措施對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，其中包括邏輯安全和物理安全。（1）物理安全。在上文中提到過(guò)物理安全，它是在計(jì)算機(jī)網(wǎng)絡(luò)中，對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行物理保護(hù)，避免網(wǎng)絡(luò)系統(tǒng)被破壞、資源文件丟失等的重要防護(hù)措施。物理角度上來(lái)說(shuō)，校園網(wǎng)絡(luò)因?yàn)樯婕胺秶鷱V且復(fù)雜，共用場(chǎng)所較多，不能像私人財(cái)產(chǎn)那樣進(jìn)行保護(hù)，所以從一定程度上來(lái)說(shuō)，校園網(wǎng)絡(luò)安全比較脆弱。校園網(wǎng)絡(luò)中，所有不能上鎖的地方，都有可能受到非法入侵、破壞。例如，電纜、光纜、遠(yuǎn)程網(wǎng)、局域網(wǎng)、電話線等。一旦這些地方受到非法入侵，教學(xué)的正常進(jìn)行就會(huì)受到影響。（2）邏輯安全。信息的保密性、可用性和完整性是構(gòu)成邏輯安全的主要部分。保密性是說(shuō)，信息不可對(duì)沒(méi)有經(jīng)過(guò)授權(quán)許可的人泄露；完整性是指計(jì)算機(jī)系統(tǒng)中，可以做修改、刪除一些程序和數(shù)據(jù)部分；可用性是說(shuō)合法用戶能夠?qū)τ?jì)算機(jī)資源以及數(shù)據(jù)進(jìn)行操縱，能夠及時(shí)、安全、正確的被服務(wù)，反之，非法用戶沒(méi)有訪問(wèn)權(quán)限。

3防范計(jì)算機(jī)病毒

篇9

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全 設(shè)計(jì)

以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入，伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各種各樣的安全問(wèn)題也相繼出現(xiàn)，校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會(huì)影響和巨大的經(jīng)濟(jì)損失。

一、物理安全設(shè)計(jì)

為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。正常的防范措施主要在三個(gè)方面：對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門的關(guān)起等。對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。

二、網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì)

針對(duì)這個(gè)問(wèn)題，我們決定使用VLAN技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)物理隔離來(lái)實(shí)現(xiàn)。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。

IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。

但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其它VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。從目前來(lái)看，根據(jù)端口來(lái)劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機(jī)的端口來(lái)劃分VLAN成員，被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。

但是，這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。

三、計(jì)算機(jī)病毒、黑客以及電子郵件應(yīng)用風(fēng)險(xiǎn)防控設(shè)計(jì)

1.防病毒技術(shù)。病毒伴隨著計(jì)算機(jī)系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現(xiàn)在INTERNET上，并且借助INTERNET上的信息往來(lái)，尤其是EMAIL進(jìn)行傳播，傳播速度極其快。計(jì)算機(jī)黑客常用病毒夾帶惡意的程序進(jìn)行攻擊。

為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受到計(jì)算機(jī)病毒的侵害，同時(shí)為了建立一個(gè)集中有效地病毒控制機(jī)制，需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)。這些技術(shù)包括：基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如，我們準(zhǔn)備在主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)防病毒產(chǎn)品套間，并在計(jì)算機(jī)信息網(wǎng)絡(luò)中設(shè)置防病毒中央控制臺(tái)，從控制臺(tái)給所有的網(wǎng)絡(luò)用戶進(jìn)行防病毒軟件的分發(fā)，從而達(dá)到統(tǒng)一升級(jí)和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)防范病毒，同時(shí)通過(guò)主機(jī)傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統(tǒng)，從而保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全。形成的整體拓?fù)鋱D。

2.防火墻技術(shù)。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備，專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別，訪問(wèn)控制，安全審計(jì)，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），IDS，VPN，應(yīng)用等功能，保護(hù)內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò)，解決內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)出入口的安全問(wèn)題。

篇10

關(guān)鍵詞: 數(shù)字化校園 校園網(wǎng) 網(wǎng)絡(luò)安全

一、引言

逐漸豐富起來(lái)的應(yīng)用和信息資源使校園網(wǎng)在學(xué)校教學(xué)、科研和管理等方面發(fā)揮的作用日益重要,廣大師生從事教學(xué)、科研、生活和管理工作時(shí)對(duì)校園網(wǎng)依賴性也越來(lái)越高。然而,外部黑客的侵襲,內(nèi)部人員的攻擊,不良、非法信息的侵入和病毒破壞都能造成網(wǎng)絡(luò)信息系統(tǒng)的癱瘓,嚴(yán)重威脅著網(wǎng)絡(luò)的正常使用。網(wǎng)絡(luò)的生命就在于網(wǎng)絡(luò)的安全性。那么,在現(xiàn)有的條件下如何加強(qiáng)校園網(wǎng)絡(luò)的防護(hù),保證網(wǎng)絡(luò)的暢通、信息的完整,直接關(guān)系到學(xué)校的整體形象、關(guān)系到學(xué)校的整體利益、關(guān)系到學(xué)生的成長(zhǎng)和成才。

二、校園網(wǎng)面臨的安全隱患

絕大部分高校校園網(wǎng)通過(guò)Cernet與Internet相連,在享受Internet資源的同時(shí),也面臨著遭受來(lái)自Internet的外部攻擊風(fēng)險(xiǎn)。同時(shí),校園網(wǎng)連接除了學(xué)校各院、系等教學(xué)、行政單位網(wǎng)絡(luò)外,還連接著校內(nèi)的學(xué)生機(jī),由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此校園網(wǎng)還存在著來(lái)自內(nèi)部的安全隱患。由此我們分析高校校園網(wǎng)絡(luò)安全主要面臨著以下四個(gè)方面的威脅。

1.程序安全漏洞

網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和應(yīng)用軟件都可能存在安全漏洞。這些漏洞一旦被黑客和病毒利用,將給校園網(wǎng)帶來(lái)災(zāi)難性的后果。并且,軟件和硬件配置不當(dāng)同樣會(huì)造成相當(dāng)嚴(yán)重的安全問(wèn)題。

2.網(wǎng)絡(luò)入侵

包括黑客、破壞者和其他試圖非法訪問(wèn)網(wǎng)絡(luò)資源的用戶。入侵可能來(lái)自校園網(wǎng)外部,也可能來(lái)自校園網(wǎng)內(nèi)部。攻擊的動(dòng)機(jī)可能是惡意破壞,也可能是出于興趣和好奇心,但同樣都會(huì)給校園網(wǎng)的安全造成威脅。校園網(wǎng)的使用者主要是學(xué)生,部分學(xué)生對(duì)網(wǎng)絡(luò)很感興趣,而且具有一定的專業(yè)水平,攻擊校園網(wǎng)就成了他們表現(xiàn)自己所學(xué)知識(shí)的首選。

3.計(jì)算機(jī)病毒的威脅

校園網(wǎng)絡(luò)帶給大家方便的同時(shí),也成了計(jì)算機(jī)病毒傳播最快捷的途徑。隨著網(wǎng)絡(luò)的快速發(fā)展,病毒編制者水平的提高和病毒與黑客軟件的結(jié)合,使網(wǎng)絡(luò)病毒頻繁爆發(fā),造成不可估計(jì)的損害,輕則是和用戶開個(gè)玩笑,重則破壞計(jì)算機(jī)軟件、硬件,導(dǎo)致機(jī)密數(shù)據(jù)外泄,還可能使得整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)。特別是現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷地提高,BT流行,傳輸文件越來(lái)越簡(jiǎn)單,為用戶下載提供了方便,但下載的軟件和電子郵件有可能帶有病毒,這無(wú)疑也為網(wǎng)絡(luò)病毒的傳播大開方便之門。

4.用戶安全意識(shí)薄弱

校園網(wǎng)是以大量用戶為中心的系統(tǒng),一個(gè)合法的用戶在這個(gè)系統(tǒng)中可以執(zhí)行大多數(shù)操作。盡管網(wǎng)管人員通過(guò)訪問(wèn)控制策略等手段可以限定用戶的某些對(duì)網(wǎng)絡(luò)產(chǎn)生破壞的行為,但更多的安全措施必須由用戶自己來(lái)完成。用戶安全意識(shí)薄弱,操作不規(guī)范都是威脅校園網(wǎng)安全的主要因素。比如U盤病毒在校內(nèi)大范圍地傳播。

三、校園網(wǎng)安全措施

網(wǎng)絡(luò)安全是一個(gè)涉及面較廣的問(wèn)題,應(yīng)該說(shuō)任何單一的安全措施都不可能提供真正的全方位的網(wǎng)絡(luò)安全。[1]針對(duì)高校網(wǎng)絡(luò)具有較多的用戶群,訪問(wèn)方式多樣,網(wǎng)絡(luò)訪問(wèn)突發(fā)性較高等特點(diǎn),一方面我們要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)層面上的維護(hù),另一方面也要加強(qiáng)校園網(wǎng)的使用管理,具體策略如下。

1.加強(qiáng)校園網(wǎng)安全管理

學(xué)校管理層應(yīng)重視高校計(jì)算機(jī)網(wǎng)絡(luò)的安全管理,加大投入,完善校園網(wǎng)安全管理的各項(xiàng)規(guī)章制度,健全網(wǎng)絡(luò)安全監(jiān)督機(jī)制;并引進(jìn)專業(yè)的網(wǎng)絡(luò)安全管理人才,對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專項(xiàng)培訓(xùn),加強(qiáng)安全意識(shí)和安全業(yè)務(wù)技能;重視校園網(wǎng)用戶安全教育,大力開展學(xué)生網(wǎng)絡(luò)道德教育,對(duì)大學(xué)生進(jìn)行安全常識(shí)教育,如防病毒軟件的安裝、病毒庫(kù)的更新、來(lái)歷不明電子郵件的處理等,以抵御來(lái)自校園網(wǎng)外部的攻擊。

2.構(gòu)建全面的安全技術(shù)策略

從技術(shù)應(yīng)用層面考慮,應(yīng)通過(guò)合理有效的網(wǎng)絡(luò)管理技術(shù)來(lái)應(yīng)對(duì)日趨復(fù)雜多變的網(wǎng)絡(luò)環(huán)境,通過(guò)各種技術(shù)手段來(lái)監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù),以及信息的處理,確保校園網(wǎng)安全運(yùn)行。

(1)訪問(wèn)控制

訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。用戶的入網(wǎng)訪問(wèn)控制通常有用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后,網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問(wèn)權(quán)限,用戶只能在其權(quán)限內(nèi)進(jìn)行操作。賬號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始的。一旦黑客進(jìn)入了系統(tǒng),那么前面的防衛(wèi)措施幾乎就沒(méi)有作用,所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。系統(tǒng)管理員密碼的位數(shù)一定要多,至少應(yīng)該在8位以上,而且不要設(shè)置成容易猜測(cè)的密碼,如自己的名字、出生日期等。對(duì)于普通用戶,設(shè)置一定的賬號(hào)管理策略,如各種開機(jī)口令、登陸口令、共享權(quán)限口令等,并強(qiáng)制用戶每個(gè)月更改一次密碼。[2]對(duì)于一些不常用的賬戶要關(guān)閉,比如匿名登錄賬號(hào)。

(2)配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

校園網(wǎng)絡(luò)雖然比較復(fù)雜,但從整體技術(shù)架構(gòu)來(lái)看,還是屬于局域網(wǎng)范疇,因此,在局域網(wǎng)和外部網(wǎng)絡(luò)接口處配置統(tǒng)一的網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備即可將絕大多數(shù)外部攻擊拒之門外。另外需要注意的是,校園網(wǎng)絡(luò)現(xiàn)在基本上都是高速網(wǎng)絡(luò),因此配置安全設(shè)備既要考慮到功能,又必須考慮性能,將配置安全設(shè)備后對(duì)網(wǎng)絡(luò)性能的影響盡可能的降到最低。據(jù)此要求,校園網(wǎng)絡(luò)需要配備以下安全設(shè)備:高性能的硬件防火墻;旁路監(jiān)聽型的入侵檢測(cè)系統(tǒng);漏洞掃描系統(tǒng);安全審計(jì)系統(tǒng);旁路監(jiān)聽型不良內(nèi)容過(guò)濾系統(tǒng);覆蓋全校范圍的網(wǎng)絡(luò)版防病毒系統(tǒng);網(wǎng)絡(luò)故障檢測(cè),以及網(wǎng)絡(luò)故障診斷設(shè)備。通過(guò)配置這些安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對(duì)大量的非法訪問(wèn)和不健康信息起到有效的阻斷作用,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。

(3)安裝補(bǔ)丁程序和網(wǎng)絡(luò)殺毒軟件

任何操作系統(tǒng)都有漏洞,大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞,尤其是Windows 2000、Windows 2003等微軟的操作系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)管理員需要及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí),有時(shí)候也可以借助第三方安全軟件來(lái)對(duì)系統(tǒng)進(jìn)行升級(jí),如“360安全衛(wèi)士”就是很好的免費(fèi)軟件。

電腦病毒的防范,根據(jù)校園網(wǎng)現(xiàn)狀,在充分考慮可行性的基礎(chǔ)上,可采用殺毒軟件網(wǎng)絡(luò)版的分級(jí)管理,多重防護(hù)體系作為校園網(wǎng)的防病毒管理架構(gòu)。充分使用殺毒軟件網(wǎng)絡(luò)版所擁有的“遠(yuǎn)程安裝”、“智能升級(jí)”、“集中管理”等多種功能,為校園網(wǎng)絡(luò)建立起一個(gè)完善的防病毒體系。

四、結(jié)語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,校園網(wǎng)安全問(wèn)題也會(huì)變的異常嚴(yán)峻,本文歸納并提出了一些校園網(wǎng)絡(luò)信息安全防護(hù)的方法和策略。如今,校園網(wǎng)絡(luò)越來(lái)越多地?fù)?dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多重要的角色。尤其是現(xiàn)代高等院校,逐步實(shí)現(xiàn)網(wǎng)絡(luò)化和信息化辦公、網(wǎng)絡(luò)學(xué)術(shù)交流等是院校自身發(fā)展的必經(jīng)之路。

參考文獻(xiàn):