摘要：由于校園網(wǎng)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性、開放性、互連性、無邊界性、自由性等特征，致使網(wǎng)絡(luò)易受黑客和病毒的攻擊，給社會(huì)、學(xué)校帶來了巨大的損失。為此，針對(duì)校園網(wǎng)的各種安全隱患，本文分析了產(chǎn)生隱患的根源和網(wǎng)絡(luò)安全需求，采取相應(yīng)的網(wǎng)絡(luò)安全策略，將安全技術(shù)與教育管理結(jié)合起來，以實(shí)現(xiàn)校園網(wǎng)絡(luò)體系安全、實(shí)用、高效的目標(biāo)。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全技術(shù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)10-1pppp-0c

Shallowly Discusses the Campus Network Security and the Solution

GU Sheng

(Taizhou Normal College，Taizhou 225300，China)

Abstract:Because the campus fishing gear has the joint form multiplicity，the terminal distribution non-uniformity， openness，interlocks characteristic and so on nature，boundless nature，freedom，causes the network easily the hacker and virus's attack，for the society，the school has brought massive loss.Therefore，in view of the campus net each kind of security hidden danger，this article analyzed has had the hidden danger root and the network security demand，adopted the corresponding network security strategy，unified the security technology and the education administration，realizes the campus network system security，practical，the highly effective goal.

Key words:Campus network;Network security technology

1 校園網(wǎng)絡(luò)安全概述

1.1 網(wǎng)絡(luò)病毒

(1)計(jì)算機(jī)感染病毒的途徑：校園內(nèi)部網(wǎng)感染和校園外部網(wǎng)感染。

(2)病毒入侵渠道：來自Internet 或外網(wǎng)的病毒入侵、網(wǎng)絡(luò)郵件/群件系統(tǒng)、文件服務(wù)器和最終用戶。主要的病毒入口是Internet，主要的傳染方式是群件系統(tǒng)。

(3)計(jì)算機(jī)病毒發(fā)展趨勢(shì)：病毒與黑客程序相結(jié)合，病毒破壞性更大，制作病毒的方法更簡單，病毒傳播速度更快，傳播渠道更多，病毒的實(shí)時(shí)檢測(cè)更困難。

(4)切斷病毒源的途徑：要防止計(jì)算機(jī)病毒在網(wǎng)絡(luò)上傳播、擴(kuò)散，需要從Internet、郵件、文件服務(wù)器和用戶終端四個(gè)方面來切斷病毒源。

1.2 網(wǎng)絡(luò)攻擊

(1)校園網(wǎng)與Internet 相連，面臨著遭遇攻擊的風(fēng)險(xiǎn)。

(2)校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，存在的安全隱患更大一些。

(3)目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。

(4)存在“重技術(shù)、輕安全、輕管理”的傾向。

(5)服務(wù)器與系統(tǒng)一般都沒有經(jīng)過細(xì)密的安全配置。

2 校園網(wǎng)絡(luò)安全分析

2.1 物理安全分析

網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要有環(huán)境事故（如地震、水災(zāi)、火災(zāi)、雷電等）、電源故障、人為操作失誤或錯(cuò)誤、設(shè)備被盜或被毀、電磁干擾、線路截獲等。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。從結(jié)構(gòu)上講，校園網(wǎng)可以分成核心、匯聚和接入三個(gè)層次；從網(wǎng)絡(luò)類型上講，可以劃分為教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點(diǎn)是接入方式多，包括撥號(hào)上網(wǎng)、寬帶接入、無線上網(wǎng)等各種形式，接入的用戶類型也非常復(fù)雜。

2.3 系統(tǒng)的安全分析

系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)的操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信賴，其層次分為鏈路安全、網(wǎng)絡(luò)安全、信息安全。目前，沒有完全安全的操作系統(tǒng)。

2.4 應(yīng)用系統(tǒng)的安全分析

應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的，涉及到信息、數(shù)據(jù)的安全性。

2.5 管理的安全風(fēng)險(xiǎn)分析

安全管理制度不健全、責(zé)權(quán)不明確及缺乏可操作性等，都可能引起管理安全的風(fēng)險(xiǎn)。

3 校園網(wǎng)絡(luò)安全解決方案

3.1 校園內(nèi)部網(wǎng)絡(luò)安全方案

3.1.1 內(nèi)網(wǎng)病毒防范

在網(wǎng)絡(luò)的匯聚三層交換機(jī)上實(shí)施不同的病毒安全策略。網(wǎng)絡(luò)通過在交換機(jī)上設(shè)置相應(yīng)的病毒策略，配合網(wǎng)絡(luò)的認(rèn)證客戶端軟件，能偵測(cè)到具體的計(jì)算機(jī)上是否有病毒。

3.1.2 單機(jī)病毒防范

教師機(jī)安裝NT 內(nèi)核的操作系統(tǒng)，使用NTFS 格式的分區(qū)；服務(wù)器可以使用Windows Server甚至UNIX或類UNIX系統(tǒng)。學(xué)生機(jī)安裝硬盤還原卡、保護(hù)卡或者還原精靈，充分利用NTFS分區(qū)的“安全”特性，設(shè)置好各個(gè)分區(qū)、目錄、文件的訪問權(quán)限。安裝簡單的包過濾防火墻。

3.1.3 內(nèi)部網(wǎng)絡(luò)安全監(jiān)控

采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機(jī)，能把網(wǎng)絡(luò)訪問安全控制前移到用戶的接入點(diǎn)。利用三層交換機(jī)的網(wǎng)絡(luò)監(jiān)控軟件，對(duì)網(wǎng)絡(luò)進(jìn)行即時(shí)監(jiān)控。

3.1.4 防毒郵件網(wǎng)關(guān)系統(tǒng)

校園網(wǎng)網(wǎng)關(guān)病毒防火墻安裝在Internet 服務(wù)器或網(wǎng)關(guān)上，在電腦病毒通過Internet 入侵校園內(nèi)部網(wǎng)絡(luò)的第一個(gè)入口處設(shè)置一道防毒屏障，使得電腦病毒在進(jìn)入網(wǎng)絡(luò)之前即被阻截。

3.1.5 文件服務(wù)器的病毒防護(hù)

服務(wù)器上安裝防病毒系統(tǒng)，可以提供系統(tǒng)的實(shí)時(shí)病毒防護(hù)功能、實(shí)時(shí)病毒監(jiān)控功能、遠(yuǎn)程安裝和遠(yuǎn)程調(diào)用功能、病毒碼自動(dòng)更新功能以及病毒活動(dòng)日志、多種報(bào)警通知方式等。

3.1.6 中央控制管理中心防病毒系統(tǒng)

建立中央控制管理中心系統(tǒng)，能有效地將跨平臺(tái)、跨路由、跨產(chǎn)品的所有防毒產(chǎn)品的管理綜合起來，使管理人員能在單點(diǎn)實(shí)現(xiàn)對(duì)全網(wǎng)的管理。

3.2 校園外部網(wǎng)絡(luò)安全方案

3.2.1 校園網(wǎng)分層次的拓?fù)浞雷o(hù)措施

層次一是中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離、內(nèi)外網(wǎng)用戶的訪問控制、內(nèi)部網(wǎng)的監(jiān)控、內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查；層次二是部門級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制、同級(jí)部門間的訪問控制、部門網(wǎng)內(nèi)部的安全審計(jì)；層次三是終端/個(gè)人用戶級(jí)，主要實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制、數(shù)據(jù)庫及終端信息資源的安全保護(hù)。

3.2.2 校園網(wǎng)安全防護(hù)要點(diǎn)

(1)防火墻技術(shù)。目前，防火墻分為三類，包過濾型防火墻、應(yīng)用代理型防火墻和復(fù)合型防火墻（由包過濾與應(yīng)用代理型防火墻結(jié)合而成）。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。

(2)防火墻設(shè)置原則。一是根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，遵從“不被允許的服務(wù)就是被禁止”的原則；二是過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包和以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包；三是在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用；四是定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄；五是允許通過配置網(wǎng)卡對(duì)防火墻進(jìn)行設(shè)置，提高防火墻管理的安全性。

(3)校園網(wǎng)部署防火墻。系統(tǒng)中使用防火墻，在內(nèi)部網(wǎng)絡(luò)和外界Internet之間隔離出一個(gè)受屏蔽的子網(wǎng)，其中WWW、E-mail、FTP、DNS 服務(wù)器連接在防火墻的DMZ區(qū)，對(duì)內(nèi)、外網(wǎng)進(jìn)行隔離。內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet 連接。

(4)入侵檢測(cè)系統(tǒng)的部署。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，將入侵檢測(cè)引擎接入中心交換機(jī)上，對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)。

(5)漏洞掃描系統(tǒng)。采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告。

3.2.3 校園網(wǎng)防護(hù)體系

構(gòu)造校園網(wǎng)“包過濾防火墻+NAT+計(jì)費(fèi)+代理+VPN＋網(wǎng)絡(luò)安全檢測(cè)＋監(jiān)控”防護(hù)體系，具體解決的問題是：內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)；隔離內(nèi)部不同網(wǎng)段，建立VLAN；根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾；內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能；通過IP地址與MAC地址對(duì)應(yīng)防止IP欺騙；基于用戶和IP地址計(jì)費(fèi)和流量統(tǒng)計(jì)與控制；提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)；用戶身份鑒別、權(quán)限控制；支持透明接入和VPN 及其管理；網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)。

4 校園網(wǎng)絡(luò)運(yùn)營安全

4.1 認(rèn)證的方式

網(wǎng)絡(luò)運(yùn)營是對(duì)網(wǎng)絡(luò)用戶的管理，通過“認(rèn)證的方式”使用網(wǎng)絡(luò)。方式如下：

(1)802.1x的基本思想是端口的控制。一般是在二層交換機(jī)上實(shí)現(xiàn)，需要接入的所有交換機(jī)都支持802.1x協(xié)議，實(shí)現(xiàn)整網(wǎng)的認(rèn)證。

(2)基于流的認(rèn)證方式。指交換機(jī)可以用基于用戶設(shè)備的MAC地址、VLAN、IP等實(shí)現(xiàn)認(rèn)證和控制，能解決傳統(tǒng)802.1x無法解決但對(duì)于運(yùn)營是十分重要的一些問題，如假代理、假冒IP和MAC、假冒DHCP SERVER。

4.2 代理管理

利用客戶端機(jī)器上安裝代理服務(wù)器軟件實(shí)現(xiàn)多人共用一個(gè)賬號(hào)上網(wǎng)的現(xiàn)象非常普遍，給學(xué)校的運(yùn)營帶來很大的損失。使用三層交換機(jī)上的802.1x擴(kuò)展功能和802.1x客戶端，防止非認(rèn)證的用戶借助代理軟件從已認(rèn)證的端口使用服務(wù)或訪問網(wǎng)絡(luò)資源，做到學(xué)校提供一個(gè)網(wǎng)絡(luò)端口只能一個(gè)用戶上網(wǎng)。

4.3 賬戶管理

學(xué)生是好奇心強(qiáng)的群體，假冒DHCP SERVER和IP、MAC給學(xué)校的運(yùn)營管理帶來很大的麻煩。通過匯聚三層交換機(jī)和客戶端軟件配合，發(fā)現(xiàn)有假冒的DHCP SERVER，立即封掉該賬戶。

5 校園網(wǎng)絡(luò)的訪問控制策略

5.1 建立并嚴(yán)格執(zhí)行規(guī)章制度

規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。

5.2 身份驗(yàn)證

對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。

5.3 病毒防護(hù)

主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。

6 校園網(wǎng)絡(luò)安全監(jiān)測(cè)

校園網(wǎng)絡(luò)安全監(jiān)測(cè)可采用以下系統(tǒng)或措施：入侵檢測(cè)系統(tǒng)；Web、E-mail、BBS的安全監(jiān)測(cè)系統(tǒng)；漏洞掃描系統(tǒng)；網(wǎng)絡(luò)監(jiān)聽系統(tǒng)；在路由器上捆綁IP和MAC地址。這些系統(tǒng)或措施在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

7 校園網(wǎng)絡(luò)系統(tǒng)配置安全

7.1 設(shè)置禁用

禁用Guest賬號(hào)；為Administrator設(shè)置一個(gè)安全的密碼；將各驅(qū)動(dòng)器的共享設(shè)為不共享；關(guān)閉不需要的服務(wù)，運(yùn)用掃描程序堵住安全漏洞，封鎖端口。

7.2 設(shè)置IIS

通過設(shè)置，彌補(bǔ)校園網(wǎng)服務(wù)器的IIS 漏洞。

7.3 運(yùn)用VLAN 技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。在實(shí)際應(yīng)用過程中，通常采用二者相結(jié)合的方法。

7.4 遵循“最小授權(quán)”原則

指網(wǎng)絡(luò)中的賬號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等都應(yīng)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度，這可以將系統(tǒng)的危險(xiǎn)性大大降低。

7.5 采用“信息加密”技術(shù)

包括算法、協(xié)議、管理在內(nèi)的龐大體系。加密算法是基礎(chǔ)，密碼協(xié)議是關(guān)鍵，密鑰管理是保障。

8 校園網(wǎng)絡(luò)安全管理措施

安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等)。

9 結(jié)束語

校園網(wǎng)安全是一個(gè)動(dòng)態(tài)的發(fā)展過程，應(yīng)該是檢測(cè)、監(jiān)視、安全響應(yīng)的循環(huán)過程。確定安全技術(shù)、安全策略和安全管理只是一個(gè)良好的開端，只能解決60%～90%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動(dòng)性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對(duì)安全風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等，這些都是對(duì)信息系統(tǒng)安全的挑戰(zhàn)。

參考文獻(xiàn)：

[1]孫念龍.后門防范技巧[J].網(wǎng)管員世界，2005(6).

[2]段新海.校園網(wǎng)安全問題分析與對(duì)策[J].中國教育網(wǎng)絡(luò)，2005(3).

[3]王子榮，李軍義，胡峰松.IPv6 發(fā)展與部署之冷靜思考[J].教育信息化，2005(12).

收稿日期：2008-01-22

作者簡介：顧晟（1977-），男，江蘇興化人，泰州師范高等專科學(xué)校助教，研究方向：實(shí)驗(yàn)室建設(shè)與管理，計(jì)算機(jī)網(wǎng)絡(luò)安全。