摘 要：隨著學(xué)校信息化建設(shè)進(jìn)一步加強(qiáng)，校園網(wǎng)日益普及。在網(wǎng)絡(luò)運行過程中，校園網(wǎng)的安全問題也變得越來越突出。本文通過對校園網(wǎng)安全問題的分析，提出了網(wǎng)絡(luò)安全防范對策。

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全 防范對策

一、引言

校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境。而且會加強(qiáng)各院校之間的互聯(lián)互通，極大地提高教育行業(yè)整體的工作效率和教育質(zhì)量。然而不幸的是。近年來大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生，互聯(lián)網(wǎng)上蠕蟲、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段層出不窮。導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)無法正常進(jìn)行。針對校園網(wǎng)的安全問題，提出相應(yīng)的防范對策是十分必要的。

二、校園網(wǎng)中主要的安全問題及分析

1.物理安全。是指針對物理設(shè)備的存放環(huán)境不當(dāng)、人為操作失誤或錯誤、計算機(jī)犯罪行為的發(fā)生等，使網(wǎng)絡(luò)資源使用發(fā)生異常，造成校園網(wǎng)不能正常運行。可以說，物璩安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。

2.非授權(quán)訪問。是指未經(jīng)授權(quán)或假冒合法用戶而獲得了訪問網(wǎng)絡(luò)資源的權(quán)限，從而獲取所需資料、篡改有關(guān)數(shù)據(jù)或利用有關(guān)資源從事非法活動的情況。在校園網(wǎng)上最常見的是盜用合法用戶的IP地址，給合法用戶造成經(jīng)濟(jì)損失，造成網(wǎng)絡(luò)沖突，使得網(wǎng)絡(luò)不能正常工作，嚴(yán)重地造成主機(jī)癱瘓，影響整個校園網(wǎng)的運行。

3.拒絕服務(wù)攻擊。是指攻擊者惡意地向目標(biāo)機(jī)器發(fā)送信息洪流，占用網(wǎng)絡(luò)資源和計算機(jī)設(shè)備資源，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)寬帶，阻止正常用戶的訪問，使網(wǎng)絡(luò)處于一種癱瘓狀態(tài)。

4.計算機(jī)病毒?；ヂ?lián)網(wǎng)已經(jīng)成為計算機(jī)病毒傳播最大的來源，互聯(lián)網(wǎng)上出現(xiàn)了種種新的病毒，利用電子郵件和網(wǎng)絡(luò)信息傳播，感染快、危害嚴(yán)重，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。校園網(wǎng)上因主機(jī)與用戶眾多且用戶水平參差不齊，計算機(jī)病毒易爆發(fā)大規(guī)模感染且清除困難。

基于以上存在的安全問題，認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨著如下的安全威脅：

(1)各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；

(2)Intemet網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的威脅，尤其針對網(wǎng)站和服務(wù)器的攻擊最為明顯；

(3)來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；

(4)內(nèi)部用戶對Intemet的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶人校園內(nèi)網(wǎng)；

(5)內(nèi)外網(wǎng)惡意用戶可能利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；

(6)校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶，目前針對OlCQ的黑客程序隨處可見：

(7)可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅。

三、校園網(wǎng)絡(luò)安全防范對策

要解決校園網(wǎng)的安全問題，必須全面地研究其防范對策。下面從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個方面制訂對策：

1.物理層安全

物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。它是指保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生；采用內(nèi)外網(wǎng)物理隔離、磁盤陣列對數(shù)據(jù)進(jìn)行數(shù)據(jù)備份等措施來解決數(shù)據(jù)物理安全。由此，系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB50173-93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、GB2887-89《計算機(jī)站場地安全要求》及GB2887-89《計算機(jī)站場地技術(shù)條件》的要求；在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏；保護(hù)線路的安全，防止用戶的搭線竊聽行為。

2.系統(tǒng)安全

系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種：

(1)采用主機(jī)加固手段對主機(jī)☆n固，如升級、打補(bǔ)丁、關(guān)閉不需要的端口等。

(2)采用主機(jī)訪問控制手段加強(qiáng)對主機(jī)的訪問控制。

在實際應(yīng)用中，可以利用各類防、殺病毒軟件、各類系統(tǒng)優(yōu)化軟件、對操作系統(tǒng)自身設(shè)置主策略等實現(xiàn)。

3.網(wǎng)絡(luò)層安全

校園網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個網(wǎng)絡(luò)可能要互相鏈接。正是這種多網(wǎng)的互聯(lián)，使我們對網(wǎng)絡(luò)層的安全要極度重視。定義一個網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù)：

(1)劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級的安全域，可以通過劃分子網(wǎng)及VLAN的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過劃分子網(wǎng)來控制，不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。

(2)加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和Internet之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過濾?？捎行У亟鉀Q需求中提到的多種威脅。

(3)防止內(nèi)外的攻擊威脅。在每個安全域內(nèi)或多個安全域之廚安裝聯(lián)想網(wǎng)御入侵檢測系統(tǒng)(IDS)，可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。

(4)定期的網(wǎng)絡(luò)安全性檢測實現(xiàn)持續(xù)安全。利用漏洞掃描器(Scanner)，定期對系統(tǒng)進(jìn)行安全性評估，及時發(fā)現(xiàn)安全隱患并實施修補(bǔ)，可達(dá)到阿絡(luò)的相對持續(xù)安全。

(5)建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒，保護(hù)全網(wǎng)不被病毒侵害。

4.應(yīng)用層安全

應(yīng)用層的安全措施主要有以下幾點：

(1)各應(yīng)用系統(tǒng)自身的加固。

(2)建立身份系統(tǒng)。身份認(rèn)證系統(tǒng)查核用戶的身份證明過程，是判明和確認(rèn)通信雙方真實身份的重要環(huán)節(jié)。常用的驗證技術(shù)有以下三種：報文鑒別；身份鑒別，包括口令鑒別、磁卡鑒別、生物特征鑒別；數(shù)字簽名。

，(3)建立安全審計系統(tǒng)。規(guī)范用戶上網(wǎng)行為和系統(tǒng)調(diào)用。保證網(wǎng)絡(luò)用戶資源不被非法使用，保證網(wǎng)絡(luò)管理系統(tǒng)本身不被為授權(quán)的訪問。

(4)建立備份系統(tǒng)。在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)各類異常時起到保護(hù)作用。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場地內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復(fù)；場地外的數(shù)據(jù)存儲、備份與恢復(fù)；對系統(tǒng)設(shè)備的備份。

5.管理層安全

實現(xiàn)管理層的安全主要有以下幾點：

(1)建立安全管理平臺。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析，定期維護(hù)維修。

(2)建立、健全安全管理體制。校園網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設(shè)備的完美結(jié)合才能真正提高校園網(wǎng)的安全水平。

(3)提高全員的安全意識。定期組織網(wǎng)絡(luò)安全培訓(xùn)，定期發(fā)布各類網(wǎng)絡(luò)安全警報。

四、結(jié)束語

建立全面實用可行的防范措施，解決校園網(wǎng)的安全問題需在校園網(wǎng)規(guī)范、設(shè)計、建設(shè)、運行、管理的各個環(huán)節(jié)加于重視。同時，防范措施要符合校園網(wǎng)應(yīng)用與安全的實際需求，避免盲目追求高要求。網(wǎng)絡(luò)安全又是一個動態(tài)的過程，在網(wǎng)絡(luò)運行過程中，應(yīng)及時發(fā)現(xiàn)新問題，研究新方法，使校園網(wǎng)正常、安全、高效地運行。