黃 振 祝海炳

（浙江金融職業(yè)學院，浙江 杭州 310018）

1 校園網絡的安全性分析

1.1 物理層的安全問題

校園網絡系統(tǒng)的安全是以物理安全為前提的。主要包括：各種自然災害比如地震，雷擊，電擊，水火災害等；電源的故障或由硬件原因引起的故障，由操作人員的操作失誤造成的故障，由于設備失竊、故意損毀或超載；行盜竊和竊聽等。

1.2 網絡層的安全問題

拓撲結構、網絡的路由狀態(tài)和網絡環(huán)境等是決定網絡安全的關鍵因素。網絡層面的主要威脅包括：訪問未經授權的網絡應用服務；交換信息的保密性；傳播或滲透網絡病毒；網絡的拒絕服務型攻擊，網絡監(jiān)聽，網絡欺騙攻擊；針對網絡設備配置脆的攻擊弱性，因應用軟件的缺陷而造成的網絡攻擊。

1.3 系統(tǒng)層安全問題

系統(tǒng)的安全性是指整個網絡的操作系統(tǒng)，網絡硬件的平臺是不是可靠和值得信賴的。沒有絕對安全的操作系統(tǒng)可以選擇，微軟Windows操作系統(tǒng)或其他操作系統(tǒng)都不是決定安全的，系統(tǒng)本身也有很多的漏洞問題，這些漏洞將帶來各種重大的安全隱患。

1.4 應用層的安全問題

應用安全是主機系統(tǒng)應用軟件的層面問題。應用系統(tǒng)軟件的使用，一方面給用戶帶來方便，但也帶來了新的網絡威脅，這是因為大多數的互聯(lián)網應用系統(tǒng)軟件都不具有良好的安全性設計，網絡服務器程序經常使用超級用戶權限執(zhí)行，這引起了很多安全問題。

2 校園網絡的安全設計

2.1 物理層的安全設計

主要針對通信安全，設備的安全，機房環(huán)境安全三個方面設計校園網絡物理安全。

光纜的安全設計：很多線路都有可能破壞或者竊聽，比如光纜和雙絞線，因此，應該通過專用電纜溝布線，建筑物之間的光纖光纜應埋在地下，建筑物內的雙絞線應該埋在有管道的墻壁內，應盡量確保安全，防止發(fā)生挖掘和破壞事件。同時，學校安全辦公室負責組織校園巡邏，校園網絡的輸電線路和設施的檢查和巡邏，以防止通信線路被損壞。

校園網服務器機房設計要按照《電子計算機機房設計規(guī)范》、《計算站場地技術條件》和《計算站場地安全要求》，分別是國家標準GB50173-93、國標GB2887-89和 GB9361-88進行設計。 電源供應和分配系統(tǒng)，能夠確保機房的主機、服務器、網絡設備、通訊設備的安全，不間斷供電，在任何情況下都能做到，沒有單點故障，穩(wěn)定、可靠，同時也為UPS系統(tǒng)提供電源，以確保系統(tǒng)安全。

物理安全設備的設計：采用門禁系統(tǒng)，以確保使用的物理設備的安全，同時做設備的抗毀，抗電磁輻射，抗電磁信息泄漏和干擾的處理等。

2.2 網絡層的安全設計

路由器訪問控制：數據包過濾在網絡層的基礎上，選擇該系統(tǒng)設置了過濾邏輯的數據包。檢查每個數據包的源地址、目的地址、口號、協(xié)議狀態(tài)等因素，或它們的組合，以確定是否允許數據包通過數據流。路由訪問列表access-list命令來完成設置包過濾規(guī)則，被稱為訪問控制列表和拒絕語句，它們規(guī)范了路由器的數據。訪問列表，允許網絡管理員控制網絡數據流，依據為數據包的源IP地址、目的IP地址和應用類型。

使用加密技術認證：DES技術認證的校園網站，提高網絡服務的安全性和效率。DES算法在認證過程中，不怕被竊聽，加密傳輸數據，可以防止篡改，將數據傳輸的數字簽名，使用認證反應過程的方法，實現數據的安全傳輸。

入侵檢測技術及其應用：入侵檢測系統(tǒng)能為校園網絡提供可靠的安全保障。首先，實時監(jiān)控網絡流量的入侵檢測系統(tǒng)，能夠準確有效地識別所有已知攻擊和未知攻擊的網絡活動，一旦發(fā)現攻擊，警方立即采取應對措施。其次，具有入侵檢測與分析的能力，對于具有逃避入侵檢測技術的通信數據系統(tǒng)，可以有效檢測其IDS，以避免其行為。再次，通過對網絡數據的完整記錄，在入侵過程中，為安全事故的調查提供證據，進行分析。

2.3 系統(tǒng)級別的安全性設計

操作系統(tǒng)安全：服務器系統(tǒng)，使用微軟專門為教育界推出了正版的Windows Server 2003操作系統(tǒng)，所有分區(qū)使用一個專用的服務器，網絡應用服務，使用專用服務器上的NTFS格式，所以的系統(tǒng)和日志都放在這個系統(tǒng)上。安裝正版的Windows Server 2003，安裝應用程序，升級、補丁，然后聯(lián)網調試。在服務器上解除NetBIOS和TCP/IP協(xié)議綁定的TCP/IP協(xié)議，刪除NETBEUI，IPX/SPX協(xié)議。授權的用戶共享文件從Everyone組特定的授權用戶改為“完全控制”權限需要給予授權，關閉默認共享，遠程管理和遠程IPC，防止IPC的入侵，每臺服務器上的登錄賬號和密碼中位數要足夠長和足夠復雜，定期更改密碼，不使用姓名、電話、出生日期、學校名稱、部門名稱等作為密碼，運用密碼策略、賬戶策略，以符合密碼復雜性要求。設置密碼的最長使用期限。系統(tǒng)默認所有的端口是開放的，根據提供的服務的服務器需要，關閉那些不需要打開的服務和端口。

安全審計存在于自帶的Windows Server 2003系統(tǒng)中，打開安全審計策略的入侵檢測方法。服務器安裝設置完成后，應該創(chuàng)建一個緊急修復磁盤，準備系統(tǒng)意外損壞不能正常啟動時應急使用。進行服務器漏洞掃描，采用多種方式對系統(tǒng)進行優(yōu)化配置和修補程序，最大程度上修補最新的安全漏洞，消除服務器本身的安全隱患。

服務器帳戶的安全性：取消系統(tǒng)默認的用戶名和密碼，重新命名系統(tǒng)管理員及用戶名和密碼，并撤銷Guest帳戶的申請，以避免未經授權的用戶進行攻擊。此外，對用戶數量進行限制，避免其他用戶嘗試登錄到該系統(tǒng)。系統(tǒng)管理員應設置一個復雜的密碼。以實現最大程度的保護。確保管理員帳戶的安全，密碼必須至少有九個字符，包含一個標點符號或字符非ASCⅡ碼至少有七個字符。此外，您不能在多臺服務器上設置相同的管理員帳戶密碼。應在每個服務器上使用不同的密碼，以提高工作組或域的安全級別。要定期更換系統(tǒng)管理員的密碼。

數據備份和恢復：做數據備份和恢復很重要。如果是系統(tǒng)中的問題，運行計算機系統(tǒng)所需的數據和信息系統(tǒng)應該進行整體恢復。系統(tǒng)安全需求可選擇的備份機制：進行高速、高容量的自動數據存儲、備份和恢復;異地數據存儲、備份和恢復系統(tǒng)的備份。備份不只是發(fā)揮保護作用，在發(fā)生網絡系統(tǒng)硬件故障或人為錯誤時發(fā)揮重要作用。出現入侵者未經授權的訪問或網絡上的攻擊和破壞數據等情況是，對系統(tǒng)的完整性起到保護作用，是系統(tǒng)的災難后恢復的先決條件之一。

配置防火墻：通過光纖連接核心交換機6806E到行政大樓、教學體系、圖書館和其他建筑物，將銳捷公司的硬件防火墻RGWALL160A架設在核心交換機6806E和路由器2600之間。控制進/出數據的訪問以及對網絡進行隔離。防火墻的主要作用是隔離核心交換機和匯聚層的2126交換機，并嚴格控制教師/學生宿舍網絡數據包訪問主要校園網絡資源，防止學生在宿舍對行政辦公室及主校區(qū)教學單位在網絡上進行未經授權的操作。

結論

校園網絡環(huán)境、安全與防務問題，必須認真對待并加強管理。針對校園網絡的安全性建設問題，需加強網絡運行的實時檢測，及時發(fā)現潛在的安全隱患，有效遏制安全事故，以確保整個校園網絡系統(tǒng)、網絡與信息的安全。發(fā)現網絡和系統(tǒng)漏洞，需及時進行修復，并采取預防措施，進一步改善校園網絡環(huán)境的安全。

[1] 張郭軍.校園網絡安全技術的現狀及發(fā)展趨勢[J].渭南師范學院報，2007，4.

[2] 陽柳，校園網絡安全體系的解決方案[J]，計算機安全.2007年，p178-182.

[3] 謝希仁.計算機網絡[M].大連:大連理工大學出版社，2004.