摘 要：當今校園網正逐漸發(fā)展和改善，且被廣泛應用。與此同時，出現(xiàn)的網絡安全問題也越來越頻繁。校園網是以教育為最終目的，基于科研和服務的網絡。校園網的特點是：多樣性的聯(lián)結形式、終端分布較自以及開放性。因此為提高校園網的安全，必須采取一些措施，文中針對校園網的安全隱患提出了一些安全策略，尤其是加強防火墻與網絡入侵檢測系統(tǒng)相結合以及一些訪問權限設置等。

關鍵詞：校園網；網絡安全；防火墻；入侵檢測

中圖分類號：TP393.18

如今計算機網絡技術迅速發(fā)展，校園網也不斷發(fā)展。校園網對學校的一些教學活動、學生學習、教育管理等各個方面都發(fā)揮著重要的作用。因此，維護、保證校園網的安全成為一項重要的任務。校園網絡一直存在著安全隱患，出現(xiàn)各種安全問題層出不窮，最常見的是病毒入侵、黑客攻擊等，導致數(shù)據丟失和個人隱私泄露，給學校、學生與教師帶來巨大損失。校園網作為學校最基礎也是最重要的設備，更要全面分析這些安全策略，來抵御任何網絡攻擊與威脅，使校園網穩(wěn)定有效地運行下去。

1 校園網安全問題分析

校園網絡系統(tǒng)是為儲存學生數(shù)據資料、為學生和教師提供服務并收集信息、為整個校園提供網絡教育的一個平臺。因此，校園網絡安全策略的目的是防止人們?yōu)E用甚至竊取所有校園數(shù)據資源，并抵御網絡黑客和各種病毒、木馬程序的攻擊。應保證校園網絡系統(tǒng)安全有效的運行，保證教學完善進行。

1.1 校園網出現(xiàn)安全隱患的原因。首先，由于網絡管理員在設置上造成的一些失誤，例如對校園網的操作系統(tǒng)、硬件設備以及相關軟件進行的配置不當所造成的一些安全漏洞問題，所導致的未安全設置路由器IP、用戶的訪問權限過大以及過多打開服務器端口等。這些情況都會給校園網安全帶來巨大的隱患。其次，一些人利用網絡安全漏洞，對校園網絡數(shù)據進行惡意破壞，他們可能會攻擊學校的Web服務器，破壞學校主頁、竊取學校機密文件、向學校服務器發(fā)送大量信息而導致校園網絡癱瘓等。

1.2 校園網絡安全隱患的后果。校園網存在的網絡隱患包括：使用病毒、木馬程序、惡意代碼等進行郵件發(fā)送和接收、遠程管理等一些手段進行傳播，其傳播速度越來越快，并且破壞性極大。并且各種病毒、木馬程序等被不斷更新，更加智能化。這些安全隱患問題所造成的損失巨大。學校的數(shù)據可能被破壞或篡改，甚至會丟失；一些加密文檔、數(shù)據被竊取或盜用、一些不良信息被傳播、學校教師或學生的個人隱私被泄露。

2 校園網絡的安全防護技術

我國的校園網通常以防火墻和入侵檢測系統(tǒng)作為網絡安全防護系統(tǒng)。各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設備也需要不斷地進行改進，各種殺毒軟件也需不斷進行升級，且防御意識也要不斷加強。不經意的疏忽都有可能給學校造成很大損失。

2.1 防護墻技術。一般網絡安全的第一道防線是處于外網與校內網相連位置的防火墻。防火墻最主要的任務是：根據規(guī)則對請求進出的所有網絡數(shù)據進行審查，只有滿足規(guī)則的數(shù)據才會被允許通過網絡；反之則被拒絕。其缺點是：因為防火墻技術屬于被動的網絡防護技術，所以它無法將病毒性的數(shù)據檢測出來；由于校園網內部用戶網絡流量未經過防火墻，因此它不能防御校園網內部一些用戶發(fā)起對FTP服務器、web服務器、DNS服務器以及MAIL服務器等的攻擊。另一方面，如果這些服務器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務器進行轉發(fā)，導致其靈活性下降且功能特性較差；對于抵御外網的攻擊和入侵比較困難，甚至對一些警報有時無法作出及時的響應；系統(tǒng)管理員只有時刻仔細監(jiān)視防火墻，才可能會注意到黑客的攻擊，這樣非常不方便；另外探測與測試防火墻的配置較困難。

2.2 入侵檢測系統(tǒng)。首先，入侵檢測系統(tǒng)（IDS）是指任何有能力進行檢測或改變網絡狀態(tài)的系統(tǒng)，或者是系統(tǒng)的集合。之后IDS能夠發(fā)送警報或是采取設定的行動來維護網絡安全。IDS的一些主要功能：對系統(tǒng)活動和用戶進行分析并監(jiān)測，可以對一些重要的資料、文獻、數(shù)據等進行評估，判斷它們的完整性；負責系統(tǒng)日志的管理工作，對已知攻擊行為和違反安全策略的用戶活動能夠識別出來；可以對系統(tǒng)的配置進行檢測，并能夠找出漏洞。

IDS在結構上分為基于主機的IDS即HIDS與基于網絡的IDS即NIDS。最特別的HIDS是PortSentry軟件，通常HIDS的數(shù)據源為系統(tǒng)日志和應用程序日志等，分析從主機獲取的信息，將其作為監(jiān)控程序來運行，一般其保護的是自身所在的整個系統(tǒng)。而NIDS工作于OSI-RM網絡層，以網絡上的數(shù)據包作為數(shù)據源并對其進行分析。通常在部署NIDS時會將主機的網卡設置成混雜模式，以監(jiān)聽、分析所有本網段內的數(shù)據包。

3 校園網的安全策略分析

3.1 登錄控制。登錄控制主要保證網絡資源被非法使用或訪問，是一種較為有效的網絡安全防范和保護措施。登錄控制能夠有效監(jiān)測校園網絡的用戶登錄到服務器和路由器等網絡設備來獲取信息資源，可控制監(jiān)測用戶進入網絡的時間及地點。一般用戶訪問網絡控制有以下三個步驟：識別和驗證用戶名、用戶口令以及用戶賬號的缺省限制檢查。其中只要有任何一項未通過，此用戶都不能進入網絡。所以，通過登錄控制能夠進一步保證校園網絡安全。

3.2 權限控制。針對網絡的非法操作提出了權限控制，它賦予訪問用戶與用戶組一定的權限，以限制其對資料、目錄、文件以及其他共享資源的訪問，對打印機等共享設備的操作。也是一種保護校園網絡安全的策略。

3.3 定制IP安全策略。在Windows 2000中最新提供了一種基于點到點安全模型的IP安全策略，它可以更好的保證網絡數(shù)據的安全。為防止一些惡意病毒程序對本地機器的訪問，在工作時可關閉服務為空的端口。IP安全策略能夠安全有效地將計算機的數(shù)據傳送到終端計算機。

3.4 虛擬網絡的控制。如果校園網絡是由交換式局域網技術組建的， 那么通過擬網絡技術可以加強其內部網絡管理。虛擬網絡技術的核心是網絡分段，它按不同的部分和安全機制來隔離網絡，來避免用戶非法進入系統(tǒng)。網絡分段有物理和邏輯兩種分段方式。在物理層和數(shù)據鏈路層進行網絡分段的為物理分段；在網絡層進行整個系統(tǒng)分段的為邏輯層。分開的各網段之間無法直接通信。一般情況下將物理分段與邏輯分段相結合來進行實際應用。

3.5 將防火墻與入侵檢測系統(tǒng)結合。防火墻是最基本保證網絡安全的措施，它可按照需要來阻斷或允許網絡進入。IDS是對防火墻進行的重要修補，其基本作用是監(jiān)測內部網絡流量，并對所識別到的攻擊進行報警。防火墻是最有效的減小掃描威脅的方式。而IDS可探測與阻礙主機的掃描，不能作為以防火墻的作用來維護網絡安全。因為采用防火墻與IDS相結合不僅可以保護到校園網絡受外界攻擊，還能夠檢測校園網內部的網絡通信進行和流量，并采取響應措施如報警或抵抗行為。所以這是最好的一種網絡安全策略。

3.6 安裝防毒殺毒軟件。最常用的一種網絡安全防范手段就是安裝防毒殺毒軟件。防毒殺毒軟件可根據病毒庫來對收到的郵件和信息、下載的信息數(shù)據、U盤等移動設備來進行殺毒，是對防火墻與入侵系統(tǒng)強有力的補充。但是病毒軟件也存在弊端，因為它是根據病毒特征庫進行查毒和殺毒，只能對病毒特征庫中存在的病毒進行檢測和查殺，所以它不能夠有效欄截最新出現(xiàn)的一些病毒。由此看來，仍要加強對我國校園網的安全策略的完善。

4 結束語

保護校園網絡的安全是一項任重而道遠的任務，遇到的問題越來越復雜。但隨著網絡技術的不斷更新發(fā)展，對各種安全隱患問題的研究與探索，可以有效地保護校園網絡的發(fā)展。通過采用防火墻技術與入侵檢測系統(tǒng)相結合，對校園網絡進行權限設置等，可以有效地提高校園網絡的安全系數(shù)。

參考文獻：

[1]黃彬.淺析高校網絡安全存在的問題及對策[J].信息安全與技術，2011（02）：78-79.

[2]張莉.淺談校園網的安全隱患及防范措施[J].網絡安全技術與應用，2011（01）：102-103.

作者簡介：李麗娜（1983-），女，廣東陽江人，教師，主要研究技工學校計算機基礎課程。

作者單位：陽江市高級技工學校，廣東陽江 529500