摘 要：隨著我國網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)徹底改變了人們的學(xué)習(xí)方式，網(wǎng)絡(luò)信息技術(shù)已經(jīng)在社會的各個領(lǐng)域迅速普及，使得網(wǎng)絡(luò)安全管理成為了亟待解決的關(guān)鍵問題。如何保證網(wǎng)絡(luò)健康和安全運行已經(jīng)引起當(dāng)前社會的普遍關(guān)注，并且具有重要的現(xiàn)實背景和意義。本文主要針對當(dāng)前在校園網(wǎng)絡(luò)安全管理中存在的安全威脅進(jìn)行了分析，并且提出防御措施及對策，希望可以為業(yè)內(nèi)借鑒。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；安全威脅；攻擊；對策

中圖分類號：TP393.08

在教育領(lǐng)域，隨著各類學(xué)校全面進(jìn)行信息化建設(shè)，許多學(xué)校都建立了校園網(wǎng)絡(luò)，校園網(wǎng)絡(luò)為學(xué)校的教學(xué)、管理以及教研、科研等方面提供了相互協(xié)作、資源共享以及信息交互的平臺，使學(xué)校實現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，這對于提高學(xué)校的管理水平和教學(xué)質(zhì)量具有十分重要的意義。但是校園網(wǎng)絡(luò)在使用過程中，很容易受到非正常使用、網(wǎng)絡(luò)病毒、惡性攻擊等方面的安全威脅，面對這些問題，建立安全可靠、便捷高效，又可以為在校師生提供教學(xué)資源以及網(wǎng)絡(luò)信息的校園網(wǎng)是當(dāng)前亟需解決的關(guān)鍵問題。

1 校園網(wǎng)的基本功能

一般來講，校園網(wǎng)通常要實現(xiàn)以下功能：

（1）主體設(shè)施為光纖連接，保證校園網(wǎng)快速、安全、正常運行。

（2）校園網(wǎng)方便各部門間彼此互通，實現(xiàn)校內(nèi)隨時訪問各種安全網(wǎng)址，獲取來自各個方面的資源和信息，方便師生的學(xué)習(xí)生活、遠(yuǎn)程教育、資源獲取、信息共享、網(wǎng)絡(luò)通訊以及信息查詢等。

（3）通過校園網(wǎng)，教師可以進(jìn)行多媒體制作、課件演示、發(fā)布電子教案等，還可以實現(xiàn)師生進(jìn)行網(wǎng)絡(luò)教學(xué)、多媒體互動等功能。

（4）通過校園網(wǎng)，實現(xiàn)校園數(shù)字化辦公體系，使行政管理、教學(xué)管理、學(xué)生日常管理、學(xué)籍管理、后勤服務(wù)等實現(xiàn)協(xié)同辦公，不斷深化和提升學(xué)校的現(xiàn)代化管理水平。

2 校園網(wǎng)存在的安全問題

校園網(wǎng)速度快、規(guī)模大，網(wǎng)絡(luò)環(huán)境相對開放，系統(tǒng)管理復(fù)雜，用戶非常活躍，資金及人力投入有限，這些特點使校園網(wǎng)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地，也是網(wǎng)絡(luò)攻擊最容易攻破的目標(biāo)。因此，要使校園網(wǎng)安全，就要了解當(dāng)前校園網(wǎng)會受到的安全威脅。校園網(wǎng)常見的安全威脅有如下幾種。

2.1 網(wǎng)絡(luò)病毒

校園網(wǎng)用戶數(shù)比較多，很多電腦缺乏有效的病毒防范手段，當(dāng)用戶頻繁的通過Internet、局域網(wǎng)共享、U盤、光盤查詢、拷貝文件時，系統(tǒng)可能會感染病毒。一般網(wǎng)絡(luò)蠕蟲病毒較為常見，它往往與黑客技術(shù)結(jié)合，計算機(jī)中毒發(fā)作后，常導(dǎo)致拒絕服務(wù)攻擊（DoS），最后可使全網(wǎng)服務(wù)中斷。

2.2 IP、MAC地址的盜用

校園網(wǎng)采用靜態(tài)IP地址方案時，如果缺乏有效的IP、MAC地址管理手段，用戶可隨意更改IP地址，這將會引起多方?jīng)_突。如果用戶惡意發(fā)送虛假的IP、MAC地址，很容易造成ARP欺騙攻擊。

2.3 系統(tǒng)安全漏洞

網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞，黑客可以利用這些系統(tǒng)漏洞讓未授權(quán)用戶獲得訪問權(quán)限從而進(jìn)行攻擊、破壞。如Windows Media Player就有漏洞，一是信息泄漏漏洞，二是腳本執(zhí)行漏洞。攻擊者就是利用這些漏洞運行代碼、腳本，進(jìn)而攻擊、破壞網(wǎng)絡(luò)系統(tǒng)。

2.4 來自校園網(wǎng)外部的入侵、攻擊行為

拒絕服務(wù)攻擊較為常見，一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。拒絕服務(wù)攻擊的典型方法有SYN Flood、Ping Flood等。

2.5 校園網(wǎng)內(nèi)部用戶的攻擊行為

像授權(quán)訪問嘗試攻擊，它是對被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，典型方法包括FTP Root和NetBus等；預(yù)攻擊探測，指在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部和周圍信息使用這種攻擊嘗試，典型例子包括Satan掃描、端口掃描和IP半途掃描等。除此之外，還有MAC FLOOD、DOS攻擊、流量攻擊、非法DHCP服務(wù)器及DHCP攻擊等。

2.6 校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用

不良用戶利用校園網(wǎng)資源進(jìn)行商業(yè)的或免費的視頻、軟件資源下載服務(wù)，占用了大量珍貴的網(wǎng)絡(luò)帶寬。

2.7 用戶網(wǎng)絡(luò)權(quán)限的控制

校園網(wǎng)不同用戶的訪問權(quán)限不一樣，學(xué)生應(yīng)該只能夠訪問資源服務(wù)器，不能訪問辦公網(wǎng)絡(luò)、財務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶不能訪問財務(wù)網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

3 校園網(wǎng)安全防御對策

3.1 對網(wǎng)絡(luò)病毒的防御

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，單機(jī)防病毒產(chǎn)品難于徹底清除網(wǎng)絡(luò)病毒，因而需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件；如在網(wǎng)絡(luò)內(nèi)部使用電子郵件，還需要一套基于郵件服務(wù)器平臺的防病毒軟件。所以對校園網(wǎng)來說最好使用全方位的防病毒產(chǎn)品，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使校園網(wǎng)免受病毒的侵襲。另外，對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴(yán)重的病毒，通過部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP端口進(jìn)行防范。

3.2 防止IP地址盜用和ARP攻擊

配置網(wǎng)絡(luò)設(shè)備端口安全規(guī)則，檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙。

防止假冒IP、MAC發(fā)起的MAC Flood＼SYN Flood攻擊可以通過部署IP、MAC、端口綁定來實現(xiàn)，同時還可以實現(xiàn)端口反查功能，通過追查源IP、MAC訪問來追查惡意用戶。把MAC地址與IP地址進(jìn)行綁定，可以在接入層交換機(jī)上配置以下命令：

Switch（config-if）#switchport mode access

Switch（config-if）#switchport port-security

Switch（config-if）#switchport port-security mac-address 3C97.0ED2.FB91 ip-address 172.16.0.254

3.3 設(shè)置防火墻

防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列軟硬件的組合，它在校園網(wǎng)與Internet網(wǎng)絡(luò)之間執(zhí)行訪問控制策略，決定哪些內(nèi)部站點允許外界訪問和允許訪問外界等等，從而保護(hù)內(nèi)部網(wǎng)免受外部非法用戶的入侵。配置思科防火墻策略可以實現(xiàn)這些功能。

例1：設(shè)置策略允許內(nèi)網(wǎng)訪問DMZ服務(wù)器80端口

pixfirewall（config）#access-list 100 permit tcp any host 10.1.1.2 eq 80

例2：配置PIX防火墻允許DMZ主機(jī)訪問外部網(wǎng)絡(luò)icmp協(xié)議

pixfirewall（config）#access-list acl_dmz permit icmp any any

pixfirewall（config）#access-group acl_dmz in interface dmz

例3：設(shè)置策略允許因特網(wǎng)訪問DMZ服務(wù)器80端口

pixfirewall（config）# access-list 100 permit tcp any host 202.99.88.2 eq 80

例4：允許DMZ訪問外部網(wǎng)絡(luò)tcp 80端口

pixfirewall（config）#access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80

例5：允許DMZ訪問外部網(wǎng)絡(luò)tcp，udp 53端口

pixfirewall（config）#access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53

pixfirewall（config）#access-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53

例6：使用控制列表達(dá)到防止黑客的洪水攻擊

pixfirewall（config）# access-list 101 deny icmp any any

例7：在黑客入侵時，可以使用命令檢測到入侵

pixfirewall（config）#ip audit attack action alarm

pixfirewall（config）#ip audit info action alarm

對于校園網(wǎng)，由于使用人群的特定性，必須利用防火墻對網(wǎng)絡(luò)的有害信息加以過濾，防止一些色情、暴力和反動信息危害學(xué)生的身心健康。

3.4 采用入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄能夠識別出任何異常的活動，并限制這些活動，保護(hù)系統(tǒng)的安全。在校園網(wǎng)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，即在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)。Cisco公司的NetRanger和國產(chǎn)的“天眼”網(wǎng)絡(luò)入侵偵測系統(tǒng)（Netpower）是校園網(wǎng)中可以配設(shè)的系統(tǒng)。

3.5 采用漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術(shù)，具體包括網(wǎng)絡(luò)模擬攻擊、漏洞測試、報告服務(wù)進(jìn)程、以及評測風(fēng)險，提供安全建議和改進(jìn)措施等功能。

面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大程度地彌補(bǔ)最新的安全漏洞和消除安全隱患。比較有名的是Qualys Inc推出的Qualys Guard掃描系統(tǒng)。

3.6 安全審計系統(tǒng)

操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、WEB服務(wù)器等應(yīng)用服務(wù)軟件，以及防火墻、入侵檢測等安全產(chǎn)品的本身都具有審計功能，將這些審計功能整合到跨平臺的統(tǒng)一的綜合審計平臺，就能實現(xiàn)全方位集中的網(wǎng)絡(luò)系統(tǒng)安全審計，綜合審計系統(tǒng)具備完整的網(wǎng)絡(luò)日志功能。當(dāng)用戶訪問完網(wǎng)絡(luò)后，會保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個用戶名、使用哪個IP地址、MAC地址是多少、通過那一臺交換機(jī)的哪一個端口、什么時候開始訪問網(wǎng)絡(luò)、什么時候結(jié)束、產(chǎn)生了多少流量等等。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份。例如深信服的行為管理可以實現(xiàn)此功能。

3.7 采用流量控制設(shè)備

RG-ACE系列流控設(shè)備能夠做到基于用戶身份對用戶進(jìn)行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，同時也能提供P2P的限速，并對網(wǎng)絡(luò)中的各種流量了如指掌，及時的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范。

3.8 用戶網(wǎng)絡(luò)權(quán)限的控制

（1）通過劃分虛擬局域網(wǎng)，限制工作組之間的訪問，通過劃分VLAN，實現(xiàn)各部分之間的隔離，以財務(wù)部門為例，配置以下命令可以把財務(wù)部門電腦劃分到VLAN 100中。

Switch（config）#vlan 100

Switch（config-vlan）#name caiwuchu

Switch（config）#interface range fastEthernet 0/1-8

Switch（config-if-range）#switchport access vlan 100

（2）在匯聚層交換機(jī)或路由器上應(yīng)用訪問控制列表，限制用戶對一些敏感服務(wù)器的訪問。

如在匯聚層交換機(jī)上配置以下命令，可以實現(xiàn)拒絕192.168.20.0/24網(wǎng)段上的終端用戶訪問220.128.68.0/24 網(wǎng)段上的Web 服務(wù)。

Switch （config）#ip access-list extended deny-student-www

Switch （config-ext-nacl）#deny tcp 192.168.20.0 0.0.0.255 220.128.68.0 0.0.0.255 eq www

Switch （config-ext-nacl）#permit ip any any

Switch （config）#int vlan 510

Switch （config-if）#ip access-group deny-student-www in

3.9 完善網(wǎng)絡(luò)安全管理規(guī)范

在網(wǎng)絡(luò)安全中，除采取必要的技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)安全規(guī)范管理，制定相關(guān)管理制度，對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理規(guī)范包括：確定安全管理等級和安全管理范圍；制訂相關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

4 結(jié)束語

最后，校園網(wǎng)的安全管理是一項綜合性工程，單一的措施或技術(shù)不能完全解決校園網(wǎng)安全的問題，我們要從多方面進(jìn)行防范，加強(qiáng)對學(xué)生的道德教育、提高網(wǎng)絡(luò)管理人員的能力水平、加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控、完善校園網(wǎng)絡(luò)安全管理體制等，這些都是防范網(wǎng)絡(luò)安全不可或缺的措施。

參考文獻(xiàn)：

[1]鄒縣芳，孫道德.高校校園網(wǎng)絡(luò)安全問題及策略研究[J].阜陽師范學(xué)院學(xué)報（自然科學(xué)版），2010（02）.

[2]關(guān)啟云.校園網(wǎng)絡(luò)安全問題分析及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）.

[3]隋振有，佟璐.對新時期計算機(jī)網(wǎng)絡(luò)安全存在的問題及對策探討[J].計算機(jī)光盤軟件與應(yīng)用，2012（02）.

[4]覃肖云.基于校園網(wǎng)分布式入侵檢測系統(tǒng)的研究與實現(xiàn)[J].大眾科技，2009.

[5]臧景才.校園網(wǎng)絡(luò)安全技術(shù)研究[J].電腦知識與技術(shù)，2011.

[6]程浩.防范外部入侵維護(hù)網(wǎng)絡(luò)安全[J]，中國教育技術(shù)裝備，2010.

作者簡介：羅瑞紅（1973-），女，廣東梅州人，講師，工學(xué)碩士，研究方向：計算機(jī)應(yīng)用與網(wǎng)絡(luò)。

作者單位：廣東省電子信息技工學(xué)校，廣州 510510