張艷芳

摘 要 近年來，網(wǎng)絡(luò)技術(shù)飛速發(fā)展，它正以不可替代的趨勢影響著人們的生活和工作，給人類帶來高效和快捷。隨著計算機網(wǎng)絡(luò)的高速發(fā)展與普及，網(wǎng)絡(luò)應(yīng)用的日益繁多，如何讓校園網(wǎng)正確、安全、高效的運行，充分發(fā)揮其教學(xué)、服務(wù)和管理等功能，已經(jīng)成為一個不可忽視的問題，本文著重分析了目前校園網(wǎng)中存在的安全隱患，列出了校園網(wǎng)絡(luò)安全方面的技術(shù)，并從設(shè)備，技術(shù)，管理等方面提出了改進(jìn)和解決的方案，為創(chuàng)造一個安全、高效、干凈、綠色的上網(wǎng)環(huán)境保駕護航，希望能對校園網(wǎng)的安全管理有些許幫助。

關(guān)鍵詞 校園網(wǎng) 網(wǎng)絡(luò)安全 防御措施 防火墻

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

1校園網(wǎng)安全狀況與分析

隨著校園網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)對加快信息處理、提高工作效率、實現(xiàn)資源共享都起到了無法估量的作用，但現(xiàn)實中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護費用偏大。雖然校園網(wǎng)操作系統(tǒng)的功能及安全性日趨完善，但仍存在著很多漏洞。其中，有些漏洞允許入侵的黑客遠(yuǎn)程執(zhí)行代碼和提升用戶權(quán)限。同時，校園網(wǎng)是基于TCP/IP協(xié)議的網(wǎng)絡(luò)，而TCP/IP協(xié)議存在兩大不安全因素：（1）TCP/IP協(xié)議采用明文傳輸數(shù)據(jù)，無法保證信息的保密性和完整性。（2）TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識，并不能對節(jié)點上的用戶進(jìn)行有效的身份認(rèn)證，無法保證信息的真實性。

2校園網(wǎng)絡(luò)安全技術(shù)

2.1防火墻技術(shù)（Firewall）

防火墻是在內(nèi)外網(wǎng)之間限制訪問的一系列部件的集合，是保護網(wǎng)絡(luò)安全的最主要技術(shù)之一，通常作為網(wǎng)絡(luò)的第一道安全防線，防火墻根據(jù)配置的安全策略，對傳輸?shù)男畔⑦M(jìn)行過濾并做出相應(yīng)的判斷與響應(yīng)，從而有效地控制內(nèi)外網(wǎng)之間數(shù)據(jù)的傳輸與訪問，防止外網(wǎng)用戶通過非法手段竊取內(nèi)網(wǎng)信息，并過濾掉可能帶有安全威脅的數(shù)據(jù)包，從而保護內(nèi)網(wǎng)安全。

2.2網(wǎng)絡(luò)防病毒技術(shù)

網(wǎng)絡(luò)防病毒技術(shù)通常在網(wǎng)絡(luò)內(nèi)一臺高效的服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件的服務(wù)器端，在用戶終端上安裝客戶端實現(xiàn)防病毒，網(wǎng)絡(luò)版殺毒軟件是為企業(yè)級網(wǎng)絡(luò)環(huán)境設(shè)計的反病毒安全解決方案，它能夠為企事業(yè)單位網(wǎng)絡(luò)范圍內(nèi)的工作站和網(wǎng)絡(luò)服務(wù)器提供跨平臺的病毒防護，實現(xiàn)集中式配置、部署與管理等。

2.3安全掃描技術(shù)

安全掃描技術(shù)是指手工地或使用特定的自動軟件工具——安全掃描器，對系統(tǒng)風(fēng)險進(jìn)行評估，尋找可能對系統(tǒng)造成損害的安全漏洞。掃描主要涉及系統(tǒng)和網(wǎng)絡(luò)兩個方 面，系統(tǒng)掃描側(cè)重單個用戶系統(tǒng)的平臺安全性以及基于此平臺的應(yīng)用系統(tǒng)的安全，而網(wǎng)絡(luò)掃描側(cè)重于系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)及相關(guān)的協(xié)議分析。

2.4入侵檢測技術(shù)（IDS）

入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測是檢測和響應(yīng)計算機誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。

2.5虛擬局域網(wǎng)技術(shù)（VLAN）

虛擬局域網(wǎng)是將一個物理網(wǎng)段從邏輯上劃分成多個網(wǎng)段，以實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)，主要應(yīng)用在支持VLAN協(xié)議的交換機上，網(wǎng)絡(luò)內(nèi)部通常以軟件定義的方式，按照端口、物理地址及網(wǎng)絡(luò)地址等進(jìn)行VLAN劃分，VLAN可以突破物理范圍的限制，根據(jù)需要將局域網(wǎng)內(nèi)任意位置的用戶劃分到一個VLAN中，從而實現(xiàn)限制廣播范圍的作用，有助于減少網(wǎng)間流量，簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。

3校園網(wǎng)安全防御的措施

3.1增強網(wǎng)絡(luò)的安全意識，健全和規(guī)范學(xué)校管理制度

制定具體的網(wǎng)絡(luò)安全管理的制度（網(wǎng)絡(luò)操作的使用規(guī)程、人員出入機房的管理制度、工作人員的操作規(guī)程和保密制度等），安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護與管理工作，對學(xué)校的專業(yè)技術(shù)人員定期地進(jìn)行安全教育和培訓(xùn)，提高工作人員對網(wǎng)絡(luò)安全的警惕性與自覺性。

3.2流量控制和信息過濾系統(tǒng)

要在校園網(wǎng)出口添加專業(yè)的流量控制系統(tǒng)。另外還可以采用相對完整的信息過濾系統(tǒng)，以實現(xiàn)對校園網(wǎng)內(nèi)電腦訪問的互聯(lián)網(wǎng)進(jìn)行有害信息的過濾與處理。

3.3對重要數(shù)據(jù)進(jìn)行加密

數(shù)據(jù)加密技術(shù)作為主動網(wǎng)絡(luò)安全技術(shù)，是提高網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、防止秘密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段，是許多安全措施的基本保證加密后的數(shù)據(jù)能保證在傳輸、使用和轉(zhuǎn)換時不被第三方獲取數(shù)據(jù)。加密技術(shù)可以分為三類：對稱型加密、不對稱型加密和不可逆加密。

3.4防御病毒入侵

網(wǎng)絡(luò)中部署防火墻、IDS、IPS等防護設(shè)備，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾，檢測與防護，丟棄含有病毒、木馬程序的數(shù)據(jù)包，攔截惡意的攻擊行為；網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)版殺毒軟件，在客戶端安裝單機版安全防護軟件及殺毒軟件，防止病毒、木馬程序?qū)蛻舳说娜肭趾推茐摹?/p>

3.5網(wǎng)絡(luò)檢測和鎖定控制

網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶將會被自動鎖定。

3.6網(wǎng)絡(luò)安全管理規(guī)范

網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持，在網(wǎng)絡(luò)安全中，除采用技術(shù)措施外，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)的規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作的使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。endprint