校園網絡安全范文

導語：如何才能寫好一篇校園網絡安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:校園網;網絡安全;病毒;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

網絡的應用日益豐富,目前e-mail、ftp、WWW已經非常普遍。近幾年發展起來的VOD點播、網上交友、網上游戲、網上求職、網上購物、網上醫療以及網上學習等也是如火如荼、雖然這些應用還處于發展階段,但是有很大的發展前景。目前校園網的建設也得到了快速的發展,全國絕大多數的高校建成了自己的校園網絡。

隨著網絡規模的急劇膨脹、網絡用戶的快速增長,關鍵性應用的不斷普及和深入,校園網已經成為教育行業信息化的關鍵網絡基礎設施。伴隨著校園網絡的發展,“數字校園”概念逐漸被高等院校采納并實施?？梢哉f,高速、穩定、安全、可管理是“數字校園”建設的基本要求和最終目標。下面就我個人在工作中的經驗,談談對校園網安全的一些看法。

1 系統的安全

雖然操作系統的功能及安全性日趨完善,但從目前來看,最近流行于網絡上的“ARP”、“機器狗”等病毒都是利用系統的漏洞進行傳播的。各種系統都或多或少存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題。作為一個網絡管理人員,及時發現并修補系統漏洞是主要任務。對于正在使用的軟件和服務,應該密切關注其官網的最新版本和安全信息,一旦發現有關的安全問題就立即對軟件進行必要的補丁和升級。

一般啟動操作系統時,會同時啟動數十個服務,但有些服務時沒有必要的,反而會成為黑客、病毒和木馬入侵的隱患。如允許遠程修改注冊表、提供IPC連接、默認共享等,應及時關閉這些服務。同時嚴格控制用戶向系統的訪問,可以利用身份驗證和用戶權限控制技術,兩者結合使用,給予不同的用戶不同的操作權限,實現信息安全的分級管理。

2 防火墻與入侵檢測系統的使用

應用服務器在校園網中的使用量很大,極易成為黑客攻擊的主要對象。因此們需要對所有的外部網絡接口隔離,用防火墻在內 外網之間構建一道安全屏障。防火墻會對數據包進行過濾,阻止外部非法用戶的訪問和破壞。所以在防火墻配置上,我們要根據每個學校的需求設置正確的安全過濾規則,網絡管理人員應定期查看防火墻的記錄日志,及時發現攻擊行為和不良記錄并采取相應的對策。

入侵檢測系統相對防火墻,是一種積極主動的安全防護技術,能夠在系統受到危害前發出警報。即使一個系統中不存在某個漏洞,但是檢測系統仍然可以檢測到相應的攻擊事件并調整狀態做出警告。所以,入侵監測系統能夠及時發現攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護網絡安全,將安全隱患降到最低。

3 個人用戶安全

大多數的校園網用戶安全意識淡薄,比如不使用殺毒軟件或不及時更新病毒庫;不及時更新系統漏洞;使用移動存儲時沒有事先殺毒;接受或運行來歷不明的文件或郵件;瀏覽黃色或非法網站等行為,這些行為都有可能導致電腦中毒。中毒后對方能在你的電腦上上傳、下載文件,偷取你的各種賬號信息及密碼。除了能泄露個人資料外,如今很多病毒能夠通過用戶單機對校園網進行攻擊,惡意的向被攻擊服務器發送信息,嚴重的占用校園網帶寬,致使網絡運行速度慢,嚴重的更處于一種癱瘓的狀態。

所以個人用戶的安全也不能小視,作為網絡管理人員,在推廣網絡應用的同時,也要加強上網行為安全的宣傳教育工作,并制定相應的制度,防范和制止各種違法行為。

4 結論

校園網安全體系是一個動態的、不斷發展的機制,當然不論我們怎么防范,由于系統和軟件本身的局限性和計算機網絡的開放性,我們都不可能徹底的消除所有網絡系統的安全隱患。但是作為一名網絡管理人員,我們需要提高工作熱情,加強責任心,頭腦中時刻具備安全意識,提高自己的專業知識和技能,為廣大師生提供更快、更安全的校園網環境。

參考文獻:

[1] 賈遂民.校園網絡安全分析與對策[J].卿城大學學報:自然科學版. 2005(2):83-86.

[2] 凌捷,肖鵬,何東風. 防火墻本身的安全問題淺析[J].計算機應用與軟件 2004(7):138-140.

篇2

關鍵詞：校園網絡；網絡安全；系統安全

隨著網絡技術的不斷發展和Internet的日益普及，許多學校都建立了校園網絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現資源共享起到了無法估量的作用。但一些教師和學生在使用校園網絡的同時卻忽略了網絡安全問題，登陸了一些非法網站和使用了帶病毒的軟件，導致了校園計算機系統的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時，教師和學生都應加強對校園網絡的安全重視。網絡的生命在于其安全性。因此，如何在現有的條件下，搞好網絡的安全，就成了校園網絡管理人員的一個重要課題。

一、校園網絡現狀

隨著電腦的普及，計算機技術并沒有像早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在學校的學生們就更不用說了。幾乎每所學校都有其自身的網絡體系，無論是無線網絡還是有線網絡。有了網絡的幫助后老師可以提高課堂內容的豐富度，不必拘泥于灌輸死板的概念內容，而是靈活的動態模式，這樣才能更好地激發學生的學習興趣。在大家看來每所學校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網絡是否暢通，上網是否安全，網絡是否可以抵御黑客攻擊，上網時我們的賬號是否存在風險等問題。網絡安全主要是網絡信息系統的安全性，包括系統安全、網絡運行安全和內部網絡安全。

二、系統安全

系統安全包括主機和服務器的運行安全，主要措施有反病毒、入侵檢測、審計分析等技術。

（一）反病毒技術

計算機病毒是引起計算機故障、破壞計算機數據的程序，它能夠傳染給其它程序，并進行自我復制，特別是在網絡環境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網絡安全建設的一個重要環節，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。

（二）入侵檢測

入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算C系統中的若干關鍵點收集信息并對它們進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象，以提高系統管理員的安全管理能力，及時對系統進行安全防范。在校園網中服務器為用戶提供著各種的服務，但是服務提供得越多，系統就存在越多的漏洞，也就有更多的危險。因此，從安全角度考慮，應將不必要的服務關閉，只向公眾提供他們所需的基本的服務。

（三）審計監控技術

審計監控不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集、類聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發現可能產生的破壞。

三、網絡運行安全

網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施，保證網絡受到攻擊后能盡快地全盤恢復運行計算機系統所需的數據。

一般數據備份操作有三種。一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中，只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放，具有速度快和調用方便的特點?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系，在系統恢復時重新安裝。其特點是便于保管，用以彌補“熱備份”的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

四、內部網絡安全

為了保證局域網安全，內網和外網最好進行訪問隔離，常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測，以增強機構內部網的安全性。

（一）訪問控制

在內外網隔離及訪問系統中，采用防火墻技術是目前保護內部網安全最主要，同時也是最有效和最經濟的措施之一。防火墻技術可以決定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。應該強調的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中，才能實現真正的安全。

另外，防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段，防止一個網段的問題穿過整個網絡傳播。

（二）網絡安全檢測

篇3

一、防病毒技術

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網必須在網絡系統的各個環節嚴加防范，才能控制或阻止病毒的侵害?？紤]學校教學用機數量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務器上都要有反病毒軟件并能統一管理。校園網與Internet相連的網關，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內部網絡上，防病毒軟件要能阻止網頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發現并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產品主要有賽門鐵克、趨勢、江民、金山等，網絡上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網絡隔離技術

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網內部。校內單機可以使用個人防火墻，網上這樣的免費或限時軟件很多，比如：360安全衛士、天網。校園內外網之間，可根據學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網絡隔離技術在內、外部主機系統中嵌入安全加固且不同的操作系統，內部主機的操作系統對外部攻擊者是不可見的。在校園網和外部網絡之間形成了物理隔離帶，消除了基于網絡協議的攻擊。這種技術的應用，必將使校園網絡管理高效化、簡單化，安全級別也更高。

三、VLAN技術

隨著校園網絡規模擴大，網內機器超過200臺時網絡管理將極為困難。在實際應用時，采取VLAN技術把校園網劃分為行政辦公、教師、學生等子網。劃分可以跨過物理設備，各子網之間無法直接通信，信息僅在VLAN內的成員之間傳送，限制非成員數據轉發，從而減少了主干網的數據流量，控制網絡風暴在必要范圍內，并增強網絡的安全性，利于管理。根據校園網管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據以太網交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網中的網絡層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用，把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優點，用戶計算機可以不修改網絡配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網中每次數據轉發，都需要檢查TCP／IP協議的網絡層，網絡工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數碼等，這些網絡設備也不一定具備VLAN所有劃分方式。因此，學校要根據自己的要求和價格承受能力，選擇不同層次和功能的VLAN網絡設備，再根據實際設備選擇適合的VLAN劃分方式配置網絡。

四、云防護技術

校園網中Email、BBS、Web、即時通信、上傳下載各種服務和應用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網絡的聯合攻擊規模越來越大，破壞性越來越強。許多校園網絡工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網絡”就是通過掛馬、下載等途徑控制數量巨大的“肉雞”對目標進行DOS等攻擊；還有“零日攻擊”指惡意運用立即被發現的安全漏洞，利用時間差在網絡未及防范的情況下實施攻擊。

篇4

關鍵詞：校園網 網絡安全 分析

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416(2012)07-0163-02

學校作為培養人才的基地，愈來愈多的校園網通過專線與互聯網接軌，讓學校中的老師和學生可以自由到互聯網上瀏覽、查找他們感興趣的內容和所渴求的知識，感受網絡所帶來的這些豐富的信息資源，提供更廣闊的學習環境。與此同時，網上的“黑客”也很可能趁機攻入學校內網，破壞校內服務器上的數據，使校園網的安全受到威脅。并且，學校對學生的網上教育和上網管理也面臨著新的挑戰。

1、校園網所面臨的問題

1.1 內部資料庫安全問題

校園網與普通企業網不同，因為一般企業網主要是“防外”，防止互聯網上的黑客對內部網絡的攻擊，對互聯網上、或者是校園網內部服務器進行攻擊，主要對學校內部的某些可能存放著重要資料的服務器，諸如，存放主要給教師使用的試題庫，對于學生就有著極大的誘惑力，在好奇心或者是為了滿足某些單純的心理需要，而不顧后果的對校園內部服務器進行的攻擊，使學校的內部資料遭受到不必要的損失。

1.2 對學生上網的管理

學生上網的管理主要從三個方面進行管理：

(1)學生所瀏覽網站的限制。

(2)學生上網費用統計的問題。

(3)學生上網對熱門網點的統計，及時了解學生的網上動向，有利于更一步引導學生過好網上生活。

如何才能從內、外網兩方面共同建設安全、可信賴、有效的新網絡呢？根據校園網全安的相關知識，網絡內部的安全措施應包括：在終端設備上全面安裝防病毒軟件，在網絡接入交換機上進行客戶端的安全認證，匯聚設備上使用ACL軟件防火墻技術，建立內部網絡規章制度，保障內部網絡的所有設備的安全可信賴。另外，在接入外部網絡的入口處使用硬件防火墻設備作為防止外部網絡非法的、未授權的訪問，對流經的每一個數據流進行檢曬，以保護整個校園網的安全。

2、安裝殺毒軟件

校園信息化建設極大地方便了學校的教學工作，同時也為計算機病毒的蔓延打開了方便之門。各種病毒無時無刻不在威脅著網絡的安全，對于計算機網絡病毒防治，只有把技術手段和管理機制緊密結合，切斷病毒的傳播途徑，盡可能地降低感染病毒的風險；其次不要隨便使用含有病毒的程序；在使用前最好先進行查殺病毒；最后建立全方位、立體化防毒反黑網絡，基本原則是防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治。

3、網絡設備安全

先是從內部網絡所有設備安全出發，對網絡中接入設備進行安全設置，在接入交換機的端口上，對網絡中所有接入的用戶進行認證和安全管理。

校園網安全中主要存在以下三個問題，一個是由于學生宿舍上網人數較多，在學生宿舍中安裝網絡端口，需要上網的學生可以在學校網絡管理中心申請帳戶。另一個是由于后來由申請賬戶的數目很多，有的宿舍只開通一個賬戶后，在端口上接一個小型路由器或交換機，宿舍中的學生就可能通過路由器或交換機上網，由于網絡管理中心無法確認最終用戶，給網絡帶來了很多不安全因素。最后一個是要為所有的交換設備控制臺端口配置密碼，以保證非管理員進行登錄設備，修改設備配置參數。

網絡設備安全部分配置如下：

(1)配置接入交換機端口的安全和最大連接數限制。

Switch(config-if-range)#switchport port-security !開啟1-23端口安全端口的功能

Switch(config-if-range)#switchport port-secruity maximum 1!開啟1-23端口安全地址個數為1

Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全違例的處理方式為shutdown

(2)配置交換機控制臺密碼安全。

配置交換機登錄密碼

Switch(config)#enable secret level 1 0 abc

配置交換機的特權密碼

Switch(config)#enable secret level 15 0 abc

(3)配置交換機端口的地址綁定。

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的綁定

4、網絡區域安全

在校園網中，由于學生訪問量較大，有的學生登錄到教師辦公網查看考試試卷，有的學生向學校FTP服務器上上傳垃圾文件等現象。

由于教師網中的FTP服務器上存有大量的教師考試資料和教學資料，如果要禁止學生進行訪問，但允許學生訪問其他服務器（WWW服務器、E-mail服務器等）的話，要在網絡中心交換機的接口上配置應用擴展ACL技術，如（表1）所示，在s1和s2 上分別進行相關的配置，即可滿足需要。

表1 校園網部分地址規劃

5、虛擬專用網VPN

目前我們所說的VPN安全技術主要是指隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術(Key Management)、使用者與設備身份認證技術（Authentication）。

根據校園網的實際情況，簡要分析、校園網專用網VPN的情況。各自都有自已的專用網，要想使這兩個不同區域的部門經常進行通信，又要保證部門數據的安全，學校采用隧道虛擬專用網VPN技術。

使用遂道技術建立了新、老兩個校區的專用網，其網絡地址分別為172.16.0.0和192.168.0.0。新、老校區通過公用的Internet網構成一個VPN。新、老校區都有一個路由器具有合法的公網IP地址，如(圖2)所示路由器R1和R2。各自路由器在和新、老校區內部網絡的接口地址是新、老校區的本地地址。

6、全網絡的安全

在校園網互聯互通的基礎上，當校園網連接到Internet上時，除了利用ACL“軟”手段防范來自內部網絡攻擊外，還需要在網絡上的關鍵部位，部置硬件防火墻來防范來自外部網絡的攻擊。

在校園網安全設備中防火墻是相對最有效的網絡安全設備，它是一種綜合性的技術，它涉及計算機網絡技術、密碼技術、安全技術、軟件技術、安全協議、安全規范及操作系統等多方面內容。

參考文獻

[1]韓爭勝.IPv6關鍵技術及其網絡安全研究[D].西北工業大學,2005.

[2]鐘林.基于Linux平臺的IPv4/IPv6校園網研究與設計[D].南京理工大學,2006.

[3]363—382.于新俊.大連電力學校校園網設計與實現[D].大連理工大學,2003.

篇5

關鍵詞：校園網；網絡安全；防火墻；入侵檢測

中圖分類號：TP393.18

如今計算機網絡技術迅速發展，校園網也不斷發展。校園網對學校的一些教學活動、學生學習、教育管理等各個方面都發揮著重要的作用。因此，維護、保證校園網的安全成為一項重要的任務。校園網絡一直存在著安全隱患，出現各種安全問題層出不窮，最常見的是病毒入侵、黑客攻擊等，導致數據丟失和個人隱私泄露，給學校、學生與教師帶來巨大損失。校園網作為學校最基礎也是最重要的設備，更要全面分析這些安全策略，來抵御任何網絡攻擊與威脅，使校園網穩定有效地運行下去。

1 校園網安全問題分析

校園網絡系統是為儲存學生數據資料、為學生和教師提供服務并收集信息、為整個校園提供網絡教育的一個平臺。因此，校園網絡安全策略的目的是防止人們濫用甚至竊取所有校園數據資源，并抵御網絡黑客和各種病毒、木馬程序的攻擊。應保證校園網絡系統安全有效的運行，保證教學完善進行。

1.1 校園網出現安全隱患的原因。首先，由于網絡管理員在設置上造成的一些失誤，例如對校園網的操作系統、硬件設備以及相關軟件進行的配置不當所造成的一些安全漏洞問題，所導致的未安全設置路由器IP、用戶的訪問權限過大以及過多打開服務器端口等。這些情況都會給校園網安全帶來巨大的隱患。其次，一些人利用網絡安全漏洞，對校園網絡數據進行惡意破壞，他們可能會攻擊學校的Web服務器，破壞學校主頁、竊取學校機密文件、向學校服務器發送大量信息而導致校園網絡癱瘓等。

1.2 校園網絡安全隱患的后果。校園網存在的網絡隱患包括：使用病毒、木馬程序、惡意代碼等進行郵件發送和接收、遠程管理等一些手段進行傳播，其傳播速度越來越快，并且破壞性極大。并且各種病毒、木馬程序等被不斷更新，更加智能化。這些安全隱患問題所造成的損失巨大。學校的數據可能被破壞或篡改，甚至會丟失；一些加密文檔、數據被竊取或盜用、一些不良信息被傳播、學校教師或學生的個人隱私被泄露。

2 校園網絡的安全防護技術

我國的校園網通常以防火墻和入侵檢測系統作為網絡安全防護系統。各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設備也需要不斷地進行改進，各種殺毒軟件也需不斷進行升級，且防御意識也要不斷加強。不經意的疏忽都有可能給學校造成很大損失。

2.1 防護墻技術。一般網絡安全的第一道防線是處于外網與校內網相連位置的防火墻。防火墻最主要的任務是：根據規則對請求進出的所有網絡數據進行審查，只有滿足規則的數據才會被允許通過網絡；反之則被拒絕。其缺點是：因為防火墻技術屬于被動的網絡防護技術，所以它無法將病毒性的數據檢測出來；由于校園網內部用戶網絡流量未經過防火墻，因此它不能防御校園網內部一些用戶發起對FTP服務器、web服務器、DNS服務器以及MAIL服務器等的攻擊。另一方面，如果這些服務器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務器進行轉發，導致其靈活性下降且功能特性較差；對于抵御外網的攻擊和入侵比較困難，甚至對一些警報有時無法作出及時的響應；系統管理員只有時刻仔細監視防火墻，才可能會注意到黑客的攻擊，這樣非常不方便；另外探測與測試防火墻的配置較困難。

2.2 入侵檢測系統。首先，入侵檢測系統（IDS）是指任何有能力進行檢測或改變網絡狀態的系統，或者是系統的集合。之后IDS能夠發送警報或是采取設定的行動來維護網絡安全。IDS的一些主要功能：對系統活動和用戶進行分析并監測，可以對一些重要的資料、文獻、數據等進行評估，判斷它們的完整性；負責系統日志的管理工作，對已知攻擊行為和違反安全策略的用戶活動能夠識別出來；可以對系統的配置進行檢測，并能夠找出漏洞。

IDS在結構上分為基于主機的IDS即HIDS與基于網絡的IDS即NIDS。最特別的HIDS是PortSentry軟件，通常HIDS的數據源為系統日志和應用程序日志等，分析從主機獲取的信息，將其作為監控程序來運行，一般其保護的是自身所在的整個系統。而NIDS工作于OSI-RM網絡層，以網絡上的數據包作為數據源并對其進行分析。通常在部署NIDS時會將主機的網卡設置成混雜模式，以監聽、分析所有本網段內的數據包。

3 校園網的安全策略分析

3.1 登錄控制。登錄控制主要保證網絡資源被非法使用或訪問，是一種較為有效的網絡安全防范和保護措施。登錄控制能夠有效監測校園網絡的用戶登錄到服務器和路由器等網絡設備來獲取信息資源，可控制監測用戶進入網絡的時間及地點。一般用戶訪問網絡控制有以下三個步驟：識別和驗證用戶名、用戶口令以及用戶賬號的缺省限制檢查。其中只要有任何一項未通過，此用戶都不能進入網絡。所以，通過登錄控制能夠進一步保證校園網絡安全。

3.2 權限控制。針對網絡的非法操作提出了權限控制，它賦予訪問用戶與用戶組一定的權限，以限制其對資料、目錄、文件以及其他共享資源的訪問，對打印機等共享設備的操作。也是一種保護校園網絡安全的策略。

3.3 定制IP安全策略。在Windows 2000中最新提供了一種基于點到點安全模型的IP安全策略，它可以更好的保證網絡數據的安全。為防止一些惡意病毒程序對本地機器的訪問，在工作時可關閉服務為空的端口。IP安全策略能夠安全有效地將計算機的數據傳送到終端計算機。

3.4 虛擬網絡的控制。如果校園網絡是由交換式局域網技術組建的， 那么通過擬網絡技術可以加強其內部網絡管理。虛擬網絡技術的核心是網絡分段，它按不同的部分和安全機制來隔離網絡，來避免用戶非法進入系統。網絡分段有物理和邏輯兩種分段方式。在物理層和數據鏈路層進行網絡分段的為物理分段；在網絡層進行整個系統分段的為邏輯層。分開的各網段之間無法直接通信。一般情況下將物理分段與邏輯分段相結合來進行實際應用。

3.5 將防火墻與入侵檢測系統結合。防火墻是最基本保證網絡安全的措施，它可按照需要來阻斷或允許網絡進入。IDS是對防火墻進行的重要修補，其基本作用是監測內部網絡流量，并對所識別到的攻擊進行報警。防火墻是最有效的減小掃描威脅的方式。而IDS可探測與阻礙主機的掃描，不能作為以防火墻的作用來維護網絡安全。因為采用防火墻與IDS相結合不僅可以保護到校園網絡受外界攻擊，還能夠檢測校園網內部的網絡通信進行和流量，并采取響應措施如報警或抵抗行為。所以這是最好的一種網絡安全策略。

3.6 安裝防毒殺毒軟件。最常用的一種網絡安全防范手段就是安裝防毒殺毒軟件。防毒殺毒軟件可根據病毒庫來對收到的郵件和信息、下載的信息數據、U盤等移動設備來進行殺毒，是對防火墻與入侵系統強有力的補充。但是病毒軟件也存在弊端，因為它是根據病毒特征庫進行查毒和殺毒，只能對病毒特征庫中存在的病毒進行檢測和查殺，所以它不能夠有效欄截最新出現的一些病毒。由此看來，仍要加強對我國校園網的安全策略的完善。

4 結束語

保護校園網絡的安全是一項任重而道遠的任務，遇到的問題越來越復雜。但隨著網絡技術的不斷更新發展，對各種安全隱患問題的研究與探索，可以有效地保護校園網絡的發展。通過采用防火墻技術與入侵檢測系統相結合，對校園網絡進行權限設置等，可以有效地提高校園網絡的安全系數。

參考文獻：

[1]黃彬.淺析高校網絡安全存在的問題及對策[J].信息安全與技術，2011（02）：78-79.

[2]張莉.淺談校園網的安全隱患及防范措施[J].網絡安全技術與應用，2011（01）：102-103.

篇6

關鍵詞:校園網絡;信息安全;防范策略

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6631-02

1 概述

網絡信息安全是指保護信息財產,防止信息被非授權地訪問、使用、泄露、分解、修改和毀壞,以求保證信息的保密性、完整性、可用性和可追責性,使信息保障能正確實施、信息系統能如意運行、信息服務能滿足要求。隨著計算機技術和通信技術的發展,認清信息系統的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統的安全性將十分重要。同時進行信息系統安全防范,不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施[1-2]。

1.1 網絡安全的基本組成

從內容上看,網絡安全大致包括四個方面:

1) 網絡實體安全:如計算機的物理條件、物理環境及設施的安全標準,計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等。

2) 軟件安全:如保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等。

3) 網絡中的數據安全:如保護網絡信息的數據安全,不被非法存取,保護其完整、一致等。

4) 網絡安全管理:如運行時突發事件的安全處理等,包括采取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內容。

1.2 網絡信息安全的目標

1) 完整性:完整性是指信息未經授權不能被修改、不被破壞、不人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

2) 可用性:可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。

3) 可控性:可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。

4) 保密性:保密性是網絡信息不被泄露給非授權的用戶、實體或過程,或供其利用的特性。即,防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上,保障網絡信息安全的重要手段。

5) 可審查性:在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。

2 校園網安全管理的特點及常見威脅[3-4]

2.1 校園網安全管理的特點

校園網是學校發展的重要基礎設施,它不僅為學校提供各種本地網絡應用,同時也是溝通學校校園網內外部網絡的橋梁。筆者根據自身校園情況,認為當前校園網有以下特點:

1) 操作方便,易于管理:校園網接入復雜而且面積較大,網絡維護需要方便快捷,設備網管性強,從而方便網絡故障的快速排除。

2) 認證計費:校園網對學生上網必須進行有效的控制和計費策略,以提高網絡的利用率。

3) 安全可靠:校園網中同樣有大量關于檔案管理和教學的重要數據,如果被破壞或竊取,對學校都將是一個很大的損失;

4) 校園信息結構出現多樣化:校園網應用分為辦公管理、電子教學和遠程通訊等三大內容。數據類型復雜,不同類型數據對網絡傳輸有不同的質量需求;

5) 高速的局域網連接:由于校園網的核心是面向自身校園師生的網絡,因此局域網是建設重點。網絡信息中包含大量多媒體信息,故大容量、高速率的數據傳輸是網絡的一項重要要求。

2.2 校園網絡信息的主要威脅

網絡病毒是校園網絡信息的最主要威脅,它除了具有可傳播性、可執行性、穩蔽性、破壞性等計算機病毒的共性外,還具有一些新的特點:

1) 感染速度快:只要有一臺工作站中病毒,幾分鐘內就可能將網上的數百臺計算機全部感染。

2) 擴散面廣:病毒在網絡中擴散速度快、擴散范圍大,不僅能迅速感染局域網內的所有計算機,還能通過網絡將病毒在一瞬間傳播到千里之外。

3) 傳播形式復雜多樣、難于徹底清除:單機上的計算機病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除,而網絡中只要有一臺工作站未能消毒干凈就可使整個網絡重新被病毒感染,甚至剛剛完成清除工作的一臺工作站就有可能被網上另一臺帶毒工作站所感染。

4) 破壞性大:網絡上病毒將直接影響網絡的工作,輕則降低速度,影響工作效率,重則導致網絡崩潰,服務器信息被破壞。

5) 潛在危險性大。校園網絡一旦感染了病毒,即使病毒已被清除,其潛在的危險也是巨大的,大部分的網絡在病毒被清除后一個月內會再次感染。

6) 黑客攻擊手段與病毒破壞技術相結合。病毒開始利用操作系統以及包括IE、outlook 、ICQ等常用網絡軟件的安全漏洞,進人機器內部進行遠程控制,造成數據外泄及系統破壞。

3 網絡安全的防范[5-7]

1) 網絡病毒的防范:在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的防病毒產品:一個由服務器端統一控制管理客戶端的全方位、多層次的防病毒軟件。針對網絡中所有可能的病毒攻擊點設置對應的防病毒策略,并通過定期或不定期的升級,使網絡免受病毒的侵襲。

2) 防火墻技術:防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部。防火墻技術是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制進、出一個網絡的權限,在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問、干擾和破壞內部網絡資源。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間的任何活動,保證了內部網絡的安全。在局域網網絡出口設置防火墻,并對防火墻制定安全策略,對一些不安全的端口和協議進行限制,使所有的服務器、工作站及網絡設備都在防火墻的保護之下,同時配置一臺日志服務器記錄、保存防火墻日志,詳細記錄了進、出網絡的活動,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源。

3) 入侵檢測系統:入侵檢測系統是從多種計算機系統及網絡系統中收集信息,再通過此信息分析入侵特征的網絡安全系統。入侵檢測屬于動態的安全技術,它能幫助系統主動應對網絡攻擊,擴展了系統管理員的安全管理能力,同時也提高了校園網信息安全基礎結構的完整性。入侵檢測系統能在不影響校園網絡性能的情況下能對校園網絡進行監測,從而實現對內部攻擊、外部攻擊和誤操作的實時保護。

4) 身份認證:身份認證是任何一個安全的計算機所必需的組成部分。身份認證必須做到準確無誤地將對方辨認出來,同時還應該提供雙向的認證,即互相證明自己的身份,網絡環境下的身份認證比較復雜,因為驗證身份的雙方都是通過網絡而不是直接接觸的,傳統的指紋等手段已無法使用,同時大量的黑客隨時隨地都可能嘗試向網絡滲透,截獲合法用戶口令并冒名頂替,以合法身份入網,所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法,以及采用高科技手段的密碼技術進行身份驗證。

5) 漏洞掃描系統:面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。

6) 訪問控制技術:訪問控制根據用戶的身份賦予其相應的權限,即按事先確定的規則決定主體對客體的訪問是否合法,當一主體試圖非法使用一個未經授權使用的客體時,該機制將拒絕這一企圖,其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外,審計、日志、入侵偵察及報警等對保護網絡安全起一定的輔助作用,只有將上述各項技術很好地配合起來,才能為網絡建立一道安全的屏障。

7) IP盜用問題的解決:在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。

8) 利用網絡監聽維護子網系統安全:對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。

4 結束語

本文所提到的校園網絡安全防范只是加強安全性的建議,并不是做到這些就可以保證萬無一失。認清信息系統的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統的安全性將十分重要,只有當網絡中的使用者學會如何安全的使用網絡資源時,才能最終保證整個網絡的安全?？傊?網絡安全是一個綜合性的課題,只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性,為校園網絡提供強大的安全服務。

參考文獻:

[1] 李衛.計算機網絡安全與管理[M].北京:清華大學出版社,2004.

[2] 李俊宇.信息安全技術基礎[M].北京:冶金工業出版社.2004.

[3] 哈利,賈建勛,譯.計算機病毒揭秘[M].北京:人民郵電出版社,2002.

[4] 程勝利,談冉,熊文龍,等.計算機病毒及其防治技術[M].北京:清華大學出版社,2004.

[5] 寧章.計算機及網絡安全與防護基礎[M].北京:北京航空航天大學出版社,1999.

篇7

【關鍵詞】校園網；網絡安全；安全策略

【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158（2013）07-0329-02

1 校園網絡安全規范

校園的網絡安全是指利用各種網絡監控和管理技術措施，對網絡系統的硬件、軟件及系統中的數據資源實施保護，使其不會因為一些不利因素而遭到破壞，從而保證網絡系統連續、安全、可靠地運行。

學校網絡中心負責網絡設備的運行管理，信息中心負責網絡資源，系統管理員口令絕對保密，根據用戶需求嚴格控制，合理分配用戶權限，向學生開放的教學實驗室應禁止使用軟驅和光驅，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網絡狀況分析

（1）資源分布和應用服務體系

校園網絡可向網絡用戶提供：域名服務（DNS），電子郵件服務（Email），遠程登錄（telnet），文件傳輸服務（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲，交換，檢索等服務。

（2）網絡結構的劃分

整個網絡是由各網絡中心，和園區內部網絡通過各種通信方式互聯而成，所有網絡可歸納為由連接子網、公共子網、服務子網、內部網四個部分組成。這四部分組成一個獨立單位的局域網，然后通過廣域連接與其他網絡連接。

2.2 網絡安全目標

為了增加網絡安全性，必須對信息資源加以保護，對服務資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內部信息；即需要身份驗證以及根據根據身份進行訪問控制。

C：敏感信息；即需要驗證身份和傳輸加密。

（2）服務資源包括：內部服務資源、公眾服務資源

內部服務資源：面向已知客戶，管理和控制內部用戶對信息資源的訪問。

公眾服務資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網絡安全技術的應用

3.1 建立網絡安全模型

通信雙方在網絡上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網絡環境中安全地傳輸信息，需要對信息提供安全機制和安全服務。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息，并在雙方發生爭議時進行仲裁。設計一個網絡安全方案時，需要完成以下四個基本任務：

（1）設計一個算法，執行安全相關的轉換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發與共享的方法；

（4）設定兩個責任者使用的協議，利用算法和秘密信息取得安全服務。

3.2 數據備份方法

數據備份有多種實現形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續的物理磁盤塊上，備份系統能識別文件結構，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設備的備份”，其在拷貝磁盤塊到備份介質上時忽略文件結構，從而提高備份的性能。因為在執行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個系統或用戶指定的所有文件數據進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現數據丟失等問題，可以使用備份文件快速地恢復數據。

（4）增量備份

為了解決完全備份的兩個缺點，出現了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數據。因為在特定的時間段內只有少量的文件發生改變，既節省空間，又縮短了備份的時間。因而這種備份方法比較經濟，可以頻繁地進行。

（5）差異備份

差異備份即備份上一次完全備份后產生和更新的所有新的數據。它的主要目的是將完全恢復時涉及到備份記錄數量限制在兩個，以簡化恢復的復雜性。

3.3 防火墻技術

防火墻是在網絡之間通過執行控制策略來保護網絡的系統，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用。

防火墻是一個由軟件與硬件組成的系統。由于不同內部網的安全策略與防護目的不同，防火墻系統的配置與實現方式也有很大的區別。簡單的一個包過濾路由器或應用網關、應用服務器都可以作為防火墻使用。

3.4 入侵檢測技術

入侵檢測系統是對計算機和網絡資源的惡意使用行為進行識別的系統。它的目的是監測和發現可能存在的攻擊行為，包括來自系統外部的入侵行為和來自內部的非法授權行為，并采取相應的防護手段。它的基本功能包括：

（1）監控、分析用戶和系統的行為。

（2）檢查系統的配置和漏洞。

（3）評估重要的系統和數據文件的完整性。

（4）對異常行為的統計分析，識別攻擊類型，并向網絡管理人員報警。

（5）對操作系統進行審計、跟蹤管理，識別違反授權的用戶活動。

4 校園網主動防御體系

校園網的安全威脅既有來自校內的，也有來自校外的。在設計校園網網絡安全系統時，首先要了解學校的需要和目標，制定安全策略。因此網絡安全防范體系應該是動態變化的，必須不斷適應安全環境的變化，以保證網絡安全防范體系的良性發展，確保它的有效性和先進性。

安全管理貫穿整個安全防范體系，是安全防范體系的核心。網絡系統的安全性不只是技術方面的問題，一個有效的安全防范體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實，安全管理主要是對安全技術和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術是輔助安全管理的措施。當網絡出現攻擊行為或其它安全威脅時，無法進行實時的檢測、監控、報告與預警。同時，也無法提供黑客攻擊的追蹤線索，即缺乏對網絡的可控性與可審查性。這就要求網絡管理員經常通過網絡攻擊掃描器提前識別弱點區域，入侵系統監控和響應安全事件，必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵。

結論

通過上述分析，我提出如下校園網絡安全防范策略：

（1）利用防火墻將內網和外網進行有效隔離，避免與外部網絡直接通信；

（2）利用防火墻建立網絡的安全保護措施，保證系統安全；

（3）利用防火墻對網上服務請求內容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將訪問權限控制在最低限度內；

（4）在Internet出口處，使用NetHawk監控系統進行網絡活動實時監控；

（5）在本校區部署RJ-iTop網絡隱患掃描系統，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；

（6）加強網絡安全管理，提高全體人員的網絡安全意識和防范技術。

[1] 馮登國.計算機通信網絡安全[M].北京：清華大學出版社，2001，3

[2] 蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計算機網絡與信息安全[M].北京：希望電子出版社，2006.2：42-43

篇8

安全網絡中，計算機病毒通過訪問進行非法侵入。所以，對網絡的訪問進行控制，是有效保護網絡的安全以及資源不被非法利用的有效途徑。（1）對非法用戶的訪問進行嚴格防范。黑客以及間諜就是所謂非法用戶中帶有攻擊性的人群，他們對網絡進行攻擊，就是非法訪問。計算機中口令、密碼、用戶名等保護措施，當面臨攻擊性的非法用戶時，輕而易舉就能被破解，不能有效對信息實現保護。所以，我們必須要采用能夠有效進行保護的防護措施，在訪問中設定資源只有合法用戶才能訪問，非法用戶禁止的權限。（2）對合法用戶中含有的非授權訪問進行防范。在合法用戶中，也會有非授權訪問的情況，簡單說，就是合法用戶在訪問時，沒經過許可情況下，對不該進入的資源進行訪問。總的來說，每個人的計算機系統里面都有一部分可以對外訪問的信息，另一部分是被保密的信息，屬于個人隱私。所以，面對計算機信息的龐大服務人群時，一定要嚴格監控是否具有訪問權限。

2系統安全

網絡中，系統安全為防止網絡被外界的危害侵蝕，采用一系列防護措施對網絡進行保護，其中包括邏輯安全和物理安全。（1）物理安全。在上文中提到過物理安全，它是在計算機網絡中，對網絡安全設備進行物理保護，避免網絡系統被破壞、資源文件丟失等的重要防護措施。物理角度上來說，校園網絡因為涉及范圍廣且復雜，共用場所較多，不能像私人財產那樣進行保護，所以從一定程度上來說，校園網絡安全比較脆弱。校園網絡中，所有不能上鎖的地方，都有可能受到非法入侵、破壞。例如，電纜、光纜、遠程網、局域網、電話線等。一旦這些地方受到非法入侵，教學的正常進行就會受到影響。（2）邏輯安全。信息的保密性、可用性和完整性是構成邏輯安全的主要部分。保密性是說，信息不可對沒有經過授權許可的人泄露；完整性是指計算機系統中，可以做修改、刪除一些程序和數據部分；可用性是說合法用戶能夠對計算機資源以及數據進行操縱，能夠及時、安全、正確的被服務，反之，非法用戶沒有訪問權限。

3防范計算機病毒

篇9

關鍵詞：校園網 網絡安全 設計

以Internet為代表的信息化浪潮席卷全球，信息網絡技術的應用日益普及和深入，伴隨著網絡技術的高速發展，各種各樣的安全問題也相繼出現，校園網被“黑”或被病毒破壞的事件屢有發生，造成了極壞的社會影響和巨大的經濟損失。

一、物理安全設計

為保證校園網信息網絡系統的物理安全，除在網絡規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現均采用光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換接口，用光纜接出屏蔽室外進行傳輸。

二、網絡共享資源和數據信息安全設計

針對這個問題，我們決定使用VLAN技術和計算機網絡物理隔離來實現。VLAN（Virtual LocalArea Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其它VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的，它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。從目前來看，根據端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員，被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網AAA，同一交換機的6，7，8端口組成虛擬網BBB。這樣做允許各端口之間的通訊，并允許共享型網絡的升級。

但是，這種劃分模式將虛擬網絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員，其配置過程簡單明了。

三、計算機病毒、黑客以及電子郵件應用風險防控設計

1.防病毒技術。病毒伴隨著計算機系統一起發展了十幾年，目前其形態和入侵途徑已經發生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，并且借助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護服務器和網絡中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，需要應用基于網絡的防病毒技術。這些技術包括：基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。例如，我們準備在主機上統一安裝網絡防病毒產品套間，并在計算機信息網絡中設置防病毒中央控制臺，從控制臺給所有的網絡用戶進行防病毒軟件的分發，從而達到統一升級和統一管理的目的。安裝了基于網絡的防病毒軟件后，不但可以做到主機防范病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網絡信息安全。形成的整體拓撲圖。

2.防火墻技術。企業防火墻一般是軟硬件一體的網絡安全專用設備，專門用于TCP/IP體系的網絡層提供鑒別，訪問控制，安全審計，網絡地址轉換（NAT），IDS，VPN，應用等功能，保護內部局域網安全接入INTERNET或者公共網絡，解決內部計算機信息網絡出入口的安全問題。

篇10

關鍵詞: 數字化校園 校園網 網絡安全

一、引言

逐漸豐富起來的應用和信息資源使校園網在學校教學、科研和管理等方面發揮的作用日益重要,廣大師生從事教學、科研、生活和管理工作時對校園網依賴性也越來越高。然而,外部黑客的侵襲,內部人員的攻擊,不良、非法信息的侵入和病毒破壞都能造成網絡信息系統的癱瘓,嚴重威脅著網絡的正常使用。網絡的生命就在于網絡的安全性。那么,在現有的條件下如何加強校園網絡的防護,保證網絡的暢通、信息的完整,直接關系到學校的整體形象、關系到學校的整體利益、關系到學生的成長和成才。

二、校園網面臨的安全隱患

絕大部分高校校園網通過Cernet與Internet相連,在享受Internet資源的同時,也面臨著遭受來自Internet的外部攻擊風險。同時,校園網連接除了學校各院、系等教學、行政單位網絡外,還連接著校內的學生機,由于內部用戶對網絡的結構和應用模式都比較了解,因此校園網還存在著來自內部的安全隱患。由此我們分析高校校園網絡安全主要面臨著以下四個方面的威脅。

1.程序安全漏洞

網絡設備、操作系統和應用軟件都可能存在安全漏洞。這些漏洞一旦被黑客和病毒利用,將給校園網帶來災難性的后果。并且,軟件和硬件配置不當同樣會造成相當嚴重的安全問題。

2.網絡入侵

包括黑客、破壞者和其他試圖非法訪問網絡資源的用戶。入侵可能來自校園網外部,也可能來自校園網內部。攻擊的動機可能是惡意破壞,也可能是出于興趣和好奇心,但同樣都會給校園網的安全造成威脅。校園網的使用者主要是學生,部分學生對網絡很感興趣,而且具有一定的專業水平,攻擊校園網就成了他們表現自己所學知識的首選。

3.計算機病毒的威脅

校園網絡帶給大家方便的同時,也成了計算機病毒傳播最快捷的途徑。隨著網絡的快速發展,病毒編制者水平的提高和病毒與黑客軟件的結合,使網絡病毒頻繁爆發,造成不可估計的損害,輕則是和用戶開個玩笑,重則破壞計算機軟件、硬件,導致機密數據外泄,還可能使得整個網絡處于癱瘓狀態。特別是現在校園網絡接入互聯網的帶寬不斷地提高,BT流行,傳輸文件越來越簡單,為用戶下載提供了方便,但下載的軟件和電子郵件有可能帶有病毒,這無疑也為網絡病毒的傳播大開方便之門。

4.用戶安全意識薄弱

校園網是以大量用戶為中心的系統,一個合法的用戶在這個系統中可以執行大多數操作。盡管網管人員通過訪問控制策略等手段可以限定用戶的某些對網絡產生破壞的行為,但更多的安全措施必須由用戶自己來完成。用戶安全意識薄弱,操作不規范都是威脅校園網安全的主要因素。比如U盤病毒在校內大范圍地傳播。

三、校園網安全措施

網絡安全是一個涉及面較廣的問題,應該說任何單一的安全措施都不可能提供真正的全方位的網絡安全。[1]針對高校網絡具有較多的用戶群,訪問方式多樣,網絡訪問突發性較高等特點,一方面我們要加強網絡安全技術層面上的維護,另一方面也要加強校園網的使用管理,具體策略如下。

1.加強校園網安全管理

學校管理層應重視高校計算機網絡的安全管理,加大投入,完善校園網安全管理的各項規章制度,健全網絡安全監督機制;并引進專業的網絡安全管理人才,對網絡管理人員進行專項培訓,加強安全意識和安全業務技能;重視校園網用戶安全教育,大力開展學生網絡道德教育,對大學生進行安全常識教育,如防病毒軟件的安裝、病毒庫的更新、來歷不明電子郵件的處理等,以抵御來自校園網外部的攻擊。

2.構建全面的安全技術策略

從技術應用層面考慮,應通過合理有效的網絡管理技術來應對日趨復雜多變的網絡環境,通過各種技術手段來監督、組織和控制網絡通信服務,以及信息的處理,確保校園網安全運行。

(1)訪問控制

訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查等。當用戶進入網絡后,網絡系統就賦予這一用戶一定的訪問權限,用戶只能在其權限內進行操作。賬號和密碼保護可以說是系統的第一道防線,目前網上的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統,那么前面的防衛措施幾乎就沒有作用,所以對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。系統管理員密碼的位數一定要多,至少應該在8位以上,而且不要設置成容易猜測的密碼,如自己的名字、出生日期等。對于普通用戶,設置一定的賬號管理策略,如各種開機口令、登陸口令、共享權限口令等,并強制用戶每個月更改一次密碼。[2]對于一些不常用的賬戶要關閉,比如匿名登錄賬號。

(2)配備完整的系統的網絡安全設備

校園網絡雖然比較復雜,但從整體技術架構來看,還是屬于局域網范疇,因此,在局域網和外部網絡接口處配置統一的網絡安全控制和監管設備即可將絕大多數外部攻擊拒之門外。另外需要注意的是,校園網絡現在基本上都是高速網絡,因此配置安全設備既要考慮到功能,又必須考慮性能,將配置安全設備后對網絡性能的影響盡可能的降到最低。據此要求,校園網絡需要配備以下安全設備:高性能的硬件防火墻;旁路監聽型的入侵檢測系統;漏洞掃描系統;安全審計系統;旁路監聽型不良內容過濾系統;覆蓋全校范圍的網絡版防病毒系統;網絡故障檢測,以及網絡故障診斷設備。通過配置這些安全產品可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網絡的故障可以迅速定位并解決。

(3)安裝補丁程序和網絡殺毒軟件

任何操作系統都有漏洞,大部分校園網服務器使用的操作系統都有漏洞,尤其是Windows 2000、Windows 2003等微軟的操作系統。網絡系統管理員需要及時對系統進行升級,有時候也可以借助第三方安全軟件來對系統進行升級,如“360安全衛士”就是很好的免費軟件。

電腦病毒的防范,根據校園網現狀,在充分考慮可行性的基礎上,可采用殺毒軟件網絡版的分級管理,多重防護體系作為校園網的防病毒管理架構。充分使用殺毒軟件網絡版所擁有的“遠程安裝”、“智能升級”、“集中管理”等多種功能,為校園網絡建立起一個完善的防病毒體系。

四、結語

隨著網絡技術的迅猛發展,校園網安全問題也會變的異常嚴峻,本文歸納并提出了一些校園網絡信息安全防護的方法和策略。如今,校園網絡越來越多地擔當著學校教學、科研、管理和對外交流等許多重要的角色。尤其是現代高等院校,逐步實現網絡化和信息化辦公、網絡學術交流等是院校自身發展的必經之路。

參考文獻: