校園網安全技術研究

摘要：隨著網絡技術的飛速發展，校園網在教學、科研和管理工作中發揮著越來越重要的作用，隨之而來的是網絡安全問題也日益突出。本文分析了網絡安全的狀況和特點，闡述了校園網的安全防范策略和技術，以實現校園網絡系統的安全、穩定運行。

關鍵詞：網絡安全；入侵檢測；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)26-1687-02

Research on the Technology of Campus Network

GENG Chang-qing， CUI Wei

(Zhengzhou Railway Vocational Technical College， Zhengzhou 450052， China)

Abstract: With the rapid development of network technology， campus network plays more and more important role in teaching， research and management， but simultaneously the problem of network security is increasingly prominent. This paper analyses the situation and features of network ，and expounds technology and policy about campus-network， which can effectively keep the campus-network stability and safety.

Key words: network security; instruction detection; firewall

1 引言

隨著Internet技術的飛速發展和廣泛應用，網絡安全問題愈來愈突出。由于計算機網絡本身具有的開放性、多樣性的特點，使得計算機網絡容易受黑客、病毒等惡意軟件和手段的攻擊，給計算機網絡安全管理帶來一定的難度。對于計算機網絡信息系統而言，網絡安全是個至關重要的問題，因此，計算機網絡必須有足夠強的保護措施，確保網絡信息的安全、完整和可用。

2 計算機網絡安全現狀

對計算機網絡的入侵、威脅和攻擊，基本上可歸納為以下幾類：外部人員（黑客）攻擊，信息的泄漏、竊取和破壞，搭線竊聽，線路干擾，拒絕服務或注入非法信息，修改或刪除關鍵信息，身份截取或中斷攻擊、操作疏忽等。這些結果的出現，主要由于以下一些原因：局域網存在的缺陷和Internet的脆弱性，薄弱的網絡認證環節和系統易被監視性，網絡軟件的缺陷和Internet的漏洞，沒有正確的安全策略和安全機制，缺乏先進的網絡安全技術、工具、手段和產品，缺乏先進的系統恢復、備份技術和工具，安裝了不正確的安全策略，缺乏相應的安全準則、安全規范、安全政策、安全法規。

3 校園網安全分析

校園網一般由兩大部分構成：一部分是內網，包括教學局域網、圖書館局域網和辦公自動化局域網等構成。另一部分是外網，包括一些外網服務器，主要負責與教育科研網、互聯網的連接以及遠程移動辦公用戶等的接入。為了確保信息安全，校園網必須采取技術手段，實現內外網的隔離，并根據學校的實際情況將校園網劃分出不同的區域，并制定不同級別的安全策略。

1）核心部分：主要包括學校的計算機中心、辦公網、圖書館、各教研科室等。對核心部分的設備要實施嚴密的安全防護，統一安裝相應級別的防病毒產品，接受統一管理，統一更新，定期執行統一的病毒掃描，杜絕病毒在核心部分設備上藏匿。

2）外圍部分：主要包括電子閱覽室、學生機房、教室中的設備等。對可管理區的設備，首先需要結合學校的資產管理，查清設備的部署情況，同時有必要加強巡回檢查，通過人力投入和程序的自動執行，提高防護水平。

一些校園網上的黑客是來自具有獵奇心理、計算機操作能力強的在校學生。他們的攻擊手段正在不斷提高，這就對學校的網絡管理提出了更新、更高的要求，同時網絡安全要“內外兼防”。

4 校園網安全設計

4.1 物理安全

物理安全的目的是保護計算機系統、網絡服務器、交換機、路由器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊。確保計算機系統有一個良好的、符合國家相關規范的電磁兼容工作環境。對存放機密信息的機房進行必要的設計，如構建屏蔽室，采用輻射干擾機，防止電磁輻射泄露機密信息，對重要的設備進行備份，對重要系統進行備份。建立完備的安全管理制度，驗證用戶的身份和使用權限、防止用戶越權操作。防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

4.2 系統安全

從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術，都是運行在操作系統上的。因此，保證操作系統的安全是整個系統安全的根本。目前的操作系統無論是Windows還是其它任何商用操作系統，系統本身必定存在安全漏洞。這些安全漏洞都存在重大安全隱患。但是從實際應用上，系統的安全程度與對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則會有很多漏洞，掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置，比如，及時的為軟件安裝最新的“補丁”，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，入侵者就不容易成功入侵，程序能夠最大限度的降低被攻擊的風險。

4.3 訪問控制

訪問控制是網絡安全防范和保護的重要策略，它的主要任務是保證網絡資源不被非法使用和非正常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

1）防范非法用戶非法訪問：非法用戶的非法訪問也就是黑客或間諜的攻擊行為。在沒有任何防范措施的情況下，網絡信息的安全主要是靠主機系統自身的安全，如用戶名及口令這些簡單的控制。對于用戶名及口令的保護方式，對有攻擊目的的人根本就不是一種障礙。他們可以通過對網絡上信息的監聽或猜測，得到用戶名及口令。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，只有合法用戶才能訪問合法資源。

2）防范合法用戶非授權訪問：合法用戶的非授權訪問是指合法用戶在沒有得到許可的情況下訪問了不該訪問的資源。一般來說，每個成員的主機系統中，有一部分信息可以對外開放，而有些信息則要求保密或具有一定的隱私性。外部用戶被允許正常訪問一定的信息，但他同時也可能通過一些手段越權訪問了別人不允許他訪問的信息，因而造成他人的信息泄漏。因此，必須對服務及訪問權限進行嚴格控制。

3）防范假冒合法用戶非法訪問：從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源，那么，入侵者便會在用戶下班或關機的情況下，假冒合法用戶的IP地址或用戶名等資源進行非法訪問。因此，必須從訪問控制上做到防止假冒而進行的非法訪問。

4.4 采用VLAN技術

由于內網的信息傳輸采用廣播技術，數據包在廣播域中很容易受到監聽和截獲。因此，需要使用安全交換機，利用VLAN技術從物理上或邏輯上隔離網絡資源，根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，以達到限制用戶非法訪問的目的，從而加強內網的相對安全性。

4.5 設置防火墻

防火墻是指設置在不同網絡(如可信任的內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制及更改跨越防火墻的數據流，盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況，以此來實現網絡的安全保護。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

防火墻能有效地防止外來的入侵，它在網絡系統中的主要作用是：1）控制進出網絡的信息流向和信息包；2）提供使用和流量的口志和審計；3）隱藏內部IP地址及網絡結構的細節；4）提供虛擬專用網(VPN)功能。

4.6 建立入侵檢測系統

利用防火墻技術，通常能夠在內外網之間提供安全的網絡防護，但入侵者可能就在防火墻內，或者防火墻為提供一些服務而開放的合法的服務通道也可能被偽裝的攻擊者所利用。如UniCode攻擊、SQL Server空口令攻擊等。通過安裝入侵檢測系統，可以提升防火墻的性能，達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作。入侵檢測系統在發現入侵者后，會及時做出響應，包括切斷網絡連接、記錄事件和報警等。入侵檢測可以幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高信息安全基礎結構的完整性。一個成功的入侵檢測系統，不但可使系統管理員時刻了解網絡系統的任何變更，還能給網絡安全策略的制定提供指南。

4.7 防范計算機病毒

校園網作為一個網絡，必須建立一種具有遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能的針對校園網絡的防病毒安全體系。從網絡管理和病毒監控的角度來說，一是校園網宜選用網絡版防毒軟件，因為網絡版防毒軟件的管理功能更強大。二是校園網應采用網關防病毒、服務器防病毒和客戶端防病毒的層次化防病毒體系，實現對病毒的全面防范。

網關防毒是整體防毒的首要防線，可以消除外來病毒的威脅，使得病毒不能再從外網傳播進來，對內部網絡資源和系統資源造成消耗。同時，網關防毒這道防線上還具備內容過濾功能，全面防范垃圾郵件的侵擾以及內部機密數據的外泄，在整個防毒系統中起到事半功倍的效果。

4.8 建立備份策略

在內網中要對重要數據進行備份。用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護內網的安全，必須建立完備的備份系統和備份策略，對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

4.9 安全審計

建立系統日志是實現審計功能的重要手段，它可以記錄系統中發生的所有活動，有利于發現非法掃描、拒絕服務攻擊及其他可疑的入侵行為。

4.10 安全管理

在應用技術手段加強校園網安全管理的同時，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。

5 結束語

教育信息化，校園網的建設是基礎，而網絡信息安全是保障。安全不應僅僅停留于追堵和攔截，而應該積極主動地運用各種手段應對不斷發展的各種安全威脅。

校園網的安全策略也不能一勞永逸，必須根據技術的發展和應用的變化采用新的防御技術和安全策略（如數據庫加密技術、網頁防篡改技術等），努力改善并提升校園網的安全防護能力，形成全方面的、立體的安全防護體系，才能確保校園網安全、有效的運行。

參考文獻：

[1] 張相鋒，孫玉芳.入侵檢測系統發展的研究綜述[J].計算機科學，2003，30(8):45-49.

[2] 嚴波，李廣軍.一種狀態檢測防火墻的攻擊防御機制[J].電子科技大學學報，2005，34(4): 509-512.

[3] 馬國峰.一個電子政務系統中的網絡安全技術應用[D]. 武漢:華中科技大學，2007.

[4] 黃旸，胡偉棟，陳克非.網絡攻擊與安全防護的分類研究[J].計算機工程，2001，27(5):131-133.

[5] 曹莉.計算機網絡安全技術研究[J].陜西師范大學學報：自然科學版，2000，28(2):23-27.