高職院校校園網的安全策略探析

譚瓊玲

永州職業技術學院商貿旅游學院 湖南 425006

0 前言

由于全球信息化的快速發展，計算機網絡安全問題越來越引起人們的重視。近幾年來，隨著校園網迅速普及，黑客入侵、信息泄露和病毒泛濫等網絡安全問題日趨嚴重。

1 目前網絡存在的安全隱患

1.1 非授權訪問

沒有經過同意，就使用網絡或計算機資源，被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備進行非正常使用，或擅自擴大權限，越權訪問信息等。它主要有以下幾種方式：假冒身份攻擊、合法用戶以未授權的方式進行操作、非法用戶進入網絡系統進行非法操作等。

1.2 破壞數據完整性

以不正當手段取得數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾合法用戶的正常使用。

1.3 信息泄露或丟失

敏感數據被泄露出去或丟失，它常包括：通過建立隱蔽隧道等竊取敏感信息，信息在傳輸中丟失或泄露，信息在存儲介質中丟失或泄露等。

1.4 抵賴

可能出現的抵賴行為有：發送信息后，發送方否認已經發送過信息；接收方在接收到信息后，否認接收到信息。

1.5 拒絕服務攻擊

不斷對網絡服務系統進行干擾，執行無關程序，改變正常的作業流程，使系統響應減慢甚至癱瘓，干擾正常用戶的使用，使合法用戶不能進入計算機網絡系統或不能得到相應的服務。由于入侵檢測系統中的網絡引擎、主機代理和存儲系統都對網絡通信非常敏感，所以非常容易受到攻擊。

2 威脅高職院校校園網安全的原因

2.1 物理方面

在物理方面，校園網的安全很脆弱。校園網使用的設備較多，如通信線路、交換機等都有可能遭到攻擊，引起通信的中斷。存儲介質的丟失，會引起信息的泄密等。

2.2 技術方面

高職院校的校園網基本上都與Internet相連，Internet的資源共享性和開放性使得網絡存在安全隱患。目前我們使用的操作系統存在著各種漏洞、后門等，對網絡安全構成威脅。

2.3 宣傳教育方面

雖然關于網絡安全的法律法規已經制定，但并沒在用戶中進行廣泛宣傳，致使用戶有意破壞網絡安全。

2.4 管理方面

嚴格的管理是保證校園網安全的重要途徑。許多高職院校對網絡的管理松懈，管理者和用戶的安全意思淡薄，疏于防范，沒有建立校園網的安全管理體制。

2.5 用戶方面

校園網的用戶包括教師和學生，校園網是以用戶為中心的系統，一個合法的用戶在系統內可以執行各種操作，如要下載，有可能會下載一些帶有病毒的軟件。

3 安全策略

3.1 運用防火墻

防火墻的主要功能是進行訪問控制，它的主要作用是隔離安全網絡與不安全網絡；隔離信任網絡與不信任網絡，并對它們之間的訪問進行控制。鑒于防火墻本身的功能特點，決定它的配置位置是在兩個不同網絡或者不同安全域之間的連接處，使得防火墻成為兩個不同網絡之間訪問的惟一通道，這樣防火墻就可以對所有進出它的數據進行檢查、過濾，真正發揮防火墻的最大功效。設置防火墻后，所有從Internet訪問學校校園網的訪問請求都首先到達防火墻。防火墻可以通過分析這些數據包的性質控制網絡中對主機的訪問，防火墻還可以對 Internet網絡采取安全措施，只允許與業務有關的訪問進入校園網，其他的網絡服務請求都加以拒絕，于是來自外部網絡的攻擊行為不能到達校園網主機。對于一些特定的服務請求，防火墻可以進行強制認證，只有來自合法主機的合法操作在通過認證之后才能到達要訪問的主機。

3.2 運用入侵檢測系統

入侵檢測系統是一種主動保護自己免受攻擊的網絡安全技術，是對防火墻的合理補充。入侵檢測系統與防火墻不同，主要在于防火墻關注入侵是為了阻止其發生。防火墻限制網絡之間的訪問，目的在于防止入侵，但并不對來自網絡內部的攻擊發出警報信號。而入侵檢測系統卻可以在入侵發生時，評估可疑的入侵并發出警告。而且入侵檢測系統還可以觀察源自系統內部的攻擊。但現有的入侵檢測系統仍然存在著漏報、誤報以及在自身安全、管理等方面存在著先天的不足。可以運用曙光GodEye-HIDS主機入侵檢測系統，它憑借先進的分布式入侵檢測技術，有效的實現了“管理周密，簡單易用”、“檢測嚴密，主動防護”、“過硬的自我保護功能”、“有效防范近千種黑客攻擊”、“攻擊取證” 等幾大功能優勢，具有極強的抗欺騙能力和降低漏報誤報能力。

3.3 運用安裝補丁程序

任何操作系統都有漏洞，網絡系統管理員有責任及時地打上“補丁”。目前校園網服務器多數使用微軟的 Windows操作系統，微軟公司為了彌補操作系統的安全漏洞，會定期公布發現的漏洞，并在官方網站上提供相關的補丁程序，用戶可以到網上下載并安裝相關升級軟件包。

3.4 重視病毒的防治

計算機病毒的防治技術分成四個方面，即檢測、清除、免疫和防御。計算機病毒的預防技術是指通過一定的技術手段防止計算機病毒對系統進行傳染和破壞，實際上它是一種特征判定技術，也可能是一種行為規則的判定技術。也就是說，計算機病毒的預防是根據病毒程序的特點對病毒進行分類處理，在程序運行中凡有類似的特點出現則認定是計算機病毒。計算機病毒檢測技術是指通過一定的技術手段判定出計算機病毒的一種技術。病毒檢測技術主要有兩種，一種是根據計算機病毒程序中的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術；另一種是不針對具體病毒程序自身檢驗技術，即對某個文件或數據段進行檢驗和計算并保存其結果，以后定期或不定期地根據保存的結果對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段的完整性己遭到破壞，從而檢測到病毒的存在。計算機病毒的消除技術是計算機病毒檢測技術發展的必然結果，是病毒傳染程序的一種逆過程。在檢測發現特定的計算機病毒基礎上，根據具體病毒的消除方法從傳染的程序中除去計算機病毒代碼并恢復文件的原有結構信息。目前還沒有一種有效的計算機病毒免疫方法。目前，大多數反病毒廠商都已經推出了網絡版的殺毒軟件，同時，使用網絡版的殺毒軟件，一定要及時升級殺毒軟件。

3.5 信息加密策略

信息加密的目的是保護校園網內的數據、文件、口令和控制信息，保護網上傳輸的數據的安全。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密是保護網絡節點之間的鏈路信息安全；端點加密是對源端用戶到目的端用戶的數據提供保護。節點加密是對源節點到目的節點之間的傳輸鏈路提供保護。信息加密過程是由各種加密算法來具體實施。多數情況下，信息加密是保證信息機密性的惟一方法。

3.6 運用數據備份與恢復技術

備份技術是最常用的提高數據完整性的措施，它是指對需要保護的數據在另一個地方制作一個備份 ，一旦原有數據遭到破壞還能使用數據備份進行恢復，所以要定期對數據進行備份，并異地保存。

3.7 建立身份認證系統

校園網絡必須要解決用戶上網身份問題，而身份認證系統是整個校園網絡安全體系的基礎，否則即便發現了安全問題也只能不了了之，只有建立了基于校園網絡的全校統一身份認證系統，才能徹底的解決用戶上網身份問題，同時也為校園信息化的各項應用系統提供了安全可靠的保證。

3.8 加強用戶安全意識

面對日趨嚴重的網絡犯罪，必須逐步建立與網絡安全相關的法律、法規，使圖謀不軌的人懾于法律的威力，不敢輕舉妄動。利用新生入學教育和員工崗前培訓的時間，對新用戶進行網絡安全及相關法律、法規的教育，引導學生正確學習和運用網絡技術，機房要專人管理，無關人員不得進入，只有這樣才能促使校園網健康發展。

3.9 嚴格規范上網場所的管理

對上網用戶集中進行監控和管理。上網用戶不但要通過身份認證系統確認，而且合法用戶上網的行為也要統一進行監控，上網行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。才能保證網絡能高效、安全地為高職院校師生的工作和學習服務。

4 總結

校園網絡安全體系是一個系統的工程，不僅要用技術來保障系統的安全，還要改進管理方法、建立安全防范體系。隨著網絡自身不斷發展，必將出現新的安全問題，我們必須根據情況的變化，不斷對網絡系統進行及時的維護和更新，細化各種管理制度，不斷提高校園網管理人員的技術水平，

[1] 王春榮,劉蘭娟.網絡安全入侵檢測研究.計算機時代.2002.

[2] 陳立新.計算機病毒防治百事通.清華大學出版社.2000.

[3] 馮登國.計算機通信網絡安全[M].清華大學出版社.2001.

[4] 王銳,陳靚,靳若明,周剛.網絡最高安全技術指南[M].機械工業出版社.1998.

[5] 謝希仁.計算機網絡[M].大連理工大學出版社.2000.