高校網絡安全體系的設計與策略分析

鄒麗英

（浙江工業大學之江學院，浙江 杭州310024）

高校網絡安全體系的設計與策略分析

鄒麗英

（浙江工業大學之江學院，浙江 杭州310024）

本文根據對校園網絡的安全分析，提出了在校園網絡規劃時應考慮的技術安全措施，通過對這些技術措施的分析，對如何選用這些技術提出了建議。文章還從技術角度提出了在日常的管理和維護中應采取的網絡安全措施。

網絡安全；校園網；策略

校園網絡作為學校重要的基礎設施，在學校教學、科研、管理和對外交流等活動中擔當著重要角色。校園網安全狀況直接影響著學校的各項活動。隨著校園網上各種數據急劇增加，如何保護系統不被非法訪問就顯得越來越重要，因此校園網應采用先進的安全訪問控制技術，構造有效的網絡安全體系。由于網絡技術的復雜性，要想根本解決網絡安全問題幾乎是不可能的，我們不僅要在網絡的規劃中將安全問題列入設計方案，而且要在管理和維護中將網絡安全措施落到實處，這樣才能夠最大限度保障校園網絡安全。

一、威脅網絡安全的表現

1．不良信息的傳播

在校園網接入互聯網后，師生都可以通過校園網絡進入互聯網。目前互聯網上各種信息良莠不齊，有關色情、暴力、邪教的內容泛濫。這些有毒的信息違反人類的道德標準和有關法律法規，對世界觀和人生觀正在形成的學生來說，危害非常大。如果安全措施不到位，不僅會有部分學生進入這些網站，還會把這些信息在校園內傳播。

2．病毒的危害

通過網絡傳播的病毒無論是在傳播速度、破壞性還是在傳播范圍等方面都是單機病毒所不能比擬的。特別是學校接入廣域網后，為病毒進入學校大開方便之門，下載的程序和電子郵件都可能帶有病毒。

3．非法訪問

學校涉及的機密不是很多，來自外部的非法訪問要少一些，關鍵是內部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案，使正常的教學練習失去意義。更有甚者，有的學生可能在考前獲得考試內容，嚴重地破壞了學校的管理秩序。

4．惡意破壞

包括對網絡設備和網絡系統兩個方面的破壞。網絡設備包括服務器、交換機、集線器、路由器、通信媒體、工作站等，它們分布在整個校園內，管理起來非常困難，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成校園網絡全部或部分癱瘓。

網絡系統的破壞是指利用黑客技術對校園網絡系統進行破壞。表現在以下幾個方面：對學校網站的主頁面進行修改，破壞學校的形象；向服務器發送大量信息使整個網絡陷于癱瘓；利用學校的郵件服務器轉發各種非法的信息等。

5．口令入侵

為管理和計費的方便，一般來說，學校為每個上網的老師和學生分配一個賬號和密碼，并根據其應用范圍，分配相應的權限。然而某些人員為了訪問不屬于自己應該訪問的內容或將上網的費用轉嫁給他人，用不正常的手段竊取別人的口令，造成管理的混亂。

二、網絡安全技術

目前，網絡安全技術主要包括殺毒軟件、防火墻技術、加密技術、身份驗證、存取控制、數據的完整性控制和安全協議等內容。針對校園網來說，筆者認為主要應該采取以下一些技術措施：

1．內容過濾器和防火墻

過濾器技術可以屏蔽不良的網站，對網上色情、暴力和邪教等內容有強大的堵截功能。

防火墻技術包含了動態的封包過濾、應用代理服務、用戶認證、網絡地址轉換、IP防假冒、預警模塊、日志及計費分析等功能，可以有效地將內部網與外部網隔離開來，保護校園網絡不受未經授權的第三方侵入。

2．VLAN 技術

采用交換式局域網技術（ATM或以太交換）的校園網絡，可以運用VLAN技術來加強內部網絡管理。VLAN技術的核心是網絡分段。根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。

物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段，各網段相互之間無法直接通信。邏輯分段則是指將整個系統在網絡層上進行分段。例如，對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法。

3．殺毒軟件

選擇合適的網絡殺毒軟件可以有效地防止病毒在校園網上傳播。它應具有以下一些特征：第一，能夠支持所有的主流平臺，并實現軟件安裝、升級、配置的中央管理；第二，要能保護校園網所有可能的病毒入口，也就是說要支持所有可能用到的Internet協議及郵件系統，能適應并且及時跟上瞬息萬變的Internet時代步伐；第三，具有較強的防護功能，可以對數據、程序提供有效的保護。

布置安全措施后的校園網絡拓撲結婚如圖所示：

三、網絡安全的管理

以上主要談了在網絡規劃時從技術上保證網絡安全的主要措施,然而僅僅采取技術措施是不夠的，網絡管理也非常重要。除了建立起一套嚴格的安全管理規章制度外，學校還必須培養一支具有安全管理意識的網管隊伍。網絡管理人員對所有用戶設置資源使用權限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式，有效地保證系統的安全。網管人員要定時對校園網系統的安全狀況做出評估和審核，關注網絡安全動態，調整相關安全設置，進行入侵防范，發出安全公告，緊急修復系統等。不僅如此，網絡管理人員更應該從技術角度采取相應措施保障網絡的安全。

網上大部分的攻擊是針對網絡上的服務器系統,其中包括電子郵件、匿名 FTP、WWW、DNS、News等服務系統。 這些系統大都是運行在UNIX系統上的，系統之所以易受攻擊，有各方面的因素。首先，這些系統知名度高，容易引起注意，其次，系統本身存在漏洞。我們一方面可采用一些防衛性措施；另一方面，網絡系統管理員可以應用一些工具，來查找系統安全漏洞，或從網上截獲報文進行分析。

1．安裝系統補丁程序

任何操作系統都有漏洞，作為網絡系統管理員就有責任及時將補丁打上。

2．采用最新版本的服務方軟件

和操作系統一樣，在服務器上運行的服務方軟件也需要不斷更新，而且新版本的軟件往往提供了更多更好的功能來保證服務器更有效更安全的運行。為了將安全漏洞降低到最小,系統管理員必須及時更新服務方軟件。這些版本更新得非常快，大家可以跟蹤他們的正式目錄來獲得最新軟件。

3．口令安全

口令可以說是系統的第一道防線，目前網上大部分對系統的攻擊都是從截獲或猜測口令開始的，一旦黑客進入了系統，那么前面的防衛措施幾乎就沒有作用。所以對口令進行安全地管理可以說是系統管理員的重要職責。

4．文件目錄權限

一旦有黑客進入你的系統，他就可以通過這些程序獲得超級用戶權限。目前Internet上有不少工具軟件可幫助你來檢查權限。

5．定期對服務器進行備份

為了防止不能預料的系統故障,或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時應該將修改過的重要的系統文件存放在不同的服務器上,以便在系統萬一崩潰（通常是硬盤出錯）時，可以及時地將系統恢復到最佳狀態。

6．設置系統日志

通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間，輸入過的每一條命令，磁盤空間和CPU占用情況。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。 比如，如果你發現有某一賬號總是在半夜登錄，就要警惕了，也許該賬號已被盜用；如果某一系統賬號，像uucp有人登錄或占用大量的CPU或磁盤，也要引起注意。運行系統日志的主要缺點是要占用大量的磁盤空間。

四、用戶教育

除了對用戶進行有關網絡安全的法律法規和規章制度的宣傳教育外，還必須讓用戶知道如何使用密碼、管理文件、收發郵件和正確地運行應用程序。對于非法訪問和黑客攻擊事件，一旦發現要嚴肅處理。

綜上所述，校園網的安全問題是保證校園網絡穩定運行的關鍵因素，在規劃設計階段就要將安全措施作為一項重要內容進行規劃設計，不但從技術措施上想辦法，而且要從管理上定制度，只有這樣，才能確保校園網的正常運行，享受到校園信息化給我們帶來的便利。

[1]譚青,李勇．淺晰防火墻與網絡安全技術[J].新疆職業大學學報,2004,12(4)：78-79.

[2]譚躍生，黑建新.利用Web Services技術集成校園網應用[J].電子科技大學學報(社科版),2002,4(1):5-7.

[3]夏齡,周德榮,舒濤．校園網絡的安全及對策[J].中國電化教育,2004(10)：85-87.

[4]方東權,楊巋．校園網網絡安全與管理[J].網絡安全技術與應用.2005(3):51-52.

[5]趙戈,錢德沛,范暉.用分布式防火墻構造網絡安全體系[J].計算機應用研究.2004(2):106-107.

（編輯：隗爽）

TP393.08

A

1673-8454（2010）23-0037-03