校園網安全防護的研究

許 立 王 亮

（西藏民族學院信息工程學院 陜西 7120082）

0 引言

西藏民族學院的校園網工程建成于2004年，發展至今天，網絡節點已達8000多個，分布在教學區，行政區，家屬區，后勤區，承擔了相當繁重的任務。我校的校園網架構為三層結構：核心層，匯聚層，接入層，雖然校園網目前運行良好，但是在運行期間，還是出現了諸如病毒、硬件故障等，影響了我校院內學生以及教職工的學習和工作。因此，校園網若還能夠進一步的優化，可以更好的為我校師生服務。

1 校園網常見問題

1.1 校園網網站結構問題

（1）網頁訪問問題

隨著時間的推移，網站中的網頁信息越來越多，但同時，網頁的管理也就變得越來越混亂，許多的網頁隨時間的推移而慢慢無人訪問，尋找這些網頁也變得比較困難，這使得某些舊網頁往往使訪問者尋找多個網頁后才能找到。

（2）網站資源布置問題

網站的某些網頁資源比較重要，但是有關這些網頁的鏈接入口的設計卻并不合理，使得某些資源的訪問率過低，沒有起到相應的作用，而某些資源的訪問率又過高，任務過重，又造成了時延的增加。

1.2 校園網的可靠性問題

校園網是一個復雜的工程，其可靠性直接影響到用戶的體驗。而影響校園網可靠性的因素除了硬件因素和軟件因素以外，人為因素也對校園網的可靠性產生一定的影響。

從校園網建設至今，由于硬件原因和軟件原因導致的網絡故障已經多次出現。

我校校園網的硬件故障，主要是以接入層交換機故障為主，也曾經出現過匯聚層交換機的故障，從而影響到校園網的工作。除此之外，校園網的施工所導致的接口或線路問題也是原件故障的原因之一。

我校校園的軟件故障，一方面是由于購買的網絡應用軟件因配置不當或軟件自身的原因，導致該軟件應用功能無法實現，另一方面是由于網絡病毒的影響導致系統或應用軟件無法正常工作。無論是哪一方面的原因，都對校園網的通信產生了不利的影響。

此外，西藏民族學院的校園網的節點達到8000多個，上網的人員包括學生，教師，行政人員，家屬等，這些人在網絡上通過各種聊天工具，可以傳播各種信息，這些信息雖然不會對物理網絡造成破壞，但是其中的不良信息，會對學生的學習，生活造成相當大的影響，更為嚴重的，甚至有可能影響民族團結。

1.3 校園網安全問題

校園網的安全經常性的受到以下原因的影響：

（1）計算機病毒的影響。我校的部分學生，其計算機安全意識薄弱，其直接的影響就是造成計算機病毒在網絡上快速擴散。我校也深受其害，ARP病毒曾經造成局部網絡癱瘓，嚴重影響了學校的教學和科研工作。

（2）惡意攻擊。由于校園網絡同因特網互聯，因此，幾年的時間里，我校園網已遭到了多次人為的惡意攻擊。這些攻擊利用網絡協議，服務器和操作系統的安全漏洞以及管理上的疏忽，企圖非法訪問資源、刪改數據、破壞系統。并且，這些惡意攻擊不僅來自校園網外部，還可能來自校園網內部。從破壞性來說，來自內部的攻擊往往破壞性更強。

（3）系統安全漏洞。目前使用的操作系統存在很多安全漏洞，對網絡安全構成了威脅。許多校園網絡服務器的操作系統的安全風險級別不同加上系統管理員或使用人對該系統了解不夠和安全設置不當，這些都將對校園網絡構成威脅。

（4）網絡管理漏洞。校園網上的安全威脅也有自管理方面的缺陷，例如：網絡管理員密碼的遺失，用戶信息的外泄，相關人員的誤操作等等。都會影響到網絡的安全。

2 校園網優化

2.1 網站結構的優化設計

校園網結構優先設計的核心目標，就是使訪問者能夠快速的、小代價找到所需要的網頁資源。通過優化網站結構，一方面可以減少WEB服務器的工作量，另一方面也節約了用戶的時間，提高了用戶的效率。

網站結構優化技術的關鍵步驟就是路徑分析、關聯規則以及序列模式挖掘技術研究，而這三者都是基于WEB日志挖掘。

（1）路徑分析研究.

當一個用戶訪問WEB站點時，該用戶并不是無目的的訪問，他會根據自己的興趣、需求等多方面原因來進行訪問，而當我們的研究對象擴展到群體用戶的時候，就可以通過路徑分析技術，來研究這些用戶的訪問序列，從中找出規律，并做出相應的改變，從而方便用戶的使用。

路徑分析研究所采用的算法最常采用的是聚類算法，通過對用戶訪問的資源進行聚類，最終得到的聚類集就可反映出所有用戶的訪問興趣。目前對聚類算法的優化研究相對較多，例如：RDBC算法就是其中的一種。

（2）關聯規則研究

關聯規則挖掘是要從用戶訪問序列數據庫中的序列里面找出相關聯的規則。關聯規則挖掘算法有經典的頻集算法、FP-樹頻集算法、多層關聯規則挖掘、多維關聯規則挖掘算法。目前用于站點的關聯規則研究主要是采用 Apriori核心算法,以及優化后的Apriori核心算法。

為了提高算法的效率，Mannila等引入了修剪技術來減小候選集Ck的大小[MTV94]，由此可以顯著地改進生成所有頻集算法的性能。算法中引入的修剪策略基于這樣一個性質：一個項集是頻集當且僅當它的所有子集都是頻集。那么，如果Ck中某個候選項集有一個(k-1)-子集不屬于Lk-1，則這個項集可以被修剪掉不再被考慮，這個修剪過程可以降低計算所有的候選集的支持度的代價。

（3）序列模式挖掘技術

序列模式挖掘技術，可以幫助網站的管理人員預測用戶的訪問行為，它可以按照不同的用戶訪問序列模式，將網頁分類，并以此為依據對網站的內容或結構進行調整。簡單地說，就是根據大多數用戶以前的訪問頁面次序，網站管理員有目的的調整將用戶即將訪問的資源位置，從而使得用戶能更方便的找到所需要的資源。

序列模式挖掘所采用的算法有GSP算法，prefixspan算法，disc-all算法等。

2.2 校園網的可靠性優化

（1）提升硬件可靠性

目前我校的校園網主要設備是由2層交換機構建接入層，3層交換機構建匯聚層和核心層。這些交換機在選購時盡可能選購時，在保證質量的前提下，應盡可能購買高密度端口的交換機，一方面可避免因堆疊交機所引發的交換故障（注：我校曾經使用堆疊技術出現過交換故障），另一方面也避免了級聯方式下交換機可用帶寬的降低，同時也可節約資金。此外，為提升網絡的可靠性，可以通過使用雙工、鏡像、雙鏈路、磁盤陣列等技術來提升網絡的硬件可靠性。

（2）提升軟件可靠性

提升軟件可靠性主要從以下幾個方面入手：

合理設置和使用網絡監控軟件，監控各類網絡資源及操作，防止各類非法操作及不良信息對網絡帶來傷害。

購買正版軟件，并嚴格按照使用手冊進行操作，防止因盜版軟件其中的漏洞或病毒對網絡帶來傷害。

管理人員和使用人員嚴格按照網絡管理規定來使用網絡，防止人員因誤操作或非法操作影響網絡的運行。

定時更新系統和升級軟件，盡可能減少系統漏洞所帶來的危害。

2.3 校園網安全優化

為保證校園網安全，防止自然、人為等各種因素對網絡制成破壞，可以考慮采取以下措施來提高網絡的安全性。

（1）做好防火、防盜、防水等基本防護措施。

（2）合理劃分VLAN，使得網絡能夠有效減少廣播風暴，并保護重要節點的安全。

（3）服務器方面，為安全起見，首先應關閉掉不必要的端口，刪除多余的用戶，停用Guest用戶，并且為授權用戶合理分配權限。

（4）開啟審核策略，記錄入侵。

（5）使用文件加密系統EFS，防止別人閱讀重要而敏感的數據。

3 總結

隨著網絡技術和計算機技術的飛速發展，計算機網絡作為一種通信手段，在我們的生活中扮演著越來越重要的作用，而校園網，正是其中最具代表性的網絡平臺。但是相應的，網絡環境越變得越來越復雜。因此，我們需要對網絡建設的現狀進行分析，對影響網絡安全及可靠性的薄弱環節進行仔細的研究，然后制定出相應的優化策略，使得校園網能夠在結構,可靠性,安全性方面符合我們的要求，為我們的學習工作帶來高效，可靠的幫助。

[1]鄒潤生.VRRP技術實現網絡的路由冗余和負載均衡[J].計算機與信息技術,2006,(04):54-56

[2] 吳兆紅，陳增吉 大型園區網絡可靠性設計與實現[J] 山東師范大學學報（自然科學版），2008,(04):43-46

[3]張忠旭 網站結構優化主要技術算法研究[J] 知識經濟,2010(07):97-97

[4]葉涌,陳曉本 校園網安全防護策略[J] 中國教育信息化,2009(09):28-30

[5]杜華,王鎖柱 網站結構優化模型及算法分析[J] 計算機工程與設計, 2008(21):5591-5594