校園網網絡風險與安全策略

曹利萍

（烏蘭察布職業學院 內蒙古 012000）

0 引言

校園網絡，是學校管理的重要設施，擔負著教學、科研、管理和對外服務交流的工作。但是日漸加劇的計算機犯罪頻發、網絡安全問題，給個人、學校甚至國家帶來極大損害。因此有必要加強校園網安全的防范，為師生們提供一個安全的網絡空間。

1 校園網面臨的風險

校園網安全就是校園網信息的安全。校園網由多種設備、設施構成，因為種種原因，其面臨的威脅很多。即：

一是硬件安全，主要有硬件設備的損壞，如上網場所管理較混亂，電子郵件系統極不完善，無任何安全管理和監控的手段。

二是校園網軟件的內在缺陷。例如微軟的操作系統，一些病毒、木馬也是利用其破綻而進行攻擊的。

三是人為的惡意攻擊。這是校園網所面臨的最大威脅，對方的攻擊和計算機犯罪就屬于這一類。如：不良信息的傳播，網絡病毒泛濫，造成網絡性能急劇下降，很多重要數據丟失，損失不可估量。

四是人為的使用不當。如系統管理員安全配置不當，用戶安全意識不強等等。校園網絡上的用戶安全意識淡薄，大量的非正常訪問導致網絡資源的浪費，同時也為網絡的安全帶來了極大的安全隱患。

五是自然災害。雷電、火災、水災等各種自然災害破壞，對校園網影響也很大。

綜上所述，校園網絡安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，提出了以下校園網絡安全解決方案。

2 對校園網的安全對策分析

2.1 對物理安全策略探究

校園網的物理安全是整個網絡系統的前提。防護措施主要指的是各種硬件設施不受破壞，如校園網系統、服務器及通信線路等硬件設施，這種破壞有時又來自惡劣的自然環境與人為的破壞行為。用戶在使用網絡時要進行身份驗證，防止非本人同意的情況下越權操作。此外，校園網系統的工作環境要不斷的得到加強與完善。

2.2 常用的網絡安全防護技術

2.2.1 防火墻技術

防火墻技術是安全網絡體系的基本組件，通過計算機硬件和軟件的組合來建立起一個安全網關，實現了被保護對象和外部系統之間的邏輯隔離。防火墻的組成可以表示為：防火墻= 過濾器+安全策略+網關，它是一種非常有效的網絡安全技術之一。根據部署可分為邊界防火墻、內部防火墻和重要數據和應用服務器防火墻。在 Internet 上，通過它來隔離風險區域與安全區域的連接，但不防礙人們對風險區域的訪問。

（1）包過濾防火墻

防火墻的最簡單的形式是包過濾防火墻。一個包過濾防火墻通常是一臺有能力過濾數據包某些內容的路由器。技術依據是網絡中的分包傳輸技術，工作在網絡層，可以在路由器上實現包過濾。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。但包過濾防火墻的有缺點：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數據包的源地址、目的地址以及 IP 的端口號都在數據包的頭部，很有可能被竊聽或假冒。且包過濾防火墻速度慢。

（2）代理型防火墻。代理型防火墻即應用層網關級防火墻，它的構造是由代理服務器與過濾路由器兩部分構成，它的工作原理是將過濾路由器和軟件代理技術結合在一起。過濾路由器通過連接網絡，嚴格的篩選出需要的數據，進而通過網絡終端傳輸到代理服務器。因此能夠對基于高層協議的攻擊進行攔截，安全系統相對很高。缺點是處理速度比較慢，能夠處理的并發數比較少。

（3）監測型防火墻。監測型防火墻是動態包過濾防火墻。總的來說，具有：高安全性，高效性，可伸縮性和易擴展性。

總之，防火墻就是一個位于計算機和它所連接的網絡之間的軟件，它是網絡中重要的第一防線。包過濾防火墻，它只對IP包的源地址、目標地址及相應端口進行處理，因此速度比較快，能夠處理的并發連接比較多，缺點是對應用層的攻擊無能為力。代理型防火墻只允許被代理的協議通過，并且將數據重新打包。而狀態檢測型只檢查數據包是否被允許通過，不影響網絡性能。不管什么樣的防火墻，都不是萬能的。只有加密了，才能多一份保護。

2.2.2 網絡加密技術分析

網絡加密技術的優勢是防止非授權用戶竊聽或者入網，能夠有效避免惡意軟件的攻擊。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密，端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。不管那種加密，均為數字加密和數字簽名。

2.2.3 身份驗證技術

身份驗證技術是用戶向系統出示自己身份證明的過程。用戶通過用戶名和密碼是防止非法訪問的第一道防線。用戶注冊時先輸入用戶名和密碼，服務器驗證用戶名是否合法。如果合法，繼續輸入密碼，否則，將被拒之網絡之外。用戶的密碼是用戶入網的關鍵所在。為保證密碼的安全性，用戶密碼不顯示在顯示屏上，并加密。經加密后，即使是系統管理員也難以得到它。

2.2.4 網絡監控技術

網絡管理員對校園網實施監控，服務器記錄用戶對網絡資源的訪問，對非法網絡的訪問，服務器要以圖形或文字或聲音等形式報警，以便引起網絡管理員的注意。如果黑客試圖進入網絡，網絡服務器會自動記錄嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

2.2.5 網絡病毒防治技術

在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力。大量的CIH 等病毒就足以給網絡社會造成災難性的后果。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等，或安裝殺毒軟件等。

3 網絡安全管理策略

校園網安全維護策略多種多樣，物理安全策略和網絡技術安全防護只是其中的兩種，安全科學的對校園網進行管理，建立健全完善安全管理制度，對于確保網絡的安全、可靠地運行也是至關重要的。校園網安全管理策略包括：明確安全管理等級和安全管理范圍；嚴格執行有關網絡操作使用規程與人員出入機房管理制度；健全網絡系統的維護方案與應急對策等。

一是必須拒絕不明服務攻擊。通過以上分析，對不明服務要提高警惕，黑客攻擊的主要目標是校園網安全意識不夠的客戶，目的是讓你的計算機及網絡無法提供正常的使用。它基本上可以破壞校園網使用的硬件設備，消耗計算機及網絡中不可再生的資源等，讓計算機處于癱瘓狀態。

二是堅決拒絕欺騙攻擊。黑客會利用TCP/IP協議本身的缺陷進行網絡攻擊，或者進行DNS設置進行欺騙和Web頁面進行欺騙，打破常規預防措施，提高警惕，以免上當受騙。

三是監測功能對移動設備的攻擊。日前，通過手機、PDA及其他無線設備感染惡意軟件的數量在不斷增加，破壞移動設備的正常使用，達到其不法傳播的目的，提高使用者的安全防范迫在眉睫。

4 結束語

利用網絡進行信息交流，實現資源共享，將會給我們的生活帶來無盡的好處，而網絡的安全可以說保證了計算機技術造福于人類社會。網絡安全是一個綜合性的課題，涉及技術、管理、使用等多方面內容，既包括校園網本身的安全問題，也有物理的和邏輯的技術措施。因而，對于網絡安全的技術問題進行有系統的研究，無疑是具有深遠的意義！因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。

校園網安全機制建設是一項長期、艱苦，細致、技術含量高且投資比較大的工作，需要每代人堅持不懈的努力。因為，我們和黑客及病毒制造者打的是一場沒有硝煙的持久戰。其戰爭的長期性、高技術和情報的不確定性，給贏得勝利帶來了很大困難。舊的安全隱患消除了，新的隱患又層出不窮。即便是反應最快的入侵檢測和病毒查殺防黑工具，也是在最新的黑客攻擊和病毒在網上發生之后，才能推出解決方案。所以說，校園網安全實施是一個動態的、不斷推進的、周而復始的過程。

[1]閆坤豪.網絡安全教程 北京：《電腦知識與技術：學術交流》，2008.第3卷第9期第1409-1411頁。