校園網網絡安全技術及解決方案分析

李春曉

（西安外事學院，710077)

伴隨著我國教育事業信息化的發展，網絡在校園辦公、教學以及科研、學術交流中發揮著越來越重要的作用。尤其是隨著因特網的普及，網絡為我們提供了一個信息高速化和開放性的平臺。網絡在帶給我們極大的便利的同時也給校園引入了諸多不安全的因素，例如黑客攻擊、計算機網絡病毒、不健康網絡信息等都會影響校園網絡的安全運行。從中小學到高校都在進行網絡建設，如何規避網絡風險便是我們需要解決的首要問題。

1 校園網的特點

隨著信息技術以及互聯網的飛速發展，我國校園網的建設得到了飛快的發展，校園網的建設規模也逐漸增大，這在一定程度上為學校教學工作的開展提供了更多的便利。校園網作為學校建設的重要設施，在教學、科研以及教學工作管理和學校的對外宣傳方面都發揮著重要作用，因此校園網絡的安全程度也將直接影響學校的教學活動。計算機技術革新的同時，各種網絡威脅也隨之而來，尤其是在網絡規模不斷擴大，網絡的復雜性日益突出的背景之下，用戶對網絡性能的要求也在上升，這就使得校園網絡安全維護工作顯得尤其重要，具體來說當前校園網絡建設進程中面臨的問題主要體現在以下幾點：

1）日常管理維護難，隨著網絡在校園中的應用范圍逐漸增大，課堂教學的網絡化、在線學習等都會給網絡維護工作帶來諸多挑戰，長時間的業務積壓極容易造成網絡故障。

2）濫用網絡資源。在大多數校園內存在著用戶濫用網絡資源的情況，主要表現在私自開設代理服務器非法獲取網絡服務或是非法下載和上載以及存在不按學校規定進行網絡服務的，大量占用校園網絡，影響校園其他應用的正常運行。

3）由于校園內部的網絡體系較為復雜，在安全認證以及授權方面面臨的挑戰較大，這就使得網絡安全得不到保障，計費運營等缺乏系統的規范。

4）互聯網本身內容的豐富性和多元化也給校園網絡帶來了威脅，互聯網上的非法內容對于在校生而言具有極大的危害性，暴力、黃色、血腥等不良內容都會影響學生身心的健康成長。因此校園網需要采取一定的措施對校園網絡的信息進行過濾和處理，為學生提供一個綠色的網絡環境，如果不加以過濾和識別不僅會給學生帶來不利影響，還會占用過多的流量資源，造成網絡流量的堵塞，影響上網速度。

2 校園網網絡安全問題

2.1 網絡開放性下的安全問題

正是因為互聯網的開放性使得計算機面臨著諸多威脅，為了創造安全的網絡環境，需要設置各種安全機制和策略，并且要通過安全管理技術來提升網絡的安全性能，但即使是在這樣的環境下，安全機制并不能保證網絡萬無一失，例如防火墻設置在內部網絡之間的訪問難以發揮作用，對于內部網絡之間的非法入侵行為不能作為，而一些安全工具的使用也可能會因為認為操作的影響，一旦設置不當都會直接影響校園網絡的安全性能。

2.2 校園網網絡面臨的主要威脅

校園網網絡安全面臨的威脅因素主要有以下幾個方面：首先從系統本身來看，由于系統設計過程中的失誤都可能會直接影響網絡的穩定性以及運作，如網卡設置不當等都可能會直接導致網絡的不穩定，形成網絡障礙。其次網絡軟件自身的問題，在校園網使用過程中，一些非法軟件或是一些設計不成熟的軟件，因為自身的漏洞給黑客、病毒的入侵創造了條件，從而使得校園網“后門大開”給校園網帶來災難性的影響。再次目前大多數計算機用戶談毒色變的網絡病毒也是威脅校園網網絡安全的重要因素，因為網絡病毒的高傳播性以及傳播的廣泛性都使得計算機網絡面臨著嚴重威脅，隨著網絡多元化和復雜化的發展，病毒的種類也越來越多。此外黑客攻擊也是校園網網絡安全的重要攻擊者，黑客通過找到校園網絡的網絡漏洞入侵系統從而破壞計算機內部系統，損壞計算機系統信息的完整性和有效性，入侵計算機竊取校園網絡的重要信息，黑客攻擊帶給校園網的破壞性是極大的。

3 校園內部網絡安全技術

3.1 防火墻技術

防火墻的設置是做好病毒防范工作的重要一步，防火墻的設置對于保護內部網絡安全具有重要意義，對內部起到保護作用，對外網用戶的訪問設置權限，同時通過防火墻記錄外網用戶的網絡行為，避免外網用戶的非法入侵并且及時采取措施。防火墻設置的優勢在于能夠在網絡通信時執行控制尺度，防止外網用戶隨意訪問內部網站，隨意更改和刪除網絡上的重要信息。設置防火墻是當前網絡安全維護的關鍵技術并且運行廣泛的安全機制，防火墻的設置又分為硬件防火墻和軟件防火墻。

3.1.1 硬件防火墻

硬件防火墻主要是應用于保護網絡數據訪問，通過對數據訪問的范圍進行限制，從而避免了不安全的數據訪問和服務，例如限制外網用戶訪問校園內部網絡。傳統的硬件防火墻采用分組過濾或是包過濾技術，伴隨著計算機網絡技術的革新，目前防火墻設置已經可以進行應用層的策略部署，使得防火墻設置更加人性化，適應性也更強。利用硬件防火墻，能夠實現內網的DMZ劃分以及NA地址轉換。按照防火墻實現架構的方式來分，可以將防火墻的設置分為以下幾類：一是基于通用處理器的工控機架構PC防火墻，二是基于NP技術的硬件防火墻以及基于ASIC芯片的硬件防火墻。

3.1.2 軟件防火墻

軟件防火墻相對于硬件防火墻來說需要的投資較小，操作更為編輯，能夠滿足單個計算機網絡安全的防護，但對于龐大的校園網絡來說，要實現更好的防火墻配置效果，就應該要將軟件防火墻設置和硬件防火墻設置結合起來，進一步提高網絡安全性能，避免黑客攻擊以及病毒入侵等。

3.2 防毒技術

網絡的開放性和交互性為網絡病毒提供了可趁之機，網絡環境下，病毒傳播的速度是極其迅速的，局部防毒的方式對于校園網絡來說很難抵御大規模病毒的入侵，因此就需要從校園內部網絡進行全方位的防毒，強化計算機網絡的安全性能。計算機網絡病毒的種類是多元化的，要做好反病毒技術，首先需要從本質上提升計算機自身系統的安全性和穩定性，并且對網絡設置進行規范化的處理，避免因為計算機自身的缺陷讓病毒入侵，破壞整個系統的穩定性及安全性。病毒傳播常常會在不經意間發生，因此要嚴格設置好計算機的網絡防護墻，選擇良好的防毒軟件，及時更新本地病毒庫，發現潛在病毒并且及時殺除病毒，盡可能降低計算機病毒在本地蔓延的可能，降低危害。目前在網絡安全防范技術中常用的防病毒主要有以下幾種，分別是特征碼掃描技術、虛擬執行技術、文件監控技術以及防病毒技術和病毒免疫技術等。

3.3 入侵檢測技術

入侵檢測技術主要適用于非法入侵的防范，所謂入侵行為就是指未經過合理途徑對校園網絡的系統資源進行非授權使用，這可能會直接造成系統數據的丟失、破壞以及系統對合法用戶的限制等。入侵檢測系統是保障計算機網絡使用安全，保護內部網絡資源的關鍵技術。入侵檢測系統的目標在于當系統即將遭到非法入侵時，利用報警及防護系統將非法入侵者驅逐出校園網，盡可能提早發現系統中的不安全隱患，并且及時獲取和收集入侵攻擊的相關信息，最終達到降低損失的目的。入侵檢測的方法主要有特征檢測、統計檢測以及專家系統檢測。特征檢測主要是對一些已知的入侵方式進行匹配，當檢測到某些特征屬于非法入侵時則立即發出警報，這種入侵檢測技術是建立在對被考察事件的入侵模式的認知上，一旦出現缺乏經驗存儲的入侵行為，系統將難以做出準確的判斷。專家系統對入侵的檢測與特征檢測類似都需要依賴于完備的知識庫，對入侵行為和方式有多遠的儲備。要使用專家系統來檢測非法入侵，就需要做好記錄工作，保障知識庫的完備性和實時性。

3.4 數據維護技術

數據的維護是保障校園網網絡安全的關鍵技術，通過數據備份能夠彌補因為數據丟失和破壞帶來的損失。數據備份技術下分為數據備份和災難恢復，二者的分類關鍵在于容災級別的大小。全面的系統化的校園網容災解決方案應該包括了數據復制、以及遠離容災地區的數據備份中心，備份中心需要配有完善的服務器以及磁盤等硬件設施，軟件方面還需要提供數據復制的軟件以及遠程切換和集群架構等措施，從而能夠確保當校園網數據遭到破壞之后能夠在最短的時間內回復系統的正常運行，減輕損失。數據的維護工作并不僅僅局限在數據備份環境，數據備份的目的在于后期遭到破壞之后的及時恢復，而從數據管理的角度來說，還應該制定一份詳盡的數據備份和恢復系統的管理計劃，即要提高網絡安全的管理水平，防范于未然，保護好校園網系統數據。

3.5 安全管理

漏洞修復主要針對的是系統及網絡本身的缺陷，在校園網絡系統運行的過程中，不僅要對校園網用戶進行不同類別的劃分，明確用戶的權限，另一方面還需要對網絡資源進行維護，對不同的資源性質進行管理，將資源劃分為不同的共享級別。同時要定期給用戶分配不同的賬戶和密碼，規范密碼使用的有效期限，從而保障密碼動態有效，在防火墻設置時對于一些不良IP網址進行過濾，從而確保網絡的安全性。作為校園網絡的網絡安全管理人員需要提高自身的工作責任心，在面臨龐當的校園網系統時，要增強信息，從小處做起，各部門之間相互協調，做好校園網網絡安全的管理工作。

4 結語

綜上所述，校園網網絡安全的架構是一個系統化和整體化的工程，通過系統防御能夠增強校園網的網絡安全性能，形成自我防御能力較強的安全機制，能夠對網絡安全威脅做出及時的反應，為學校師生提供綠色化的網絡環境，提升網絡運行的穩定性和安全性。

[1]張治元,肖如良;基于加密技術的校園網認證體系的研究與實現[J];長沙通信職業技術學院學報;2005年03期

[2]褚建立;;構建多層次的校園網安全體系[J];計算機與信息技術;2006年Z1期

[3]靳攀;;互聯網的網絡安全管理與防護策略分析[J];北京工業職業技術學院學報;2008年03期

[4]楊晴;;關于構建高效安全的校園網絡系統的思考[J];重慶職業技術學院學報;2006年05期

[5]蔣東興,史宗愷,陳懷楚,劉啟新,沈培華,王映雪;大學資源計劃的方案研究[J];清華大學學報(自然科學版);2004年04期