網絡安全技術策略在校園網中的應用研究

天津工業大學計算機科學與軟件學院 魏愛華

隨著互聯網技術的發展，在高校中運用計算機網絡進行教學科研等各項工作更加深入和普及，通過校園網絡向師生提供高效、優質、規范、透明和全方位的信息服務，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和喜愛。在人們享受網絡帶來的巨大便利的同時，網絡安全也正受到前所未有的考驗。

1.校園網的安全隱患

1.1 網絡部件的不安全因素

網絡的脆弱性：系統的易欺騙性和易被監控性，加上薄弱的認證環節以及局域網服務的缺陷和系統主機的復雜設置與控制，使得計算機網絡容易遭受威脅和攻擊。電磁泄露：網絡端口、傳輸線路和處理機都有可能因屏蔽不嚴或未屏蔽而造成電磁泄露，目前大多數機房屏蔽和防輻射設施都不健全，通信線路也同樣容易出現信息泄露。搭線竊聽：隨著信息傳遞量的不斷增加，傳遞數據的密級也不斷提高，犯罪分子為了獲取大量情報，采用監聽通信線路的手段，非法接收信息。非法終端：有可能在現有終端上并接一個終端，或合法用戶從網上斷開時，非法用戶乘機接入并操縱該計算機，或由于某種原因使信息傳到非法終端上。非法入侵：非法分子通過技術滲透或利用電話線侵入網絡，非法使用、破壞或獲取數據及系統資源，目前的網絡系統大都采用口令來防止非法訪問，一旦口令被竊，很容易打入網絡。注人非法信息：通過電話線有預謀地截獲所傳信息，再刪除原有信息或注入非法信息后再發送，使接收者收到錯誤信息。

1.2 軟件的不安全因素

網絡軟件的漏洞及缺陷被利用，能對網絡進行入侵和損壞。如網絡軟件安全功能不健全；應加以安全措施的軟件未予標識和保護，要害的程序沒有安全措施；錯誤地進行路由選擇，為一個用戶與另一個用戶之間通信選擇不合適的路徑；拒絕服務、中斷或妨礙通信，延誤對時間要求較高的操作和信息重播。包括人為地對網絡設備進行破壞；處理中斷過程中，通信方式留在內存中未被保護的信息段或通信方式意外弄錯而傳到別的終端上。計算機病毒可以多種方式侵入網絡并不斷繁殖，然后擴展到網上的計算機來破壞系統。黑客采用種種手段，對網絡及其計算機系統進行攻擊，侵占系統資源或對網絡和計算機設備進行破壞、竊取或破壞數據和信息等。

1.3 校園網內部的安全隱患

高校學生(特別是計算機專業的大學生)是一個不安分、好奇心強的群體，他們會一方面把學校的網絡當作一個實驗環境，測試各種網絡功能；另一方面，他們也在不斷地尋找方法擺脫學校對學生網絡資源使用的控制。

1.4 來自互聯網的風險

幾乎所有校園網絡都是利用Internet技術構建的，同時又與Internet相連。網絡用戶可以直接訪問互聯網的資源，同樣任何能上互聯網的用戶也可以直接訪問校園網的資源，給校園網帶來安全風險。

1.5 校園網絡構架缺乏安全策略

多數校園網普遍采用基于IP技術且采用開放的網絡架構，其本身就不具備必要的安全策略。且大多數校園網管還是采用一種單一、被動、缺乏主動性、靈活性的基于網絡設備做集中式的安全策略，根本無法適應現行的網絡規范。此外，也是最重要的一條，即沒有對網絡安全引起足夠的重視，沒有采取得力的措施，以致造成各種重大事故。

2.校園網絡安全解決策略

校園網絡安全的形勢非常嚴峻，學校領導和具體管理者、相對應的責任人應該要給予充分的重視和支持。為能徹底解決以上安全隱患和漏洞，結合校園網特點和現今網絡安全的典型解決方案和技術，提出了以下校園網絡安全解決策略。

2.1 建立良好的網絡拓撲結構和合理地劃分VLAN

校園網絡至少要采用兩級結構：主干網和子網。校園網的主干采用成熟的1000M快速以太網，在校園網絡中心機房設有一個總的出口（代理服務器）訪問互聯網，提供認證系統，所有進出校園網的數據都需要通過此出口檢測過濾。由網絡中心用光纖連到各座大樓的分節點，再經分節點的交換機聯接到大樓的各個用戶。這種配置結構既保證了主干網信息可靠、高速、無瓶頸地傳輸，又為用戶計算機接入提供了靈活、方便的手段。同時將校園網劃分為若干虛擬局域網，虛擬局域網可不受設備物理位置的限制，靈活性較大。校園網按網絡功能劃分為：接入網部分和內部局域網部分。內部局域網又按數據交換能力分為：核心層、匯聚層和接入層。將各種主要服務器（WEB、MAIL、FTP服務器、數據庫服務器等）放在一個虛擬網內，這樣便于管理、維護，同時也可以盡可能減少外部入侵及破壞系統的可能性。另外劃分一個教學管理子網，方便教師進行管理和教學；其余虛擬子網可按教師信息管理系統、財務系統、圖書館系統、學生信息管理系統、多媒體網上教學系統等劃分。

2.2 重視網絡安全規劃建設

校園網的建設是一項龐大的技術性很強的綜合工程，一般需要經過：網絡調研，系統設計，可行性分析，設備選型和工程招標，硬件施工，軟件環境的建立，人員培訓，聯調測試，系統驗收等九個階段。所完成的工程應與用戶的網絡方案相結合，應考慮系統的容錯設計，滿足用戶的各種需求，有完善的標簽和文檔，便于管理和維護。用戶在驗收時，應進行相應的抽檢，以驗證工程質量。在工程完工后，可一次驗收，也可分階段驗收。

2.3 制定網絡中心配套設施配備方案

校園計算機網絡是學校發展的重要基礎設施，是提高教學科研及管理水平不可缺少的支撐條件。而網絡中心是校園網的核心，為加快校園網的建設和確保網絡安全、可靠、穩定運行，促進校園網的健康發展，為學校信息化管理、教學、科研提供可靠的保障，應制定網絡中心配套設施配備方案。

2.4 對網絡設備進行基本安全配置

對系統和網絡設備使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用復雜的密碼，將會大大提高計算機的安全系數(特別是管理員Administrator密碼)；經常升級安全補丁，以防范未然；不在同一個服務器開多種服務，因為服務器上服務越多，安全漏洞就越多；關閉不需要的功能，遵守簡單就是穩定，簡單就是安全的原則；加強設備訪問的認證與授權；使用訪問控制列表限制訪問和使用訪問控制表限制數據包類型等等。

3.結束語

隨著校園網絡應用的深入，由于主觀意識和技術水平等因素，或者是客觀上Internet固有的開放性，與互聯網一樣，校園網絡的安全問題也逐漸突出，直接影響著學校的教學、管理、科研等活動。校園網安全問題越來越突出，數據的安全性和學校自身的利益受到了嚴重的威脅。因此，能否保證計算機和網絡系統的安全和正常運行便成為校園網絡管理所面臨的一個重要的問題。

[1]劉勇.試析高校校園網網絡安全技術及其防范措施[J].信息系統工程,2012(02).

[2]高衛衛.網絡型病毒分析與計算機網絡安全技術[J].信息與電腦(理論版),2012(06).

[3]李東生,王震.網絡安全技術在校園網中的應用與研究[J].中國科技信息,2009(04).