重視校園網網絡安全營造良好的育才環境

魏波+呂中秋

摘 要：隨著電子科技技術的發展和快速應用，校園網絡建設也在不斷進展。校園網絡的建設對學校發展意義重大，它關系著師生網上活動的正常進行，必須對校園網絡安全予以足夠的重視。

關鍵詞：校園網；網絡安全；設計方案；實踐工程

網絡安全對學校教學工作的正常進行，學生的網上學習活動意義重大，我們必須對校園網網絡安全予以足夠重視。

一、校園網的安全特征

校園網絡關系到師生的正常使用以及教學工作的正常進行，網絡安全關系到學校正常教學活動的進行和學生的網上學習和網絡交流。網絡安全涉及到人工智能、計算機科學、密碼技術、網絡技術、信息論、安全技術等多學科。隨著網絡技術的不斷發展，人們對網絡的依賴性越來越強，網絡安全也變得越來越重要。由于校園網絡用戶的特殊性，安全問題成為了校園用戶最關注的問題。學生對校園網絡的依賴性很強，尤其是隨著現代化的發展，學生應用網絡的比例越來越大，在網上進行的活動也越來越多，學習、交友、娛樂、購物等活動都在網上進行，校園網的安全性變得越來越重要。校園網安全問題主要存在如下幾方面。

（1）MAC 地址的盜用。有的人通過盜用他人的MAC地址來影響他人上網，或者通過MAC地址的盜用來進行違法犯罪活動，使得網監無法發現MAC的真正身份，對網絡安全造成很大的威脅。

（2）IP地址的盜用。IP地址盜用帶來的危害非常大，首先用戶篡改IP地址更加容易，盜用現象也更加多。很多人盜用IP地址使得正常的IP地址分配混亂，導致用戶沒有辦法正常上網，使得校園網的IP地址混亂無常。很多人通過IP地址的盜用來躲避監察，進行非法網絡攻擊。

（3）端口非常不穩定。很多非法分子通過不穩定的端口來進行網絡攻擊，進行網絡非法操作，使得對犯罪分子的查找和定位變得非常困難。

（4）盜用賬號。有的人通過盜用賬號的方式來實現網絡共享，使得網絡沒有辦法更好、更充分地利用，造成網絡資源的浪費。

二、綁定技術在校園網管理的實踐

基于以上網絡問題的存在，我們對于網絡安全提出了新的保障策略。我們認為用戶只有通過采用分配給自己的 IP 地址、設置自己的獨特密碼、通過固定的物理端口進行接入。同時，限制用戶只能用自己的賬號、采用自己的主機方式進行上網，這樣就能夠對網絡用戶實施落實到人的管理，實現校園網絡用戶的安全。這就是我們講的多元素綁定技術。

（1）通過AAA 服務器綁定實現網絡安全。我們之所以通過AAA服務器來進行綁定是因為AAA服務器能夠記錄每一個用戶的基本信息，能夠實現用戶信息跟服務器信息的一致。在我們通常的使用過程中，認證要先通過AAA服務器，一旦發現用戶信息跟所存儲的用戶信息不同就會通過禁止接入的方式來阻止用戶訪問。一旦出現用戶私自篡改IP的情況，就會通過強制下線的方式來阻止用戶訪問，從而實現對用戶上網行為的控制。

（2）通過接入交換機對服務器進行綁定的方式開展多種元素的綁定。并非所有的AAA服務器都能夠實現此種綁定，在能夠實現這種綁定的AAA服務器上，也需要交換機的兼容才能夠完成。因而通過接入交換機對服務器進行綁定往往使用在新建的學校之中，這些學校一般設備較新，能夠實現二者的完美兼容。不僅AAA服務器能夠實現用戶的多元素綁定，直接通過交換機也能夠實現綁定。因此，很多情況下我們通過接入交換機來實現多元素綁定。

（3）通過靜態技術進行綁定。靜態綁定在綁定技術當中最為簡單。網絡管理人員只需要將對應交換機下的接入用戶相關元素進行搜集，并在該交換機上進行配置就能夠實現對每個用戶的控制。

我們在校園網使用過程中遇到的問題可以通過綁定釋放靜態以及自動綁定來實現，但是這種綁定技術給我們平常的上網行為造成了很大的麻煩，所以我們認為應該通過釋放技術與自動綁定相結合來實現用戶上網管理，保障用戶的上網活動安全。這種技術既能夠有效阻止用戶在上網期間隨意篡改網址帶來的管理混亂，又能夠防止用戶被網絡非法攻擊，是一種非常理想的實現校園網工程的技術。認證程序是這樣的，在用戶 X進行認證的過程中，AAA服務器會對X、Y 用戶的VLAN、IP、賬號、MAC端口、密碼等信息進行確認。通過對比其是否同服務器內保存的信息一致，來進行用戶合法身份的認證。在用戶通過了認證后，由于接入交換機啟用了自動綁定技術，這樣在 X、Y 用戶對應的端口將會產生各自的綁定元素，也就是IP+端口+MAC 元素的綁定。這樣用戶就沒有辦法進行IP地址以及其他元素的更改，如果用戶強行更改，就會被迫下線。同時這種網絡安全方案還能夠有效地防止 Dos 攻擊。一旦用戶將自己發出報文的IP 地址進行重新設置，其報文就沒有辦法跟交換機中實現存儲的一致，在交換機對信息進行查詢時就會將其默認為垃圾信息或者非法信息，自動丟棄，從而保障整個校園網的安全與穩定。

綜上所述，我們認為通過釋放技術與自動綁定相結合來對用戶的上網活動進行管理是最好的校園網管理方式。所以我們說，AAA是用戶進行合法性認證時的必要設備。而接入交換機則負責對通過認證之后的用戶進行監控，對認證后的用戶的不合法行為進行處理。這兩者結合能夠充分保障用戶上網的安全，方便管理，減輕網管人員的工作負擔，能夠使網絡的維護質量大幅提高。我們認為這種校園網網絡安全方案操作性很強，能夠在實踐中充分發揮作用，可以大范圍進行推廣。

參考文獻：

[1]彭錚良.網絡安全技術與黑客攻擊威脅[EB/OL].http：//www.is

base.com/日 nqu 自 nmode1. phpnid=1675，2010-09-20.

[2]中國互聯網絡發展狀況統計報告[R]. http：//WWW.cnnIc.net.

cn/deveist/cnnic200007， 2010-10-15.

[3]何全勝，姚國祥.網絡安全需求分析及安全策略研究[J].計算

機工程，2000（6）.

（鄭州華信學院現代教育技術中心）