校園網絡安全初探

孫立志

摘要：校園網絡也會面臨同樣的威脅，所以我們在知道網絡功防基礎上應該構筑校園網絡安全體系，要從兩個方面著手：一是采用一定的技術；二是改進管理方法。從技術角度看，目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由等，這些技術對防止非法入侵系統起到了一定的防御作用。防火墻作為一種將內外網隔離的技術，普遍運用于校園網安全建設中。

關鍵詞：校園網；網絡安全；安全策略 中圖分類號：G633.67文獻標識碼：B文章編號：1672-1578（2014）18-0157-011.校園網絡面臨的潛在風險

1.1系統自身漏洞。計算機普遍存在系統漏洞，通過系統漏洞電腦不法者或黑客，通過網絡植入木馬等方式來攻擊或控制您的電腦，獲取你的重要信息，甚至讓你系統奔潰。漏洞影響到的范圍非常大，包括系統本身、服務器、TCP/IP協議、網絡結構、安全防火墻等。而且隨著時間的推移，新的系統漏洞會不斷出現，系統漏洞問題也將長期存在，這是校園網絡安全不得不面對的問題之一。

1.2外部的破壞行為。

1.2.1網絡中的計算機病毒破壞。計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義為："編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼"。計算機感染病毒后一般有如下癥狀：經常死機、系統運行變慢、數據丟失、信息泄露、系統奔潰、網絡癱瘓等。當前計算機病毒傳播途徑有網絡傳播和硬件設備傳播，但主要源頭是網絡。當用戶瀏覽不健康的網站或誤點一些非法站點或打開不明郵件，點擊其中某些鏈接或下載某些軟件，病毒便會自動安裝在你的電腦里。由于工作需要，校園網用戶間經常互傳數據，這就會導致校園網中一旦有計算機感染到病毒，整個校園網上所有用戶都會感染到病毒。這將給我們工作和生活帶來極大的不便。

1.2.2網絡黑客惡意攻擊。黑客最早源自英文hacker，早期帶有褒義，而如今已被用于泛指那些專門入侵他人系統進行不法行為的計算機高手。黑客可通過瀏覽器、硬盤共享、端口、網頁瀏覽等方式攻擊你計算機，獲取或破壞你電腦數據。比如瀏覽器中的cookie包含你每次登陸網站的名稱、瀏覽時間甚至登陸密碼，黑客可以用專門軟件來查看cookie，獲取你的信息，攻擊你的計算機。又如黑客通過網絡精靈（NetSpy）軟件可以神不知鬼不覺地在目標機器上的下傳和上載任意文件，獲取其需要信息。

2.校園網絡安全體系的建構

2.1建立網絡安全模型。通信雙方在網絡上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網絡環境中安全地傳輸信息，需要對信息提供安全機制和安全服務。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息，并在雙方發生爭議時進行仲裁。設計一個網絡安全方案時，需要完成以下四個基本任務：

2.1.1設計一個算法，執行安全相關的轉換；

2.1.2生成該算法的秘密信息；

2.1.3研制秘密信息的分發與共享的方法；

2.1.4設定兩個責任者使用的協議，利用算法和秘密信息取得安全服務。

2.2數據備份方法 。數據備份有多種實現形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

2.2.1邏輯備份。邏輯備份也稱作"基于文件的備份"。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續的物理磁盤塊上，備份系統能識別文件結構，并拷貝所有文件和目錄到備份資源上。

2.2.2物理備份。物理又稱"基于塊的備份"或"基于設備的備份"，其在拷貝磁盤塊到備份介質上時忽略文件結構，從而提高備份的性能。因為在執行過程中，花在搜索操作上的開銷很少。

2.2.3完全備份。完全備份是指整個系統或用戶指定的所有文件數據進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現數據丟失等問題，可以使用備份文件快速地恢復數據。

2.3防火墻技術。防火墻是在網絡之間通過執行控制策略來保護網絡的系統，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用。防火墻是一個由軟件與硬件組成的系統。由于不同內部網的安全策略與防護目的不同，防火墻系統的配置與實現方式也有很大的區別。簡單的一個包過濾路由器或應用網關、應用代理服務器都可以作為防火墻使用。

2.4入侵檢測技術。入侵檢測系統是對計算機和網絡資源的惡意使用行為進行識別的系統。它的目的是監測和發現可能存在的攻擊行為，包括來自系統外部的入侵行為和來自內部的非法授權行為，并采取相應的防護手段。它的基本功能包括：

2.4.1監控、分析用戶和系統的行為。

2.4.2檢查系統的配置和漏洞。

2.4.3評估重要的系統和數據文件的完整性。

2.4.4對異常行為的統計分析，識別攻擊類型，并向網絡管理人員報警。

2.4.5對操作系統進行審計、跟蹤管理，識別違反授權的用戶活動。

3.校園網主動防御體系

校園網的安全威脅既有來自校內的，也有來自校外的。在設計校園網網絡安全系統時，首先要了解學校的需要和目標，制定安全策略。因此網絡安全防范體系應該是動態變化的，必須不斷適應安全環境的變化，以保證網絡安全防范體系的良性發展，確保它的有效性和先進性。

結論

通過上述分析，我提出如下校園網絡安全防范策略：

（1）利用防火墻將內網和外網進行有效隔離，避免與外部網絡直接通信；

（2）利用防火墻建立網絡的安全保護措施，保證系統安全；

（3）利用防火墻對網上服務請求內容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將訪問權限控制在最低限度內；

（4）在Internet出口處，使用NetHawk監控系統進行網絡活動實時監控；

（5）在本校區部署RJ-iTop網絡隱患掃描系統，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；

（6）加強網絡安全管理，提高全體人員的網絡安全意識和防范技術。