校園網信息安全及防范策略

　　導讀：隨著計算機技術、網絡技術的飛速發(fā)展和普及應用，校園網在學校的教學和管理中發(fā)揮著越來越重要的作用，為師生工作、學習、生活提供了極大的方便，正在悄然改變著傳統(tǒng)的教學和管理模式。但是，它的安全問題日漸突顯：計算機病毒的侵害、黑客的攻擊、數據的篡改和丟失等等網絡安全隱患，對校園網信息安全構成了極大的威脅。

　　關鍵詞：校園網，信息安全，防范策略

　　1.引言

　　隨著計算機技術、網絡技術的飛速發(fā)展和普及應用，校園網在學校的教學和管理中發(fā)揮著越來越重要的作用，為師生工作、學習、生活提供了極大的方便，正在悄然改變著傳統(tǒng)的教學和管理模式。但是，它的安全問題日漸突顯：計算機病毒的侵害、黑客的攻擊、數據的篡改和丟失等等網絡安全隱患，對校園網信息安全構成了極大的威脅。隨著網絡用戶的快速增長，校園網信息安全問題已經成為當前各高校網絡建設中不可忽視的首要問題。在校園網建設和運行過程中必須針對不同的安全威脅制定相應的防范措施，以確保建立一個安全、穩(wěn)定高效的校園網絡系統(tǒng)。

　　2.校園網面臨的安全威脅

　　2.1 操作系統(tǒng)漏洞。這是造成校園網自身缺陷的原因之一。目前常用的操作系統(tǒng)Windows2000/XP、UNIX、Linux等都存在著一些安全漏洞, 對網絡安全構成了威脅。如Windows2000/XP的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等。加上系統(tǒng)管理員或使用人員對復雜的系統(tǒng)和自身的安全機制了解不夠，配置不當，從而形成安全隱患。

　　2.2 內部用戶的惡意攻擊。這是校園網安全受到威脅的另一個主要原因。學校是計算機使用者集中的地方，學生中不乏高手;同時，學生的好奇心重，摹仿力強，即使水平不高，也可以用從網上下載的專門軟件對他人的計算機進行攻擊。據統(tǒng)計，校園網約有70%的攻擊來自內部用戶，相對于外部攻擊者來說，內部用戶更具有得天獨厚的破壞優(yōu)勢。

　　2.3 保密意識淡薄。在校園網中內部用戶的非授權訪問，是校園網安全受到威脅的主要原因之一，最容易造成系統(tǒng)資源和重要信息的泄漏或被篡改。一些校園網為了簡單省事，計算機的命名經常按部門名稱命名，計算機的管理員賬號也不作任何修改而采用默認賬號，甚至不設登錄密碼，這等于給攻擊者大開方便之門，讓攻擊者能輕而易舉地發(fā)現自己感興趣的目標而隨意進入，對保密內容隨意瀏覽，更為危險的是，有的數據非授權就可以任意改動，根本無安全可言。

　　2.4 計算機病毒的侵害。計算機病毒是由某些人利用計算機軟、硬件系統(tǒng)編制的具有特殊功能的惡意程序。影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統(tǒng)的癱瘓, 是影響高校校園網絡安全的主要因素。

　　2.5黑客的攻擊。 除了面臨來自內部的攻擊之外，校園網還要防范來自外部黑客的攻擊。外部黑客是利用黑客程序，針對系統(tǒng)漏洞，在遠程控制計算機，甚至直接破壞計算機系統(tǒng)。黑客通常會在用戶的計算機中植入一個木馬病毒，與黑客程序內外勾結，對計算機安全構成威脅進而危及網絡。

　　3.保障校園網安全的關鍵技術

　　3.1防火墻技術

　　防火墻是網絡安全的屏障。一個防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。在防火墻設置上我們應按照以下配置來提高網絡安全性：

　　根據校園網安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數據包的內容包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發(fā)起的對外攻擊。在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。在局域網的入口架設千兆防火墻，并實現VPN的功能，在校園網絡入口處建立第一層的安全屏障，VPN保證了管理員在家里或出差時能夠安全接入數據中心。定期查看防火墻訪問日志，及時發(fā)現攻擊行為和不良上網記錄。允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

　　3.2入侵檢測系統(tǒng)

　　入侵檢測系統(tǒng)是幫助網絡管理者及時、準確地發(fā)現網絡的各種入侵行為與網絡異常現象，并能進行告警、跟蹤、定位的實時檢測系統(tǒng);也是通過對網絡面臨威脅的監(jiān)控與分析，展示網絡總體的安全態(tài)勢的安全管理工具。入侵檢測系統(tǒng)可以彌補防火墻相對靜態(tài)防御的不足，是防火墻的合理補充。防火墻屬于被動的靜態(tài)安全防御技術，對于網絡中日新月異的攻擊手段缺乏主動的反應，而入侵檢測屬于動態(tài)的安全技術，能幫助系統(tǒng)主動應對來自網絡的各種攻擊，擴展了系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、攻擊識別和響應，提高了校園網信息系統(tǒng)的安全性。入侵檢測系統(tǒng)掃描當前網絡的活動，監(jiān)視和記錄網絡的流量，根據定義好的規(guī)則來過濾從主機網卡到網線上的流量，提供實時報警，提高了信息安全基礎結構的完整性。

　　3.3漏洞掃描系統(tǒng)

　　采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網絡安全整體水平產生重要依據。要求每臺主機系統(tǒng)必須正確配置，為操作系統(tǒng)打夠補丁、保護好自己的密碼、關閉不需要打開的端口，例如：如果主機不提供諸如FTP、HTTP等公共服務，盡量關閉它們。

　　3.4網絡版殺毒軟件

　　為了在整個局域網內杜絕病毒的感染、傳播和發(fā)作，應該在整個網絡內采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系，這種防病毒手段應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

　　部署網絡版殺毒軟件就可以較好的解決這個問題。例如：在學校網絡中心配置一臺高效的服務器，安裝一個網絡版殺毒軟件系統(tǒng)中心，負責管理校園網內所有主機網點的計算機，在各主機節(jié)點分別安裝網絡版殺毒軟件的客戶端。安裝完后，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機查殺毒。網絡中心負責整個校園網的升級工作。由網絡中心的系統(tǒng)中心定期地、自動地到殺毒軟件網站上獲取最新的升級文件，然后自動將最新的升級文件分發(fā)到其它各個主機網點的客戶端與服務器端，并自動對網絡版殺毒軟件進行更新。

　　采取這種升級方式，一方面確保校園網內的殺毒軟件的更新保持同步，使整個校園網都具有最強的防病毒能力;另一方面，由于整個網絡的升級、更新都是由程序來自動、智能完成，就可以避免由于人為因素造成網絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。

　　4.校園網信息安全的防范策略

　　4.1 物理安全

　　保證計算機網絡系統(tǒng)各種設備的物理安全是整個網絡安全的前提。一般分為兩個方面: 首先是要保護校園網中的計算機、服務器、路由器、交換機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;其次則是確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。

　　4.2 訪問控制策略

　　訪問控制策略是保證網絡安全最重要的核心策略之一，它的主要任務是保證校園網絡資源不被非法使用和非法訪問。一般主要分三個方面：首先是入網訪問控制，在使用和訪問網絡教學資源時，網絡系統(tǒng)軟件要求用戶輸入用戶名和用戶口令，系統(tǒng)進行對入網用戶的識別和驗證是防止非法訪問的第一道防線;其次是用戶權限控制，用戶權限控制是針對網絡非法操作所提出的一種安全保護措施，不同級別的用戶應設置不同的權限，以此來控制用戶可以訪問哪些資源;第三是網絡監(jiān)測和鎖定控制，網絡系統(tǒng)管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的訪問，服務器應報警，以引起管理員的注意。同時對非法訪問次數進行記錄，并能自動鎖定，以保系統(tǒng)安全。

　　4.3 信息加密策略

　　利用加密算法對敏感的信息加密, 可以防止被非法人員竊析�，F在有一些加密軟件可以加密郵件、文件等。利用這些加密軟件可以有效的保護數據、文件、口令和控制信息在網絡中的安全傳輸。論文參考。

　　4.4 備份和鏡像技術

　　網絡系統(tǒng)的備份是指對網絡中的核心設備和數據信息進行備份，以便在網絡遭到破壞時，快速、全面地恢復網絡系統(tǒng)的運行。論文參考。核心設備的備份主要包括核心交換機、核心路由器、重要服務器等。數據信息備份包括對網絡設備的配置信息、服務器數據等的備份。備份不僅在網絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在人侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。論文參考。鏡像技術是指兩個設備執(zhí)行完全相同的工作, 若其中一個出現故障, 另一個仍可以繼續(xù)工作。

　　4.5 網絡安全管理規(guī)范

　　網絡安全技術的解決方案必須依賴安全管理規(guī)范的支持,在網絡安全中, 除采用技術措施之外, 加強網絡的安全管理, 制定有關的規(guī)章制度, 對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括: 確定安全管理等級和安全管理范圍; 制訂有關網絡操作使用規(guī)程和人員出入機房管理制度;制定網絡系統(tǒng)的維護制度和應急措施等。

　　5. 結束語

　　校園網信息安全是一項復雜的系統(tǒng)工程，不能僅僅依靠某一方面的安全策略，而需要仔細考慮系統(tǒng)的安全需求，網絡信息安全涉及的內容既有技術方面的問題，又有管理方面的問題，應加強從網絡信息安全技術和網絡信息安全管理兩個方面來進行網絡信息安全部署，盡可能的為校園網提供安全可靠的網絡運行環(huán)境。

　　參考文獻：

　　[1] 張武軍. 高校校園網安全整體解決方案研究. 電子科技.2006 年第3 期.

　　[2] 朱海虹.淺談網絡安全技術.科技創(chuàng)新導報，2007，32：32.

　　[3] 符彥惟.計算機網絡安全實用技術.清華大學出版社。2008.9

【校園網信息安全及防范策略】相關文章：

校園網信息安全策略10-05

淺析高校校園網信息安全的現狀與防范10-08

校園網信息安全防范論文（精選6篇）09-20

校園網網絡信息安全問題與策略論文10-08

分析校園網安全防范現狀10-01

校園網的信息安全論文10-08

淺談校園網絡信息安全10-07

管控校園網信息安全10-08

研究網絡信息安全與防范10-08