饒 琰

（廣東白云學院教育技術中心 廣州 510450）

高校校園網(wǎng)提供了互聯(lián)網(wǎng)應用、信息發(fā)布、遠程教育等服務，具有內(nèi)聯(lián)外引的功能，它在高校日常教學、科研、管理中發(fā)揮著至關重要的作用。隨著高校網(wǎng)絡信息化的不斷深入，網(wǎng)絡技術的快速發(fā)展和網(wǎng)絡應用的普及，計算機病毒的不斷泛濫、網(wǎng)絡惡意攻擊等網(wǎng)絡安全問題已經(jīng)日益凸顯，任務如此繁重的校園網(wǎng)一旦遭受網(wǎng)絡攻擊造成癱瘓，將直接影響高校正常的教育教學活動。如何讓校園網(wǎng)安全高效地運行，充分發(fā)揮其教學、管理和服務的作用，已成為一個不容忽視的問題。因此，采取正確的網(wǎng)絡安全防范策略與措施，是高校校園網(wǎng)安全建設的根本。

一、 影響校園網(wǎng)絡安全的因素

1、 校園網(wǎng)內(nèi)部的安全隱患

（1）部分校園網(wǎng)用戶對計算機病毒防范意識欠缺，計算機沒有采取安全防護措施，當計算機感染病毒擴散至校園網(wǎng)，并不斷繁殖，隨時可能造成由于病毒泛濫而引起的網(wǎng)絡系統(tǒng)癱瘓；

（2）校園網(wǎng)絡管理者對網(wǎng)絡安全沒有引起足夠重視，沒有采取正確的安全策略和安全機制，使部分出于好奇或表現(xiàn)的校園網(wǎng)用戶利用校園網(wǎng)絡系統(tǒng)存在的漏洞，攻擊校園網(wǎng)服務器系統(tǒng)。另外，校園網(wǎng)絡管理規(guī)章制度的不健全，導致網(wǎng)絡管理者網(wǎng)絡安全意識的淡薄，對重要的網(wǎng)絡服務系統(tǒng)采用弱口令，容易造成校園網(wǎng)絡安全機密丟失和泄漏；

（3）網(wǎng)絡管理的不規(guī)范，導致校園網(wǎng)絡IP和上網(wǎng)帳號非法濫用，造成IP沖突等網(wǎng)絡問題；

（4）網(wǎng)絡服務設備損壞、網(wǎng)絡線路老化和環(huán)境等其他因素也將產(chǎn)生網(wǎng)絡安全隱患。

2、 校園網(wǎng)外部的網(wǎng)絡威脅

（1）目前廣泛使用的網(wǎng)絡操作系統(tǒng)都存在各種各樣的安全問題，黑客會利用網(wǎng)絡服務系統(tǒng)漏洞，在服務器中植入病毒程序，造成的服務器系統(tǒng)癱瘓和數(shù)據(jù)篡改；

（2）在互聯(lián)網(wǎng)中，一些網(wǎng)絡惡意攻擊者使用黑客工具對校園網(wǎng)服務系統(tǒng)發(fā)起DDoS等網(wǎng)絡惡意攻擊，侵占網(wǎng)絡服務系統(tǒng)資源，造成數(shù)據(jù)傳輸癱瘓和網(wǎng)絡堵塞等現(xiàn)象；

（3）網(wǎng)絡通信運營商的網(wǎng)絡傳輸線路由于人為破壞、自然災害等因素造成的通信中斷。

二、 校園網(wǎng)絡安全防范策略與措施

1、 規(guī)范網(wǎng)絡管理制度

（1）建立校園網(wǎng)絡安全管理條例，加強網(wǎng)絡信息安全教育和宣傳，提高校園網(wǎng)用戶和網(wǎng)絡管理者的安全意識，杜絕各種不規(guī)范和有損網(wǎng)絡安全的行為；

（2）建立嚴格規(guī)范的網(wǎng)絡管理規(guī)章制度，規(guī)范網(wǎng)絡管理者的工作行為，定期更改重要服務系統(tǒng)和數(shù)據(jù)系統(tǒng)的管理密碼，數(shù)據(jù)加密和密鑰管理需由專人負責。

2、 網(wǎng)絡交換機安全防范措施

（1）采用虛擬局域網(wǎng)技術（VLAN），根據(jù)校園網(wǎng)的分布特點，可采取基于交換機端口、MAC地址、路由或者策略等類型的VLAN，控制用戶訪問權限和邏輯網(wǎng)絡段大小，將不同用戶群劃分在不同的VLAN中，隔離了廣播，縮小了廣播范圍，同時也抑制廣播風暴的產(chǎn)生，從而提高交換式網(wǎng)絡的整體性能和安全性。

（2）添加生成樹協(xié)議，避免網(wǎng)絡中存在交換環(huán)路產(chǎn)生廣播風暴，確保在網(wǎng)絡中有環(huán)路時自動切斷環(huán)路，增強網(wǎng)絡的穩(wěn)定性；

（3）配置安全訪問控制列表，防止網(wǎng)絡攻擊和病毒程序?qū)?nèi)部網(wǎng)絡造成的影響；

3、 采用安全認證計費系統(tǒng)

采用支持802.1X協(xié)議的安全認證計費系統(tǒng)，計費系統(tǒng)使用旁路式架構，盡量減少對網(wǎng)絡的影響，在接入式交換機接入端口開啟802.1x認證協(xié)議，實現(xiàn)上網(wǎng)帳號+IP+MAC+接入端口+接入交換機IP+IP接入類型等多元素綁定，防范網(wǎng)絡代理，杜絕非校園網(wǎng)授權用戶訪問網(wǎng)絡，確保用戶的唯一性和安全性，從而有效解決IP沖突、IP盜用、MAC地址盜用帶來的網(wǎng)絡問題。

4、 部署防火墻和入侵檢測系統(tǒng)

防火墻是網(wǎng)絡安全的屏障，它作為阻塞點和控制點能極大地提高校園網(wǎng)的安全性，并通過過濾不安全的網(wǎng)絡服務從而降低網(wǎng)絡攻擊所帶來的風險，因此網(wǎng)絡環(huán)境才能變得更安全。在防火墻部署上可按照以下策略來提高網(wǎng)絡安全性：

（1）在邊界路由層與內(nèi)部策略層部署防火墻，在校園網(wǎng)絡出入口處建立安全屏障，這道屏障的作用是阻斷來自外部網(wǎng)絡對校園網(wǎng)的威脅和入侵；

（2）根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，審核IP數(shù)據(jù)包的內(nèi)容，嚴格禁止來自互聯(lián)網(wǎng)對校園內(nèi)部網(wǎng)絡的非法訪問；

（3）對校園網(wǎng)內(nèi)部網(wǎng)絡地址進入路由器的IP包進行過濾，有效防范源地址偽造和源路由類型的攻擊，對非法IP地址離開內(nèi)部網(wǎng)絡的IP包進行過濾，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊；

（4）關閉易受網(wǎng)絡攻擊的網(wǎng)絡端口號，降低黑客利用開放的網(wǎng)絡端口入侵的可能性，從而達到安全防護的目的；

（5）控制單個ip地址網(wǎng)絡并發(fā)數(shù)，有效杜絕惡意用戶和來自外部網(wǎng)絡的病毒程序侵占大量的網(wǎng)絡連接數(shù)造成的網(wǎng)絡堵塞；

（6）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

入侵檢測系統(tǒng)（IDS）是通過計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點手機信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊跡象的安全技術，根據(jù)校園網(wǎng)絡結構的需要，IDS可以按照基于數(shù)據(jù)源和檢測方法進行分類實施，作為防火墻的合理補充，架設入IDS是非常必要的，它即擴展了網(wǎng)絡管理員的安全管理能力（包涵數(shù)據(jù)提取、入侵分析和響應處理），又提高了信息安全基礎結構的完整性。

5、 部署上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析的管理。在校園網(wǎng)中部署上網(wǎng)行為管理系統(tǒng)也將十分必要。

（1）采用旁路模式架設上網(wǎng)行為管理系統(tǒng)，與校園網(wǎng)邊界設備鏡像端口相連，不影響原有的網(wǎng)絡結構，降低網(wǎng)絡單點故障的發(fā)生概率；

（2）開啟上網(wǎng)行為審計功能，設置不良信息關鍵字、添加不良網(wǎng)站等信息過濾處理，防止有害信息的傳播；

（3）規(guī)范校園網(wǎng)絡用戶上網(wǎng)行為管理，根據(jù)不同用戶可以制定有效的應用類型、網(wǎng)站類型、文件類型等上網(wǎng)行為策略，限制非業(yè)務應用對帶寬的占用，封堵與業(yè)務無關的網(wǎng)絡應用，同時要針對P2P類型的下載和不同用戶類型制定網(wǎng)絡帶寬管理策略，合理分配有限的網(wǎng)絡帶寬資源，防止部分網(wǎng)絡應用對網(wǎng)絡帶寬的過分搶占造成的網(wǎng)絡堵塞，保證校園網(wǎng)正常業(yè)務應用的帶寬需求；

（4）設定信息收發(fā)監(jiān)控策略，實時統(tǒng)計和分析校園網(wǎng)網(wǎng)使用狀況，并根據(jù)分析數(shù)據(jù)對管理策略做出調(diào)整和優(yōu)化，從而更好地了解校園網(wǎng)絡系統(tǒng)的運行情況，方便快速定位和排除故障。

6、 部署網(wǎng)絡版殺毒軟件和漏洞掃描系統(tǒng)

在校園網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)智能升級、遠程報警、集中管理、分布查殺等多種功能，提高校園網(wǎng)整體的安全性。另外，采用漏洞掃描系統(tǒng)定期對工作站、服務器系統(tǒng)等進行安全檢查，這樣可隨時監(jiān)測工作站和服務器所使用的操作系統(tǒng)進行及時更新，彌補各種存在的系統(tǒng)漏洞和安全隱患，增強網(wǎng)絡服務系統(tǒng)的安全性。

7、 建立重要數(shù)據(jù)備份和數(shù)據(jù)恢復措施

為保證網(wǎng)絡服務系統(tǒng)發(fā)生災難后做到快速恢復，應當建立起一套有效的數(shù)據(jù)備份和數(shù)據(jù)恢復措施，定期對重要數(shù)據(jù)資料進行備份，建立數(shù)據(jù)備份系統(tǒng)。另外，對重要的數(shù)據(jù)和應用服務系統(tǒng)應當建立集群搭建，使重要的網(wǎng)絡服務通信穩(wěn)定運行。

三、 結論

高校校園網(wǎng)絡安全系統(tǒng)是一個綜合性的系統(tǒng)工程，從嚴格的意義上講，沒有絕對安全的網(wǎng)絡系統(tǒng)。在加強技術和制度管理的基礎上，全面綜合運用VLAN技術、部署防火墻、入侵檢測系統(tǒng)、上網(wǎng)行為管理系統(tǒng)和防病毒軟件等多項措施，綜合提升校園網(wǎng)絡的安全穩(wěn)定性，從而建立起一套真正適合的高校校園網(wǎng)絡安全體系。

[1]黃傳河.網(wǎng)絡規(guī)劃設計師教程[M].北京：清華大學出版社.2009.6，562-620，643-670.

[2]謝希仁.計算機網(wǎng)絡（第5版）[M].北京：電子工業(yè)出版社，2008.1，284-287，303-304.

[3]雷珍甲.網(wǎng)絡工程師教程（第2版）[M].北京：清華大學出版社，2006.6，292-300.