陳善為

寶雞文理學(xué)院教育科學(xué)與技術(shù)系 陜西 721016

0 引言

網(wǎng)絡(luò)信息化程度的提高，極大地促進(jìn)了校園信息化建設(shè)的發(fā)展，校園網(wǎng)絡(luò)的合理使用不僅能促進(jìn)現(xiàn)代校園的教學(xué)改革、提高科研質(zhì)量、改善教學(xué)環(huán)境，同時通過相互之間的互聯(lián)互通，能極大的促進(jìn)教育行業(yè)整體的工作效率和教育質(zhì)量。但隨著網(wǎng)絡(luò)應(yīng)用的深入，校園網(wǎng)所面臨的安全問題也日益嚴(yán)峻，影響著學(xué)校的教學(xué)、管理、科研活動，給校園網(wǎng)的安全和可運(yùn)營性提出了新的要求，因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。

1 校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅

1.1 惡意病毒威脅

惡意病毒程序可以通過網(wǎng)上下載、電子郵件、盜版光盤或U盤，mp3、數(shù)碼相機(jī)等移動存儲設(shè)備等傳播途徑潛入校園網(wǎng)。可能造成信息泄露、文件丟失、破壞數(shù)據(jù)、毀損硬件、阻塞網(wǎng)絡(luò)，甚至造成整個校園網(wǎng)絡(luò)傳輸中斷和系統(tǒng)癱瘓。

1.2 資源共享的信息泄露

校園網(wǎng)絡(luò)主要承擔(dān)教學(xué)、科研、辦公任務(wù)，因此經(jīng)常要部署共享網(wǎng)絡(luò)資源，便于師生之間的資源共享，由于缺少必要的訪問控制策略和保密意識淡薄，就可能有意、無意的把重要信息，特別是科研成果長期暴露在網(wǎng)絡(luò)上，從而被輕易竊取并傳播出去造成泄密。

1.3 對應(yīng)用服務(wù)器的惡意攻擊

校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。針對校園網(wǎng)應(yīng)用服務(wù)器的網(wǎng)絡(luò)攻擊，往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點，是目前校園網(wǎng)管理最關(guān)注的安全問題。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器、Web應(yīng)用服務(wù)器和郵件服務(wù)器。內(nèi)外網(wǎng)惡意用戶可能利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DoS、DDoS攻擊，增大校園網(wǎng)流量，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用，甚至系統(tǒng)崩潰，給校園網(wǎng)帶來經(jīng)濟(jì)和聲譽(yù)損失。

1.4 校園網(wǎng)內(nèi)部的攻擊

由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式相對比較了解，很多學(xué)生，尤其是理工科學(xué)生對網(wǎng)絡(luò)新技術(shù)充滿好奇和實踐欲望，他們經(jīng)常有意無意的攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運(yùn)行。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是，不僅要注意防止外部網(wǎng)絡(luò)對校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。

1.5 校園網(wǎng)安全管理缺陷

校園網(wǎng)的用戶群體一般也比較大，少則數(shù)千人、多則數(shù)萬人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護(hù)措施，隨時有可能造成病毒泛濫、信息丟失、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

2 校園網(wǎng)絡(luò)防范措施

針對校園網(wǎng)面臨的主要的安全威脅，一個具有高安全性的校園網(wǎng)應(yīng)該需要從以下幾個方面進(jìn)行綜合防范。

2.1 建立涵蓋校園網(wǎng)絡(luò)的病毒防御體系

未來網(wǎng)絡(luò)威脅的特征是：病毒傳播的速度越來越快、從發(fā)現(xiàn)漏洞到利用漏洞進(jìn)行攻擊之間的間隔越來越短。最有效的病毒防范就是主動預(yù)防，即部署整體的網(wǎng)絡(luò)安全解決方案代替簡單的反病毒解決方案。不僅要對進(jìn)入校園網(wǎng)內(nèi)部的請求進(jìn)行病毒掃描和內(nèi)容過濾，而且還要在內(nèi)部用戶訪問外部網(wǎng)絡(luò)、進(jìn)行內(nèi)部應(yīng)用之前，在本地網(wǎng)絡(luò)邊界進(jìn)行病毒掃描和內(nèi)容過濾，從而防止用戶的關(guān)鍵業(yè)務(wù)受到病毒、惡意代碼的破壞，提高網(wǎng)絡(luò)的安全性和可用性。具體部署可在網(wǎng)絡(luò)中心機(jī)房建立防病毒監(jiān)測與控制中心，配置防病毒管理和分發(fā)服務(wù)器；實現(xiàn)計算機(jī)終端防病毒軟件統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫的更新；針對在校園網(wǎng)出入口的流量，在校園網(wǎng)出口處設(shè)置網(wǎng)關(guān)防病毒系統(tǒng)。對通過FTP下載文件、通過POP3接收下載外部郵件時可能攜帶的惡意程序和病毒進(jìn)行查殺掃描，對通過SMTP發(fā)送的外部和內(nèi)部郵件的附件、消息體進(jìn)行病毒的過濾。

2.2 建立內(nèi)外有別的網(wǎng)絡(luò)安全隔離體系

通過防火墻的流量過濾和訪問控制技術(shù)，有利于提高網(wǎng)絡(luò)抵抗黑客攻擊的能力和系統(tǒng)的安全性。針對內(nèi)外網(wǎng)還可采取其他措施：隔離內(nèi)部不同網(wǎng)段，建立VLAN；內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，網(wǎng)絡(luò)地址實行轉(zhuǎn)換；通過IP地址與 MAC地址對應(yīng)，防止IP欺騙；基于用戶和IP地址的網(wǎng)絡(luò)計費(fèi)和流量統(tǒng)計與控制；提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)；提供準(zhǔn)入控制；支持透明接入和VPN及其管理。

2.3 構(gòu)建全方位的內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制

在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制，對服務(wù)器、網(wǎng)絡(luò)、業(yè)務(wù)流程等進(jìn)行全面監(jiān)測，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)，可以最大限度地保護(hù)網(wǎng)絡(luò)資源。在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過端口鏡像對計算機(jī)網(wǎng)絡(luò)或主機(jī)中的若干關(guān)鍵信息的收集和分析，實現(xiàn)網(wǎng)絡(luò)傳輸信息的實時檢測，對網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行監(jiān)測和報警；配備Web、E-mail、BBS的安全監(jiān)測系統(tǒng)，網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。通過監(jiān)控手段，增強(qiáng)網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，從而保證網(wǎng)絡(luò)服務(wù)的正常提供；通過使用網(wǎng)管軟件、日志分析軟件、MRTG和 Sniffer等工具，形成一個從實時監(jiān)控到離線審計在內(nèi)，功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

2.4 建立完善完備的數(shù)據(jù)備份機(jī)制

同構(gòu)構(gòu)建完善的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)，使校園網(wǎng)絡(luò)系統(tǒng)具備容災(zāi)備份機(jī)制，在最短的時間內(nèi)恢復(fù)整個網(wǎng)絡(luò)應(yīng)用。應(yīng)具備以下功能：計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份自動化；對數(shù)據(jù)形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；以備份服務(wù)器為中心，對各種平臺的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理、集中管理。

2.5 建立虛擬專用網(wǎng)(VPN)和專用通道

使用 VPN網(wǎng)關(guān)設(shè)備和相關(guān)技術(shù)手段，對機(jī)密性要求較高的用戶建立虛擬專用網(wǎng)。VPN在網(wǎng)絡(luò)層對數(shù)據(jù)傳輸進(jìn)行加密，優(yōu)于針對具體鏈路類型的鏈路層傳輸加密。主要應(yīng)用在內(nèi)聯(lián)網(wǎng)、網(wǎng)間網(wǎng)中，對專線連接使用網(wǎng)關(guān)對網(wǎng)關(guān)模式。使用安全VPN 可以有效地解決網(wǎng)際互聯(lián)的安全傳輸問題。

2.6 建立完整的網(wǎng)絡(luò)安全服務(wù)機(jī)制

為了確保整個網(wǎng)絡(luò)的安全有效運(yùn)行，有必要對網(wǎng)絡(luò)進(jìn)行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理和設(shè)備配備方案。主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及配套的專業(yè)措施。

3 結(jié)束語

校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，不能僅僅依靠防火墻、防病毒軟件等單個的系統(tǒng)，而需要結(jié)合校園網(wǎng)絡(luò)的實際安全需求，并將各種安全技術(shù)和管理手段結(jié)合在一起，把不安全的因素降到最少，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]William stallings.密碼編碼學(xué)與網(wǎng)絡(luò)安全.原理與實踐[M].北京：電子工業(yè)出版社.2001.

[2]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策[J].現(xiàn)代計算機(jī).2005.

[3]新建.校園網(wǎng)的安全現(xiàn)狀和改進(jìn)對策[J].網(wǎng)絡(luò)安全技術(shù)與運(yùn)用.2007.

[4]黃國敬.銀行網(wǎng)絡(luò)系統(tǒng)安全防護(hù)措施[J].計算機(jī)安全.2004.