導(dǎo)語：在校園網(wǎng)絡(luò)安全論文的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

1.1真實性所謂的真實性，是指用戶在對網(wǎng)絡(luò)系統(tǒng)使用的網(wǎng)絡(luò)痕跡，都是真實可靠地存在于現(xiàn)實中，所用用戶都無法抵賴自己對于網(wǎng)絡(luò)功能的使用和調(diào)用。任何的操作都可以通過原始的操作記錄來進行證實和確定，操作存在真實性。

1.2可控性可控性指的是，網(wǎng)絡(luò)系統(tǒng)自身具備對于網(wǎng)絡(luò)信息的傳播和內(nèi)容的審核具備控制和調(diào)整的能力，因為出于國家安全，社會公共管理秩序的需求，有必要對于網(wǎng)絡(luò)上的信息進行控制和調(diào)整，以確保公民和國家的信息安全和保障。尤其是這對網(wǎng)絡(luò)中實行的社會犯罪，情報收集，信息竊取等都需要對網(wǎng)絡(luò)的信息進行嚴格的管理和控制。

2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的運用

2.1防火墻技術(shù)所謂防火墻技術(shù)，指的就是校園網(wǎng)絡(luò)針對網(wǎng)絡(luò)所設(shè)置的權(quán)限和用戶訪問權(quán)限的所有的硬件和軟件的總和，可以視為是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的保護性防御設(shè)置，其最為根本的功能就是，針對一些非法的訪問和登陸進行有效的阻斷和隔離，是校園網(wǎng)絡(luò)安全性的基本保障措施和功能。其主要體現(xiàn)在，防火墻可以針對外網(wǎng)的一些具有不安全性的用戶訪問進行識別和拒絕隔斷，同時采取調(diào)整防火墻的安全等級，還可以對一些具有危害性的信息和內(nèi)容進行屏蔽和阻斷，尤其是識別網(wǎng)絡(luò)上安全性較低的網(wǎng)路時，能夠主動提出警報，并組織用戶訪問這些危險性的網(wǎng)站，減少了病毒的傳播和入侵。同時還可以對于外網(wǎng)訪問校園網(wǎng)絡(luò)的信息進行登記和備份，以便于針對訪問信息的統(tǒng)計和監(jiān)控。這樣在日后的數(shù)據(jù)分析過程中，能夠有效發(fā)現(xiàn)系統(tǒng)中存在的漏洞，尤其是發(fā)現(xiàn)用戶的操作存在非法性，時，能夠及時并主動對其進行提醒和警報。如果校園網(wǎng)絡(luò)防火墻技術(shù)和NAT技術(shù)有效地結(jié)合起來，還能夠?qū)τ谛@網(wǎng)絡(luò)的結(jié)構(gòu)性進行隱蔽，大大增強了網(wǎng)絡(luò)系統(tǒng)的安全性，并且這種結(jié)合能夠非常有效地解決校園網(wǎng)絡(luò)中，用戶群較大，IP不足的問題，極大地提升了校園網(wǎng)絡(luò)的使用效率和通暢性。

2.2VPN技術(shù)VPN技術(shù)的運用，能夠在校內(nèi)用戶和校外網(wǎng)絡(luò)連接的過程中，形成一道安全監(jiān)測的通道，那些只有符合設(shè)定的目標用戶，才能夠通過通路進行順利的訪問和登陸，其余的非法登陸和連接都會被視為非法操作而進行阻斷，這樣能夠大大提升校園網(wǎng)絡(luò)的安全性，同時對校內(nèi)用戶的危險性操作也做出了控制和規(guī)范。該技術(shù)可以通過校內(nèi)的驗證碼技術(shù)、登陸用戶驗證等技術(shù)來區(qū)分有資格的用戶身份，將具備資格的用戶和非法用戶區(qū)分開來再連接到服務(wù)器，并采用信息加密技術(shù)，有效地保證了通過驗證的用戶信息的安全性和完整性，實現(xiàn)了校園網(wǎng)的密匙管理。

2.3發(fā)現(xiàn)入侵的檢測技術(shù)該技術(shù)的運用，對于校園網(wǎng)絡(luò)的安全性具有非常重大的意義，尤其是對于校園網(wǎng)路中的一些不規(guī)范，非法的操作行為進行檢測，一旦發(fā)現(xiàn)之后及時發(fā)出網(wǎng)絡(luò)警報，并對其危險的操作做出網(wǎng)絡(luò)分析，檢測出用戶在未授權(quán)的情況下所進行的越權(quán)操作行為，并及時對其進行控制和終止。同時，對于系統(tǒng)中的漏洞進行進行的提醒和備注，以便于網(wǎng)絡(luò)維護人員及時對網(wǎng)絡(luò)漏洞進行修改，因此入侵的檢測技術(shù)對于網(wǎng)絡(luò)的安全性而言，具有非常主動的防御功能。它對于維護校園網(wǎng)絡(luò)數(shù)據(jù)的穩(wěn)定性和安全性，都具有非常重要的意義。

2.4控制訪問技術(shù)該技術(shù)的運用，主要是針對采取非法性的操作和訪問，一般而言，用戶需要登錄校園網(wǎng)，首先需要登錄校園網(wǎng)的訪問控制臺，經(jīng)過正確的口令登錄和識別之后才能獲得相應(yīng)的訪問權(quán)限和身份。一旦登錄輸入不正確或者不具備登錄資格，將被拒絕訪問，因此那些不具備資格的非法訪問用戶都不會獲得相應(yīng)的授權(quán)和進入訪問入口。

2.5數(shù)據(jù)恢復(fù)和備份技術(shù)該技術(shù)的運用，一般是對校園網(wǎng)絡(luò)信息安全性的事后保障和后期安全性保障，一旦發(fā)生了網(wǎng)絡(luò)安全性事件，校園網(wǎng)絡(luò)系統(tǒng)受到了入侵，信息受到了刪除或者篡改，可以調(diào)用系統(tǒng)自卑的數(shù)據(jù)恢復(fù)功能來對數(shù)據(jù)進行數(shù)據(jù)的恢復(fù)，但是數(shù)據(jù)的恢復(fù)是基于數(shù)據(jù)被定期備份在數(shù)據(jù)庫中的。因此，校園網(wǎng)絡(luò)的管理員可以定期對校園網(wǎng)絡(luò)中的信息數(shù)據(jù)進行備份，并在數(shù)據(jù)庫中建立索引，一旦有需要恢復(fù)的時候，可以及時按照所需的索引來快速查找到所需要回復(fù)的信息內(nèi)容。這種歸檔的數(shù)據(jù)處理模式能夠保證校園網(wǎng)絡(luò)的數(shù)據(jù)信息在一段的時間內(nèi)的完整性和自我修復(fù)能力，是校園網(wǎng)絡(luò)安全性的有效保障。

3總結(jié)

第2篇

隨著網(wǎng)絡(luò)應(yīng)用的深入，學(xué)院校園網(wǎng)絡(luò)的安全問題也逐漸突出，大量的網(wǎng)絡(luò)病毒攻擊校園網(wǎng)絡(luò)，比如網(wǎng)絡(luò)釣魚、僵尸網(wǎng)絡(luò)等。主要的安全隱患有以下幾種：

（1）計算機系統(tǒng)漏洞。目前，校園網(wǎng)中被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS，存在各種各樣的安全問題，服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。

（2）病毒的破壞。病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。

（3）來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。

（4）校園網(wǎng)內(nèi)部的攻擊。

2Honeynet技術(shù)在校園網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

根據(jù)學(xué)院實際情況和校園網(wǎng)總體設(shè)計需求，為了更好地防御校園網(wǎng)中的各類網(wǎng)絡(luò)木馬、病毒（僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚等），部署了Honeynet系統(tǒng)，但由于整個校園內(nèi)部網(wǎng)絡(luò)威脅較為嚴重，各種病毒較為猖獗，校園網(wǎng)常被病毒感染，因此部署的Honeynet系統(tǒng)主要是監(jiān)控校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊。為了更好地采集信息，充分發(fā)揮Honeynet系統(tǒng)在校園網(wǎng)安全防護中的主動防御功能，將Honeynet系統(tǒng)放到黑客容易訪問到的地方。根據(jù)實際校園環(huán)境的要求，筆者部署一個帶有不同操作系統(tǒng)的Honeynet，這個蜜網(wǎng)存在著各種各樣的漏洞，以吸引攻擊者進行有效的訪問，從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件（VMWare）和物理計算機建立一個混合虛擬Honeynet，從而減少了物理計算機的需要。宿主主機的二個網(wǎng)卡設(shè)置：一個是設(shè)置作為虛擬控制機，并通過虛擬網(wǎng)橋連接Honeywall，另一個設(shè)置連接校園內(nèi)網(wǎng)路由器。這里把eth1的IP設(shè)為192.168.1.2，而把eth2的IP設(shè)為192.168.1.3，這樣管理機和虛擬Honeypot就不在同一個網(wǎng)段上，保證了管理機的安全性。在本次Honeynet系統(tǒng)中所有主機都可以通過ssh或MYSQL連通”firewall”；所有主機都可以連接到Honeynet系統(tǒng)；Honeynet允許連接到任意主機；除次之外，所有的通信都被攔截，同時防火墻允許通過的數(shù)據(jù)均被記錄。當完成對虛擬Honeynet系統(tǒng)的配置后，需要對其進行測試，看是否能夠正常運行，首先測試虛擬機蜜罐和宿主主機之間的網(wǎng)絡(luò)連接，包括（1）宿主主機和蜜罐上通過互相ping對方的IP地址測試網(wǎng)絡(luò)連通性，經(jīng)測試網(wǎng)絡(luò)連通性正常。（2）在Honeynet網(wǎng)關(guān)上監(jiān)聽ICMPping包是否通過外網(wǎng)口和內(nèi)網(wǎng)口。 通過測試后，說明虛擬機蜜罐和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接（通過Honeynet網(wǎng)關(guān)eth0和eth1所構(gòu)成的網(wǎng)橋）沒有問題。對Honeynet網(wǎng)關(guān)的遠程管理進行測試，需要使用SecureCRT軟件，遠程ssh連接Honeynet網(wǎng)關(guān)管理口，經(jīng)過測試表示該虛擬Honeynet可用。

3結(jié)束語

第3篇

[關(guān)鍵詞]校園網(wǎng)安全分析解決方案

一、校園網(wǎng)絡(luò)安全隱患綜合分析

1.物理層的安全問題

校園網(wǎng)需要各種設(shè)備的支持，而這些設(shè)備分布在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理;室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。

物理層的安全問題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力，使得網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運行。物理安全是制訂校園網(wǎng)安全解決方案時首先應(yīng)考慮的問題。

2.系統(tǒng)和應(yīng)用軟件存在的漏洞威脅

在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬別，這些威脅，而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會導(dǎo)致計算機可能成為黑客攻擊校園網(wǎng)的后門。

3.計算機病毒入侵和黑客攻擊

計算機病毒是校園網(wǎng)安全最大的威脅因素，有著巨大的破壞性。尤其是通過計算機網(wǎng)絡(luò)傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網(wǎng)在接入Internet后，便面臨著內(nèi)部和外部黑客雙重攻擊的危險，尤以內(nèi)部攻擊為主。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。

4.內(nèi)部用戶濫用網(wǎng)絡(luò)資源

校園網(wǎng)內(nèi)部用戶對校園網(wǎng)資源的濫用，有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載，占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬，給正常的校園網(wǎng)應(yīng)用帶來了極大的威脅。

二、采取安全控制策略

1.硬件安全策略

硬件安全是網(wǎng)絡(luò)安全最重要的部分，要保證校園網(wǎng)絡(luò)正常，首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災(zāi)害(如火災(zāi)、水災(zāi)、地震等)對計算機硬件及軟件資源的破壞，減少外界環(huán)境(如溫度、濕度、灰塵、供電系統(tǒng)、外界強電磁干擾等)對網(wǎng)絡(luò)信息系統(tǒng)運行可靠性造成的不良影響。

2.訪問控制策略

訪問控制方面的策略任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用或訪問。包括入侵監(jiān)測控制策略、服務(wù)器訪問控制策略、防火墻控制策略等多個方面的內(nèi)容。

(1)防火墻控制策略

防火墻控制策略維護網(wǎng)絡(luò)安全最重要的手段。防火墻是具有網(wǎng)絡(luò)安全功能的路由器，對網(wǎng)絡(luò)提供的服務(wù)和訪問定義，并實現(xiàn)更大的安全策略。它通常用來保護內(nèi)部網(wǎng)絡(luò)不受來自外部的非法或非授權(quán)侵入的邏輯裝置。

(2)入侵監(jiān)測控制策略

入侵監(jiān)測控制策略就是使用入侵監(jiān)測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測系統(tǒng)(IntrusionDetectionSystems)專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

(3)服務(wù)器訪問控制策略

服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備，避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問，在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。

3.病毒防護策略

病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進行傳播和破壞，照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對校園網(wǎng)絡(luò)整體有效防護的解決辦法。

4.不良信息的防護策略

Internet上存在大量的不良信息，校園網(wǎng)絡(luò)因為Internet連接，學(xué)生有可能無意中接觸這些信息而在校園網(wǎng)上傳播，造成惡劣的影響?？梢园惭b非法信息過濾系統(tǒng)，設(shè)置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。

5.建立安全評估策略

校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù)，而需要仔細考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。使用安全評估工具是進行安全評估的一種手段，可以對各方面進行檢測和反饋信息收集，進而制定策略。

三、結(jié)束語

高校校園網(wǎng)絡(luò)的安全性越來越受到重視，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻，而涉及到管理和技術(shù)等方方面面。需要仔細考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。

參考文獻:

[1]KurousJF，KeithW.RossComputerNetworking[M].HigherEducationPressPearson，2003.653-657.

[2]張武軍，李雪安.高校校園網(wǎng)安全整體解決方式研究[J].電子科技，2006，(3):64-67.

[3]，王紀鳳，尚玉蓮，等.防火墻與入侵監(jiān)測系統(tǒng)在高校校園網(wǎng)中的應(yīng)用[J].泰山醫(yī)學(xué)院學(xué)報，2007，(11):906-907.

第4篇

關(guān)鍵詞：數(shù)字化校園網(wǎng)，安全隱患，安全機制，安全實施

 

數(shù)字化校園是在校園網(wǎng)的基礎(chǔ)之上，以計算機網(wǎng)絡(luò)和信息數(shù)字化技術(shù)為依托，利用先進的信息手段和工具，來支撐學(xué)校的教學(xué)和管理信息流，實現(xiàn)了教育、教學(xué)、科研、管理、技術(shù)服務(wù)等校園信息的收集、處理、整合、存儲、傳輸、應(yīng)用等方面的全部數(shù)字化，使教學(xué)資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。

一、高校數(shù)字化校園網(wǎng)的安全隱患分析

高校校園網(wǎng)的應(yīng)用以及服務(wù)主要是面向?qū)W生，學(xué)生經(jīng)常玩游戲、下電影、瀏覽未知以及可能存在安全隱患的網(wǎng)站、接收陌生人的電子郵件、用聊天軟件時隨意接受陌生人傳送的文件，這些安全隱患都有可能導(dǎo)致校園網(wǎng)病毒泛濫；觀看網(wǎng)上直播，嚴重影響網(wǎng)絡(luò)速度，甚至阻塞網(wǎng)絡(luò)運行；同時高校的學(xué)生人數(shù)較多，學(xué)生對網(wǎng)絡(luò)安全的認識也參差不齊：很多學(xué)生認為網(wǎng)絡(luò)中的安全威脅就是計算機病毒。所以，整個校園網(wǎng)中的大部分用戶，對網(wǎng)絡(luò)中存在的安全威脅還是沒有一個清晰、系統(tǒng)的認識。

經(jīng)過調(diào)查、分析、研究，高校校園網(wǎng)存在以下安全隱患：

1.校園網(wǎng)直接與因特網(wǎng)相連，所以會遭受黑客以及網(wǎng)絡(luò)安全缺陷方面的攻擊；

2.校園網(wǎng)內(nèi)部安全隱患；

3.用戶接入點數(shù)量大，使用率高，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果；

4.缺乏統(tǒng)一管理；

5.網(wǎng)絡(luò)中心負荷量大：絕大部分網(wǎng)絡(luò)管理功能都是由網(wǎng)絡(luò)中心來完成的，包括校園網(wǎng)絡(luò)的建設(shè)維護、網(wǎng)絡(luò)使用的政策制定以及相關(guān)費用的收??；

總之，實施一個科學(xué)、合理的安全機制數(shù)字化校園網(wǎng)，對校園網(wǎng)的正常運行起著至關(guān)重要的作用。

二、數(shù)字化校園網(wǎng)安全機制的實施

為了有效地解決校園網(wǎng)將會遇到的種種網(wǎng)絡(luò)安全問題，需要在網(wǎng)絡(luò)中的各個環(huán)節(jié)都采取必要的安全防范措施，通過多種安全防范技術(shù)和措施的綜合運用，從而來保證校園網(wǎng)能夠高性能、高安全性的正常運行。

1、防火墻的實施

防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一，也是目前網(wǎng)絡(luò)系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。

防火墻是一種保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備；同時防火墻也是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。論文格式，安全實施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動，保證內(nèi)部網(wǎng)絡(luò)的安全。

可根據(jù)具體的校園網(wǎng)實際環(huán)境，在防火墻上設(shè)置如下安全策略：

1）解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡(luò)（禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)）；2）根據(jù)IP地址、協(xié)議類型、端口等進行數(shù)據(jù)包過濾；3）內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，實現(xiàn)雙向地址轉(zhuǎn)換功能；4）支持安全服務(wù)器網(wǎng)絡(luò)（DMZ區(qū)），允許內(nèi)外網(wǎng)絡(luò)訪問DMZ區(qū)，但禁止DMZ區(qū)訪問內(nèi)部網(wǎng)絡(luò)；5）通過IP與MAC地址綁定防止IP盜用，避免亂用網(wǎng)絡(luò)資源；6）防止IP欺騙；7）防DDoS攻擊；8）開啟黑白名單功能，實現(xiàn)URL過濾，過濾不健康網(wǎng)站；9）提供應(yīng)用服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)；10）具有自身保護能力，可防范對防火墻的常見攻擊；11）啟動入侵檢測及告警功能；12）學(xué)生訪問不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查；13）多種應(yīng)用協(xié)議的支持，等等。

2、網(wǎng)閘的實施

安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。安全隔離網(wǎng)閘可以在保證安全的前提下，使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù)，并可以在網(wǎng)絡(luò)之間交換定制的文件。論文格式，安全實施。

可根據(jù)具體的校園網(wǎng)實際環(huán)境，在網(wǎng)閘上設(shè)置如下安全策略：

1）阻斷內(nèi)外網(wǎng)絡(luò)的物理連接，防止外部攻擊，保護內(nèi)部網(wǎng)絡(luò)；2）剝離內(nèi)外網(wǎng)絡(luò)傳輸?shù)腡CP/IP以及應(yīng)用層協(xié)議，避免因為TCP/IP以及應(yīng)用層協(xié)議造成的漏洞； 3）內(nèi)外網(wǎng)絡(luò)采用一套IP地址，實現(xiàn)指定協(xié)議通訊功能； 4）允許內(nèi)網(wǎng)訪問外網(wǎng)特定服務(wù)、應(yīng)用（HTTP，F(xiàn)TP，F(xiàn)ILE，DB等）；5）允許外網(wǎng)指定機器訪問內(nèi)網(wǎng)特定應(yīng)用（FILE，DB等）；6）防止IP欺騙； 7）防DDoS攻擊；8）具有自身保護能力，可防范常見DoS、DDoS攻擊； 9）多種應(yīng)用協(xié)議的支持，等等。

3、 防病毒的實施

計算機病毒對計算機網(wǎng)絡(luò)的影響是災(zāi)難性的。計算機病毒的傳播方式已經(jīng)由在單機之間傳播轉(zhuǎn)向到各個網(wǎng)絡(luò)系統(tǒng)之間的傳播，一旦病毒侵入到某一局域網(wǎng)并發(fā)作，那么造成的危害是難以承受的。病毒和防病毒之間的斗爭已經(jīng)進入了由“殺”病毒到“防”病毒的時代。只有將病毒拒絕于內(nèi)部網(wǎng)之外，或者及時查殺內(nèi)部網(wǎng)的病毒，以此防范病毒在網(wǎng)絡(luò)內(nèi)泛濫傳播，才能保證數(shù)據(jù)的真正安全。論文格式，安全實施。

我們結(jié)合計算機網(wǎng)絡(luò)、計算機病毒的特征，給出以下防范防治策略：

1）阻止外網(wǎng)的病毒入侵（這是病毒入侵最常見的方式，因此在兩個或多個網(wǎng)絡(luò)邊界之間，在網(wǎng)關(guān)處進行病毒攔截是效率最高，耗費資源最少的措施，但只能阻擋來自外部病毒的入侵）；2）阻止網(wǎng)絡(luò)郵件/群件系統(tǒng)傳播病毒（在郵件系統(tǒng)上部署防病毒體系）；3）設(shè)置文件服務(wù)器防病毒保護；4）最終用戶：病毒絕大部分是潛伏在計算機網(wǎng)絡(luò)的客戶端機器上，因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機也要進行防毒控制；5）內(nèi)容保護：為了能夠在第一時間主動的阻止新型病毒的入侵，在防病毒系統(tǒng)中對附加內(nèi)容進行過濾和保護是非常必要的；6）集中管理：通過一個監(jiān)控中心對整個系統(tǒng)內(nèi)的防毒服務(wù)和情況進行管理和維護，這樣可以大大降低維護人員的數(shù)量和維護成本，并且縮短了升級、維護系統(tǒng)的響應(yīng)時間。

4、學(xué)生宿舍區(qū)域802.1x認證

考慮到認證效率、接入安全、管理特性等多方面的因素，對于學(xué)生宿舍區(qū)域的用戶接入建議采用已經(jīng)標準化的802.1x認證方式：

1）網(wǎng)絡(luò)環(huán)境復(fù)雜，接入用戶數(shù)量巨大：建議采用分布式的用戶認證方式，把認證分散到樓棟匯聚交換機上去完成，如果發(fā)生故障，不至于會影響到整個網(wǎng)絡(luò)的所有用戶；2）網(wǎng)絡(luò)流量大，認證用戶數(shù)量大：所采用的認證方式要具有很高的效率，以保證用戶能及時通過認證，在網(wǎng)絡(luò)流量大，認證用戶數(shù)多時不會對設(shè)備的性能產(chǎn)生影響，以保證整個網(wǎng)絡(luò)高效、穩(wěn)定的運行；3）某些用戶技術(shù)層次高，存在對網(wǎng)絡(luò)安全造成影響的可能：難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對網(wǎng)絡(luò)的影響，因此所采用的認證方式要能夠有比較高的安全性，能防止如DHCP的惡意攻擊等安全功能。

5、數(shù)據(jù)存儲方案的實施

數(shù)字化校園是計算機技術(shù)的一個新興應(yīng)用領(lǐng)域，涉及的內(nèi)容非常廣泛，包括資料數(shù)字化、海量存儲及數(shù)據(jù)管理、全方位查詢檢索、多渠道等技術(shù)，提供包括電子圖書、視頻、音頻及其他多種形式的媒體資料等等。在數(shù)字化校園環(huán)境下，各種數(shù)字信息的增長非常迅猛，同時，數(shù)字信息存儲的容量需求越來越大。

因此，設(shè)計一種高容量、可擴充的存儲技術(shù)方案也是校園網(wǎng)絡(luò)安全的重點。可以容納、甚至可以無限制地容納更多信息的“海量”存儲技術(shù)：如NAS存儲、SAN存儲等應(yīng)用支撐平臺解決方案，在系統(tǒng)結(jié)構(gòu)上滿足用戶未來的應(yīng)用需求，同時合理使用用戶投資，建立滿足用戶現(xiàn)有需求的系統(tǒng)，并且易于擴展的系統(tǒng)，來幫助用戶解決在數(shù)據(jù)存儲和應(yīng)用需求方面所面臨的挑戰(zhàn)。

三、總結(jié)

隨著Internet技術(shù)突飛猛進的發(fā)展，網(wǎng)絡(luò)的應(yīng)用范圍和領(lǐng)域迅速擴大，新的網(wǎng)絡(luò)技術(shù)、安全技術(shù)不斷推陳出新，黑客技術(shù)也逐漸多元化，導(dǎo)致安全問題日益突出。在計算機網(wǎng)絡(luò)里，安全防范體系的建立不是一勞永逸的，沒有絕對的安全，我們只能不斷的采用新的網(wǎng)絡(luò)技術(shù)，以及新的安全設(shè)備與技術(shù)，這樣才有可能將網(wǎng)絡(luò)中威脅降到最低限度。論文格式，安全實施。

防火墻、網(wǎng)閘、病毒防范是信息安全領(lǐng)域的主流技術(shù)，這些網(wǎng)絡(luò)安全技術(shù)為整個網(wǎng)絡(luò)安全的建設(shè)起到至關(guān)重要的作用，任何一個網(wǎng)絡(luò)或者用戶都不能夠忽視。論文格式，安全實施。到目前為止，盡管相關(guān)研究人員已經(jīng)在理論和實踐方面都作了大量的工作，而影響校園網(wǎng)的安全因素在不斷地變化，黑客與病毒的攻擊方式在不斷地更新。論文格式，安全實施。要確保網(wǎng)絡(luò)的安全就只有根據(jù)實際情況，在安全技術(shù)上采用最新的技術(shù)成果，及時調(diào)整安全策略，有效整合現(xiàn)有安全資源，并且不斷引入新的安全機制，才能保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保數(shù)字化校園網(wǎng)的有效性和先進性。

參考文獻：

[1]焦中明.高校數(shù)字化校園建設(shè)的幾個問題.贛南師范學(xué)院學(xué)報

[2]徐立.我國高校校園網(wǎng)建設(shè)的研究.中南大學(xué)碩士論文

[3]沈培華.數(shù)字校園的五個層次.計算機世界

[4]趙思輝.數(shù)字化校園基礎(chǔ)平臺體系架構(gòu).福建電腦

[5]宋金玲.數(shù)字校園的相關(guān)技術(shù)及方法研究.中國礦業(yè)大學(xué)

[6]曾力煒,徐鷹.關(guān)于數(shù)字化校園建設(shè)的研究.計算機與現(xiàn)代化

[7]占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案.農(nóng)機化研究

[8]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究.電子科技

第5篇

關(guān)鍵詞： 安全隱患； 全網(wǎng)動態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時，我們也被各種層次的安全問題困擾著?，F(xiàn)代校園網(wǎng)絡(luò)安全是一個整體系統(tǒng)工程，必須要對現(xiàn)代校園網(wǎng)進行全方位多層次安全分析，綜合運用先進的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動適應(yīng)現(xiàn)代校園網(wǎng)的動態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎(chǔ)設(shè)施，承擔著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運行。在考慮現(xiàn)代校園網(wǎng)安全時，首先要考慮到物理安全風(fēng)險，它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計平臺的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機系統(tǒng)上運行的應(yīng)用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險分析：非法入侵者一旦獲得對資源的控制權(quán)，就可以隨意對數(shù)據(jù)和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強調(diào)各個方面的動態(tài)聯(lián)系與關(guān)聯(lián)程度?，F(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護，阻止對現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測，及時跟蹤發(fā)現(xiàn)；第四道防線是實時響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護技術(shù)、身份認證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對進出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進行監(jiān)測、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進行預(yù)防、實時檢測和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護技術(shù)

入侵防護技術(shù)包含入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權(quán)對象（人或程序）針對系統(tǒng)的入侵企圖或行為，同時能監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動態(tài)安全保護。IPS幫助系統(tǒng)應(yīng)對現(xiàn)代校園網(wǎng)的有效攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和及時響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認證系統(tǒng)

現(xiàn)代校園網(wǎng)殊部門（如檔案、財務(wù)、招生等）要建設(shè)成系統(tǒng)。要采用身份認證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認證基礎(chǔ)平臺，加強用戶的身份認證，防止對網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運行的必要手段，可保證在災(zāi)難突發(fā)時，系統(tǒng)及業(yè)務(wù)有效恢復(fù)?，F(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實時對整個校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對整個校園網(wǎng)體系的安全防御策略及時地進行檢測、修復(fù)和升級，嚴格履行國家標準的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機制，能實行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強對現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實建立起一個方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標準執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進行安全域劃分，并按照這些安全功能需求設(shè)計和實現(xiàn)相應(yīng)的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺的主機選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進行安全防護：補丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計系統(tǒng)進行監(jiān)控管理，對審計記錄結(jié)果進行保存，檢索和查詢，按需審計；同時還能夠?qū)ξｋU行為進行報警及阻斷，并提供對數(shù)據(jù)庫訪問的統(tǒng)計和分析，實現(xiàn)分析結(jié)果的可視化，能夠針對數(shù)據(jù)庫性能進行改進提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務(wù)請求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。另一方面，當事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實現(xiàn)對網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險分析、風(fēng)險控制及安全風(fēng)險評估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實時監(jiān)控系統(tǒng)、數(shù)據(jù)審計平臺、數(shù)據(jù)存儲備份與恢復(fù)等動態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語

信息安全化是現(xiàn)代校園網(wǎng)實施安全的有效舉措，并建立一套切實可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用?，F(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時伴隨著種種不確定的安全因素，時時威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時俱進的思想，適時調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護與管理系統(tǒng)設(shè)計與實現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計算機網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.

第6篇

論文摘要：當今社會，信息技術(shù)高速發(fā)展，各行各業(yè)都離不開網(wǎng)絡(luò)。各學(xué)校也越來越重視校園網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)已經(jīng)悄然無聲的走進了校園。如何建設(shè)和管理好校園網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)的安全，已成為校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)。如何讓校園網(wǎng)絡(luò)在病毒肆虐的時代穩(wěn)固運行，保證學(xué)校信息化、數(shù)字化網(wǎng)絡(luò)環(huán)境暢通，已成為網(wǎng)管員的首要責任。

在網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用下，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，網(wǎng)絡(luò)的優(yōu)勢勢不可擋：加快信息處理、提高工作效率、實現(xiàn)資源共享、降低勞動強度。但是當網(wǎng)絡(luò)給學(xué)校帶來方便的同時，網(wǎng)絡(luò)安全這一問題是否被學(xué)校重視。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。本文從以下方面闡述校園網(wǎng)絡(luò)的安全管理：

一、設(shè)備安全

暢通的網(wǎng)絡(luò)環(huán)境、安全的網(wǎng)絡(luò)設(shè)備，為校園網(wǎng)絡(luò)的信息化、數(shù)字化提供了最基礎(chǔ)的硬件保障。這里除了信息網(wǎng)絡(luò)設(shè)備的供電、防水、防雷電、溫濕度、防鼠和防盜等常規(guī)安全之外。還要強調(diào)網(wǎng)絡(luò)設(shè)備的配置安全。主要包括：

（一）對網(wǎng)絡(luò)設(shè)備設(shè)置8位以上復(fù)雜密碼，并需要根據(jù)業(yè)務(wù)需求分配合適的管理用戶和權(quán)限。目前大多數(shù)安全問題，是由于密碼過于簡單、密碼管理不嚴，使“入侵者”乘虛而入。因此密碼口令的有效管理是非常重要的。

（二）設(shè)置獨立的設(shè)備管理虛擬局域網(wǎng)，把網(wǎng)管設(shè)備使用的IP地址與普通用戶使用的IP地址段分開，并指定專用電腦進行接入管理和監(jiān)控。

二、劃分VLAN

對校園網(wǎng)絡(luò)合理的劃分VLAN。VLAN就是虛擬局域網(wǎng)。目前大多數(shù)學(xué)校都配備了三層交換機和可管理的二層交換機，可是還有相當一部分學(xué)校把這些設(shè)備當作普通的交換機使用，沒有進行VLAN的劃分。這樣一方面是對設(shè)備資源的浪費，另一方面更是降低了網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)性能。

采用虛擬局域網(wǎng)有如下優(yōu)勢：有效抑制網(wǎng)絡(luò)上的廣播風(fēng)暴；增加網(wǎng)絡(luò)的安全性；集中化的管理控制。基于端口的虛擬局域網(wǎng)是最實用的虛擬局域網(wǎng)，它保持了最普通、常用的虛擬局域網(wǎng)成員定義方法，配置也相當直觀簡單，不同的虛擬局域網(wǎng)之間進行通信需要通過路由器或具有路由功能的三層交換機。因此，有條件的學(xué)校首先就應(yīng)該充分利用已有的硬件資源，采用VLAN技術(shù)構(gòu)筑高效安全的網(wǎng)絡(luò)基礎(chǔ)環(huán)境。

三、流量監(jiān)控、協(xié)議分析、網(wǎng)絡(luò)審計

使用專業(yè)設(shè)備如：網(wǎng)康?？梢赃M行監(jiān)控流量、協(xié)議分析及網(wǎng)絡(luò)審計。

此類設(shè)備可以方便地配置于網(wǎng)絡(luò)內(nèi)部，用來預(yù)測網(wǎng)絡(luò)的性能和發(fā)展趨勢；實時檢測校園網(wǎng)絡(luò)內(nèi)部終端的流量狀況、分析網(wǎng)絡(luò)的異常流量；提供全網(wǎng)的IP地址、機器名、MAC地址等信息完備的地址表，方便網(wǎng)絡(luò)的分析和管理；能對網(wǎng)絡(luò)訪問事件作統(tǒng)一記錄、分析；還可生成各種報表用于存檔。有利于早期發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為，預(yù)防不良網(wǎng)絡(luò)行為的發(fā)生。

另外在網(wǎng)絡(luò)管理當中，要貫徹實名制，既用機器使用者的真實姓名作為計算機命名的管理模式，直接監(jiān)控到個人，當出現(xiàn)異常時可以準確定位，快速響應(yīng)。

四、部署防火墻

防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，這會使網(wǎng)絡(luò)環(huán)境變得更為安全。在防火墻設(shè)置上我們按照以下原則配置用來提高網(wǎng)絡(luò)安全性：

第一、根據(jù)校園網(wǎng)安全目標和安全策略，規(guī)劃設(shè)置正確的安全過濾規(guī)則，審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴禁來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止的”原則。

第二、將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包。這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，這樣可以防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。

第三、定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

五、部署入侵防御系統(tǒng)

為了彌補防火墻的不足，可使用入侵防御系統(tǒng)：如IPS。他能夠及時識別攻擊程序、有害代碼及其克隆和變種，盡量將病毒擋在校園網(wǎng)之外。另外，對于已經(jīng)傳入校園網(wǎng)內(nèi)的病毒，必須防止其擴散，可以利用核心交換機的訪問控制列表，屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒，使其只能在某一子網(wǎng)內(nèi)傳播，而不至于在校園網(wǎng)內(nèi)大范圍擴散。 轉(zhuǎn)貼于

另外還可以在交換機上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表，實現(xiàn)專人專用，防止IP地址被盜用。

六、服務(wù)器的安全

校園網(wǎng)的服務(wù)器為用戶提供各種應(yīng)用，但是應(yīng)用提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險。因此從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉．只向用戶提供他們所需的基本服務(wù)。例如：我們在校園網(wǎng)服務(wù)器中對用戶只提供WEB服務(wù)功能，而沒有必要向用戶提供FTP功能。這樣。在對服務(wù)器配置時，只開放WEB服務(wù)，而將FTP服務(wù)禁止。如果要開放FTP功能，則要規(guī)定端口、賬號及密碼，向指定的用戶開放。因為用戶通過FTP可以上傳資源，如果給了用戶可執(zhí)行權(quán)限，那么，通過運行上傳的某些程序，就可能使服務(wù)器受到攻擊。所以，控制好服務(wù)器的用戶群體也是保障網(wǎng)絡(luò)安全的一個重要因素。

七、部署防病毒

校園網(wǎng)內(nèi)部署防病毒系統(tǒng)，并且定時升級病毒庫。部署防病系統(tǒng)是為了防止因某個客戶端的病毒或木馬程序在校園網(wǎng)中流竄，從而干擾網(wǎng)絡(luò)主干、傳染其他的客戶端。部署防病毒能夠在源頭上保障校園網(wǎng)絡(luò)的安全。在選擇防病毒軟件時應(yīng)選用口碑比較好的名牌產(chǎn)品。

八、定時更新

任何一個操作系統(tǒng)、防病毒軟件、防火墻系統(tǒng)、入侵檢測系統(tǒng)、路由交換設(shè)備等網(wǎng)絡(luò)節(jié)點、系統(tǒng)或多或少都存在著各種漏洞。系統(tǒng)漏洞的存在就成為網(wǎng)絡(luò)安全的首要問題。發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員的主要任務(wù)。當然，從系統(tǒng)中找到漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的．但是及早地發(fā)現(xiàn)有報告的漏洞，并進行補丁升級卻是我們應(yīng)該做的。經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，密切關(guān)注我們所有使用的軟件和服務(wù)程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。網(wǎng)絡(luò)管理員應(yīng)該養(yǎng)成勤打補丁的習(xí)慣。

九、規(guī)范管理

以上提及的安全管理辦法只是對網(wǎng)絡(luò)設(shè)備和硬件所說，為校園網(wǎng)絡(luò)提供技術(shù)手段和措施，但是還需要制定一系列的信息網(wǎng)絡(luò)規(guī)章制度來規(guī)范網(wǎng)絡(luò)管理員的操作流程，提高網(wǎng)絡(luò)管理員的安全意識和責任。包括制定網(wǎng)絡(luò)安全管理范圍規(guī)章制度、制訂有關(guān)校園網(wǎng)網(wǎng)絡(luò)操作使用規(guī)程、制定人員出入校園網(wǎng)主控機房的管理制度、制定校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施、確定校園網(wǎng)信息安全管理的一般責任和具體責任，以及規(guī)定出現(xiàn)安全事故以及違反安全策略的后果等。

網(wǎng)絡(luò)管理的規(guī)范程度直接反映一個網(wǎng)絡(luò)的應(yīng)用保障系數(shù)，通過以上幾個方面的管理，并結(jié)合定期的內(nèi)部網(wǎng)絡(luò)的掃描巡檢，科學(xué)的管理分工制度，要把一個網(wǎng)絡(luò)管好、用好不難。

相信隨著校園網(wǎng)絡(luò)管理和校園網(wǎng)絡(luò)安全不斷優(yōu)化發(fā)展。必然會給校園信息化、數(shù)字化應(yīng)用提供暢通環(huán)境，校園網(wǎng)絡(luò)的效益將會越來越大。也必將會進一步提高學(xué)校的教學(xué)質(zhì)量和管理效率，使學(xué)校成為一所具有先進的信息化網(wǎng)絡(luò)環(huán)境和數(shù)字化應(yīng)用的現(xiàn)代化學(xué)校。

參考文獻：

[1]黃開枝，孫巖.網(wǎng)絡(luò)防御與安全對策[M].北京:清華大學(xué)出版社

[2]謝希仁.計算機網(wǎng)絡(luò)（第2版）[M].北京:清華大學(xué)出版社

第7篇

1 適應(yīng)新技術(shù)發(fā)展，建設(shè)“泛在”的校園網(wǎng)絡(luò)，滿足各類用戶需求

經(jīng)過20多年的發(fā)展，我國高校的數(shù)字校園建設(shè)經(jīng)歷了從系統(tǒng)應(yīng)用到系統(tǒng)集成的發(fā)展過程，而隨著新技術(shù)的不斷發(fā)展，尤其是物聯(lián)網(wǎng)技術(shù)、無線移動網(wǎng)絡(luò)技術(shù)的不斷演進，更加重視用戶的應(yīng)用體現(xiàn)，表現(xiàn)在用戶對數(shù)字校園使用的便捷性，對各種事務(wù)操作的便利性上來。這種轉(zhuǎn)變，對新一代數(shù)字校園中網(wǎng)絡(luò)基礎(chǔ)設(shè)施也即校園網(wǎng)絡(luò)的硬件條件提出了更高的要求，這些要求體現(xiàn)在：

一是運行更加高速、快捷。校園網(wǎng)絡(luò)的發(fā)展從最早的百兆以太網(wǎng)、ATM網(wǎng)已全面發(fā)展為以萬兆主干的以太網(wǎng)絡(luò)為主體的校園網(wǎng)絡(luò)體系，校園網(wǎng)絡(luò)的運行效率、運行穩(wěn)定性有了質(zhì)的飛躍。二是無線網(wǎng)絡(luò)的全覆蓋成為校園網(wǎng)絡(luò)發(fā)展的趨勢。為了適應(yīng)掌上電腦、移動終端、手機用戶應(yīng)用群不斷擴大的趨勢，建立覆蓋整個校園，穩(wěn)定、可靠的無線網(wǎng)絡(luò)成為校園網(wǎng)絡(luò)建設(shè)與發(fā)展的重點與方向。三是對校園網(wǎng)絡(luò)的安全性提出了更高的提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN.  C OM,歡迎您的光臨要求。由于數(shù)字校園的建設(shè)，將整個院校內(nèi)部各種人、財、物的數(shù)據(jù)聯(lián)網(wǎng)，這一方面為學(xué)校的決策管理提供了最直接的數(shù)據(jù)支撐，另一方面也對信息安全提出了更高的要求。如何在保證信息安全的基礎(chǔ)上提高應(yīng)用效益成為校園網(wǎng)絡(luò)建設(shè)與管理者不得不考慮的問題。

基于新一代數(shù)字校園對校園網(wǎng)絡(luò)提出的更高要求，在進行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)時，必須要進行充分考慮。

第一，在網(wǎng)絡(luò)架構(gòu)上，要充分認識到有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的關(guān)系，將兩者作為互相補充的有機整體，綜合考慮建設(shè)、運維的成本，安全性與穩(wěn)定性等各種要素，綜合衡量網(wǎng)絡(luò)建設(shè)的類型與使用范圍。第二，在網(wǎng)絡(luò)鏈路中需要設(shè)計一定的冗余。通過雙鏈路或多鏈路架構(gòu)的方式在一定程度上解決網(wǎng)絡(luò)運行的穩(wěn)定性問題。第三，考慮到校園內(nèi)各種用戶應(yīng)用層次的不同，對校園網(wǎng)資源的使用權(quán)限也要有所不同；在進行校園網(wǎng)建設(shè)時，需要同時考慮到安全體系的建設(shè)，不僅僅是加裝必要的安全防護設(shè)備，同時還需要在網(wǎng)絡(luò)設(shè)備的選擇上做好必要的準備。第四，云計算技術(shù)的持續(xù)發(fā)展，為高校的信息化建設(shè)與發(fā)展提供了機遇，校園網(wǎng)絡(luò)也必須要考慮到未來的發(fā)展，尤其是虛擬桌面、云終端等網(wǎng)絡(luò)應(yīng)用對校園網(wǎng)的要求更高，需要充分論證與規(guī)劃，以適應(yīng)新技術(shù)的發(fā)展與應(yīng)用。

2 基于云計算技術(shù)，建設(shè)集中化、虛擬化的數(shù)字校園數(shù)據(jù)中心

云計算以其超強的計算能力以及高可靠性、安全性等優(yōu)勢在各個領(lǐng)域都掀起了應(yīng)用。高校的數(shù)字校園，由于其功能的日益完善，所涉及領(lǐng)域的應(yīng)用更加深入，對數(shù)據(jù)中心的存儲以及計算能力提出了更高的要求，傳統(tǒng)的數(shù)據(jù)中心在一定程度上已經(jīng)無法滿足日益增長的計算、存儲需求。因此，為其引入新型的、更具可控性、可擴容以及超強計算能力的云計算技術(shù)，成為新一代數(shù)字校園在進行數(shù)據(jù)中心建設(shè)時需要考慮的問題。

2.1 通過服務(wù)器虛擬化滿足各種新功能的需求

在傳統(tǒng)的數(shù)字校園數(shù)據(jù)中心建設(shè)中，采用服務(wù)器集群的方式，由于數(shù)字校園各種功能部署的需要，需要采用幾十臺甚至上百臺單片服務(wù)器才能滿足。而通過服務(wù)器虛擬化技術(shù)，可以有效、充分地利用服務(wù)器資源，通過將單臺服務(wù)器虛擬出多臺的方式，有效解決服務(wù)器的硬件投入過大、單臺利用效率低下和管理維護以及運行成本過高等問題。通常服務(wù)器CPU占用率一般不超過15%，而虛擬化后物理主機的CPU使用率將提高到60～80%。

2.2 通過數(shù)據(jù)的集中存儲，適應(yīng)數(shù)字校園大數(shù)據(jù)、智能化發(fā)展的需求

云計算在進行服務(wù)器虛擬化的同時，要求數(shù)據(jù)中心提供強大的集中存儲功能。而數(shù)字校園也需要將各個部門的數(shù)據(jù)統(tǒng)一集中到一個平臺中來，不但要便于數(shù)據(jù)的統(tǒng)一采集與調(diào)度，更需便于數(shù)據(jù)的管理與維護。因此，通過建設(shè)必要的數(shù)據(jù)存儲體系，包括容災(zāi)備份體系建設(shè)等方面。

2.3 堅持在原有基礎(chǔ)上的“揚棄”，以滿足需求為目標建設(shè)數(shù)據(jù)中心

在進行數(shù)據(jù)中心建設(shè)時應(yīng)充分考慮院校內(nèi)已經(jīng)建成或者正在運行的各種系統(tǒng)、各種物理資源的價值，而不是完全拋棄，應(yīng)當將其納入到云計算數(shù)據(jù)中心建設(shè)中來統(tǒng)一考慮，充分利用現(xiàn)有資源，進行必要的整合與集成，做好資產(chǎn)的保護。

與此同時，還應(yīng)當注意到云計算數(shù)據(jù)中心所帶來的一些負面影響。一是由虛擬服務(wù)器應(yīng)用帶來的資源過度利提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN.  C OM,歡迎您的光臨用，要以保障穩(wěn)定運行為前提，提前作好充分的論證。二是要防止虛擬主機的隨意蔓延。由于增加一臺服務(wù)器的配置不再像以往那樣，需要通過采購、安裝、部署等一系列過程，只需要數(shù)據(jù)中心通過技術(shù)虛擬出一個主機即可，這也可能導(dǎo)致各種主機的不斷擴張，因此，還需要加強對服務(wù)器需要的管理與審批。

3 以智能感知、自動交換、主動推送為目標，加強數(shù)字校園平臺建設(shè)

數(shù)字校園建設(shè)為院校教學(xué)科研與日常管理等活動提供強有力的支撐，本質(zhì)上是利用現(xiàn)代化的手段對信息進行獲取、加工和處理，為以教學(xué)科研為中心的院校各項活動提供保障。因此，對校園內(nèi)信息的獲取、處理與利用，在進行新一代數(shù)字校園設(shè)計與建設(shè)時應(yīng)作為重中之重來進行考量。

3.1 充分利用物聯(lián)網(wǎng)技術(shù)，建設(shè)“智能感知”的數(shù)字校園數(shù)據(jù)采集體系

隨著物聯(lián)網(wǎng)技術(shù)的不斷成熟，射頻識別、紅外感應(yīng)、全球定位、激光掃描等信息傳感技術(shù)的應(yīng)用越來越廣，為數(shù)字校園中的對人、財、物的自動感知與信息采集提供了廣闊的應(yīng)用前景。在高校重點可以從幾個方面來展開。

一是智能教室、實驗室的管理。伴隨高校數(shù)字化建設(shè)水平的提升，對大量不同的教室、實驗室設(shè)備進行有效管理是急需解決的課題。二是智能文檔管理。圖書文獻，包括由于各種原因無法通過電子文檔進行流轉(zhuǎn)的公文、各種檔案資料的管理等，通過加貼FRID標簽等方式，可以準確掌握這些重要文檔資料的流向，讓無聲的東西變成 “有聲”的，便于查找利用。 三是智能校園安保系統(tǒng)。將物聯(lián)網(wǎng)技術(shù)與安保系統(tǒng)進行結(jié)合，在原有校園視頻監(jiān)控系統(tǒng)的基礎(chǔ)上，讓固定的財物能夠隨時發(fā)送位置、狀態(tài)信息，便于及時了解其去向，也為各種物資的有效利用提供方便。四是遠程水電管理系統(tǒng)。通過物聯(lián)網(wǎng)技術(shù)，可以及時發(fā)現(xiàn)水電的開關(guān)狀態(tài)，了解實時的使用情況，通過校園網(wǎng)可以有效管理路燈、室內(nèi)照明以及公共水房等資源，從源頭上做到環(huán)保節(jié)能。

3.2 以應(yīng)用集成為主線，建立自動交換的數(shù)據(jù)共享體系

傳統(tǒng)的數(shù)字校園一般采用系統(tǒng)集成的方式，將高校內(nèi)部各種應(yīng)用系統(tǒng)通過數(shù)據(jù)、身份、門戶集成等方式統(tǒng)一到一個平臺上。從表面上看，各種系統(tǒng)已經(jīng)統(tǒng)一在數(shù)字校園內(nèi)，但在其內(nèi)核應(yīng)用層面，還沒有做到真正的統(tǒng)一，尤其是底層數(shù)據(jù)的交換，有些復(fù)雜的觸發(fā)機制需要人工干預(yù)。而在新一代數(shù)字校園的建設(shè)中，應(yīng)當摒棄傳統(tǒng)觀念，真正從“做事”的角度出發(fā)，以應(yīng)用為主線，劃分出清晰的數(shù)據(jù)流、事務(wù)流，根據(jù)數(shù)據(jù)的流向、事務(wù)的處理流程來規(guī)劃數(shù)字校園的各項功能，從底層數(shù)據(jù)庫的設(shè)計開始，做好數(shù)據(jù)的統(tǒng)一規(guī)劃，確保高校內(nèi)部各個層面的應(yīng)用都能做到真正的數(shù)據(jù)共享。

3.3 通過訂閱、推送平臺，建立主動推送的信息應(yīng)用體系

傳統(tǒng)的數(shù)字校園的信息門戶，雖然會根據(jù)用戶身份的不同，有一些差異化的設(shè)計，但是實際上這些差異是有限的提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN.  C OM,歡迎您的光臨、不全面的。新一代的數(shù)字校園，這些差異化應(yīng)當與數(shù)據(jù)訂閱機制、身份認證平臺實施聯(lián)動，將共享數(shù)據(jù)庫中與用戶相關(guān)的信息及時推送到用戶的門戶中去。推送的方式，可以根據(jù)信息的重要程度、用戶的身份特征等進行區(qū)別。通過數(shù)據(jù)訂閱與信息推送體系的建設(shè)，在最大程度上解決無法找到合適信息以及“垃圾”信息泛濫等問題。

4 強化管理，統(tǒng)一建設(shè)，建設(shè)安全、可靠的數(shù)字校園運行平臺

自從互聯(lián)網(wǎng)進入實際運用以來，網(wǎng)絡(luò)安全始終是各方關(guān)注的重點，尤其是前期“棱鏡”監(jiān)控事件進入公眾視野，國家采取了加強對互聯(lián)信息的管控等一系列措施，對網(wǎng)絡(luò)安全提出了更高的要求。 因此，在進行新一代數(shù)字校園建設(shè)時，信息安全也應(yīng)當作為重要的一個環(huán)節(jié)。

4.1 適應(yīng)網(wǎng)絡(luò)安全新形勢，將安全體系建設(shè)真正統(tǒng)一納入到數(shù)字校園工程建設(shè)中來

從網(wǎng)絡(luò)初期建設(shè)開始，有關(guān)部門就對信息安全提出了一系列的要求，但由于網(wǎng)絡(luò)安全一定程度上并不能產(chǎn)生直接的效益，許多院校在進行數(shù)字校園乃至網(wǎng)絡(luò)基礎(chǔ)設(shè)計建設(shè)時雖然將網(wǎng)絡(luò)安全納入了方案，但實際操作中則是能省就省，存在著重應(yīng)用輕安全的觀念。

在進行新一代數(shù)字校園建設(shè)時，由于各種上網(wǎng)的信息涉及面廣，這些信息對某些有心人而言都是具有一定的應(yīng)用價值。尤其是一些重點高校，加強網(wǎng)絡(luò)安全體系建設(shè)不能僅僅是停在口頭上、寫在書面上，而應(yīng)當真正做到實際工作中，將之統(tǒng)一納入到數(shù)字校園建設(shè)中來，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)字中心建設(shè)，以及數(shù)字校園各種應(yīng)用系統(tǒng)的開發(fā)與應(yīng)用等環(huán)節(jié)，充分考慮到信息的安全，通過統(tǒng)一的設(shè)計、統(tǒng)一的建設(shè)，有效地從源頭上管控信息安全。

4.2 強化制度保障，統(tǒng)一數(shù)據(jù)采集與應(yīng)用標準，有效管制各種信息的采集與應(yīng)用

新一代的數(shù)字校園，從設(shè)計與建設(shè)理念上來說，許多信息的采集都需要自動安全，智能采集。而在管理與應(yīng)用層面，更加強調(diào)的是身份認證體系與應(yīng)用權(quán)限，采用主動推送的方式進行。這對數(shù)字校園的建設(shè)者與管理者來說，必須從開始階段就做好信息的甄別工作，通過嚴格的規(guī)則制度，確定哪些信息通過何種方式采集與提供使用，同時也應(yīng)當根據(jù)不同人員的身份特征，強化信息的應(yīng)用范圍控制，確保把好數(shù)字校園內(nèi)各種信息的入口與出口關(guān)，始終繃緊信息安全之弦。

4.3 堅持內(nèi)外有別、上下有別，強化數(shù)據(jù)應(yīng)用與下載的管控，確保信息安全

數(shù)字校園的身份認證體系是決定每個用戶提供、使用信息的依據(jù)，在加強數(shù)字校園的信息安全體系建設(shè)時，必須堅持做到內(nèi)外有別、上下有別，即區(qū)分校內(nèi)、校外用戶，領(lǐng)導(dǎo)、教職員工與學(xué)生有自己的不同的信息提供與獲取權(quán)限。要做到這些，應(yīng)當從幾個方面來著手。

一是加強身份認證系統(tǒng)的建設(shè)與管理。不僅對身份認證系統(tǒng)的選擇要更加科學(xué)，注重其安全性；而且要加強對用戶身份變更等信息的更新維護，確保每個用戶都能獲取與其身份相對應(yīng)的信息。二是區(qū)別一般信息與提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN.  C OM,歡迎您的光臨保密信息的管理與使用。這是通常的信息安全管理措施，對信息的涉密程度進行區(qū)分，通過邏輯子網(wǎng)等方式加以管控，有些甚至需要與公共的校園網(wǎng)絡(luò)進行安全隔離，確保安全。三是區(qū)別不同用戶對象的使用方式。對重要的用戶，即信息使用級別較高的校園網(wǎng)用戶，應(yīng)當控制其使用方式。

新技術(shù)的應(yīng)用為數(shù)字校園的建設(shè)與應(yīng)用提供了廣闊的前景，但也帶來了更大的挑戰(zhàn)，在物聯(lián)網(wǎng)技術(shù)、云計算技術(shù)以及移動互聯(lián)網(wǎng)等為數(shù)字校園使用效益的發(fā)揮提供更大的舞臺的同時，也應(yīng)當根據(jù)各個院校的實際情況，綜合考量新技術(shù)應(yīng)用的范圍與規(guī)模，以最大的性價比獲取最大的使用效益。

第8篇

【關(guān)鍵詞】校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范體系

【中圖分類號】G40-057　【文獻標識碼】B　【論文編號】1009―8097(2011)11―0066－05

引言

隨著國內(nèi)高校新一輪信息化建設(shè)的不斷深入，高校校園網(wǎng)規(guī)模越來越大，承載的應(yīng)用系統(tǒng)越來越多，校園網(wǎng)絡(luò)的結(jié)構(gòu)也變得越來越龐大和復(fù)雜。隨著人才培養(yǎng)、科學(xué)研究等各項工作對校園網(wǎng)的依賴性不斷增加，校園網(wǎng)及各類應(yīng)用系統(tǒng)的服務(wù)質(zhì)量也應(yīng)不斷提高標準和要求，作為一個使用成熟技術(shù)和成熟設(shè)備的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全是影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要因素。

但目前各高校的校園網(wǎng)“重建設(shè)，輕管理”的現(xiàn)象仍然十分普遍。在社會信息化發(fā)展的大潮中，各高校都已清楚地認識到校園網(wǎng)在學(xué)校各項工作中的基礎(chǔ)地位，因此在校園網(wǎng)硬軟件系統(tǒng)建設(shè)上進行了大量的投入，而正是硬件和軟件系統(tǒng)的大規(guī)?？焖僭鲩L，使得對網(wǎng)絡(luò)的管理難以跟上建設(shè)的步伐，而網(wǎng)絡(luò)管理是軟性的工作，是不能夠通過統(tǒng)計報表看得出問題或成績的，因此網(wǎng)絡(luò)管理工作很難引起學(xué)校領(lǐng)導(dǎo)的重視。但在實際工作中，相對滯后的網(wǎng)絡(luò)管理會導(dǎo)致網(wǎng)絡(luò)安全問題的頻頻發(fā)生，反言之，網(wǎng)絡(luò)安全防范也是網(wǎng)絡(luò)管理的重要內(nèi)容。

本文根據(jù)目前高校校園網(wǎng)絡(luò)存在的安全隱患來分析其成因，并在實際工作經(jīng)驗的基礎(chǔ)上提出構(gòu)建一套基于分層控制的“IAAPNS”網(wǎng)絡(luò)安全防范體系，自底向上、由內(nèi)到外、從技術(shù)到管理層面排查高校校園網(wǎng)絡(luò)中潛在的安全威脅并給出防護建議。

一　高校校園網(wǎng)絡(luò)的安全隱患及成因

目前高校校園網(wǎng)絡(luò)的主干網(wǎng)都是基于TCP／IP協(xié)議的以太網(wǎng)，與其他類型的Intranet網(wǎng)絡(luò)相比有其自身的特點，相應(yīng)的安全隱患也就有其特定的成因。目前國內(nèi)高校校園網(wǎng)絡(luò)普遍存在的安全隱患和漏洞主要來自以下幾個方面：

1　校園面積廣闊，網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理困難

經(jīng)過兼并和擴張，高校的校區(qū)面積動輒上千畝、幾千畝，許多高校還有地域上獨立的新老校區(qū)，作為樓宇間連線的光纖布線遍布校區(qū)各處，而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門，需要協(xié)調(diào)的工作也很繁雜，如果缺少一個明確的安全管理體系，就不容易分清工作界限，在出現(xiàn)突發(fā)故障后往往互相推諉，導(dǎo)致難以在短時間內(nèi)恢復(fù)網(wǎng)絡(luò)暢通。

另外一方面，校園內(nèi)樓宇繁多，樓字里每幾層都會有樓層網(wǎng)絡(luò)設(shè)備間放置匯聚層或接入層網(wǎng)絡(luò)設(shè)備，這些設(shè)備間的數(shù)量眾多，但往往安全防范措施簡易，門鎖形同虛設(shè)，甚至有些設(shè)備間連門都沒有，極易出現(xiàn)人為破壞或私拉亂接網(wǎng)線的情況，嚴重影響網(wǎng)絡(luò)的運行安全。除此以外，雷擊等外界原因也容易造成對網(wǎng)絡(luò)設(shè)備的破壞。

2　網(wǎng)絡(luò)設(shè)備種類繁多，不利于統(tǒng)一管理

校園網(wǎng)的建設(shè)一般是分批建設(shè)，不同批次、不同層次的網(wǎng)絡(luò)設(shè)備使用的規(guī)格、品牌往往不盡相同，而這些網(wǎng)絡(luò)設(shè)備的管理軟件大多都是基于私有MIB庫進行開發(fā)，這就造成了很難有一套統(tǒng)一的全網(wǎng)管理軟件。病毒或黑客對網(wǎng)絡(luò)設(shè)備進行攻擊時，就很難在第一時間發(fā)現(xiàn)和應(yīng)對，常常是在設(shè)備癱瘓之后才意識到出現(xiàn)了問題、進行緊急恢復(fù)。

3　網(wǎng)絡(luò)終端數(shù)量眾多，安全措施薄弱

一般高校的學(xué)生人數(shù)都是以萬計，教師以干計，密集的用戶群意味著網(wǎng)絡(luò)終端的數(shù)量巨大，絕大多數(shù)網(wǎng)絡(luò)終端以計算機為主，隨著無線的普及，智能手機和平板電腦也成為重要的網(wǎng)絡(luò)終端設(shè)備。數(shù)量眾多的用戶使用計算機或手機的技術(shù)水平差異很大，尤其是文科專業(yè)的師生對計算機的使用掌握得并不熟練，未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網(wǎng)只要一處出現(xiàn)漏洞，整個網(wǎng)絡(luò)就無安全可言。近年來智能手機上也出現(xiàn)了不少的病毒和木馬程序，智能手機的系統(tǒng)安全問題正變得日益嚴重。

4　系統(tǒng)軟件本身并不安全

在目前的校園網(wǎng)環(huán)境中，個人終端裝機占有率最高的仍然是Windows操作系統(tǒng)，由于使用面廣，研究其漏洞的人也就更多，不少黑客都是利用其系統(tǒng)漏洞侵入用戶的計算機，再以這些被控制的計算機作為跳板，攻擊整個網(wǎng)絡(luò)。

與個人計算機相比，服務(wù)器操作系統(tǒng)漏洞更具有災(zāi)難性。服務(wù)器的操作系統(tǒng)種類較多，除Windows之外還有Linux、Solaris等Unix系列的操作系統(tǒng)，而高校網(wǎng)絡(luò)管理人才隊伍中，對此類操作系統(tǒng)熟悉的人員比例不高，包括打補丁、差錯、優(yōu)化在內(nèi)的各種操作系統(tǒng)管理手段很難周全到位。除了操作系統(tǒng)本身，其上所運行的各類服務(wù)軟件(如IIS、Tomc~等)也存在安全漏洞問題，需要管理人員投入大量的精力進行研究和學(xué)習(xí)。

5　應(yīng)用系統(tǒng)的安全漏洞

由于建設(shè)成本的考慮，高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供商的層次差異很大，有些就是自行組織教師或?qū)W生進行開發(fā)，缺少軟件開發(fā)過程中各個層次的安全規(guī)劃設(shè)計與實現(xiàn)，使得應(yīng)用系統(tǒng)層面的漏洞層出不窮，這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網(wǎng)站時使用了開源程序，這類系統(tǒng)的漏洞更是容易被利用，甚至不懂黑客原理的用戶經(jīng)過幾分鐘的學(xué)習(xí)便可以掌握攻擊方法。

二　高校校園網(wǎng)絡(luò)的安全防范體系

由此可見，形成高校校園網(wǎng)絡(luò)安全隱患的原因是多層次的，也是相互關(guān)聯(lián)的，但目前各高校的網(wǎng)絡(luò)管理部門往往采用的是“頭痛醫(yī)頭、腳痛醫(yī)腳”的“救火式”解決辦法，只從某個方面或某個層次來應(yīng)對。網(wǎng)絡(luò)管理人員每天都在疲于解決各種突發(fā)性的網(wǎng)絡(luò)安全事故，但問題還是與日俱增，網(wǎng)絡(luò)服務(wù)質(zhì)量和用戶滿意度仍然處于較低的水平，這種“費力不討好”的現(xiàn)象迫使我們?nèi)ニ伎几玫慕鉀Q方案。

為此，針對目前高校校園網(wǎng)絡(luò)的安全現(xiàn)狀和威脅，結(jié)合實際工作經(jīng)驗，我們運用系統(tǒng)論的分析方法，提出構(gòu)建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security，網(wǎng)絡(luò)安全集成關(guān)聯(lián)架構(gòu)策略，同時也是體系中六個層次的英語詞組首字母組合)的網(wǎng)絡(luò)安全防范體系，為高校校園網(wǎng)絡(luò)安全提供一套完整的解決方案，以求由點到面、由“標”到“本”地系統(tǒng)地解決校園網(wǎng)絡(luò)的安全問題。該體系從六個層次和角度來闡述網(wǎng)絡(luò)安全的內(nèi)容，并分析每個層次可能存在的隱患以及相應(yīng)的應(yīng)對策略，其中自底向上的五個層次分別是物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和信息安全，管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。

該體系將現(xiàn)行的高校校園網(wǎng)絡(luò)安全性劃分為5個橫向?qū)哟魏?個縱向?qū)哟?，?個橫向?qū)哟沃?，最底層的物理安全是基礎(chǔ)，網(wǎng)絡(luò)安全是關(guān)鍵，系統(tǒng)安全、應(yīng)用安全、信息安全是重點，管理安全是保障。下面分別對六個層次的內(nèi)容、隱患來源以及應(yīng)對措施進行詳細闡述。

1　物理安全(Physical Security)

物理安全，主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網(wǎng)絡(luò)和信息系統(tǒng)各種設(shè)備的物理安全是網(wǎng)絡(luò)整體安全的前提，通常包括環(huán)境安全(系統(tǒng)所在環(huán)境的安全保護)、設(shè)備安全和媒體安全三個部分?？垢蓴_、防竊聽是物理安全措施制定的重點。目前，物理實體的安全管理已有大量標準和規(guī)范，如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術(shù)條件》、GB50173-93《電子計算機機房設(shè)計規(guī)范》等。

這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網(wǎng)絡(luò)的安全，影響信息的存儲和交換。人為破壞則主要來自于高校校園網(wǎng)周邊內(nèi)外的人為性的損壞，這些損壞有時是主觀故意的(如學(xué)生發(fā)泄對網(wǎng)絡(luò)服務(wù)質(zhì)量的不滿而對網(wǎng)絡(luò)設(shè)備或線路進行故意損壞)，有時是客觀意外的(如園區(qū)周邊建筑施工導(dǎo)致挖斷網(wǎng)絡(luò)線路)。

面對以上威脅，為保證網(wǎng)絡(luò)的正常運行，在物理安全層次上應(yīng)重點考慮兩個方面：

(1)校園網(wǎng)規(guī)劃、設(shè)計、建設(shè)時將物理安全作為重點工作對待，適當提高安全標準，為網(wǎng)絡(luò)設(shè)備或線路搭建防護設(shè)施、建立安全控制區(qū)域，盡量降低自然威脅可能帶來的風(fēng)險。

(2)加強巡查，將重點網(wǎng)絡(luò)設(shè)備或線路所在地定為安全巡邏必到點，定期安排保衛(wèi)人員在巡邏時查看網(wǎng)絡(luò)設(shè)備或線路的外觀和運行狀態(tài)(如各種狀態(tài)指示燈是否正常等)，降低人為破壞的幾率。

2　網(wǎng)絡(luò)安全(Network Security)

網(wǎng)絡(luò)安全主要包括鏈路安全、傳輸安全和網(wǎng)絡(luò)訪問安全三個部分。鏈路安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽，主要針對共用信道的傳輸安全；傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等；網(wǎng)絡(luò)訪問安全需要保證網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)訪問控制、漏洞掃描、網(wǎng)絡(luò)監(jiān)控與入侵檢測等。

這一層次的安全威脅主要包括：

(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。

(2)網(wǎng)絡(luò)架構(gòu)設(shè)計問題、錯誤的路由配置、網(wǎng)絡(luò)設(shè)備與主機的漏洞、病毒等。

相應(yīng)地應(yīng)對措施主要有：

(1)在局域網(wǎng)內(nèi)可以采用劃分VLAN(虛擬局域網(wǎng))來對物理和邏輯網(wǎng)段進行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能；若是遠程網(wǎng)，可以采用鏈路加密等手段。

(2)加強網(wǎng)絡(luò)邊界的訪問控制。對于有明顯安全等級差別的網(wǎng)絡(luò)區(qū)域盡量增加防火墻設(shè)備進行隔離。如在校園內(nèi)網(wǎng)、服務(wù)器區(qū)域之間設(shè)置防火墻；校園網(wǎng)出口處、與Intemet之間設(shè)置防火墻。

(3)在交換機上啟用DHCP-Snooping技術(shù)，使任何接入校園網(wǎng)的計算機只能動態(tài)獲得IP地址，同時杜絕未經(jīng)批準建立的網(wǎng)站通過私自手工設(shè)置靜態(tài)IP地址來架設(shè)服務(wù)器。

(4)使用IDS(入侵檢測系統(tǒng))。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠阻止攻擊者的入侵。當檢測到有網(wǎng)絡(luò)攻擊或入侵時，可以實時發(fā)出報警，并詳細保存相關(guān)證據(jù)，以便用于追查或系統(tǒng)恢復(fù)。

(5)對網(wǎng)絡(luò)安全進行定期檢測，以實現(xiàn)安全的持續(xù)性?？梢岳寐┒磼呙桀惖墓ぞ哕浖ㄆ趯ο到y(tǒng)進行掃描，根據(jù)掃描結(jié)果進行安全性評估，通過評估報告指出系統(tǒng)存在的安全漏洞，組織專家討論后給出補救措施和安全策略。

(6)建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中部署網(wǎng)絡(luò)版的防病毒系統(tǒng)，統(tǒng)一管理服務(wù)器和各類網(wǎng)絡(luò)終端的防毒軟件，定時自動升級與維護，以保護全網(wǎng)不被病毒侵害。通過對網(wǎng)絡(luò)中的病毒掃描集中控制，建立各種定時任務(wù)，統(tǒng)一集中觸發(fā)，然后由各被管理機器運行，同時可對日志文件的各種格式進行控制。在管理服務(wù)器上建立了集中的病毒分發(fā)報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告，所有病毒掃描狀態(tài)信息都可由控制臺得到。

3　系統(tǒng)安全(System Security)

系統(tǒng)安全即運行在網(wǎng)絡(luò)上的服務(wù)器、交換機、路由器、客戶端主機等具有完整網(wǎng)絡(luò)操作系統(tǒng)的設(shè)備的操作系統(tǒng)的安全。這一層次的安全威脅主要來自因操作系統(tǒng)本身的設(shè)計缺陷被攻擊者利用從而引發(fā)的后果。對于高校校園網(wǎng)絡(luò)而言，半數(shù)以上的攻擊往往屬于這一層次。這一層次的主要應(yīng)對措施主要有：

(1)更新操作系統(tǒng)、安裝補丁程序。任何操作系統(tǒng)都有漏洞，因此，系統(tǒng)管理員的主要工作內(nèi)容之一就是監(jiān)控運行在網(wǎng)絡(luò)上的各類設(shè)備的狀態(tài)，發(fā)現(xiàn)異常應(yīng)當及時解決、排除故障。對于交換機、路由器等設(shè)備而言，主要是更新操作系統(tǒng)的版本，這一類設(shè)備主要用于數(shù)據(jù)交換，因此其內(nèi)置固化的操作系統(tǒng)往往功能簡單、體積很小，廠商的常規(guī)做法是新版本的系統(tǒng)，因此只需直接刷新即可。對于服務(wù)器、客戶端主機等設(shè)備，因其主要是用于數(shù)據(jù)處理，操作系統(tǒng)功能復(fù)雜、體積龐大，廠商通常是一些補丁程序來進行更新，因此直接安裝即可。

(2)優(yōu)化系統(tǒng)。現(xiàn)代操作系統(tǒng)往往是多功能、多模塊、多組件的，可能一項系統(tǒng)設(shè)置可能會影響多個功能，也可能多個選項來共同作用于一個功能。因此，對操作系統(tǒng)進行優(yōu)化是一項非常必要的工作，甚至個別系統(tǒng)的個別選項如果不加以優(yōu)化可能會被攻擊者利用，從而產(chǎn)生威脅。實際當中包括關(guān)閉不需要的服務(wù)和端口并建立監(jiān)測日志等。

(3)實行“最小授權(quán)”原則，分配正確和合適的權(quán)限。僅僅保持系統(tǒng)的版本最新、并做了優(yōu)化是不夠的，試想如果網(wǎng)絡(luò)上的設(shè)備被設(shè)置了“123456”這樣的密碼，而且使用這個密碼登錄后還是最高權(quán)限的系統(tǒng)用戶帳號，那么整套網(wǎng)絡(luò)和信息系統(tǒng)的危險可想而知。實行“最小授權(quán)”原則(網(wǎng)絡(luò)中的帳號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等為網(wǎng)絡(luò)正常運行所需的最小限度)，關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統(tǒng)的危險大大降低。例如，根據(jù)需要設(shè)置帳號和權(quán)限，并為帳號設(shè)置強密碼策略是必須完成的工作，如至少應(yīng)該在8位以上，而且不要設(shè)置成容易猜測的密碼，并強制用戶每個月更改一次密碼等等。

(4)及時查殺服務(wù)器系統(tǒng)中的病毒、木馬和后門程序。

4　應(yīng)用安全(Application Security)

應(yīng)用安全主要是針對網(wǎng)絡(luò)中提供的各種功能和服務(wù)而提出的，例如Web服務(wù)：E-Mail服務(wù)、數(shù)據(jù)庫服務(wù)、各種業(yè)務(wù)系統(tǒng)、各種信息系統(tǒng)等等。應(yīng)用安全的威脅主要有：應(yīng)用系統(tǒng)缺陷、非法入侵等。這一層次的主要應(yīng)對措施有：

(1)及時升級和更新各應(yīng)用軟件和信息系統(tǒng)，降低因軟件設(shè)計缺陷引起的風(fēng)險。若應(yīng)用軟件或業(yè)務(wù)系統(tǒng)是高校自行開發(fā)，系統(tǒng)的使用部門(往往是業(yè)務(wù)部門)應(yīng)聯(lián)系開發(fā)人員及時跟進，發(fā)現(xiàn)漏洞及時修補。

(2)對應(yīng)用軟件和信息系統(tǒng)實行身份認證和安全審計。

與系統(tǒng)安全類似，應(yīng)用軟件和信息系統(tǒng)也應(yīng)對使用者進行分類、分配權(quán)限、認證身份并審計各種操作。例如可以按照需要在高校校園網(wǎng)內(nèi)部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權(quán)管理體系)，實現(xiàn)增強型身份認證，并為實現(xiàn)內(nèi)容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現(xiàn)雙因子或多因子的身份認證功能。同時，還應(yīng)特別注意對移動用戶撥入的身份認證和授權(quán)訪問控制。

5　信息安全(Information Security)

信息安全注重的是網(wǎng)絡(luò)上各類數(shù)據(jù)、信息的內(nèi)容安全。這一層次可能的威脅和相應(yīng)的應(yīng)對措施有：

(1)植入惡意代碼或其他有害信息。一部分攻擊者經(jīng)常采用的攻擊方法是掃描網(wǎng)段找到有漏洞的主機，接著使用黑客軟件或攻擊程序進行刺探，在獲得系統(tǒng)權(quán)限后將惡意代碼植入到在該主機上運行的各應(yīng)用軟件或信息系統(tǒng)中，待其他用戶正常使用時發(fā)作，或修改頁面的內(nèi)容造成不良影響。針對這種情況，可以部署網(wǎng)頁防篡改系統(tǒng)，減少Web站點的內(nèi)容被惡意更改植入惡意代碼或其他有害信息。

(2)垃圾郵件和病毒的傳播。目前，電子郵件已經(jīng)成為垃圾信息和病毒的主要傳播途徑之一，采用垃圾郵件網(wǎng)關(guān)并部署電子郵件反病毒模塊能夠在一定程度上減輕危害，缺點是垃圾郵件識別模塊和反病毒模塊需要經(jīng)常性升級，在查殺和攔截上有一定的滯后性。

(3)負面輿論導(dǎo)向。高校歷來是思想碰撞的場所，網(wǎng)絡(luò)作為新興載體己經(jīng)發(fā)揮著越來越大的作用，因此，輿情監(jiān)督和正面輿論導(dǎo)向?qū)⒅饾u成為高校信息安全的重點工作內(nèi)容。除了采取技術(shù)手段進行監(jiān)督管理外，高校的信息化管理部門還應(yīng)與宣傳部門一道培養(yǎng)輿論導(dǎo)向的專業(yè)人員或?qū)W生，主動將信息安全的風(fēng)險降到最低。

6　管理安全(Administration Security)

目前，部分高校的網(wǎng)絡(luò)管理人員及其用戶的安全意識總的來說較為淡薄，且大多數(shù)高校的網(wǎng)絡(luò)管理制度不完善、管理技術(shù)落后、管理機構(gòu)不健全。上述因素不僅使得校園網(wǎng)絡(luò)性能下降、運行成本提高，而且還會造成大量非正常訪問，導(dǎo)致整個網(wǎng)絡(luò)資源浪費，帶來極大的安全隱患，使得網(wǎng)絡(luò)受到攻擊的概率大幅提高。

管理安全是整個防范體系的主線和基礎(chǔ)，貫穿于整個體系的始終。如果僅有安全技術(shù)方面的防范，而無配套的安全管理體系，也難以保障網(wǎng)絡(luò)安全的。必須制訂相應(yīng)的安全管理制度，對安全技術(shù)的實施落實到具體的執(zhí)行者和執(zhí)行程度。

網(wǎng)絡(luò)安全工作可以說是一項群體性的工作，網(wǎng)絡(luò)用戶的安全意識是網(wǎng)絡(luò)安全的決定因素，對校園網(wǎng)絡(luò)用戶安全意識的教育是安全防范體系中至關(guān)重要的環(huán)節(jié)，是形成高校校園網(wǎng)絡(luò)安全體系的基礎(chǔ)。尤其是在病毒泛濫的大環(huán)境下，需要通過定期培訓(xùn)、及時通過各種手段病毒預(yù)警通知、監(jiān)督和促使用戶盡快打補丁等方法，達到增強師生用戶的安全意識，提高必要的安全防范技能的目的。

以上便是我們提出的網(wǎng)絡(luò)安全防護體系的六個層次，除管理安全層次外，其余五層與TCP／IP協(xié)議的層次類似，上一層的安全是建立在其下一層的安全基礎(chǔ)之上，下一層的安全是上一層安全的重要保障，層次之間環(huán)環(huán)相扣，不留安全死角。

本體系中的六個層次也基本涵蓋了高校網(wǎng)絡(luò)管理工作的方方面面，將網(wǎng)絡(luò)安全工作的思路分層次清晰化，具有極強的實用價值和指導(dǎo)作用。

三　應(yīng)用效果

重慶理工大學(xué)從2001年開始大規(guī)模建設(shè)校園網(wǎng)絡(luò)，2003年開始建設(shè)數(shù)字化校園系統(tǒng)。校園網(wǎng)按照核心層、匯聚層和接入層三個層次進行規(guī)劃設(shè)計，共有各類網(wǎng)絡(luò)設(shè)備600多臺，接入信息點18000個，活躍用戶大約2萬人，各類服務(wù)器40多臺，安裝有Windows、Linux和Solaris等操作系統(tǒng)，數(shù)據(jù)庫以O(shè)racle和SQL Server為主。數(shù)字化校園系統(tǒng)覆蓋辦公、教務(wù)、學(xué)工、人事、財務(wù)、后勤等各個方面的工作，共計有各類系統(tǒng)模塊80余個。在大規(guī)模的硬件和軟件系統(tǒng)建設(shè)前期，缺乏對網(wǎng)絡(luò)安全的系統(tǒng)認識，在遭遇網(wǎng)絡(luò)安全事故時，常常只能采取臨時性的應(yīng)對措施。隨著網(wǎng)絡(luò)和系統(tǒng)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要根源，網(wǎng)絡(luò)信息中心的員工幾乎天天都在疲于應(yīng)對各類突發(fā)性的網(wǎng)絡(luò)安全事件。

學(xué)校從2008年開始總結(jié)網(wǎng)絡(luò)安全工作的經(jīng)驗與教訓(xùn)，運用系統(tǒng)工程的分析方法，從整體和系統(tǒng)的角度提出網(wǎng)絡(luò)安全防范方案，形成了“IAAPNS”網(wǎng)絡(luò)安全防范體系，并應(yīng)用到校園網(wǎng)的建設(shè)與維護工作中，經(jīng)過三年多的運行，學(xué)校校園網(wǎng)絡(luò)安全工作進得了明顯的成績(如圖2所示)：

對網(wǎng)絡(luò)設(shè)備攻擊(包括病毒)而導(dǎo)致網(wǎng)絡(luò)故障的次數(shù)由2008年的334次降到2010年的65次，2011年上半年為19次；利用操作系統(tǒng)漏洞(包括Web服務(wù)器漏洞)攻擊成功次數(shù)由2008年的46次降到2010年的6次，2011年上半年為2次；利用應(yīng)用軟件的安全漏洞攻擊成功次數(shù)由2008年的125次降到2010年的43次，2011年上半年為15次。

隨著網(wǎng)絡(luò)安全防范工作的加強，網(wǎng)絡(luò)服務(wù)質(zhì)量明顯提升，如圖3所示，用戶滿意度從2008年61％提升到2010年的73％，2011年上半年為78％。

第9篇

論文摘要：隨著高校信息化建設(shè)水平的不斷提高，無線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個重要組成部分。該文對校園無線網(wǎng)接入進行研究，并對校園無線網(wǎng)絡(luò)的安全進行了分析，最后給出了一種適合校園網(wǎng)無線網(wǎng)絡(luò)的安全解決方案。

1引言

在過去的很多年，計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實施過程中工程量大，破壞性強，網(wǎng)中的各節(jié)點移動性不強。為了解決這些問題，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和擴展，逐漸得到的普及和發(fā)展。

在校園內(nèi)，教師與學(xué)生的流動性很強，很容易在一些地方人員聚集，形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長，無論是教師還是學(xué)生都迫切要求在這些場所上網(wǎng)并進行網(wǎng)上教學(xué)互動活動。移動性與頻繁交替性，使有線網(wǎng)絡(luò)無法靈活滿足他們對網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。

將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場所，如網(wǎng)絡(luò)教室，會議室，報告廳、圖書館等區(qū)域，可以率先覆蓋無線網(wǎng)絡(luò)，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無線的覆蓋范圍擴大，最后做到全校無線的覆蓋。

2校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀

在無線網(wǎng)絡(luò)技術(shù)成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng)，這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時，無線接入的安全性也面臨的嚴峻的考驗。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種：①基于MAC地址的認證?；贛AC地址的認證就是MAC地址過濾，每一個無線接入點可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認證。共享密鑰認證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認證。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認證后打開邏輯端口，然后發(fā)起DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問。

可以說，校園網(wǎng)的不少無線接入點都沒有很好地考慮無線接入的安全問題，就連最基本的安全，如基于MAC地址的認證或共享密鑰認證也沒有設(shè)置，更不用說像802.1x這樣相對來說比較難設(shè)置的認證方法了。如果我們提著筆記本電腦在某個校園內(nèi)走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進入無線網(wǎng)絡(luò)，進而進入校園網(wǎng)，就會對我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

3校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認證存在兩個問題，一是數(shù)據(jù)管理的問題，要維護MAC數(shù)據(jù)庫，二是MAC可嗅探，也可修改；如果采用共享密鑰認證，攻擊者可以輕易地搞到共享認證密鑰；802.1x定義了三種身份：申請者(用戶無線終端)、認證者(AP)和認證服務(wù)器。整個認證的過程發(fā)生在申請者與認證服務(wù)器之間，認證者只起到了橋接的作用。申請者向認證服務(wù)器表明自己的身份，然后認證服務(wù)器對申請者進行認證，認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務(wù)器兩者之間的認證服務(wù)。最常用的EAP認證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證，或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)，該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中，也稱作PEAP－EAP－MSCHAPv2。

考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶，一類是校內(nèi)用戶，一類是來訪用戶。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶，可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓(xùn)或進行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Intemet，以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對這類用戶，可采用DHCP+強制Portal認證的方式接入校園無線網(wǎng)絡(luò)。

如圖所示，開機后，來訪用戶先通過DHCP服務(wù)器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網(wǎng)站時，強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)，無法訪問校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源，必須通過強制Portal認證．認證通過就可以訪問Intemet。對于校內(nèi)用戶，先由無線用戶終端發(fā)起認證請求，沒通過認證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數(shù)字證書(需要設(shè)立證書服務(wù)器)實現(xiàn)雙向認證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連入非法AP。雙向認證通過后，無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協(xié)商的加密算法進行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。

使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷，對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽。當然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全，安全性要求比較高。802.1x認證方式安裝設(shè)置比較麻煩，設(shè)置步驟也比較多，且要有專門的802.1x客戶端，但擁有極好的安全性，因此針對校內(nèi)用戶可使用802.1x認證方式，以保障傳輸數(shù)據(jù)的安全。

4結(jié)束語

校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后，用戶只需簡單的設(shè)置就可以連接到校園網(wǎng)，從而實現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展，將進一步促進校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)?，F(xiàn)在，不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時，由于對無線網(wǎng)絡(luò)的安全不夠重視，對校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不夠。在這點上，學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭，做好無線網(wǎng)絡(luò)的安全管理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證，做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接，確保無線網(wǎng)絡(luò)的高安全性。

參考文獻：