校园网安全防护策略

校园网安全防护策略（精选十篇）

校园网安全防护策略篇1

校园网络是互联网络的有机组成部分, 同时又是师生员工教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台, 各种各样的应用软件在校园网中广泛使用。而Windows系统本身存在很多的系统安全漏洞, 被广泛使用的FTP服务器也存在严重的缓冲区溢出漏洞。因此, 校园网络运行中普遍存在计算机病毒、网络蠕虫、黑客攻击、垃圾邮件、不健康内容传播、非法的访问等各种安全问题。

校园网络既是学习研究平台, 又是大学文化建设的窗口。学生对新技术有好奇、好学的心理, 在校园网上测试、使用各种各样的网络安全技术和工具 (扫描工具、系统漏洞探测工具) , 这些都严重影响着校园网络的安全;学生正处于成长期, 不健康内容 (色情的、反动的) 也会对他们的成长产生不利的影响;校园网提供各种服务, 而提供服务的部门安全意识不统一, 各种服务器自身存在安全威胁;教师、学生与外界频繁的Email联系, 使得垃圾邮件非常多 (甚至有90%是垃圾邮件) , 这些也加剧了校园网的安全威胁。

2 校园网络安全防御体系与关键设备技术

2.1 校园网络安全防御体系

校园网络中安全产品和技术一般都会涉及到诸如防火墙、入侵检测系统、物理网络隔离、数据备份及网络防病毒等相关内容, 典型的一般安全防御体系如图1所示。

校园网络安全一般安全部署中的安全防御与应急措施是基于网络分层体系结构, 其所采用的不同相关技术与设备如下:

物理层与数据链路层:设备备份、数据备份、服务备份、VLAN划分等;

网络层:防火墙、入侵检测系统 (IDS) 、内网包过滤等;

传输层:IP和MAC地址绑定等;

应用层:日志审计、身份认证、网络防病毒、垃圾邮件过滤等。

2.2 校园网络安全防御关键设备及技术

2.2.1 防火墙及技术

功能:为网络通信、数据传输提供更有保障的安全性。

分类:状态检测防火墙 (动态检查网络连接和包) 、应用程序代理防火墙 (与特定应用程序配合使用) 。

性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟以及自身安全性。

产品:Juniper的NetScreen、Cisco的Pix、天融信防火墙、天网防火墙。

2.2.2 入侵检测与防御及技术

功能:及时发现网络异常行为, 并阻止其进一步发展。

检测技术:基于误用检测技术 (检测与异常规则相匹配的网络行为) 、基于异常检测技术 (检测偏离了正常规则的网络行为) 。

核心技术:模式匹配、基于统计方法、预测模式生成等。

性能:降低误报率、漏报率。

产品:CA的Intrusion Detection, 启明星辰的天阗IDS等。

2.2.3 防病毒及技术

功能:及时发现病毒并清除, 阻止病毒进一步传播、扩散。

核心技术:特征代码匹配、病毒特征自动发现、启发式搜索等。

产品:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。

2.2.4 反垃圾邮件及技术

功能:过滤、阻止大量的非正常的电子邮件。

反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型;Domainkeys方式;基于PKI的方式对邮件发送者进行验证, 对邮件信息进行加密保护, 对收信人实现防抵赖机制;基于信头、信体、附件的内容过滤方式。

产品:防垃圾邮件网关, 如冠群金辰的Kill赤霄邮件过滤网关;防垃圾邮件防火墙, 如博威特的梭子鱼垃圾邮件防火墙。

2.2.5 内容过滤及技术

功能:阻止不健康、反动信息的复制、传播。

过滤方法:基于关键字、权重关键字;基于URL的过滤;基于文字内容的深度搜索。

产品:一般在防病毒网关、反垃圾邮件系统中集成。

3 校园网络深度安全防御措施

图1所示的校园网络安全部署在一定程度上对安全攻击作出了一定防范, 但安全风险依然存在:核心交换机存在单点失效危险、网络设备存在性能瓶颈、链路未能实现冗余、内网重要信息未能屏蔽等, 这些问题都可能导致校园网络受到威胁甚至瘫痪。

整合现有安全技术与安全产品, 对校园网络增加一定的经费投入, 构建深度安全防御体系如图2所示。

在保留一般安全防御手段的同时 (重要部门物理网络隔离、应用防火墙、VLAN划分等) , 校园网络汇聚部分实现了设备的冗余和链路的冗余, 较好地避免了单点失效和链路故障所导致的网络性能下降甚至瘫痪的可能。同时, 在网络出口增加了网络地址转换设备, 尽可能屏蔽掉内网过多的信息, 以避免受到黑客攻击。此外, 无需过多应用相关安全产品, 节约了成本。

4 结论

安全是一种意识, 没有任何技术可以确保校园网络不受到任何的安全威胁。网络安全可以说是“三分技术, 七分管理”。鉴于此, 学校领导及校园网络管理人员应加强全校师生员工网络安全意识的普及并加强网络相关规章制度的建立健全, 努力做到:

(1) 配备完整系统的网络安全设备, 如防火墙、入侵检测系统、网络版的防病毒系统, 实现对校园网络进行系统的防护、预警和监控。

(2) 建立全校统一的身份认证机制, 对学生宿舍计算机进行IP地址绑定, 上网用户必须办理上网登记手续, BBS实行实名制。

(3) 规范出口管理, 严格控制私自连接外网。

(4) 监控用户的上网行为, 专人负责对各个网站、BBS内容进行监控, 及时阻止有害信息传播, 各网站、BBS保留日志, 并建立周报制度。

(5) 各级管理机构设定网络安全员, 负责相应的网络安全和信息安全工作。同时, 加强对用户的教育和培训。

(6) 制定校园网络安全管理制度, 落实网络中心各管理人员责任, 定期培训各级网络管理员。加强对学生用户的教育, 对违反规章制度的人员提出警告, 停止其使用网络, 对其进行批评教育, 情节严重者, 提交校行政部门或司法部门处理。

参考文献

[1]杨楚华.防火墙体系结构研究[J].软件导刊, 2007 (9) .

[2]闵锐, 杨楚华.防火墙协同防御技术研究[J].计算机安全, 2008 (2) .

校园网信息安全及防范策略篇2

随着计算机技术、网络技术的飞速发展和普及应用，校园网在学校的教学和管理中发挥着越来越重要的作用，为师生工作、学习、生活提供了极大的方便，正在悄然改变着传统的教学和管理模式。但是，它的安全问题日渐突显：计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患，对校园网信息安全构成了极大的威胁。随着网络用户的快速增长，校园网信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。在校园网建设和运行过程中必须针对不同的安全威胁制定相应的防范措施，以确保建立一个安全、稳定高效的校园网络系统。

2.校园网面临的安全威胁

2.1 操作系统漏洞。这是造成校园网自身缺陷的原因之一。目前常用的操作系统Windows/XP、UNIX、Linux等都存在着一些安全漏洞, 对网络安全构成了威胁。如Windows2000/XP的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。加上系统管理员或使用人员对复杂的系统和自身的安全机制了解不够，配置不当，从而形成安全隐患。

2.2 内部用户的恶意攻击。这是校园网安全受到威胁的另一个主要原因。学校是计算机使用者集中的地方，学生中不乏高手;同时，学生的好奇心重，摹仿力强，即使水平不高，也可以用从网上下载的专门软件对他人的计算机进行攻击。据统计，校园网约有70%的攻击来自内部用户，相对于外部攻击者来说，内部用户更具有得天独厚的破坏优势。

2.3 保密意识淡薄。在校园网中内部用户的非授权访问，是校园网安全受到威胁的主要原因之一，最容易造成系统资源和重要信息的泄漏或被篡改。一些校园网为了简单省事，计算机的命名经常按部门名称命名，计算机的管理员账号也不作任何修改而采用默认账号，甚至不设登录密码，这等于给攻击者大开方便之门，让攻击者能轻而易举地发现自己感兴趣的目标而随意进入，对保密内容随意浏览，更为危险的是，有的数据非授权就可以任意改动，根本无安全可言。

2.4 计算机病毒的侵害。计算机病毒是由某些人利用计算机软、硬件系统编制的具有特殊功能的`恶意程序。影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响高校校园网络安全的主要因素。

2.5黑客的攻击。除了面临来自内部的攻击之外，校园网还要防范来自外部黑客的攻击。外部黑客是利用黑客程序，针对系统漏洞，在远程控制计算机，甚至直接破坏计算机系统。黑客通常会在用户的计算机中植入一个木马病毒，与黑客程序内外勾结，对计算机安全构成威胁进而危及网络。

3.保障校园网安全的关键技术

3.1防火墙技术

防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。在防火墙设置上我们应按照以下配置来提高网络安全性：

校园网安全策略的探讨篇3

关键词：校园网；安全

一、校园网的常见威胁及简单预防措施

就现阶段而言，校园网与其他网络及个人电脑一样，所受的常见威胁主要来自技术层面，而这也是最难的一个层面

（一）计算机病毒的预防

病毒的预防是一个细致而繁琐的任务，除了平时要对系统勤于检测之外，还要做大量细致的其他工作。

1防火墙

这是比较简单的同时也是绝对不能省略的步骤，除非某个校园网是个封闭的内网，不与外网有任何的数据交换，但在目前的形势下，这样的校园网是无法想象的，也是不可能的，因此防火墙的安装与设置就显得尤为重要。

2网关

可以肯定的说网关是大多数病毒去危害计算机的必然通道，网关的设置一旦做好了，一般的病毒是无法通过的，这样就有效的保护了计算机，并极大的减轻了计算机的防护压力。

3杀毒软件

检测和查杀病毒的软件也可以装一个，需要说明的是因为杀毒软件的滞后性，我并不建议把防范病毒的重心放在这里，而且只要做好了重要数据的备份，杀毒软件的作用也就根本没有想象中的那么大了。

（二）重点防御黑客

黑客的出现频率在近几年一直呈上升趋势，与病毒相比，黑客的危险性大，破坏力强，防御也更难。黑客之所以攻击校园网，是因为相比较于个人，校园网的资源更加丰富，因此对于黑客就有着更大的吸引力，而校园网预防黑客的压力也就比个人要大的多。

1完善TCP/IP协议

众所周知目前广泛使用的TCP/IP协议存在着地址漏洞，也就是IP地址可以用专门的软件来进行人为的修改，这就造成了网络地址的欺骗，也就是最常见的黑客行为：非法访问，要防止这种情况就必须在此协议基础上再增加除地址以外的限制条件，当来访者不符合条件时，即视为非法而禁止。总之一句话，完善TCP/IP协议的原则就是IP地址之外再设条件，不符合即禁止。

2及时升级操作系统，很多黑客的攻击都是基于操作系统的漏洞发起的，因此，在系统的各种补丁发布以后一定要及时的下载安装，以便封锁系统的安全漏洞，这样对保护校园网系统以及资源起到很大的作用，可以有效的预防黑客因为系统甚至部分软件的漏洞而发起的攻击，避免的了不必要的损失。

3网站特殊保护，即使做再多的防护措施也仍然无法保证网站不被攻击，技术高明的黑客还是有可能突破层层防护并最终获得系统的控制权限，进而破坏网站或者窃取资源，这个时候可以安装一个专门的软件，对网站的重要网页进行保护，一旦发现被破坏，可以及时的恢复，避免造成损失。

4加强网络监控，校园网的管理者应该建立一个功能完善、覆盖全面的校园网监控体系，对整个网络的运行状况实施及时准确的监控和记录，并尽可能早的发现可疑的网络活动进而采取相应措施，从而增强网络的反应能力，阻止类似的可疑入侵活动再次发生。

二、校园网保障制度的不断完善

除了在技术层面上要预防出现问题以外，校园网在管理使用等其他方面也是有必要不断完善的，这些方面虽然不能给校园网提供直接的技术支持，但在客观上间接保护了校园网的正常运行并充分发挥了他们的作用。

（一）完善的管理制度

要想保证校园网尽可能少的出现安全问题，稳定的运行是必然的前提，这也要求必须有完善的管理制度来做保证，所谓校园网的管理制度也就是对负责校园网管理、维护、调试、维修人员的管理制度，这些制度不仅需要保证校园网在正常状态下能够顺利运行，还要能够保证在发生问题时各相关人员之间不出现有缝衔接，换句话说，一个开放的网站是不可能保证不出现问题的，而一旦校园网发生问题，我们要求的就是尽量做到从问题的出现到问题的解决达到时间上的最小化，绝不能让校园网长时间处于停摆状态。否则，既影响了校园网作用的发挥，又让其失去了意义。

（二）严格的使用制度

校园网的使用者多数应该是学生，他们正处于即将进入社会的转型过渡期，不能排除有些学生因为好奇或者为了满足自身的成就感做出一些不利于校园网的行为，目前任何人都可以在互联网上下载一些简单的黑客工具，而且这些工具使用比较方便，也有一定的破坏力，一旦对它放松警惕，极有可能造成损失。虽然学生的这种行为还不能让他们被称之为黑客，但對校园网的破坏却是谁都不能忽视的。因此，校园网的使用必须严格控制，并做好记录，有条件的话，尽量做到实名使用，以便在需要时有备可查。

三、结束语

校园网的安全措施是一个长期而复杂的问题，它不仅涉及了网络技术的方方面面，还取决于学校的设备、资金以及管理状况，每一个校园网建立都是通过一次次的调试不断加以完善，我们不要也无法寄希望于一劳永逸，以上的探讨只是选取了一些校园网最常见的问题，同时也提供了一些简单的预防措施，难免挂一漏万，不当之处，敬请指正，让我们携手努力，共同维护校园网的安全，从而使校园网最大限度的发挥它自身的作用。

参考文献：

[1]韩淑芳. 校园网络安全问题分析及防范措施[J].信息与电脑（理论版）.2011（04）

[2]桑志强、杨兴. 浅谈计算机网络安全[J]. 科技信息.2009（22）

校园网的安全控制策略篇4

关键词：校园网,安全策略,网络访问

1 引言

随着我国互联网的飞速发展, 教育信息化、校园管理网络化作为网络时代的教育方式和环境, 已经成为教育发展的方向。随着学校网络规模的快速发展, 校园网安全问题已经成为当前各学校网络建设中的重中之重。

2 目前危害校园网络的安全的因素

2.1 操作系统自身的安全问题

任何网络操作系统 (如W I N D O W S、U N I X和L i n u x等) 都存在各种各样的安全问题, 许多计算机病毒都是利用操作系统的漏洞进行传染。

2.2 计算机病毒的破坏

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响校园网络安全的主要因素。

2.3 黑客入侵

从信息安全这个角度来说, “黑客”的普遍含意是特指对电脑系统的非法侵入者。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具, 只是能够灵活运用手中掌握的十分丰富的现成工具。常用手法有:端口监听、端口扫描、口令入侵、J A V A炸弹等。

2.4 非正常途径访问或内部破坏

在学校内部, 存在多种破坏因素如:有人销毁或篡改人事档案记录;有人改变程序设置, 引起系统混乱;有人窃取机密数据;有人通过非正常的手段获取习题的答案或在考前获得考试内容等。这些安全隐患都严重地干扰和破坏了学校的管理秩序。

2.5 不良信息的传播

在校园网接入Internet后, 师生都可以通过校园网络进入I n t e r n e t。目前Internet上信息良莠不齐, 含有色情、暴力等内容的网站泛滥。这些有毒的信息违反了人类的道德标准和我国的法律法规, 对人生观和世界观正在形成的学生来说危害巨大。

3 校园网络安全策略

网络安全是网络正常运行的前提。网络安全不但是单点的安全, 而是整个信息网的安全。安全策略是指一个特定环境中, 为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律, 决定采用何种方式和手段来保证网络系统的安全。

3.1 入侵检测

入侵检测是防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) , 提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 提供对内部攻击、外部攻击和误操作的实时保护。

3.2 访问控制策略。

访问控制策略是网络安全防范和保护的主要策略, 其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用, 而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括以下7个方面的内容:

3.2.1 入网访问控制。

入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源, 控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查。

3.2.2 网络的权限控制。

操作权限控制是针对可能出现的网络非法操作而采取安全保护措施。网络管理员能够通过设置, 指定用户和用户组可以访问网络中的哪些服务器和计算机, 可以在服务器或计算机上操控哪些程序, 访问哪些目录、子目录、文件和其他资源。网络管理员还应该可以根据访问权限将用户分为特殊用户、普通用户和审计用户, 可以设定用户对可以访问的文件、目录、设备能够执行何种操作。系统通常将操作权限控制策略, 通过访问控制表来描述用户对网络资源的操作权限。

3.2.3 目录级安全控制。

访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对目录下的子控制目录和文件的权限。操作权限的有效组合可以让用户有效地完成工作, 同时又能有效地控制用户对网络资源的访问。

3.2.4 属性安全控制。

访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。属性安全策略在操作权限安全策略的基础上, 提供更进一步的网络安全保障。允许网络管理员在系统一级控制文件或目录等的访问属性, 可以保护网络系统中重要的目录和文件, 维持系统对普通用户的控制权, 防止用户对目录和文件的误删除等操作。

3.2.5 网络服务器安全控制。

网络系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块, 可以安装和删除软件。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改系统、删除重要信息或破坏数据。系统应该提供服务器登录限制、非法访问者检测等功能。

3.2.6 网络监测和锁定控制。

网络管理员应能够对网络实施监控。网络服务器应对用户访问网络资源的情况进行记录。对于非法的网络访问, 服务器应以图形、文字或声音等形式报警, 引起网络管理员的注意。对于入侵次数进行统计, 当次数达到设定数值, 该用户账户将被自动锁定。

3.2.7 防火墙技术。

防火墙是一种网络安全保障手段, 是网络通信时执行的一种访问控制尺度, 其主要目标就是通过控制入、出一个网络的权限, 并迫使所有的连接都经过这样的检查, 防止一个需要保护的网络遭外界因素的干扰和破坏。防火墙可以是独立的系统, 也可以在一个进行网络互连的路由器上实现防火墙。

3.3 有害信息的过滤

对于校园网络, 由于使用人群的特定性, 必须要对网络的有害信息加以过滤, 防止一些色情、暴力和反动信息危害学生的身心健康, 必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。

4 结束语

论文从多方面描述了网络安全的解决方案, 目的在于为用户提供信息的保密, 认证和完整性保护机制, 使网络中的服务, 数据以及系统免受侵扰和破坏。比如防火墙、认证、备份、加密技术等都是当今常用的方法。

参考文献

[1] 谢希仁.计算机网络[M].辽宁:大连理工大学出版社.2000.

[2] 蔡立军.计算机网络安全技术 (中国水利水电出版社.2002

浅谈规范构建校园网的策略篇5

浅谈规范构建校园网的策略

随着计算机网络技术的快速发展,使教育进入一个计算机网络新领域,校园网已成为学校办学的基础设施和必备条件,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志.

作者：崔白玉作者单位：绵阳师范学院数学与计算机科学学院计算机科学与技术专业刊名：中小企业管理与科技英文刊名：MANAGEMENT & TECHNOLOGY OF SME 年，卷(期)： “”(12) 分类号：G71 关键词：校园网规范培训信息资源建设

浅谈校园网络安全防护策略篇6

[关键词]校园网络；信息安全；计算机病毒；防火墙；防护策略

一、校园网络信息安全现状

校园网络一般分为内网和外网两部分，其中校园外网主要指学校提供对外服务的服务器群、与ISP的接入等。校园内网主要提供教学、办公自动化等内容。因此，校园网络面临的潜在攻击类型可能包括：

（一）修改传输中的数据

电子邮件、实时报文传输、文件传输的过程中都容易收到截取和修改。

（二）插入并利用Trojan木马、后门、病毒与蠕虫等恶意代码

攻击者能进入用户系统并执行命令。通过先前发现的脆弱性并使用该访问来达到其攻击目的。包括植入基于未来事件而发作的软件。

（三）利用协议或基础设施的BUG

利用协议中的缺陷来欺骗用户或重定向通信量。这种攻击有哄骗域名服务器进行未授权远程登陆；使用ICMP炸弹使某个机器离线；使用源路由伪装成信任主机；TCP序列号猜测获得访问权；未截获合法连接而进行的TCP组合等。

（四）建立非授权的网络连接

对高密级网络具有物理访问能力的用户未授权连接到一个低密级或敏感网络中，这违背了安全策略或用户流程。

（五）伪装成合法用户

利用可信实体的标识，通过电子邮件、实时报文或请求文件传输得以进入通信信道，实现恶意目的。

（六）地址欺骗

一个主体可能假冒成另一个主体获得对特定信息的访问。例如，外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源。

（七）监视纯文本报文

纯文本报文是那些没有被加密的报文，一旦被拦截，纯文本报文就很容易被读出。

（八）拒绝服务攻击

包括炸弹、洪水攻击等DoS攻击以及DDoS攻击，造成网络宕机或服务停止，形成业务中断。

这些已存在或潜在的网络威胁，多数是由于校园网用户的网络安全意识薄弱或本身校园网络的安全防护措施设置不高造成的。为了更好地安全使用网络，我们有必要对校园网采取一些安全防护措施。

二、防止病毒流入内网

（一）采用防火墙实施边界保护机制

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

1.对源、目的和服务做出限制，并阻断危险的协议，比如ICMP协议。进出边界的通信都需要进行控制；

2.限制可执行代码的服务和下载能力；

3.使用访问控制列表；

4.使用身份验证机制；

5.使用网络地址转换机制隐藏内部网络（地址和网络拓扑结构）防止潜在攻击者；

6.记录和分析源路徑和其他信息包，并对攻击做出反应和进行限制；

7.扫描恶毒软件；

8.操作者能够方便正确的配置边界保护机制，如采取友好图形用户界面（GUI）；

9.自监控并且有产生告警的能力。

（二）采用新型入侵防御系统（IPS）

边界防护技术提供周边的访问控制，被“授权”的内部和远程用户可以在边界内尝试窥探、滥用以及执行恶意行为。防火墙并不会监测被授权用户的行为，它的侧重点也不是内部威胁。防火墙被允许一定程度的访问，则有可能为来自外部的漏洞窥探和潜在的攻击打开了大门。网络入侵者越来越多地利用开放的服务端口（如HTTP、SMTP、POP3、DNS等）发起攻击，且手段隐蔽，破坏性却非常大。IPS是一种部署在网关位置的安全设备，利用攻击的知识对网络数据和行为进行深层检查，从而更有效地抵御应用层攻击。IPS在线（Inline）的部署模式使它可以直接将有害的流量（探测、攻击等）阻挡于所保护的网络之外。

在网络中心防火墙后部署一台高性能的IPS，做为边界防护的第二道防线。入侵防御系统具有内置BYPASS功能，在设备出现硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。此外不管是因为硬件或是软件的因素，假设侦测引擎出现阻碍（blocking）死锁的状况，内置BYPASS功能也会自动切换到直通状态，无须担心设备的可靠度。内置BYPASS功能可通过远程管理实现启动或关闭管理。

IPS将ASIC硬件检查、深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而，很好地提供了动态、主动、深度的安全防御。

防火墙与IPS协同部署的安全方案能够在网关位置构建起多层次的信息安全防护体系，形成一道完整的保护关键服务器和内网安全的防线。

（三）利用微软系统中的用户身份认证对上网人员进行访问授权限制

认证是指对主客体身份进行确认的过程。身份认证是指网络用户在进入系统或受限系统资源时，系统对用户身份的鉴别过程。身份认证的方式有：静态密码方式、动态密码方式、USB Key认证、生物识别技术、CA认证。

（四）在计算机上安装杀毒软件

不管是老师还是学生，在校园网内不可避免地要经常使用U盘、移动硬盘，这些移动存储设备在使用前应进行病毒的扫描和查杀，以避免计算机病毒、木马等流入校园内网。

（五）个人计算机的使用者尽量不要设置共享目录，以减少感染病毒的机会

如果确实工作需要开共享目录，则个人计算机共享目录的访问权限必须设置为满足使用要求的最低访问权限，并加上复杂密码。对不再必要的共享目录，必须及时取消其共享属性。

三、防止内网病毒流出外网

从网络安全方面来说，我们不但应该防止计算机病毒、木马等不安全信息进入校园网，还要防止校园网内感染的计算机病毒、木马等向外网传染。防止内网病毒向外网扩散比较好的技术手段是采用防火墙技术。防火墙是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。

它具有以下六大功能：信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意地扩散本地机密信息；系统用户管理，记录用户登录系统的信息，为日后的安全审计提供依据；系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作；系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等；信息安全审计，记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等报告。

网络完全防护是一项长期的工作，它不但涉及到各种安全防范技术，还涉及到用户的网络安全意识、网络管理等许多方面，只有将各方面都做好才能建成一个安全的校园网。

[参考文献]

[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,(5).

[2]斯特拉斯伯格.防火墙技术大全[M].机械工业出版社, 2003.

[3]张彩文.防火墙技术浅谈[J].硅谷,2010,(20).

校园网安全管理策略综述篇7

随着计算机网络的飞速发展,网络在高校中应用也越来越广泛,这对增进教学科研的质量,提高工作效率,建立现代化的信息化校园,丰富学生的娱乐生活都起到了积极的作用。这就要求我们建立一个安全,稳定,可靠的校园网络。本文通过对校园网所面临的安全问题进行了分析,并针对目前威胁校园网安全的因素,找出几种相对应的解决策略。

2 高校计算机网络面临的安全问题

2.1 节点的日益增多带来的安全压力

随着校园内计算机应用的不断普及,接入校园网的节点日益增多,而这些节点基本都没有安全防范措施,随时有可能造成安全隐患,比如病毒泛滥、木马攻击、数据丢失、系统崩溃等严重后果。

2.2 人为的恶意攻击

这是校园网络面临的最大威胁之一,黑客的攻击和计算机犯罪都属于这一类。而此类攻击又分两种:一种是主动攻击,一种是被动攻击,而前者又更具有破坏性。

2.3 病毒的攻击

通过网络、可移动介质传播病毒是目前病毒传播的主要途径,这些病毒中的木马程序会导致信息泄漏,蠕虫类病毒则往往导致网络运行效率下降甚至瘫痪。由于病毒变种的不断产生,防范起来非常困难,目前各种防护手段均难以达到理想的效果。

3 造成校园网安全问题的主要原因

3.1 开放式网络环境

由于高校校园本身的特点,使得校园网络的环境是开放的,而且由于管理方面相对电信、金融等企业更加宽松,这样就留下了较多的安全隐患。

3.2 用户的好奇心和克制力不足

学生通常是用户中最活跃的因素,而且用户数量庞大,以合肥工业大学为例,在校生、本科、硕士生、博士生可达两万多人,即使只有一半人使用网络,也有一万多个用户。他们对网络新技术充满好奇,敢于尝试,部分人对网络中的一些诱惑自制力不足。这些都对校园网安全问题带来了一定的压力。

3.3 计算机系统的安全管理问题

高校学生的电脑一般是自己的买的,自己维护,而各院系也因为各种原因而没有专人对用户使用网络进行维护和指导。如果要统一管理这些机器则要花费大量的时间。另外,不少用户使用盗版软件和破解软件,这些软件存在很多问题,比如携带病毒和木马或者其他恶意程序等,这些将影响计算机系统和校园网络的运行效率,蠕虫病毒甚至会导致校园网络瘫痪。

4 校园网安全问题解决方案综述

通过对校园网安全问题的分析,结合大型校园网络的安全管理经验,下面对校园网典型的安全管理方案综述如下。

4.1 配置交换机中访问控制列表提高安全性

默认情况下,Windows有很多端口是开放的,在用户上网的时候,网络病毒和黑客可以通过这些端口连上用户。为了消除安全隐患,应该在交换机中配置访问控制列表,关闭危险端口。

以锐捷2126G为例,可以进行如下配置来防范危险端口的使用:

4.2 使用流量控制设备管理流量和网络行为

网络的使用中,不少用户喜欢用BT、迅雷等P2P、P2SP类型的下载软件。这类软件的最大特点就是利用自身协议的特点,尽可能的占用网络带宽。对此可以采用流量控制设备,对带宽进行按带宽、按IP、按用户的多视图方式的策略控制。这种针对带宽的控制管理在网络安全运行上的效果是非常明显的,以某大型校园网络为例,实施流量控制前后的流量状态如下图:

从前后对照图的对比分析,可以看出,实施流量控制后,带宽进行了有效而合理的分配。

4.3 使用802.1x认证体系实施安全认证管理

校园网络的用户管理涉及时间、流量控制以及交费等问题。这方面比较成熟的是使用802.1x认证。

以锐捷2150G为例,可进行如下的相关配置:

以上设定了radius认证服务器主机和计费主机的IP地址,并对计费时间间隔与认证密钥匙进行了配置。

4.4 面向用户提供各种安全支持

由于用户计算机水平的差异,使得在下载防病毒软件,防木马软件时,并不能保证软件本身是安全可靠的,而由于校园网络出口带宽有限,和门户网站本身原因,也使得常常几个小时,也不一定下载到合适的安全软件。因此,加强对用户的安全支持也是安全管理的一项重要内容,比如可建立校园网络安全网站、部署在线杀毒、校内操作系统自动更新服务、在线杀毒、部署邮件安全网关等,以期多方面解决校园网安全管理的问题。

5 结束语

安全性问题应该贯穿于校园网设计、管理、运行、维护等各个环节,应该制定多角度、全方位的整体解决方案;而提高网络用户的安全意识、提高安全用网的能力,并制定比较完整的规章制度来规范上网人员的行为也是不可忽视的安全管理措施。

参考文献

[1]谢希仁.计算机网络教程[M].北京:人民邮电出版社,2002.

[2]Sean C.网络安全体系结构[M].北京:人民邮电出版社,2005.

[3]袁保宗.互联网及其应用[M].吉林:吉林大学出版社,2000.

校园网安全问题及策略分析篇8

随着校园网规模的延伸、网络复杂性的加大和高校学生人数的增多, 导致校园网内网络安全问题不断的突显, 一个小小的隐患可能将是“千里之堤溃败之源”。只有认真地研究我国高校校园网的特点, 分析危险之源, 才能提出合理的策略, 进行有效的管控措施。

1校园网安全特点及危险之源

1.1校园网特点

互联网在我国的发展始于高校, 并在高校校园网的应用中得到了充足的发展。然而校园网又有着其自身的特点。

1.1.1 用户多、设备多

现在一所普通高校少则一、二万人, 多则五、六万人, 统计调查显示这些学生年龄大部分是18到25岁之间, 80%的学生有上网的习惯, 从而形成了校园网实际上网用户数量巨大。

高校内部行政办公楼、教学楼、实验楼、图书馆、机房、学生宿舍处处都有网络联接, 设备多, 各类多, 分布广。

1.1.2 服务杂、安全要求不一

校园网建设的初衷是为了便于在校师生的生活、学习和科研。根据网络服务性质的不同, 这也导致了服务类型杂 (如WWW服务、MAIL服务、电影VOD点播、FTP、还有科研各类C/S、B/S系统等) , 不同的服务要求不同的安全级别。

1.1.3 上网高峰的时间、区域固定

校园内用户教学区上网的高峰时间集中在上午8点到12点, 下午2点到6点, 而宿舍的高峰时间集中在晚上8点到12点之间, 并且网络带宽和设备故障的发生时间也在高峰期内。

1.2危险之源

1.2.1 攻击来源有内部攻击和外部攻击

校园网的使用者都是大学生, 大学生高智商、天生的好奇感和对新事物的挑战感使他们往往去尝试网络内部的攻击、密码的破解等攻击行为。外部的互联网使用者出于炫耀本领或其他经济利益也经常对校园网进行攻击。

1.2.2 病毒肆虐

校园网是网络病毒泛滥的重灾区, 学生的安全防范意识差, 教学区内上网的计算机多为公用的计算机, 对计算机爱护程度不高, 校园网内用户密集, 一旦病毒发作, 可能导致整个校园网的瘫痪。

1.2.3 操作系统 (OS) 漏洞

校园网中的计算机OS使用的版本比较多, 最为常用的是Microsoft XP、Win7、Windows2003、Linux、Unix、麒麟、Cent OS等, 并且这些系统多为电脑公司所用的非正版系统, 系统漏洞严重, 大部分上网的用户只知道使用网络却没有意识将OS漏洞这扇后门及时的封堵。

1.2.4 垃圾邮件泛滥

随着高校数字化校园技术的深入应用, 电子邮件服务是高校与外界信息公开交流的重要途径之一。然而邮件的状态不容乐观, 据2011年《第三季度中国反垃圾邮件状况调查报告》显示, 中国网民每周收到垃圾邮件14.9封, 环比增长2.1封, 同比增长一封, 垃圾邮件在总邮件的比例为33.7%。垃圾邮件具有大量的色情、暴力、反动信息, 它的泛滥, 严重影响到高校校园网络的正常次序, 对学生的身心健康极为不利。

1.2.5 网络管理人员技术有限

由于校园网规模大, 机构多, 校级的网络管理人员技术能力相对较高, 而到系级的管理人员能力就参差不齐了。

2校园网络安全策略分析

对校园网安全的防范, 技术上要内外兼顾, 管理上要重教育, 提高上网员和维护人员的素质、技能。

2.1外部隔离防范

外部防范主要是针对校园网外的攻击者而言, 这种防护主要是在校园网的出口处架设安全设备和审计系统, 并配置严格的访问管控策略。

具体的方法是, 在校园网路由器前端加设抗DDOS攻击和流量清洗设备, 用来清理因DDOS攻击、僵尸病毒而引起的网络流量堵塞。在路由器后方部署防火墙与入侵检测系统, 通过入侵检测系统发现网络攻击, 及时告警, 与防火墙联动, 实现主动网络防御。由于高校服务杂, 服务器比较分散, 可对主要的WWW、MAIL、数据库等服务器划分一个主服务器区, 在主服务器区与核心交换机之间部署Web应用网关, 来防护主要服务器的安全 (如防网页篡改、SQL注入等) , 做到外部非法用户进不来、出不去的目标。

2.2内部分层防范

校园网内部从整体上安装网络版杀毒软件。在校园网信息管理中心部署杀毒软件的控制台, 对上网的计算机强制下发安装杀毒软件的客户端。由信息管理中心定时的对全网进行病毒查杀, 并将每日病毒状况通过中心控制台形成报告, 对一周病毒及感染病毒的主机进行定位分析, 对病毒进行及时控制, 避免网络病毒在全网肆虐。可以通过WSUS建立OS漏洞的自动更新平台, 使校园网的上网用户不再担心机器的后门漏洞问题。

校园网教学区内公共的计算机数量多, 仅靠网络管理人员每天进行维护不太现实。针对这些计算机可采用软、硬件结合的方法, 对计算机硬盘进行保护, 每次重启计算机系统将还原。

另外, 要求对上网的计算机采用身份认证系统, 只有输入正确的用户名, 口令才能正常的上网。身份认证系统能够实时地记录用户的上网行为, 这也就从技术上约束和规范了上网用户的行为。久而久之, 校园网用户从技术的约束到自觉, 健康的上网, 形成了一种习惯。

2.3垃圾邮件防范

对待高校校园网垃圾邮件防范要采用技术与管理的“双架马车”。在邮件服务器前部署防垃圾邮件网关, 通过邮件服务器的所有信件要经过网关的严格过滤, 在网关上设置常见的黄色、暴力、反动的过滤词及对特殊的文件格式 (如.exe、.wav、.bat 文件) 进行阻断, 以便有效地拦截各种垃圾邮件, 还高校邮件系统稳定性和实时性。

单纯从技术的角度防范校园网垃圾邮件是被动的。还需要校园网用户养成良好的邮箱使用习惯 (如:电子邮箱账号的设定使用英文字母与数字混合的账号, 加大了垃圾邮件发送者猜测邮件地址的难度;尽量不使用自动回复功能;不看陌生不认识的邮件;一旦发现垃圾邮件及时给校园网网管部门上报, 以便在网关中对其进行拦截) 。

2.4重教育管理

1) 网络管理的主体是人才队伍, 无论是设计和构建安全、可靠的校园网系统, 还是日常网络的科学管理, 都需要业务精通、技术水平高的专业人才。加强对网络管理人员的教育, 从技术上、责任心上全面提升他们的能力。

2) 校园网上网用户的主体是学生。对学生的安全教育也尤为重要, 要教育学生安全使用网络、树立正确的用观网。

3小结

校园网的安全问题是伴随着校园网的诞生而如影随行的, 如何保证校园网网络的整体安全、上网用户的隐私、以及上网行为的规范, 这将是一项重要而又复杂的工程。这需要学校的全体教师、学生、网络管理人员共同努力。

摘要：随着大学的扩招, 大学生数量的增多, 高校校园网发展速度惊人, 毫不夸张地说每所高校都有自己的校园网。分析了校园网的实际特点和引起校园网危险的源泉, 并提出了从技术到管理一整套、切实可行的校园网安全策略。

关键词：校园网,安全,危险之源,策略分析

参考文献

[1]查贵庭, 彭其军, 罗国富, 等.校园网安全威胁及安全系统构建[J].计算机应用研究, 2005, 16 (3) :66.

[2]唐海波.高校校园网安全分析及策略[J].电脑知识与技术, 2008, 11 (3) :121.

校园网的安全问题及管理策略篇9

现在信息社会，Internet正以迅猛的势头进入社会生活的各个领域和环节，连接在Internet上的校园网，由于网络资源的共享和无障碍的信息交换给校园师生和其他用户带来了数不尽的便捷和好处。然而，校园网在安全问题没有保障的情况下，学校的教学、科研、管理和通讯等对校园网的依赖程度越高，可能潜在的风险就越大。同时，如果校园网无安全保证，网络上的很多应用将失去意义。如何在开放和资源共享的环境下保证正常服务的提供，防止窃取内部信息和对网络资源的盗用以及对非法攻击具有纪录、追踪能力，是网络规划阶段就要应该考虑的。

2. 校园网络存在的安全问题

2.1 物理安全

是指由于个别物理设备的放置不合理、规章制度不健全、防范措施不完善，使网络资源遭受自然灾害、意外事故或人为破坏，而造成校园网不能正常运行。从物理上讲，校园网络的安全是脆弱的。就如通信领域所面临的问题一样，校园网络涉及的设备分布极为广泛，任何个人或部门都不可能时刻对这些设备进行全面的监控，物理安全问题是显而易见的，是制定安全策略时首先要考虑的问题。

2.2 Internet存在的安全漏洞

计算机联网的宗旨是系统开放、资源共享、降低系统的开发成本、提高信息处理效率,然而这正是网络安全的致命问题，是计算机网络固有的安全漏洞。很多网络系统特别是一些大型网络系统内运行多种网络协议，而这些网络协议并非专为安全通讯设计，本身缺乏安全性，容易被攻击者利用。由于计算机信息有共享和易扩散的特性，在处理、存储、传输和使用上存在严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取篡改、冒充和破坏，还有可能受到计算机病毒的感染。

2.3 计算机病毒

计算机病毒与拒绝服务攻击的方式不同，但对计算机及网络所造成的危害是相同的。即使已有许多防护和清除计算机病毒的软件产品，但仍很难应对与日俱增的新病毒。校园网中一旦有一台计算机受病毒感染,病毒程序就可能在极短的时间内迅速扩散,传播到校园网上的所有计算机,可能造成信息泄漏、破坏数据、毁损硬件、阻塞网络甚至造成整个计算机网络传输中断和系统瘫痪。

2.4 校园网内部的攻击

高校校园网是广大师生进行教学与科研活动的主要平台，高校学生通常也是最活跃的网络用户，他们对网络知识、网络新技术很感兴趣，充满好奇心，而且具有比较高的专业知识水平，对内部网络的结构和应用模式又比较了解，攻击校园网就成了他们表现自己的能力，实践自己所学知识的首选，经常有意无意的攻击校园网系统，干扰校园网的安全运行。

3. 安全管理策略

校园网的安全是一个庞大的系统工程，需要全方位防范。防范不仅是被动的，更要主动进行，为保证校园网络的安全性运行，一般采用以下策略：

3.1 保障设备安全

在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止无意损坏。对于终端设备，如工作站、小型交换机、集线器和其他转接设备要落实到人，进行严格管理。

3.2 技术保证

目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、数据的完整性控制和安全协议等内容。针对校园网来说，我认为最主要应该采取以下一些技术措施：

3.2.1 运用内容过滤器和防火墙

过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等内容有强大的堵截功能。防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换、IP防假冒、预警模块、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。

3.2.2 漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

3.2.3 杀毒软件

选择合适的防病毒软件，及时更新病毒库。防病毒软件分为两大类：网络版和单机版。单机版防毒软件适用于个人用户，管理功能相对较弱。从网络管理和病毒监控的角度来说，校园网更适用网络版防毒软件，选用网络杀毒软件可以有效地防止病毒在校园网上传播。

4. 网络的管理

网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行精确到人、到机位的使用登记制度，则可对网络用户和服务账号进行精确的控制。定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。

参考文献

[1]徐国哎,杨义先,胡正名等.安全局域网的设计和实现[J].计算机工程与应用,2002,(8):65-70.

[2]雷峥嵘,吴为春.校园网网络安全存在的问题.计算机应用研究,2002,(3):130-132.

[3]方东权,杨岿.校园网网络安全与管理[J].网络安全技术与应用,2005,(3):51-52.

高职院校校园网的安全策略探析篇10

由于全球信息化的快速发展,计算机网络安全问题越来越引起人们的重视。近几年来,随着校园网迅速普及,黑客入侵、信息泄露和病毒泛滥等网络安全问题日趋严重。

1 目前网络存在的安全隐患

1.1 非授权访问

没有经过同意,就使用网络或计算机资源,被看作非授权访问,如有意避开系统访问控制机制,对网络设备进行非正常使用,或擅自扩大权限,越权访问信息等。它主要有以下几种方式:假冒身份攻击、合法用户以未授权的方式进行操作、非法用户进入网络系统进行非法操作等。

1.2 破坏数据完整性

以不正当手段取得数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰合法用户的正常使用。

1.3 信息泄露或丢失

敏感数据被泄露出去或丢失,它常包括:通过建立隐蔽隧道等窃取敏感信息,信息在传输中丢失或泄露,信息在存储介质中丢失或泄露等。

1.4 抵赖

可能出现的抵赖行为有:发送信息后,发送方否认已经发送过信息;接收方在接收到信息后,否认接收到信息。

1.5 拒绝服务攻击

不断对网络服务系统进行干扰,执行无关程序,改变正常的作业流程,使系统响应减慢甚至瘫痪,干扰正常用户的使用,使合法用户不能进入计算机网络系统或不能得到相应的服务。由于入侵检测系统中的网络引擎、主机代理和存储系统都对网络通信非常敏感,所以非常容易受到攻击。

2 威胁高职院校校园网安全的原因

2.1 物理方面

在物理方面,校园网的安全很脆弱。校园网使用的设备较多,如通信线路、交换机等都有可能遭到攻击,引起通信的中断。存储介质的丢失,会引起信息的泄密等。

2.2 技术方面

高职院校的校园网基本上都与Internet相连,Internet的资源共享性和开放性使得网络存在安全隐患。目前我们使用的操作系统存在着各种漏洞、后门等,对网络安全构成威胁。

2.3 宣传教育方面

虽然关于网络安全的法律法规已经制定,但并没在用户中进行广泛宣传,致使用户有意破坏网络安全。

2.4 管理方面

严格的管理是保证校园网安全的重要途径。许多高职院校对网络的管理松懈,管理者和用户的安全意思淡薄,疏于防范,没有建立校园网的安全管理体制。

2.5 用户方面

校园网的用户包括教师和学生,校园网是以用户为中心的系统,一个合法的用户在系统内可以执行各种操作,如要下载,有可能会下载一些带有病毒的软件。

3 安全策略

3.1 运用防火墙

防火墙的主要功能是进行访问控制,它的主要作用是隔离安全网络与不安全网络;隔离信任网络与不信任网络,并对它们之间的访问进行控制。鉴于防火墙本身的功能特点,决定它的配置位置是在两个不同网络或者不同安全域之间的连接处,使得防火墙成为两个不同网络之间访问的惟一通道,这样防火墙就可以对所有进出它的数据进行检查、过滤,真正发挥防火墙的最大功效。设置防火墙后,所有从Internet访问学校校园网的访问请求都首先到达防火墙。防火墙可以通过分析这些数据包的性质控制网络中对主机的访问,防火墙还可以对Internet网络采取安全措施,只允许与业务有关的访问进入校园网,其他的网络服务请求都加以拒绝,于是来自外部网络的攻击行为不能到达校园网主机。对于一些特定的服务请求,防火墙可以进行强制认证,只有来自合法主机的合法操作在通过认证之后才能到达要访问的主机。

3.2 运用入侵检测系统

入侵检测系统是一种主动保护自己免受攻击的网络安全技术,是对防火墙的合理补充。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而入侵检测系统却可以在入侵发生时,评估可疑的入侵并发出警告。而且入侵检测系统还可以观察源自系统内部的攻击。但现有的入侵检测系统仍然存在着漏报、误报以及在自身安全、管理等方面存在着先天的不足。可以运用曙光God Eye-HIDS主机入侵检测系统,它凭借先进的分布式入侵检测技术,有效的实现了“管理周密,简单易用”、“检测严密,主动防护”、“过硬的自我保护功能”、“有效防范近千种黑客攻击”、“攻击取证”等几大功能优势,具有极强的抗欺骗能力和降低漏报误报能力。

3.3 运用安装补丁程序

任何操作系统都有漏洞,网络系统管理员有责任及时地打上“补丁”。目前校园网服务器多数使用微软的Windows操作系统,微软公司为了弥补操作系统的安全漏洞,会定期公布发现的漏洞,并在官方网站上提供相关的补丁程序,用户可以到网上下载并安装相关升级软件包。

3.4 重视病毒的防治

计算机病毒的防治技术分成四个方面,即检测、清除、免疫和防御。计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种特征判定技术,也可能是一种行为规则的判定技术。也就是说,计算机病毒的预防是根据病毒程序的特点对病毒进行分类处理,在程序运行中凡有类似的特点出现则认定是计算机病毒。计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种,一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性己遭到破坏,从而检测到病毒的存在。计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是病毒传染程序的一种逆过程。在检测发现特定的计算机病毒基础上,根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。目前还没有一种有效的计算机病毒免疫方法。目前,大多数反病毒厂商都已经推出了网络版的杀毒软件,同时,使用网络版的杀毒软件,一定要及时升级杀毒软件。

3.5 信息加密策略

信息加密的目的是保护校园网内的数据、文件、口令和控制信息,保护网上传输的数据的安全。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护。节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的惟一方法。

3.6 运用数据备份与恢复技术

备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个备份,一旦原有数据遭到破坏还能使用数据备份进行恢复,所以要定期对数据进行备份,并异地保存。

3.7 建立身份认证系统

校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础,否则即便发现了安全问题也只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。

3.8 加强用户安全意识

面对日趋严重的网络犯罪,必须逐步建立与网络安全相关的法律、法规,使图谋不轨的人慑于法律的威力,不敢轻举妄动。利用新生入学教育和员工岗前培训的时间,对新用户进行网络安全及相关法律、法规的教育,引导学生正确学习和运用网络技术,机房要专人管理,无关人员不得进入,只有这样才能促使校园网健康发展。

3.9 严格规范上网场所的管理

对上网用户集中进行监控和管理。上网用户不但要通过身份认证系统确认,而且合法用户上网的行为也要统一进行监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。

4 总结

校园网络安全体系是一个系统的工程,不仅要用技术来保障系统的安全,还要改进管理方法、建立安全防范体系。随着网络自身不断发展,必将出现新的安全问题,我们必须根据情况的变化,不断对网络系统进行及时的维护和更新,细化各种管理制度,不断提高校园网管理人员的技术水平,才能保证网络能高效、安全地为高职院校师生的工作和学习服务。

参考文献

[1]王春荣,刘兰娟.网络安全入侵检测研究.计算机时代.2002.

[2]陈立新.计算机病毒防治百事通.清华大学出版社.2000.

[3]冯登国.计算机通信网络安全[M].清华大学出版社.2001.

[4]王锐,陈靓,靳若明,周刚.网络最高安全技术指南[M].机械工业出版社.1998.

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处