1、構建安全的校園網絡體系摘要：建設校園網時，如果缺乏安全意識、安全管理，整個校園網的安全將會面臨極大的威脅。因此，使用相關的安全技術去構建一個安全、可靠的校園網絡成了當前急需考慮的問題。關鍵詞：校園網；網絡安全；防范技術因為院校教育信息化的不斷發展，信息網絡在學校的教學、科研及管理中起到了不可或缺的重要作用。使得高等院校的核心資產變成了信息網絡。可是網絡的開放性特點（尤其是Internet的全球性），使得網絡面臨著巨大的安全性風險。首先諸如病毒、網絡漏洞、拒絕服務、網絡破壞性攻擊等網絡威脅的存在；其次不完善的網絡協議、各種軟件；還有網絡管理人員的錯誤，最終使風險成為實際的災難。不斷發生的網絡入侵

2、事件，令校園網絡的安全和正常使用都受到了嚴重的威脅。如網絡中斷，數據被盜用、暴露或篡改，更甚者使學校與外部的聯系中斷，從而使得學校正常的教學及科研工作不能夠順利開展。 造成這種狀況，初步分析原因主要有： 1不合理的投入比例 只有增大校園網硬件設施的投入，才能獲得校園網的速度和規模，相應的校園網的用戶群體也得到提高。恰恰正由于高寬帶和用戶量大這兩個特點，網絡安全問題才顯得比較嚴重。數千臺計算機的安全只能靠少數工作人員來維護，投入明顯不足。 2校園網中的計算機系統管理難度大 由于很難在所有的端系統實施統一的安全政策，這樣便使得“入侵者”有機可乘，病毒泛濫。 3濫用盜版 一方面由于操作系統本身存在的

3、網絡安全漏洞，如NT服務器及Windows桌面PC，會給網絡安全帶來了一定的隱患。如：安裝盜版的計算機系統存在大量的安全漏洞。另一方面，如果從網絡上隨意下載軟件，這些軟件中可能隱藏著木馬、后門等惡意代碼，因此而成為攻擊者侵入和利用的突破口。 4、活躍的用戶群體 校園網中最大的用戶群體是大學生，他們好奇心強、求知欲旺，勇于嘗試，但是缺乏法律意識，自控能力相對也比較差。在這種情況下，他們完全出于好奇的會對校園網發起非惡意攻擊，這也是對校園網絡安全性的一種極大考驗。 5不健全的機制 首先校園網中沒有對用戶實行有效的身份認證機制，其次網絡系統的安全性缺乏有效的手段進行監視、評估，還有就是不能采取有效的

4、入侵檢測辦法，同時針對入侵采取主動式的防御措施。 6網絡的開放性 由于校圓網擔當著學校教學、科研、管理和對外交流等許多重要角色，為保持學術氣氛活躍和應用便利，通常不能實施過多的限制。也就決定了校園網絡環境應該是開放的、管理也比較寬松。 7網絡不可信 沒有有效的整合各種安全技術及措施，并使它們協同工作，形成不了一個安全可信的體系結構。 8.P2P下載 校園網提供的迅雷、BT、電驢及Flashget等下載軟件服務，使得用戶利用這些軟件下載音樂、視屏時，占用了網絡大量帶寬。這嚴重影響校園網的運行。 9.垃圾郵件 校園網的電子郵件服務器缺乏有效的郵件過濾機制和限制郵件轉發機制，從而使其成為大量垃圾郵件

5、的中轉站、垃圾郵件的攻擊對象。這樣不僅會造成郵件服務器阻塞，還會增大校園網的網絡流量，更有甚者導致郵件服務器崩潰。 雖然有關于網絡安全的法律法規，也制定了網絡安全機制，但是由于各種各樣的原因，并沒有得到很好的貫徹和落實。相反，黑客卻經常利用網絡這個平臺進行技術交流活動。由此可見，構建一個合理的、主動的、系統的校園網安全體系顯得至關重要。 由上分析可知，校園網絡安全存在的主要問題就是如何對病毒進行預防、對訪問進行控制、對身份進行驗證和加密技術、修補系統安全漏洞等。一個網絡，既要從網絡安全技術、網絡設備、網絡結構、操作系統和網絡應用等多方面考慮網絡內部的安全性，又要考慮本網絡和外部網絡互聯時的安全

6、性。 一、防火墻技術 目前最為流行、使用最廣泛的一種網絡安全技術就是防火墻技術。 防火墻是指一種將內部網和公眾訪問網(如Intemet)相對分開的方法，說到底其實就是一種隔離技術。當兩個網絡進行通信時，防火墻作為一種訪問控制尺度，它既可以使用戶“同意”的人和數據進入自己的網絡，也可以使那些未經用戶認可的訪問者和數據禁止通行。通過這個方式，黑客便不能隨意入侵網絡更改、拷貝和破壞用戶的信息。防火墻主要有三種類型：包過濾型、代理服務器型、全狀態包過濾型。 二、入侵檢測技術 僅僅靠防火墻技術的應用往往不足以保證網絡的安全，尤其是不能抵御來自防火墻內側的入侵。入侵檢測系統是以智能和動態分析為基礎，在當今

7、的網絡的作用越來越強大，它不僅可以實時檢測來自外部的入侵行為，還可以實時檢測到來自內部的未授權活動。同時能夠及時采取相應的記錄證據、跟蹤入侵、恢復或斷開網絡連接等防護手段。入侵檢測實行的是以攻為守的策略，它不僅能夠發現合法用戶濫用特權，還能成為追究入侵者法律責任的有效證據，從而有效的彌補了防火墻相對靜態防御的不足。 三、身份驗證技術 校園網上運行著教學管理系統、財務管理系統和各種對外服務如Web，FTP服務等數據庫系統。如果安全措施不到位，這些數據就會有被非法取出、被復制，從而造成信息的泄露，更甚者數據被非法刪改。目前校園網絡是以Windows為主的操作系統平臺，對應的主要安全技術有操作系統安

8、全策略、安全管理策略、數據安全等方面【2】： 1.操作系統安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派等安全選項。 2.安全管理策略是指網絡管理員對系統實施安全管理所采取的方法及策略。 四、訪問控制技術和內容審計技術 訪問控制也叫接入控制。當非授權用戶進入網絡、訪問計算機資源和通信資源時能夠得到及時禁止。訪問控制可以根據用戶的身份賦予其相應的權限。從而當用戶發起訪問時，可以根據規則判斷主體對客體的訪問是否合法。判斷的方法主要有口令、用戶分組控制和文件權限控制。內容審計的內容有:發郵件的審計、WEB網頁審計、TELNET審計、FTP審計和

9、即時聊天工具審計等。 五、VPN技術 VPN(Virtual Private Network)虛擬專用網是指通過公共網絡將物理上分布在不同地點的網絡連接成邏輯上的虛擬子網，并采用一些在公用網絡上構建專用網絡的技術，比如認證、訪問控制、機密性、數據完整性等，使得數據能夠很安全的通過“加密管道”在公用網絡中傳播。VPN技術利用在廣闊的廣域網中拉專線的方法，使得內部信息能夠在公共信息網中進行傳遞。 六、漏洞掃描技術 漏洞掃描可以實現自動檢測遠端或本地主機安全弱點。它在查詢TCPIP端口的同時記錄目標的響應，并收集正在進行的服務、擁有這些服務的用戶是否支持匿名登錄、是否有某些網絡服務需要鑒別等信息。通

10、過安全掃描，便能在很短的時間內收集到安全弱點，并解決這些問題。 七、加密技術 加密是指只有收發雙方才能夠通過對信息的重新組合，從而還原信息的技術。數據加密技術使得網絡上的信息系統及數據的安全性和保密性得到提高，從而有效防止秘密數據被破壞。它是許多安全措施的基本保證。加密后的數據在傳輸、使用和轉換時將不能被第三方知曉內容。基于該特點，使用數據加密技術是確保校園網絡中傳送信息安全的重要保證。 實際建設管理網站經驗表明，只有用以上技術保證了校園網站的安全運行，才能為學校的教學、行政管理、信息交流等提供一個安全的網絡平臺。 參考文獻： 【1】 韓東海，王超，李群入侵檢測系統實例剖析北京清華大學出版社，2002 【2】 李明，王柏盛虛擬專用網J(VPN)技術【J】電腦知