校园网安全运行及实现策略

【摘要】校园网的网络安全是一个系统性工程，不能仅仅依靠防火墙和其它网络安全技术，更需要仔细考虑系统的安全需求，建立相应的管理制度，并将各种安全技术与管理手段结合在一起，才能生成一个高效、通用、安全的校园网络系统，确保校园网正常安全运行和朝着健康有序方向发展。

【关键词】校园网；网络安全；病毒

【中图分类号】TP393.1

【文献标识码】A

【文章编号】1672-5158（2012）12-0027-01

高校校园网络安全是一个动态发展过程，是检测、监视、安全响应的循环过程，内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全，因此，校园网络安全及技术防范任重而道远，网络安全防范体系的建立不可能一劳永逸。随着计算机技术的发展，新技术的不断涌现和使用，新的安全问题也不断涌现，对网络安全的防范策略也要不断改进，保证网络安全防范体系的艮性发展，确保校园网络朝着健康、安全、高速的方向发展。

一、校园网网络安全的概念

网络安全包括物理安全和逻辑安全；物理安全指网络系统中各通信计算机设备以及相关设备的物理保护，免予破坏、丢失等；逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指系统能够防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。网络计算机中安全威胁主要有：身份窃取，身份假冒、数据窃取、数据篡改，操作否认、非授权访问、病毒等。

二、高校校园网络安全的现状

（一）计算机操作系统的安全问题

Windows操作系统由于本身所存在的问题或技术缺陷，隐藏着许多的系统漏洞，微软公司几乎每个月都会有系统更新补丁。学院现有的网络用户使用的都是Windows操作系统，如果不及时安装系统更新补丁，许多新型的病毒就会通过操作系统漏洞肆意传播，导致系统崩溃甚至影响整个网络运行。

（二）网络病毒的破坏

通过可移动介质传播病毒是目前计算机病毒传播的主要途径。由于学院师生之间U盘，MP3、移动硬盘等可移动存储的频繁使用，导致病毒相互感染，这些病毒中的木马程序会导致信息泄漏，蠕虫类病毒则会导致网络运行效率下降甚至瘫痪。由于病毒变种的不断产生，防范起来非常困难。

（三）恶意的网络攻击

恶意的网络攻击指的是利用黑客技术对校园网络系统或应用服务器进行破坏。主要体现在两个方面：—是恶意的攻击行为，如拒绝眼务攻击，网络病毒等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至导致服务器所在网络的瘫痪；另外一个就是恶意的入侵行为，如对学校网站的主页面进行修改，破坏学校的形象。利用学院的邮件服务器转发各种非法的信息等，这种行为导致服务器敏感信息泄露，或者服务器的重要信息被恶意破坏。

三、校园网安全运行的主要策略

（一）采用人侵检测系统

入侵检测系统用于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略（入侵模式），识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。

（二）网络防火墙

防火墙是用来控制信息流的设施，主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在防火墙上配置的安全策略（过滤规则）来控制（允许、拒绝、监测）出入网络的信息流，同时实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙的包过滤，可实现基于地址的粗粒度访问控制（入网访问控制）。通常晴况下，防火墙都被部署在网络基础设施的关键入口或出口。

防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时，防火墙的3个接口构成一个以太网交换器，本身没有IP地址，在IP层透明。将内网、DMZ区（非军事区）和路由器的内部端口连接起来，构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓朴结构和各主机、设备的网络位置。当防火墙工作在路由模式时，可以作为内网、DMZ区和外网三个区之间的路由器，提供内网到外网，DMZ区到外网的网络地址转换。内部网的用户通过地址转换可访问INTERNET，内部网、DMZ区通过反向地址转换可向INTERNET提供服务。

（三）防止ARP的攻击

随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击，DHCP攻击等问题不仅令网络中心的老师头痛不已，也对网络的接人安全提出了新的挑战。在DHCP的网络环境中，使能DHCP Snooping功能，E126A交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录oEl26A交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中，则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。

（四）核心层网络安全规划设计

考虑到数据中心服务器群的数据安全和网络服务的重要性，利用在主节点核心交换机配置的相关安全插卡可以实现有效的网络隔离。如通过以下案例进行分析：

防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping 0f death，land，syn flooding，ping flooding，tear drop，…）、端口扫描（port scanning）、IP欺骗（ip spoofing）、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

数据中心需要通过防火墙进行有效的隔离，网络安全隔离一直是Internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合，提供给某大学用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求，并提供一体化的解决思路，可以根据用户对于安全防护的考虑，将Secure VLAN技术融入到VLA技术中，可以实现对内网，DMZ多个区域的保护，可以用于内网的VLAN跨区域保护。

结束语

随着Intemet技术的迅速发展，数字化校园得到了蓬勃的发展。高校校园网作为数字化校园的重要基础，担当着学校教学、科研、管理和对外交流等重要任务，为学校的教育、教学、生活提供了极大的方便，然而在享受校园网方便快捷的同时，校园网的安全问题也随之摆在我们面前，如何保证校园网不被攻击和破坏，如何使校园网免受黑客的入侵、病毒的侵袭和其他不良意图的攻击等风险，已经成为高校需要解决的重大问题，也是校园网络管理的重要任务。