论校园网的安全问题及防御措施

摘要：计算机网络不断发展和进步，给我们的工作和生活带来了极大的便利，但随之而来的是网络攻击也愈演愈烈、网络病毒层出不穷，在网络应用非常复杂的情况下，我认为要在校园网络安全现状分析和校园网的重要防御措施两方面做好校园网络的安全和防御。

关键词：网络攻击；病毒；流量控制；行为管理；实名认证；云计算

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)20-4825-02

On Campus Network Security and the Defense Measures

JIN Zhen-hai

(Shanghai Traffic School, Shanghai 200431, China)

Abstract: The computer network development and progress, to our work and life to a great convenience, but following is network attack has intensified, network virus emerge in endlessly, in the network application is very complicated situation, and I think to the campus network security situation analysis and campus network important defense measures two aspects of the campus network security and defense well.

Key words: network attack; the virus; the flow control; behavior management; real name the authentication; cloud computing

计算机网络不断发展和进步，给我们的工作和生活带来了极大的便利，校园网是实行开放式教育的基础设施之一，是我们提高教学、科研以及管理水平的有利环境，也是衡量一所学校教学水平、管理水平标志之一。

但是，在网络中有一些不法分子费尽心思、想方设法闯入其它的计算机系统，他们经常利用各种网络和系统方面的漏洞，非法获取未授权的访问权。接入校园网的计算机的数量近千台，交换机有几十余台、另外路由器、无线设备以及安全设备较复杂，如果学校内极个别人通过校园网去攻击外网的行为发生，那后果可想而知，这对学校来讲影响是非常巨大。因此，在网络攻击愈演愈烈、网络病毒层出不穷、网络应用非常复杂的情况下，如何做好校园网络的安全和防御，已经成为了每个学校要解决的问题的当务之急。

1 校园网络安全的现状分析

亲身的经历和广泛的调查证明，校园网中还存在着许多较严重的安全问题。这些问题主要表现在以下几个方面：

1.1 学校师生的网络安全意识与安全观念较淡薄，对防御木马、病毒以及黑客攻击的意识不强

通过网络,或通过带病毒的移动硬盘,经常在不经意间传播病毒, 有些教师机或学生的机器本身感染了病毒，攻击校园网系统,造成网络风暴使校园网速变慢甚至瘫痪，使得校园网的安全运行受到严重干扰，有些教师和学生对网络安全重视程度不够,法律意识淡薄都导致了网络存在着不安全因素。

1.2 防御外来的攻击能力不强

虽然操作系统的功能和安全性逐渐完善，但仍存在着许多的漏洞。甚至有些漏洞允许入侵的黑客远程执行代码和提升用户的权限。不仅操作系统，而且部分应用软件也存在一定的安全隐患。然而，校园网是基于TCP/IP协议的网络，这一协议却存在着两大不安全因素 ：1) TCP/IP协议是明文传输数据的，无法对信息进行完整性和保密性的保证。2) TCP/IP协议的唯一标识是以IP地址的分配作为网络节点的，它不可能对节点上的用户进行行之有效的身份认证，也不能保证信息的真实性。

1.3 个别人员上网进行多线程下载、网络游戏和网络视频等流量巨大的网络应用，从而占据了大量的网络带宽造成其他人员上网速度缓慢

日常工作中，有很大一部分的Internet访问根本与工作无关，实际存在着校园网用户对网络资源的滥用问题。有人在利用校园网资源进行软件资源下载服务、商业的免费的视频服务，有的甚至是在访问色情、暴力、有反动行为的不法站点，以至于有大量非法的内容或垃圾类邮件的出入, 大量占用了网络带宽，Internet的资源严重被浪费了，并造成流量堵塞、上网速度变慢等问题，并且不良的信息内容极大地危害了人们的身心健康。

1.4 校园网内部的攻击

我们身边总有极个别人，他们对网络知识较感兴趣，又具有相当高的专业水平，对内部的网络结构和应用模式相当了解，他们为表现自己的能力，时常攻击校园网，为实践自己所学知识的水平和程度，时常有意无意地攻击通过校园网去攻击外网的系统，干扰了网络的安全运行，严重影响了学校的声誉，在社会上造成了不利的影响，但事发后往往很难确定是谁干的。国家网络安全办、公安部文保局、各地信息系统安全等级保护办等国家信息安全部门对目前的频繁发生的网络攻击事件非常重视，学校作为所有师生进行教与学及科研活动的主要场所，必须加强网络攻击的防御和监察措施，必须有效防止和及时监察到极个别职工或学生通过校园网攻击政府网站或散布反动言论等黑客行为的发生。

1.5 “云计算时代”的到来对校园网络带来了新的安全问题

云计算在校园的数字资源建设中有很多的可取之处，但是作为一种新兴的技术，它也存在着很多问题，例如：在云计算安全风险的评估报告中就指出了云计算当前存在的七种风险，即数据位置、数据恢复、数据隔离、特权用户的接入、调查支持和长期生存性、可审查性这几个风险性的问题。

2 校园网的重要防御措施

2.1 增强网络的安全意识，健全、统一和规范学校管理制度

根据学校的实际情况，对师生实施网络安全防御意识教育，让他们具备较基本的网络安全知识。制定具体的网络安全管理的制度（网络操作的使用规程、人员出入机房的管理制度、工作人员的操作规程和保密制度等）。安排专人负责校园网络的安全保护与管理工作，对学校的专业技术人员定期地进行安全教育和培训，提高工作人员对网络安全的警惕性与自觉性，同时安排专业技术人员要定期进行校园网的维护，把最基本的防御措施放在平时，常抓不懈。

2.2 防治网络病毒

校园网络的安全需要在整个校园网络内形成一种完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，对各工作站定期进行维护，对操作系统与网络系统的软件采取有效的安全保密措施。为实现整个内网不受病毒的感染、传播与发作，学校对在网内可能被感染和传播病毒的地方应用相应的防病毒软件，在服务器及各办公室、工作站中安装网络版的杀毒软件或直接上硬件防毒墙等设备，定时进行病毒的扫描检测及漏洞的修复，定时升级了文件并进行查毒杀毒，让整个校园网络具有防御病毒的能力。

2.3 VLAN(虚拟局域网)技术

在交换局域网的基础上，采用网络管理软件的构建可跨越不同的网段、不同网络的端到端的逻辑网络，即VLAN(虚拟局域网)技术。它根据实际的需要划分出了多个不同安全等级的网络分段。不同类型的用户被学校划分在不同的VLAN中，就把校园网络划分成几个子网。将用户限制在它所属的VLAN里，以防止各用户之间随意地访问资源。各个子网间就会通过路由器、交换机、网关或防火墙等设备进行连接，网管员借助VLAN技术管理着整个网络，再通过设置命令，对每个子网进行单独的管理，根据特定的需要隔离故障，以阻止非法用户进行非法访问，防止网络病毒、木马程序，网络风暴，最后在整个网络环境下，计算机能够安全地运行，并且对校园网内部出现的异常流量的网络端口可进行及时有效的判断和逻辑隔离。

2.4 入侵检测系统（Intrusion Detection System，IDS）

IDS是对防火墙有益的补充，是一种网络安全系统。当有恶意用户或者敌人想通过Internet进入网络中，甚至进入计算机系统时， IDS则能检测和发现入侵行为然后报警，通知到网络采取措施进行响应。即便被入侵攻击了，IDS收集了入侵攻击的有关信息、记录的事件就自动阻断了通信连接，它会重置路由器和防火墙，并及时发现并提出解决的方案，列出易被黑客利用的薄弱环节供网络和系统中的用户参考，增强系统的防御能力，避免系统有可能再次受到入侵。入侵检测系统提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，大大提高了网络的安全性，是一种积极主动的安全防护技术。

2.5 流量控制和信息过滤系统

防火墙虽然能进行基于IP地址的流量分配，但不能更细致地划分下载和正常网页浏览等的流量，对网络连接数也没有提供有效的上限控制，因此必须对网络的带宽进行更全面地划分与分配，使下载等流量较大的网络传输不至于影响正常的网页浏览等需求，所以要在校园网出口添加专业的流量控制系统。除此之外还可以采用相对完整的信息过滤系统，以实现对校园网内电脑访问的互联网进行有害信息的过滤与处理，这样既控制了信息的流量，又使得一部分有害信息被过滤在校园网之外。

2.6 实名认证上网和上网行为管理系统

为加强对来自校内的网络攻击的防御和监察，必须对校内上网计算机进行监控和管理，但传统的用绑定MAC或 IP地址的方法来实行监控，不但管理工作量大而且容易出错，如：电脑重装系统后，用户自己不会设置；更换电脑后MAC地址发生了变动；盗用他人IP地址造成IP地址冲突；以及有VLAN的网络中一个MAC地址绑定多个IP带来的管理上的麻烦等等，因此可在校园网内部署实名认证上网和行为管理相结合的系统。实名认证就是即身份认证，即对通信方式进行身份确认来阻止非授权用户的使用。常用到的身份认证方法主要是口令认证法，可采用微软的域系统来管理帐号，并且安装支持Web界面来进行实名认证的上网行为管理系统，在使用者有上网需求时，上网行为管理系统会先强制使用者只有在Web界面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应权限，否则网关将拒绝用户的所有Internet连接请求，帐号信息可考虑与职工工号或学生学籍号对应生成，避免重复。而上网行为管理系统本身主要是对被管理的用户的网络访问行为进行日志审计和控制。根据公安部82号令的相关条款，要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络访问行为日志，且行为日志至少保留六十天以上。如此，一旦学校内有网络攻击的行为发生，就可以结合实名认证系统快速找出到底是哪个用户在什么时候发生的攻击行为，这种监察和捕捉方式在实际使用时是十分有效的。

2.7 “云计算时代”存在的网络安全问题。

在云计算的内部，网络与我们原来传统意义上的网络没有不同的地方，它要实行的安全防御措施也是传统的安全措施。它包括访问控制、反病毒部署、入侵防御、防止内部数据泄密及网络内容和行为监控审计等。虽然云计算改变了服务的方式，但它却没有改变传统的安全模式。有所不同的是，在云计算的时代，安全措施和安全设备的部署位置有些不同;安全责任的主体改变了。原来是用户自己必须保证服务的安全性，现在提供安全保证的是云计算服务提供者，和云计算安全问题同样重要同样值得关注的是云计算的可靠性和可用性。云计算提供给了极大的优势来提高服务质量和水平，但解决云计算安全问题的办法与传统的解决安全问题的办法是一样的，即策略、技术和人的三个要素的组合。

总而言之，校园网的安全问题是一个极为复杂的系统工程，从某种意义上来讲，没有绝对安全的网络系统。在网络安全逐渐影响到校园网运行的情况下，我们却不足以去保障校园网绝对的安全，就只能说我们要遏尽全力去制止、尽可能减小一切非法的访问和操作，把所有不安全的因素降到最低，我们要完善校园网的管理制度，对某些校园网的管理人员进行培训，并且，对学生进行网络道德方面的教育，培养公德意识，安装最新版的病毒防火墙和防病毒软件，经常安装软件补丁，以更新系统的漏洞，对重要的备份要进行文件，在多个方面进行防御，把校园网的不安全因素降到最小。

参考文献：

[1] 李卫.计算机网络安全与管理[M].清华大学出版社,2004.

[2] 孟晓明.网络信息的安全问题与安全防护策略研究[J].情报杂志,2004(3).

[3] 刘钦创.高校校园网的安全现状与对策[J].现代计算机,2005(231).

[4] 杨波.从信息安全角度看校园网发展现状[J].甘肃科技,2007(3).