校园网安全防护体系的构建

摘要：本文通过对校园网络安全进行深入的调查研究，列举了在学校校园网络中存在的一些比较普遍的网络安全问题。结合最先进的网络安全技术，针对这些网络安全隐患，提出了包括病毒防御体系、网络信息入侵体系、内网安全管理体系、虚拟专用网在内的一套多层次的安全管理实施方案，建立起全面的安全防护体系。

Abstract: More general network security problems were listed in this article through deeply investigating and studying campus network security. Combined with the most advanced network security technology, a multi-level security management solution which includes virus defense system, network information system of invasion, intranet security management system and Virtual private network was put forward to establish comprehensive security system, aiming at these network security risks.

关键词：校园网；网络安全；病毒；防护系统

Key words: campus network；network security；virus；protection system

中图分类号：TP393文献标识码：A 文章编号：1006-4311（2011）24-0155-01

0引言

随着互联网技术的发展，校园网作为学校信息化建设的基础设施，在学校中运用计算机网络进行教学科研等各项工作更加普及和深入。但随着其应用的深入，校园网络的安全问题也逐渐突出，我们对学院各部门网络安全的情况进行了一次调查。调查发现，有72%左右的部门已受到过病毒或黑客的攻击，这直接影响着学校的教学、管理、科研活动。所以，为了增强校园网的监控能力和防护能力，我们需要构建完整的校园网安全防护体系。

1校园网的安全现状

通过对学校的校园网进行深入的调查研究，发现存在很多安全隐患。校园网的安全隐患主要体现在以下四个方面：

1.1 病毒、木马和恶意软件的入侵病毒、木马和恶意软件通过Internet进行的传播给教师和学生带来极大的危害，使用户的系统被破坏，敏感数据被篡改或丢失，用户帐号和口令被泄露，已经成为危及校园所有用户的一大公害。这些因素都会造成校园网不能正常运行。

1.2 黑客的攻击Internet是一个开放的网络，黑客会利用校园网自身存在的安全漏洞，通过使用网络命令和专用软件进入网络中的计算机系统，窃取或破坏机密数据，使系统功能受损或瘫痪。

1.3 网上传输数据的不安全性Internet的数据传输基于TCP/IP通信协议，该协议缺乏使传输过程中的信息不被窃取的安全措施；另外，通信业务多数使用UNIX操作系统来支持，UNIX操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

1.4 非授权的访问随着校园网络规模的不断扩大，校园存储系统上的敏感数据越来越多，非授权的访问往往会给学校造成难以弥补和无法估量的损失。

2校园网安全防护体系结构

2.1 校园网网络安全管理工作流程[1]进行校园网安全管理的第一步，是根据业务需求明确网络安全目标，制定网络安全策略；然后根据网络安全策略，对网络进行安全配置；在实施了必要的安全防护措施后，应使用网络安全审查工具定期对网络安全性进行检查和测试；如果发现网络存在安全漏洞，则需要修改、完善网络安全配置；另外，除主动进行的安全审查外，当发生的网络安全事件证明网络还存在安全漏洞时，则也要对网络安全配置进行修改、完善。

2.2 建立24小时监控的校园网信息入侵检测系统我们可以在校园网的重要部位安装信息入侵检测系统，实施对信息和网络系统访问的不正常行为进行检查和警告。目前常用的校园网络管理技术有八种，分别是加密技术、认证技术、防火墙访问过滤技术、VPN技术，入侵检测与防御技术、防病毒技术、备份与恢复技术及安全风险扫描技术。

入侵检测系统[2]是一种用于发现网络入侵行为的技术，提供入侵检测功能的系统称为入侵检测系统（IDS）。入侵检测系统通过检查所收集网络数据报文是否具有入侵特性，或网络是否出现异常，来判断是否网络遭到入侵。入侵检测系统一般以旁路方式接入在高安全等级入口处。入侵防御技术是能够发现网络入侵行为，并进行自防御的技术。相对入侵检测系统，入侵防御在发现入侵后，会发出警报、丢弃数据包和重置连接。在防火墙上配置入侵检测/防御的步骤如下：首先创建审计策略，再定义入侵检测行为，然后在接口上应用审计策略，并检查入侵检测统计信息，最后动态阻挡网络连接。入侵检测系统是对防火墙的必要补充，可对网络资源进行实时检测，及时发现入侵者，预防合法用户对资源的误操作，与其它安全产品一起构筑立体的安全防御体系。

2.3 构建可靠高效的内网安全管理体系[3]为了使外部网络不会干扰到校园网，我们需要利用入侵检测技术和防火墙技术对网络进行隔离和实时监测。首先利用防火墙技术将全部的外部网络接口和校园网进行有效的隔离，并过滤相应的数据包，这样做可以防止来自黑客的攻击和外网的病毒。然后将防火墙和IDS相结合，这样做可以更好的阻止攻击事件，把校园网的隐患降到最低程度。

根据学校各个部门的职能划分以及各办公室、实验室的不同，我们可以把校园网划分为不同的虚拟局域网，这样可以有效地将各部门或实验室进行充分的隔离，可有效的控制住网络流量，从而更好的提高校园网的安全。

我们还可以利用身份验证技术和访问控制技术来设置对系统进行访问的权限。身份验证包括用户名及密码的验证，它是用户向系统证明自己的身份的过程。访问控制是规定上网用户对计算机具有哪些操作权限。一般情况下，访问控制技术和身份验证技术是同时使用的。

为保证数据传输的安全性，也就是为了保护重要信息在网络上传输时，不被窃听或截获，我们采取对网络中传输的重要数据进行加密的方法。这种方法为校园网提供了安全保障。

3结语

通过对校园网安全现状的分析，我们制定了校园网安全防护体系，这种体系的建立，可以使校园网具备了自我保护、自我监测及自我恢复的功能，这样可在很大程度上比避免来自外部网络的攻击。需要指出的是，校园网安全体系结构是一个综合运行体制，它是在不断的发展变化的。所以，校园网安全体系结构要不断的进行更新升级。只有这样，校园网才可以在校园里安全、稳定的运行。

参考文献：

[1]（美）William Stallings著.网络安全要素应用与标准.北京:人民邮电出版社，2008.

[2]（美）Merike Kaeo著.计算机网络安全导论.北京:人民邮电出版社，2007.

[3]（美）John Vacca（著）.Intranet的安全性.北京:电子工业出版社，2008.