浅析高校校园网络系统安全防范策略研究及实现

1.5P

摘要：校园网的网络安全是一个系统性工程，不能仅仅依靠防火墙和其它网络安全技术，更需要仔细考虑系统的安全需求，建立相应的管理制度，并将各种安全技术与管理手段结合在一起，才能生成一个高效、通用、安全的校园网络系统，确保校园网正常安全运行和朝着健康有序方向发展。

关键词：校园网；网络安全；病毒

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9599 （2013） 02-0000-02

高校不能单单依靠将一定的安全技术和防火墙进行结合来保护校园网络的安全运行，而应根据系统安全的需要来细细思考，制定相关的管理机制，并有效地将各类安全与管理措施进行结合，如此，才能在校园中构建起一个安全而高效的网络系统，为师生带去更多的便利。随着当前计算机技术的不断发展与更新，网络安全上也随之出现了不少问题，因而需要加强改进网络安全的预防措施，真正实现对网络的安全做到有效的保障，最终使网络能在高校快速而安全的发展。

1 校园网网络安全的概念

逻辑安全和物理安全是网络安全的全部内容；逻辑安全中包含了信息的私密性、整体性和实用性。私密性是指不可将信息透入给未经允许的人，整体性是指系统能预防程序和数据信息被非法修改或删减。实用性是指系统能避免计算机信息和数据被非法霸占，是服务器能及时而准确的接收或回复客户的合理服务请求。而能够对计算机网络产生危害的主要行为有：虚假身份、篡改数据信息、恶意访问、盗用信息等。

2 高校校园网络安全的现状

首先，操作系统的安全问题。操作系统几乎是计算机中一切与其有关程序的综合体，另外，它也是计算机系统得以运行的必备条件。它不光负责对计算机程序的运行过程进行监察和调控，还负责给使用计算机的人供应一些实用而简便的软件。因此，对于计算机来说，操作系统好比就是计算机的心脏，缺失了操作系统，计算机也就无法再有效运行。而在操作系统开发时，由于疏忽了一些安全患和差异性而使得当代计算机网络运行中出现了许多问题。然而，在现代计算机网络领域，就算是小小的一个问题也会使得计算机网络面临极大的威胁，而严重时，就会使其彻底瘫痪。

其次，计算机病毒的侵害。计算机病毒是一些具有不良企图的恶性程序，而该类程序会致使计算机屏幕出现蓝屏、系统瘫痪或被别人所掌控，进而给运用计算机的人带来极大的威胁，并且病毒也会将计算机作为载体来利用其操作系统中存在的隐患性漏洞进行一些不必要的攻击，最终给使用者造成重大损失。驻守在计算机中的病毒很难作人员发现，并且很有可能会产生一些变异性的病毒，让它的攻击性与破坏性变得更大，生存能力更加强大。

第三，计算机的黑客出现。我们都知道，主要对计算机网络安全造成威胁的另一个主要因素是黑客，因为他们是人为因素，会利用计算机网络所存在的漏洞，或者会潜入到计算机室内，来盗用计算机内部系统资源，从而非法地盗取了用户的相关信息数据，并篡改一些数据，破坏了硬件设备。我们可以将计算机黑客称作为计算机网络安全环境中的外部进攻者，而这些外部进攻者经常会采取修改计算机用户的网页界面，能够非法潜入到主机内部，也就是所说的“肉鸡”，进而破坏了他们的应用程序与系统。

3 校园网安全运行的主要策略

3.1 采用入侵检测系统。入侵检测系统用于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略（入侵模式），识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。

3.2 网络防火墙。防火墙是用来控制信息流的设施，主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在防火墙上配置的安全策略（过滤规则）来控制（允许、拒绝、监测）出入网络的信息流，同时实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙的包过滤，可实现基于地址的粗粒度访问控制（入网访问控制）。通常情况下，防火墙都被部署在网络基础设施的关键入口或出口。

防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时，防火墙的3个接口构成一个以太网交换器，本身没有IP地址，在IP层透明。将内网、 DMZ区（非军事区）和路由器的内部端口连接起来，构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓朴结构和各主机、设备的网络位置。当防火墙工作在路由模式时，可以作为内网、DMZ区和外网三个区之间的路由器，提供内网到外网，DMZ区到外网的网络地址转换。内部网的用户通过地址转换可访问INTERNET，内部网、DMZ区通过反向地址转换可向INTERNET提供服务。

3.3 防止ARP的攻击。随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已，也对网络的接入安全提出了新的挑战。在DHCP的网络环境中，使能DHCP Snooping功能，E126A交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。E126A交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中，则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。

3.4 计算机病毒的防范。计算病毒可以说无孔不入，首先应采用预防计算机病毒为主，需要在计算机上安装配置全方位、多层次的防病毒软件，通过定期或不定期的自动升级，使计算机网络免受病毒的侵袭。常见的杀毒软件有：360安全卫士，卡巴斯基，瑞星杀毒、KV3000，NOD32，金山毒霸等。当确定计算机系统感染病毒时，选用杀毒软件迅速清除计算机病毒，清除不了的新型病毒，可将新型病毒代码加入杀毒软件病毒库中后再次查杀病毒，或上传到杀毒网站，寻求专家建议和处理办法。另外尽可能切断病毒来源，健康上网也是预防计算机病毒的手段，不访问黄色网站，下载软件时找正规网站下载正版软件，特别对外来文件需要先进行病毒扫描，确保无病毒后再使用，从源头上杜绝计算机病毒的入侵和破坏。

4 结束语

伴随网络技术的迅猛发展，校园数字化也随之迅速崛起。校园网络是高校数字化的重要基础。另外，它也是学校管理、科研、学术交流等重要教学工作能顺利进行的必要条件，它为师生提供了一个方便而快捷的学习环境。然而，在享受这些的同时，校园网络的安全方面依然存在不少问题。因此，应加强提高校园网络的安全性，从而避免信息被窃取、程序被攻击、系统被植入病毒等风险的发生。

参考文献：

[1]张伟锋，王绍让，顾方磊.校园网络安全策略研究[J].现代物业（中旬刊）.2010（03）

[2]李娜.校园网安全防护系统的设计与实现[J].魅力中国.2010（07）

[3]赵越.高校网站建设及管理存在的问题与对策[J].产业与科技论坛.2011（02）

[4]张小莉.校园网组建方案探讨[J].山西财政税务专科学校学报.2011（01）

[5]薛毅飞.探讨计算机网络安全与防火墙技术[J].信息系统工程.2011（04）

[6]刘智强.探析计算机网络安全[J].黑龙江科技信息.2011（31）

作者简介：王雨桥（1973- ），男，陕西省兴平市人，工程师，研究方向：计算机网络。