高校网络安全体系的设计与策略分析

邹丽英

（浙江工业大学之江学院，浙江 杭州310024）

高校网络安全体系的设计与策略分析

邹丽英

（浙江工业大学之江学院，浙江 杭州310024）

本文根据对校园网络的安全分析，提出了在校园网络规划时应考虑的技术安全措施，通过对这些技术措施的分析，对如何选用这些技术提出了建议。文章还从技术角度提出了在日常的管理和维护中应采取的网络安全措施。

网络安全；校园网；策略

校园网络作为学校重要的基础设施，在学校教学、科研、管理和对外交流等活动中担当着重要角色。校园网安全状况直接影响着学校的各项活动。随着校园网上各种数据急剧增加，如何保护系统不被非法访问就显得越来越重要，因此校园网应采用先进的安全访问控制技术，构造有效的网络安全体系。由于网络技术的复杂性，要想根本解决网络安全问题几乎是不可能的，我们不仅要在网络的规划中将安全问题列入设计方案，而且要在管理和维护中将网络安全措施落到实处，这样才能够最大限度保障校园网络安全。

一、威胁网络安全的表现

1．不良信息的传播

在校园网接入互联网后，师生都可以通过校园网络进入互联网。目前互联网上各种信息良莠不齐，有关色情、暴力、邪教的内容泛滥。这些有毒的信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大。如果安全措施不到位，不仅会有部分学生进入这些网站，还会把这些信息在校园内传播。

2．病毒的危害

通过网络传播的病毒无论是在传播速度、破坏性还是在传播范围等方面都是单机病毒所不能比拟的。特别是学校接入广域网后，为病毒进入学校大开方便之门，下载的程序和电子邮件都可能带有病毒。

3．非法访问

学校涉及的机密不是很多，来自外部的非法访问要少一些，关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案，使正常的教学练习失去意义。更有甚者，有的学生可能在考前获得考试内容，严重地破坏了学校的管理秩序。

4．恶意破坏

包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等，它们分布在整个校园内，管理起来非常困难，某些人员可能出于各种目的，有意或无意地将它们损坏，这样会造成校园网络全部或部分瘫痪。

网络系统的破坏是指利用黑客技术对校园网络系统进行破坏。表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使整个网络陷于瘫痪；利用学校的邮件服务器转发各种非法的信息等。

5．口令入侵

为管理和计费的方便，一般来说，学校为每个上网的老师和学生分配一个账号和密码，并根据其应用范围，分配相应的权限。然而某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成管理的混乱。

二、网络安全技术

目前，网络安全技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。针对校园网来说，笔者认为主要应该采取以下一些技术措施：

1．内容过滤器和防火墙

过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等内容有强大的堵截功能。

防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换、IP防假冒、预警模块、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。

2．VLAN 技术

采用交换式局域网技术（ATM或以太交换）的校园网络，可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段。根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。

物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段相互之间无法直接通信。逻辑分段则是指将整个系统在网络层上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法。

3．杀毒软件

选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征：第一，能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；第二，要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐；第三，具有较强的防护功能，可以对数据、程序提供有效的保护。

布置安全措施后的校园网络拓扑结婚如图所示：

三、网络安全的管理

以上主要谈了在网络规划时从技术上保证网络安全的主要措施,然而仅仅采取技术措施是不够的，网络管理也非常重要。除了建立起一套严格的安全管理规章制度外，学校还必须培养一支具有安全管理意识的网管队伍。网络管理人员对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式，有效地保证系统的安全。网管人员要定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统等。不仅如此，网络管理人员更应该从技术角度采取相应措施保障网络的安全。

网上大部分的攻击是针对网络上的服务器系统,其中包括电子邮件、匿名 FTP、WWW、DNS、News等服务系统。 这些系统大都是运行在UNIX系统上的，系统之所以易受攻击，有各方面的因素。首先，这些系统知名度高，容易引起注意，其次，系统本身存在漏洞。我们一方面可采用一些防卫性措施；另一方面，网络系统管理员可以应用一些工具，来查找系统安全漏洞，或从网上截获报文进行分析。

1．安装系统补丁程序

任何操作系统都有漏洞，作为网络系统管理员就有责任及时将补丁打上。

2．采用最新版本的服务方软件

和操作系统一样，在服务器上运行的服务方软件也需要不断更新，而且新版本的软件往往提供了更多更好的功能来保证服务器更有效更安全的运行。为了将安全漏洞降低到最小,系统管理员必须及时更新服务方软件。这些版本更新得非常快，大家可以跟踪他们的正式目录来获得最新软件。

3．口令安全

口令可以说是系统的第一道防线，目前网上大部分对系统的攻击都是从截获或猜测口令开始的，一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用。所以对口令进行安全地管理可以说是系统管理员的重要职责。

4．文件目录权限

一旦有黑客进入你的系统，他就可以通过这些程序获得超级用户权限。目前Internet上有不少工具软件可帮助你来检查权限。

5．定期对服务器进行备份

为了防止不能预料的系统故障,或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时应该将修改过的重要的系统文件存放在不同的服务器上,以便在系统万一崩溃（通常是硬盘出错）时，可以及时地将系统恢复到最佳状态。

6．设置系统日志

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间，输入过的每一条命令，磁盘空间和CPU占用情况。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。 比如，如果你发现有某一账号总是在半夜登录，就要警惕了，也许该账号已被盗用；如果某一系统账号，像uucp有人登录或占用大量的CPU或磁盘，也要引起注意。运行系统日志的主要缺点是要占用大量的磁盘空间。

四、用户教育

除了对用户进行有关网络安全的法律法规和规章制度的宣传教育外，还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

综上所述，校园网的安全问题是保证校园网络稳定运行的关键因素，在规划设计阶段就要将安全措施作为一项重要内容进行规划设计，不但从技术措施上想办法，而且要从管理上定制度，只有这样，才能确保校园网的正常运行，享受到校园信息化给我们带来的便利。

[1]谭青,李勇．浅晰防火墙与网络安全技术[J].新疆职业大学学报,2004,12(4)：78-79.

[2]谭跃生，黑建新.利用Web Services技术集成校园网应用[J].电子科技大学学报(社科版),2002,4(1):5-7.

[3]夏龄,周德荣,舒涛．校园网络的安全及对策[J].中国电化教育,2004(10)：85-87.

[4]方东权,杨岿．校园网网络安全与管理[J].网络安全技术与应用.2005(3):51-52.

[5]赵戈,钱德沛,范晖.用分布式防火墙构造网络安全体系[J].计算机应用研究.2004(2):106-107.

（编辑：隗爽）

TP393.08

A

1673-8454（2010）23-0037-03