校园网络安全技术研究

　　摘要：随着信息技术在现代教育中的作用越来越大，全国各地院校也越来越热衷于校园网的建设，但是由于资金以及管理方面存在的原因，导致国内校园网络的安全很容易受到安全威胁，为此，该文将就校园网构建的安全问题进行研究，并针对目前校园网存在的问题给出可行的安全方案。
　　关键词：校园网；网络安全；安全威胁；认证策略；访问策略
　　中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)12-2816-02
　　随着信息技术的发展，基于网络的现代教育手段也越来越广泛，各地对于校园网建设的热情高涨。校园网的普及对于实现资源共享、提高工作效率、优化教育资源有着非常重大的意义。但是同时校园网络也与其他网络一样，受到线路窃听、病毒攻击等安全威胁。
　　目前，各地校园网络的安全度都较低。一个原因是因为，学校对于校园网建设的安全意识比较单薄，校园网在建设时就存在着安全漏洞；另外校园网管理员技术不够也是校园网安全问题的一个重要的原因。本文将就校园网构建的安全问题进行研究，并针对目前校园网存在的问题给出可行的安全方案。
　　1 校园网络所面临的安全威胁
　　校园网络所面临的安全威胁从来源来看可以分成来自校园网外部的安全威胁和来自校园网内部的安全威胁。
　　1.1 来自校园网外部的安全威胁
　　为了满足校园远程办公的需求，校园网应该与Internet相连，从而实现校园内部端点与校园外部网络中站点的消息通信。每天都会有很多入侵者试图从外部Internet网络非法侵入到校园网络中。在校园网络内，特别是在学校办公系统中，存放着学校财务情况、学生试卷等机密文件，一旦被入侵者窃取或者破坏，后果不堪设想。
　　来自外部互联网的入侵一般通过校园网中的主机来对整个网络进行攻击。入侵者利用管理员对主机管理的松懈来达到攻击的目的。而国内校园网一般都偏好技术而运营的意识不够，同时由于资金方面的愿意，普遍都存在着“重技术，而轻管理、轻安全”的弊端。由于对校园网管理的轻视，导致管理者不注重网络安全的管理，通常只是在校园网与外部互联网中放置一个防火墙就算完成了校园网的安全管理。甚至国内一些校园网连防火墙都没有。对于入侵者来说，简直就是毫不设防。
　　1.2 来自校园网内部的安全威胁
　　相比于校园网外部的安全威胁，内部的安全威胁有可能影响更大。根据统计，美国企业界和教育界有超过八成的数据破坏起因是防火墙内部网络中的认为所造成的。对于校园网外部的安全威胁，防火墙和入侵检测系统就显得无能为力。目前，随着信息技术的发展，学生的计算机水平已经达到了一个非常高的程度，他们往往通过内部网络来窃取信息或者威胁网络安全。校园内部网络带来的安全威胁可以分成有心和无心两种：
　　1）给校园内部网络带来的无心的安全威胁。例如，在用户注册、用户改动以及对校园网进行日常维护时，管理员由于操作失误，可能会给用户授予过高的权限。而这些获取高权限的学生可能会在无意之间对系统和数据爱来破坏，产生严重的后果。
　　2）蓄意破坏，在校园内部网络的老师和学生在他们离开学校之前，通过在校园网络内部设置后门，可以让他们在离开学校之后利用这个后门来获取对系统访问的权限。而由于管理员的及时管理，很容易导致他们在校外仍然能够获取校园网内的重要资源。
　　2 校园网安全解决方案研究
　　2.1 身份识别和认证策略
　　在校园网中身份识别和认证策略定义了网络中身份识别以及授权的程序性方法和技术。校园网可以根据自己的需要建立基于PKI的身份认证系统，从而实现更加严格的身份认证机制，并且可以实现对传输数据内容的完整性，以及用户对其操作的不可抵赖性提供支持。
　　校园网络中的口令选择和使用的指导原则如下：
　　1）口令的选择应该尽可能的使用小写字母、大些字母以及数字混合；在长度上不应该小于八个字符；并且尽可能不使用具有明确意义的单词作为用户口令。例如：s0edk3k1jsi、9kem2la4等；
　　2）尽可能更频繁的更改口令，例如每个季度更换自己的口令；
　　3）用户所创建的口令不应该与其他系统中的口令一致，及使用户的所有口令都不相同；
　　4）用户的口令不应该一书面的形式记录；
　　5）不像任何人透露口令信息。
　　2.2 防火墙策略
　　防火墙技术能够实现身份认证、代理以及访问控制等服务，可以将校园网与外部互联网完全隔离起来，从而保证校园网内的网络组建和关键信息不回受到来自外部网络的攻击，并且对校园网内部的数据传输没有任何影响。可以通过对防火墙中的服务器建立、特定网段访问的设置，建立严格的网络访问控制体制，可以将绝大多数来自互联网的攻击组织在校园网络以外。
　　首先，保证校园网尽可能少的设置与互联网进行数据交互的接口（最好校园网只能够通过一个接口与外部互联网进行数据传输），并且在这些接口上设置防火墙。作为校园网与外部互联网之间的唯一通信接口，各高校可以根据自身的实际情况对防火墙进行设置，尽量使用性能较高的硬件防火墙设备，并且在校园网的内部节点灵活的设置多个防火墙，并且防火墙的设置尽可能的严格，在不妨碍正常使用的前提下，将危险或不危险的访问都阻挡在外。并且在防火墙内部使用包过滤的规则来检测校园网与外部互联网之间的数据传输，并将违反了规则的数据包交互时间都记录到日志服务器上，供管理员进行分析。
　　2.3 远程访问策略
　　系统管理员必须让校园内通过互联网办公的人员清楚、理解、接收由于远程访问所伴随的安全责任。远程访问是直接的、系统允许的通过互联网来访问系统中重要资料的途径。因此，对远程访问进行严格控制具有非常重大的意义。首先，系统必须保证只有授权的在校人员才能够通过互联网访问校园网络中的资料，并且对校园网络中的任何访问都需要口令；其次，拥有远程访问权限的用户必须对他们所拥有的口令进行严格保护，以防止由于口令被人窃取而导致的校园网络安全威胁；最后，校园网内内部系统的安全机制不能够被轻易绕过（例如，由于故障导致机器重启，而使得安全机制失效）。
　　2.4 建立集中式网络病毒防杀系统
　　病毒防杀软件是为了防止由于木马病毒导致校园网络安全机制被轻易绕过。为了防止病毒在网络中进行传播，必须要使用集中式的、基于网络的病毒防杀措施，就是通过在校园网内部建立集中式的病毒防杀体系，不急可以对校园网内部更多的计算机及进行病毒防杀，而且可以避免由于逐个防杀时，所导致的交叉感染的现象发生。校园网络应该对病毒防杀系统中的病毒库及时更新；建立科学、有效的病毒预警机制；为所有联网的计算机提供在线杀毒功能；联合电子邮件系统，过滤电子邮件。而对于规模较大的校园网络，可以采用集中式病毒防杀系统与分布式入侵监测技术相结合。通过分布式入侵检测技术检测网路中的数据异常 ，并及时使用集中式病毒防杀系统清理网络中的木马病毒。在每个网段上都设置一台对于网络数据传输异常进行检测的入侵检测以及病毒防杀系统，对每个网段上的数据安全进行检测，并在发现异常情况是，及时向控制台发送反馈，这样可以使得当网络中的任何一台主机受到攻击时，系统都可以及时发现，并且进行处理。
　　2.5 加强上网行为管理
　　校内办公人员出于工作的需要，经常需要与Internet连接进行资料查询以及外消息交互，为了防止Internet中的恶意脚本以及危险插件通过校内办公人员的上网行为威胁校内网的安全，需要对校内办公人员的上网行为进行监管，通过过滤技术从源头上杜绝木马、病毒的威胁，并且结合ARP欺骗防护、DOS防御以及网路准入等安全技术，实现上网行为的立体式防护，从而保证上网安全。
　　除此之外，上网行为管理还必须要考虑到校内办公人员的被动、主动泄密行为，建立起事前防范、事中警报以及事后追踪的立体式安全机制，另外还必须对用户的上网行为进行记录，使得用户不能抵赖其泄密行为。
　　3 结束语
　　目前，随着信息技术的发展以及校园网络技术的逐步完善，校园网络的安全问题也越来越受到人们的关注，本文在对目前校园网络所收的威胁进行分析之后，提出几点加强校园网络安全机制的建议。但是同时我们也应该看到校园网络安全问题是一个复杂庞大的体系，本文只是对校园网络安全其中几点进行研究，以期为校园网络安全体系的构建起到抛砖引玉的作用。
　　参考文献：
　　[1]