校园网络安全防范体系的建立分析

天津工业大学计算机科学与软件学院 王显德

随着信息技术的快速发展和高校网络基础设施的不断完善，资源整合、应用系统和校园信息化平台建设已经成为校园信息化的主要任务。高校用户在享受信息化成果所带来的工作高效和便利的同时，也面临着来自校园网内部和外部带来的各种安全威胁和挑战。因此，有必要建立一套高效、安全、动态网络安全防范体系，来加强校园网络安全防护和监控，为校园信息化建设奠定更加良好的网络基础。

1.校园网络安全组成

校园网络的安全由以下几个方面组成：物理安全、网络安全、信息安全。

1.1 物理安全

物理安全策略主要指网络基础设施、网络设备的安全以及不同网络之间的隔离进行控制的策略。物理安全直接关系到网络的安全，如果非法用户有接触网络设备的可能，那么他直接对设备进行破坏要比通过网络远程进行破坏容易得多。

1.2 网络安全

网络安全是指系统（主机、服务器）安全、反病毒、系统安全检测、审计分析网络运行安全、备份与恢复、局域网与子网安全、访问控制（防火墙）、网络安全检测、入侵检测。

1.3 信息安全

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，具体包括数据加密、数据完整性鉴别、防抵赖、信息存储安全、数据库安全、终端安全、信息的防泄密、信息内容审计、用户授权。

2.校园网安全防护的解决方案计算机网络系统是一个分层次

的拓扑结构，因此网络的安全防护也需要采用分层次的拓扑防护措施，即一个完整的网络安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

2.1 物理层安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全、媒体安全。

2.2 网络层安全

网络层安全主要包括：限制非法用户通过网络远程访问和破坏系统数据，窃取传输线路中的数据；确保对网络设备的安全配置。对网络来说，首先要确保网络设备的安全配置，保证非授权用户不能访问任意一台计算机、路由器和防火墙。

2.2.1 合理划分VLAN

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需要的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，一个VLAN内部的广播和单薄流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN在交换机上的实现方法，可以大致划分为4类：第一是基于端口划分的VLAN；第二是基于MAC地址划分VLAN；第三是基于网络层划分VLAN；第四是基于IP组播划分VLAN。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，以上运行机制带来的网络安全是好处是显而易见的：第一，信息只有到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。第二，通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

2.2.2 防火墙与IDS

安装防火墙进行安全保护，它是一种在校园内部网和Internet之间实施的信息安全防范系统技术，通过检测、限制、更改跨越防火墙的数据流，可以有效地对外屏蔽校园内部网络的信息，从而对系统结构及其良性运行等实现安全防护。IDS所采用的不是被动防御的策略，而是主动监视、检测和识别在进行的或已经成功的入侵行为，并及时报告给网络管理者。由于IDS系统除了报告外，本身不能对入侵采取任何的防御措施。

2.2.3 路由器访问控制列表

路由器是内部网和Internet的连接，是信息出入的必经之路，对网络的安全具有举足轻重的作用，路由器本身就可以对数据包进行过滤和有效地防止外部用户对校园网的安全访问，可以限制网络流量，也可以限制校园网内的某些用户或设备使用网络资源。不同VLAN之间的访问只能通过路由器或路由模块来完成，因此路由设备可以作为控制VLAN之间访问的初级屏障，因此，我们可以利用路由器来提高网络的安全性。

2.3 系统层安全

操作系统是计算机系统的核心和基础工具，因此操作系统的漏洞往往成为危害计算机和网络安全的手段和环节。保护计算机操作系统的安全，对于网络的安全尤为重要。

2.4 应用层安全

2.4.1 网络防病毒技术

网络病毒成为威胁网络安全的重要因素，如何防护网络病毒也就成为校园网安全必须考虑的重要问题。为保护服务器和网络中的工作站免受计算机病毒的侵害，同时也是为了建立一个集中有效的防病毒控制机制，需要应用于网络的防病毒技术。基于网络防病毒技术可以在网络的各个环节上实现对计算机病毒的防范，其中包括基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。安装了基于网络的防病毒软件后，不但可以做到主机可以防范病毒的感染，同时通过这些主机传递的文件也可以避免被病毒侵害，并且可以建立一个集中有效的防病毒控制机制，从而保护计算机信息网络的安全。

2.4.2 应用系统防护策略

对于应用系统，由于其数据包含用户信息、各种应用数据，是非常关键和重要的，因此要应用系统具有很强大的安全防护能力就必须做到以下三点：一是建立统一的用户和目录管理机制；二是建立认证授权机制；三是建立备份和恢复机制。

2.5 注重安全管理，完善规章制度

实践经验告诉我们仅有安全技术和安全设备防范，而无良好安全管理体系相配套，是很难保障网络信息安全的。构建网络安全防范体系，必须制订一系列安全管理制度和安全管理规范，对安全技术和安全设施进行规范管理，建立行之有效的信息安全管理制度和流程，实现严密、多层次的安全控制，保证各级系统的安全稳定运行，保证数据安全可靠，实现数字校园网络环境的可控、可信、可查。

3.结束语

随着校园网络用户和网络资源的大量增加，以及各种系统漏洞的大量存在和不断发现，使得校园网络安全问题变得更加错综复杂。加之网络攻击行为日趋复杂，各种方法相互融合，使得网络安全防御更加困难。因此，只有从校园网的物理级、网络级、系统级、应用级和管理级等五个层面逐步完善和健全防范体系，才能有效地应对各种网络安全事件。

[1]黄开枝,孙岩.网络防御与安全对策[M].北京:清华大学出版社,2004.

[2]胡道元.网络安全[M].北京:清华大学出版社,2004.

[3]朱晓曦.局域网安全问题浅析[J].科协论坛(下半月),2010(08).

[4]尚建楠.计算机网络的安全问题初探[J].黑龙江科技信息,2010(16).