校園網安全問題分析與對策

摘 要：隨著學校信息化建設進一步加強，校園網日益普及。在網絡運行過程中，校園網的安全問題也變得越來越突出。本文通過對校園網安全問題的分析，提出了網絡安全防范對策。

關鍵詞：校園網 網絡安全 防范對策

一、引言

校園網作為學校信息化建設的基礎設施，不僅能促進各院校的現代化教學改革、提高教學質量、改善教學環境。而且會加強各院校之間的互聯互通，極大地提高教育行業整體的工作效率和教育質量。然而不幸的是。近年來大規模的網絡安全事件接連發生，互聯網上蠕蟲、拒絕服務攻擊、網絡欺詐等新的攻擊手段層出不窮。導致網絡業務無法正常進行。針對校園網的安全問題，提出相應的防范對策是十分必要的。

二、校園網中主要的安全問題及分析

1.物理安全。是指針對物理設備的存放環境不當、人為操作失誤或錯誤、計算機犯罪行為的發生等，使網絡資源使用發生異常，造成校園網不能正常運行。可以說，物璩安全是保障整個網絡系統安全的前提。

2.非授權訪問。是指未經授權或假冒合法用戶而獲得了訪問網絡資源的權限，從而獲取所需資料、篡改有關數據或利用有關資源從事非法活動的情況。在校園網上最常見的是盜用合法用戶的IP地址，給合法用戶造成經濟損失，造成網絡沖突，使得網絡不能正常工作，嚴重地造成主機癱瘓，影響整個校園網的運行。

3.拒絕服務攻擊。是指攻擊者惡意地向目標機器發送信息洪流，占用網絡資源和計算機設備資源，這些資源包括磁盤空間、內存、進程甚至網絡寬帶，阻止正常用戶的訪問，使網絡處于一種癱瘓狀態。

4.計算機病毒。互聯網已經成為計算機病毒傳播最大的來源，互聯網上出現了種種新的病毒，利用電子郵件和網絡信息傳播，感染快、危害嚴重，其破壞性大大高于單機系統，而且用戶很難防范。校園網上因主機與用戶眾多且用戶水平參差不齊，計算機病毒易爆發大規模感染且清除困難。

基于以上存在的安全問題，認真分析可以總結出校園網面臨著如下的安全威脅：

(1)各種操作系統以及應用系統自身的漏洞帶來的安全威脅；

(2)Intemet網絡用戶對校園網存在非法訪問或惡意入侵的威脅，尤其針對網站和服務器的攻擊最為明顯；

(3)來自校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網；

(4)內部用戶對Intemet的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶人校園內網；

(5)內外網惡意用戶可能利用一些工具對網絡及服務器發起DOS/DDOS攻擊，導致網絡及服務不可用；

(6)校園網內的學生群體是主要的OICQ用戶，目前針對OlCQ的黑客程序隨處可見：

(7)可能會因為校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅。

三、校園網絡安全防范對策

要解決校園網的安全問題，必須全面地研究其防范對策。下面從物理、系統、網絡、應用及管理五個方面制訂對策：

1.物理層安全

物理層的安全主要包括環境、設備及線路的安全。它是指保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生；采用內外網物理隔離、磁盤陣列對數據進行數據備份等措施來解決數據物理安全。由此，系統中心或機房的建設應遵照：GB50173-93《電子計算機機房設計規范》、GB2887-89《計算機站場地安全要求》及GB2887-89《計算機站場地技術條件》的要求；在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏；保護線路的安全，防止用戶的搭線竊聽行為。

2.系統安全

系統層主要解決的是由于各種操作系統、數據庫、及相關產品的安全漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種：

(1)采用主機加固手段對主機☆n固，如升級、打補丁、關閉不需要的端口等。

(2)采用主機訪問控制手段加強對主機的訪問控制。

在實際應用中，可以利用各類防、殺病毒軟件、各類系統優化軟件、對操作系統自身設置主策略等實現。

3.網絡層安全

校園網中局域網數目較多，根據需要多個網絡可能要互相鏈接。正是這種多網的互聯，使我們對網絡層的安全要極度重視。定義一個網絡或各網絡內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網絡邊界。下面主要討論以下幾方面的網絡層安全防護：

(1)劃分安全子網。如果同一局域網內有不同等級的安全域，可以通過劃分子網及VLAN的方法加以訪問控制。如在教學局域網中學生機房和多媒體機房之間可以通過劃分子網來控制，不允許學生機房的機器訪問多媒體機房的機器。

(2)加強網絡邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如校園內網、校園外網和Internet之間，利用防火墻進行訪問控制和內容過濾。可有效地解決需求中提到的多種威脅。

(3)防止內外的攻擊威脅。在每個安全域內或多個安全域之廚安裝聯想網御入侵檢測系統(IDS)，可有效地防止來自網絡內外的攻擊。

(4)定期的網絡安全性檢測實現持續安全。利用漏洞掃描器(Scanner)，定期對系統進行安全性評估，及時發現安全隱患并實施修補，可達到阿絡的相對持續安全。

(5)建立網絡防病毒系統。在校園網中安裝網絡版的防毒系統，集中控制、管理查殺網絡中服務器、終端的病毒，保護全網不被病毒侵害。

4.應用層安全

應用層的安全措施主要有以下幾點：

(1)各應用系統自身的加固。

(2)建立身份系統。身份認證系統查核用戶的身份證明過程，是判明和確認通信雙方真實身份的重要環節。常用的驗證技術有以下三種：報文鑒別；身份鑒別，包括口令鑒別、磁卡鑒別、生物特征鑒別；數字簽名。

，(3)建立安全審計系統。規范用戶上網行為和系統調用。保證網絡用戶資源不被非法使用，保證網絡管理系統本身不被為授權的訪問。

(4)建立備份系統。在網絡系統出現各類異常時起到保護作用。根據系統安全需求可選擇的備份機制有：場地內高速度、大容量自動的數據存儲、備份與恢復；場地外的數據存儲、備份與恢復；對系統設備的備份。

5.管理層安全

實現管理層的安全主要有以下幾點：

(1)建立安全管理平臺。主要是指將各種安全系統或設備集中控管、綜合分析，定期維護維修。

(2)建立、健全安全管理體制。校園網用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設備的完美結合才能真正提高校園網的安全水平。

(3)提高全員的安全意識。定期組織網絡安全培訓，定期發布各類網絡安全警報。

四、結束語

建立全面實用可行的防范措施，解決校園網的安全問題需在校園網規范、設計、建設、運行、管理的各個環節加于重視。同時，防范措施要符合校園網應用與安全的實際需求，避免盲目追求高要求。網絡安全又是一個動態的過程，在網絡運行過程中，應及時發現新問題，研究新方法，使校園網正常、安全、高效地運行。