校園網絡安全設計探析

黃 振 祝海炳

（浙江金融職業學院，浙江 杭州 310018）

1 校園網絡的安全性分析

1.1 物理層的安全問題

校園網絡系統的安全是以物理安全為前提的。主要包括：各種自然災害比如地震，雷擊，電擊，水火災害等；電源的故障或由硬件原因引起的故障，由操作人員的操作失誤造成的故障，由于設備失竊、故意損毀或超載；行盜竊和竊聽等。

1.2 網絡層的安全問題

拓撲結構、網絡的路由狀態和網絡環境等是決定網絡安全的關鍵因素。網絡層面的主要威脅包括：訪問未經授權的網絡應用服務；交換信息的保密性；傳播或滲透網絡病毒；網絡的拒絕服務型攻擊，網絡監聽，網絡欺騙攻擊；針對網絡設備配置脆的攻擊弱性，因應用軟件的缺陷而造成的網絡攻擊。

1.3 系統層安全問題

系統的安全性是指整個網絡的操作系統，網絡硬件的平臺是不是可靠和值得信賴的。沒有絕對安全的操作系統可以選擇，微軟Windows操作系統或其他操作系統都不是決定安全的，系統本身也有很多的漏洞問題，這些漏洞將帶來各種重大的安全隱患。

1.4 應用層的安全問題

應用安全是主機系統應用軟件的層面問題。應用系統軟件的使用，一方面給用戶帶來方便，但也帶來了新的網絡威脅，這是因為大多數的互聯網應用系統軟件都不具有良好的安全性設計，網絡服務器程序經常使用超級用戶權限執行，這引起了很多安全問題。

2 校園網絡的安全設計

2.1 物理層的安全設計

主要針對通信安全，設備的安全，機房環境安全三個方面設計校園網絡物理安全。

光纜的安全設計：很多線路都有可能破壞或者竊聽，比如光纜和雙絞線，因此，應該通過專用電纜溝布線，建筑物之間的光纖光纜應埋在地下，建筑物內的雙絞線應該埋在有管道的墻壁內，應盡量確保安全，防止發生挖掘和破壞事件。同時，學校安全辦公室負責組織校園巡邏，校園網絡的輸電線路和設施的檢查和巡邏，以防止通信線路被損壞。

校園網服務器機房設計要按照《電子計算機機房設計規范》、《計算站場地技術條件》和《計算站場地安全要求》，分別是國家標準GB50173-93、國標GB2887-89和 GB9361-88進行設計。 電源供應和分配系統，能夠確保機房的主機、服務器、網絡設備、通訊設備的安全，不間斷供電，在任何情況下都能做到，沒有單點故障，穩定、可靠，同時也為UPS系統提供電源，以確保系統安全。

物理安全設備的設計：采用門禁系統，以確保使用的物理設備的安全，同時做設備的抗毀，抗電磁輻射，抗電磁信息泄漏和干擾的處理等。

2.2 網絡層的安全設計

路由器訪問控制：數據包過濾在網絡層的基礎上，選擇該系統設置了過濾邏輯的數據包。檢查每個數據包的源地址、目的地址、口號、協議狀態等因素，或它們的組合，以確定是否允許數據包通過數據流。路由訪問列表access-list命令來完成設置包過濾規則，被稱為訪問控制列表和拒絕語句，它們規范了路由器的數據。訪問列表，允許網絡管理員控制網絡數據流，依據為數據包的源IP地址、目的IP地址和應用類型。

使用加密技術認證：DES技術認證的校園網站，提高網絡服務的安全性和效率。DES算法在認證過程中，不怕被竊聽，加密傳輸數據，可以防止篡改，將數據傳輸的數字簽名，使用認證反應過程的方法，實現數據的安全傳輸。

入侵檢測技術及其應用：入侵檢測系統能為校園網絡提供可靠的安全保障。首先，實時監控網絡流量的入侵檢測系統，能夠準確有效地識別所有已知攻擊和未知攻擊的網絡活動，一旦發現攻擊，警方立即采取應對措施。其次，具有入侵檢測與分析的能力，對于具有逃避入侵檢測技術的通信數據系統，可以有效檢測其IDS，以避免其行為。再次，通過對網絡數據的完整記錄，在入侵過程中，為安全事故的調查提供證據，進行分析。

2.3 系統級別的安全性設計

操作系統安全：服務器系統，使用微軟專門為教育界推出了正版的Windows Server 2003操作系統，所有分區使用一個專用的服務器，網絡應用服務，使用專用服務器上的NTFS格式，所以的系統和日志都放在這個系統上。安裝正版的Windows Server 2003，安裝應用程序，升級、補丁，然后聯網調試。在服務器上解除NetBIOS和TCP/IP協議綁定的TCP/IP協議，刪除NETBEUI，IPX/SPX協議。授權的用戶共享文件從Everyone組特定的授權用戶改為“完全控制”權限需要給予授權，關閉默認共享，遠程管理和遠程IPC，防止IPC的入侵，每臺服務器上的登錄賬號和密碼中位數要足夠長和足夠復雜，定期更改密碼，不使用姓名、電話、出生日期、學校名稱、部門名稱等作為密碼，運用密碼策略、賬戶策略，以符合密碼復雜性要求。設置密碼的最長使用期限。系統默認所有的端口是開放的，根據提供的服務的服務器需要，關閉那些不需要打開的服務和端口。

安全審計存在于自帶的Windows Server 2003系統中，打開安全審計策略的入侵檢測方法。服務器安裝設置完成后，應該創建一個緊急修復磁盤，準備系統意外損壞不能正常啟動時應急使用。進行服務器漏洞掃描，采用多種方式對系統進行優化配置和修補程序，最大程度上修補最新的安全漏洞，消除服務器本身的安全隱患。

服務器帳戶的安全性：取消系統默認的用戶名和密碼，重新命名系統管理員及用戶名和密碼，并撤銷Guest帳戶的申請，以避免未經授權的用戶進行攻擊。此外，對用戶數量進行限制，避免其他用戶嘗試登錄到該系統。系統管理員應設置一個復雜的密碼。以實現最大程度的保護。確保管理員帳戶的安全，密碼必須至少有九個字符，包含一個標點符號或字符非ASCⅡ碼至少有七個字符。此外，您不能在多臺服務器上設置相同的管理員帳戶密碼。應在每個服務器上使用不同的密碼，以提高工作組或域的安全級別。要定期更換系統管理員的密碼。

數據備份和恢復：做數據備份和恢復很重要。如果是系統中的問題，運行計算機系統所需的數據和信息系統應該進行整體恢復。系統安全需求可選擇的備份機制：進行高速、高容量的自動數據存儲、備份和恢復;異地數據存儲、備份和恢復系統的備份。備份不只是發揮保護作用，在發生網絡系統硬件故障或人為錯誤時發揮重要作用。出現入侵者未經授權的訪問或網絡上的攻擊和破壞數據等情況是，對系統的完整性起到保護作用，是系統的災難后恢復的先決條件之一。

配置防火墻：通過光纖連接核心交換機6806E到行政大樓、教學體系、圖書館和其他建筑物，將銳捷公司的硬件防火墻RGWALL160A架設在核心交換機6806E和路由器2600之間?？刂七M/出數據的訪問以及對網絡進行隔離。防火墻的主要作用是隔離核心交換機和匯聚層的2126交換機，并嚴格控制教師/學生宿舍網絡數據包訪問主要校園網絡資源，防止學生在宿舍對行政辦公室及主校區教學單位在網絡上進行未經授權的操作。

結論

校園網絡環境、安全與防務問題，必須認真對待并加強管理。針對校園網絡的安全性建設問題，需加強網絡運行的實時檢測，及時發現潛在的安全隱患，有效遏制安全事故，以確保整個校園網絡系統、網絡與信息的安全。發現網絡和系統漏洞，需及時進行修復，并采取預防措施，進一步改善校園網絡環境的安全。

[1] 張郭軍.校園網絡安全技術的現狀及發展趨勢[J].渭南師范學院報，2007，4.

[2] 陽柳，校園網絡安全體系的解決方案[J]，計算機安全.2007年，p178-182.

[3] 謝希仁.計算機網絡[M].大連:大連理工大學出版社，2004.