校園網絡安全防范體系的建立分析

天津工業大學計算機科學與軟件學院 王顯德

隨著信息技術的快速發展和高校網絡基礎設施的不斷完善，資源整合、應用系統和校園信息化平臺建設已經成為校園信息化的主要任務。高校用戶在享受信息化成果所帶來的工作高效和便利的同時，也面臨著來自校園網內部和外部帶來的各種安全威脅和挑戰。因此，有必要建立一套高效、安全、動態網絡安全防范體系，來加強校園網絡安全防護和監控，為校園信息化建設奠定更加良好的網絡基礎。

1.校園網絡安全組成

校園網絡的安全由以下幾個方面組成：物理安全、網絡安全、信息安全。

1.1 物理安全

物理安全策略主要指網絡基礎設施、網絡設備的安全以及不同網絡之間的隔離進行控制的策略。物理安全直接關系到網絡的安全，如果非法用戶有接觸網絡設備的可能，那么他直接對設備進行破壞要比通過網絡遠程進行破壞容易得多。

1.2 網絡安全

網絡安全是指系統（主機、服務器）安全、反病毒、系統安全檢測、審計分析網絡運行安全、備份與恢復、局域網與子網安全、訪問控制（防火墻）、網絡安全檢測、入侵檢測。

1.3 信息安全

信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三方面，具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、數據庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。

2.校園網安全防護的解決方案計算機網絡系統是一個分層次

的拓撲結構，因此網絡的安全防護也需要采用分層次的拓撲防護措施，即一個完整的網絡安全解決方案應該覆蓋網絡的各個層次，并且與安全管理相結合。

2.1 物理層安全

保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：環境安全、設備安全、媒體安全。

2.2 網絡層安全

網絡層安全主要包括：限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據；確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

2.2.1 合理劃分VLAN

VLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段而實現虛擬工作組的技術。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需要的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN內部的廣播和單薄流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN在交換機上的實現方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網絡層劃分VLAN；第四是基于IP組播劃分VLAN。

以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變為點到點通訊，以上運行機制帶來的網絡安全是好處是顯而易見的：第一，信息只有到達應該到達的地點。因此，防止了大部分基于網絡監聽的入侵手段。第二，通過虛擬網設置的訪問控制，使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。

2.2.2 防火墻與IDS

安裝防火墻進行安全保護，它是一種在校園內部網和Internet之間實施的信息安全防范系統技術，通過檢測、限制、更改跨越防火墻的數據流，可以有效地對外屏蔽校園內部網絡的信息，從而對系統結構及其良性運行等實現安全防護。IDS所采用的不是被動防御的策略，而是主動監視、檢測和識別在進行的或已經成功的入侵行為，并及時報告給網絡管理者。由于IDS系統除了報告外，本身不能對入侵采取任何的防御措施。

2.2.3 路由器訪問控制列表

路由器是內部網和Internet的連接，是信息出入的必經之路，對網絡的安全具有舉足輕重的作用，路由器本身就可以對數據包進行過濾和有效地防止外部用戶對校園網的安全訪問，可以限制網絡流量，也可以限制校園網內的某些用戶或設備使用網絡資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網絡的安全性。

2.3 系統層安全

操作系統是計算機系統的核心和基礎工具，因此操作系統的漏洞往往成為危害計算機和網絡安全的手段和環節。保護計算機操作系統的安全，對于網絡的安全尤為重要。

2.4 應用層安全

2.4.1 網絡防病毒技術

網絡病毒成為威脅網絡安全的重要因素，如何防護網絡病毒也就成為校園網安全必須考慮的重要問題。為保護服務器和網絡中的工作站免受計算機病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機制，需要應用于網絡的防病毒技術。基于網絡防病毒技術可以在網絡的各個環節上實現對計算機病毒的防范，其中包括基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。安裝了基于網絡的防病毒軟件后，不但可以做到主機可以防范病毒的感染，同時通過這些主機傳遞的文件也可以避免被病毒侵害，并且可以建立一個集中有效的防病毒控制機制，從而保護計算機信息網絡的安全。

2.4.2 應用系統防護策略

對于應用系統，由于其數據包含用戶信息、各種應用數據，是非常關鍵和重要的，因此要應用系統具有很強大的安全防護能力就必須做到以下三點：一是建立統一的用戶和目錄管理機制；二是建立認證授權機制；三是建立備份和恢復機制。

2.5 注重安全管理，完善規章制度

實踐經驗告訴我們僅有安全技術和安全設備防范，而無良好安全管理體系相配套，是很難保障網絡信息安全的。構建網絡安全防范體系，必須制訂一系列安全管理制度和安全管理規范，對安全技術和安全設施進行規范管理，建立行之有效的信息安全管理制度和流程，實現嚴密、多層次的安全控制，保證各級系統的安全穩定運行，保證數據安全可靠，實現數字校園網絡環境的可控、可信、可查。

3.結束語

隨著校園網絡用戶和網絡資源的大量增加，以及各種系統漏洞的大量存在和不斷發現，使得校園網絡安全問題變得更加錯綜復雜。加之網絡攻擊行為日趨復雜，各種方法相互融合，使得網絡安全防御更加困難。因此，只有從校園網的物理級、網絡級、系統級、應用級和管理級等五個層面逐步完善和健全防范體系，才能有效地應對各種網絡安全事件。

[1]黃開枝,孫巖.網絡防御與安全對策[M].北京:清華大學出版社,2004.

[2]胡道元.網絡安全[M].北京:清華大學出版社,2004.

[3]朱曉曦.局域網安全問題淺析[J].科協論壇(下半月),2010(08).

[4]尚建楠.計算機網絡的安全問題初探[J].黑龍江科技信息,2010(16).