淺談校園計算機網絡安全防護

曹祖軍

摘要：“信息技術對教育發展具有革命性影響，必須予以高度重視。把教育信息化納入國家信息化發展整體戰略，超前部署教育信息網絡。充分利用優質資源和先進技術，推進數字化校園建設，實現多種方式接入互聯網。”隨著我國教育信息化進程的快速推進，校園網在我國各類大中院校都得以建立，并得到了廣泛的普及與應用，但在校園網發展的同時，校園網絡的安全也顯得日益重要。

關鍵詞：網絡安全；技術；防范

隨著當前校園信息化建設的快速發展，各級各類學校十分重視計算機網絡在校園的廣泛應用，網絡的發展實現了教育的跨時間、跨區域和跨學科的特點，使學生充分享受到網絡世界里最好的教育資源。雖然計算機網絡給校園學習和生活帶來了前所未有的便利，但隨著對互聯網的更多依賴，互聯網絡的更加開放，校園網絡的安全性也變得更加重要，因此，對校園網的安全運行進行深層設計，有效規避校園網絡安全風險，具有很重要的現實意義。

一、影響校園計算機網絡安全主要因素

網絡技術的發展，使得網絡攻擊變得越來越復雜，如果一個校園網沒有應對安全威脅相關的網絡設備對攻擊進行主動的防御，那么這個校園網就很可能遭到致命的攻擊，而且因此帶來的后果是無法預料的。當前校園網絡中影響安全的主要因素有以下幾種：

1、病毒入侵。所謂計算機病毒，其實就是由編制者在計算機程序中插入了具有破壞計算機功能或者破壞程序中數據，影響操作者對計算機的使用，同時能夠自我復制的一組計算機程序代碼或者相關指令。通常都是指電腦黑客利用互聯網傳播病毒，對特點的目標，如游戲服務器或網絡進行攻擊，也指通過特殊技術手段對個人電腦植入病毒，竊取電腦用戶個人資料，隱私信息，甚至銀行賬號信息等，以從中獲取不正當利益為目的，其特點是具有破壞性，復制性和傳染性。

2、木馬程序入侵。在計算機安全學中，通常會提到“特洛伊木馬”一詞，一般由服務器端和客戶兩部分組成，是因為其服務器端通過各種欺騙或者偽裝的方法進入被入侵主機后，悄悄地打開系統的某端口，造成其客戶端立即可以與其相連接，進而取得系統的完整控制權或惡意傳播網絡病毒。通常，幾乎所有的木馬程序都會使用偽裝術，欺騙網絡用戶，木馬程序會用盡所有辦法隱藏自己，通過蒙騙用戶，使用戶端去執行服務端所發出的指令。

3、拒絕服務攻擊。此類攻擊會造成目標機器停止提供服務，這種停止提供服務行為，具有極大的危害性，也是網絡黑客常用的攻擊手段之一，特別嚴重時，會造成整個校園網絡完全癱瘓。一般校園網絡中出現網絡帶寬異常現象時，這也是可以劃分為消耗性拒絕服務攻擊，實際上，只要能夠對目標主機造成麻煩，使部分服務功能被暫停，嚴重時，甚至導致主機死機，都屬于拒絕服務攻擊范籌。其實，拒絕服務攻擊究其原因，是由于網絡協議本身的安全缺陷造成的，這個問題一直沒有取得最佳的解決方案，所以，拒絕服務攻擊也成為了攻擊者的慣用伎倆。

4、網絡入侵攻擊。網絡入侵攻擊是指利用網絡先天存在的漏洞或安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行攻擊。入侵者具有熟練的計算機編程的能力和技巧，通過非法取得網絡或文件訪問的授權，這種入侵到其他網絡內部的行為會造成很嚴重的后果。當然有時入侵者并不是以目標主機為攻擊對象，而是將目標主機僅僅作為網絡入侵的跳板，利用淪為跳板的主機對其他主機進行病毒感染或木馬攻擊。

網絡入侵攻擊因為表現形式多樣，且很難對其進行準確預防，特別是攻擊目標的不確定性，所以很難找到有效的針對性防范措施。

二、校園網有效安全防范技術

針對上述破壞校園網絡安全的因素，使我們認識到校園網絡安全不僅要保護計算機網絡設備的安全，還要保護網絡系統和網絡數據的安全。因此針對校園網絡可能存在的安全問題，采取切實可行的網絡安全保護方案，是每位校園網絡管理者必須認真對待的重要問題，不管保護校園網絡安全任務有多艱巨，但只要管理者對關鍵技術予以重視，網絡安全還是可控、可防的。

1、防火墻控制技術。防火墻技術是目前校園比較普遍使用的網絡安全技術，防火墻指的是一個由軟件和硬件設備組合而成，是一種隔離技術，通過它可以將校園內網和外網分開，從而保護校園內網免受非法用戶的入侵，防火墻通常由服務訪問規則、驗證工具、包過濾和應用網關四個部分組成。

2、入侵檢測技術。入侵檢測系統是一種積極主動有意識的網絡安全防護系統，可對網絡傳輸進行即時監視，是基于智能和動態分析為基礎的網絡入侵檢測技術，它可以主動地對來自內部和外部檢測出來的具有攻擊性的信息進行反應，以實現自我實時保護，一般可以分為兩類，分別基于主機和基于網絡。目前，在實際應用中占主要部分的是基于主機的入侵檢測系統，而基于網絡的入侵檢測系統通常處于被動狀態，主要采用被動的方法收集網絡上的數據。采用入侵檢測技術極大地提高了校園網絡的安全性能，可以有效地防范來自互聯網的大多數威脅，被認為是防火墻之后的第二道安全閘門，在彌補防火墻的靜態缺陷方面有著舉足輕重的作用。

3、數據加密技術。密碼技術是指通信雙方按照事先約定的法則，對交換的信息進行特殊變換的一種保密技術。隨著通信技術的進步，數據加密技術也取得了飛速發展，通過對原始信息的二次、甚至多次加工，使得網絡攻擊者即使竊取到網絡信息，有時也無法破解信息的真實內容，因為加密、解密雙方各只有一對私鑰和公鑰。

將數據加密技術和其他防范技術進行有機結合，可以取得極佳的網絡安全防范效果，可以廣泛地運用于校園重要數據傳輸，如師生身份認證、訪問控制、數字簽名、數據完整性驗證、圖書版權保護等。

4、其他幾種安全對策。除了上述的網絡防范技術外，我們還可以從其他多方面對校園網絡進行安全防范，如對網絡進行物理分段，交換式集線器代替共享式集線器，虛擬VLAN的劃分，以及養成良好的軟件操作習慣等方面對網絡安全進行有效的防范。

參考文獻：

[1] 淺析網絡安全體系的構建.張麗華. 《吉林工程技術師范學院學報》- 2011

[2] 淺談高校辦公網絡安全.過畢暉.《北方經貿》- 2013