論校園網絡安全及防御措施

張艷芳

摘 要 近年來，網絡技術飛速發展，它正以不可替代的趨勢影響著人們的生活和工作，給人類帶來高效和快捷。隨著計算機網絡的高速發展與普及，網絡應用的日益繁多，如何讓校園網正確、安全、高效的運行，充分發揮其教學、服務和管理等功能，已經成為一個不可忽視的問題，本文著重分析了目前校園網中存在的安全隱患，列出了校園網絡安全方面的技術，并從設備，技術，管理等方面提出了改進和解決的方案，為創造一個安全、高效、干凈、綠色的上網環境保駕護航，希望能對校園網的安全管理有些許幫助。

關鍵詞 校園網 網絡安全 防御措施 防火墻

中圖分類號：TP393.08 文獻標識碼：A

1校園網安全狀況與分析

隨著校園網絡技術的發展，校園網對加快信息處理、提高工作效率、實現資源共享都起到了無法估量的作用，但現實中，各地在建立學校校園網的過程中又存在這樣那樣的問題，如有的學校建網初期就缺乏整體規劃，從而導致主干網和各子網通路不暢；有的學校缺乏必要的網絡建設監督人員，將項目交給一些實力較弱或是責任心較差的公司全權負責，結果導致建網質量偏低，后期維護費用偏大。雖然校園網操作系統的功能及安全性日趨完善，但仍存在著很多漏洞。其中，有些漏洞允許入侵的黑客遠程執行代碼和提升用戶權限。同時，校園網是基于TCP/IP協議的網絡，而TCP/IP協議存在兩大不安全因素：（1）TCP/IP協議采用明文傳輸數據，無法保證信息的保密性和完整性。（2）TCP/IP協議以IP地址作為網絡節點的唯一標識，并不能對節點上的用戶進行有效的身份認證，無法保證信息的真實性。

2校園網絡安全技術

2.1防火墻技術（Firewall）

防火墻是在內外網之間限制訪問的一系列部件的集合，是保護網絡安全的最主要技術之一，通常作為網絡的第一道安全防線，防火墻根據配置的安全策略，對傳輸的信息進行過濾并做出相應的判斷與響應，從而有效地控制內外網之間數據的傳輸與訪問，防止外網用戶通過非法手段竊取內網信息，并過濾掉可能帶有安全威脅的數據包，從而保護內網安全。

2.2網絡防病毒技術

網絡防病毒技術通常在網絡內一臺高效的服務器上安裝網絡版殺毒軟件的服務器端，在用戶終端上安裝客戶端實現防病毒，網絡版殺毒軟件是為企業級網絡環境設計的反病毒安全解決方案，它能夠為企事業單位網絡范圍內的工作站和網絡服務器提供跨平臺的病毒防護，實現集中式配置、部署與管理等。

2.3安全掃描技術

安全掃描技術是指手工地或使用特定的自動軟件工具——安全掃描器，對系統風險進行評估，尋找可能對系統造成損害的安全漏洞。掃描主要涉及系統和網絡兩個方 面，系統掃描側重單個用戶系統的平臺安全性以及基于此平臺的應用系統的安全，而網絡掃描側重于系統提供的網絡應用和服務及相關的協議分析。

2.4入侵檢測技術（IDS）

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。

2.5虛擬局域網技術（VLAN）

虛擬局域網是將一個物理網段從邏輯上劃分成多個網段，以實現虛擬工作組的數據交換技術，主要應用在支持VLAN協議的交換機上，網絡內部通常以軟件定義的方式，按照端口、物理地址及網絡地址等進行VLAN劃分，VLAN可以突破物理范圍的限制，根據需要將局域網內任意位置的用戶劃分到一個VLAN中，從而實現限制廣播范圍的作用，有助于減少網間流量，簡化網絡管理，提高網絡的安全性。

3校園網安全防御的措施

3.1增強網絡的安全意識，健全和規范學校管理制度

制定具體的網絡安全管理的制度（網絡操作的使用規程、人員出入機房的管理制度、工作人員的操作規程和保密制度等），安排專人負責校園網絡的安全保護與管理工作，對學校的專業技術人員定期地進行安全教育和培訓，提高工作人員對網絡安全的警惕性與自覺性。

3.2流量控制和信息過濾系統

要在校園網出口添加專業的流量控制系統。另外還可以采用相對完整的信息過濾系統，以實現對校園網內電腦訪問的互聯網進行有害信息的過濾與處理。

3.3對重要數據進行加密

數據加密技術作為主動網絡安全技術，是提高網絡系統數據的保密性、防止秘密數據被外部破解所采用的主要技術手段，是許多安全措施的基本保證加密后的數據能保證在傳輸、使用和轉換時不被第三方獲取數據。加密技術可以分為三類：對稱型加密、不對稱型加密和不可逆加密。

3.4防御病毒入侵

網絡中部署防火墻、IDS、IPS等防護設備，對進出網絡的數據包進行過濾，檢測與防護，丟棄含有病毒、木馬程序的數據包，攔截惡意的攻擊行為；網絡中安裝網絡版殺毒軟件，在客戶端安裝單機版安全防護軟件及殺毒軟件，防止病毒、木馬程序對客戶端的入侵和破壞。

3.5網絡檢測和鎖定控制

網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該賬戶將會被自動鎖定。

3.6網絡安全管理規范

網絡安全技術的解決方案必須依賴安全管理規范的支持，在網絡安全中，除采用技術措施外，加強網絡的安全管理，制定有關的規章制度，對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制定有關網絡操作的使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。endprint