饒 琰

（廣東白云學(xué)院教育技術(shù)中心 廣州 510450）

高校校園網(wǎng)提供了互聯(lián)網(wǎng)應(yīng)用、信息發(fā)布、遠(yuǎn)程教育等服務(wù)，具有內(nèi)聯(lián)外引的功能，它在高校日常教學(xué)、科研、管理中發(fā)揮著至關(guān)重要的作用。隨著高校網(wǎng)絡(luò)信息化的不斷深入，網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，計(jì)算機(jī)病毒的不斷泛濫、網(wǎng)絡(luò)惡意攻擊等網(wǎng)絡(luò)安全問題已經(jīng)日益凸顯，任務(wù)如此繁重的校園網(wǎng)一旦遭受網(wǎng)絡(luò)攻擊造成癱瘓，將直接影響高校正常的教育教學(xué)活動(dòng)。如何讓校園網(wǎng)安全高效地運(yùn)行，充分發(fā)揮其教學(xué)、管理和服務(wù)的作用，已成為一個(gè)不容忽視的問題。因此，采取正確的網(wǎng)絡(luò)安全防范策略與措施，是高校校園網(wǎng)安全建設(shè)的根本。

一、 影響校園網(wǎng)絡(luò)安全的因素

1、 校園網(wǎng)內(nèi)部的安全隱患

（1）部分校園網(wǎng)用戶對計(jì)算機(jī)病毒防范意識欠缺，計(jì)算機(jī)沒有采取安全防護(hù)措施，當(dāng)計(jì)算機(jī)感染病毒擴(kuò)散至校園網(wǎng)，并不斷繁殖，隨時(shí)可能造成由于病毒泛濫而引起的網(wǎng)絡(luò)系統(tǒng)癱瘓；

（2）校園網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)安全沒有引起足夠重視，沒有采取正確的安全策略和安全機(jī)制，使部分出于好奇或表現(xiàn)的校園網(wǎng)用戶利用校園網(wǎng)絡(luò)系統(tǒng)存在的漏洞，攻擊校園網(wǎng)服務(wù)器系統(tǒng)。另外，校園網(wǎng)絡(luò)管理規(guī)章制度的不健全，導(dǎo)致網(wǎng)絡(luò)管理者網(wǎng)絡(luò)安全意識的淡薄，對重要的網(wǎng)絡(luò)服務(wù)系統(tǒng)采用弱口令，容易造成校園網(wǎng)絡(luò)安全機(jī)密丟失和泄漏；

（3）網(wǎng)絡(luò)管理的不規(guī)范，導(dǎo)致校園網(wǎng)絡(luò)IP和上網(wǎng)帳號非法濫用，造成IP沖突等網(wǎng)絡(luò)問題；

（4）網(wǎng)絡(luò)服務(wù)設(shè)備損壞、網(wǎng)絡(luò)線路老化和環(huán)境等其他因素也將產(chǎn)生網(wǎng)絡(luò)安全隱患。

2、 校園網(wǎng)外部的網(wǎng)絡(luò)威脅

（1）目前廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)都存在各種各樣的安全問題，黑客會(huì)利用網(wǎng)絡(luò)服務(wù)系統(tǒng)漏洞，在服務(wù)器中植入病毒程序，造成的服務(wù)器系統(tǒng)癱瘓和數(shù)據(jù)篡改；

（2）在互聯(lián)網(wǎng)中，一些網(wǎng)絡(luò)惡意攻擊者使用黑客工具對校園網(wǎng)服務(wù)系統(tǒng)發(fā)起DDoS等網(wǎng)絡(luò)惡意攻擊，侵占網(wǎng)絡(luò)服務(wù)系統(tǒng)資源，造成數(shù)據(jù)傳輸癱瘓和網(wǎng)絡(luò)堵塞等現(xiàn)象；

（3）網(wǎng)絡(luò)通信運(yùn)營商的網(wǎng)絡(luò)傳輸線路由于人為破壞、自然災(zāi)害等因素造成的通信中斷。

二、 校園網(wǎng)絡(luò)安全防范策略與措施

1、 規(guī)范網(wǎng)絡(luò)管理制度

（1）建立校園網(wǎng)絡(luò)安全管理?xiàng)l例，加強(qiáng)網(wǎng)絡(luò)信息安全教育和宣傳，提高校園網(wǎng)用戶和網(wǎng)絡(luò)管理者的安全意識，杜絕各種不規(guī)范和有損網(wǎng)絡(luò)安全的行為；

（2）建立嚴(yán)格規(guī)范的網(wǎng)絡(luò)管理規(guī)章制度，規(guī)范網(wǎng)絡(luò)管理者的工作行為，定期更改重要服務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)的管理密碼，數(shù)據(jù)加密和密鑰管理需由專人負(fù)責(zé)。

2、 網(wǎng)絡(luò)交換機(jī)安全防范措施

（1）采用虛擬局域網(wǎng)技術(shù)（VLAN），根據(jù)校園網(wǎng)的分布特點(diǎn)，可采取基于交換機(jī)端口、MAC地址、路由或者策略等類型的VLAN，控制用戶訪問權(quán)限和邏輯網(wǎng)絡(luò)段大小，將不同用戶群劃分在不同的VLAN中，隔離了廣播，縮小了廣播范圍，同時(shí)也抑制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

（2）添加生成樹協(xié)議，避免網(wǎng)絡(luò)中存在交換環(huán)路產(chǎn)生廣播風(fēng)暴，確保在網(wǎng)絡(luò)中有環(huán)路時(shí)自動(dòng)切斷環(huán)路，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性；

（3）配置安全訪問控制列表，防止網(wǎng)絡(luò)攻擊和病毒程序?qū)?nèi)部網(wǎng)絡(luò)造成的影響；

3、 采用安全認(rèn)證計(jì)費(fèi)系統(tǒng)

采用支持802.1X協(xié)議的安全認(rèn)證計(jì)費(fèi)系統(tǒng)，計(jì)費(fèi)系統(tǒng)使用旁路式架構(gòu)，盡量減少對網(wǎng)絡(luò)的影響，在接入式交換機(jī)接入端口開啟802.1x認(rèn)證協(xié)議，實(shí)現(xiàn)上網(wǎng)帳號+IP+MAC+接入端口+接入交換機(jī)IP+IP接入類型等多元素綁定，防范網(wǎng)絡(luò)代理，杜絕非校園網(wǎng)授權(quán)用戶訪問網(wǎng)絡(luò)，確保用戶的唯一性和安全性，從而有效解決IP沖突、IP盜用、MAC地址盜用帶來的網(wǎng)絡(luò)問題。

4、 部署防火墻和入侵檢測系統(tǒng)

防火墻是網(wǎng)絡(luò)安全的屏障，它作為阻塞點(diǎn)和控制點(diǎn)能極大地提高校園網(wǎng)的安全性，并通過過濾不安全的網(wǎng)絡(luò)服務(wù)從而降低網(wǎng)絡(luò)攻擊所帶來的風(fēng)險(xiǎn)，因此網(wǎng)絡(luò)環(huán)境才能變得更安全。在防火墻部署上可按照以下策略來提高網(wǎng)絡(luò)安全性：

（1）在邊界路由層與內(nèi)部策略層部署防火墻，在校園網(wǎng)絡(luò)出入口處建立安全屏障，這道屏障的作用是阻斷來自外部網(wǎng)絡(luò)對校園網(wǎng)的威脅和入侵；

（2）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，審核IP數(shù)據(jù)包的內(nèi)容，嚴(yán)格禁止來自互聯(lián)網(wǎng)對校園內(nèi)部網(wǎng)絡(luò)的非法訪問；

（3）對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包進(jìn)行過濾，有效防范源地址偽造和源路由類型的攻擊，對非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包進(jìn)行過濾，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊；

（4）關(guān)閉易受網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)端口號，降低黑客利用開放的網(wǎng)絡(luò)端口入侵的可能性，從而達(dá)到安全防護(hù)的目的；

（5）控制單個(gè)ip地址網(wǎng)絡(luò)并發(fā)數(shù)，有效杜絕惡意用戶和來自外部網(wǎng)絡(luò)的病毒程序侵占大量的網(wǎng)絡(luò)連接數(shù)造成的網(wǎng)絡(luò)堵塞；

（6）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

入侵檢測系統(tǒng)（IDS）是通過計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)手機(jī)信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊跡象的安全技術(shù)，根據(jù)校園網(wǎng)絡(luò)結(jié)構(gòu)的需要，IDS可以按照基于數(shù)據(jù)源和檢測方法進(jìn)行分類實(shí)施，作為防火墻的合理補(bǔ)充，架設(shè)入IDS是非常必要的，它即擴(kuò)展了網(wǎng)絡(luò)管理員的安全管理能力（包涵數(shù)據(jù)提取、入侵分析和響應(yīng)處理），又提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

5、 部署上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析的管理。在校園網(wǎng)中部署上網(wǎng)行為管理系統(tǒng)也將十分必要。

（1）采用旁路模式架設(shè)上網(wǎng)行為管理系統(tǒng)，與校園網(wǎng)邊界設(shè)備鏡像端口相連，不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生概率；

（2）開啟上網(wǎng)行為審計(jì)功能，設(shè)置不良信息關(guān)鍵字、添加不良網(wǎng)站等信息過濾處理，防止有害信息的傳播；

（3）規(guī)范校園網(wǎng)絡(luò)用戶上網(wǎng)行為管理，根據(jù)不同用戶可以制定有效的應(yīng)用類型、網(wǎng)站類型、文件類型等上網(wǎng)行為策略，限制非業(yè)務(wù)應(yīng)用對帶寬的占用，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，同時(shí)要針對P2P類型的下載和不同用戶類型制定網(wǎng)絡(luò)帶寬管理策略，合理分配有限的網(wǎng)絡(luò)帶寬資源，防止部分網(wǎng)絡(luò)應(yīng)用對網(wǎng)絡(luò)帶寬的過分搶占造成的網(wǎng)絡(luò)堵塞，保證校園網(wǎng)正常業(yè)務(wù)應(yīng)用的帶寬需求；

（4）設(shè)定信息收發(fā)監(jiān)控策略，實(shí)時(shí)統(tǒng)計(jì)和分析校園網(wǎng)網(wǎng)使用狀況，并根據(jù)分析數(shù)據(jù)對管理策略做出調(diào)整和優(yōu)化，從而更好地了解校園網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，方便快速定位和排除故障。

6、 部署網(wǎng)絡(luò)版殺毒軟件和漏洞掃描系統(tǒng)

在校園網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能，提高校園網(wǎng)整體的安全性。另外，采用漏洞掃描系統(tǒng)定期對工作站、服務(wù)器系統(tǒng)等進(jìn)行安全檢查，這樣可隨時(shí)監(jiān)測工作站和服務(wù)器所使用的操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)各種存在的系統(tǒng)漏洞和安全隱患，增強(qiáng)網(wǎng)絡(luò)服務(wù)系統(tǒng)的安全性。

7、 建立重要數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)措施

為保證網(wǎng)絡(luò)服務(wù)系統(tǒng)發(fā)生災(zāi)難后做到快速恢復(fù)，應(yīng)當(dāng)建立起一套有效的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)措施，定期對重要數(shù)據(jù)資料進(jìn)行備份，建立數(shù)據(jù)備份系統(tǒng)。另外，對重要的數(shù)據(jù)和應(yīng)用服務(wù)系統(tǒng)應(yīng)當(dāng)建立集群搭建，使重要的網(wǎng)絡(luò)服務(wù)通信穩(wěn)定運(yùn)行。

三、 結(jié)論

高校校園網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)綜合性的系統(tǒng)工程，從嚴(yán)格的意義上講，沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)。在加強(qiáng)技術(shù)和制度管理的基礎(chǔ)上，全面綜合運(yùn)用VLAN技術(shù)、部署防火墻、入侵檢測系統(tǒng)、上網(wǎng)行為管理系統(tǒng)和防病毒軟件等多項(xiàng)措施，綜合提升校園網(wǎng)絡(luò)的安全穩(wěn)定性，從而建立起一套真正適合的高校校園網(wǎng)絡(luò)安全體系。

[1]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程[M].北京：清華大學(xué)出版社.2009.6，562-620，643-670.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社，2008.1，284-287，303-304.

[3]雷珍甲.網(wǎng)絡(luò)工程師教程（第2版）[M].北京：清華大學(xué)出版社，2006.6，292-300.