曹利萍

（烏蘭察布職業(yè)學院 內(nèi)蒙古 012000）

0 引言

校園網(wǎng)絡，是學校管理的重要設施，擔負著教學、科研、管理和對外服務交流的工作。但是日漸加劇的計算機犯罪頻發(fā)、網(wǎng)絡安全問題，給個人、學校甚至國家?guī)順O大損害。因此有必要加強校園網(wǎng)安全的防范，為師生們提供一個安全的網(wǎng)絡空間。

1 校園網(wǎng)面臨的風險

校園網(wǎng)安全就是校園網(wǎng)信息的安全。校園網(wǎng)由多種設備、設施構(gòu)成，因為種種原因，其面臨的威脅很多。即：

一是硬件安全，主要有硬件設備的損壞，如上網(wǎng)場所管理較混亂，電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段。

二是校園網(wǎng)軟件的內(nèi)在缺陷。例如微軟的操作系統(tǒng)，一些病毒、木馬也是利用其破綻而進行攻擊的。

三是人為的惡意攻擊。這是校園網(wǎng)所面臨的最大威脅，對方的攻擊和計算機犯罪就屬于這一類。如：不良信息的傳播，網(wǎng)絡病毒泛濫，造成網(wǎng)絡性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。

四是人為的使用不當。如系統(tǒng)管理員安全配置不當，用戶安全意識不強等等。校園網(wǎng)絡上的用戶安全意識淡薄，大量的非正常訪問導致網(wǎng)絡資源的浪費，同時也為網(wǎng)絡的安全帶來了極大的安全隱患。

五是自然災害。雷電、火災、水災等各種自然災害破壞，對校園網(wǎng)影響也很大。

綜上所述，校園網(wǎng)絡安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，提出了以下校園網(wǎng)絡安全解決方案。

2 對校園網(wǎng)的安全對策分析

2.1 對物理安全策略探究

校園網(wǎng)的物理安全是整個網(wǎng)絡系統(tǒng)的前提。防護措施主要指的是各種硬件設施不受破壞，如校園網(wǎng)系統(tǒng)、服務器及通信線路等硬件設施，這種破壞有時又來自惡劣的自然環(huán)境與人為的破壞行為。用戶在使用網(wǎng)絡時要進行身份驗證，防止非本人同意的情況下越權操作。此外，校園網(wǎng)系統(tǒng)的工作環(huán)境要不斷的得到加強與完善。

2.2 常用的網(wǎng)絡安全防護技術

2.2.1 防火墻技術

防火墻技術是安全網(wǎng)絡體系的基本組件，通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關，實現(xiàn)了被保護對象和外部系統(tǒng)之間的邏輯隔離。防火墻的組成可以表示為：防火墻= 過濾器+安全策略+網(wǎng)關，它是一種非常有效的網(wǎng)絡安全技術之一。根據(jù)部署可分為邊界防火墻、內(nèi)部防火墻和重要數(shù)據(jù)和應用服務器防火墻。在 Internet 上，通過它來隔離風險區(qū)域與安全區(qū)域的連接，但不防礙人們對風險區(qū)域的訪問。

（1）包過濾防火墻

防火墻的最簡單的形式是包過濾防火墻。一個包過濾防火墻通常是一臺有能力過濾數(shù)據(jù)包某些內(nèi)容的路由器。技術依據(jù)是網(wǎng)絡中的分包傳輸技術，工作在網(wǎng)絡層，可以在路由器上實現(xiàn)包過濾。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。但包過濾防火墻的有缺點：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及 IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。且包過濾防火墻速度慢。

（2）代理型防火墻。代理型防火墻即應用層網(wǎng)關級防火墻，它的構(gòu)造是由代理服務器與過濾路由器兩部分構(gòu)成，它的工作原理是將過濾路由器和軟件代理技術結(jié)合在一起。過濾路由器通過連接網(wǎng)絡，嚴格的篩選出需要的數(shù)據(jù)，進而通過網(wǎng)絡終端傳輸?shù)酱矸掌?。因此能夠?qū)诟邔訁f(xié)議的攻擊進行攔截，安全系統(tǒng)相對很高。缺點是處理速度比較慢，能夠處理的并發(fā)數(shù)比較少。

（3）監(jiān)測型防火墻。監(jiān)測型防火墻是動態(tài)包過濾防火墻?？偟膩碚f，具有：高安全性，高效性，可伸縮性和易擴展性。

總之，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件，它是網(wǎng)絡中重要的第一防線。包過濾防火墻，它只對IP包的源地址、目標地址及相應端口進行處理，因此速度比較快，能夠處理的并發(fā)連接比較多，缺點是對應用層的攻擊無能為力。代理型防火墻只允許被代理的協(xié)議通過，并且將數(shù)據(jù)重新打包。而狀態(tài)檢測型只檢查數(shù)據(jù)包是否被允許通過，不影響網(wǎng)絡性能。不管什么樣的防火墻，都不是萬能的。只有加密了，才能多一份保護。

2.2.2 網(wǎng)絡加密技術分析

網(wǎng)絡加密技術的優(yōu)勢是防止非授權用戶竊聽或者入網(wǎng)，能夠有效避免惡意軟件的攻擊。網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。不管那種加密，均為數(shù)字加密和數(shù)字簽名。

2.2.3 身份驗證技術

身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程。用戶通過用戶名和密碼是防止非法訪問的第一道防線。用戶注冊時先輸入用戶名和密碼，服務器驗證用戶名是否合法。如果合法，繼續(xù)輸入密碼，否則，將被拒之網(wǎng)絡之外。用戶的密碼是用戶入網(wǎng)的關鍵所在。為保證密碼的安全性，用戶密碼不顯示在顯示屏上，并加密。經(jīng)加密后，即使是系統(tǒng)管理員也難以得到它。

2.2.4 網(wǎng)絡監(jiān)控技術

網(wǎng)絡管理員對校園網(wǎng)實施監(jiān)控，服務器記錄用戶對網(wǎng)絡資源的訪問，對非法網(wǎng)絡的訪問，服務器要以圖形或文字或聲音等形式報警，以便引起網(wǎng)絡管理員的注意。如果黑客試圖進入網(wǎng)絡，網(wǎng)絡服務器會自動記錄嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該帳戶將被自動鎖定。

2.2.5 網(wǎng)絡病毒防治技術

在網(wǎng)絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。大量的CIH 等病毒就足以給網(wǎng)絡社會造成災難性的后果。網(wǎng)絡防病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等，或安裝殺毒軟件等。

3 網(wǎng)絡安全管理策略

校園網(wǎng)安全維護策略多種多樣，物理安全策略和網(wǎng)絡技術安全防護只是其中的兩種，安全科學的對校園網(wǎng)進行管理，建立健全完善安全管理制度，對于確保網(wǎng)絡的安全、可靠地運行也是至關重要的。校園網(wǎng)安全管理策略包括：明確安全管理等級和安全管理范圍；嚴格執(zhí)行有關網(wǎng)絡操作使用規(guī)程與人員出入機房管理制度；健全網(wǎng)絡系統(tǒng)的維護方案與應急對策等。

一是必須拒絕不明服務攻擊。通過以上分析，對不明服務要提高警惕，黑客攻擊的主要目標是校園網(wǎng)安全意識不夠的客戶，目的是讓你的計算機及網(wǎng)絡無法提供正常的使用。它基本上可以破壞校園網(wǎng)使用的硬件設備，消耗計算機及網(wǎng)絡中不可再生的資源等，讓計算機處于癱瘓狀態(tài)。

二是堅決拒絕欺騙攻擊。黑客會利用TCP/IP協(xié)議本身的缺陷進行網(wǎng)絡攻擊，或者進行DNS設置進行欺騙和Web頁面進行欺騙，打破常規(guī)預防措施，提高警惕，以免上當受騙。

三是監(jiān)測功能對移動設備的攻擊。日前，通過手機、PDA及其他無線設備感染惡意軟件的數(shù)量在不斷增加，破壞移動設備的正常使用，達到其不法傳播的目的，提高使用者的安全防范迫在眉睫。

4 結(jié)束語

利用網(wǎng)絡進行信息交流，實現(xiàn)資源共享，將會給我們的生活帶來無盡的好處，而網(wǎng)絡的安全可以說保證了計算機技術造福于人類社會。網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等多方面內(nèi)容，既包括校園網(wǎng)本身的安全問題，也有物理的和邏輯的技術措施。因而，對于網(wǎng)絡安全的技術問題進行有系統(tǒng)的研究，無疑是具有深遠的意義！因此只有完備的系統(tǒng)開發(fā)過程、嚴密的網(wǎng)絡安全風險分析、嚴謹?shù)南到y(tǒng)測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網(wǎng)絡提供強大的安全服務——這也是網(wǎng)絡安全領域的迫切需要。

校園網(wǎng)安全機制建設是一項長期、艱苦，細致、技術含量高且投資比較大的工作，需要每代人堅持不懈的努力。因為，我們和黑客及病毒制造者打的是一場沒有硝煙的持久戰(zhàn)。其戰(zhàn)爭的長期性、高技術和情報的不確定性，給贏得勝利帶來了很大困難。舊的安全隱患消除了，新的隱患又層出不窮。即便是反應最快的入侵檢測和病毒查殺防黑工具，也是在最新的黑客攻擊和病毒在網(wǎng)上發(fā)生之后，才能推出解決方案。所以說，校園網(wǎng)安全實施是一個動態(tài)的、不斷推進的、周而復始的過程。

[1]閆坤豪.網(wǎng)絡安全教程 北京：《電腦知識與技術：學術交流》，2008.第3卷第9期第1409-1411頁。