校園網(wǎng)信息安全策略

　　校園網(wǎng)信息安全策略【1】

　　[摘要]在歸納現有網(wǎng)絡(luò )信息安全技術(shù)的基礎上,把校園網(wǎng)絡(luò )信息安全措施分為以防火墻技術(shù)、入侵檢測技術(shù)等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施,在校園網(wǎng)上實(shí)現以防火墻技術(shù)為核心的硬件級保護和以防病毒技術(shù)為核心的軟件級保護相結合的軍校校園網(wǎng)絡(luò )信息安全防護體系。

　　[關(guān)鍵詞]校園網(wǎng)網(wǎng)絡(luò )信息安全信息安全信息安全措施

　　一、引言

　　網(wǎng)絡(luò )信息安全是當今信息安全的核心研究領(lǐng)域,其涉及的基本技術(shù)主要有:防火墻技術(shù)、入侵檢測技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、網(wǎng)絡(luò )安全漏洞掃描技術(shù)、網(wǎng)絡(luò )防病毒技術(shù)、信息加密技術(shù)、信息確認技術(shù)等。

　　目前,企業(yè)網(wǎng)絡(luò )信息安全由于電子商務(wù)的需要已經(jīng)有了較深入研究,而校園網(wǎng)絡(luò )信息安全研究則不夠深入。

　　考慮到學(xué)校信息資源中既有需要保密的人事財務(wù)信息、教學(xué)科研信息、檔案信息,也有具備一定透明度的可查詢(xún)信息和共享信息,校園網(wǎng)絡(luò )信息安全可簡(jiǎn)化層級、強化重點(diǎn),其技術(shù)措施可按硬件級措施和軟件級措施架構。

　　茲探討如下:

　　二、校園網(wǎng)安全隱患

　　校園網(wǎng)絡(luò )作為學(xué)校重要的基礎設施,擔當著(zhù)學(xué)校教學(xué)、科研、管理和對外交流等許多角色。

　　校園網(wǎng)安全狀況直接影響著(zhù)學(xué)校的教學(xué)活動(dòng)。

　　在網(wǎng)絡(luò )建成的初期,安全問(wèn)題可能還不突出,隨著(zhù)應用的深入,校園網(wǎng)上各種數據會(huì )急劇增加,各種各樣的安全問(wèn)題開(kāi)始困擾網(wǎng)絡(luò )管理人員。

　　(一)安全的表現形式

　　由于學(xué)校是以教學(xué)活動(dòng)為中心的場(chǎng)所,網(wǎng)絡(luò )的安全問(wèn)題也有自己的特點(diǎn)。

　　主要表現在:1.不良信息的傳播,目前Internet上各種信息良莠不齊,有關(guān)色情、暴力、反動(dòng)內容的網(wǎng)站泛濫;2.病毒的危害,計算機病毒是校園網(wǎng)安全最大的威脅因素,有著(zhù)巨大的破壞性。

　　尤其是通過(guò)計算機網(wǎng)絡(luò )傳播的病毒,其傳播速度、影響面、清除難度、破壞力等都不是單機病毒所能比擬的,這是目前校園網(wǎng)安全問(wèn)題主要的困擾;3.非法訪(fǎng)問(wèn),校園網(wǎng)在接入Internet后,便面臨著(zhù)內部和外部黑客雙重攻擊的危險,而尤以?xún)炔抗�擊為�?4.惡意破壞;5.口令入侵。

　　(二)威脅安全的因素

　　威脅校園網(wǎng)安全的因素主要有以下幾個(gè)方面:1.物理因素,主要是指硬件本身及其外圍環(huán)境影響;2.技術(shù)因素,校園網(wǎng)技術(shù)涉及到網(wǎng)絡(luò )技術(shù)、防火墻、病毒防護、數據恢復與備份等多種技術(shù);3.管理因素,正確規范管理是保證校園網(wǎng)安全的重要措施;4.使用者因素,盡量避免使用者不合理操作帶來(lái)的不安全隱患;5.宣傳教育因素。

　　三、安全防范技術(shù)

　　校園網(wǎng)具有訪(fǎng)問(wèn)方式多樣、用戶(hù)群龐大、網(wǎng)絡(luò )行為突發(fā)性較高等特點(diǎn)。

　　網(wǎng)絡(luò )的安全問(wèn)題需要從網(wǎng)絡(luò )規劃設計階段就仔細考慮,并在實(shí)際運行中嚴格管理。

　　為保證校園網(wǎng)絡(luò )的安全性,除了規劃網(wǎng)絡(luò )拓撲結構,構建校園內部虛擬專(zhuān)用網(wǎng)(VPN),通過(guò)使用VPN技術(shù),即附加的安全隧道、用戶(hù)認證和訪(fǎng)問(wèn)控制等技術(shù),可以使分布于不同地理位置上的校園網(wǎng)各節點(diǎn)之間進(jìn)行數據交換,有效避免重要數據遭受惡意用戶(hù)竊取,從而實(shí)現對重要信息的安全傳輸,一般還采用以下一些防范技術(shù)。

　　(一)硬件級措施

　　在網(wǎng)絡(luò )信息安全技術(shù)中,防火墻技術(shù)、入侵防御技術(shù)、入侵檢測技術(shù)、訪(fǎng)問(wèn)控制技術(shù)等可歸為硬件級措施。

　　這些措施的特點(diǎn)是一般需要硬件支持并由建網(wǎng)單位統一實(shí)施,而不需要客戶(hù)端配合。

　　在硬件級措施支持下,可實(shí)現校園網(wǎng)與公網(wǎng)之間的強制性隔斷,從而實(shí)現校園網(wǎng)絡(luò )信息相對安全,用防火墻硬件措施屏蔽了Internet公網(wǎng)上的有害信息和黑客入侵,這是校園常采用的必備防護設備。

　　入侵檢測從計算機網(wǎng)絡(luò )系統中的若干關(guān)鍵點(diǎn)收集信息并分析這些信息,對有違反安全策略的行為和遭到襲擊的跡象進(jìn)行報警,擴展了系統管理員的安全管理能力(包括安全審計、監視、進(jìn)攻識別和響應)。

　　其優(yōu)點(diǎn)是在不影響網(wǎng)絡(luò )性能的情況下能對網(wǎng)絡(luò )進(jìn)行監測,從而提供對內部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測保護。

　　入侵檢測被認為是防火墻之后的第二道安全閘門(mén)。

　　可用于對一些服務(wù)器/微機進(jìn)行有害信息和黑客入侵的檢測、審計。

　　入侵防役設備是串接在所保護的設備前端,對網(wǎng)絡(luò )行為進(jìn)行檢測分析,對所保護的設備有害及可疑行為進(jìn)行主動(dòng)阻斷攔截,主要用于對重要服務(wù)器防止有害信息和黑客入侵的進(jìn)行及時(shí)主動(dòng)的防御,因而,保證了Intranet校園內網(wǎng)的一定的安全。

　　校園網(wǎng)絡(luò )的硬件級較好的部署時(shí)在網(wǎng)絡(luò )出口處設置一防火墻,對網(wǎng)絡(luò )出口的邊界進(jìn)行了安全隔離,制定相應的訪(fǎng)問(wèn)控制策略,在重要的服務(wù)器前設置入侵防御,對重要服務(wù)器進(jìn)行有害信息和黑客入侵的防御。

　　但是這些措施無(wú)法發(fā)現夾雜在網(wǎng)絡(luò )正常訪(fǎng)問(wèn)中的惡意流量,還會(huì )存在很大的安全隱患,這就需要網(wǎng)絡(luò )系統和每臺服務(wù)器/計算機利用軟件做好自身的防護,提升抗危害能力。

　　(二)軟件級措施

　　由于傳統的防火墻技術(shù)和攻擊檢測系統僅僅檢查數據包的特定部分,而當前的安全威脅來(lái)自網(wǎng)絡(luò )的各個(gè)層面,且不少來(lái)自網(wǎng)絡(luò )通信的數據部分,例如病毒常通過(guò)以下途徑感染和傳播:

　　1.訪(fǎng)問(wèn)載有病毒的網(wǎng)頁(yè):互聯(lián)網(wǎng)中的很多網(wǎng)頁(yè)都被嵌入木馬等病毒,一旦訪(fǎng)問(wèn)載有病毒的網(wǎng)頁(yè),病毒將通過(guò)網(wǎng)絡(luò )傳播的校園網(wǎng)內部,輕則感染并破壞客戶(hù)機,重則感染網(wǎng)內的其他機器乃至造成網(wǎng)絡(luò )癱瘓。

　　2.收發(fā)病毒郵件:電子郵件已成為日常生活中不可或缺的部分,但同時(shí)電子郵件頁(yè)成為病毒傳播的最大載體,大量的垃圾郵件以及欺騙郵件已嚴重影響入場(chǎng)工作和生活,如之前在網(wǎng)絡(luò )上大肆爆發(fā)的“熊貓燒香”病毒,給網(wǎng)絡(luò )安全造成嚴重的威脅。

　　因此,黑客可能了解網(wǎng)絡(luò )在數據層面的安全漏洞,采取通過(guò)病毒、蠕蟲(chóng)或其他攻擊行為,對網(wǎng)絡(luò )資源造成不同程度的損害,尤其是通過(guò)病毒,蠕蟲(chóng)(PE_LOOKED.KO)、特洛伊木馬(TROJ_Generic)、和后門(mén)程序(PE_LOOKED.JY)達到攻擊和破壞目的。

　　所以,在網(wǎng)絡(luò )安全技術(shù)中有必要采取病毒技術(shù)、信息加密技術(shù)、信息確認技術(shù)等軟件級措施,以配合硬件級測試構成完善的信息安全防護體系。

　　軟件級措施的特點(diǎn)時(shí)一般不需要專(zhuān)門(mén)硬件支持但需要客戶(hù)端配合,通過(guò)在服務(wù)器端安裝網(wǎng)絡(luò )版的服務(wù)Server軟件,在客戶(hù)端安裝Client軟件實(shí)現S/C模式的安全操作,例如要實(shí)現網(wǎng)絡(luò )環(huán)境下的病毒防治,僅靠單機版的殺毒軟件是不可能的,必須安裝網(wǎng)絡(luò )版的殺毒軟件,這樣才能實(shí)現殺毒軟件的遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒的功能。

　　在軟件級措施的支持下,可實(shí)現校園網(wǎng)與公網(wǎng)之間的交換信息排查,有效隔離帶病毒信息,身份不符用戶(hù)信息等,實(shí)現校園網(wǎng)絡(luò )信息安全。

　　還有統一的身份認證系統。

　　身份認證技術(shù)是指向系統出示自己的身份證明,系統查明用戶(hù)是否具有所請求資源的存儲和使用權,用戶(hù)必須通過(guò)認證才能獲得權限之內的訪(fǎng)問(wèn)資源。

　　建立了全網(wǎng)統一的身份認證系統,不僅有效地防止了IP地址的盜用,而且有效的避免黑客攻擊,從而在整體上提高了用戶(hù)信息的安全性和可靠性,這也是實(shí)現數字化信息化校園的基礎。

　　目前較

　　為可行的方式為分級授權,可以為不同的用戶(hù)開(kāi)放不同權限,比如校管理層擁有網(wǎng)絡(luò )全部訪(fǎng)問(wèn)權限。

　　一般的教師擁有一定權限,這部分可以精確到個(gè)人,也就是實(shí)行實(shí)名精確到個(gè)人的授權,對于普通學(xué)生開(kāi)放受限的GUEST帳戶(hù),分級管理保障信息的安全。

　　同時(shí),我們對不同的信息進(jìn)行分類(lèi)管理:對機密信息嚴格規定只能用于不聯(lián)網(wǎng)的計算機,決不上網(wǎng);專(zhuān)用內部信息使用專(zhuān)網(wǎng)連接,與校網(wǎng)分離,有的還設置加密傳遞;校內公開(kāi)信息限校內訪(fǎng)問(wèn),與Internet公眾網(wǎng)間設置防火墻隔離。

　　開(kāi)展定期檢查,以提高安全意識。

　　(三)網(wǎng)絡(luò )數據備份與恢復

　　數據是整個(gè)校園網(wǎng)信息安全的核心。

　　設備可以替換,但數據被破壞或丟失,其損失無(wú)法計量。

　　所以設計一套完整的數據備份和恢復系統是校園網(wǎng)迫切需要的。

　　它要考慮多方面因素,如備份/恢復數據量大小、應用數據中心和備援數據中心之間的距離及數據傳輸方式、災難發(fā)生時(shí)所要求的恢復速度、備援中心的管理及投入資金等。

　　四、小結

　　綜上所述,現有網(wǎng)絡(luò )信息安全技術(shù)包括防火墻技術(shù)、入侵檢測技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、網(wǎng)絡(luò )安全漏洞掃描技術(shù)、網(wǎng)絡(luò )防病毒技術(shù)、信息加密技術(shù)、信息確認技術(shù)等,校園網(wǎng)絡(luò )信息安全措施可通過(guò)綜合以防火墻技術(shù)、入侵檢測技術(shù)等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施來(lái)實(shí)現。

　　在學(xué)校的校園網(wǎng)上實(shí)踐的以防火墻技術(shù)為核心的硬件級保護和以防病毒技術(shù)為核心的軟件級保護相結合的校園網(wǎng)絡(luò )信息安全防護體系證明了這一點(diǎn)。

　　參考文獻:

　　[1]MichaelE.whitman等著(zhù),齊立博譯,信息安全原理(第二版),清華大學(xué)出版社,2006,3(1).

　　[2]馮登國,國內外信息安全現狀及發(fā)展趨勢(摘編),信息網(wǎng)絡(luò )安全,20O7(1):9-11.

　　[3]熊心志,計算機網(wǎng)絡(luò )信息安全初探,計算機科學(xué),2006,55(B12):60-62.

　　[4]李俊婷等,計算機網(wǎng)絡(luò )信息安全及其防護措施,計算機與網(wǎng)絡(luò ),2007(15):45-46.

　　[5]鄧志宏等,基于PKI的網(wǎng)絡(luò )信息安全模型的研究與設計,計算機工程與設計,2007,28(2):549-550,594.

　　[6]段友祥等,基于cA技術(shù)的網(wǎng)絡(luò )信息安全系統設計實(shí)踐,計算機工程與設計,2006,27(6):1014-101.

　　[7]沈吉鋒等,校園網(wǎng)安全防范策略,中國科教創(chuàng )新導刊,2009,2:165.

　　校園網(wǎng)安全策略【2】

　　摘要：目前在我國絕大多數高校中校園網(wǎng)都已經(jīng)基本建立，甚至一些有條件的中學(xué)也在逐步建立校園網(wǎng)，伴隨著(zhù)校園網(wǎng)的日趨增多與完善，校園網(wǎng)開(kāi)始逐步服務(wù)于學(xué)校的各個(gè)方面，在學(xué)校里發(fā)揮的作用也越來(lái)越重要，因此，校園網(wǎng)的安全問(wèn)題也就必然成了保障運行的首要問(wèn)題，其意義的重要性自不言而喻，本文就校園網(wǎng)站的安全策　　關(guān)鍵詞：校園網(wǎng);安全

　　一、 校園網(wǎng)的常見(jiàn)威脅及簡(jiǎn)單預防措施

　　就現階段而言，校園網(wǎng)與其他網(wǎng)絡(luò )及個(gè)人電腦一樣，所受的常見(jiàn)威脅主要來(lái)自技術(shù)層面，而這也是最難的一個(gè)層面

　　(一)計算機病毒的預防

　　病毒的預防是一個(gè)細致而繁瑣的任務(wù)，除了平時(shí)要對系統勤于檢測之外，還要做大量細致的其他工作。

　　1防火墻

　　這是比較簡(jiǎn)單的同時(shí)也是絕對不能省略的步驟，除非某個(gè)校園網(wǎng)是個(gè)封閉的內網(wǎng)，不與外網(wǎng)有任何的數據交換，但在目前的形勢下，這樣的校園網(wǎng)是無(wú)法想象的，也是不可能的，因此防火墻的安裝與設置就顯得尤為重要。

　　2網(wǎng)關(guān)

　　可以肯定的說(shuō)網(wǎng)關(guān)是大多數病毒去危害計算機的必然通道，網(wǎng)關(guān)的設置一旦做好了，一般的病毒是無(wú)法通過(guò)的，這樣就有效的保護了計算機，并極大的減輕了計算機的防護壓力。

　　3殺毒軟件

　　檢測和查殺病毒的軟件也可以裝一個(gè)，需要說(shuō)明的是因為殺毒軟件的滯后性，我并不建議把防范病毒的重心放在這里，而且只要做好了重要數據的備份，殺毒軟件的作用也就根本沒(méi)有想象中的那么大了。

　　(二)重點(diǎn)防御黑客

　　黑客的出現頻率在近幾年一直呈上升趨勢，與病毒相比，黑客的危險性大，破壞力強，防御也更難。

　　黑客之所以攻擊校園網(wǎng)，是因為相比較于個(gè)人，校園網(wǎng)的資源更加豐富，因此對于黑客就有著(zhù)更大的吸引力，而校園網(wǎng)預防黑客的壓力也就比個(gè)人要大的多。

　　1完善TCP/IP協(xié)議

　　眾所周知目前廣泛使用的TCP/IP協(xié)議存在著(zhù)地址漏洞，也就是IP地址可以用專(zhuān)門(mén)的軟件來(lái)進(jìn)行人為的修改，這就造成了網(wǎng)絡(luò )地址的欺騙，也就是最常見(jiàn)的黑客行為：非法訪(fǎng)問(wèn)，要防止這種情況就必須在此協(xié)議基礎上再增加除地址以外的限制條件，當來(lái)訪(fǎng)者不符合條件時(shí)，即視為非法而禁止。

　　總之一句話(huà)，完善TCP/IP協(xié)議的原則就是IP地址之外再設條件，不符合即禁止。

　　2及時(shí)升級操作系統，很多黑客的攻擊都是基于操作系統的漏洞發(fā)起的，因此，在系統的各種補丁發(fā)布以后一定要及時(shí)的下載安裝，以便封鎖系統的安全漏洞，這樣對保護校園網(wǎng)系統以及資源起到很大的作用，可以有效的預防黑客因為系統甚至部分軟件的漏洞而發(fā)起的攻擊，避免的了不必要的損失。

　　3網(wǎng)站特殊保護，即使做再多的防護措施也仍然無(wú)法保證網(wǎng)站不被攻擊，技術(shù)高明的黑客還是有可能突破層層防護并最終獲得系統的控制權限，進(jìn)而破壞網(wǎng)站或者竊取資源，這個(gè)時(shí)候可以安裝一個(gè)專(zhuān)門(mén)的軟件，對網(wǎng)站的重要網(wǎng)頁(yè)進(jìn)行保護，一旦發(fā)現被破壞，可以及時(shí)的恢復，避免造成損失。

　　4加強網(wǎng)絡(luò )監控，校園網(wǎng)的管理者應該建立一個(gè)功能完善、覆蓋全面的校園網(wǎng)監控體系，對整個(gè)網(wǎng)絡(luò )的運行狀況實(shí)施及時(shí)準確的監控和記錄，并盡可能早的發(fā)現可疑的網(wǎng)絡(luò )活動(dòng)進(jìn)而采取相應措施，從而增強網(wǎng)絡(luò )的反應能力，阻止類(lèi)似的可疑入侵活動(dòng)再次發(fā)生。

　　二、校園網(wǎng)保障制度的不斷完善

　　除了在技術(shù)層面上要預防出現問(wèn)題以外，校園網(wǎng)在管理使用等其他方面也是有必要不斷完善的，這些方面雖然不能給校園網(wǎng)提供直接的技術(shù)支持，但在客觀(guān)上間接保護了校園網(wǎng)的正常運行并充分發(fā)揮了他們的作用。

　　(一)完善的管理制度

　　要想保證校園網(wǎng)盡可能少的出現安全問(wèn)題，穩定的運行是必然的前提，這也要求必須有完善的管理制度來(lái)做保證，所謂校園網(wǎng)的管理制度也就是對負責校園網(wǎng)管理、維護、調試、維修人員的管理制度，這些制度不僅需要保證校園網(wǎng)在正常狀態(tài)下能夠順利運行，還要能夠保證在發(fā)生問(wèn)題時(shí)各相關(guān)人員之間不出現有縫銜接，換句話(huà)說(shuō)，一個(gè)開(kāi)放的網(wǎng)站是不可能保證不出現問(wèn)題的，而一旦校園網(wǎng)發(fā)生問(wèn)題，我們要求的就是盡量做到從問(wèn)題的出現到問(wèn)題的解決達到時(shí)間上的最小化，絕不能讓校園網(wǎng)長(cháng)時(shí)間處于停擺狀態(tài)。

　　否則，既影響了校園網(wǎng)作用的發(fā)揮，又讓其失去了意義。

　　(二)嚴格的使用制度

　　校園網(wǎng)的使用者多數應該是學(xué)生，他們正處于即將進(jìn)入社會(huì )的轉型過(guò)渡期，不能排除有些學(xué)生因為好奇或者為了滿(mǎn)足自身的成就感做出一些不利于校園網(wǎng)的行為，目前任何人都可以在互聯(lián)網(wǎng)上下載一些簡(jiǎn)單的黑客工具，而且這些工具使用比較方便，也有一定的破壞力，一旦對它放松警惕，極有可能造成損失。

　　雖然學(xué)生的這種行為還不能讓他們被稱(chēng)之為黑客，但對校園網(wǎng)的破壞卻是誰(shuí)都不能忽視的。

　　因此，校園網(wǎng)的使用必須嚴格控制，并做好記錄，有條件的話(huà)，盡量做到實(shí)名使用，以便在需要時(shí)有備可查。

　　三、結束語(yǔ)

　　校園網(wǎng)的安全措施是一個(gè)長(cháng)期而復雜的問(wèn)題，它不僅涉及了網(wǎng)絡(luò )技術(shù)的方方面面，還取決于學(xué)校的設備、資金以及管理狀況，每一個(gè)校園網(wǎng)建立都是通過(guò)一次次的調試不斷加以完善，我們不要也無(wú)法寄希望于一勞永逸，以上的探討只是選取了一些校園網(wǎng)最常見(jiàn)的問(wèn)題，同時(shí)也提供了一些簡(jiǎn)單的預防措施，難免掛一漏萬(wàn)，不當之處，敬請指正，讓我們攜手努力，共同維護校園網(wǎng)的安全，從而使校園網(wǎng)最大限度的發(fā)揮它自身的作用。

　　參考文獻：

　　[1]韓淑芳. 校園網(wǎng)絡(luò )安全問(wèn)題分析及防范措施[J].信息與電腦(理論版).2011(04)

　　[2]桑志強、楊興. 淺談?dòng)嬎銠C網(wǎng)絡(luò )安全[J]. 科技信息.2009(22)

　　[3]趙妮.淺談校園網(wǎng)中Web站點(diǎn)的安全防范[J].科技信息.2009(03)

　　基于校園網(wǎng)的網(wǎng)絡(luò )安全策略分析【3】

　　摘 要：當今校園網(wǎng)正逐漸發(fā)展和改善，且被廣泛應用。

　　與此同時(shí)，出現的網(wǎng)絡(luò )安全問(wèn)題也越來(lái)越頻繁。

　　校園網(wǎng)是以教育為最終目的，基于科研和服務(wù)的網(wǎng)絡(luò )。

　　校園網(wǎng)的特點(diǎn)是：多樣性的聯(lián)結形式、終端分布較自以及開(kāi)放性。

　　因此為提高校園網(wǎng)的安全，必須采取一些措施，文中針對校園網(wǎng)的安全隱患提出了一些安全策略，尤其是加強防火墻與網(wǎng)絡(luò )入侵檢測系統相結合以及一些訪(fǎng)問(wèn)權限設置等。

　　關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò )安全;防火墻;入侵檢測

　　如今計算機網(wǎng)絡(luò )技術(shù)迅速發(fā)展，校園網(wǎng)也不斷發(fā)展。

　　校園網(wǎng)對學(xué)校的一些教學(xué)活動(dòng)、學(xué)生學(xué)習、教育管理等各個(gè)方面都發(fā)揮著(zhù)重要的作用。

　　因此，維護、保證校園網(wǎng)的安全成為一項重要的任務(wù)。

　　校園網(wǎng)絡(luò )一直存在著(zhù)安全隱患，出現各種安全問(wèn)題層出不窮，最常見(jiàn)的是病毒入侵、黑客攻擊等，導致數據丟失和個(gè)人隱私泄露，給學(xué)校、學(xué)生與教師帶來(lái)巨大損失。

　　校園網(wǎng)作為學(xué)校最基礎也是最重要的設備，更要全面分析這些安全策略，來(lái)抵御任何網(wǎng)絡(luò )攻擊與威脅，使校園網(wǎng)穩定有效地運行下去。

　　1 校園網(wǎng)安全問(wèn)題分析

　　校園網(wǎng)絡(luò )系統是為儲存學(xué)生數據資料、為學(xué)生和教師提供服務(wù)并收集信息、為整個(gè)校園提供網(wǎng)絡(luò )教育的一個(gè)平臺。

　　因此，校園網(wǎng)絡(luò )安全策略的目的是防止人們?yōu)E用甚至竊取所有校園數據資源，并抵御網(wǎng)絡(luò )黑客和各種病毒、木馬程序的攻擊。

　　應保證校園網(wǎng)絡(luò )系統安全有效的運行，保證教學(xué)完善進(jìn)行。

　　1.1 校園網(wǎng)出現安全隱患的原因。

　　首先，由于網(wǎng)絡(luò )管理員在設置上造成的一些失誤，例如對校園網(wǎng)的操作系統、硬件設備以及相關(guān)軟件進(jìn)行的配置不當所造成的一些安全漏洞問(wèn)題，所導致的未安全設置路由器IP、用戶(hù)的訪(fǎng)問(wèn)權限過(guò)大以及過(guò)多打開(kāi)服務(wù)器端口等。

　　這些情況都會(huì )給校園網(wǎng)安全帶來(lái)巨大的隱患。

　　其次，一些人利用網(wǎng)絡(luò )安全漏洞，對校園網(wǎng)絡(luò )數據進(jìn)行惡意破壞，他們可能會(huì )攻擊學(xué)校的Web服務(wù)器，破壞學(xué)校主頁(yè)、竊取學(xué)校機密文件、向學(xué)校服務(wù)器發(fā)送大量信息而導致校園網(wǎng)絡(luò )癱瘓等。

　　1.2 校園網(wǎng)絡(luò )安全隱患的后果。

　　校園網(wǎng)存在的網(wǎng)絡(luò )隱患包括：使用病毒、木馬程序、惡意代碼等進(jìn)行郵件發(fā)送和接收、遠程管理等一些手段進(jìn)行傳播，其傳播速度越來(lái)越快，并且破壞性極大。

　　并且各種病毒、木馬程序等被不斷更新，更加智能化。

　　這些安全隱患問(wèn)題所造成的損失巨大。

　　學(xué)校的數據可能被破壞或篡改，甚至會(huì )丟失;一些加密文檔、數據被竊取或盜用、一些不良信息被傳播、學(xué)校教師或學(xué)生的個(gè)人隱私被泄露。

　　2 校園網(wǎng)絡(luò )的安全防護技術(shù)

　　我國的校園網(wǎng)通常以防火墻和入侵檢測系統作為網(wǎng)絡(luò )安全防護系統。

　　各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設備也需要不斷地進(jìn)行改進(jìn)，各種殺毒軟件也需不斷進(jìn)行升級，且防御意識也要不斷加強。

　　不經(jīng)意的疏忽都有可能給學(xué)校造成很大損失。

　　2.1 防護墻技術(shù)。

　　一般網(wǎng)絡(luò )安全的第一道防線(xiàn)是處于外網(wǎng)與校內網(wǎng)相連位置的防火墻。

　　防火墻最主要的任務(wù)是：根據規則對請求進(jìn)出的所有網(wǎng)絡(luò )數據進(jìn)行審查，只有滿(mǎn)足規則的數據才會(huì )被允許通過(guò)網(wǎng)絡(luò );反之則被拒絕。

　　其缺點(diǎn)是：因為防火墻技術(shù)屬于被動(dòng)的網(wǎng)絡(luò )防護技術(shù)，所以它無(wú)法將病毒性的數據檢測出來(lái);由于校園網(wǎng)內部用戶(hù)網(wǎng)絡(luò )流量未經(jīng)過(guò)防火墻，因此它不能防御校園網(wǎng)內部一些用戶(hù)發(fā)起對FTP服務(wù)器、web服務(wù)器、DNS服務(wù)器以及MAIL服務(wù)器等的攻擊。

　　另一方面，如果這些服務(wù)器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務(wù)器進(jìn)行轉發(fā)，導致其靈活性下降且功能特性較差;對于抵御外網(wǎng)的攻擊和入侵比較困難，甚至對一些警報有時(shí)無(wú)法作出及時(shí)的響應;系統管理員只有時(shí)刻仔細監視防火墻，才可能會(huì )注意到黑客的攻擊，這樣非常不方便;另外探測與測試防火墻的配置較困難。

　　2.2 入侵檢測系統。

　　首先，入侵檢測系統(IDS)是指任何有能力進(jìn)行檢測或改變網(wǎng)絡(luò )狀態(tài)的系統，或者是系統的集合。

　　之后IDS能夠發(fā)送警報或是采取設定的行動(dòng)來(lái)維護網(wǎng)絡(luò )安全。

　　IDS的一些主要功能：對系統活動(dòng)和用戶(hù)進(jìn)行分析并監測，可以對一些重要的資料、文獻、數據等進(jìn)行評估，判斷它們的完整性;負責系統日志的管理工作，對已知攻擊行為和違反安全策略的用戶(hù)活動(dòng)能夠識別出來(lái);可以對系統的配置進(jìn)行檢測，并能夠找出漏洞。

　　IDS在結構上分為基于主機的IDS即HIDS與基于網(wǎng)絡(luò )的IDS即NIDS。

　　最特別的HIDS是PortSentry軟件，通常HIDS的數據源為系統日志和應用程序日志等，分析從主機獲取的信息，將其作為監控程序來(lái)運行，一般其保護的是自身所在的整個(gè)系統。

　　而NIDS工作于OSI-RM網(wǎng)絡(luò )層，以網(wǎng)絡(luò )上的數據包作為數據源并對其進(jìn)行分析。

　　通常在部署NIDS時(shí)會(huì )將主機的網(wǎng)卡設置成混雜模式，以監聽(tīng)、分析所有本網(wǎng)段內的數據包。

　　3 校園網(wǎng)的安全策略分析

　　3.1 登錄控制。

　　登錄控制主要保證網(wǎng)絡(luò )資源被非法使用或訪(fǎng)問(wèn)，是一種較為有效的網(wǎng)絡(luò )安全防范和保護措施。

　　登錄控制能夠有效監測校園網(wǎng)絡(luò )的用戶(hù)登錄到服務(wù)器和路由器等網(wǎng)絡(luò )設備來(lái)獲取信息資源，可控制監測用戶(hù)進(jìn)入網(wǎng)絡(luò )的時(shí)間及地點(diǎn)。

　　一般用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )控制有以下三個(gè)步驟：識別和驗證用戶(hù)名、用戶(hù)口令以及用戶(hù)賬號的缺省限制檢查。

　　其中只要有任何一項未通過(guò)，此用戶(hù)都不能進(jìn)入網(wǎng)絡(luò )。

　　所以，通過(guò)登錄控制能夠進(jìn)一步保證校園網(wǎng)絡(luò )安全。

　　3.2 權限控制。

　　針對網(wǎng)絡(luò )的非法操作提出了權限控制，它賦予訪(fǎng)問(wèn)用戶(hù)與用戶(hù)組一定的權限，以限制其對資料、目錄、文件以及其他共享資源的訪(fǎng)問(wèn)，對打印機等共享設備的操作。

　　也是一種保護校園網(wǎng)絡(luò )安全的策略。

　　3.3 定制IP安全策略。

　　在Windows 2000中最新提供了一種基于點(diǎn)到點(diǎn)安全模型的IP安全策略，它可以更好的保證網(wǎng)絡(luò )數據的安全。

　　為防止一些惡意病毒程序對本地機器的訪(fǎng)問(wèn)，在工作時(shí)可關(guān)閉服務(wù)為空的端口。

　　IP安全策略能夠安全有效地將計算機的數據傳送到終端計算機。

　　3.4 虛擬網(wǎng)絡(luò )的控制。

　　如果校園網(wǎng)絡(luò )是由交換式局域網(wǎng)技術(shù)組建的， 那么通過(guò)擬網(wǎng)絡(luò )技術(shù)可以加強其內部網(wǎng)絡(luò )管理。

　　虛擬網(wǎng)絡(luò )技術(shù)的核心是網(wǎng)絡(luò )分段，它按不同的部分和安全機制來(lái)隔離網(wǎng)絡(luò )，來(lái)避免用戶(hù)非法進(jìn)入系統。

　　網(wǎng)絡(luò )分段有物理和邏輯兩種分段方式。

　　在物理層和數據鏈路層進(jìn)行網(wǎng)絡(luò )分段的為物理分段;在網(wǎng)絡(luò )層進(jìn)行整個(gè)系統分段的為邏輯層。

　　分開(kāi)的各網(wǎng)段之間無(wú)法直接通信。

　　一般情況下將物理分段與邏輯分段相結合來(lái)進(jìn)行實(shí)際應用。

　　3.5 將防火墻與入侵檢測系統結合。

　　防火墻是最基本保證網(wǎng)絡(luò )安全的措施，它可按照需要來(lái)阻斷或允許網(wǎng)絡(luò )進(jìn)入。

　　IDS是對防火墻進(jìn)行的重要修補，其基本作用是監測內部網(wǎng)絡(luò )流量，并對所識別到的攻擊進(jìn)行報警。

　　防火墻是最有效的減小掃描威脅的方式。

　　而IDS可探測與阻礙主機的掃描，不能作為以防火墻的作用來(lái)維護網(wǎng)絡(luò )安全。

　　因為采用防火墻與IDS相結合不僅可以保護到校園網(wǎng)絡(luò )受外界攻擊，還能夠檢測校園網(wǎng)內部的網(wǎng)絡(luò )通信進(jìn)行和流量，并采取響應措施如報警或抵抗行為。

　　所以這是最好的一種網(wǎng)絡(luò )安全策略。

　　3.6 安裝防毒殺毒軟件。

　　最常用的一種網(wǎng)絡(luò )安全防范手段就是安裝防毒殺毒軟件。

　　防毒殺毒軟件可根據病毒庫來(lái)對收到的郵件和信息、下載的信息數據、U盤(pán)等移動(dòng)設備來(lái)進(jìn)行殺毒，是對防火墻與入侵系統強有力的補充。

　　但是病毒軟件也存在弊端，因為它是根據病毒特征庫進(jìn)行查毒和殺毒，只能對病毒特征庫中存在的病毒進(jìn)行檢測和查殺，所以它不能夠有效欄截最新出現的一些病毒。

　　由此看來(lái)，仍要加強對我國校園網(wǎng)的安全策略的完善。

　　4 結束語(yǔ)

　　保護校園網(wǎng)絡(luò )的安全是一項任重而道遠的任務(wù)，遇到的問(wèn)題越來(lái)越復雜。

　　但隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷更新發(fā)展，對各種安全隱患問(wèn)題的研究與探索，可以有效地保護校園網(wǎng)絡(luò )的發(fā)展。

　　通過(guò)采用防火墻技術(shù)與入侵檢測系統相結合，對校園網(wǎng)絡(luò )進(jìn)行權限設置等，可以有效地提高校園網(wǎng)絡(luò )的安全系數。

　　參考文獻：

　　[1]黃彬.淺析高校網(wǎng)絡(luò )安全存在的問(wèn)題及對策[J].信息安全與技術(shù)，2011(02)：78-79.

　　[2]張莉.淺談校園網(wǎng)的安全隱患及防范措施[J].網(wǎng)絡(luò )安全技術(shù)與應用，2011(01)：102-103.

【校園網(wǎng)信息安全策略】相關(guān)文章：

10-05

10-05

10-11

10-05

10-08

10-07

10-08

10-08

10-08