校园网络安全优选九篇

引言：易发表网凭借丰富的文秘实践，为您精心挑选了九篇校园网络安全范例。如需获取更多原创内容，可随时联系我们的客服老师。

第1篇

关键词:校园网;网络安全;病毒;防火墙

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

网络的应用日益丰富,目前e-mail、ftp、WWW已经非常普遍。近几年发展起来的VOD点播、网上交友、网上游戏、网上求职、网上购物、网上医疗以及网上学习等也是如火如荼、虽然这些应用还处于发展阶段,但是有很大的发展前景。目前校园网的建设也得到了快速的发展,全国绝大多数的高校建成了自己的校园网络。

随着网络规模的急剧膨胀、网络用户的快速增长,关键性应用的不断普及和深入,校园网已经成为教育行业信息化的关键网络基础设施。伴随着校园网络的发展,“数字校园”概念逐渐被高等院校采纳并实施。可以说,高速、稳定、安全、可管理是“数字校园”建设的基本要求和最终目标。下面就我个人在工作中的经验,谈谈对校园网安全的一些看法。

1 系统的安全

虽然操作系统的功能及安全性日趋完善,但从目前来看,最近流行于网络上的“ARP”、“机器狗”等病毒都是利用系统的漏洞进行传播的。各种系统都或多或少存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题。作为一个网络管理人员,及时发现并修补系统漏洞是主要任务。对于正在使用的软件和服务,应该密切关注其官网的最新版本和安全信息,一旦发现有关的安全问题就立即对软件进行必要的补丁和升级。

一般启动操作系统时,会同时启动数十个服务,但有些服务时没有必要的,反而会成为黑客、病毒和木马入侵的隐患。如允许远程修改注册表、提供IPC连接、默认共享等,应及时关闭这些服务。同时严格控制用户向系统的访问,可以利用身份验证和用户权限控制技术,两者结合使用,给予不同的用户不同的操作权限,实现信息安全的分级管理。

2 防火墙与入侵检测系统的使用

应用服务器在校园网中的使用量很大,极易成为黑客攻击的主要对象。因此们需要对所有的外部网络接口隔离,用防火墙在内 外网之间构建一道安全屏障。防火墙会对数据包进行过滤,阻止外部非法用户的访问和破坏。所以在防火墙配置上,我们要根据每个学校的需求设置正确的安全过滤规则,网络管理人员应定期查看防火墙的记录日志,及时发现攻击行为和不良记录并采取相应的对策。

入侵检测系统相对防火墙,是一种积极主动的安全防护技术,能够在系统受到危害前发出警报。即使一个系统中不存在某个漏洞,但是检测系统仍然可以检测到相应的攻击事件并调整状态做出警告。所以,入侵监测系统能够及时发现攻击行为,防火墙能够有效的阻止和处理攻击行为,将两者集合使用能更加有效的保护网络安全,将安全隐患降到最低。

3 个人用户安全

大多数的校园网用户安全意识淡薄,比如不使用杀毒软件或不及时更新病毒库;不及时更新系统漏洞;使用移动存储时没有事先杀毒;接受或运行来历不明的文件或邮件;浏览黄色或非法网站等行为,这些行为都有可能导致电脑中毒。中毒后对方能在你的电脑上上传、下载文件,偷取你的各种账号信息及密码。除了能泄露个人资料外,如今很多病毒能够通过用户单机对校园网进行攻击,恶意的向被攻击服务器发送信息,严重的占用校园网带宽,致使网络运行速度慢,严重的更处于一种瘫痪的状态。

所以个人用户的安全也不能小视,作为网络管理人员,在推广网络应用的同时,也要加强上网行为安全的宣传教育工作,并制定相应的制度,防范和制止各种违法行为。

4 结论

校园网安全体系是一个动态的、不断发展的机制,当然不论我们怎么防范,由于系统和软件本身的局限性和计算机网络的开放性,我们都不可能彻底的消除所有网络系统的安全隐患。但是作为一名网络管理人员,我们需要提高工作热情,加强责任心,头脑中时刻具备安全意识,提高自己的专业知识和技能,为广大师生提供更快、更安全的校园网环境。

参考文献:

[1] 贾遂民.校园网络安全分析与对策[J].卿城大学学报:自然科学版. 2005(2):83-86.

[2] 凌捷,肖鹏,何东风. 防火墙本身的安全问题浅析[J].计算机应用与软件 2004(7):138-140.

第2篇

摘要：校园网络作为信息化建设的主要载体，校园网络安全已经成为当前校园网络建设中不可忽视的首要问题。本文介绍了当前校园网络中常见的安全隐患：系统漏洞、病毒破坏和网络攻击，并将校园网络安全管理分为硬件管理和软件管理。

关键词：校园网；安全隐患；安全管理

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不收偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络服务器不中断。它是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

随着教育信息化的发展，校园网络在校园管理、日常教学等方面正扮演正扮演着越来越重要的角色。在国家“校校通”工程的推动下，许多学校都将自己的内网与Internet进行联通，网络安全逐渐成为Internet及其各项网络服务和应用进一步发展的重要问题，网络安全亦在与网络攻击的对抗中不断发展。网络的生命在于其安全性，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。

校园网与Internet相连，且速度快和规模大，在享受Internet方便快捷的同时局限性面临着遭遇攻击的风险。高校校园网目前普遍使用了百M到千M甚至万M实现园区主干互联。校园网的用户群比较密集。正是由于高宽带和用户多的特点，网络安全问题一般蔓延快，对网络的影响比较严重。当前校园网网络常见的安全隐患有以下几种。

1.计算机系统漏洞

目前校园网中使用的操作系统存在安全漏洞，对网络安全构成威胁。网络服务器安装的操作系统有INNT/2000、UNIX、LINUX等，这些系统安全风险级别不同，例如，WINNT/2000的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等，这些漏洞个就是一个个安全隐患。

2.计算机病毒的破坏

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、是网络效率下降，甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。计算机病毒具有以下特点：一是攻击隐蔽性强；二是繁殖能力强；三是传染途径广；四是潜伏期长；五是破坏力大。如ARP欺骗病毒、熊猫烧香病毒、网络执行官、网络特工、ARPKILLER、灰鸽子等木马病毒、表现为集体掉线、部分掉线、单机掉线、游戏账号、QQ账号、网上银行卡等账号和密码被盗等等，严重威胁了校园网络的正常使用。

3.网络攻击

网络攻击包括很多方面，有黑客攻击法、IP欺骗法、拒绝服务攻击法和信息梗阻法。在校园网里普遍发生的是拒绝服务攻击，这是因为校园用户集中度高、密度大为拒绝攻击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高，这种攻击不是以获得网络的控制权和信息的访问权为目的，而是为了使网络服务不能正常运行。当Web服务器或FTP服务器这些专门的网络应用服务遭到拒绝服务攻击时，攻击者能够获得并把持服务器支持的所有有用链接，而将服务器真正的用户有效地关在外面。大部分拒绝服务攻击是利用被攻击系统整体结构设计上的弱点，而不是利用软件的缺陷或安全漏洞。

前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

校园网安全管理包括各种网络安全的规章制度、安全策略、口令规则等，其主要分为对硬件的安全管理、软件的安全管理两部分。

1．对硬件的安全管理

硬件设备的管理，包括交换机的地址管理、主交换机的虚拟网划分、路由器的设置等。在局域网内，学校应尽量采用动态地址与静态地址相结合的方法管理。一些重要处室应有固定IP地址，既方便与其他终端通信，又能够在主服务器不I作的情况下正常工作，便于校内事务的管理和数据的传输、保存，其他的终端全部采用动态地址。合理划分虚拟网，使各个功能相同或相近的终端位于同一虚拟网下，方便它们彼此间的通讯，保证数据的安全性。

2．对软件的安全管理

软件管理是整个校园网的核心，整个校同网的软件系统主要包括以下几个部分：网络操作系统、网络杀毒软件、网络管理软件等。其中网络操作系统是整个网络的基础，对于Windows操作系统，由于使用较方便，而且在其基础上开发的各种软件较多，故使用得较多，但系统的安全性相对较差。而对于Linux操作系统，它的稳定性和安全性都较Windows高，不过其要求的技术条件较高且应用软件相对较少。一般可采用Windows2000 Server作为网络操作系统，而服务器的配置与维护就是软件管理的核心内容。数据的备份及保存是非常关键的，可以应用Windows 2000提供的系统备份功能进行数据的备份，也可采用数据库本身的数据备份工具将数据备份到硬盘上，也可定期将数据存储到光盘上。校园网还需要在其他方面进行安全设置，实现对网络的安全管理，如设置防火墙、设置服务器等。

总之，由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易被泄露和破坏，因此校园网的高效运行更依赖于对网络安全的管理、预防和维护，这样才能提高网络的利用率，保证数据的安全性，充分发挥校园网的作用，使其为学校的教学和管理服务。（新疆沙湾县教师进修学校；新疆;沙湾;832100）

参考文献

［1］ 姚南生.校园网安全策略的探讨［J］.淮南师范学院学报,2003,(3).

第3篇

关键词: 校园网络平安 系统平安 网络运行平安 内部网络平安 防火墙

许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但校园网用户在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的瘫痪,严重影响了校园网的正常运行。所以在积极发展办公自动化,实现资源共享的同时,校园网用户都应加强对校园网络安全的重视。因此,如何在现有的条件下,搞好网络安全,就成了校园网络管理人员的一个重要课题。

高校网络管理员肩负着校园网络的维护和管理责任,同时也承担维护系统安全、网络运行安全和内部网络安全的责任。维护好网络安全,我们可从以下几个方面着手。

一、系统安全

主要措施有反病毒、入侵检测、审计分析等技术。系统安全包括主机和服务器运行安全。我们可采用以下措施来保护系统的安全。

1.反病毒技术。计算机病毒是引起计算机故障、破坏计算机数据的主要原因之一。特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等,从中发现是否有违反安全策略的行为和被攻击的迹象,

2.入侵检测。入侵检测指对入侵行为的发现。通过对计算机网络或计算机系统中的若干关键点收集信息并对它进行分析,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞,统计分析异常行为,等等。

发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从目前来看,系统漏洞的存在成为网络安全的首要问题。从系统中发现漏洞不是一般网络管理人员所能做到的,但是,及早地发现有报告的漏洞,并进行升级补丁却是应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于已使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多网络管理员对此认识不够,以致于过了几年,还能扫描到机器存在许多漏洞。校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统存在的漏洞也就越多,也就有更多的危险。因此从安全角度考虑,网络管理员应将不必要的服务关闭,只向公众提供所需的基本的服务。最典型的校园网服务器中对公众通常只提供Web服务功能,而没有必要向公众提供FTP功能,这样,服务器的服务配置中,只开放Web服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3.审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程。它还能指出系统正被怎样地使用。在确定是否有网络攻击的情况时,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处置的重要依据。另外,通过对安全事件的不时收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能发生的破坏。除使用一般的网管软件系统、监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的罕见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。

二、网络运行安全

要保证网络运行安全,除采用各种安全检测和控制技术来防止各种安全隐患外,我们还应该具备尽快地全盘恢复运行计算机系统所需的数据的功能,即将所有文件写入备份介质。一般数据备份操作有两种:一是全盘备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法。二是差分备份,备份上次全盘备份之后更改过的所有文件,有“冷备份”和“热备份”两种方案。“热备份”指下载备份的数据还在整个计算机系统和网络中,根据备份的存储媒介不同,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,系统恢复时重新安装。其特点是便于保管,用以弥补“热备份”的一些不足。进行备份的过程中常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离。常用的措施是内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

采用防火墙技术是目前维护内部网安全的最主要的同时也是最在效和最经济的措施之一。防火墙不同网络或网络安全域之间信息的唯一出入口,防火墙在内外网隔离及访问系统中,能根据平安政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进出的数据,管理进出网络的访问行为,封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全维护融合到系统的整体安全战略中,才能实现真正的平安。

保证网络系统安全最有效的方法是定期对网络系统进行安全性评估分析,检查系统存在弱点和漏洞,采取弥补措施和安全策略,达到增强网络安全性的目的。

参考文献:

第4篇

关键词：校园网络；网络安全；系统安全

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享起到了无法估量的作用。但一些教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。网络的生命在于其安全性。因此，如何在现有的条件下，搞好网络的安全，就成了校园网络管理人员的一个重要课题。

一、校园网络现状

随着电脑的普及，计算机技术并没有像早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识，对于生活在学校的学生们就更不用说了。几乎每所学校都有其自身的网络体系，无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度，不必拘泥于灌输死板的概念内容，而是灵活的动态模式，这样才能更好地激发学生的学习兴趣。在大家看来每所学校所关心的安全领域问题是大致相同的，无论是在哪方面，无疑就是网络是否畅通，上网是否安全，网络是否可以抵御黑客攻击，上网时我们的账号是否存在风险等问题。网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。

二、系统安全

系统安全包括主机和服务器的运行安全，主要措施有反病毒、入侵检测、审计分析等技术。

（一）反病毒技术

计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染给其它程序，并进行自我复制，特别是在网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。

（二）入侵检测

入侵检测指对入侵行为的发现。它通过对计算机网络或计算C系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。在校园网中服务器为用户提供着各种的服务，但是服务提供得越多，系统就存在越多的漏洞，也就有更多的危险。因此，从安全角度考虑，应将不必要的服务关闭，只向公众提供他们所需的基本的服务。

（三）审计监控技术

审计监控不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、类聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏。

三、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施，保证网络受到攻击后能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补“热备份”的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。

四、内部网络安全

为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

（一）访问控制

在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全最主要，同时也是最有效和最经济的措施之一。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。

（二）网络安全检测

第5篇

关键词：校园网；网络安全；网络管理

中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)06-11545-02

1 引言

随着“校校通”工程、教育城域网的深入开展，许多学校都建立了校园网络并投入使用，这无疑对丰富教学形式，实现资源共享，加快信息处理，提高工作效率都起到无法估量的作用。校园网络在学校的信息化建设中扮演了至关重要的角色，但在网络建设的过程中，由于对技术的偏好和网络安全意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害成为各个学校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

2 目前校园网络中普遍存在的安全问题

2.1 网络安全方面的投入不足，没有系统的网络安全设施配备

大多数学校网络建设经费不足，所以就将有限的经费投在关键设备上，对于网络安全建设没有比较系统的投入，使得校园网处在一个开放的状态，没有有效的安全预警手段和防范措施。

2.2 缺少专业的网络管理员

网络出口、网络监控、日志系统等缺乏有效的管理，上网用户的身份无法唯一识别，存在极大的安全隐患。

2.3 电子邮件系统极不完善，缺乏安全管理和监控的手段

电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决

2.4 网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。

网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。

2.5 网络安全意识淡薄，没有指定完善的网络安全管理制度

校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。

综上所述，校园网络安全的形势非常严峻，目前，许多学校的校园网都以WINDOWS NT做为系统平台，由IIS（Internet Information Server）提供WEB等等服务。下面本人结合自己校园网络管理的一点经验与体会，提几个基本的、关键的解决方案。

3 校园网络安全解决方案

3.1 配备完整的、系统的网络安全设备，规范出口的管理

校园网出口配备了双冗余的Cisco PIX535防火墙，把校园网络分成三个隔离网段：校园内部各功能网、DMZ区、Internet。通过防火墙的隔离，防止了跨网攻击、网络间干扰等安全隐患，同时病毒的感染范围也可以得到有效的控制，使各网段的安全性大大提高。

我校校园网采用了包括路由器、防火墙和交换机在内的三层立体集成化安全防御。第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，为防止外部用户对服务器进行非法操作，对服务器的内容进行删除、修改等破坏，必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能，可防止各服务器受到来自外部的破坏。第二层防护由PIX防火墙保障。PIX防火墙将校园内部网和外部完全分开，PIX是内部各网络子系统对外的惟一出口，通过使用PIX防火墙隔离内、外网络，更进一步保障了内部网络的安全。第三层防护由交换机提供。网络管理员在核心交换机部署防火墙模块，这是抵御外部攻击的第三道屏障，也是防止内部攻击的有利手段。

3.2 服务器安全措施

3.2.1 密码的设置

众所周知，用密码保护系统和数据的安全是最基本、最常用的方法。但目前发生的大多数安全问题，还是由于密码管理不严造成的，因此密码口令的有效管理是非常基本的，也是非常重要的。首先，绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，“入侵者”就能通过网络轻而易举的进入系统，另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出的字符作为密码，例如常有人将自己名字的缩写或6位相同的数字进行密码设置。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中，有一个sam文件，它是windows NT的用户帐户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如L0phtCrack）对它进行解码分析。在用L0phtCrack破解时，如果使用"暴力破解" 方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。

3.2.2 及时为系统打补丁

对于Windows操作系统的服务器，采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统，网络管理人员时刻关心相关厂商的网站上的补丁列表，及时为系统打上相应的补丁。

3.2.3 用户终端IP地址配置

我校选用支持DHCP Snooping功能的接入交换机，用户的IP地址只能由网络中心分配，而不能来自非法的IP地址提供者。对于学校的职能部门，因为存在一些专用服务器，为了防止用户将IP地址手动设置成服务器的地址而造成冲突，职能部门的接入交换机全部采用支持IP SourceGuard的交换机，用户必须从DCHP服务器取得IP地址才可进行通信，私自设定IP地址将会自动被交换机禁止。

3.2.4 进行有效的监控和管理

上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证这个记录的法律性和准确性。

4 用户终端系统安全措施

用户终端的安全包含两个方面：一个是操作系统的安全性，一个是应用程序的安全性。 针对操作系统的安全性，我校的校园网内安装了Windows更新服务器，每天凌晨定时从微软网站同步下载补丁程序，并及时下发给终端机，使终端机能及时获得更新的操作系统补丁。 应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响，针对病毒影响，我们采用了两层安全模式：一是在校园网内安装了网络版的瑞星杀毒软件；二是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关，一旦发现下联的客户机有中毒的症状，则主动切断用户的连接，并将用户的链接定向到瑞星杀毒软件进行查杀病毒，并通过自行编写的ActiveX控件更改客户端的注册表，使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响，要求校内终端用户安装Windows Defender。

5 完善电子邮件系统，提供安全监控和管理功能

针对目前邮件系统存在的安全隐患，我校的邮件系统采用Eyou的产品，我们在Eyou系统中内嵌了杀毒软件，对用户的邮件直接进行病毒的查杀。对于出入学校的邮件，进行垃圾邮件检查、病毒检查。

6 配备专业的网络安全管理员，严格管理制度

第6篇

关键词：网络安全系统安全网络运行安全内部网络安全防火墙

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理，我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。

2、入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏。

因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。

三、内部网络安全

为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

1、访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。

以上只是对防范外部入侵，维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施，健康正常的校园网络需要广大师生共同来维护。

参考文献

1.局域网组建与维护DIY.人民邮电出版社,2003.05

第7篇

一、防病毒技术

新型病毒层出不穷，传播速度快，破坏能力越来越强。校园网必须在网络系统的各个环节严加防范，才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大，要建立全面的主动病毒防护体系，在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关，也要安装防病毒软件进行拦截，以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性，在Internet浏览、下载的信息时有可能传播病毒到内部网络上，防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏，发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。

目前，主流的防病毒产品主要有赛门铁克、趋势、江民、金山等，网络上也不乏免费杀毒软件，如360杀毒。首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描，注意定期查杀，及时进行软件的更新。

二、防火墙与网络隔离技术

配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙，网上这样的免费或限时软件很多，比如：360安全卫士、天网。校园内外网之间，可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统，安全性有较大限制，速度也比较慢，建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统，甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统，它们的速度快、性能高、处理能力强。目前，常用的软件防火墙有Checkpoint、KFW傲盾、天网等，常用的硬件防火墙有Net Screen、Cisco、Hill stone等，还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。

网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统，内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带，消除了基于网络协议的攻击。这种技术的应用，必将使校园网络管理高效化、简单化，安全级别也更高。

三、VLAN技术

随着校园网络规模扩大，网内机器超过200台时网络管理将极为困难。在实际应用时，采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备，各子网之间无法直接通信，信息仅在VLAN内的成员之间传送，限制非成员数据转发，从而减少了主干网的数据流量，控制网络风暴在必要范围内，并增强网络的安全性，利于管理。根据校园网管理特点，通常选择下面三种方法划分VLAN。

（1）基于端口的划分。根据以太网交换机的端口划分不同VLAN，可以把跨交换机的端口划分到同一VLAN中，一个VLAN对应一个端口集合，一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl；把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行，但是灵活性差。当教学用机需要移动时，新端口不位于原VLAN中时，机器不能直接连接通信，需要管理员重新定义端口配置。

（2）基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机，一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中，所有学生机的MAC地址添加到VLAN2中。配置完成后，交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置，更换端口，也不会改变其所属的VLAN。这种方法，用户使用灵活，但是管理员工作量大而烦琐：初始化时，如果用户数量较多，要收集所有计算机MAC地址，对所有计算机进行配置，工作量极大；后期，每一台新计算机入网时，也需要添加到对应的VLAN中，否则不能连接。

（3）基于IP地址划分。校园网中的网络层IP地址对应一台计算机，一个VLAN就是一个IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用，把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点，用户计算机可以不修改网络配置移动，并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发，都需要检查TCP／IP协议的网络层，网络工作效率低。

目前，应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等，这些网络设备也不一定具备VLAN所有划分方式。因此，学校要根据自己的要求和价格承受能力，选择不同层次和功能的VLAN网络设备，再根据实际设备选择适合的VLAN划分方式配置网络。

四、云防护技术

校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多，这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大，破坏性越来越强。许多校园网络工作站点要么成为“僵尸”，要么成为被攻击的对象。比如：“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击；还有“零日攻击”指恶意运用立即被发现的安全漏洞，利用时间差在网络未及防范的情况下实施攻击。

第8篇

关键词：网络 安全 黑客

高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一，中国的高校校园网一般都最先应用最先进的网络技术，网络应用普及，用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂、困难。尤其最近暴发的“红色代码”、“蓝色代码”及“尼姆达”等病毒，使人们更加深刻地认识到了网络安全的重要。正如人们所说的：网络的生命在于其安全性。因此，如何在现有的条件下搞好网络的安全，就成了网络管理人员的一个重要课题。

许多学校的校园网都以Windows2000Server做为系统平台，由IIS（Internet Information Server）提供Web等等服务。下面本人结合自己对Windows2000Server网络管理的一点经验与体会，就技术方面谈谈自己对校园网安全的一些看法。

一、密码的安全

众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用的之一。目前发现的大多数安全问题，是由于密码管理不严，使“入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。

在密码的设置安全上，首先绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，“入侵者”就能通过网络轻而易举地进入系统。笔者曾经发现并进入多个这样的系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门。

其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点，它们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。

密码的长度也是设置者所要考虑的一个问题。在Windows2000Server系统中，有一个sam文件，它是Windows2000Server的用户帐户数据库，所有用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如L0phtCrack）对它进行解码。在用L0phtCrack破解时，如果使用“暴力破解”方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的，但是你又容易记得的密码。另外，适当地交叉使用大小写字母也是增加被破解难度的好办法。

二、系统的安全

曾经流行于网络上的“红色代码”、“蓝色代码”及“尼姆达”病毒都利用系统的漏洞进行传播。从目前来看，各种系统或多或少都存在着各种的漏洞。系统漏洞的存在就成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“红色代码”、“蓝色代码”及“尼姆达”病毒的传播流行的Unicode解码漏洞，早就被发现，且没隔多久就有了解决方案和补丁，但是许多的网络管理员并没有及时地发现和补丁，以致于过了很久还能扫描到许多机器存在该漏洞。

在校园网中服务器为用户提供着各种的服务，但是服务提供得越多，系统就存在越多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供Web服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放Web服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖来自不可信赖数据源的数据也是造成网络不安全的一个因素。

三、目录共享的安全

在校园中，利用在对等网中对机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个。但在设置过程中，要充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段，发现共享的机器就有十几台，而且许多机器是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。所以，为了防止资料的外泄，在设置共享时一定要设定访问密码。只有这样，才能保证共享目录资料的安全。

四、木马的防范

相信木马对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！木马应该说是网络安全的大敌，并且在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。

木马感染通常是执行了一些带病毒的程序而驻留在你的计算机当中，计算机启动后，木马就在计算机中打开一个服务，通过这个服务将你计算机的信息、资料向外传递，在各种木马中，较常见的是“冰河”，笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中（个人用户），偶尔都会发现一、二个感染冰河的计算机。由此可见，个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马，危害更是可怕。

木马的清除一般可以通过各种杀毒软件来进行查杀。对于新出现的木马，我们的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口，我们平时多注意一下服务器中开放的端口，如果有一些新端口的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。

以上只是笔者对防范外部入侵、维护网络安全的一些粗浅看法，当然对于这些方面的安全还可以通过设置必要的防火墙，建立健全的网络管理制度来实现。但是在网络内部数据安全上，还必须定时进行数据安全备份。对于硬盘中数据备份的方法很多种，我们提倡通过镜像卷的设置来进行实时数据备份，这样即使服务器中的一个硬盘损坏，也不至于数据丢失。

参考文献：

第9篇

1．1网络安全的定义

国际标准化组织（ISO）将网络安全［2］定义为：为数据处理系统建立相应的安全保护措施，保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露，从而保证了网络服务不中断，使得系统可靠安全地运行．上述网络安全的定义包含两方面内容：物理安全和逻辑安全．其中物理安全是指在构建网络系统的时候，保证物理线路能够防雷、放火、防水、防盗等，能够保证物理线路连续的进行数据传输．而逻辑安全通常指的是传输在网络上数据的信息安全，即对网络上传输信息的保密性、可用性和完整性的保护．另一方面，网络安全性的涵义也可以理解成是信息安全的一种引申，即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护．概括的说，可以将网络安全定义为：为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施，从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性．

1．2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征．保密性：信息未经授权不泄露给任何用户，而且信息的特性也具有保密性，其它非授权用户、实体或过程无法利用其特征．可用性：用户经过授权后可按需使用，即授权用户当需要该信息时能否正常存取．网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等．可控性：对网络中传播的信息及其内容具有控制能力．可审查性：当网络中出现安全问题时可提供相应的依据与手段，便于追踪攻击源．完整性：用户未经授权不能随意改变数据的特性，即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性，保证了信息的完整性．

2校园网建设概述及其安全威胁

随着互联网的快速普及，校园网建设已经成为学校的基础建设之一，教育信息化、数字化已经成为教育发展的主方向，校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一，并发挥着越来越重要的作用［3］．另一方面，随着国家科教兴国战略的实施，政府加强了对学校的投资，由此也加强了学校对校园网的建设．中国教育和科研计算机网（CER－NET）的成立，标志着教育网的形成．CERNET主干网络传输速率已达到2．5Gpbs，总容量达40Gpbs，它吸引超过1000所高校的鼎力加盟，覆盖全国超过200个城市．目前，大部分学校都已建成校园网，实现了校园网的整体覆盖，包括办公楼、教学楼、宿舍楼等．校园网同时与Internet对接，实现了校园办公教学的信息化、自动化．如图1所示，为一个简单的校园网组网模型．随着CERNET的建设不断提高，校园网已经成为互联网的重要组成部分之一，是学校信息化、数字化建设的基础设施，同时担任着科研与教学的重要任务．然而，目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足，这些都极大阻碍了校园网的发展．因此合理地对校园网络升级，是目前学校校园网工程的首要目标之一［4］．同时，校园网作为学校数字化、信息化的基础设施，安全问题不容忽视．在互联网开放程度很高的今天，校园网往往最容易成为黑客攻击的目标．威胁校园网安全的因素有很多，但主要的安全威胁有以下几类．

2．1TCP／IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP／IP协议了，这几乎是所有校园网采用的网络传输协议．TCP／IP协议在设计之初，就没有考虑安全问题，它只考虑如何把信息互相传输，因此存在很大的安全威胁．虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全，但是由于TCP／IP协议的开放性和通用性几乎占用了整个市场，使得OSI七层协议无法推广．所以，目前网络黑客针对TCP／IP漏洞攻击有很多，例如：数据窃听、源地址欺骗、ARP欺骗等等．

（1）数据窃听（PacketSniff）．TCP／IP协议从设计之初，就采取的是数据包明码传输，这种传输模式使得数据包很容易被窃听、修改和伪造．黑客可以利用一系列工具获取网络中正在传输的数据包，窃取用户有利用价值的信息，如用户账户和密码等信息．同时，黑客也能修改和伪造数据包，让用户误入钓鱼网站或者窃取网上银行信息，给用户造成直接经济损失．特别是在校园网中，数据包流通比较集中，一旦获取了校园网服务器或管理员账号信息，将会给校园网络造成重大损失．

（2）源地址欺骗（SourceAddressSpoofing）．在网络安全中，一个比较重要的安全问题就是源地址欺骗．这里的源地址，能够是IP地址，也能是MAC地址．但是MAC地址随着路由转发，信息会发生变化，而且在实际的网络系统中，也有一定的限制，改造欺骗难度比较大，所以一般的源地址欺骗是指IP地址伪造欺骗．攻击者通常伪造被攻击的主机IP地址，骗取防火墙信任，从而对校园网内部发起攻击．

（3）源路由选择欺骗（SourceRoutingSpoo－fing）．在一个完整的IP数据包中，通常只包含源地址和目的地址，即路由器可以知道数据包从哪个主机发送出来，将要到达哪个主机．源路由是指数据包将会列出所要经过的路由，路由器将会根据这些指定的路由将数据包送达相应的主机，然后根据其反向路由进行应答，从而实现主机之间的通信．而源路由选择欺骗，则是攻击者通过伪造主机源路由，让数据包经过该主机必经路由，使受攻击主机出现错误判断，将某些被保护的数据提供给了攻击者．另一方面，由于路由器一般对接收到的路由信息是不经过检验的，这样就给攻击者提供便利，攻击者可以发送虚假数据包，改变某些重要数据包的传递路径，使得数据在传递到正常主机前，即可抓取分析，从而也达到攻击的目的．

（4）鉴别攻击（AuthenticationAttacks）．由于TCP／IP协议还无法证明网络身份的真实有效性，因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息，从而达到攻击目的．

（5）ARP欺骗（AddressResolutionProtocolSpoofing）．ARP即地址解析协议，作用是将网络中的IP地址转换成MAC物理地址的协议．因为在局域网中，尤其是在校园网中，使用最多的往往是MAC地址进行传输，而不是IP地址进行传输，所以ARP协议能够很快的让局域网中的两台主机进行通信．而黑客只需在局域网中进行网络监听，获取到一台主机A的节点信息（IP地址和MAC地址），就能伪造A的数据包，与B进行通信，获取有用信息．另一方面，黑客可以伪造一个不存在的MAC地址在局域网内传播，形成广播风暴，这样会造成网络不通，给局域网造成致命打击．

（6）DoS攻击（DenialofService）．DoS攻击，即拒绝服务攻击，攻击者的目的是让目标主机或网络无法提供正常服务．因为TCP协议采用三次握手建立一次连接，而任何一次握手失败，则会重新发送．攻击者正是利用这一个协议漏洞，采取不断建立连接，然后丢弃该连接数据包，使得服务器处于等待状态，如果攻击者一直持续连接和丢弃的过程，则服务器和网络所有的资源会被完全消耗，导致计算机或网络无法正常工作，从而达到攻击目的．

（7）DDoS攻击（DistributedDenialofServ－ice）．DDoS攻击，即分布式拒绝服务攻击，它是指攻击者借助一系列工具或手段，联合多个计算机组成攻击平台，对一个或数个目标发动DoS攻击．最基本的DoS是利用合法的服务请求，占用攻击目标主机大量服务资源，使得正常用户无法访问．然而DoS服务需要占用大量带宽，单个计算机攻击肯定无法达到攻击者想要的目标．因此网络黑客会抓取网络“肉鸡”，集合大量网络带宽，组成庞大的攻击平台，可以在瞬间让被攻击目标处于瘫痪状态．

（8）TCP序列号欺骗和攻击（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以伪造TCP序列号，形成一个TCP封包，对网络中可信节点进行攻击．而且最重要的是，黑客可能利用伪造的TCP封包发动SYN攻击，让服务器无法完成三次握手，造成服务器开放大量等待端口，影响正常网络访问，严重时，可直接造成服务器死机，如果该服务器是WEB服务器或者DNS服务器，那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络．

（9）ICMP攻击（InternetControlMessageProtocolAttacks）．ICMP协议是Internet控制报文协议，它属于TCP／IP协议下的一个子协议，用于在IP主机和路由器之间传递控制消息．其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息，它对数据传输有很重要的作用．而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定，发动“PingofDeath”攻击，当主机ICMP数据包尺寸超过64KB时，主机会发生内存分配错误，导致TCP／IP堆栈崩溃，使得目标主机死机．虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞，但是向目标主机发动持续、大规模的ICMP攻击，会消耗主机CPU、内存等资源，严重时也会导致目标主机瘫痪，无法提供正常服务．

2．2漏洞威胁

软件和操作系统是由程序员编写的，而在开发的过程中，多多少少会存在各种各样的漏洞问题，这些漏洞如果不能及时修复，将会对主机造成重大安全威胁．一旦该主机被攻破，同时也会给该主机处在的局域网中的其它机器造成威胁，情况严重时，甚至会造成整个网络瘫痪．近几年来，无论是Windows操作系统，还是Linux操作系统，的补丁数目一直持续增加．特别是Windows操作系统，在校园网内拥有的用户众多，如果没能及时修复各种漏洞，势必会影响整个校园网安全．

2．3病毒、木马威胁

近些年来，随着互联网的普及，网络上各种各样的开源软件繁多，有些开源软件打着免费的旗号，暗留后门或者对操作系统植入木马，稍不注意，就会对整个系统造成重大影响．同时，网络上黑客也会主动攻击，种植木马，抓取网络肉鸡，作为自己攻击的跳板，对互联网上其它的计算机造成严重威胁．

2．4初级黑客攻击

校园网因为自身局限性，其网络管理水平无法与企业相比，因此很容易受到网络上初级黑客的攻击，作为他们试手的目标．另外一方面，互联网出现的一系列黑客教程、黑客工具，这些教程和工具可以自由查阅和下载，加上很多黑客工具属于使用简单，这让许多初级黑客也能在一段时间内对网络造成严重的攻击．且根据心理学研究分析，很多普通攻击者往往有炫耀心理，即把校园网作为自己攻击的目标，以获取所谓的成功感，这让校园网增加更多的威胁．

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题．

3．1人为因素导致的网络安全问题

3．1．1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中，同时，校园网内服务器数量也是别的局域网不能比拟的．用户量加上数目可观、功能强大的服务器，这些条件也吸引着互联网上众多黑客的攻击，因此存在着很大的安全隐患．

3．1．2校园网用户安全意识低

根据调查研究发现，校园网的用户大部分都安全意识不强，用户计算机整体水平偏低，有一部分校园网用户基本上不安装杀毒软件，也没能及时给系统打补丁，系统处于“裸奔”状态．这对于当今如此开放的互联网，将直接为黑客提供攻击目标．而且校园网用户极少学习相应的安全防范知识，在下载和使用软件时，基本上不考虑其风险性，这些都将会给黑客制造攻击机会，影响整个校园网安全［5］．

3．1．3信息泄密

信息泄密是指将信息透漏给非授权用户，它在一定程度上破坏了计算机系统的保密性．目前，常见的信息泄密有：操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序．

3．1．4拒绝服务攻击（DoS）

攻击者使用一切办法让被攻击计算机停止提供服务，让合法的信息或资源访问被拒绝或者严重推迟．常见的DoS攻击有：SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等．

3．1．5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性，使得信息乱码．

3．1．6网络滥用

由于授权的用户因操作或行为不当，导致网络滥用，从而导致网络安全威胁，例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等．

3．2非人为因素导致的网络安全问题

网络安全除去人为因素外，很大一部分安全威胁来自安全工具和操作系统自身的局限性．其具体特征为：每一种安全工具（如：杀毒软件）都有其自身的应用范围和环境，同时安全工具受到人为因素、系统漏洞、程序BUG的影响，这些因素反而给攻击者带来了一定的便利．对于操作系统而言，没有绝对安全的操作系统，无论是微软的Windows系列操作系统，还是开源的Linux操作系统，都有存在后门或漏洞的可能．世界上没有绝对安全的操作系统，因此在搭建校园网时，要选择安全性尽可能高的操作系统，而且要随时提供校园网用户漏洞补丁下载，以及杀毒软件，保证用户系统安全性始终最高．由上所述，我们可以说网络安全问题绝大部分是由人为因素引起的．现在，国家也制定了相应的法律来保护网络安全，打击相应的网络犯罪活动．但是校园网作为一个庞大的用户群，如何防范这些网络犯罪活动显得尤为重要．我们不能等着整个网络被攻击导致瘫痪后再想着去防范，而是要在攻击之前做好准备工作，让校园网在安全中运行．

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行．

4．1应重视校园网网络的安全搭建

在校园网工程的建设中，网络系统的搭建是属于弱电工程，它的耐压值比较低．由此，在校园网工程的设计和建设中，一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题；考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离；考虑网络中物理电路的接地安全；考虑建设合理的防雷系统，保证建筑物、计算机以及其它物理设备的防雷［6］．

4．2应加强校园网网络的安全维护技术

从技术层面来说，网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成，单独的一个组件是无法保证当前网络信息安全的．最早的网络安全技术是采用边界阈值控制法，即通过对网络边界的数据包进行监测，符合规定的数据包可通过，不符合规定的数据包就抛弃，这种方式在一定程度上能阻止对网络的入侵和攻击，但是不能有效防止网络攻击．目前，应用比较广泛的网络安全基本技术有：防火墙技术、防病毒技术、数据加密技术等．防火墙［7］指的是一个由硬件和软件混合组成的设备，用于将内部网络和外部网络隔离起来，建立一层安全保护屏障，它是一种隔离控制技术．常见的防火墙有包过滤技术、技术、状态监测技术等．相对于防火墙来说，防病毒技术将是从计算机网络内部进行防控，主要预防病毒程序、后门程序、网络监听等．目前采取比较多的防病毒手段是对系统进行监听，阻止不合规定进程．而且防病毒技术永远是滞后性的，即防病毒工具一直在病毒出现后才能组织．现在的防病毒技术和云平台技术结合，已经对病毒起到了一定的控制作用．相对前面两种技术来说，数据加密技术就比较灵活了．可以将用户的信息经过加密后，再在网络上传输，及时数据被黑客截获，没有有效的密钥，数据对黑客来说也只是一堆无效数据而已．在开放的互联网平台，数据加密能够有效的保证了用户的隐私以及数据的安全［8］．

4．3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的．因此在校园网搭建过程中，关于对计算机系统管理员的培训及管理，是校园网网络安全中最重要的一部分．一个不合理的操作，很有可能让整个网络系统瘫痪，因此必须建立健全管理规范，明确管理员责任和权利．同时，要记录管理员操作信息，当发现不合规定的记录时，可以及时分析，如果发现黑客入侵，则及时采取必要措施杜绝黑客进一步入侵，必要时需向当地公安机关报案，减少学校损失．另外一方面，建立健全的管理制度以及严格的管理模式，可以保证校园网的正常、安全运行．总而言之，网络安全涉及的领域很多，是一个综合性的问题．只有合理的运用相关技术以及人员培训，才能尽最大可能的把安全威胁降到最低．

5结语