【正文】 飛速發(fā)展，使相應(yīng)產(chǎn)品價格不斷下降；同時人們的認(rèn)識水平和經(jīng)濟(jì)實力不斷提高。大量計算機(jī)進(jìn)入學(xué)校和家庭，使得計算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。 [1] 校園網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安 全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國 FBI 的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過 170 億美元。 由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： 1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX第 8 頁 共 31 頁 ） 8 服務(wù)器， NT 服務(wù)器及 Windows 桌面 PC； 2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗； 3. 來自內(nèi)部網(wǎng)用戶的安全威脅； 4. 缺乏 有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性； 5. 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性 ； 6. 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。 校園網(wǎng)絡(luò)安全 現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)資源共享的同時，網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患，就好像一顆定時炸彈一樣，深深 的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。比如 2020 年 暴發(fā)的 “震蕩波、沖擊波、 ”等病毒，雖沒有造成很大的損失，但足以使認(rèn)識到網(wǎng)絡(luò)安全的重要性。因此，如何在現(xiàn)有的條件下避免 這樣 事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個重要課題。 1997 年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。 1999 年 9 月，教育部決定正式 啟動國家現(xiàn)代遠(yuǎn)程教育工程，清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點。目前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。 各校在實踐中逐漸意識到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度 有一定關(guān)系 ，教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響。 在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度?，F(xiàn)代教育的實施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計劃將全國 122 所一流大學(xué)與社會廣泛連接，構(gòu)筑一個教育與研究 的專用網(wǎng)絡(luò)；英國提出要在 2020 年成立網(wǎng)上工業(yè)大學(xué)，到 2020 年所有中小學(xué)、圖書館、 學(xué)院和大學(xué)全部 介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。 1996 年，教育部提出要以全國 1000 所中小學(xué)校作為試點，建立起各自的校園網(wǎng)絡(luò)。截止 2020 年年初，教育部宣布有 500 多家已建立。可以說，在國家政策扶第 9 頁 共 31 頁 ） 9 持下，我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺 乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護(hù)費(fèi)用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是 一攬子 計劃，忽視了后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運(yùn)作為了解決上述問題，在建網(wǎng)時應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒有通用方案，每個學(xué)校應(yīng)根據(jù)自身實際情況（資金和技術(shù)能力），設(shè)計自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能 一蹴而就 ，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原 因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪費(fèi)。 隨著計算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。 校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生，非更改考試成績；更改英語全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學(xué)校招生、分配機(jī)密 等。 綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性， 這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。 [7] 校園網(wǎng)絡(luò)安全威脅 1 計算機(jī)病毒 計算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時，嵌入的病毒也隨之運(yùn)行并感染其它程序。計算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。 破壞性是指計算機(jī)病毒可能會干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。傳染性則是計算機(jī)病 毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨立存在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計算機(jī)病毒可以長時間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并第 10 頁 共 31 頁 ） 10 不影響計算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒計者的要求，例如指定的日期、時間或特定的條件出現(xiàn)在某個點激活并發(fā)起攻擊。 計算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機(jī)理。計算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時候的病毒傳播 還是線下傳播。隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，計算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實現(xiàn)。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。 2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡(luò)攻擊。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點，重點介紹拒絕服務(wù) (DoS， Daniel of Service)攻擊。之所以介 紹拒絕服務(wù)攻擊，因為拒絕服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因為校園網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。 拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。 拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式 。就其攻擊手段來說．主要有以下幾種： 1）死亡之 Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。 2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。 3 ） UDP 洪水攻擊。攻擊利用如 chargen 和 echo 等簡單的 TCP／ IP 服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。 4 ) SYN 洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的 SYN 握手信息來癱瘓服務(wù)器的攻擊方 式。 5 ) LAND 攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN 握手信息．已達(dá)到癱瘓主機(jī)的目的。 第 11 頁 共 31 頁 ） 11 6 ) Smurf 攻擊。攻擊者將報文地址設(shè)為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應(yīng)該報文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 7 ) Fraggle 攻擊。 Fraggle 攻擊對 Smurf 攻擊做了修改。 8 )電子郵件炸彈。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。 9 )急性消息攻擊。借助機(jī)器對某些消息為進(jìn)行錯誤校驗來攻擊服務(wù)器。 10)分布式拒絕服務(wù)攻擊。它是威力 最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。 常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。 [5] 3 存在的安全隱患 ,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有 : 1 ) 計算機(jī)與 Inter 相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對社會開放 ，這樣一來只要接入 INTERNET 的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機(jī)當(dāng)中，在以后的計算機(jī)啟動后，木馬就在機(jī)器中打開一個服務(wù)，通過這個服務(wù)將你計算機(jī)的信息、資料向外傳遞。 3) 目錄共享導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認(rèn)識到當(dāng)一個目錄共享后，就不光是校園網(wǎng) 內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺計算機(jī)都能對它進(jìn)行訪問。成了數(shù)據(jù)資料安全的一個隱患。我曾經(jīng)搜索過外地機(jī)器的一個 C 類 IP 網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺，而且許多機(jī)器是將整個 C 盤、 D 盤進(jìn)行共享，并且在共享時將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個網(wǎng)絡(luò)硬盤，就能對上面的資料、文檔進(jìn)行查看、修改、刪除。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。 4) 網(wǎng)絡(luò)安全意識淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻 擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計算機(jī)平均一個星期會受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡?。涣硗?，沒有制定完善嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有標(biāo)準(zhǔn)，這是網(wǎng)絡(luò)安全問題泛濫的一個重要原因 .由此可見，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要 . 11 2. 校園網(wǎng)絡(luò)安全策略 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。 國內(nèi)高校校園 網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)的偏好和運(yùn)營意識的不足，普遍都存在 “ 重技術(shù)、輕安全、輕管理 “ 的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡(luò)都將是致命性的。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個方面著手：一是采用先進(jìn) 的技術(shù)；二是不斷改進(jìn)管理方法。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點 是 高校的安全策略： 規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵 檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)