【正文】 因此，在現(xiàn)有的技術(shù)條件下，如 何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 校園網(wǎng)概述 計(jì)算機(jī)網(wǎng)絡(luò)是指通過傳輸媒體連接的多部計(jì)算機(jī)組成的系統(tǒng)，使登陸其上的所有用戶能夠共享軟硬件資源，這就要求有強(qiáng)而保險(xiǎn)的安全信息保障技術(shù) 。信息技術(shù)已引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發(fā)展給予了前所未有的關(guān)注，把信息化教育放到重要的位置上， 紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的問題 ,而且十分重要的是 ,學(xué)校應(yīng)該處于影響整個(gè)社會深刻變革的中心地位。 因此校園網(wǎng)信息系統(tǒng)的建設(shè)，是非常必要的，也是可行的。主要表現(xiàn)在： 當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。 教育信息量的不斷增多 ,使各級各類學(xué)校、家庭和教育管理部門對教育信息 2 計(jì)算機(jī)管理和教育信息服務(wù)的要求越來 越高。 我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。 現(xiàn)代教育改革的需要。 計(jì)算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識水平和經(jīng)濟(jì)實(shí)力不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。 [1] 校園網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問 題。根據(jù)美國 FBI 的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過 170億美元。 由于校園網(wǎng)絡(luò)校園網(wǎng)絡(luò)安全現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí)，網(wǎng)絡(luò)的安全問題越來越成為一個(gè)非常嚴(yán)懲的隱患，就好像一顆定時(shí)炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個(gè)隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止、 學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。比如 2020年暴發(fā)的 “震蕩波、沖擊波、 ” 3 等病毒，雖沒有造成很大的損失，但足以使認(rèn)識到網(wǎng)絡(luò)安全的重要性。因此，如何在現(xiàn)有的條件下避免這樣事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個(gè)重要課題。 1997年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。 1999年 9月，教育部決定正式啟動國家現(xiàn)代遠(yuǎn)程教育工程，清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。目 前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。 各校在實(shí)踐中逐漸意識到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度有一定關(guān)系，教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響。 在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度?，F(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計(jì)劃將全國 122所一流大學(xué)與社會廣泛連接，構(gòu)筑一個(gè)教育與研究的專用網(wǎng)絡(luò)；英國提出要在 2020年成立網(wǎng)上工業(yè)大學(xué)，到 2020年所有中小學(xué)、圖書館、學(xué) 院和大學(xué)全部介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。 1996 年，教育部提出要以全國 1000所中小學(xué)校作為試點(diǎn)，建立起各自的校園網(wǎng)絡(luò)。截止2020 年年初，教育部宣布有 500 多家已建立?？梢哉f，在國家政策扶持下，我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實(shí)中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項(xiàng)目交給一些實(shí)力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致 建網(wǎng)質(zhì)量偏低，后期維護(hù)費(fèi)用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是 一攬子 計(jì)劃，忽視了后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運(yùn)作為了解決上述問題，在建網(wǎng)時(shí)應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒有通用方案，每個(gè)學(xué)校應(yīng)根據(jù)自身實(shí)際情況（資金和技術(shù)能力），設(shè)計(jì)自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個(gè)周期較長，規(guī)模龐大的系統(tǒng)工程，不能 一蹴而就 ，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪 費(fèi)。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。 校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，非更改考試成績；更改英語全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學(xué)校招生、分配機(jī)密等。 4 綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確 保網(wǎng)絡(luò)信息的保密性、完整性和可用性。 [7] 校園網(wǎng)絡(luò)安全威脅 1 計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。 破壞性是指計(jì)算機(jī)病毒可能會干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。傳染性則是計(jì)算機(jī)病 毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計(jì)算機(jī)病毒可以長時(shí)間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計(jì)算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。 計(jì)算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機(jī)理。計(jì)算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時(shí)候的病毒傳 播還是線下傳播。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時(shí)因疏忽而留下的 “后門 ”大肆發(fā)起攻擊。 2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn)，重點(diǎn)介紹拒絕服務(wù) (DoS，Daniel of Service)攻擊。之所以介紹拒絕服務(wù)攻擊，因?yàn)榫芙^服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。 5 拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。 拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時(shí)，可能采取單一手段的攻 擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說．主要有以下幾種： 1）死亡之 Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。 2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。 3 ） UDP 洪水攻擊。攻擊利用如 chargen 和 echo 等簡單的 TCP／ IP 服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。 4 ) SYN洪水攻擊。攻擊者通過 想服務(wù)器發(fā)送連續(xù)的 SYN握手信息來癱瘓服務(wù)器的攻擊方式。 5 ) LAND攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN握手信息．已達(dá)到癱瘓主機(jī)的目的。 6 ) Smurf攻擊。攻擊者將報(bào)文地址設(shè)為 Echo地址，這樣 Echo78地址就必須不問斷的響應(yīng)該報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 7 ) Fraggle攻擊。 Fraggle攻擊對 Smurf攻擊做了修改。 8 )電子郵件炸彈。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。 9 )急性消息攻擊。借助機(jī)器對某些消息為 進(jìn)行錯(cuò)誤校驗(yàn)來攻擊服務(wù)器。 10)分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。 常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。 [5] 3 存在的安全隱患 ,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞