【文章內容簡介】 學業(yè)務的進行。目前的校園網(wǎng)絡大都是利用Inter技術構造的同時又與 Inter相連。 Inter網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足因為其賴以生存的 TCP/IP協(xié)議缺乏相應的安全機制因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。而且很多學校對校園網(wǎng)的安全保護不夠重視舍不得投入必要的人力、財力、物力來加強網(wǎng)絡的安全管理 。 山西輕工職業(yè)技術學院 12 第二章 如何保護校園網(wǎng)絡的安全和措施 、制定正確的 安全 管理 方向 隨著校園網(wǎng)應用的深入校園網(wǎng)的安全管理問題也日益突出如何保障網(wǎng)絡教學的正常進行和教學資源的合法訪問使網(wǎng)絡免受病毒、惡意軟件的破壞 和其他不良意圖的攻擊就顯得尤為重要。因此加強校園網(wǎng)的安全管理就具有舉足輕重的意義 。 校園網(wǎng)的安全威脅既有來自校內的，也有來自校外的，只有將技術和管理都重視起來，才能切實構筑一個安全的校園網(wǎng)。 國內高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡時期，一方面因為意識與資金方面的原因，以及對技術的偏好和運營意識的不足，普遍都存在 “重技術、輕安全、輕管理 “的傾向，常常只是在內部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。 而病毒泛濫、黑客攻擊、信息丟失 、服務被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡都將是致命性的。作為高等院校，如何構筑相對可靠的校園網(wǎng)絡安全體系問題，變得越來越突出了。一般來說，構筑校園網(wǎng)絡安全體系，要從兩個方面著手：一是采用先進的技術；二是不斷改進管理方法 。 同時 加強網(wǎng)絡的安全管理制定有關規(guī)章制度對于確保網(wǎng)絡的安全、可靠地運行將起到十分有效的作用。這種管理除了建立起一套嚴格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡管理隊伍。為充分發(fā)揮校園網(wǎng)的作用網(wǎng)絡管理人員必須遵守國家有關法律、法規(guī)嚴格執(zhí)行安全保密制度并對所提供的信息負責還要建立與維護完整的網(wǎng)絡用戶數(shù)據(jù)庫嚴格對系統(tǒng)日志進行管理定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核關注網(wǎng)絡安全動態(tài)調整相關安全設置做好安全防范工作。 針對目前高校校園網(wǎng)安全現(xiàn)狀的認識與理解，在防病毒軟件、防火墻或智能網(wǎng)關等構成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點是高校的安全策略 方向 ： 規(guī)范出口管理，實施校園網(wǎng)的整體安全架構，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎的保障。 配備完整系統(tǒng)的網(wǎng)絡安全設備，在網(wǎng)內和網(wǎng)外 接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。 山西輕工職業(yè)技術學院 13 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng) 。校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證 系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證 。 采取有效的安全措施 前述各種網(wǎng)絡安全威脅，都是通過網(wǎng)絡安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡發(fā)起攻擊的。為杜絕網(wǎng)絡威脅，主要手段就是完善網(wǎng)絡病毒監(jiān)管能力，堵塞網(wǎng)絡漏洞，從而達到網(wǎng)絡安全。 殺毒軟件。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應在整個網(wǎng)絡內可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理 整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能 .。 （ 1）在學校網(wǎng)絡中心配置一臺高效的 Windows2020 服務器安裝一個殺毒軟件 的系統(tǒng)中心，負責管理校內網(wǎng)點的計算機。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的 設置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。 （ 4）網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。 采用 VLAN 技術。 VLAN 技術是在局域網(wǎng)內將工作站邏 輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作 組的技術。 VLAN 技術根據(jù)不同的應用業(yè)務以及不同的安全級別，將網(wǎng)絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。 內容過濾器。 內容過濾器是有效保護網(wǎng)絡系免于誤用和無意識服務拒絕的工具。同時，可以限制外來的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內外網(wǎng)之間一道牢固的安全屏障。在防火墻設置上按照以下原則配置來提高網(wǎng)絡安全性 :(1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則 . 山西輕工職業(yè)技術學院 14 (2）禁止訪問系統(tǒng)級別的服務 (如 HTTP , FTP 等 )。局域網(wǎng)內部的機器只允許訪問文件、打印機共享服務。使用動態(tài)規(guī)則管理，允許授權運行的程序開放的端口服務，比如網(wǎng)絡游戲或者視頻語音電話軟件提供的服務。 (3）如果你在局域網(wǎng)中使用你的機器，那么你就必須正確設置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認識哪些數(shù)據(jù)包 是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡服務（如文件、打印機共享）功能。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理安全性 . 入侵檢測。入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊。擴展系統(tǒng)管理員的安全管理能力．提高信息安全基礎結構的完整性。入侵檢測系統(tǒng)能實時捕獲內外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關事件。入侵檢測系統(tǒng)還 可以發(fā)出實時報警，使網(wǎng)絡管理員能夠及時采取應對措施。 漏洞掃描。隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器等進行安全檢查，并寫出詳細的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補丁”。 數(shù)據(jù)加密。數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術措施和理論基礎。 8加強網(wǎng)絡管理主要是要做好兩方面的工作。首先，加強網(wǎng)絡安全知識的培訓和 普及；其次，是健全完善管理制度和相應的考核機制，以提高網(wǎng)絡管理的效率。 、加強網(wǎng)絡安全管理。 、 加強對校園網(wǎng)絡的安全管理 加強網(wǎng)絡的安全管理制定有關規(guī)章制度對于確保網(wǎng)絡的安全、可靠地運行將起到十分有效的作用。這種管理除了建立起一套嚴格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡管理隊伍。為充分發(fā)揮校園網(wǎng)的作用網(wǎng)絡管理人員必須遵守國家有關法律、法規(guī)嚴格執(zhí)行安全保密制度并對所提供的信息負責還要建立與維護完整的網(wǎng)絡用戶數(shù)據(jù)庫嚴格對系統(tǒng)日志進行管理定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核關注網(wǎng)絡安全動態(tài)調整相關安全設置做好安全防范工作。 、 采取一定的網(wǎng)絡安全策略 所謂的網(wǎng)絡安全是指為了保護網(wǎng)絡不受來自網(wǎng)絡內外的各種危害而采取的防范措施的總和。網(wǎng)絡的安全策略就是針對網(wǎng)絡的實際情況 (被保護信息價值、被攻擊危險性、可投入的資金 )在網(wǎng)絡管理的整個過程具體對各種網(wǎng)絡安全措施山西輕工職業(yè)技術學院 15 進行取舍。網(wǎng)絡的安全策略可以說是在一定條件下的成本和效率的平衡。校園網(wǎng)具有訪問方式多樣用戶群龐大網(wǎng)絡行為突發(fā)性較高等特點。所以網(wǎng)絡的安全問題需要從網(wǎng)絡規(guī)劃設計階段就仔細考慮并在實際運行中嚴格管理。 、 加強校園網(wǎng)安全的具體措施 首先運用內容過濾器和防火墻。過濾器技術可以屏蔽不良的網(wǎng)站對 網(wǎng)上色情、暴力和邪教等有了強大的堵截功能。防火墻技術包含了動態(tài)的封包過濾、應用代理服務、用戶認證、網(wǎng)絡地址轉接、 IP防假冒、預警模聲、日志及計費分析等功能可以有效地將內部網(wǎng)與外部網(wǎng)隔離開來保護校園網(wǎng)絡不受未經(jīng)授權的第三方侵入。 其次運用 VLAN技術。采用交換式局域網(wǎng)技術的校園網(wǎng)絡可以用 VLAN技術來加強內部網(wǎng)絡管理。 VLAN技術的核心是網(wǎng)絡分段根據(jù)不同的應用業(yè)務以及不同的安全級別將網(wǎng)絡分段并進行隔離實現(xiàn)相互間的訪問控制可以達到限制用戶非法訪問的目的。網(wǎng)絡分段可以分為物理分段和邏輯分段兩種方式。物理分段 通常是指將網(wǎng)絡在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段各網(wǎng)段相互之間無法直接通信。邏輯分段則是將整個系統(tǒng)在網(wǎng)絡層上進行分段。對于 TCP/IP網(wǎng)絡可以把網(wǎng)絡分成若干 IP子網(wǎng)各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接利用這些中間設備的安全機制來控制各子網(wǎng)間的訪問。在實際應用過程中通常采取物理分段與邏輯分段相結合的方法。 最后進行訪問控制。這是網(wǎng)絡安全防范和保護的最主要措施之一其主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶 帳戶的缺省限制檢查等。當用戶進入網(wǎng)絡后網(wǎng)絡系統(tǒng)就賦予這一用戶一定的訪問權限用戶只能在其權限內進行操作從而保證網(wǎng)絡資源不被非法訪問和非法使用。 、 做好對突發(fā)網(wǎng)絡問題的處理以及系統(tǒng)故障恢復 為保證網(wǎng)絡系統(tǒng)發(fā)生災難后做到有的放矢必須制定一套完整可行的事件救援災難恢復計劃及方案做好計算機系統(tǒng)、網(wǎng)絡、應用軟件及各種資料數(shù)據(jù)的備份。理想的備份系統(tǒng)應該是全方位、多層次的。首先要使用硬件備份來防止硬件故障 。如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞則使用網(wǎng)絡存儲備份系統(tǒng)和硬件容錯相結合的方式。這種 結合方式構成了對系統(tǒng)的多級防護不僅能夠有效地防止物理損壞還能夠徹底防止邏輯損壞。一個完整的突發(fā)網(wǎng)絡問題備份及恢復方案應包括 :備份硬件、備份軟件、備份制度和災難恢復計劃四個部分。選了先進的備份硬件后我們決不能忽略備份軟件的選擇因為只有優(yōu)秀的備份件才能充分發(fā)揮硬件的先進功能保證快速、有效的數(shù)據(jù)備份和恢復。 山西輕工職業(yè)技術學院 16 第三章 校園網(wǎng)安全系統(tǒng) 、校園網(wǎng)需求分析 現(xiàn)代校園網(wǎng)是一個開放的網(wǎng)絡環(huán)境，校園網(wǎng)的用戶各種各樣。由于校園網(wǎng)安全與人的安全意識和技能緊密相關，因此，對校園網(wǎng)不同類型用戶進行安全教育，將有利于校園網(wǎng)的安全 應用。 、 校園網(wǎng)邊界安全管理需求 為了保護校園網(wǎng)的安全，校園網(wǎng)邊界安全管理總體目標就是確保校園網(wǎng)與外界網(wǎng)絡的信息交換安全可控，既要能夠保證正常的校園網(wǎng)和互聯(lián)網(wǎng)的信息交換，同時也能阻擋惡意網(wǎng)絡訪問，例如端口掃描、非授權訪問行為、病毒、不良網(wǎng)站等。 校園網(wǎng)漏洞及補丁管理安全需求 校園網(wǎng)是一個由多協(xié)議、多系統(tǒng)、多應用、多用戶組成的復雜性網(wǎng)絡環(huán)境，校園網(wǎng)中的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用軟件都存在難以避免的安全漏洞。為了要保障校園網(wǎng)安全 ,必須做好校園網(wǎng)漏洞管理。 校園網(wǎng)服務器安全需求 校園網(wǎng)服務器 存儲大量信息，例如學生檔案、學生作業(yè)、考試數(shù)據(jù)、網(wǎng)頁文件等。其安全需求有 : 對服務器訪問要進行安全身份認證，非認證用戶無法進行訪問 。 服務器提供的資源受控制，防止非授權人員拷貝、修改、發(fā)送 。 支持遠程安全管理，校園網(wǎng)管理員能夠從遠程進行安全登錄，為其傳輸?shù)男畔⒓用?。 服務器的操作行為有嚴格審計，能夠防止黑客有意刪除 。 服務的安全狀態(tài)能夠實時顯示，各種安全組件的工作狀態(tài)能夠被監(jiān)測到 。 服務器在受到損害時，至少能做到數(shù)據(jù)恢復可用。 校園網(wǎng)安全監(jiān)控管理安全需求 對校園網(wǎng)絡進行安全監(jiān)控，就如同在教學大樓內安裝的閉 路電視監(jiān)控系統(tǒng)。其主要需求有 : 對校園網(wǎng)關鍵區(qū)域的信息流動進行動態(tài)監(jiān)測，能夠把網(wǎng)