【導(dǎo)讀】現(xiàn)代化網(wǎng)絡(luò)平臺，為學(xué)校的高科技教學(xué)創(chuàng)造條件。并且對學(xué)校常見的幾。施，提高學(xué)校的工作效率。第4周－第6周：復(fù)習(xí)計算機網(wǎng)絡(luò)的基礎(chǔ)知識，收集并學(xué)習(xí)相關(guān)資料。第14周－第15周：對校園網(wǎng)安全網(wǎng)絡(luò)問題的對策做深入的探究。[3]林濤．網(wǎng)絡(luò)安全與管理[M]．北京:電子工業(yè)出版社，2021.[5]楊竣輝，黃嬋．高校校園網(wǎng)絡(luò)安全建設(shè)的思考[J].教育信息化，校園網(wǎng)絡(luò)發(fā)展日益迅速，各種網(wǎng)絡(luò)應(yīng)用層出不窮。來越多地擺在校園網(wǎng)管理者面前。在運營方面，如何實現(xiàn)靈活運營，如何防止不法用戶享用網(wǎng)絡(luò)資。當(dāng)前我們應(yīng)該從高校校園網(wǎng)的特點出。如何提高校園網(wǎng)的安全性已是迫切需要解決的問題。通過分析校園網(wǎng)安全威脅的原因、狀況、設(shè)計維。護校園網(wǎng)安全的方案，進一步探索加強高校教育系統(tǒng)信息安全和網(wǎng)絡(luò)安全管理，預(yù)防和打擊各種網(wǎng)上違紀(jì)、違法行為的重要途徑。

　　

【正文】 在網(wǎng)絡(luò)中 ， 病毒已從存儲介質(zhì) （ 軟 、 硬 、 光盤 ） 的感染發(fā)展為網(wǎng)絡(luò)通信和電子郵件的感染 。 所以 ， 防止計算機病毒是計算機網(wǎng)絡(luò)安全工作的重要環(huán)節(jié) 。 網(wǎng)絡(luò)安全隔離 網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián) ， 同時給有意 、 無意的黑客或破壞者帶來了充分的施展空間 。 所以 ， 網(wǎng)絡(luò)之間進行有效的安全隔離是必須的 。 網(wǎng)絡(luò)監(jiān)控措施 在不影響網(wǎng)絡(luò)正常運行的情況下 ， 增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機制可以做到最大限度的網(wǎng)絡(luò)資源保護 。 借助軟件解決網(wǎng)絡(luò)安全漏洞 對于非專業(yè)人員來說 ， 無法確切了解和解決服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞 ， 因此需要借助第三方軟件來解決此安全隱患 ， 并提出相應(yīng)的安全解決方案 。 第三方軟件要包含以下功能 ： 過濾不當(dāng)內(nèi)容網(wǎng)頁 ； IM 即時通信使用管理 ； 流媒體下載管理 ； 阻擋 P2P 點對點檔案分享 ； 阻擋 Spyware 間諜軟件封包 ；防范詐騙網(wǎng)站與惡意程序代碼攻擊 ； 提供完整的在線的網(wǎng)絡(luò)活動分析報告 ； 完整重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 20 記錄學(xué)生上網(wǎng)行為 ； 提供各種詳細(xì)的網(wǎng)絡(luò)應(yīng)用與潛在網(wǎng)絡(luò)威脅風(fēng)險分析報告等 [5]。 數(shù)據(jù)備份和恢復(fù) 數(shù)據(jù)一旦被破壞或丟失 ， 其損失是災(zāi)難性的 。 所以 ， 做一套完整的數(shù)據(jù)備份和 恢復(fù)措施是校園網(wǎng)迫切需要的 。 有害信息過濾 對于大中型校園網(wǎng)絡(luò) ， 必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng) ， 實現(xiàn)對整個校園內(nèi)電腦訪問互聯(lián)網(wǎng)進行有害信息過濾處理 。 網(wǎng)絡(luò)安全服務(wù) 為確保整個網(wǎng)絡(luò)的安全有效運行 ， 有必要對整個網(wǎng)絡(luò)進行全面的安全性分析和研究 ， 制定出一套滿足網(wǎng)絡(luò)實際安全需要的 、 切實可行的安全管理和設(shè)備配備方案 。 網(wǎng)絡(luò)安全保護 網(wǎng)絡(luò)訪問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略 ， 它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問 。 它也是維護網(wǎng)絡(luò)系統(tǒng)安全 、 保護 網(wǎng)絡(luò)資源的重要手段 。 目前進行網(wǎng)絡(luò)訪問控制的方法主要有 ： MAC 地址過濾 、 VLAN 隔離 、IEEE802． 1Q 身份驗證 、 基于 IP 地址的訪問控制列表和防火墻控制等等 。 物理隔離 首先要明確 ， 物理隔離是網(wǎng)絡(luò)隔離的早期描述 ， 這里沿用物理隔離 ， 而不用網(wǎng)絡(luò)隔離這個概念 。 物理隔離的指導(dǎo)思想與防火墻截然不同 ， 防火墻是在保證互聯(lián)互通的前提下 ， 盡可能安全 ； 而物理隔離則是保證安全前提下 ， 盡可能互聯(lián)互通 ， 如果不安全 ， 則斷開 。 重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 21 邏輯隔離 對大多數(shù)機關(guān)用戶來說 ， 邏輯隔離應(yīng)該是最為經(jīng)濟實用的方法了 。 廣泛地來看 ， 我們 所知的各種安全技術(shù)都是在使用邏輯隔離 。 也就是說 ， 在保持網(wǎng)絡(luò)連通 （ 包括直接或者間接 ） 的同時 ， 對網(wǎng)絡(luò)流量有所取舍 。 包括 VLAN（ 虛擬局域網(wǎng) ）、 訪問控制 、 VPN（ 虛擬專用網(wǎng) ）、 防火墻 、 身份識別 、 端口綁定等等在內(nèi)的方法都是在某種限定下實現(xiàn)隔離 。 在這些手段中 ， 在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置防火墻 （ 包括分組過濾與應(yīng)用代理 ）是保護內(nèi)部網(wǎng)安全的最常用的措施 。 防火墻技術(shù)概述 為了使網(wǎng)絡(luò)的機密性 、 完整性 、 可用性 、 真實性 、 實用性和占有性等方面得到保障 ， 計算機系統(tǒng)的安全 ， 尤其在 Inter 環(huán)境中 ， 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的考 慮和選擇尤為重要 。 采用傳統(tǒng)的防火墻網(wǎng)絡(luò)安全體系結(jié)構(gòu)不失為一種簡單有效的選擇方案 。 隨著安全問題上的失誤和缺陷越來越普遍 ， 對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段 ， 也有可能來自配置上的低級錯誤或不合適的口令選擇 。 而防火墻的作用就是防止不希望的 、 未授權(quán)的信息進出被保護的網(wǎng)絡(luò) 。 因此 ， 防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法 。 入侵檢測技術(shù) 入侵檢測技術(shù)已經(jīng)過較長時間的發(fā)展階段 ， 自 20 世紀(jì) 80 年代提出以來得到了很大的發(fā)展 ， 國外一些研究機構(gòu)已經(jīng)開發(fā)出了應(yīng)用于不同操作系統(tǒng)的幾種典型的攻擊檢測系統(tǒng) 。 典型的 IDS 通常采用靜態(tài)異常模型和規(guī)則誤用模型來檢測入侵 ， 這些 IDS 的檢測是基于服務(wù)器或網(wǎng)絡(luò)的 。 早期的 IDS 模型設(shè)計用來監(jiān)控單一服務(wù)器 ， 是基于主機的攻擊檢測系統(tǒng) ； 而近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡(luò)互連的多個服務(wù)器 。 重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 22 網(wǎng)絡(luò)安全漏洞防范 網(wǎng)絡(luò)安全漏洞所帶來的威脅 ： 1. 什么是漏洞 ？ 漏洞是在硬件 、 軟件 、 協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷 ， 從而可以便攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng) 。 2. 漏洞分析的目的 。 漏洞分析的目的是發(fā)現(xiàn)目標(biāo)系統(tǒng)中存在安全隱患 ， 分析所使用的安全機制是否能夠保證系統(tǒng)的機密 性 、 完整性和可用性 。 漏洞分析通過對目標(biāo)進行穿透測試 ， 進而嘗試從中獲取一些有價值的東西 。 例如 ， 文本文件 、口令文件和機密文檔等 。 穿透測試可以分為兩類 ： 無光驗知識穿透測試和有光驗知識穿透測試 。 前者通常從外部實施 ， 測試者對被測試網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)等信息一無所知 [6]； 在有光驗知識穿透測試中 ， 測試者通常具有被測試網(wǎng)絡(luò)系統(tǒng)的基本訪問權(quán)限 ， 并可以了解網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)等信息 。 3. 網(wǎng)絡(luò)安全漏洞的威脅 。 對于網(wǎng)絡(luò)漏洞的威脅可以按照風(fēng)險等級給予說明 。對那些具有低嚴(yán)重度和低影響度的網(wǎng)絡(luò)安全漏洞可以歸納為低級別的安全漏洞 ；而那些具 有高嚴(yán)重度和高影響度的安全漏洞可以歸納有高級別的安全漏洞 。 防病毒技術(shù) 計算機病毒直接破壞計算機數(shù)據(jù)信息 、 占用磁盤空間和對信息的破壞 、 搶占系統(tǒng)資源 、 影響計算機運行速度 、 給用戶造成嚴(yán)重的心理壓力等等危害使人們產(chǎn)生很大的不良影響 。 因此 ， 要了解計算機病毒的特征及其發(fā)展趨勢 ， 了解網(wǎng)絡(luò)防病毒的技術(shù) ， 了解網(wǎng)絡(luò)防病毒的方案 。 1. 計算機病毒的特征 要防治計算機病毒 ， 首先要了解計算機病毒的特征和破壞機理 ， 為防范和消除計算機病毒提供充實可靠的依據(jù) 。 根據(jù)計算機病毒的產(chǎn)生 、 傳染和破壞行為的分析 ， 計算機病毒通常具有以 下特征 ： 非授權(quán)可執(zhí)行性 、 隱蔽性 、 傳染性 、 潛伏性 、 破壞性和可觸發(fā)性 。 重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 23 2. 計算機病毒的發(fā)展趨勢 現(xiàn)在流行的病毒在很多地方改變了人們對病毒的看法 。 而且 ， 它還改變了人們對病毒預(yù)防的看法 。 過去總是說 ， 只要不用盜版軟件 ， 不隨便使用別人的軟盤 ，不亂運行程序 ， 就不會染毒 。 而現(xiàn)在呢 ？ 有了互聯(lián)網(wǎng) Inter 和操作系統(tǒng)的漏洞 ，就算你坐著不動 ， 病毒也會找上門來 。 3. 病毒有下列特性 ： 與互聯(lián)網(wǎng)和 Inter 更加緊密地結(jié)合 ， 利用一切可以利用的方式 ， 例如通過電子郵件 、 局域網(wǎng) 、 遠程管理 、 即時通信工具進行傳播 。 所有的病 毒都具有混合型特征 ， 集文件傳染 、 蠕蟲 、 木馬 、 黑客程序特點于一身 ， 破壞性大大增強 。 因為其擴散極快 ， 不再追求隱藏性 ， 而更加注重欺騙性 。 利用系統(tǒng)漏洞將成為病毒有力的傳播方式 。 由于病毒品的迅速發(fā)展 ， 勢必要求反病毒技術(shù)跟上時代發(fā)展的步伐 ， 以保證互聯(lián)網(wǎng)時代的信息系統(tǒng)安全 。 所以 ，為了對付新的病毒 ， 必須有新一代反病毒軟件的決策 。 具體有下列幾點 ： 全面地與互聯(lián)網(wǎng)結(jié)合 ， 不僅有傳染的手動查殺與文件監(jiān)控 ， 還必須對網(wǎng)絡(luò)層 、郵件客戶進行實時監(jiān)控 ， 防止病毒入侵 ； 快速反應(yīng)的病毒檢測網(wǎng) ， 在病毒爆發(fā)的第一時間即能提供解決方案 ； 完善的在線升級 服務(wù) ， 使用戶隨時擁有最新的防病毒能力 ； 對病毒經(jīng)常攻擊的應(yīng)用程序提供重點保護 ， 例如 ， MS OFFICE、 Outlook、IE、 ICQ/ 等 ， 又如 ， Norton 的 Script Blocking 和金山毒霸的 “ 嵌入式 ” 技術(shù) ；提供完整 、 即時的反病毒咨詢 ， 提高用戶的反病毒意識與警惕性 ， 盡快地讓用戶了解到新病毒的特點和解決方案 。 網(wǎng)絡(luò)防止病毒的措施 基于網(wǎng)絡(luò)安全體系的防病毒策略 只有建立一個有層次的 、 立體的防病毒系統(tǒng) ， 才能有效地制止病毒在網(wǎng)絡(luò)上蔓延 。 下面提供一些網(wǎng)絡(luò)防病毒的措施 ： 1. 增加安全意識 ； 2. 小心郵件 ； 重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 24 3. 挑選網(wǎng)絡(luò)版殺毒軟件 ； 4. 在計算機網(wǎng)絡(luò)中 ， 盡量多用無盤工作站 ， 不用或少用有軟驅(qū)的工作站 ； 5. 在計算機網(wǎng)絡(luò)中 ， 要保證系統(tǒng)管理員有最高的訪問權(quán)限 ， 避免過多地出現(xiàn) 超級用戶 ； 6. 為工作站上用戶帳號設(shè)置復(fù)雜的密碼 ； 7. 工作站采用的防病毒芯片 ， 這樣可防止引導(dǎo)型病毒 ； 8. 正確設(shè)置文件屬性 ， 合理地規(guī)范用戶的訪問權(quán)限 ； 9. 建立健全網(wǎng)絡(luò)系統(tǒng)安全管理制度 ， 嚴(yán)格操作規(guī)程和規(guī)章制度 ， 定期作文件 備份和病毒檢測 。 即使有了殺毒軟件 ， 也不可掉以輕心 ， 因為沒有一個殺毒軟件可以完全殺掉所有病 毒 。 所以 ， 仍要定期備份 ， 一旦真的遭到病毒的破壞 ， 只要將受損的數(shù)據(jù)恢復(fù)即可 ； 10. 目前預(yù)防病毒入侵的最好辦法 ， 就是在計算機中安裝具有實時監(jiān)控功 的 防病毒軟件 ， 并及時升級 ； 11. 為解決網(wǎng)絡(luò)防病毒的要求 ， 在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)版防病毒軟件和網(wǎng)關(guān)型防 病 毒系統(tǒng) ； 網(wǎng) 絡(luò) 的 特殊 防范措施 網(wǎng)絡(luò)用戶大部分是學(xué)校的各教學(xué) 、 科研 、 行政機關(guān)的教師和管理人員 ， 我們不能對用戶做過多的限制 。 因此 ， 方案的制訂必須依據(jù)以下原則進行 ： 對用戶的硬件要求較低 ； 盡可能利用原有設(shè)備 ， 充分發(fā)揮原有設(shè)備的技術(shù)潛力 。 同時考慮添置設(shè)備的先進性 和可擴展性 ， 為今后網(wǎng)絡(luò)的不斷發(fā)展創(chuàng)造良好的條件 。 校園網(wǎng)涉及的用戶數(shù)量較多 ， 使用全網(wǎng)管理軟件或全網(wǎng)部署的網(wǎng)絡(luò)版殺毒軟件 ， 會給網(wǎng)絡(luò)管理帶來巨大的負(fù)擔(dān) ， 因此只有采取軟硬件結(jié)合 ， 多種手段相互配合的方式才能達到最佳的效果 。 1. 防火墻部署防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù) ， 越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中 。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分 ， 它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換重慶郵電大學(xué)移通學(xué)院畢業(yè)設(shè)計（論文） 第 5 章 校園網(wǎng)網(wǎng)絡(luò)安全分析與解決方案 25 和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理 ， 有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來 ，保護校園網(wǎng)絡(luò)不受未經(jīng) 授權(quán)的第三方侵入 。 從總體上看 ， 防火墻應(yīng)該具有以下 5大基本功能 ： 過濾進 、 出網(wǎng)絡(luò)的數(shù)據(jù) ； 管理進 、 出網(wǎng)絡(luò)的訪問行為 ； 封堵某些禁止行為 ； 記錄通過防火墻的信息內(nèi)容和活動 ； 對網(wǎng)絡(luò)攻擊進行檢測和告警 。 防火墻技術(shù)包含硬件防火墻和軟件防火墻 [10]。 硬件防火墻主要用于對網(wǎng)絡(luò)中的數(shù)據(jù)訪問進行限制 ， 提供對系統(tǒng)的訪問控制和集中的安全管理 ， 防止不安全的數(shù)據(jù)訪問和服務(wù) ， 比如限制外網(wǎng)用戶對內(nèi)網(wǎng)服務(wù)器的訪問 。 軟件防火墻成本較低 ， 安裝方便 ， 使用簡單 ， 能夠滿足個人用戶單機防護的基本需求 ， 其中包括防止黑客攻擊 、保證信息安全 、 監(jiān)測計算機運行狀況等 功能 。 2. 建立一個有效合理的病毒防御和查殺機通過在網(wǎng)絡(luò)中部署分布式 、 網(wǎng)絡(luò)化的防病毒系統(tǒng) ， 不僅可以讓單機有效地防止病毒侵害 ， 還可以使管理員從中央位置對整個網(wǎng)絡(luò)進行實時狀態(tài)下的病毒防護 。 主要做法是 ： 網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作 。 為了安全和管理的方便起見 ， 由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地 、 自動地到殺毒軟件廠家網(wǎng)站上獲取最新的升級文件 （ 包括病毒定義碼 、 掃描引擎 、程序文件等 ）， 然后自動將最新的升級文件分發(fā)到其他多個主機網(wǎng)點的客戶端與服務(wù)器端 ， 并自動對殺毒軟件網(wǎng)絡(luò)版進行更新 。 采取這種升級方式 ， 一方面確保校園網(wǎng)內(nèi)的殺毒 軟件的更新保持同步 ， 使整個校園網(wǎng)都具有最強的防病毒能力 ；另一方面 ， 由于整個網(wǎng)絡(luò)的升級 、 更新都是由程序自動 、 智能地完成 ， 可以避免由于人為因素造成網(wǎng)絡(luò)中部分用戶因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力 。 3. 安裝補丁程序目前校園網(wǎng)服務(wù)器使用的是微軟 windows server2021 操作系統(tǒng) ， 由于使用的人多 ， 漏洞也不斷被發(fā)現(xiàn) ， 微軟的操作系統(tǒng)成了不少黑客攻擊的對象 。 所以裝好系統(tǒng)后一定要進行升級和打補丁 ， 同時管理員還要經(jīng)常關(guān)注微軟公司的網(wǎng)站 ， 及時下載最新的操作系統(tǒng)補丁 。 4. 定期對服務(wù) 器進行備份與維護為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作 ， 必須對系統(tǒng)進行安全備份 。 除了對全系統(tǒng)進行每月 1 次的備份外 ，還應(yīng)對修改過的數(shù)據(jù)進行備份 。 同時應(yīng)將修改過的重要系統(tǒng)文件存