【正文】 對本研究提供過幫助和做出過貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說明并表示了謝意。為此．文中針對病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性，提出了校園網(wǎng)絡(luò)的相應(yīng)措施。 [4] 26 25 總 結(jié) 沒有安全保證的校園網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上。還要檢查各種網(wǎng)絡(luò)設(shè)備的連接情況，在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中各種連接是現(xiàn)容易出問題的，因此要安排一定的時(shí)間，每隔一段日期就檢查一下局域網(wǎng)中所有計(jì)算機(jī)系統(tǒng)的連線是否松動，還要查看一下電源線、顯示器、網(wǎng)絡(luò)，串行和并行電纜以及各種配件等。網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的問題，一般情況下出現(xiàn)的問題主要有人為操作失誤（包括計(jì)算機(jī)病毒引起的故障）和整個(gè)網(wǎng)絡(luò)系統(tǒng)本身不可避免的故障。 3．校園網(wǎng)站 校園網(wǎng)不是一個(gè)獨(dú)立的、封閉的體系，校園網(wǎng)與 Inter 互連后，校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用 Inter 上的 Web 訪問、 Email 收發(fā)、 FTP、 Tel、BBS、新聞組、討論組、個(gè)人主頁等服務(wù)。 (10) 工作站其它應(yīng)用軟件：文字處理、數(shù)據(jù)表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉并經(jīng)常使用的軟件。 (5) 網(wǎng)頁維護(hù)制作軟件： Macrosoft 公司的 FrontPage、 Macromedia 公司的Dreamweaver、 Flash 都是很好選擇。 Web 服務(wù)系統(tǒng)：選用 Windows NT 下的 IIS 信息服務(wù)系統(tǒng)。比如我們可以限制哪些用戶擁有訪問中心服務(wù)器的權(quán)利，哪些則沒有。通常 VLAN 的實(shí)現(xiàn)有以下幾種方法： 23 ●基于端口的虛擬工作組， ●基于 MAC、協(xié)議、子網(wǎng)的虛擬工作組， ● Tagged VLAN：通過在數(shù)據(jù)幀中增加 VLAN 標(biāo)記位來區(qū)分不同的工作組。學(xué)校可根據(jù)教學(xué)實(shí)際需要配置一到二個(gè)多媒體綜合教室。有的學(xué)校采用在每個(gè)班級配置高亮度液晶投影儀、多媒體計(jì)算機(jī)、多功能視頻展示臺等設(shè)備的方法來實(shí)施教學(xué)環(huán)境信息化，教學(xué)仍舊還是在一個(gè)典型的以教師為中心的教學(xué)模式下進(jìn)行著，這與構(gòu)建校園信息化教學(xué)環(huán)境的初衷相距尚遠(yuǎn)。 (6)多媒體綜合教室 信息化環(huán)境的構(gòu)筑其根本目的是為教學(xué)服務(wù)的，因此課堂信息化教學(xué)環(huán)境的建立應(yīng)該是校園網(wǎng)建設(shè)的一個(gè)重要目標(biāo)。為降低成本，一般中小學(xué)校可采用建設(shè)一個(gè)配 置有1020 臺酷睿 2 以上多媒體計(jì)算機(jī)的教師網(wǎng)絡(luò)備課機(jī)房的方案。為使校園網(wǎng)能訪問 Inter，網(wǎng)絡(luò)中心的代理服務(wù)器可連接 ASDL 等通訊線路。為保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定可靠，網(wǎng)絡(luò)中心的設(shè)備選型應(yīng)選擇信譽(yù)可靠、質(zhì)量上等、性能穩(wěn)定、擴(kuò)充性優(yōu)良的專業(yè)產(chǎn)品。 1．網(wǎng)絡(luò)組成 (1) 網(wǎng)絡(luò)主干 基于當(dāng)前信息技術(shù)發(fā)展形勢及經(jīng)濟(jì)實(shí)用可持續(xù)發(fā)展原則，建議構(gòu)建 100M 帶寬的快速以太網(wǎng)，根據(jù)實(shí)際工作站信息點(diǎn)到網(wǎng)絡(luò)中心的距離，選擇適當(dāng)?shù)膫鬏斆浇檫M(jìn)行網(wǎng)絡(luò)綜合布線。采用交換式快速以太網(wǎng)做主干有以下原因：速度快，安裝、維護(hù)簡單?？偟膩碚f，交換式快速以太網(wǎng)是目前成熟技術(shù)中最先進(jìn)、最實(shí)用的。在用應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的防火墻有多種方式，如應(yīng)用代理報(bào)務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換器等。由于網(wǎng)絡(luò)具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。光纖接入的優(yōu)點(diǎn)是可提供比較高的網(wǎng)絡(luò)帶寬和穩(wěn)定性，但它的連接較為復(fù)雜。當(dāng)前適合校園網(wǎng)與Inter 的寬帶連接方式主要有 ADSL 和光纖專線接入。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有 NetWare、 Unix、 Linix和 Windows NT/2020。 [3] 2．布線系統(tǒng)的測試 在結(jié) 構(gòu)化布線完工后，必須對整個(gè)系統(tǒng)進(jìn)行測試后才能投入使用，以保證系統(tǒng)能達(dá)到設(shè)計(jì)要求。建筑子系統(tǒng)一般都采用光纖進(jìn)行連接。 垂直主干子系統(tǒng)用于連接樓層配線室，垂直干纜系統(tǒng)的安裝主要是由一連串通過地板對準(zhǔn)配線間的垂直豎井組成的，可以連接摟層間的配線室。線纜由配線間進(jìn)入房間后，可走天花板或橋架 ,以走暗線的原則走線。室內(nèi)布線采用 5 類（超 5 類）非屏蔽雙絞線進(jìn)行布線。使用結(jié)構(gòu)化 布線工程設(shè)計(jì)的布線系統(tǒng)具有實(shí)用性、靈活性、可擴(kuò)充性以及真正的開放性。組網(wǎng)技術(shù)主要包括：布線系 統(tǒng)、 Inter 接入技術(shù)、防火墻等。當(dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu)，雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花 17 費(fèi)多一些，不過目前各種硬件設(shè)備已經(jīng)非常便宜了，這種花費(fèi)是可以承受的。 (2) 網(wǎng)絡(luò)拓?fù)涞倪x擇 當(dāng)前在局域網(wǎng)的建設(shè)中，主要應(yīng)用的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價(jià)廉的網(wǎng)絡(luò)技術(shù)，其標(biāo)準(zhǔn)已制定完備。 當(dāng)前達(dá)到或超過 100Mbps 的高速網(wǎng)絡(luò)技術(shù)主要有：快速以太網(wǎng)、 FDDI、千兆以太網(wǎng)、 ATM 交換網(wǎng)。 4．網(wǎng)絡(luò)技術(shù) 學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全等方面。 （ 1）物理設(shè)計(jì) 根據(jù)需求分析，可以知道整個(gè)校園網(wǎng)信息點(diǎn)的數(shù)目，同時(shí)也知道這些信息點(diǎn)在整個(gè)校園內(nèi)的分布情況。因此我們在設(shè)計(jì)一個(gè)校園網(wǎng)時(shí)，要充分考慮到對已有校園網(wǎng)資源的再次利用，又要考慮到將來對校園網(wǎng)進(jìn)一步的升級改造。在完成校園網(wǎng)的需求分析之后，就要對整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接 校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸 是網(wǎng)絡(luò)的一項(xiàng)基本要求； 信息結(jié)構(gòu)多樣化 校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、學(xué) 15 校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理 校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化； 經(jīng)濟(jì)實(shí)用 學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具備很高的性能價(jià)格比。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層 設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。選擇 Catalyst 3524 和Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī)，為終端用戶提供 10/100M 到桌面。 先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。 學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息 化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。集線器 (HUB):根據(jù)微機(jī)的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps網(wǎng)卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口網(wǎng)卡、 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。 [6] 11 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。 數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。入 侵檢測系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對措施。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。 防火墻。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)的查殺毒。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。 網(wǎng)絡(luò) 安全的技術(shù)是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須 要 做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份 認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)， 9 否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。 4) 網(wǎng)絡(luò)安全意識淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡薄；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問題泛濫的一個(gè)重要原因 .由此可見，構(gòu)筑具有必要的信息安全防 護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要 . 8 8 2. 校園網(wǎng)絡(luò)安全策略 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。但可以說幾乎所有的人都沒有充分認(rèn)識到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺計(jì)算機(jī)都能對它進(jìn)行訪問。 [5] 7 3 存在的安全隱患 ,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有 : 1 ) 計(jì)算機(jī)與 Inter 相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。 10)分布式拒絕服務(wù)攻擊。 8 )電子郵件炸彈。 6 ) Smurf 攻擊。攻擊利用如 chargen 和 echo 等簡單的 TCP／ IP 服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。 拒絕服務(wù)攻擊的方法多樣。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。 6 2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。激發(fā)性是指病毒程序可以按照沒計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。 破壞性是指計(jì)算機(jī)病毒可能會干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。 5 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。 1996 年，教育部提出要以全國 1000 所中小學(xué)校作為試點(diǎn)，建立起各自的校園網(wǎng)絡(luò)。 各校在實(shí)踐中逐漸意識到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度 有一定關(guān)系 ，教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響。 1997 年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： 1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏 洞，如 UNIX服務(wù)器， NT 服務(wù)器及 Windows 桌面 PC； 2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過檢驗(yàn)； 3. 來自內(nèi)部網(wǎng)用戶的安全威脅； 4. 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性； 5. 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性 ； 6. 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理