【正文】 計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。目前國內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問題。 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 18 備份與恢復(fù) 建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須實(shí)現(xiàn)以下內(nèi)容：計(jì)算機(jī)網(wǎng) 絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化，科學(xué)化；網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究；對(duì)介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤；對(duì)數(shù)據(jù)形成分門別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)；維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。 漏洞掃描其基本原 理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。目前開放協(xié)議的常見形式有 :安全廠 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 17 家提供 IDS 的開放接口， 為 各個(gè)防火墻廠商使用，以實(shí)現(xiàn)互動(dòng)。但是，由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無論從實(shí)施難度、合成后的性能等方面都會(huì)因此受到很大影響。操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì) 。 計(jì)算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問題，但是防火墻不是萬能的，不能提供實(shí)時(shí)的入侵檢測(cè)能力。而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。不同的防火墻可能具有不同的應(yīng)用功能， 這些功能可能是包過濾、狀態(tài)檢測(cè)、內(nèi)容過濾、加密、 NAT、 IDS、 VPN、 各種代理服務(wù)等等。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實(shí)現(xiàn)的。軟件防火 墻和硬件防火墻是個(gè)相對(duì)概念，基本上，所有的防火墻都需要軟件的 處理部分。 防火墻部署 防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。在用戶層，校園網(wǎng)絡(luò)安全體系的主要內(nèi)容包括用戶的管理，登錄，認(rèn)證。如果我們付出的代價(jià)比從安全體系中獲得的利益還要多，那么我們就不該采用這個(gè)方案。 3) 高效性 :構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。 設(shè)計(jì)校園網(wǎng)絡(luò)安全體系的原則 根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)遵循安全性，可行性，高效性，可承擔(dān)性等原則，分別闡述如下： 1) 安全性 :設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全，所以安全性成為首要目標(biāo)。網(wǎng)絡(luò)能夠容易得進(jìn)行擴(kuò)容、升級(jí)和管理。一旦安 全管理與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往會(huì)作出讓步，或許正是由 于一個(gè)細(xì)微的讓步，最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。關(guān)閉網(wǎng) 絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的 賬號(hào) 等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。路由器、虛擬局域網(wǎng) (VLAN)、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段手段。妥善保管備份磁帶和文檔資料 。在網(wǎng)絡(luò)安全的實(shí)施中，技術(shù)只是手 段，還應(yīng)該先對(duì)網(wǎng)絡(luò)安全管理有個(gè)清晰的概念，然后制定翔實(shí)的安全策略，最后 才是選擇合適的產(chǎn)品用以具體實(shí)施和構(gòu)建安全系統(tǒng)。在校園網(wǎng)安全規(guī)劃時(shí) , 對(duì)于在什么地方應(yīng)采取什么樣的安全措施 , 事先都必須給予充分的考慮 , 以確保校園網(wǎng)的安全，對(duì)于這些問題我們將在下一章節(jié)予以研究。 要注意數(shù)據(jù)的完整性與精確性 , 使信息在存儲(chǔ)或傳輸過程中不被破壞、丟失或不被未經(jīng)授權(quán)的惡意或偶然的修改 。反垃圾郵件機(jī)理： IP 地址、域名、郵件地址黑白名單方式；基于垃圾郵件行為模式識(shí)別模型 ； Domainkeys 方式 (基于PKI 的方式對(duì)郵件發(fā)送者進(jìn)行驗(yàn)證，對(duì)郵件信息進(jìn)行加密保護(hù)，對(duì)收信人實(shí)現(xiàn)防抵賴機(jī)制 )； 基于信頭、信體、附件的內(nèi)容過濾方式；反垃圾郵件產(chǎn)品有：防垃圾郵件網(wǎng)關(guān)，如冠群金辰 的 Kill 赤霄郵 件過濾網(wǎng)關(guān)；防垃圾郵件防 火墻，如：博威特的梭子魚垃圾郵件防火墻。防火墻性能：降低誤報(bào)率、漏報(bào)率； 入侵檢測(cè) 產(chǎn)品有： CA 的Intrusion Detection,啟明星辰的天闐 IDS 等 。 防火墻產(chǎn)品： Juniper 的 Net Screen； Cisco 的 Pix；天融信防火墻；天網(wǎng)防火墻 。 ? 病毒直接從工作站拷貝到服務(wù)器中或通過郵件在網(wǎng)內(nèi)傳播； 校園網(wǎng)的安全隱患 10 ? 病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時(shí)再傳染給服務(wù)器； ? 病毒先傳染工作站，在工作站內(nèi)存駐留，在病毒運(yùn)行時(shí)直接通過映像路徑傳染到服務(wù)器中 ； ? 如果 遠(yuǎn)程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中一旦病毒進(jìn)入文件服務(wù)器，就可通過它迅速傳染到整個(gè)網(wǎng)絡(luò)的每一個(gè)計(jì)算機(jī)上。黑客攻擊已成為校園網(wǎng)安全不可忽視的一個(gè)因素。 網(wǎng)絡(luò)黑客的入侵 “黑客 ”一詞是由英語 Hacker 英譯出來的，是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)，主在體現(xiàn)在以下幾點(diǎn) : 1) 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn) ； 2) 機(jī)房出入管理不嚴(yán)格，使入侵者能夠接近重要設(shè)備而帶來信息安全風(fēng)險(xiǎn) ； 3) 一些心懷不滿的內(nèi)部員工 ，由于熟悉服務(wù)器、小程序、腳本和系統(tǒng) 的弱點(diǎn)，進(jìn)行如復(fù)制、刪除數(shù)據(jù)等非法數(shù)據(jù)操作，造成極大的安全風(fēng)險(xiǎn)； 4) 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí) (如內(nèi)部人員的違規(guī)操作等 )，無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。在校園網(wǎng)規(guī)劃時(shí)，應(yīng)考慮長(zhǎng)遠(yuǎn)，因?yàn)橐坏┚C合布線、設(shè)備配置完成再進(jìn)行調(diào)整可能需要再重新設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，很多地方需要重新布線，網(wǎng)絡(luò)設(shè)備也需要重新設(shè)置，這樣既浪費(fèi)人力，物力，也會(huì)影響到教學(xué)。目前學(xué)校的計(jì)算機(jī)系統(tǒng)絕大多數(shù)都是使用 Windows2020/XP 操作系統(tǒng)，而Windows 操作系統(tǒng)是不太安全的。 系統(tǒng)安全漏洞是指系統(tǒng)在設(shè)計(jì)時(shí)沒有考慮到的缺陷，特別是操作系統(tǒng)，因?yàn)檫@些軟件一般都比較的復(fù)雜、龐大，有時(shí)會(huì)因?yàn)槌绦騿T的疏忽或軟件設(shè)計(jì)上的失誤而留下一些漏洞。一方面是指物理安全，主要是由于網(wǎng)絡(luò)硬件設(shè)備的放置不合適或者防范措施不得力，使得服務(wù)器、工作站、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及 UPS 和電纜線等電源設(shè)備遭受自然雷電、水、火意外事故或人為破壞等等而造成的校園網(wǎng)不能正常使用。 校園網(wǎng)絡(luò)系統(tǒng)需要實(shí)現(xiàn)以下安全目標(biāo)： ? 保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性 ； ? 保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性 ； ? 防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問 ； ? 防范入侵者的惡意攻擊與破壞 ； ? 保護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性 。校園網(wǎng)多采用星形拓?fù)浣Y(jié)構(gòu)，常 見的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖 12 圖 12 校園網(wǎng)拓 撲結(jié)構(gòu) 校園網(wǎng)的建設(shè)目標(biāo) 網(wǎng)絡(luò)安全（ Network Security）是抵御內(nèi)部和外部各種形式的威脅，以確保 絡(luò)的安全的過程。 教學(xué)資源庫系統(tǒng)提供一致的資源管理和使用方式，實(shí)現(xiàn)簡(jiǎn)便精確的資源獲取與檢索，全面支持教學(xué)應(yīng)用，包括對(duì)各類教學(xué)軟件庫、教學(xué)網(wǎng)絡(luò)平臺(tái)、電子閱覽室等資源的分類、檢索和管理、多媒體教學(xué)、遠(yuǎn)程教育等功能。通過權(quán)限設(shè)置，實(shí)現(xiàn)角色化管理，年級(jí)、班級(jí)、興趣小組等各類角色都可以根據(jù)自己定制的需求去查詢、發(fā)布信息。在此平臺(tái)上可輕松的實(shí)現(xiàn)用戶注冊(cè)、系統(tǒng)的備份和恢復(fù)、用戶權(quán)限的設(shè)置以及資源的調(diào)整、初始化等管理工作。同時(shí)各個(gè)高校的網(wǎng)絡(luò)應(yīng)用建設(shè)也是搞得風(fēng)風(fēng)火火，從原來的只提供部分特殊用戶的上網(wǎng)接入，只提供基本的 Web 和 Mail 服務(wù)發(fā)展到了增加網(wǎng)絡(luò)出口，增加帶寬，建設(shè)各部門和學(xué)院的二級(jí)站點(diǎn)乃至個(gè)人站點(diǎn)，Video 視頻點(diǎn)播系統(tǒng)、 IPTV 網(wǎng)絡(luò)電視系統(tǒng)、各學(xué)科知識(shí)數(shù)據(jù)庫系統(tǒng)、教學(xué)、人事等業(yè)務(wù)系統(tǒng)，精品課程、網(wǎng)上錄播、監(jiān)控等多種應(yīng)用系統(tǒng)的建設(shè)。校園網(wǎng)的建設(shè)包括根據(jù)自身的應(yīng)用需求和特點(diǎn)進(jìn)行校園網(wǎng)的體系結(jié)構(gòu)的 設(shè)計(jì)，相關(guān)技術(shù)設(shè)備的選擇，網(wǎng)絡(luò)出口包括帶寬的選擇，設(shè)備之間拓?fù)潢P(guān)系的確 定，集成、調(diào)試，應(yīng)用建設(shè)等關(guān)鍵環(huán)節(jié)，在這些環(huán)節(jié)當(dāng)中也包含著對(duì)校園網(wǎng)絡(luò)安 全的考慮與設(shè)計(jì)。 網(wǎng)絡(luò)體系結(jié)構(gòu)是關(guān)于如何構(gòu)建網(wǎng)絡(luò)的技術(shù)，它包括兩個(gè)層次的內(nèi)涵。高等學(xué)校校園網(wǎng)發(fā)展呈現(xiàn)以下趨勢(shì)： 與校園網(wǎng)相關(guān)的網(wǎng)絡(luò)技術(shù)、應(yīng)用技術(shù)發(fā)展更新的速度加快； 新興的千兆以太網(wǎng)，甚至萬兆以太網(wǎng)絡(luò)、 ATM、網(wǎng)絡(luò)視頻等技術(shù)已被廣泛使用 ；校 園辦公服務(wù) 軟件的興起，把學(xué)校教學(xué)、校務(wù)辦公、學(xué)校服務(wù)等有機(jī)地融合進(jìn)校園網(wǎng)；利 用校園 網(wǎng)和 互聯(lián)網(wǎng)，發(fā)展了遠(yuǎn)程教育系統(tǒng)，豐富了教學(xué)手段，拓展了辦學(xué)規(guī)模；同時(shí) Inter 應(yīng)用的發(fā)展也拓展了高等教育的研究領(lǐng)域； 新興的 Inter 應(yīng)用學(xué)科蓬勃發(fā)展，特別是電子商務(wù)應(yīng)用系統(tǒng)的發(fā)展越來越受到廣大高等院校的重視，已經(jīng)被部分高校編入了教學(xué)范圍。這是一個(gè)伸縮性比較大的工作，從人員角度，培訓(xùn)可分為四級(jí)：校長(zhǎng)的培訓(xùn)、校園管理員的培訓(xùn)、青年骨干教師的培訓(xùn)、全體教師的培訓(xùn)，這些人員在培訓(xùn)之后能夠針對(duì)學(xué)校的具體、特殊 的 需求或是未來需求而提出切實(shí)可行的建議，以便能夠更好地進(jìn)行系統(tǒng)的二次開發(fā)。 校園網(wǎng)概念及其問題 “ 校園網(wǎng) ” 的概念是指大、中、小學(xué)教育單位的網(wǎng)絡(luò)，它以應(yīng)用為目的，基于 校園網(wǎng)網(wǎng)絡(luò)概述 3 Inter/Intra 技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)和它的使用者以及相關(guān)規(guī)章制度的集合。 3) 信息新技術(shù)應(yīng)用和組網(wǎng)模式帶