【正文】 利用系統(tǒng)漏洞進(jìn)行主動(dòng)傳播的網(wǎng)絡(luò)病毒，這就需要在個(gè)人計(jì)算機(jī)上安裝防病毒軟件來(lái)控制病毒的傳播。另外，對(duì)于校園網(wǎng)中重要的服務(wù)器，最好能對(duì) BIOS 做一些其他的安全設(shè)置，例如，設(shè)置計(jì)算機(jī)系統(tǒng)開機(jī)保護(hù)口令，禁止使用移動(dòng)存儲(chǔ)設(shè)備啟動(dòng)等等。 個(gè)人計(jì)算機(jī)啟動(dòng)安全 計(jì)算機(jī)在出廠的時(shí)候，系統(tǒng)的啟動(dòng)設(shè)置默認(rèn)為優(yōu)先從軟盤啟動(dòng)，這樣會(huì)給能從物理上接 觸計(jì)算機(jī)的攻擊者提供了機(jī)會(huì)，攻擊者只需要用一張軟盤就能啟動(dòng)計(jì)算機(jī)，然后自由地訪問(wèn)用戶數(shù)據(jù)，從而繞開操作系統(tǒng)的密碼驗(yàn)證功能。 山西輕工職業(yè)技術(shù)學(xué)院 18 個(gè)人計(jì)算機(jī)設(shè)備安全 對(duì)于校園網(wǎng)中存在的個(gè)人設(shè)備，不要給攻擊者創(chuàng)造能接觸主機(jī)的機(jī)會(huì)，不要以為機(jī)器沒(méi)有加電就是安全的，攻擊者可以把硬盤拿走復(fù)制數(shù)據(jù)后再拿回來(lái)。 、 物理環(huán)境安全 物理環(huán)境安全也稱實(shí)體安全，是指包括環(huán)境、設(shè)備和記錄介質(zhì)在內(nèi)的所有支持信息系統(tǒng)運(yùn)行的硬件的總體安全，是網(wǎng)絡(luò)系統(tǒng)安全 、可靠、不間斷運(yùn)行的基本保證。 校園網(wǎng)個(gè)人用戶的安全 需求 要保證校園網(wǎng)個(gè)人用戶的信息安全，必須從環(huán)境、自身、產(chǎn)品和意識(shí)等方面出發(fā)，逐個(gè)解決存在的問(wèn)題，把可能的危險(xiǎn)排除在發(fā)生之前。針對(duì)不同類型安全事件提供緊急應(yīng)對(duì)措施。 校園網(wǎng)安全運(yùn)維管理需求 校園網(wǎng)的硬件環(huán)境建設(shè)完畢后，一項(xiàng)重要的工作就是做好校園網(wǎng)的維護(hù)工作，保證校園網(wǎng)的穩(wěn)定、安全運(yùn)行，能夠滿足學(xué)校教學(xué)活動(dòng)的要求。 殺毒軟件能從郵件、 FTP 文件、網(wǎng)頁(yè)、軟盤、光盤等所有可能帶來(lái)病毒的信息源進(jìn)行監(jiān)控和病毒攔截 。 校園網(wǎng)病毒安全管理需求 病毒是校園網(wǎng)安全隱患之一，必須做到有效控制。 能夠按要求存儲(chǔ)校園網(wǎng)訪問(wèn)日志記錄，提供進(jìn)行關(guān)鍵詞查找和離線分析功能 。其主要需求有 : 對(duì)校園網(wǎng)關(guān)鍵區(qū)域的信息流動(dòng)進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，能夠把網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，通過(guò)實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)非法或異常行為 。 服務(wù)器在受到損害時(shí)，至少能做到數(shù)據(jù)恢復(fù)可用。 服務(wù)器的操作行為有嚴(yán)格審計(jì)，能夠防止黑客有意刪除 。 服務(wù)器提供的資源受控制，防止非授權(quán)人員拷貝、修改、發(fā)送 。 校園網(wǎng)服務(wù)器安全需求 校園網(wǎng)服務(wù)器 存儲(chǔ)大量信息，例如學(xué)生檔案、學(xué)生作業(yè)、考試數(shù)據(jù)、網(wǎng)頁(yè)文件等。 校園網(wǎng)漏洞及補(bǔ)丁管理安全需求 校園網(wǎng)是一個(gè)由多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的復(fù)雜性網(wǎng)絡(luò)環(huán)境，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件都存在難以避免的安全漏洞。由于校園網(wǎng)安全與人的安全意識(shí)和技能緊密相關(guān)，因此，對(duì)校園網(wǎng)不同類型用戶進(jìn)行安全教育，將有利于校園網(wǎng)的安全 應(yīng)用。選了先進(jìn)的備份硬件后我們決不能忽略備份軟件的選擇因?yàn)橹挥袃?yōu)秀的備份件才能充分發(fā)揮硬件的先進(jìn)功能保證快速、有效的數(shù)據(jù)備份和恢復(fù)。這種 結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)不僅能夠有效地防止物理?yè)p壞還能夠徹底防止邏輯損壞。首先要使用硬件備份來(lái)防止硬件故障 。 、 做好對(duì)突發(fā)網(wǎng)絡(luò)問(wèn)題的處理以及系統(tǒng)故障恢復(fù) 為保證網(wǎng)絡(luò)系統(tǒng)發(fā)生災(zāi)難后做到有的放矢必須制定一套完整可行的事件救援災(zāi)難恢復(fù)計(jì)劃及方案做好計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件及各種資料數(shù)據(jù)的備份。用戶的入網(wǎng)訪問(wèn)控制通常有用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶 帳戶的缺省限制檢查等。 最后進(jìn)行訪問(wèn)控制。對(duì)于 TCP/IP網(wǎng)絡(luò)可以把網(wǎng)絡(luò)分成若干 IP子網(wǎng)各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。物理分段 通常是指將網(wǎng)絡(luò)在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段各網(wǎng)段相互之間無(wú)法直接通信。 VLAN技術(shù)的核心是網(wǎng)絡(luò)分段根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別將網(wǎng)絡(luò)分段并進(jìn)行隔離實(shí)現(xiàn)相互間的訪問(wèn)控制可以達(dá)到限制用戶非法訪問(wèn)的目的。 其次運(yùn)用 VLAN技術(shù)。過(guò)濾器技術(shù)可以屏蔽不良的網(wǎng)站對(duì) 網(wǎng)上色情、暴力和邪教等有了強(qiáng)大的堵截功能。所以網(wǎng)絡(luò)的安全問(wèn)題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮并在實(shí)際運(yùn)行中嚴(yán)格管理。網(wǎng)絡(luò)的安全策略可以說(shuō)是在一定條件下的成本和效率的平衡。 、 采取一定的網(wǎng)絡(luò)安全策略 所謂的網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。這種管理除了建立起一套嚴(yán)格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)絡(luò)管理隊(duì)伍。 、加強(qiáng)網(wǎng)絡(luò)安全管理。 8加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。 數(shù)據(jù)加密。 漏洞掃描。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。 (4）定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則 . 山西輕工職業(yè)技術(shù)學(xué)院 14 (2）禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù) (如 HTTP , FTP 等 )。 在與 Inter 相連的每一臺(tái)電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。同時(shí)，可以限制外來(lái)的垃圾郵件。 內(nèi)容過(guò)濾器。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏 輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作 組的技術(shù)。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理 整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能 .。 殺毒軟件。 采取有效的安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過(guò)網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來(lái)對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。 山西輕工職業(yè)技術(shù)學(xué)院 13 解決用戶上網(wǎng)身份問(wèn)題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外 接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。對(duì)于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。 針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自校園網(wǎng)外的攻擊已經(jīng)足夠。這種管理除了建立起一套嚴(yán)格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)絡(luò)管理隊(duì)伍。一般來(lái)說(shuō)，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法 。 而病毒泛濫、黑客攻擊、信息丟失 、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。 校園網(wǎng)的安全威脅既有來(lái)自校內(nèi)的，也有來(lái)自校外的，只有將技術(shù)和管理都重視起來(lái)，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。 山西輕工職業(yè)技術(shù)學(xué)院 12 第二章 如何保護(hù)校園網(wǎng)絡(luò)的安全和措施 、制定正確的 安全 管理 方向 隨著校園網(wǎng)應(yīng)用的深入校園網(wǎng)的安全管理問(wèn)題也日益突出如何保障網(wǎng)絡(luò)教學(xué)的正常進(jìn)行和教學(xué)資源的合法訪問(wèn)使網(wǎng)絡(luò)免受病毒、惡意軟件的破壞 和其他不良意圖的攻擊就顯得尤為重要。 Inter網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足因?yàn)槠滟囈陨娴?TCP/IP協(xié)議缺乏相應(yīng)的安全機(jī)制因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。從物理上講校園網(wǎng)絡(luò)的安全是脆弱的就如通訊領(lǐng)域所面臨的問(wèn)題一樣校園網(wǎng)絡(luò)涉及設(shè)備分布極為廣泛任何個(gè)人或部門都不可能時(shí)刻對(duì)這些設(shè)備進(jìn)行全面監(jiān)控包括通信光纜、電纜、電話線、局域網(wǎng)、遠(yuǎn)程網(wǎng)等都有可能遭到破壞從而引起校園網(wǎng)絡(luò)的癱瘓影響正常教學(xué)業(yè)務(wù)的進(jìn)行。對(duì)于我們有使用的軟件和服務(wù)應(yīng)該密切關(guān)注其程序的 最新版本和安全信息一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。 系統(tǒng)的安全問(wèn)題 ： 從目前來(lái)看各種系統(tǒng)或多或少都存在著各種的漏洞系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問(wèn)題發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。另外對(duì)于系統(tǒng)的一些權(quán)限如果設(shè)置不當(dāng)對(duì)用戶不進(jìn)行密碼驗(yàn)證也可能為“入侵者”留下后門。因此密碼管理是非?；镜囊彩欠浅Ｖ匾摹? 其次密碼的安全問(wèn)題 ： 用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用的方法之一。由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。 、 校園網(wǎng)絡(luò)的安全 自信息系統(tǒng)開始運(yùn)行以來(lái)就存在信息系統(tǒng)安全問(wèn)題，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)而構(gòu)成 的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。 可控性 可控性是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。即，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。最簡(jiǎn)單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法； 密碼校驗(yàn)和方法：它是抗撰改和傳輸失敗的重要手段； 數(shù)字簽名：保障信息的真實(shí)性； 公證：請(qǐng)求網(wǎng)絡(luò)管理或中介 機(jī)構(gòu)證明信息的真實(shí)性。影響網(wǎng)絡(luò)信息完整性的主要因素有：設(shè)備故障、誤碼（傳輸、處理和存儲(chǔ)過(guò)程中產(chǎn)生的誤碼，定時(shí)的穩(wěn)定度和精度降低造成的誤碼，各種干擾源造成的誤碼）、人為攻擊、計(jì)算機(jī)病毒等。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲(chǔ)和傳輸。 完整性 完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。 常用的保密技術(shù)包括：防偵收（使對(duì)手偵收不到有用的信息）、防輻射（防止有用信息以各種途徑輻射出去）、信息加密（在密鑰的控制下， 用加密算法對(duì)信息進(jìn)行加密處理。即，防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。審計(jì)跟蹤的信息主要包括：事件類型、被管客體等級(jí)、事件時(shí)間、事件信息、事件回答以及事件統(tǒng)計(jì)等方面的信息。 可用性還應(yīng)該滿足以下要求：身份識(shí)別與確認(rèn)、訪問(wèn)控制（對(duì)用戶的權(quán)限進(jìn)行控制，只能訪問(wèn)相應(yīng)權(quán)限的資源，防止或限制經(jīng)隱蔽通道的非法訪問(wèn)。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù)，而用戶的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間要求。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。這里的環(huán)境主要是指自然環(huán)境和電磁環(huán)境。因此，人員的教育、培養(yǎng)、訓(xùn)練和管理以及合理的人機(jī)界面是提高可靠性的重要方面。人員可靠性在整個(gè)系統(tǒng)可靠性中扮演重要角色，因?yàn)橄到y(tǒng)失效的大部分 原因是人為差錯(cuò)造成的。軟件可靠性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。 可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。有效性主要反映在網(wǎng)絡(luò)信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。這里，隨機(jī)性 破壞是指系統(tǒng)部件因?yàn)樽匀焕匣仍斐傻淖匀皇А? 生存性是在隨機(jī)破壞下系統(tǒng)的可靠性。比如，部分線路或節(jié)點(diǎn)失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測(cè)度主要有三種：抗毀性、生存性和有效性。 可靠性 可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。 、 網(wǎng)絡(luò)信息安全與保密 通俗地說(shuō)，網(wǎng)絡(luò)信息安全與保密主要是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒(méi)有危險(xiǎn)、不受威脅、不出事故。美國(guó)基本上掌握了網(wǎng)絡(luò)地址資源的控制權(quán)。 我國(guó)不少計(jì)算機(jī)硬件、軟件，以及路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備都依賴進(jìn)口，給網(wǎng)絡(luò)的安全保密留下了隱患。其中，硬件陷阱主要是“芯片搗鬼”，即蓄意更改集成電路芯片的內(nèi)容設(shè)計(jì)和使用規(guī)程，以達(dá)到破壞計(jì)算機(jī)信息系統(tǒng)的目的。即人為地在計(jì)算機(jī)信息系統(tǒng)中預(yù)設(shè)一些陷阱，干擾和破壞計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行。在大多數(shù)的操作系統(tǒng)中，刪除文件只是刪除文件名，而原文件還原封不動(dòng)地保留在存儲(chǔ)介質(zhì)中，從而留下泄密隱患。 2） 磁介質(zhì)的剩磁效應(yīng)。據(jù)報(bào)道，國(guó)際高靈敏度專用接收設(shè)備可在 1 公里外接收并還原計(jì)算機(jī)的輻射信息。這些輻射出去的電磁波，任何人都可借助儀器設(shè)備在一定范圍內(nèi)收到它，尤其是利用高靈敏度的儀器可穩(wěn)定清晰地獲取計(jì)算機(jī)正在處理的信息。二是這種含有信息的電磁波也可以經(jīng)電源線、信號(hào)線、地線等異體傳送和輻射出去，稱為傳導(dǎo)發(fā)射。電磁泄漏發(fā)射是指信息系統(tǒng)的設(shè)備在工作時(shí)向外輻射電磁波的現(xiàn)象。 設(shè)備隱患。許多軟件在設(shè)計(jì)時(shí)，為了方便用戶的使用、開發(fā)和資源共享，總是留有許多“窗口”