【正文】 應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。比如 2020 年 暴發(fā)的 “震蕩波、沖擊波、 ”等病毒，雖沒有造成很大的損失，但足以使認(rèn)識到網(wǎng)絡(luò)安全的重要性。 1997 年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。 1999 年 9 月，教育部決定正式啟動國家現(xiàn)代遠(yuǎn)程教育工程，清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。 各校在實(shí)踐中逐漸意識到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度 有一定關(guān)系 ，教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響?，F(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。 1996 年，教育部提出要以全國 1000 所中小學(xué)校作為試點(diǎn)，建立起各自的校園網(wǎng)絡(luò)?？梢哉f，在國家政策扶持下，我國 校園網(wǎng)建設(shè)取得了飛速發(fā)展。 5 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，非更改考試成績；更改英語 全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學(xué)校招生、分配機(jī)密 等。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。 破壞性是指計(jì)算機(jī)病毒可能會干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。激發(fā)性是指病毒程序可以按照沒計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。計(jì)算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。 6 2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn)，重點(diǎn)介紹拒絕服務(wù) (DoS， Daniel of Service)攻擊。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。 拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。 拒絕服務(wù)攻擊的方法多樣。就其攻擊手段來說．主要有以下幾種： 1）死亡之 Ping。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。攻擊利用如 chargen 和 echo 等簡單的 TCP／ IP 服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。攻擊者通過想服務(wù)器發(fā)送連續(xù)的 SYN 握手信息來癱瘓服務(wù)器的攻擊方式。 6 ) Smurf 攻擊。 7 ) Fraggle 攻擊。 8 )電子郵件炸彈。 9 )急性消息攻擊。 10)分布式拒絕服務(wù)攻擊。 常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。 [5] 7 3 存在的安全隱患 ,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有 : 1 ) 計(jì)算機(jī)與 Inter 相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對社會開放，這樣一來只要接入 INTERNET 的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動后，木馬就在機(jī)器中打開一個(gè)服務(wù)，通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。但可以說幾乎所有的人都沒有充分認(rèn)識到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺計(jì)算機(jī)都能對它進(jìn)行訪問。我曾經(jīng)搜索過外地機(jī)器的一個(gè) C 類 IP 網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺，而且許多機(jī)器是將整個(gè) C 盤、 D 盤進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤，就能對上面的資料、文檔進(jìn)行查看、修改、刪 除。 4) 網(wǎng)絡(luò)安全意識淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡?。涣硗?，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問題泛濫的一個(gè)重要原因 .由此可見，構(gòu)筑具有必要的信息安全防 護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要 . 8 8 2. 校園網(wǎng)絡(luò)安全策略 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。而病毒泛濫、黑客攻 擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個(gè)網(wǎng)絡(luò)都將是致命性的。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。以下五點(diǎn) 是 高校的安全策略： 規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份 認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)， 9 否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 網(wǎng)絡(luò) 安全的技術(shù)是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須 要 做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理 。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2020 服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)的查殺毒。 10 采用 VLAN 技術(shù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。 防火墻。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略 和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識哪 些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入 侵檢測系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對措施。 隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。 數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。 [6] 11 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。 校園網(wǎng)建設(shè)需求分析 需求分析 局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用 ,如 :共享磁盤設(shè)備、打印機(jī)等 ,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件 ,并可在任何一臺共 享打印機(jī)上進(jìn)行打印 。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps網(wǎng)卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口網(wǎng)卡、 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。 BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。集線器 (HUB):根據(jù)微機(jī)的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。一個(gè) Hub 所組成的域稱為沖突域 , 12 也就是說 ,網(wǎng)絡(luò)上任何一臺計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí) ,其他所有計(jì)算機(jī)都能夠收到 ,且這些計(jì)算機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞 (CSMA/ CD 協(xié)議會阻止碰撞 )。 學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息 化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的 MTBF(平均無故障工作時(shí)間 )和極低的 MTBR(平均無故障率 )，提高容錯(cuò)設(shè)計(jì)，支持 故障檢測和恢復(fù)，可管理性強(qiáng)。 先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。選擇 Catalyst 3548 作為外網(wǎng)交換機(jī)。選擇 Catalyst 3524 和Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī)，為終端用戶提供 10/100M 到桌面。同時(shí) 13 Cisco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器，提供分支機(jī)構(gòu)的撥號接入。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。 Catalyst6506 交換機(jī)引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用 Cisco 特有的 Netflow 技術(shù)，完全滿足核心線性三層交換的能力。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層 設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。 2. FTTX+LAN 接入方式。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識，只 有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接 校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸 是網(wǎng)絡(luò)的一項(xiàng)基本要求； 信息結(jié)構(gòu)多樣化 校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、學(xué) 15 校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理 校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化； 經(jīng)濟(jì)實(shí)用 學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具備很高的性能價(jià)格比。通過對實(shí)際需要進(jìn)行細(xì)致的分析，才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。在完成校園網(wǎng)的需求分析之后，就要對整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。一般來說，一個(gè)校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實(shí)施的，包括功能的 分步實(shí)施和規(guī)模的分步實(shí)施。因此我們在設(shè)計(jì)一個(gè)校園網(wǎng)時(shí)，要充分考慮到對已有校園網(wǎng)資源的再