【正文】 系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問 題。 由于校園網(wǎng)絡(luò)校園網(wǎng)絡(luò)安全現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實(shí)現(xiàn)資源共享的同時，網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、 學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。因此，如何在現(xiàn)有的條件下避免這樣事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個重要課題。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。目 前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。 在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計劃將全國 122所一流大學(xué)與社會廣泛連接，構(gòu)筑一個教育與研究的專用網(wǎng)絡(luò)；英國提出要在 2020年成立網(wǎng)上工業(yè)大學(xué)，到 2020年所有中小學(xué)、圖書館、學(xué) 院和大學(xué)全部介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。截止2020 年年初，教育部宣布有 500 多家已建立。但現(xiàn)實(shí)中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實(shí)力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致 建網(wǎng)質(zhì)量偏低，后期維護(hù)費(fèi)用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是 一攬子 計劃，忽視了后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運(yùn)作為了解決上述問題，在建網(wǎng)時應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒有通用方案，每個學(xué)校應(yīng)根據(jù)自身實(shí)際情況（資金和技術(shù)能力），設(shè)計自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能 一蹴而就 ，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪 費(fèi)。 校園網(wǎng)也同樣不能幸免。 4 綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。 [7] 校園網(wǎng)絡(luò)安全威脅 1 計算機(jī)病毒 計算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。計算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。傳染性則是計算機(jī)病 毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。潛伏性則是指計算機(jī)病毒可以長時間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。 計算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機(jī)理。這時候的病毒傳 播還是線下傳播。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機(jī)網(wǎng)絡(luò)。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的 “后門 ”大肆發(fā)起攻擊。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。之所以介紹拒絕服務(wù)攻擊，因為拒絕服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻 擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。 2）淚滴攻擊。 3 ） UDP 洪水攻擊。 4 ) SYN洪水攻擊。 5 ) LAND攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN握手信息．已達(dá)到癱瘓主機(jī)的目的。攻擊者將報文地址設(shè)為 Echo地址，這樣 Echo78地址就必須不問斷的響應(yīng)該報文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 Fraggle攻擊對 Smurf攻擊做了修改。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。借助機(jī)器對某些消息為 進(jìn)行錯誤校驗來攻擊服務(wù)器。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到 系統(tǒng)的安全。 3) 目錄共享導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn) 行資料的傳輸與共享是人們常采用的一個方法。這也成了數(shù)據(jù)資料安全的一個隱患。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。以下五點(diǎn)是高校的安全策略： 規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化 的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2020服務(wù)器安裝一個殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計算機(jī)。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。 采用 VLAN技術(shù)。VLAN技術(shù)根據(jù)不 同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 9 內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。 防火墻。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議 、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng) 絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)還可以發(fā)出實(shí)時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對 措施。 隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或 “后門 ”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上 “補(bǔ)丁 ”。 數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 10 加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。 [6] 11 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。當(dāng)然也可以借助Wingate或 Sygate等軟件多機(jī)共享一臺 Modem上網(wǎng)；或者通過代理服務(wù)器連上 Inter，享受非一般的速度。目前 10Mbps ISA插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于 10Mbps ISA插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU資源，只適應(yīng)于那些對速度要求不高的局域網(wǎng)，因此用 100Mbps PCI插口的網(wǎng)卡或者 10Mbps/100Mbps自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。 RJ45 是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口， RJ45的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8芯的接頭，使用 RJ45的缺點(diǎn)是架設(shè)成本高，但安裝和維護(hù)較為方便，因此我們一般使用 RJ45接口。因此有條件的話可選用交 換機(jī)。此外每臺接入 Hub的計算機(jī) ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計算機(jī) CPU 占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應(yīng)用。其設(shè)計方案應(yīng)注意以下原則： 實(shí)用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校關(guān)鍵設(shè)備 在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國 Cisco 公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)， Catalyst 6506是大容量的具有高交換能力的第三層模 塊化交換機(jī)， Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿