【正文】 為安全管理系統(tǒng)中一個功能部分，流量監(jiān)控可以控制端口的流量的大小，進行合理的分配，可以實現(xiàn)對網(wǎng)絡(luò)上監(jiān)測結(jié)點流量的監(jiān)測并可以通過圖表方式展現(xiàn)，有效的幫助網(wǎng)絡(luò)管理 員進行性能管理、計費管理、故障管理等網(wǎng)絡(luò)管理的內(nèi)容，并做出相宜的決策，防止網(wǎng)絡(luò)因用戶訪問過度造成阻塞。通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系，可在大多數(shù)的攻擊 到達之前進行阻止，從而達到限制非法訪問的目的。所以說訪問控制技術(shù)是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段之一。整個的物理網(wǎng)絡(luò)由交換機鏈接，可以通過 VLAN 技術(shù)將他們劃分成很多個小的子網(wǎng)，此時，一個站點發(fā)出的廣播數(shù)據(jù)包，只有在同一個虛擬網(wǎng)中的站點才能接受和轉(zhuǎn)發(fā)。虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)拓撲結(jié)構(gòu)變得非常靈活，位于不同地理位置的站點可以隨意加入到任意一個虛擬局域網(wǎng)中 [13]。對于動態(tài) VLAN， VLAN建立初期，需要的工作量大。一個良好的系統(tǒng)管理有助于增強系統(tǒng)的安全性，及時發(fā)現(xiàn)系統(tǒng)安全的漏洞，審查系統(tǒng)安全體系，加強對使用人員的安全知識教育，建立完善的系統(tǒng)管理制度。可從以下幾個方面著手：① 對網(wǎng)絡(luò)安全信息知識教育結(jié)合到各學(xué)科 的日常教學(xué)活動中；② 對學(xué)校學(xué)生、教師以及其它可能接觸到校園網(wǎng)絡(luò)的人員進行文明上網(wǎng)的安全知識普及； ③ 根據(jù)校園網(wǎng)絡(luò)目前情況完善內(nèi)部相關(guān)的各項網(wǎng)絡(luò)信息安全規(guī)定，成立一個獨具權(quán)威的管理機構(gòu)進行系統(tǒng)化管理。同時，要重視管理在整個系統(tǒng)中所發(fā)揮的重要作用，完善管理制度，加強安全教育，做到技術(shù)、管理兩手一起抓，才能確保建立完善、高效的網(wǎng)絡(luò)安全體系。 通過筆者閱讀大量的文獻，參照由美國 ISS 公司提出的動態(tài)網(wǎng)絡(luò)安全體系的代表P2DR 模型 [14]，提出了適用于中學(xué)網(wǎng)絡(luò)的安全模型。 圖 31 校園網(wǎng)絡(luò)安全模型 (1)策略：策略是模型的核心，所有的防護、檢測、響應(yīng)和恢復(fù)都是依據(jù)安全策略實施的。 (2)防護：防護是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題而采取的預(yù)防措施，這些措施通過傳統(tǒng)的靜態(tài)安全技術(shù)實現(xiàn)。 (3)檢測：當攻擊者穿透防護系統(tǒng)時，檢測功能就發(fā)揮作用，與防護系統(tǒng)形成互補。 (4)響應(yīng)：系統(tǒng)一旦檢測到入侵，響應(yīng)系統(tǒng)就開始工作，進行事件處理。同時網(wǎng)絡(luò)管理員根據(jù)檢測和響應(yīng)過程，來進行恢復(fù)。當發(fā)現(xiàn)入侵行為后，入侵檢測系統(tǒng)會通過響應(yīng)模塊改變系統(tǒng)的防護措施，改善系統(tǒng)的防護能力，從而實現(xiàn)動態(tài)的系統(tǒng)安全模型。 安全不能依靠單純的靜 態(tài)防護，也不能中學(xué)校園網(wǎng)絡(luò)安全防護及對策初探 以昌吉市一中校園網(wǎng)絡(luò)為例 10 依靠單純的技術(shù)手段來解決。 昌吉學(xué)院 2020屆本科畢業(yè)論文（設(shè)計） 11 4 校園網(wǎng)絡(luò)安全改進方案 通過筆者在昌吉市一中實習(xí)信息技術(shù)的過程中，對昌吉市一中校園網(wǎng)絡(luò)的規(guī)劃及建設(shè)較為清晰，市一中校園網(wǎng)絡(luò)在中學(xué)網(wǎng)絡(luò)的規(guī)劃及維護方面具有典型的代表性，但市一中的校園網(wǎng)絡(luò)還是存在很大的隱患，在分析校園網(wǎng)絡(luò)的規(guī)劃的基礎(chǔ)上，將網(wǎng)絡(luò)安全模型運用在昌吉市一中的校園網(wǎng)絡(luò)，改進校園網(wǎng)絡(luò)安全現(xiàn)狀。但仍有很多問題，首先，校園內(nèi)建筑物之間的連接選用五類及超五類雙絞線，且校園網(wǎng)絡(luò)由核心層、匯聚層和接入層構(gòu)成星型百兆以太網(wǎng)絡(luò)構(gòu)成，造成校園網(wǎng)絡(luò)的傳輸速率降低、帶寬太低；其次，由于建設(shè)校園網(wǎng)絡(luò)初期資金方面的原因，學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費投入嚴重不足，所以就將有限的經(jīng)費投在關(guān)鍵設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入，致使校園網(wǎng)處在一個開放的狀態(tài)，沒有任何有效的安全預(yù)警手段和防范措施，只是在內(nèi) 部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻；此外，校園網(wǎng)絡(luò)的核心層上連入的是路由器設(shè)備，由于 路由器轉(zhuǎn)發(fā)中學(xué)校園網(wǎng)絡(luò)安全防護及對策初探 以昌吉市一中校園網(wǎng)絡(luò)為例 12 采用最長匹配的方式，實現(xiàn)復(fù)雜，通常使用軟件來實現(xiàn)， 因此 轉(zhuǎn)發(fā)效率較低 ；最后，校園網(wǎng)絡(luò)缺少專門的網(wǎng)絡(luò)安全服務(wù)器，對于網(wǎng)絡(luò)安全隱患無法第一時間檢測到。 昌吉市一中網(wǎng)絡(luò)存在主要問題 IP 地址欺騙、盜用 市一中校園網(wǎng)絡(luò)如同大多數(shù)校園網(wǎng)絡(luò)一樣，采用 TCP/IP 協(xié)議，但是， TCP/IP 協(xié)議本身就存在很多問題， TCP/IP 協(xié)議是采用物理地址來為網(wǎng)絡(luò) 節(jié)點的唯一標識，但是由于市一中校園網(wǎng)絡(luò)的 IP 地址是采用動態(tài)分配，而 IP 地址與 MAC 地址沒有形成一一映射的關(guān)系，且網(wǎng)絡(luò)采用的 DHCP 是服務(wù)器技術(shù)節(jié)點的地址是不固定的，是一個公共數(shù)據(jù)。 網(wǎng)絡(luò)擁塞 由于昌吉市一中校園網(wǎng)絡(luò)目前主干網(wǎng)絡(luò)仍然采用雙絞線連接的方式，傳輸速率較低，而校園網(wǎng)絡(luò)用戶經(jīng)常下載課件或娛樂軟件，造成網(wǎng)絡(luò)帶寬嚴重不足，影響正常教育科研和行政管理活動的進行。市一中的校園網(wǎng)絡(luò)防御系統(tǒng)只是有簡單的防火墻硬件組成，應(yīng)對動態(tài)的校園網(wǎng)絡(luò)，遠遠不足。 管理制度的不嚴格 昌吉市一中校園 網(wǎng)絡(luò)內(nèi)部的用戶規(guī)模大、不定性因素多，面對如此活躍的網(wǎng)絡(luò)用戶，沒有規(guī)范的網(wǎng)絡(luò)安全管理制度和缺乏必要的安全管理人員已成為影響我國中學(xué)校園網(wǎng)絡(luò)安全建設(shè)的一個重要因素。依次從校園網(wǎng)絡(luò)防護、監(jiān)測、響應(yīng)和恢復(fù)四個部分進行改進： (1)防護：網(wǎng)絡(luò)管理員在用戶進行訪問時，應(yīng)對網(wǎng)絡(luò)訪問的用戶進行身份認證，對于昌吉學(xué)院 2020屆本科畢業(yè)論文（設(shè)計） 13 校園網(wǎng)絡(luò)信息采取加密的狀態(tài)，在校園網(wǎng)絡(luò)帶寬有限的情況下進行流量控制及在交換機端口設(shè)置訪問控制技術(shù)，限定訪問用戶的數(shù)量，并在防火墻技術(shù)的支持下，采用軟硬件的結(jié)合，將防火墻技術(shù)不僅運用于靜態(tài)網(wǎng)絡(luò)維護。 (2)檢測：網(wǎng)絡(luò)管理員通過運用入侵檢測軟件、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、殺毒軟件的安裝，進行網(wǎng)絡(luò)安全的掃描實時的檢測校園網(wǎng)絡(luò)的安全狀態(tài)，實時跟蹤，與防護系統(tǒng)形成互補，有效地防御網(wǎng)絡(luò)安全隱患。 (3)響應(yīng)：系統(tǒng)在檢測到入侵后，入侵檢測軟件進行掃描拒絕非法用戶的非法行為、防查殺病毒軟件進行掃描響應(yīng)過程都等的事件處理，來響應(yīng)檢測系統(tǒng)的進行。 (4)恢復(fù)：在系統(tǒng)響應(yīng)之后，恢復(fù)系統(tǒng)就發(fā)揮功能，在網(wǎng)絡(luò)掃描技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、殺毒軟件的使用等技術(shù)進行網(wǎng)絡(luò)的恢復(fù)。 昌吉市一中網(wǎng)絡(luò)安全改進后效果 筆者將上述網(wǎng)絡(luò)安全設(shè)計方案形成文稿后，送往昌吉市一中信息中心，網(wǎng)管中心的負責人和相關(guān)教師進行了認真的討論和審閱，認為筆者的方案基本可行，同意對市一中的校園網(wǎng)絡(luò)按照該方案進行改進，經(jīng)過一學(xué)期的試運行，筆者回訪了校園網(wǎng)絡(luò)的相關(guān)用戶，并對校園機房進行實地考察，發(fā)現(xiàn)校園網(wǎng)絡(luò)病毒的感染率明顯下降，降低了很 多不必要的損失和重復(fù)勞動；有害信息和不健康的網(wǎng)絡(luò)內(nèi)容大大減少；網(wǎng)絡(luò)環(huán)境變得簡單易操作；非法訪問和入侵的成功率降低很多；大部分安全問題都能夠被及時發(fā)現(xiàn)和處理，己經(jīng)成功的阻擋了多次黑客攻擊行為，校園網(wǎng)安全得到了有利保障。 總體來說，本論文所研究的中學(xué)網(wǎng)絡(luò)安全模型能夠很好保障市一中的校園網(wǎng)絡(luò)安全，為昌吉市一中校園網(wǎng)絡(luò)安全提供多層次的、全方位的立體保護。 校園網(wǎng)絡(luò)安全問題是一個復(fù)雜的系統(tǒng)工程 , 還沒有哪一種技術(shù)、產(chǎn)品 , 能夠完全解決網(wǎng)絡(luò)的安全問題。校園網(wǎng)的安全威脅來自所有的網(wǎng)絡(luò)的用戶的不恰當?shù)厥褂茫挥袑⒓夹g(shù)和管理都重視起來 , 才能構(gòu)筑一個安全的校園網(wǎng) , 使校園網(wǎng)朝著健康的方向發(fā)展 [16]。在撰寫 本科 論文期間， 孫老 師對我的論文傾注了大量的精力，給予了我莫大的幫助和悉心指導(dǎo)。在學(xué)習(xí)和課題研究過程中， 孫老師 廣博的學(xué)識，實事求是的科學(xué)態(tài)度，一絲不茍、孜孜不倦的教學(xué)作風和高度 的 熱情給我留下了深刻的印象，使我銘記在心，受益終身。正是得益于大家的幫助，我才順利地完成了畢業(yè)論文。這一段美好的學(xué)習(xí)生活，將永遠銘記在我的心里