導(dǎo)語：如何才能寫好一篇校園網(wǎng)絡(luò)安全預(yù)案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：APPDRR；校園網(wǎng)絡(luò)；安全對策

中圖分類號：TP393.08

1 探究網(wǎng)絡(luò)安全需求

1.1 業(yè)務(wù)安全需求

在網(wǎng)絡(luò)安全和通暢的情況下，才可以對學(xué)校中財務(wù)系統(tǒng)、辦公系統(tǒng)、教務(wù)學(xué)生管理以及教學(xué)活動正常的開展。防止Dos等攻擊而造成的性能喪失或者服務(wù)癱瘓的現(xiàn)象。

1.2 物理安全需求

在校園網(wǎng)絡(luò)中的較多物理設(shè)施需要和有關(guān)的安全規(guī)范相符，例如：中心機房、硬件防火墻、路由器、交換機、服務(wù)器等。還需要按照有關(guān)的管理范圍限制系統(tǒng)管理員、數(shù)據(jù)庫管理員以及機房管理人員的權(quán)限。

1.3 數(shù)據(jù)安全需求

數(shù)據(jù)安全需求具體包含：抗抵賴性、數(shù)據(jù)完整性、數(shù)據(jù)機密性。其中所涉及到的數(shù)據(jù)機密性所指的是，不可以被進程、實體或者非授權(quán)者加以利用，在機密性中還會存在泄漏的特點。信息數(shù)據(jù)按照安全級別包含：機密、內(nèi)部、公開等三個級別。公開性質(zhì)的信息是Internet用戶可以對其訪問的，內(nèi)部的信息只可以被校內(nèi)學(xué)生和教職工進行訪問，機密的信息只是小部分的授權(quán)用戶有使用權(quán)限。數(shù)據(jù)的完整性方面需要將主動威脅有所抵制，從而確保接收者的信息接收和信息發(fā)送初期是統(tǒng)一的，保證信息真實有效?？沟仲囆允前l(fā)送人員不可以在發(fā)送之后否認消息的發(fā)送內(nèi)容[1]。

2 APPDRR的校園網(wǎng)絡(luò)安全對策

校園網(wǎng)絡(luò)安全是動態(tài)的系統(tǒng)，新問題會接連出現(xiàn)，解決方案會隨著問題的出現(xiàn)而改善。APPDRR這一方案能夠完善的解決校園網(wǎng)絡(luò)安全問題，其主要的構(gòu)成部分為：故障恢復(fù)與事件響應(yīng)、監(jiān)控與檢測、防御系統(tǒng)、安全策略的制定以及風(fēng)險的評估與分析。

2.1 風(fēng)險分析

想要開展APPDRR，風(fēng)險分析是第一組成部分，進行風(fēng)險的分析能夠保證其他組成部分的順暢開展，在校園網(wǎng)絡(luò)中所存在的風(fēng)險為幾大部分：（1）控制和非法訪問。控制是機制和策略的有效融合，可以訪問限定的資源。系統(tǒng)若認證非法訪問的情況下，會順利的進入到系統(tǒng)的內(nèi)部對數(shù)據(jù)資源隨意使用。（2）病毒。校園中擁有著較多的學(xué)生和教職工，網(wǎng)絡(luò)用戶十分復(fù)雜。在加上對電腦與智能手機應(yīng)用方面不斷增多，更加增添了網(wǎng)絡(luò)拓撲結(jié)構(gòu)的復(fù)雜性。僅僅是一項細節(jié)部位受到的病毒的干擾，也會快速、大范圍的傳播。（3）Dos攻擊。Dos主要是通過有效的服務(wù)請求去占用較多的服務(wù)資源，繼而對用戶指令不能夠應(yīng)用服務(wù)器進行處理，最后會造成服務(wù)器的癱瘓現(xiàn)象。

2.2 安全策略

對安全風(fēng)險確定之后，就需要按照安全的需要擬定出相應(yīng)的安全策略。在APPDRR當中安全策略是核心成分，APPDRR具體創(chuàng)建了四大防線，分別為：故障恢復(fù)、實時響應(yīng)、監(jiān)控與檢測、防護。

2.3 安全防護

（1）核心層的網(wǎng)絡(luò)設(shè)備中能夠應(yīng)用URPF御DDOS攻擊，同時和OTP動態(tài)形式下的一次性密碼進行結(jié)合，驗證出用戶身份。只要將服務(wù)開啟，通過安全設(shè)計的路由協(xié)議，驗證協(xié)議，利用SSH、SNMP等擁有安全性較強的管理協(xié)議，就能夠開展端口限速控制接入層的交換機。（2）防火墻在Internet入口處設(shè)置。防火墻涉及到的雙主動模式具有一定的可靠性，不管是在網(wǎng)絡(luò)地址的轉(zhuǎn)換模式還是路由模式，都能夠配置為主動的備份防火墻和防火墻，能夠有效的共享數(shù)據(jù)流。所體現(xiàn)的雙主動模式能夠確保兩臺防火墻可以有50%的分擔能力，可以合理的利用資源，能夠延續(xù)防火墻的使用期限。

2.4 安全監(jiān)控和檢測

想要將安全策略落實，一定要進行安全檢測，檢測的具體對象包含兩種，其一為系統(tǒng)外部的入侵威脅，其二為系統(tǒng)自身的脆弱性。對系統(tǒng)自身的脆弱性有幾種檢測措施：（1）入侵檢測。在外部中的入侵檢測具體是利用計算機系統(tǒng)，以及計算機網(wǎng)絡(luò)當中的小部分重點開展信息分析和信息收集，在收集的過程中搜尋能否存在不符合安全策略的跡象和行為。分析監(jiān)視系統(tǒng)活動和用戶能否和安全策略分析相符，比較已經(jīng)知道的活動攻擊模式數(shù)據(jù)庫，同時充分的識別異常的情況。嚴格的監(jiān)控關(guān)鍵的數(shù)據(jù)是否完整。還需要審計操作系統(tǒng)的日志，以此來正確的識別異常的行為[2]。（2）檢測系統(tǒng)自身脆弱性：1）漏洞的掃描系統(tǒng)。在漏洞數(shù)據(jù)庫中會產(chǎn)生漏洞掃描，會針對應(yīng)用終端和服務(wù)器開展安全弱脆性的系統(tǒng)檢測，對系統(tǒng)漏洞能夠及時發(fā)現(xiàn)。漏洞具體包含：MAIL類、緩沖區(qū)溢出、WEB應(yīng)用漏洞以及Windows系統(tǒng)漏洞等。后臺的管理掃描系統(tǒng)提倡通過管理系統(tǒng)，在漏洞掃描服務(wù)器中安裝服務(wù)器端。2）防病毒的部署。對于防病毒策略的實現(xiàn)，需要將集中安裝實現(xiàn)，將策略的管理統(tǒng)一開展。將趨勢科技中央控管產(chǎn)品TMCM在后臺的管理區(qū)防病毒服務(wù)器中詳細的部署，此管理軟件可以將防病毒軟件，開展系統(tǒng)化的管理和監(jiān)控。針對客戶監(jiān)控區(qū)的終端系統(tǒng)，以及后臺管理層中的監(jiān)控區(qū)域的病毒防護，可以應(yīng)用OfficeScan方案。其高效和升級的實時防護以及統(tǒng)一管理模式，可以合理的確保應(yīng)用人員的應(yīng)用安全[3]。3）操作系統(tǒng)補丁方面的管理系統(tǒng)。若操作系統(tǒng)存在漏洞，應(yīng)用極為優(yōu)質(zhì)的管理措施和軟件都不能夠產(chǎn)生效用，基本上在校園網(wǎng)絡(luò)中所產(chǎn)生的安全隱患，具體的原因都是由于計算機或者業(yè)務(wù)服務(wù)器中缺失系統(tǒng)補丁的及時更新，所以在校園網(wǎng)中需要配置專業(yè)的補丁管理系統(tǒng)。SMS系統(tǒng)是提倡應(yīng)用的系統(tǒng)，該系統(tǒng)可以較好的配置Microsoft的更新，能夠讓校園網(wǎng)當中所使用的計算機和服務(wù)器，都可以在暴露安全弱點之前被發(fā)現(xiàn)[4]。

2.5 應(yīng)急實時的響應(yīng)

應(yīng)急實時響應(yīng)是在網(wǎng)絡(luò)安全隱患發(fā)生之后的有效應(yīng)對方式，能夠有效的解決安全性問題，是較為完善的處理手段。若產(chǎn)生安全隱患，需要及時的開展應(yīng)急的預(yù)案，為的是在較短時間內(nèi)，將危害性降低到最小的程度[5]。

3 總結(jié)

根據(jù)以上的論述，應(yīng)用APPDRR的前瞻性隨著動態(tài)校園網(wǎng)絡(luò)的形成，不斷的得以體現(xiàn)。并且，有必要將管理和技術(shù)有效的融合在一起，讓教師和學(xué)生都擁有著一定的網(wǎng)絡(luò)風(fēng)險意識，建立健全的“防火墻”，用規(guī)范的行為正確的進行電腦的使用以及保證上網(wǎng)的良好習(xí)慣。要力求用信息技術(shù)維護校園網(wǎng)絡(luò)安全，讓師生能夠在一定程度上開展優(yōu)質(zhì)的網(wǎng)絡(luò)體驗。

參考文獻：

[1]黃昌偉，萬偉蹈，吳洪強.基于APPDRR的校園網(wǎng)絡(luò)安全模型研究[J].江西教育學(xué)院學(xué)報，2013，12（09）：123-125.

[2]林日.信息化背景下的校園網(wǎng)絡(luò)安全問題與對策[J].福建教育學(xué)院學(xué)報，2013，11（06）：146-150.

[3]曾松.淺談中職學(xué)校數(shù)字化校園網(wǎng)絡(luò)的安全問題及對策[J].福建電腦，2013，14（02）：188-190.

[4]夏齡，周德榮，舒濤.校園網(wǎng)絡(luò)的安全及對策初探[J].西南民族大學(xué)學(xué)報：自然科學(xué)版，2013，6（03）：146-157.

[5]宋帆，楊曉蘭.北郵校園網(wǎng)學(xué)籍、成績管理信息系統(tǒng)安全對策探討[J].管理信息系統(tǒng)，2013，5（04）：176-179.

篇2

[論文摘要】由校園網(wǎng)運行和信息安全問題，提出加強校園網(wǎng)管理，提高教師和學(xué)生信息安全意識。并對具體的網(wǎng)絡(luò)管理實施方法和信息安全保護措施進行探究和實踐。

一、引言

隨著校園網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，學(xué)院在教學(xué)、管理、科研以及對外信息交流等多方面對校園網(wǎng)的依賴性日漸增強，以網(wǎng)絡(luò)的方式來獲取信息、存儲信息和交流信息成為學(xué)院教師和學(xué)生使用信息的重要手段之一。然而，就目前的網(wǎng)絡(luò)運行狀況來看，校園網(wǎng)信息安全問題日益突出，網(wǎng)絡(luò)的穩(wěn)定性依然較差，因此，加強校園網(wǎng)的管理，確保校園網(wǎng)安全、穩(wěn)定、高效地運行，使之發(fā)揮其應(yīng)有的作用已成為當前校園網(wǎng)應(yīng)用中一個亟待解決的課題。

二、校園網(wǎng)信息安全的研究思路

校園網(wǎng)是一個直接連接互聯(lián)網(wǎng)的開放式網(wǎng)絡(luò)，校園網(wǎng)用戶的層次差異較大，校園網(wǎng)的信息安全與用戶的安全意識和技能緊密相關(guān)，校園網(wǎng)的校園網(wǎng)的信息安全從總體結(jié)構(gòu)上可分為，校園網(wǎng)主干網(wǎng)設(shè)備和應(yīng)用的安全和校園網(wǎng)用戶的安全應(yīng)用兩個部分。對具體的信息安全問題的研究，能有效的解決校園網(wǎng)中的信息安全隱患，從而確保校園網(wǎng)安全，穩(wěn)定、高效地運行。

(一)校園網(wǎng)邊界安全

校園網(wǎng)邊界安全就是確保校園網(wǎng)與外界網(wǎng)絡(luò)的信息交換安全，既能保證校園網(wǎng)與互聯(lián)網(wǎng)進行正常的信息通訊，又能有效地阻止來自網(wǎng)絡(luò)的惡意攻擊，如端口掃描、非授權(quán)訪問行為、病毒、不良網(wǎng)站等。

(二)系統(tǒng)漏洞的修補

校園網(wǎng)的網(wǎng)絡(luò)運行環(huán)境較為復(fù)雜性是一個由多用戶、多系統(tǒng)、多協(xié)議、多應(yīng)用的網(wǎng)絡(luò)，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件都存在難以避免的安全漏洞。不及時修補這些安全漏洞，就會給病毒、木馬和黑客的入侵提供方便。

(三)校園網(wǎng)計算機與存儲設(shè)備的安全

校園網(wǎng)計算機和存儲設(shè)備中存儲了大量的信息，如學(xué)生檔案，教學(xué)課件、考試題庫、學(xué)生作業(yè)、網(wǎng)站數(shù)據(jù)、辦公文件等。由于設(shè)備配置、應(yīng)用和管理上的問題存在較大的信息安全隱患。如設(shè)備無分級管理、使用公共帳戶和密碼、操作人員無信息安全常識等。

(四)校園網(wǎng)計算機病毒控制

計算機病毒是校園網(wǎng)安全隱患之一。必須做到有效控制。選擇適合的殺毒手段和相應(yīng)軟件可以對服務(wù)器、接入計算機、網(wǎng)關(guān)等所有計算機設(shè)備進行保護，殺毒軟件可以對郵件、ftp文件、網(wǎng)頁、u盤、光盤等所有可能帶來病毒的信息源進行監(jiān)控、查殺和攔截。計算機病毒控制要防殺結(jié)合以防為主。

(五)校園網(wǎng)維護管理

校園網(wǎng)的硬件環(huán)境建設(shè)完畢后，一項重要的工作就是做好校園網(wǎng)的維護工作。校園網(wǎng)的安全運維需要有一個校園網(wǎng)安全運營中心，通過強化安全管理工作，對校園網(wǎng)不同教學(xué)場所設(shè)備、不同計算機系統(tǒng)中的安全事件進行監(jiān)控，匯總和關(guān)聯(lián)分析，提供可視化校園網(wǎng)安全狀況展示。針對不同類型安全事件提供緊急應(yīng)對措施。實現(xiàn)校園網(wǎng)絡(luò)集中安全管控，保護校園網(wǎng)絡(luò)數(shù)字資產(chǎn)安全。

三、確保校園網(wǎng)信息安全的具體蕾理措施

(一)優(yōu)化結(jié)構(gòu)，合理配置，加強監(jiān)管

使用硬件放火墻，防火墻可在校園網(wǎng)與外界網(wǎng)絡(luò)之間建立一道安全屏障，是目前非常有效的網(wǎng)絡(luò)安全模型，它提供了一整套的安全控制策略，包括訪問控制、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)等功能。使用放火墻可以將外界網(wǎng)絡(luò)(風(fēng)險區(qū))與校園網(wǎng)(安全區(qū))的連接進行邏輯隔離，在安全策略的控制下進行內(nèi)外網(wǎng)的信息交換，有效地限制外網(wǎng)對內(nèi)網(wǎng)的非法訪問、惡意攻擊和入侵。

安裝入侵檢測系統(tǒng)，入侵檢測系統(tǒng)是放火墻的合理補充，能夠在放火墻的內(nèi)部檢測非法行為，具有識別攻擊和入侵手段，監(jiān)控網(wǎng)絡(luò)異常通信，分析漏洞和后門等功能。

使用vlan技術(shù)優(yōu)化內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，增強了網(wǎng)絡(luò)的靈活性，有效的控制了網(wǎng)絡(luò)風(fēng)暴，并將不同區(qū)域和應(yīng)用劃分為不同的網(wǎng)段進行隔離來控制相互間的訪問，達到限制用戶非法訪問的目的。

使用靜態(tài)i p配置。檢測網(wǎng)絡(luò)中i p應(yīng)用狀況，并將i p+mac地址進行綁定，防止特殊ip地址被盜用。對計算機特別是服務(wù)器的訪問必須進行安全身份認證，非認證用戶無法進行訪問。

使用網(wǎng)絡(luò)管理軟件，掃描和繪制網(wǎng)絡(luò)拓撲結(jié)構(gòu)，顯示路由器與子網(wǎng)、交換機與交換機、交換機與主機之間的連接關(guān)系，顯示交換機各端口、使用情況和流量信息，定期對客戶端流量、分支網(wǎng)絡(luò)帶寬流量進行分析，并進行數(shù)據(jù)包規(guī)則檢測，防止非法入侵、非法濫用網(wǎng)絡(luò)資源。加強接入管理，保證可信設(shè)備接入。對新增設(shè)備、移動設(shè)備和移動式存儲工具要做到先檢測后接入，做好網(wǎng)絡(luò)設(shè)備的物理信息的登記管理，如設(shè)備的名稱、設(shè)備樓層房間號、使用部門、使用人、聯(lián)系電話等。做到遇故障能及時準確地定位和排查。

(二)提高認識，規(guī)范行為，強化應(yīng)用

網(wǎng)絡(luò)安全涉及到法律、道德、知識、管理、技術(shù)、策略等多方面的因素，是一個有機的結(jié)合體。因此，在做好技術(shù)防護和網(wǎng)絡(luò)管理的同時，要把樹立信息安全意識提高到一個新的高度。并從環(huán)境、自身、產(chǎn)品和意識等方面出發(fā)，逐個解決存在的問題，把可能的危險排除在發(fā)生之前。對于校園網(wǎng)用戶來說，要進一步提高網(wǎng)絡(luò)信息安全意識，加強關(guān)于計算機信息安法律知識的學(xué)習(xí)，自覺規(guī)范操作行為，同時掌握一些有關(guān)信息安全技術(shù)和技能。來強化我們的應(yīng)用能力。具體可從以下幾個方面入手。

建議在系統(tǒng)安裝時選擇最小化，而多數(shù)用戶采用默認安裝，實際上不少系統(tǒng)功能模塊不是必需的，要保證系統(tǒng)安全，需遵循最小化原則，可減少安全隱患。

及時對系統(tǒng)進行漏洞掃描、安裝補丁程序。為提高補丁程序的下載速度，可在校園網(wǎng)中部署微軟自動更新服務(wù)器來提供客戶端補丁自動分發(fā)。在安裝補丁程序前一定要仔細閱讀安裝說明書，做好數(shù)據(jù)備份等預(yù)防工作，以免導(dǎo)致系統(tǒng)無法啟動或破壞等情況。

操作系統(tǒng)安裝完成后，要對系統(tǒng)的安全策略進行必要的設(shè)置。如登錄用戶名和密碼。用戶權(quán)限的分配，共享目錄的開放與否、磁盤空間的限制、注冊表的安全配置、瀏覽器的安全等級等，使用系統(tǒng)默認的配置安全性較差。

使用個人防火墻，個人防火墻足抵御各類網(wǎng)絡(luò)攻擊最有效的手段之一，它能夠在一定程度上保護操作系統(tǒng)信息不對外泄漏，也能監(jiān)控個人電腦正在進行的網(wǎng)絡(luò)連接，把有害的數(shù)據(jù)拒絕于門外。

使用反病毒軟件，目前互聯(lián)網(wǎng)上的病毒非常猖獗，達幾萬種之多，傳播途徑也相當廣泛。可通過u盤、光盤、電子郵件和利用系統(tǒng)漏洞進行主動病毒傳播等，這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中，必須要定期或及時升級防病毒軟件和病毒碼特征庫。

(三)注意數(shù)據(jù)備份，提高網(wǎng)絡(luò)和系統(tǒng)容災(zāi)能力

在做好網(wǎng)絡(luò)安全管理工作的同時，也應(yīng)考慮系統(tǒng)在不可避免的因素下出現(xiàn)故障。必須定期做好重要設(shè)備和重要數(shù)據(jù)的備份工作，以便在出現(xiàn)故障時能即使進行硬件更換和軟件恢復(fù)等措施。存儲重要數(shù)據(jù)和運行重要軟件的設(shè)備應(yīng)有硬件備份。軟件恢復(fù)包括系統(tǒng)恢復(fù)和文件恢復(fù)。系統(tǒng)恢復(fù)就是當操作系統(tǒng)和應(yīng)用軟件不能正常啟動和使用，可利用修復(fù)軟件對其進行修復(fù)，最快捷的法是使用克隆技術(shù)對系統(tǒng)進行全盤備份，可在系統(tǒng)損壞時快速恢復(fù)。從而以最快的速度是系統(tǒng)正常工作?；謴?fù)則是當存儲介質(zhì)上的應(yīng)用文件損壞時，用修復(fù)軟件對其進行修復(fù)。要采用多種手段保存數(shù)據(jù)文件，重要數(shù)據(jù)要多做幾個備份來確保數(shù)據(jù)文件的安全。

篇3

關(guān)鍵詞：校園網(wǎng)、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理

中圖分類號：TU714 文獻標識碼：A 文章編號：1674-3520（2013）-12-0056-01

近年來，隨著學(xué)校信息化建設(shè)的不斷發(fā)展，大部分學(xué)校都建立了自己的校園網(wǎng)，這已經(jīng)成為學(xué)校教育信息化的重要標志。校園網(wǎng)承載著學(xué)校教學(xué)、科研、管理和對外交流等各種任務(wù)，發(fā)揮著重要的作用。隨著網(wǎng)絡(luò)規(guī)模的擴大和網(wǎng)絡(luò)病毒的泛濫增長，校園網(wǎng)絡(luò)的安全性已成為一個不容忽視的問題。因此確保校園網(wǎng)絡(luò)安全、穩(wěn)定、高效的運行，就成為高校信息化發(fā)展路上的一個重要任務(wù)。

1、高校校園網(wǎng)發(fā)展現(xiàn)狀

高校的校園網(wǎng)絡(luò)作為高校信息化教育的基礎(chǔ)設(shè)施之一，其規(guī)模在不斷地擴大。這些校園網(wǎng)承載著辦公自動化、 教務(wù)管理信息化、校園網(wǎng)內(nèi)資源共享等多項重要任務(wù)，對學(xué)校的教學(xué)水平、科研成果和管理水平起到了不可忽視的作用。隨著校園網(wǎng)絡(luò)帶給我們方便快捷的同時，校園網(wǎng)絡(luò)的安全問題也隨之暴露出來，因病毒攻擊造成的網(wǎng)絡(luò)中斷經(jīng)常發(fā)生，網(wǎng)絡(luò)中的管理系統(tǒng)、存放的數(shù)據(jù)經(jīng)常遭到破壞，因此保障校園網(wǎng)絡(luò)安全可靠的運行已成為各大高校建設(shè)信息化校園的一個重要任務(wù)。

2、高校校園網(wǎng)絡(luò)中存在的的安全隱患及網(wǎng)絡(luò)安全管理存在的主要問題

作為學(xué)校內(nèi)部進行信息交流和資源共享的一個重要載體，高校校園網(wǎng)絡(luò)的最主要任務(wù)就是確保網(wǎng)絡(luò)的正常運行和傳輸信息的安全性。校園網(wǎng)是否安全正常的運行直接關(guān)系到學(xué)校教育信息化的發(fā)展進程。目前高校校園網(wǎng)絡(luò)存在的安全隱患，主要有以下幾方面：（1）網(wǎng)絡(luò)系統(tǒng)本身存在的缺陷。網(wǎng)絡(luò)系統(tǒng)軟件是運行管理其他網(wǎng)絡(luò)軟、硬件資源的基礎(chǔ)，其自身的安全性直接關(guān)系到網(wǎng)絡(luò)的安全。校園網(wǎng)中所有終端的系統(tǒng)或軟件存在大量漏洞且病毒泛濫。校園網(wǎng)絡(luò)在為大家提供服務(wù)的同時，也加快了病毒的傳播速度。（2）對網(wǎng)絡(luò)安全建設(shè)投入不足。學(xué)校重點投入網(wǎng)絡(luò)設(shè)備，使得學(xué)校網(wǎng)絡(luò)可以正常的使用。但是對于后期管理中的網(wǎng)絡(luò)安全項目，卻疏于管理。使得網(wǎng)絡(luò)處于開放或者半保護狀態(tài)，缺乏有效的安全預(yù)警機制和防范措施。（3）忽視來自校園內(nèi)部的攻擊。校園網(wǎng)要滿足學(xué)校日常教學(xué)、辦公等眾多需求，還要滿足教務(wù)管理和校園一卡通等各種類型的系統(tǒng)，這些不同類型的應(yīng)用系統(tǒng)也增加了校園網(wǎng)的安全隱患。許多高校在應(yīng)用服務(wù)系統(tǒng)的訪問控制方式上考慮不足，再加上網(wǎng)絡(luò)安全管理制度上存在的缺陷，使得人為因素造成的安全隱患成為整個網(wǎng)絡(luò)安全體系的最大隱患。（4）網(wǎng)絡(luò)資源濫用。學(xué)校在多媒體教室和機房實驗室建設(shè)中，共享大量的軟件及數(shù)據(jù)資源，這些資源的濫用占用了大量的網(wǎng)絡(luò)帶寬，再加上學(xué)校監(jiān)管方面的不足，這也為校園網(wǎng)絡(luò)安全帶來了一定的隱患[1]。

3、如何構(gòu)建一個高校校園網(wǎng)絡(luò)安全管理系統(tǒng)

校園網(wǎng)絡(luò)安全工作是一個復(fù)雜的系統(tǒng)工程，它既是技術(shù)問題，又是管理問題。只有采用先進的網(wǎng)絡(luò)安全技術(shù)和嚴格規(guī)范的管理措施，才能有效的保障校園網(wǎng)安全平穩(wěn)地運行。所以我們要從技術(shù)和管理兩個方面來考慮如何加強高校校園網(wǎng)的安全防范。

3.1采用有效的網(wǎng)絡(luò)安全技術(shù)。從技術(shù)方面考慮，通過各種安全技術(shù)手段來維護計算機網(wǎng)絡(luò)的正常運行，并在計算機網(wǎng)絡(luò)安全受到威脅時能及時發(fā)現(xiàn)和抵御侵犯。

（1）防火墻技術(shù)。即在互聯(lián)網(wǎng)與校園網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護校園網(wǎng)免受非法用戶的侵入，達到保障內(nèi)部網(wǎng)絡(luò)安全的目的。

（2）采用密碼技術(shù)。密碼技術(shù)是信息安全的核心技術(shù)。采用密碼技術(shù)可以實現(xiàn)對傳輸數(shù)據(jù)信息進行加密傳送、完整性驗證、數(shù)字簽名等功能。最主要的是對所有重要信息進行加密處理， 防止信息的泄漏、篡改和破壞。

（3）使用反病毒技術(shù)。隨著計算機病毒的入侵途徑和特點的日新月異。我們要定期對網(wǎng)絡(luò)設(shè)備進行軟件和硬件上的升級，使之與網(wǎng)絡(luò)技術(shù)的發(fā)展速度保持一致。更新桌面型計算機的操作系統(tǒng)，提高系統(tǒng)的安全性。 使用專業(yè)殺毒軟件對網(wǎng)絡(luò)服務(wù)器中的文件進行掃描和監(jiān)測，并且及時更新病毒庫。同時學(xué)校網(wǎng)管中心也要提醒和指導(dǎo)校內(nèi)用戶做好查殺病毒工作。

（4）采用入侵檢測系統(tǒng)。入侵檢測的目的在于對當前運行網(wǎng)絡(luò)進行實時監(jiān)測和數(shù)據(jù)分析，以發(fā)現(xiàn)潛在的隱患和正在進行的攻擊。不管是授權(quán)用戶還是外部入侵者，在網(wǎng)絡(luò)上進行的任何非授權(quán)活動都可以被實時地檢測到并立即被阻止。

（5）使用虛擬局域網(wǎng)技術(shù)。VPN（虛擬專用網(wǎng)）之外的用戶無法訪問網(wǎng)絡(luò)內(nèi)部的資源，而VPN 內(nèi)部之間的用戶可以安全而有效地進行數(shù)據(jù)傳輸和交換。

（6）數(shù)據(jù)備份技術(shù)。在實際應(yīng)用中，一旦網(wǎng)絡(luò)系統(tǒng)發(fā)生硬件故障，或者非法用戶對數(shù)據(jù)進行了纂改，數(shù)據(jù)備份將輕松有效地解決這個難題，恢復(fù)數(shù)據(jù)至之前的安全狀態(tài)[2]。

3.2 應(yīng)用和完善網(wǎng)絡(luò)安全管理策略

（1）提高網(wǎng)絡(luò)安全管理意識。校園網(wǎng)內(nèi)部產(chǎn)生的安全隱患，大部分是因為用戶缺乏基本的網(wǎng)絡(luò)安全常識。因此，高校要對校園網(wǎng)絡(luò)用戶進行網(wǎng)絡(luò)安全常識教育，將網(wǎng)絡(luò)道德的教育納入教學(xué)計劃，使用戶提高網(wǎng)絡(luò)安全管理意識，從而自覺地維護校園網(wǎng)絡(luò)安全。

（2）做好網(wǎng)絡(luò)安全管理人才的引進工作。將安全意識好、安全技能扎實的優(yōu)秀人才引入到網(wǎng)絡(luò)安全管理隊伍中，對于現(xiàn)有網(wǎng)絡(luò)管理人員，學(xué)校應(yīng)該采取積極的措施，派出學(xué)校網(wǎng)絡(luò)管理人員出去參加網(wǎng)絡(luò)安全管理培訓(xùn)，以更好的技術(shù)和方式來管理校園網(wǎng)絡(luò)。

（3）對校園網(wǎng)用戶進行訪問控制。訪問控制是校園中維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要策略，它的主要功能是拒絕網(wǎng)絡(luò)資源被非法使用和非法訪問。主要方法有進行身份認證，對數(shù)據(jù)加密，設(shè)置訪問權(quán)限等[3]。

4結(jié)論

校園網(wǎng)的安全隱患既有來自校內(nèi)的，也有來自校外的，因此加強校園網(wǎng)絡(luò)的安全管理是當前高校非常迫切且充滿挑戰(zhàn)性的任務(wù)。而安全合理的管理制度是建立安全防范體系中具體落實的重要手段，只有將網(wǎng)絡(luò)安全技術(shù)應(yīng)用到具體的管理方式中，才能構(gòu)建出一個安全的校園網(wǎng)，保證整個網(wǎng)絡(luò)的安全性和有效性，使校園網(wǎng)在高校信息化建設(shè)中發(fā)揮更大的作用。

參考文獻：

[1] 申凱.高校計算機網(wǎng)絡(luò)安全問題研究[J].軟件導(dǎo)刊，2010（7）

篇4

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全教育與管理措施；對策

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)27-6596-03

Thoughts and Countermeasures of Campus Network Security

CHANG Qing

(Information Technology Center, Shaanxi Energy Institute, Xi'an 710613, China)

Abstract: With the development of education informatization, relying on the campus of digital information system has become one of the important network teaching platforms and office informatization. Therefore, network security has been paid more and more attention and has become the main problem affecting campus network application. Based on the analysis of the current college campus network security threat,the paper discusses the the main factors influencing network security and puts forward the countermeasures for campus network security.

Key words: campus network; network security; network security education and management measures; countermeasures

隨著教育信息化的發(fā)展，依托校園網(wǎng)的數(shù)字化信息資源系統(tǒng)成為學(xué)校重要的網(wǎng)絡(luò)教學(xué)平臺，依托校園網(wǎng)的OA成為學(xué)?，F(xiàn)代辦公信息化的主要手段。校園網(wǎng)為學(xué)校各方面建設(shè)提供了安全、可靠、快捷的網(wǎng)絡(luò)環(huán)境，是學(xué)校的管理、教學(xué)、科研、學(xué)生思想教育等各項工作正常進行的保障。校園網(wǎng)絡(luò)的安全狀況直接影響到各項工作的順利進行。因此，保障校園網(wǎng)絡(luò)正常運行及其信息安全已經(jīng)成為當前各高校網(wǎng)絡(luò)建設(shè)中首先需要考慮的問題。

1 網(wǎng)絡(luò)安全的概念

1.1 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

1.2 網(wǎng)絡(luò)安全的學(xué)科基礎(chǔ)

網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

1.3 網(wǎng)絡(luò)安全的本質(zhì)

網(wǎng)絡(luò)安全的本質(zhì)是針對：網(wǎng)絡(luò)系統(tǒng)的運行安全和網(wǎng)絡(luò)數(shù)據(jù)庫的信息安全，兩個方面的安全防護措施。

2 校園網(wǎng)絡(luò)安全的現(xiàn)狀分析

校園網(wǎng)具有速度快、規(guī)模大，計算機系統(tǒng)管理復(fù)雜等特點，隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用的深入發(fā)展，校園網(wǎng)絡(luò)的安全問題也逐漸突出，直接影響著學(xué)校的管理、教學(xué)和科研活動的進行。為此，在全面了解校園網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，合理構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。

當前，校園網(wǎng)絡(luò)常見的安全隱患有以下幾種：

2.1 計算機系統(tǒng)漏洞

目前，校園網(wǎng)中被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS，存在各種各樣的安全問題，服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。而且隨著時間的推移，將會有更多漏洞被人發(fā)現(xiàn)并利用。

2.2 計算機病毒的破壞

計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。計算機病毒具有以下特點：一是攻擊隱蔽性強；二是繁殖能力強；三是傳播途徑廣；四是潛伏期長；五是破壞力大。特別是近年來利用ARP協(xié)議漏洞進行竊聽、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加，嚴重威脅著校園網(wǎng)絡(luò)的正常運行。

2.3 來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為

校園網(wǎng)與Internet相連，在享受Internet信息豐富、方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊校園網(wǎng)的服務(wù)器，以竊取一些重要信息。

2.4 校園網(wǎng)內(nèi)部的攻擊

由于高校部分學(xué)生對網(wǎng)絡(luò)知識很感興趣，具有相當高的專業(yè)知識水平，對內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式又比較了解，攻擊校園網(wǎng)就成了他們表現(xiàn)自己的能力，實踐自己所學(xué)知識的首選，經(jīng)常有意無意的攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運行。

另外有一些學(xué)生，在下載一些音/視頻資料時在未進行查殺病毒的情況下，就進行應(yīng)用等也是造成內(nèi)部的攻擊的重要因素。

2.5 校園網(wǎng)安全管理有缺陷

隨著校園內(nèi)計算機應(yīng)用的迅速普及，接入校園網(wǎng)的計算機日益增多，如果管理措施不力，隨時有可能造成病毒傳播泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果。校園計算機網(wǎng)絡(luò)建設(shè)普遍存在重視硬件投入，忽視軟件投資；重運行，輕管理的現(xiàn)象。主要表現(xiàn)為對網(wǎng)絡(luò)安全的認識不足，將網(wǎng)絡(luò)系統(tǒng)作為一項純技術(shù)工程來實施，沒有一套完善的安全管理方案；網(wǎng)絡(luò)系統(tǒng)管理人員只將精力集中于IP的申請分配和開通、帳戶的維護、各服務(wù)器上應(yīng)用系統(tǒng)日常維護、系統(tǒng)日志的審查和網(wǎng)絡(luò)規(guī)范的設(shè)計及調(diào)整上，而很少去研究網(wǎng)絡(luò)安全狀態(tài)的發(fā)展變化、入侵手段、防范措施、安全機制等。

3 造成這些現(xiàn)狀的原因

3.1 網(wǎng)絡(luò)安全維護的投入不足

網(wǎng)絡(luò)安全維護的工作量是很大的，并且很困難，需要一定的人力、物力，然而大多數(shù)學(xué)校在校園網(wǎng)上的設(shè)備投入和人員投入不足，有限的經(jīng)費也往往主要用在網(wǎng)絡(luò)設(shè)備購置上，對于網(wǎng)絡(luò)安全建設(shè)，普遍缺乏比較系統(tǒng)的投入。

3.2 網(wǎng)絡(luò)管理人員配備不足

很多學(xué)校的網(wǎng)絡(luò)管理人員的都具有一定的專業(yè)水平，基本可以勝任本職工作，但是可能由于人員配備不足的原因，勉強能夠維護網(wǎng)絡(luò)硬件正常的配置和運行，而無暇顧及其他。

3.3 師生的網(wǎng)絡(luò)安全意識和觀念淡薄

有的學(xué)生對網(wǎng)絡(luò)安全重視不夠，法律意識不強。在組織文藝活動和節(jié)目編排時，隨意通過網(wǎng)絡(luò)下載或通過帶毒的移動存儲介質(zhì)，經(jīng)常有意無意的傳播病毒，攻擊校園網(wǎng)絡(luò)系統(tǒng)，干擾校園網(wǎng)的安全運行。

4 對策

校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，要從用戶、管理、技術(shù)三方面的因素來考慮。從嚴格的意義上來講，100%的安全網(wǎng)絡(luò)系統(tǒng)是沒有的，網(wǎng)絡(luò)安全工作是一個循序漸進、不斷完善的過程。為了提高校園網(wǎng)絡(luò)的安全性，提出以下幾點安全措施：

4.1 配備高性能的防火墻產(chǎn)品

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來說,防火墻設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻相當于分析器,可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行,根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。所以對防火墻作好安全設(shè)置,設(shè)定恰當?shù)脑L問控制策略,保障網(wǎng)絡(luò)信息資源不被非法使用和訪問。

4.2 加強網(wǎng)絡(luò)中PC機的安全防范

4.2.1 身份認證技術(shù)

身份認證是對通信方進行身份確認來阻止非授權(quán)用戶進入。常用的身份認證方法有口令認證法。主要是給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜和一定強度的密碼，最好是字母+數(shù)字+符號的組合；系統(tǒng)管理員的口令應(yīng)嚴格管理，不定期地予以更換。如：很多用戶的Windows XP/2000系統(tǒng)卻根本沒有設(shè)置密碼，有的用戶，雖然也設(shè)置了密碼，但密碼要么全是數(shù)字的，要么很短，對于這類密碼，可以輕易的被破解。

4.2.2 防范系統(tǒng)安全漏洞

及時更新操作系統(tǒng)和安裝各種補丁程序非常重要。一般用戶需要借助第三方產(chǎn)品（如：漏洞掃描系統(tǒng)）的幫助，及時發(fā)現(xiàn)安全隱患。目前，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染的?？梢酝ㄟ^安裝360安全衛(wèi)士或其它功能類似的軟件來給系統(tǒng)的漏洞打好補丁，這樣可以有效的保護系統(tǒng)。

4.2.3 校園內(nèi)部網(wǎng)絡(luò)中PC機的安全隔離

合理使用防火墻，可以構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障，有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來，有利于提高網(wǎng)絡(luò)抵抗黑客攻擊的能力和系統(tǒng)的安全性。在校園網(wǎng)內(nèi)的所有PC機應(yīng)自覺安裝專業(yè)的防火墻軟件，如360安全衛(wèi)士防火墻等。

4.3 防范計算機病毒

1）作為校園網(wǎng)的網(wǎng)絡(luò)管理人員，要為系統(tǒng)使用安全策略，如帳戶設(shè)定、審核策略、網(wǎng)絡(luò)訪問、安全選項設(shè)定等。使用安全策略不僅可以有效防范病毒，監(jiān)控系統(tǒng)狀態(tài)，還可以防范黑客攻擊。

2）選擇合適的防病毒軟件，及時更新病毒庫。防病毒軟件分為兩大類：網(wǎng)絡(luò)版和單機版。單機版防毒軟件適用于個人用戶，管理功能相對較弱。從網(wǎng)絡(luò)管理和病毒監(jiān)控的角度來說，校園網(wǎng)更適用網(wǎng)絡(luò)版防毒軟件，因為網(wǎng)絡(luò)版防毒軟件的管理功能更強大，校園網(wǎng)的管理員只要及時在服務(wù)器端進行升級，客戶端啟動后就可自動升級，網(wǎng)管員還可對所有安裝客戶端的計算機進行病毒監(jiān)控、進行遠程殺毒，及時了解校園網(wǎng)中病毒疫情。

3）計算機網(wǎng)絡(luò)用戶要增強安全意識，不要輕易使用盜版和存在安全隱患的軟件；不輕易瀏覽一些缺乏可信度的網(wǎng)站；不要隨便打開不明來歷的電子郵件，尤其是郵件附件中的EXE和COM等可執(zhí)行程序，對方發(fā)過來的電子郵件及相關(guān)附件的文檔，首先使用另存為命令保存到本地硬盤，待用殺毒軟件檢查無毒后才可以打開使用；不要隨便共享文件和文件夾，即使要共享，也得設(shè)置好權(quán)限。

4.4 網(wǎng)絡(luò)監(jiān)控措施

在不影響網(wǎng)絡(luò)正常運行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機制，可以最大限度地保護網(wǎng)絡(luò)信息資源。如：配備入侵檢測系統(tǒng)(IDS， Intrusion Detection System)，入侵防御系統(tǒng)(IPS， Intrusion Prevention System)，Web、E-mail、BBS的安全監(jiān)測系統(tǒng)和網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。通過監(jiān)控手段，增強網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，及時發(fā)現(xiàn)不安全因素，從而保證網(wǎng)絡(luò)服務(wù)的正常提供。通過使用網(wǎng)管軟件、日志分析軟件、MRTG和Sniffer等工具，形成一個功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

4.5 加強網(wǎng)絡(luò)安全教育及安全管理措施

維護網(wǎng)絡(luò)安全是每一個網(wǎng)絡(luò)用戶共同的責(zé)任，當?shù)弥约旱腃P機感染病毒時，應(yīng)及時處理。包括：升級殺毒軟件，殺毒操作；仍不能處理時，應(yīng)及時斷開本機與網(wǎng)絡(luò)聯(lián)系（避免成為病毒傳染源在網(wǎng)上的傳播），必要時格式化硬盤，重新安裝系統(tǒng)。以確保網(wǎng)絡(luò)系統(tǒng)的安全。

4.6 數(shù)據(jù)備份和恢復(fù)

對于計算機用戶而言，最重要的應(yīng)該是硬盤中存儲的數(shù)據(jù)。用戶數(shù)據(jù)不要與系統(tǒng)共用一個分區(qū)，避免因重裝系統(tǒng)造成數(shù)據(jù)丟失。重要的數(shù)據(jù)要及時備份，備份前要進行病毒查殺，數(shù)據(jù)備份可采取異地備份、光盤備份等多種方式。對于校園網(wǎng)的管理人員來說，要做好各種應(yīng)急準備工作，必須要有一套應(yīng)急修復(fù)工具，如系統(tǒng)啟動盤、DOS版殺毒盤、緊急系統(tǒng)恢復(fù)盤、各種操作系統(tǒng)盤、常用應(yīng)用軟件包、最新系統(tǒng)補丁盤等，并且做好分區(qū)表、DOS引導(dǎo)扇區(qū)、注冊表等的備份工作，這樣可提高系統(tǒng)維護和修復(fù)時的工作效率。

4.7 制定切實可行的網(wǎng)絡(luò)安全管理制度

為了確保整個校園網(wǎng)絡(luò)的安全有效運行，有必要對網(wǎng)絡(luò)進行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理制度。主要包括以下幾方面的內(nèi)容：1)建立一個權(quán)威的信息安全管理機構(gòu)，制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全規(guī)定；2)對網(wǎng)絡(luò)管理人員加強專業(yè)知識和技能的培訓(xùn)，培養(yǎng)一支具有安全管理意識和技能的網(wǎng)管隊伍，使他們從技術(shù)上提高應(yīng)對各種攻擊破壞的能力；3)把網(wǎng)絡(luò)信息安全的基本知識納入學(xué)校各專業(yè)教育之中；4)對學(xué)校教師和其他人員進行信息安全知識普及教育；5)在學(xué)校的網(wǎng)站設(shè)立網(wǎng)絡(luò)安全信息欄目，網(wǎng)絡(luò)法令法規(guī)、網(wǎng)絡(luò)病毒公告、操作系統(tǒng)更新公告，并提供常用軟件的補丁下載等信息。

總之，校園網(wǎng)絡(luò)安全問題是一個較為復(fù)雜的系統(tǒng)工程，需要全方位防范，防范不僅是被動的，更要主動進行。在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)絡(luò)運行的情況下，要完善校園網(wǎng)管理制度，對相關(guān)的校園網(wǎng)管理人員進行培訓(xùn)，對學(xué)生進行網(wǎng)絡(luò)道德的教育，提高公德意識；安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補丁更新系統(tǒng)漏洞，對重要文件要進行備份，從多個方面進行防范，盡一切可能去制止、減小一切非法的訪問和操作，把校園網(wǎng)絡(luò)安全事故及故障率降到最低程度。

參考文獻：

[1] 蔣玉芳.校園網(wǎng)絡(luò)安全問題分析與對策[J].現(xiàn)代教育教研,2009(3).

[2] 曾科.高校校園網(wǎng)絡(luò)安全隱患及對策探討[J].商情,2009(25).

篇5

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；計算機病毒

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 (2011) 23-0000-01

Campus Network Information Security and Virus Prevention

Qin Jianmin

(Lingchuan Vocational Secondary School,Guilin 541202,China)

Abstract:With the continuous expansion of information technology,multimedia network teaching the universal use of computer networks in schools to improve the efficiency of data transmission,data concentration,data sharing has played an increasingly important role in network and information system has been gradually become an important school information technology infrastructure.To ensure safe and efficient operation of the work,to ensure network and information security and network hardware and software system's normal functioning smoothly,the construction of computer network and system security is particularly important.

Keywords:Network information security;Computer viruses

廣域網(wǎng)絡(luò)已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)人口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進入網(wǎng)絡(luò)，形成極大的安全隱患。

目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：

一、欺騙性的軟件使數(shù)據(jù)安全性降低。在學(xué)校中局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

二、服務(wù)器區(qū)域沒有進行獨立防護。局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷地傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務(wù)器進行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

三、計算機病毒及惡意代碼的威脅。由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。

四、局域網(wǎng)用戶安全意識不強。學(xué)校中計算機用戶主要是學(xué)生，許多學(xué)生使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。

五、地址沖突。局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。

我們應(yīng)該怎樣去控制病毒的傳播和加強局域網(wǎng)安全建設(shè)呢?

一、加強學(xué)校工作人員和學(xué)生的網(wǎng)絡(luò)安全培訓(xùn)。

二、局域網(wǎng)安全控制策略。安全管理保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。利用現(xiàn)有的安全管理軟件加強對以上幾個方面的管理是當前解決局域網(wǎng)安全的關(guān)鍵所在。具體實施于以下幾個方面：（1）利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護的主要策略。（2）采用防火墻技術(shù)。（3）封存所有空閑的IP地址，啟動IP地址綁定采用上網(wǎng)計算機IP地址與MCA地址唯一對應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。（4）屬性安全控制。它能控制以下幾個方面的權(quán)限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件。（5）啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡(luò)上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

三、病毒防治。病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡(luò)傳播的計算機病毒，能在很短時間內(nèi)使整個計算機網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。

篇6

關(guān)鍵詞 服務(wù)器安全 數(shù)據(jù)庫安全 解決方案

中圖分類號：TP393 文獻標識碼：A

要想打造社會信息化，毫無疑問，第一步就是要實現(xiàn)高職院校信息化。那么何為高職院校信息化呢？其實就是實現(xiàn)院校各部門的辦公無紙化和網(wǎng)絡(luò)資源共享化，舉例說明：學(xué)校教務(wù)管理系統(tǒng)、查分系統(tǒng)、選課系統(tǒng)、工資系統(tǒng)、校園一卡通等等。雖然高職院校信息化帶來了眾多益處，但是其同時也加大了學(xué)校以及學(xué)生信息泄露的風(fēng)險，所以維護網(wǎng)絡(luò)安全就尤為重要。下面就針對網(wǎng)絡(luò)安全的重點WEB和FTP服務(wù)器安全及數(shù)據(jù)庫安全進行詳細闡述。

1 WEB和FTP服務(wù)器安全

WEB網(wǎng)站是學(xué)校信息宣布和政策宣傳的網(wǎng)絡(luò)平臺入口。作為各部門之間交流和共享的主要場所，一旦其被入侵者侵入，不僅會給學(xué)校帶來不良影響和損失還會造成學(xué)生隱私信息的泄漏，后果十分嚴重。由此，WEB服務(wù)器安全的重要性可見一斑。

1.1 Web服務(wù)器安全

進行網(wǎng)站構(gòu)建時，必須要考慮Web服務(wù)器安全，而保障其安全，應(yīng)從以下兩方面入手：

（1）增強服務(wù)器操作系統(tǒng)的安全，主要的方法是：設(shè)置難度較大的可靠性的登錄名稱，這樣可以加大入侵者從登錄入口入侵的難度；安裝操作系統(tǒng)補丁，一旦發(fā)現(xiàn)系統(tǒng)漏洞，及時進行補丁彌補，不給入侵者可乘之機。如果情況所迫，需要進行遠程操作或者管理時，必須使用安全協(xié)議，確保遠程操作或者管理的安全性，杜絕服務(wù)器安全隱患。

（2）構(gòu)建安全的外部環(huán)境，具體方法如下：

P充分利用防火墻技術(shù)，阻隔內(nèi)外端口，阻隔沒有必要的服務(wù)，增強開放服務(wù)的安全性；

Q及時進行電腦系統(tǒng)安全評價、漏洞掃描及木馬查殺，包括用戶安全性評價、訪問控制評價、數(shù)據(jù)加密評價等等；

R利用入侵檢測系統(tǒng)對系統(tǒng)日志、紀錄等進行監(jiān)控，一旦發(fā)現(xiàn)問題，立即進行處理；

S在服務(wù)器（尤其是那些允許發(fā)生信息交互行為的服務(wù)器）上安裝多層次防病毒系統(tǒng)，以防止木馬及網(wǎng)絡(luò)病毒的侵蝕，而這也是維護服務(wù)器安全的關(guān)鍵。

1.2 FTP服務(wù)器安全

就FTP服務(wù)器而言，構(gòu)建服務(wù)器者首要考慮的問題就是系統(tǒng)的安全性。FTP服務(wù)器的系統(tǒng)安全性主要包含以下內(nèi)容：

（1）文件訪問權(quán)限，構(gòu)建者必須要確認在FTP或者它同組的其他賬號之下沒有任何的目錄或者文件，以此來避免木馬病毒的入侵；

（2）確保沒有賦予anonymous用戶特殊的權(quán)限，以免造成服務(wù)器系統(tǒng)的安全隱患；

（3）對匿名的FTP用戶進行權(quán)限設(shè)置，在任何情況下都不允許其在服務(wù)器的目錄下創(chuàng)建目錄和文件，匿名用戶只有讀取文件的權(quán)利，而且只能讀取公共區(qū)域部分的文件，以此來預(yù)防入侵者通過創(chuàng)建目錄或者文件的方式入侵系統(tǒng)，破壞服務(wù)器安全。

2數(shù)據(jù)庫系統(tǒng)安全

數(shù)據(jù)庫系統(tǒng)按類型大小可以分為三種，分別是小型數(shù)據(jù)庫系統(tǒng)、中型數(shù)據(jù)庫系統(tǒng)和大型數(shù)據(jù)庫系統(tǒng)。目前市面上使用頻率較高的小型數(shù)據(jù)庫系統(tǒng)主要是ACCESS（小型），中型的數(shù)據(jù)庫系統(tǒng)是Microsoft SQL Server 2005（中型），而大型的則數(shù)據(jù)庫系統(tǒng)是Oracle（大型）和Sybase（大型）。

數(shù)據(jù)庫系統(tǒng)的安全性主要體現(xiàn)在數(shù)據(jù)可靠性、用戶認證以及訪問控制等方面，鑒于此，數(shù)據(jù)庫的安全策略主要包含兩方面的內(nèi)容：

2.1確保數(shù)據(jù)庫的操作（使用）安全

就數(shù)據(jù)庫而言，其使用安全主要包含三方面：數(shù)據(jù)庫的可用性；數(shù)據(jù)庫的完整性；數(shù)據(jù)庫的保密性。其中，完整性是數(shù)據(jù)庫管理系統(tǒng)的核心關(guān)心對象，因為其既適用整個大的數(shù)據(jù)庫，又可適用數(shù)據(jù)庫之中的個別元素；保密性則是指保護數(shù)據(jù)庫內(nèi)的信息不被竊取，不發(fā)生泄漏；而可用性則是指要實現(xiàn)數(shù)據(jù)庫的共享訪問。很明顯，保密性和可用性兩者相互矛盾。

2.2確保數(shù)據(jù)庫的數(shù)據(jù)安全

數(shù)據(jù)庫，其本質(zhì)而言就是一個系統(tǒng)，建立在網(wǎng)絡(luò)、操作系統(tǒng)以及主機硬件之上，所以我們可以從其存在的安全隱患入手分析數(shù)據(jù)庫的安全。比如說，我們要對網(wǎng)絡(luò)攻擊、操作系統(tǒng)內(nèi)存泄漏以及主機斷電等做好預(yù)防。

3總結(jié)

高職院校內(nèi)部局域網(wǎng)網(wǎng)速平均在百兆以上，甚至于有些骨干網(wǎng)網(wǎng)速高達上千兆，鑒于廣播風(fēng)暴的存在，經(jīng)相關(guān)研究分析，建議根據(jù)院校各部分的職能對局域網(wǎng)進行劃分，這樣一方面能夠提高網(wǎng)絡(luò)的安全性以及其他各方面的性能，另一方面還便于管理，能大大提升管理效率。當然劃分區(qū)域網(wǎng)只是解決網(wǎng)絡(luò)安全問題的開端，提升系統(tǒng)本身安全性則是進一步的發(fā)展。但是維護網(wǎng)絡(luò)安全，避免其遭受外部攻擊僅僅只依靠提升系統(tǒng)本身的安全性是遠遠不夠的，還必須要結(jié)合專業(yè)的網(wǎng)絡(luò)安全工具，如網(wǎng)絡(luò)實時監(jiān)測軟件。這個軟件可以安裝于整個網(wǎng)絡(luò)的任何位置，而且能夠?qū)φ麄€網(wǎng)絡(luò)的共享網(wǎng)段進行周密的監(jiān)測，包括紀錄網(wǎng)絡(luò)狀態(tài)、網(wǎng)絡(luò)資源的情況以及各種網(wǎng)絡(luò)操作，而其目的就是便于日后的查詢。除了前面的基本功能外，網(wǎng)絡(luò)實時監(jiān)測系統(tǒng)還有一個強大的功能，就是能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)流進行實時分析，并且在分析的基礎(chǔ)上，對網(wǎng)絡(luò)違規(guī)事件進行跟蹤、阻斷連續(xù)并進行實時報警。

作者簡介：肖陽（1984―），男，侗族，湖南懷化人，貴州大學(xué)本科，計算機應(yīng)用專業(yè)，工程師，研究方向：計算機網(wǎng)絡(luò)。

參考文獻

[1] 劉宗平.高職院校計算機網(wǎng)絡(luò)安全課程教學(xué)研究[J].計算機光盤軟件與應(yīng)用，2014.

[2] 胡桂芝.高職院校計算機機房的網(wǎng)絡(luò)安全問題研究[J].信息通信，2015.

篇7

【 關(guān)鍵詞 】 ARP協(xié)議；ARP緩存；ARP欺騙

Research on ARP Virus and the Security of Campus Network

Shi Shou-le

（Modern Education Technology Center ，Anhui Medical University AnhuiHefei 230032）

【 Abstract 】 The ARP virus is one of the common threat of security of the campus network， the threat from the protocol itself， it is difficult to eradicate. This paper analyzes the ARP protocol vulnerabilities， the work process of ARP protocol， the ARP deception， and then， discussion common methods to deal with the ARP virus by optimizing protocol and system environment from two aspects.

【 Keywords 】 arp protocol；arp cache；arp spoofing

1 引言

ARP協(xié)議是以太網(wǎng)二層和三層間的底層網(wǎng)絡(luò)協(xié)議，ARP病毒利用ARP協(xié)議本身的漏洞，從底層網(wǎng)絡(luò)協(xié)議層面給網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理者帶來了很大的困擾。筆者長期關(guān)注校園網(wǎng)絡(luò)安全，ARP病毒是一種威脅校園網(wǎng)安全常見形式。

從邏輯上看，傳統(tǒng)校園網(wǎng)一般是三層的網(wǎng)絡(luò)結(jié)構(gòu)：接入層、匯聚層和核心層，終端用戶按照一定的物理位置或者邏輯關(guān)系在接入層被劃分到特定的VLAN中，同一個VLAN就是一個沖突域，ARP請求的廣播方式發(fā)送和對響應(yīng)數(shù)據(jù)源缺乏驗證機制的特點，造成了同一個VLAN主機會輕易地遭受來自另外一臺主機ARP病毒的攻擊。本文將從ARP協(xié)議原理、攻擊方式和防范方法等幾個方面來分析ARP病毒和網(wǎng)絡(luò)安全的關(guān)系。

2 協(xié)議分析

ARP協(xié)議即Address Resolution Protocol，是根據(jù)網(wǎng)絡(luò)地址獲取硬件地址的一種網(wǎng)絡(luò)協(xié)議，即實現(xiàn)從IP地址到MAC地址的映射，屬于TCP/IP協(xié)議族里的一種，處于數(shù)據(jù)鏈路層和三層之間。

2.1 報文結(jié)構(gòu)

2.2 工作過程

當局域網(wǎng)中的一臺主機要發(fā)送數(shù)據(jù)包給另外一臺主機時，它先根據(jù)目的主機的IP地址，在本地ARP高速緩存中查找對應(yīng)的以太網(wǎng)地址，ARP緩存是主機維護的一個局域網(wǎng)中IP地址到以太網(wǎng)地址的一個映射表。如果找到，則將以太網(wǎng)地址封裝到以太網(wǎng)幀首部，加入發(fā)送隊列，等待發(fā)送，如果沒有則會向局域網(wǎng)中廣播發(fā)送一個ARP查詢數(shù)據(jù)包，查詢目的主機的硬件地址，等到收到回答，再封裝幀數(shù)據(jù)，然后發(fā)送出去。

2.3 協(xié)議漏洞

通過分析ARP協(xié)議的工作過程，可以發(fā)現(xiàn)ARP協(xié)議是建立在局域網(wǎng)主機之間互相信任的基礎(chǔ)之上的，一旦這個前提不存在，則會帶來相應(yīng)的問題。

第一，ARP緩存需要動態(tài)更新的，需要一定的時間周期，攻擊者如果在目標主機下一次更新緩存之前，成功對被攻擊主機緩存表做出修改，就可以實施ARP攻擊。

第二，任意主機可以在任意時候，或者沒有查詢要求的時候，發(fā)送ARP應(yīng)答，接收主機只要收到應(yīng)答，就會無條件更改自己的ARP緩存。

第三，由于ARP查詢數(shù)據(jù)包是以廣播的方式在局域網(wǎng)內(nèi)傳播，這樣攻擊者就可以和真正應(yīng)答者之間競爭，惡意修改查詢主機的ARP緩存。

第四，ARP協(xié)議由于是基于局域網(wǎng)內(nèi)主機互相信任的基礎(chǔ)，因此，對接收到的數(shù)據(jù)源缺少認證手段，就無法鑒定應(yīng)答數(shù)據(jù)源身份的真假，帶來安全隱患。

3 ARP病毒攻擊方式和防范手段

嚴格來說并不存在所謂的ARP病毒，只存在利用ARP協(xié)議本身的漏洞來欺騙主機或網(wǎng)關(guān)，并在欺騙成功的基礎(chǔ)上，發(fā)起后續(xù)的攻擊。后續(xù)攻擊的種類眾多，但是ARP欺騙主要可分為三類：欺騙主機、欺騙網(wǎng)關(guān)、欺騙主機和網(wǎng)關(guān)。

3.1 欺騙主機

病毒主機發(fā)送非法的ARP應(yīng)答包，告訴被欺騙主機，自己的MAC地址就是被欺騙主機要查詢的網(wǎng)關(guān)地址，被欺騙主機收到ARP應(yīng)答包后，更改自己的ARP緩存，網(wǎng)關(guān)地址對應(yīng)的MAC地址就變成了病毒主機的MAC地址，然后被欺騙主機后續(xù)發(fā)給網(wǎng)關(guān)的數(shù)據(jù)包，全部發(fā)給了病毒主機，從而造成被欺騙主機不能上網(wǎng)或者至少所有數(shù)據(jù)被非法截獲。

3.2 欺騙網(wǎng)關(guān)

攻擊主機偽造ARP應(yīng)答包，應(yīng)答包中的IP地址為局域網(wǎng)內(nèi)的某臺合法主機的地址，MAC地址是攻擊主機自己的地址，當這樣的應(yīng)答包發(fā)送給網(wǎng)關(guān)后，路由器或網(wǎng)關(guān)會更新自己的IP/MAC地址緩存表，網(wǎng)關(guān)發(fā)送給合法主機的地址就被發(fā)送給了攻擊主機，然后再轉(zhuǎn)發(fā)給被攻擊主機，或者不轉(zhuǎn)發(fā)，從而造成安全威脅。

3.3 欺騙主機和網(wǎng)關(guān)

攻擊主機會同時欺騙主機和網(wǎng)關(guān)，是以上兩種欺騙方式的綜合。攻擊主機會同時發(fā)送給被攻擊主機和網(wǎng)關(guān)ARP應(yīng)答包，在給被攻擊主機的應(yīng)答包中，會將MAC地址改成攻擊主機的MAC地址，這樣被攻擊主機ARP/MAC緩存表中網(wǎng)關(guān)對應(yīng)的MAC地址就變成了攻擊主機的MAC地址。在攻擊主機發(fā)送給網(wǎng)關(guān)的ARP應(yīng)答包中，IP地址被偽裝成局域網(wǎng)內(nèi)的某臺合法主機的IP地址，MAC地址不變，這樣，網(wǎng)關(guān)的IP/MAC緩存表對應(yīng)被攻擊主機的表項的IP地址是合法的，但是MAC則變成了攻擊主機的MAC。此時，被攻擊主機的發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包很顯然直接發(fā)送給了攻擊主機，而網(wǎng)關(guān)發(fā)送給被攻擊主機的數(shù)據(jù)包很顯然被發(fā)送給了攻擊主機，如果攻擊主機打開了轉(zhuǎn)發(fā)功能，在被攻擊主機的網(wǎng)絡(luò)癥狀上表現(xiàn)為突然斷網(wǎng)，然后又能正常上網(wǎng)，只不過此時合法主機和網(wǎng)關(guān)之間的所有數(shù)據(jù)包都經(jīng)過了攻擊主機，從而產(chǎn)生數(shù)據(jù)泄漏等威脅。如果攻擊主機沒打開轉(zhuǎn)發(fā)功能，則從被攻擊主機看來，直接會斷網(wǎng)。

4 防范措施

ARP病毒或攻擊很難從根本上根除，可以通過優(yōu)化網(wǎng)絡(luò)環(huán)境、優(yōu)化主機環(huán)境和優(yōu)化協(xié)議等手段來預(yù)防，目前主要的防范措施包括幾種。

4.1 添加ARP靜態(tài)記錄

默認狀態(tài)下，操作系統(tǒng)會維護一個動態(tài)IP/MAC高速緩存表，通過DOS命令的方式可以將動態(tài)表改成靜態(tài)表，操作命令如下：

ARP -a ；顯示動態(tài)IP/MAC表

ARP -d ；清空IP/MAC表

ARP -s x.x.x.x y.y.y.y；將網(wǎng)關(guān)的IP地址x.x.x.x和網(wǎng)關(guān)的MAC地址y.y.y.y靜態(tài)綁定，而網(wǎng)關(guān)的IP和MAC可以在網(wǎng)絡(luò)正常的情況下通過ARP -a命令查詢獲得。命令執(zhí)行過程如圖2所示。

4.2 安裝ARP防火墻

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截仿冒ARP包，并通知網(wǎng)關(guān)本機正確的MAC地址，以保障本機和網(wǎng)關(guān)之間數(shù)據(jù)通信不經(jīng)過第三方。ARP防火墻功能包括攔截ARP攻擊、攔截IP沖突、DOS攻擊抑制、ARP數(shù)據(jù)分析等。

目前行業(yè)內(nèi)主流的ARP防火墻有多款都可以使用。只需要下載安裝，并簡單配置即可。只是，在ARP攻擊源不清除的情況下，ARP防火墻的效果也不能完全保證。

4.3 對交換機端口做IP/MAC綁定

這是一項比較繁瑣的工作，因為要收集很多信息，且每個接入交換機端口都要做配置，對動輒擁有幾百上千臺接入交換機的學(xué)校，工作量很大，后期維護工作量也很大。筆者在國內(nèi)某個主流品牌交換機上做過配置，定義一個交換機端口下用戶IP地址為10.10.10.10，MAC地址為00-1a-4d-1e-39-2d，端口號為G1/0/2，配置如下：

Interface gigabitethernet 1/0/2 ；進入端口視圖

User-bind ip-addr 10.10.10.10 mac-addr 001a-4d1e-392d ；綁定IP和MAC

如果在一個端口下又接了小交換機或hub，則需在當前端口下將小交換機下的幾臺電腦IP和MAC均做綁定配置。為防止新增用戶使用空閑端口，對于空閑端口要關(guān)掉MAC地址自動學(xué)習(xí)功能，命令如下：

Interface gigabitethernet 1/0/21 ；進入端口視圖

Mac-address mac-learning disable ；關(guān)掉此端口的MAC地址學(xué)習(xí)功能

4.4 采用pvlan、supervlan或qinq技術(shù)隔離用戶

Pvlan即Private Vlan，采用兩層Vlan隔離技術(shù)，上層Vlan全局可見，下層Vlan互相不可見，將交換機的每個端口劃分為下層Vlan，只能通過上層Vlan和默認網(wǎng)關(guān)通信，就實現(xiàn)了端口（或者用戶）間的不可見，相互之間不會受到廣播包的影響，也不存見ARP欺騙了。

Super Vlan即Vlan Aggregation，又成為Vlan聚合。每個Super Vlan包含多個Sub Vlan，每個Sub Vlan是一個廣播域，Sub Vlan之間二層互相隔離，Sub Vlan不需要配置三層接口[3]，Super Vlan配置三層接口，Sub Vlan需要進行三層通信時，通過將Super Vlan的IP地址作為網(wǎng)關(guān)地址實現(xiàn)通信，同時Sub Vlan間的二層通信通過ARP實現(xiàn)發(fā)送ARP請求的響應(yīng)和數(shù)據(jù)轉(zhuǎn)發(fā)，實現(xiàn)二層端口間的三層互通。由于二層間的隔離，也破壞了ARP攻擊在一個廣播域內(nèi)的條件。

QinQ即Stacked Valn或Double Vlan，一般校園網(wǎng)結(jié)構(gòu)從物理上有接入、匯聚和核心三層結(jié)構(gòu)，從校園網(wǎng)角度來說是將接入層Vlan封裝在匯聚層Vlan，使報文帶著兩層Vlan穿過校園骨干網(wǎng)，QinQ終結(jié)在校園網(wǎng)核心，這樣也實現(xiàn)了端口（或用戶）間的二層隔離，而且從邏輯上，校園網(wǎng)是一個更加簡潔的扁平化的二層網(wǎng)絡(luò)，這種二層網(wǎng)絡(luò)天然的防止了ARP攻擊發(fā)生。

4.5 改造ARP輸入模塊，實現(xiàn)IP+MAC一致性驗證

在ARP輸入模塊中加入控制代碼，當主機收到一個ARP應(yīng)答時，從本機ARP高速緩存中檢查有沒有相匹配的MAC，如果有則取出緩存表中對應(yīng)的IP和應(yīng)答包中的IP比較，如果不同則丟棄。當局域網(wǎng)中有新的主機加入，檢查本機高速緩存中有沒有相同的MAC，如果沒有，則緩存中加入相應(yīng)的MAC到IP的記錄。這樣，以IP+MAC的方式，而不是單純IP或MAC的方式，既保留了ARP協(xié)議的靈活性，又保證了局域網(wǎng)內(nèi)的安全性。

4.6 優(yōu)化ARP協(xié)議

通過增加應(yīng)答包身份合法性驗證功能來優(yōu)化ARP協(xié)議。假設(shè)主機A和主機B通信，主機A查詢自己的緩存，如果找到對應(yīng)項則停止，否則，廣播發(fā)送ARP查詢包；主機B響應(yīng)ARP查詢；主機A沒有立即更新ARP緩存，接著發(fā)送一個驗證包給主機A，只有B才知道如何響應(yīng)；主機A收到驗證包響應(yīng)，先確認相應(yīng)的合法性，然后確認B正確回答了問題，如果都通過測試，則A更新ARP緩存。

5 結(jié)束語

由于ARP協(xié)議是一個本身具有重大缺陷的協(xié)議，它在更新ARP緩存表的時候，沒有驗證機制，給網(wǎng)絡(luò)安全帶來了潛在的威脅。攻擊者利用這個缺陷可以輕易的發(fā)起ARP欺騙，從而達到中間人攔截信息、拒絕服務(wù)等攻擊目的。由于是底層網(wǎng)絡(luò)協(xié)議漏洞，對于網(wǎng)絡(luò)安全管理者來說，比較實用的方法是在協(xié)議本身以外做好防范措施。

針對以上所述幾種防范措施，靜態(tài)記錄、ARP防火墻、端口綁定，相對來說都不是一種徹底的防范措施，不能完全杜絕ARP攻擊的發(fā)生，且管理工作量比較大。而對優(yōu)化ARP協(xié)議是最徹底的一種方式，但是帶來安全的同時會付出效率的代價。而對端口或用戶的隔離，則是從技術(shù)上比較容易實現(xiàn)，在管理手段上也比較簡單，徹底杜絕ARP攻擊。特別對于QinQ隔離方式，杜絕ARP攻擊的發(fā)生只是一個副產(chǎn)物，同時更簡化了網(wǎng)絡(luò)結(jié)構(gòu)，提高了網(wǎng)絡(luò)管理效率。

參考文獻

[1] 姚小兵.ARP協(xié)議簡析及ARP病毒攻擊的防御.信息網(wǎng)絡(luò)安全，2009-09-10.

[2] 李保華.ARP協(xié)議欺騙的分析與防范.鄭州大學(xué)碩士論文，2008-11-01.

[3] 韓利凱.基于ARP欺騙的網(wǎng)絡(luò)攻擊分析及防范.西安文理學(xué)院學(xué)報-自然科學(xué)版，Vol 15，No 4，2012-10.

[4] 張黃勵.針對ARP攻擊的主動防范策略研究與實現(xiàn).重慶大學(xué)碩士學(xué)位論文，2010-4.

篇8

【關(guān)鍵詞】圖書館；網(wǎng)絡(luò)安全；計算機病毒；黑客

在網(wǎng)絡(luò)高速發(fā)展的今天，網(wǎng)絡(luò)已成為人類最豐富多彩的虛擬世界，計算機技術(shù)和通信技術(shù)相結(jié)合所形成的信息基礎(chǔ)設(shè)施已經(jīng)成為反應(yīng)信息社會特征最重要的基礎(chǔ)設(shè)施，圖書館作為一個專業(yè)的網(wǎng)絡(luò)信息庫，給我們提供很多方便快捷的專項信息。目前，支撐圖書館的關(guān)鍵技術(shù)主要有信息處理、信息存儲和信息傳輸3個方面。這種由新技術(shù)帶來新的信息資源形態(tài)（數(shù)字化）和新的信息資源使用方式（網(wǎng)絡(luò)傳輸），必然存在許多網(wǎng)絡(luò)隱患，易受網(wǎng)絡(luò)黑客攻擊。另外，高職院校圖書館網(wǎng)絡(luò)系統(tǒng)具有體系結(jié)構(gòu)開放、資源共享和信道公用等特性，這使得高職院校圖書館網(wǎng)絡(luò)安全問題更加突出。

1.威脅高職院校圖書館網(wǎng)絡(luò)安全的因素

1.1 軟件系統(tǒng)的漏洞

目前，大部分圖書館的信息服務(wù)器主要采用Web界面和基于TCP/IP協(xié)議的信息技術(shù)系統(tǒng)。TCP/IP協(xié)議現(xiàn)在已經(jīng)廣為應(yīng)用、但也存在許多不足造成安全漏洞在所難免，例如：smurf攻擊、ICMPUnreachable數(shù)據(jù)包斷開、IP地址欺騙以及SYNflood。然而，最大的問題在于IP協(xié)議是非常容易“輕信”的，就是說入侵者可以隨意地偽造及修改IP數(shù)據(jù)包而不被發(fā)現(xiàn)。

其次是圖書館的服務(wù)器一般用Windows Server的操作系統(tǒng)，系統(tǒng)以圖形化界面和易操作聞名，但存在著安全漏洞；另外應(yīng)用軟件也存在著漏洞或者缺陷。這也給黑客提供了攻擊的突破口。例如，數(shù)據(jù)庫是圖書館重要組成部分之一，常用的有SQL、Oracle、Sybase等，未打全補丁的數(shù)據(jù)庫系統(tǒng)就是一個隱藏著的定時炸彈，網(wǎng)絡(luò)上專門針對此的掃描和攻擊工具不勝枚舉。黑客一旦攻破其漏洞，其造成的后果將不堪設(shè)想。

1.2 網(wǎng)絡(luò)硬件系統(tǒng)

硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。從物理上講，高職院校圖書館園網(wǎng)絡(luò)的安全是脆弱的，因為校園網(wǎng)絡(luò)設(shè)備分布較為廣泛，任何個人或部門都不可能時刻對這些設(shè)備進行全面監(jiān)控。另一個方面，大多數(shù)高職院校將有限的經(jīng)費主要投入在一些基本的網(wǎng)絡(luò)設(shè)備上，對于保證網(wǎng)絡(luò)安全的硬件關(guān)心較少，例如只注重服務(wù)器、路由器、交換機的性能而忽略了防火墻、殺毒軟件的重要性，相對減少投入，所以導(dǎo)致校園網(wǎng)基本還處在一個個開放的狀態(tài)，沒有任何有效的安全預(yù)警機制和防范措施。

1.3 內(nèi)部攻擊

所謂內(nèi)部攻擊，是指局域網(wǎng)攻擊。來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)絡(luò)用戶的安全威脅，特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。根據(jù)權(quán)威部門的統(tǒng)計，70%的攻擊來自內(nèi)部。內(nèi)部人員對數(shù)據(jù)的存儲位置、信息重要性非常了解，這使得內(nèi)部攻擊更容易湊效。比如文件共享，打印機共享等等，某些操作本身就是合法的，通過很多合法的操作對防火墻或者路由的ACL規(guī)則進行欺騙作為攻擊和入侵的手段。另外是讀者的違規(guī)操作。在這樣的情況下，圖書館網(wǎng)絡(luò)必然要承受大量的來自內(nèi)部的攻擊，而源于內(nèi)部的攻擊恰恰是很難防御的。

1.4 外部攻擊

（1）來自Internet的病毒攻擊

高職院校圖書館網(wǎng)絡(luò)一般是通過CERNET與Internet相連，在享受Internet的高效便捷的同時，大量的網(wǎng)絡(luò)病毒也伴隨攻擊而來。計算機病毒直接影響計算機系統(tǒng)的正常運行速度，破壞系統(tǒng)軟件和文件系統(tǒng)，破壞網(wǎng)絡(luò)資源使網(wǎng)絡(luò)效率急劇下降，甚至造成計算機網(wǎng)絡(luò)系統(tǒng)的癱瘓。現(xiàn)階段，出現(xiàn)了專門攻擊計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒，如特洛伊木馬、蠕蟲病毒、震蕩波、沖擊波病毒、AV終結(jié)者、磁盤病毒、W0M系列盜號木馬等等。

（2）黑客非法攻擊

隨著計算機網(wǎng)絡(luò)的快速發(fā)展，黑客的隊伍也不斷壯大，黑客現(xiàn)在則多指那些偷閱、篡改或偷竊他人數(shù)據(jù)資料，在網(wǎng)絡(luò)上進行犯罪活動的人。在Internet網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動的針對服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊；二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負重。如：數(shù)字圖書的域名服務(wù)器、網(wǎng)頁服務(wù)器、電子郵件服務(wù)器等都可以成為黑客攻擊的對象。黑客的花樣很多，攻擊者可以在現(xiàn)場，也可以在其它任何地方。攻擊者的企圖有多種，從造成間歇停機到造成整個系統(tǒng)癱瘓、數(shù)據(jù)錯誤、大批盜竊信息、盜用服務(wù)、進行非法監(jiān)視和收集情報、引入假電文和提取數(shù)據(jù)用于進行欺詐，從而達到破壞目的。而且，現(xiàn)在黑客工具種類繁多，容易獲取，容易使用，不用懂太多的計算機知識，都可以發(fā)動攻擊。

1.5 內(nèi)部人員管理因素

內(nèi)部工作人員的素質(zhì)、職業(yè)道德和責(zé)任心等對系統(tǒng)安全占較大比重，其中人為因素產(chǎn)生的原因如下：（1）管理者對系統(tǒng)安全的認識不足，安全意識淡薄，對安全的重視程度不夠，不能及時發(fā)現(xiàn)已經(jīng)存在的和可能出現(xiàn)的問題。（2）個別工作人員敬業(yè)精神不高，責(zé)任心不強，不能及時發(fā)現(xiàn)已經(jīng)存在的和隨時可能出現(xiàn)的安全問題，對突發(fā)的安全事件不能做出積極、有序和有效的反應(yīng)。（3）技術(shù)能力不夠，由于網(wǎng)絡(luò)管理人員和有關(guān)技術(shù)人員缺乏必要的專業(yè)知識，不能安全配置和管理網(wǎng)絡(luò)，在服務(wù)器上隨意安裝非法軟件。（4）安全管理制度不健全或執(zhí)行力度不夠等因素，從而導(dǎo)致網(wǎng)絡(luò)安全體系和安全控制措施不能充分、有效地發(fā)揮，造成信息泄露，給攻擊者創(chuàng)造機會。

2.高職院校圖書館網(wǎng)絡(luò)的防范措施

2.1 選擇穩(wěn)定的軟件系統(tǒng)，保證圖書館數(shù)字化安全。

軟件系統(tǒng)方面主要是保證系統(tǒng)軟件和應(yīng)用數(shù)字圖書館平臺應(yīng)用軟件的安全。系統(tǒng)軟件是整個軟件系統(tǒng)的生命線，是關(guān)乎所有在其之上運行的應(yīng)用軟件安全和穩(wěn)定的基礎(chǔ)。所以，可以選擇運行比較穩(wěn)定的WINDOWS 2003 SERVER作為系統(tǒng)軟件，在系統(tǒng)配置方面，關(guān)閉所有的不必要端口，禁用GUEST賬戶和IPC連接，刪除WindowsServer2003默認共享，隨時關(guān)注微軟的系統(tǒng)補丁包，保證操作系統(tǒng)的安全性和穩(wěn)定性。另外，數(shù)據(jù)庫管理平臺使用SQLSERVER 2005，在SQLSERVER數(shù)據(jù)庫中必須要對SA賬戶使用強密碼；刪除BUILTIN＼Administrators服務(wù)器登錄；定期對MASTER數(shù)據(jù)庫進行完全備份，當數(shù)據(jù)庫系統(tǒng)出現(xiàn)問題時進行恢復(fù)，保證數(shù)據(jù)庫系統(tǒng)的可用性。定期對業(yè)務(wù)數(shù)據(jù)庫進行差異備份，即可備份數(shù)據(jù)，又可降低備份時對數(shù)據(jù)庫服務(wù)器的系統(tǒng)資源消耗，保證服務(wù)器的穩(wěn)定運行。

2.2 利用防火墻技術(shù)，避免網(wǎng)絡(luò)威脅和黑客攻擊

防火墻技術(shù)是在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個保護層，所有內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾，只有被授權(quán)的通信才允許通過。其安全意義是雙向的，一方面可以限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，另一方面也可以限制內(nèi)部網(wǎng)對外部網(wǎng)中不健康或敏感信息的訪問。同時，防火墻還可以對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計，對可疑動作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術(shù)一般分為兩種，一種是分組過濾技術(shù)，一種是服務(wù)技術(shù)。分組過濾基于路由器技術(shù)，其機理是由分組過濾路由器對IP分組進行選擇，根據(jù)特定組織機構(gòu)的網(wǎng)絡(luò)安全準則過濾掉某些IP地址分組，從而保護內(nèi)部網(wǎng)絡(luò)。服務(wù)技術(shù)是由一個高層應(yīng)用網(wǎng)關(guān)作為服務(wù)器，對于任何外部網(wǎng)的應(yīng)用連接請求首先進行安全檢查，然后再與被保護網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動受到雙向監(jiān)控。

2.3 利用加密技術(shù)，保護數(shù)字館藏安全和信息產(chǎn)品傳輸安全。

利用加密技術(shù)是保護數(shù)字館藏安全和信息產(chǎn)品傳輸安全的常用措施。數(shù)據(jù)庫加密方法有庫內(nèi)加密、整個數(shù)據(jù)庫加密和硬件加密。優(yōu)秀的數(shù)據(jù)庫管理系統(tǒng)（DMS）內(nèi)嵌有面向網(wǎng)絡(luò)的數(shù)據(jù)庫安全保護模塊，提供安全服務(wù)。美國NIST公布的數(shù)字簽名算法DSA是一個公開密鑰數(shù)字簽名算法，用于保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾院鸵恢滦?，從而保證數(shù)據(jù)傳輸?shù)臏蚀_和安全。

2.4 安裝防病毒軟件，預(yù)防計算機病毒的入侵

防病毒軟件，也可稱為殺毒軟件，它具備預(yù)防隔離和查殺病毒的雙重功能，主要是針對已經(jīng)遭受網(wǎng)絡(luò)病毒入侵的網(wǎng)絡(luò)在病毒入侵后，及時用殺毒軟件進行殺毒，能有效的減少損失挽救各種重要信息數(shù)據(jù)。此外，殺毒軟件還能實時跟蹤監(jiān)督各軟件的運行情況，一旦發(fā)現(xiàn)威脅會立即報警，反饋給用戶。圖書館選擇一款有效優(yōu)質(zhì)的正版的殺毒軟件便安裝了第二道保護網(wǎng)絡(luò)安全的防線。圖書館內(nèi)部局域網(wǎng)中傳播的病毒大多是管理人員工作不嚴謹細致導(dǎo)致的，這些病毒往往是在無意間就進入了工作站。因此在平時工作中，工作人員需慎重選擇使用安裝軟件，不要輕易在工作站上插入來歷不明的優(yōu)盤，非用不可時必須先對它們掃描殺毒。在安裝殺毒軟件后，還要注意隨時更新它。因為網(wǎng)絡(luò)病毒形式千變?nèi)f化，隨時都有新品種誕生，殺毒軟件也會做出新的防御措施。及時下載更新病毒數(shù)據(jù)庫，有利于更好的實現(xiàn)網(wǎng)絡(luò)安全的維護。

2.5 加強圖書館數(shù)據(jù)的備份工作

數(shù)字信息是數(shù)字圖書館的核心資源，其中書目信息和讀者借閱信息是圖書館員工多年辛苦勞動的結(jié)晶，數(shù)據(jù)丟失所帶來的損失也常常是難以估量的。因此，圖書館數(shù)據(jù)的備份是一項極為重要的工作，應(yīng)定期進行數(shù)據(jù)轉(zhuǎn)儲，將數(shù)據(jù)備份到其它存儲設(shè)備上，或采用磁盤陣列等技術(shù)，利用冗余硬盤，讓系統(tǒng)實時對數(shù)據(jù)進行備份，再配合熱插拔等技術(shù)，可以保證在部分數(shù)據(jù)被破壞后，能立即啟用備份數(shù)據(jù)，使服務(wù)部中斷。

2.6 采用多種方案、建立安全管理機制

只有建立了相應(yīng)的安全管理制度和操作規(guī)程，才能使數(shù)字圖書館的員工各司其職，工作有章可循。把圖書館的安全措施和管理制度融會為一個整體，為圖書館的網(wǎng)絡(luò)安全運行提供保障和基礎(chǔ)。比如：（1）制定網(wǎng)絡(luò)安全管理制度，劃分各自得權(quán)限，規(guī)范各項計算機操作活動。（2）定期進行安全審核，主要是審核制度的安全策略，管理制度是否被有效地、準確地執(zhí)行，不斷調(diào)整網(wǎng)絡(luò)系統(tǒng)配置以達到最優(yōu)化。（3）加強圖書館各部門的協(xié)調(diào)能力，嚴格遵守圖書館崗位責(zé)任制。最大限度地保證數(shù)字圖書館系統(tǒng)安全和系統(tǒng)能夠穩(wěn)定運行。

3.結(jié)語

在信息化、網(wǎng)絡(luò)化的時代，計算機病毒的泛濫、黑客的惡意攻擊和讀者網(wǎng)絡(luò)信息的安全需求已構(gòu)成對數(shù)字圖書館網(wǎng)絡(luò)信息安全的迫切要求，網(wǎng)絡(luò)安全任務(wù)越來越重要，加強數(shù)字圖書館信息的安全與防范工作刻不容緩。因此，這就需要全館人員同心協(xié)力，嚴格遵守崗位責(zé)任制，在工作中不斷努力與創(chuàng)新，以確保數(shù)字圖書館能在安全、穩(wěn)定的狀態(tài)下運行，為更多的讀者提供信息服務(wù)。

參考文獻

[1]黎九平.基于數(shù)據(jù)挖掘的數(shù)字圖書館網(wǎng)絡(luò)安全管理研究[J].情報探索，2012（12）.

[2]趙曉紅，雒偉群，劉偉光，等.高校圖書館網(wǎng)絡(luò)安全分析與防護策略[J].計算機與信息技術(shù)，2009（3）.

篇9

本文系統(tǒng)的分析了目前高職院校中校園網(wǎng)在網(wǎng)絡(luò)安全方面存在的隱患和問題，并根據(jù)這些問題提出了維護改善網(wǎng)絡(luò)安全的措施手段，為建設(shè)安全的高職院校校園網(wǎng)起到了一定的指導(dǎo)作用。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全的維護

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

一、引言

在社會不斷地進步，互聯(lián)網(wǎng)在生活中扮演的角色越來越重要，人們的工作、學(xué)習(xí)和生活已經(jīng)離不開互聯(lián)網(wǎng)。近年來，在高職院校，為方便師生的學(xué)習(xí)、工作，紛紛組建了校園網(wǎng)，校園網(wǎng)的發(fā)展也非常迅速，不過由于其起步較晚，軟硬件設(shè)施較差，在組建校園網(wǎng)運行中存在著很多不足之處，導(dǎo)致了現(xiàn)存的高職院校校園網(wǎng)存在足多隱患的局面，高職院校校內(nèi)網(wǎng)的安全問題也益發(fā)凸顯。

二、目前高職院校校園網(wǎng)存在的隱患及問題

高職院校的校園網(wǎng)網(wǎng)絡(luò)安全存在很大的隱患，這給廣大師生的學(xué)習(xí)，工作都帶來很大的不便，更有甚者回影響到學(xué)校、師生的利益。這些隱患主要體現(xiàn)在以下幾個方面：

（一）互聯(lián)網(wǎng)的開放性決定了校園網(wǎng)的安全更容易受到攻擊

互聯(lián)網(wǎng)網(wǎng)絡(luò)的通信協(xié)議是開放性的，通信協(xié)議是互聯(lián)網(wǎng)通信的基礎(chǔ)，目前高職院校校園網(wǎng)普遍使用TCP/IP協(xié)議簇，而通用性和開放性是TCP/IP協(xié)議簇的一大特點，基于這種特點，只要具備了一定的技術(shù)就可以分析并使用這一協(xié)議，這就造成了校園網(wǎng)在通信上的漏洞。數(shù)據(jù)竊聽(Packet Sniff)：TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，因此數(shù)據(jù)信息很容易被竊聽、篡改和偽造。特別是在使用含有用戶賬號、口令的數(shù)據(jù)包進行通信時，使用Sniff，Snoop或網(wǎng)絡(luò)分析儀等可以對以上信息進行截取，達到攻擊的目的。例如：源地址欺騙(Source address spoofing)；源路由選擇欺騙(Source Routing spoofing)；鑒別攻擊(Authentication Attacks)；TCP序列號欺騙(TCP Sequence number spoofing)；ICMP攻擊(工CMP Attacks)；拒絕服務(wù)((DOS)攻擊；IP棧攻擊(IP Stack Attack)等，這種由于互聯(lián)網(wǎng)的根本屬性而來的漏洞，不能夠徹底解決，但是由于校內(nèi)網(wǎng)的特點卻更容易使其安全受到攻擊。

（二）硬件設(shè)施的落后導(dǎo)致其安全隱患巨大

高職院校的校園網(wǎng)雖然發(fā)展迅速，但由于其起步較晚，加之在建設(shè)校園網(wǎng)的過程中，大部分高職院校并沒有進行大幅度的改變，而是在原有局域網(wǎng)的基礎(chǔ)上進行一些整改，這種硬件上的落后必然導(dǎo)致校園網(wǎng)的安全隱患。

（三）系統(tǒng)防火墻抵抗外來攻擊入侵能力較弱

校園網(wǎng)的系統(tǒng)防火墻是抵御外來入侵的有效手段，對于外來的攻擊能提供有效的屏蔽，但目前大部分高職高校的校園網(wǎng)系統(tǒng)卻存在很多漏洞，容易被不法分子利用，校園網(wǎng)的防火墻能力也比較弱，對于擁有一定技術(shù)的黑客而言基本形同虛設(shè)。

（四）網(wǎng)絡(luò)安全管理存在巨大的缺陷，非常不完善

網(wǎng)絡(luò)的管理能夠很大程度上消除校園網(wǎng)的安全隱患，但大部分高職院校學(xué)院網(wǎng)絡(luò)的管理相對比較較混亂，沒有統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，缺乏上網(wǎng)的有效監(jiān)控和日志。這種管理能力的欠缺也是導(dǎo)致目前高職院校網(wǎng)絡(luò)安全問題的一大原因。

（五）校內(nèi)人員安全意識單薄，并出現(xiàn)內(nèi)部攻擊校園網(wǎng)的情況

微型計算機的普及使得擁有個人計算機的學(xué)生數(shù)量在飛速的增長，但是除了個別對于計算機比較熟練地用戶以外，目前，很大一部分的學(xué)生對于計算機的安全意識比較單薄，比如：安全軟件更新不夠，系統(tǒng)的漏洞更是比比皆是，這些問題導(dǎo)致了校園網(wǎng)的計算機更容易沾染病毒，而基于校內(nèi)網(wǎng)特點，這帶來的后果往往更加嚴重。此外，校園網(wǎng)的防火墻雖然能夠?qū)τ谛Ｍ獾娜肭制鸬揭欢ǖ钟饔?，可是對于來自校園網(wǎng)內(nèi)部的攻擊的防護能力卻基本為零，而根據(jù)研究，目前基本上校園網(wǎng)受到的大部分攻擊都是來自校內(nèi)，這主要是由于校園內(nèi)的人員大多屬于有想法，有沖勁的年輕人，加之互聯(lián)網(wǎng)上的攻擊軟件，黑客軟件比比皆是，再加上目前國內(nèi)外輿論對于黑客行為的不可觀的評價，這就對于年輕人帶來很大的誘惑，希望通過一些比較出位的手段來獲得心理的滿足，于是，攻擊校園網(wǎng)也就成了一種可選擇的手段。

（六）高職院校的特殊性導(dǎo)致其更易受到攻擊

校園網(wǎng)的一大特點即是速度和規(guī)模上比較大，由于存在以上隱患，對于不法之徒而言，攻擊、入侵校內(nèi)網(wǎng)的效率相對而來就會更高，目前，越來越多的黑客把目標瞄向了校園網(wǎng)，加之層出不窮的網(wǎng)絡(luò)病毒在校園網(wǎng)內(nèi)傳播的更加迅速，雖然校園網(wǎng)目前大都建立了防火墻，但這些依舊給校園網(wǎng)的安全帶來很大的壓力。

三、針對高職院校校園網(wǎng)存在問題的改善意見及措施

針對我國目前高職院校校園網(wǎng)存在的問題，學(xué)校應(yīng)該從提高技術(shù)，增強防范意識，提高軟硬件設(shè)施等方面出發(fā)。

（一）加大基礎(chǔ)設(shè)施投入

良好的基礎(chǔ)設(shè)施是改善校園網(wǎng)現(xiàn)存問題的基礎(chǔ)，工欲善其事，必先利其器，沒有好的硬件設(shè)施，一切只是空中樓閣，在這方面應(yīng)該做的工作有很多，首先，應(yīng)以高性能的防火墻來替代落伍的防火墻，做到外部人員只能夠訪問允許訪問的資源，對于不開放的資源做到有效地隔離；其次，建設(shè)有效全面殺毒系統(tǒng)，有效地殺毒系統(tǒng)能夠解決校內(nèi)網(wǎng)中木馬病毒泛濫的現(xiàn)狀，最大程度上保證用戶的利益；第三，完善系統(tǒng)漏洞，減少給不法分子有機可趁的機會；最后，安裝旁路監(jiān)聽性檢查系統(tǒng)。

篇10

1 網(wǎng)絡(luò)信息安全的定義與基本內(nèi)容

網(wǎng)絡(luò)安全的基本定義是利用相關(guān)技術(shù)進行數(shù)據(jù)處理系統(tǒng)的建立與維護，保證計算機硬件、軟件不遭到毀壞，對數(shù)據(jù)進行有效的保護，防止其通過惡意手段遭到破壞，保持網(wǎng)絡(luò)的完整性、保密性、可用與可控性。

硬件安全指的是網(wǎng)絡(luò)硬件媒體設(shè)備的安全，包括主機系統(tǒng)、終端設(shè)備以及防火墻、服務(wù)器等的安全[1]；軟件安全指的是保證計算機網(wǎng)絡(luò)中軟件功能的完整性與準確性；數(shù)據(jù)安全指的是保證網(wǎng)絡(luò)中儲存與傳輸數(shù)據(jù)的安全，避免非法篡改、解密等，是網(wǎng)絡(luò)安全的核心。

2 信息化校園網(wǎng)絡(luò)面臨的安全問題

校園網(wǎng)涵蓋了教學(xué)、管理、通訊等方面的功能，教師可以通過網(wǎng)絡(luò)進行教學(xué)工作，方便與學(xué)生的遠程學(xué)習(xí)，校園網(wǎng)學(xué)習(xí)信息資源管理系統(tǒng)的建立有效的實現(xiàn)了學(xué)校與學(xué)生之間信息的透明化與共享化，學(xué)生可以通過校園網(wǎng)進行信息綜合管理與數(shù)據(jù)交換。

隨著校園網(wǎng)絡(luò)的快速普及，相關(guān)的安全問題也日益增加，由于技術(shù)資金的落后，在高職院信息化校園網(wǎng)絡(luò)的建設(shè)中沒有完善的防范措施，硬件設(shè)施薄弱，軟件系統(tǒng)的安全建設(shè)不夠完善；網(wǎng)絡(luò)管理缺乏安全機制，專業(yè)管理人員少，無論是自身的網(wǎng)絡(luò)管理還是對設(shè)備管理都缺乏經(jīng)驗與技術(shù)，導(dǎo)致對網(wǎng)絡(luò)安全問題不能進行及時的監(jiān)控與反饋，使網(wǎng)絡(luò)安全缺乏可控性。

3 信息化校園網(wǎng)絡(luò)安全的技術(shù)保護措施

3.1網(wǎng)絡(luò)多出口的規(guī)范

校園安全體系與架構(gòu)的建設(shè)是信息化校園網(wǎng)絡(luò)的基本管理措施，近幾年高職校園網(wǎng)網(wǎng)絡(luò)架構(gòu)的多出口特點給網(wǎng)絡(luò)安全帶了嚴重的影響，多出口不利用整體網(wǎng)絡(luò)的規(guī)范化管理。校園網(wǎng)絡(luò)管理機構(gòu)應(yīng)對現(xiàn)有的網(wǎng)絡(luò)架構(gòu)進行合理的優(yōu)化與改造，對出口進行規(guī)范與監(jiān)制，出口的統(tǒng)一化、專業(yè)化的管理為校園網(wǎng)絡(luò)安全體系的構(gòu)建奠定基礎(chǔ)。

3.2配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

校園網(wǎng)絡(luò)結(jié)構(gòu)龐大而復(fù)雜，但是從架構(gòu)特點分析，它是屬于局域網(wǎng)技術(shù)領(lǐng)域?？刂凭钟蚓W(wǎng)的獨立性，保證其與外部連接的安全為網(wǎng)絡(luò)安全的管理與規(guī)范提供了思路，具體的方法是在局域網(wǎng)與外部網(wǎng)絡(luò)接口的連接處設(shè)置硬件與軟件的監(jiān)理設(shè)備，保持對連接處網(wǎng)絡(luò)安全的控制與管理[2]。當代社會的校園網(wǎng)絡(luò)都是基于高速層面的網(wǎng)絡(luò)，我們必須降低一切硬、軟件設(shè)備對網(wǎng)絡(luò)性能不同程度的影響，因此使用了以下設(shè)備進行網(wǎng)絡(luò)安全防護：

（1）高性能的硬件防火墻：防火墻是本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，它是可以實現(xiàn)隔離風(fēng)險的網(wǎng)絡(luò)安全模型，高性能的防火墻有過濾、鏈路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)等方面的性能，為網(wǎng)絡(luò)防御提供了更好的安全性。

（2）入侵檢測系統(tǒng)與防病毒、漏洞掃描系統(tǒng)：入侵檢測系統(tǒng)為網(wǎng)絡(luò)黑客的檢測與反饋提供了很好的措施；建立完備的防病毒與漏洞掃描系統(tǒng)為非法訪問提供了解決方法，有助于抑制網(wǎng)絡(luò)不良因子的擴散與影響。

（3）網(wǎng)絡(luò)故障檢測系統(tǒng)：利用故障檢測系統(tǒng)科實現(xiàn)對校園網(wǎng)絡(luò)進行實時的診斷，有利于及早發(fā)現(xiàn)故障，進行系統(tǒng)的清理與優(yōu)化。

3.3 建立全校統(tǒng)一的身份認證系統(tǒng)

身份認證系統(tǒng)是解決校園網(wǎng)絡(luò)安全問題的基本方法，用身份證與有效的ID信息進行網(wǎng)絡(luò)認證與使用有利于對網(wǎng)絡(luò)安全的監(jiān)管，若發(fā)現(xiàn)不良的網(wǎng)絡(luò)問題，可以通過身份認證的方式進行有效的處理，有利于減少信息監(jiān)控的成本，并對個人良好的網(wǎng)絡(luò)素質(zhì)與信用的提高起到了很大的作用。

雖然近幾年各高職校園網(wǎng)絡(luò)管理機構(gòu)進行了身份認證系統(tǒng)的建設(shè)與完善，但是應(yīng)用系統(tǒng)在通用性、權(quán)威性與安全性上還有一定的不足與差距，因此在校園網(wǎng)絡(luò)的規(guī)范建設(shè)中還存在危險漏洞。在高職校園網(wǎng)絡(luò)建設(shè)中應(yīng)實現(xiàn)全校統(tǒng)一的身份認證系統(tǒng)，使非合法用戶無法使用校園網(wǎng)絡(luò)，避免再認證中出現(xiàn)缺口與問題，這有利于校園網(wǎng)絡(luò)由于上網(wǎng)身份出現(xiàn)的安全隱患的徹底解決。

3.4對上網(wǎng)場所集中進行規(guī)范和監(jiān)控

高職校園應(yīng)該鼓勵廣大師生在公眾場所使用網(wǎng)絡(luò)，不僅對網(wǎng)絡(luò)教學(xué)的普及有作用，還有助于實行網(wǎng)絡(luò)統(tǒng)一的管理與監(jiān)控。在公眾場所必須進行身份認證，使用機房固有的安全學(xué)習(xí)軟件，有利于有效的保證網(wǎng)絡(luò)安全。

但是現(xiàn)在高職校園的網(wǎng)絡(luò)管理系統(tǒng)處于孤島的狀態(tài)，學(xué)生上網(wǎng)的地點分散，很多身份難以識別與認證，對于分散的網(wǎng)絡(luò)行為的監(jiān)管也難上加難?！斑€原卡”的普及更降低了很多高職校園信息化網(wǎng)絡(luò)的管理能力，因此要盡快實現(xiàn)網(wǎng)絡(luò)的集中認證，利用中心監(jiān)控服務(wù)器進行網(wǎng)絡(luò)行為的監(jiān)管，通過日志備查保證信息化網(wǎng)絡(luò)的安全性。

3.5改造電子郵件系統(tǒng)，建立完善的恢復(fù)機制

高職院校免費的電子郵件系統(tǒng)已經(jīng)明顯不適用于現(xiàn)代網(wǎng)絡(luò)系統(tǒng)的功能，這成為現(xiàn)在校園網(wǎng)絡(luò)安全的主要隱患。因此應(yīng)該對電子郵件系統(tǒng)進行改造，提高其過濾有害信息的能力和及時的反饋能力；增加數(shù)據(jù)傳輸?shù)脑O(shè)備，為校外教師或外出人員通過提供隧道連接，使他們安全進入校網(wǎng)電子郵件系統(tǒng)；建立完善、成熟的

備份軟件與恢復(fù)機制，減小由于數(shù)據(jù)損壞與信息泄露造成的損失，也有助于整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行。

3.6 校園網(wǎng)絡(luò)的系統(tǒng)層安全設(shè)計與管理

充分宣傳校園網(wǎng)絡(luò)自動更新服務(wù)，引導(dǎo)師生們深入了解防病毒軟件的使用，及時安裝補丁，加固操作系統(tǒng)；加強師生們對用戶信息與賬戶安全的設(shè)置，利用系統(tǒng)服務(wù)設(shè)置更好的保證私人以公共計算機網(wǎng)絡(luò)的運營，定期做網(wǎng)絡(luò)巡檢與監(jiān)控。