校园网络安全样例十一篇

时间：2023-02-22 11:28:25

校园网络安全

校园网络安全例1

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416(2012)07-0163-02

学校作为培养人才的基地，愈来愈多的校园网通过专线与互联网接轨，让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识，感受网络所带来的这些丰富的信息资源，提供更广阔的学习环境。与此同时，网上的“黑客”也很可能趁机攻入学校内网，破坏校内服务器上的数据，使校园网的安全受到威胁。并且，学校对学生的网上教育和上网管理也面临着新的挑战。

1、校园网所面临的问题

1.1 内部资料库安全问题

校园网与普通企业网不同，因为一般企业网主要是“防外”，防止互联网上的黑客对内部网络的攻击，对互联网上、或者是校园网内部服务器进行攻击，主要对学校内部的某些可能存放着重要资料的服务器，诸如，存放主要给教师使用的试题库，对于学生就有着极大的诱惑力，在好奇心或者是为了满足某些单纯的心理需要，而不顾后果的对校园内部服务器进行的攻击，使学校的内部资料遭受到不必要的损失。

1.2 对学生上网的管理

学生上网的管理主要从三个方面进行管理：

(1)学生所浏览网站的限制。

(2)学生上网费用统计的问题。

(3)学生上网对热门网点的统计，及时了解学生的网上动向，有利于更一步引导学生过好网上生活。

如何才能从内、外网两方面共同建设安全、可信赖、有效的新网络呢？根据校园网全安的相关知识，网络内部的安全措施应包括：在终端设备上全面安装防病毒软件，在网络接入交换机上进行客户端的安全认证，汇聚设备上使用ACL软件防火墙技术，建立内部网络规章制度，保障内部网络的所有设备的安全可信赖。另外，在接入外部网络的入口处使用硬件防火墙设备作为防止外部网络非法的、未授权的访问，对流经的每一个数据流进行检晒，以保护整个校园网的安全。

2、安装杀毒软件

校园信息化建设极大地方便了学校的教学工作，同时也为计算机病毒的蔓延打开了方便之门。各种病毒无时无刻不在威胁着网络的安全，对于计算机网络病毒防治，只有把技术手段和管理机制紧密结合，切断病毒的传播途径，尽可能地降低感染病毒的风险；其次不要随便使用含有病毒的程序；在使用前最好先进行查杀病毒；最后建立全方位、立体化防毒反黑网络，基本原则是防杀结合、以防为主、以杀为辅、软硬互补、标本兼治。

3、网络设备安全

先是从内部网络所有设备安全出发，对网络中接入设备进行安全设置，在接入交换机的端口上，对网络中所有接入的用户进行认证和安全管理。

校园网安全中主要存在以下三个问题，一个是由于学生宿舍上网人数较多，在学生宿舍中安装网络端口，需要上网的学生可以在学校网络管理中心申请帐户。另一个是由于后来由申请账户的数目很多，有的宿舍只开通一个账户后，在端口上接一个小型路由器或交换机，宿舍中的学生就可能通过路由器或交换机上网，由于网络管理中心无法确认最终用户，给网络带来了很多不安全因素。最后一个是要为所有的交换设备控制台端口配置密码，以保证非管理员进行登录设备，修改设备配置参数。

网络设备安全部分配置如下：

(1)配置接入交换机端口的安全和最大连接数限制。

Switch(config-if-range)#switchport port-security !开启1-23端口安全端口的功能

Switch(config-if-range)#switchport port-secruity maximum 1!开启1-23端口安全地址个数为1

Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全违例的处理方式为shutdown

(2)配置交换机控制台密码安全。

配置交换机登录密码

Switch(config)#enable secret level 1 0 abc

配置交换机的特权密码

Switch(config)#enable secret level 15 0 abc

(3)配置交换机端口的地址绑定。

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的绑定

4、网络区域安全

在校园网中，由于学生访问量较大，有的学生登录到教师办公网查看考试试卷，有的学生向学校FTP服务器上上传垃圾文件等现象。

由于教师网中的FTP服务器上存有大量的教师考试资料和教学资料，如果要禁止学生进行访问，但允许学生访问其他服务器（WWW服务器、E-mail服务器等）的话，要在网络中心交换机的接口上配置应用扩展ACL技术，如（表1）所示，在s1和s2 上分别进行相关的配置，即可满足需要。

表1 校园网部分地址规划

5、虚拟专用网VPN

目前我们所说的VPN安全技术主要是指隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术(Key Management)、使用者与设备身份认证技术（Authentication）。

根据校园网的实际情况，简要分析、校园网专用网VPN的情况。各自都有自已的专用网，要想使这两个不同区域的部门经常进行通信，又要保证部门数据的安全，学校采用隧道虚拟专用网VPN技术。

使用遂道技术建立了新、老两个校区的专用网，其网络地址分别为172.16.0.0和192.168.0.0。新、老校区通过公用的Internet网构成一个VPN。新、老校区都有一个路由器具有合法的公网IP地址，如(图2)所示路由器R1和R2。各自路由器在和新、老校区内部网络的接口地址是新、老校区的本地地址。

6、全网络的安全

在校园网互联互通的基础上，当校园网连接到Internet上时，除了利用ACL“软”手段防范来自内部网络攻击外，还需要在网络上的关键部位，部置硬件防火墙来防范来自外部网络的攻击。

在校园网安全设备中防火墙是相对最有效的网络安全设备，它是一种综合性的技术，它涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、安全规范及操作系统等多方面内容。

参考文献

[1]韩争胜.IPv6关键技术及其网络安全研究[D].西北工业大学,2005.

[2]钟林.基于Linux平台的IPv4/IPv6校园网研究与设计[D].南京理工大学,2006.

校园网络安全例2

国际标准化组织（ISO）将网络安全［2］定义为：为数据处理系统建立相应的安全保护措施，保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露，从而保证了网络服务不中断，使得系统可靠安全地运行．上述网络安全的定义包含两方面内容：物理安全和逻辑安全．其中物理安全是指在构建网络系统的时候，保证物理线路能够防雷、放火、防水、防盗等，能够保证物理线路连续的进行数据传输．而逻辑安全通常指的是传输在网络上数据的信息安全，即对网络上传输信息的保密性、可用性和完整性的保护．另一方面，网络安全性的涵义也可以理解成是信息安全的一种引申，即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护．概括的说，可以将网络安全定义为：为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施，从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性．

1．2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征．保密性：信息未经授权不泄露给任何用户，而且信息的特性也具有保密性，其它非授权用户、实体或过程无法利用其特征．可用性：用户经过授权后可按需使用，即授权用户当需要该信息时能否正常存取．网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等．可控性：对网络中传播的信息及其内容具有控制能力．可审查性：当网络中出现安全问题时可提供相应的依据与手段，便于追踪攻击源．完整性：用户未经授权不能随意改变数据的特性，即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性，保证了信息的完整性．

2校园网建设概述及其安全威胁

随着互联网的快速普及，校园网建设已经成为学校的基础建设之一，教育信息化、数字化已经成为教育发展的主方向，校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一，并发挥着越来越重要的作用［3］．另一方面，随着国家科教兴国战略的实施，政府加强了对学校的投资，由此也加强了学校对校园网的建设．中国教育和科研计算机网（CER－NET）的成立，标志着教育网的形成．CERNET主干网络传输速率已达到2．5Gpbs，总容量达40Gpbs，它吸引超过1000所高校的鼎力加盟，覆盖全国超过200个城市．目前，大部分学校都已建成校园网，实现了校园网的整体覆盖，包括办公楼、教学楼、宿舍楼等．校园网同时与Internet对接，实现了校园办公教学的信息化、自动化．如图1所示，为一个简单的校园网组网模型．随着CERNET的建设不断提高，校园网已经成为互联网的重要组成部分之一，是学校信息化、数字化建设的基础设施，同时担任着科研与教学的重要任务．然而，目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足，这些都极大阻碍了校园网的发展．因此合理地对校园网络升级，是目前学校校园网工程的首要目标之一［4］．同时，校园网作为学校数字化、信息化的基础设施，安全问题不容忽视．在互联网开放程度很高的今天，校园网往往最容易成为黑客攻击的目标．威胁校园网安全的因素有很多，但主要的安全威胁有以下几类．

2．1TCP／IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP／IP协议了，这几乎是所有校园网采用的网络传输协议．TCP／IP协议在设计之初，就没有考虑安全问题，它只考虑如何把信息互相传输，因此存在很大的安全威胁．虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全，但是由于TCP／IP协议的开放性和通用性几乎占用了整个市场，使得OSI七层协议无法推广．所以，目前网络黑客针对TCP／IP漏洞攻击有很多，例如：数据窃听、源地址欺骗、ARP欺骗等等．

（1）数据窃听（PacketSniff）．TCP／IP协议从设计之初，就采取的是数据包明码传输，这种传输模式使得数据包很容易被窃听、修改和伪造．黑客可以利用一系列工具获取网络中正在传输的数据包，窃取用户有利用价值的信息，如用户账户和密码等信息．同时，黑客也能修改和伪造数据包，让用户误入钓鱼网站或者窃取网上银行信息，给用户造成直接经济损失．特别是在校园网中，数据包流通比较集中，一旦获取了校园网服务器或管理员账号信息，将会给校园网络造成重大损失．

（2）源地址欺骗（SourceAddressSpoofing）．在网络安全中，一个比较重要的安全问题就是源地址欺骗．这里的源地址，能够是IP地址，也能是MAC地址．但是MAC地址随着路由转发，信息会发生变化，而且在实际的网络系统中，也有一定的限制，改造欺骗难度比较大，所以一般的源地址欺骗是指IP地址伪造欺骗．攻击者通常伪造被攻击的主机IP地址，骗取防火墙信任，从而对校园网内部发起攻击．

（3）源路由选择欺骗（SourceRoutingSpoo－fing）．在一个完整的IP数据包中，通常只包含源地址和目的地址，即路由器可以知道数据包从哪个主机发送出来，将要到达哪个主机．源路由是指数据包将会列出所要经过的路由，路由器将会根据这些指定的路由将数据包送达相应的主机，然后根据其反向路由进行应答，从而实现主机之间的通信．而源路由选择欺骗，则是攻击者通过伪造主机源路由，让数据包经过该主机必经路由，使受攻击主机出现错误判断，将某些被保护的数据提供给了攻击者．另一方面，由于路由器一般对接收到的路由信息是不经过检验的，这样就给攻击者提供便利，攻击者可以发送虚假数据包，改变某些重要数据包的传递路径，使得数据在传递到正常主机前，即可抓取分析，从而也达到攻击的目的．

（4）鉴别攻击（AuthenticationAttacks）．由于TCP／IP协议还无法证明网络身份的真实有效性，因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息，从而达到攻击目的．

（5）ARP欺骗（AddressResolutionProtocolSpoofing）．ARP即地址解析协议，作用是将网络中的IP地址转换成MAC物理地址的协议．因为在局域网中，尤其是在校园网中，使用最多的往往是MAC地址进行传输，而不是IP地址进行传输，所以ARP协议能够很快的让局域网中的两台主机进行通信．而黑客只需在局域网中进行网络监听，获取到一台主机A的节点信息（IP地址和MAC地址），就能伪造A的数据包，与B进行通信，获取有用信息．另一方面，黑客可以伪造一个不存在的MAC地址在局域网内传播，形成广播风暴，这样会造成网络不通，给局域网造成致命打击．

（6）DoS攻击（DenialofService）．DoS攻击，即拒绝服务攻击，攻击者的目的是让目标主机或网络无法提供正常服务．因为TCP协议采用三次握手建立一次连接，而任何一次握手失败，则会重新发送．攻击者正是利用这一个协议漏洞，采取不断建立连接，然后丢弃该连接数据包，使得服务器处于等待状态，如果攻击者一直持续连接和丢弃的过程，则服务器和网络所有的资源会被完全消耗，导致计算机或网络无法正常工作，从而达到攻击目的．

（7）DDoS攻击（DistributedDenialofServ－ice）．DDoS攻击，即分布式拒绝服务攻击，它是指攻击者借助一系列工具或手段，联合多个计算机组成攻击平台，对一个或数个目标发动DoS攻击．最基本的DoS是利用合法的服务请求，占用攻击目标主机大量服务资源，使得正常用户无法访问．然而DoS服务需要占用大量带宽，单个计算机攻击肯定无法达到攻击者想要的目标．因此网络黑客会抓取网络“肉鸡”，集合大量网络带宽，组成庞大的攻击平台，可以在瞬间让被攻击目标处于瘫痪状态．

（8）TCP序列号欺骗和攻击（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以伪造TCP序列号，形成一个TCP封包，对网络中可信节点进行攻击．而且最重要的是，黑客可能利用伪造的TCP封包发动SYN攻击，让服务器无法完成三次握手，造成服务器开放大量等待端口，影响正常网络访问，严重时，可直接造成服务器死机，如果该服务器是WEB服务器或者DNS服务器，那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络．

（9）ICMP攻击（InternetControlMessageProtocolAttacks）．ICMP协议是Internet控制报文协议，它属于TCP／IP协议下的一个子协议，用于在IP主机和路由器之间传递控制消息．其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息，它对数据传输有很重要的作用．而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定，发动“PingofDeath”攻击，当主机ICMP数据包尺寸超过64KB时，主机会发生内存分配错误，导致TCP／IP堆栈崩溃，使得目标主机死机．虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞，但是向目标主机发动持续、大规模的ICMP攻击，会消耗主机CPU、内存等资源，严重时也会导致目标主机瘫痪，无法提供正常服务．

2．2漏洞威胁

软件和操作系统是由程序员编写的，而在开发的过程中，多多少少会存在各种各样的漏洞问题，这些漏洞如果不能及时修复，将会对主机造成重大安全威胁．一旦该主机被攻破，同时也会给该主机处在的局域网中的其它机器造成威胁，情况严重时，甚至会造成整个网络瘫痪．近几年来，无论是Windows操作系统，还是Linux操作系统，的补丁数目一直持续增加．特别是Windows操作系统，在校园网内拥有的用户众多，如果没能及时修复各种漏洞，势必会影响整个校园网安全．

2．3病毒、木马威胁

近些年来，随着互联网的普及，网络上各种各样的开源软件繁多，有些开源软件打着免费的旗号，暗留后门或者对操作系统植入木马，稍不注意，就会对整个系统造成重大影响．同时，网络上黑客也会主动攻击，种植木马，抓取网络肉鸡，作为自己攻击的跳板，对互联网上其它的计算机造成严重威胁．

2．4初级黑客攻击

校园网因为自身局限性，其网络管理水平无法与企业相比，因此很容易受到网络上初级黑客的攻击，作为他们试手的目标．另外一方面，互联网出现的一系列黑客教程、黑客工具，这些教程和工具可以自由查阅和下载，加上很多黑客工具属于使用简单，这让许多初级黑客也能在一段时间内对网络造成严重的攻击．且根据心理学研究分析，很多普通攻击者往往有炫耀心理，即把校园网作为自己攻击的目标，以获取所谓的成功感，这让校园网增加更多的威胁．

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题．

3．1人为因素导致的网络安全问题

3．1．1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中，同时，校园网内服务器数量也是别的局域网不能比拟的．用户量加上数目可观、功能强大的服务器，这些条件也吸引着互联网上众多黑客的攻击，因此存在着很大的安全隐患．

3．1．2校园网用户安全意识低

根据调查研究发现，校园网的用户大部分都安全意识不强，用户计算机整体水平偏低，有一部分校园网用户基本上不安装杀毒软件，也没能及时给系统打补丁，系统处于“裸奔”状态．这对于当今如此开放的互联网，将直接为黑客提供攻击目标．而且校园网用户极少学习相应的安全防范知识，在下载和使用软件时，基本上不考虑其风险性，这些都将会给黑客制造攻击机会，影响整个校园网安全［5］．

3．1．3信息泄密

信息泄密是指将信息透漏给非授权用户，它在一定程度上破坏了计算机系统的保密性．目前，常见的信息泄密有：操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序．

3．1．4拒绝服务攻击（DoS）

攻击者使用一切办法让被攻击计算机停止提供服务，让合法的信息或资源访问被拒绝或者严重推迟．常见的DoS攻击有：SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等．

3．1．5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性，使得信息乱码．

3．1．6网络滥用

由于授权的用户因操作或行为不当，导致网络滥用，从而导致网络安全威胁，例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等．

3．2非人为因素导致的网络安全问题

网络安全除去人为因素外，很大一部分安全威胁来自安全工具和操作系统自身的局限性．其具体特征为：每一种安全工具（如：杀毒软件）都有其自身的应用范围和环境，同时安全工具受到人为因素、系统漏洞、程序BUG的影响，这些因素反而给攻击者带来了一定的便利．对于操作系统而言，没有绝对安全的操作系统，无论是微软的Windows系列操作系统，还是开源的Linux操作系统，都有存在后门或漏洞的可能．世界上没有绝对安全的操作系统，因此在搭建校园网时，要选择安全性尽可能高的操作系统，而且要随时提供校园网用户漏洞补丁下载，以及杀毒软件，保证用户系统安全性始终最高．由上所述，我们可以说网络安全问题绝大部分是由人为因素引起的．现在，国家也制定了相应的法律来保护网络安全，打击相应的网络犯罪活动．但是校园网作为一个庞大的用户群，如何防范这些网络犯罪活动显得尤为重要．我们不能等着整个网络被攻击导致瘫痪后再想着去防范，而是要在攻击之前做好准备工作，让校园网在安全中运行．

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行．

4．1应重视校园网网络的安全搭建

在校园网工程的建设中，网络系统的搭建是属于弱电工程，它的耐压值比较低．由此，在校园网工程的设计和建设中，一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题；考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离；考虑网络中物理电路的接地安全；考虑建设合理的防雷系统，保证建筑物、计算机以及其它物理设备的防雷［6］．

4．2应加强校园网网络的安全维护技术

从技术层面来说，网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成，单独的一个组件是无法保证当前网络信息安全的．最早的网络安全技术是采用边界阈值控制法，即通过对网络边界的数据包进行监测，符合规定的数据包可通过，不符合规定的数据包就抛弃，这种方式在一定程度上能阻止对网络的入侵和攻击，但是不能有效防止网络攻击．目前，应用比较广泛的网络安全基本技术有：防火墙技术、防病毒技术、数据加密技术等．防火墙［7］指的是一个由硬件和软件混合组成的设备，用于将内部网络和外部网络隔离起来，建立一层安全保护屏障，它是一种隔离控制技术．常见的防火墙有包过滤技术、技术、状态监测技术等．相对于防火墙来说，防病毒技术将是从计算机网络内部进行防控，主要预防病毒程序、后门程序、网络监听等．目前采取比较多的防病毒手段是对系统进行监听，阻止不合规定进程．而且防病毒技术永远是滞后性的，即防病毒工具一直在病毒出现后才能组织．现在的防病毒技术和云平台技术结合，已经对病毒起到了一定的控制作用．相对前面两种技术来说，数据加密技术就比较灵活了．可以将用户的信息经过加密后，再在网络上传输，及时数据被黑客截获，没有有效的密钥，数据对黑客来说也只是一堆无效数据而已．在开放的互联网平台，数据加密能够有效的保证了用户的隐私以及数据的安全［8］．

4．3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的．因此在校园网搭建过程中，关于对计算机系统管理员的培训及管理，是校园网网络安全中最重要的一部分．一个不合理的操作，很有可能让整个网络系统瘫痪，因此必须建立健全管理规范，明确管理员责任和权利．同时，要记录管理员操作信息，当发现不合规定的记录时，可以及时分析，如果发现黑客入侵，则及时采取必要措施杜绝黑客进一步入侵，必要时需向当地公安机关报案，减少学校损失．另外一方面，建立健全的管理制度以及严格的管理模式，可以保证校园网的正常、安全运行．总而言之，网络安全涉及的领域很多，是一个综合性的问题．只有合理的运用相关技术以及人员培训，才能尽最大可能的把安全威胁降到最低．

校园网络安全例3

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机和各种终端设备有机地集成在一起，用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护，不因偶然和恶意等因素而遭到破坏、更改、泄密，保障校园网的正常运行。随着“校校通”工程的深入实施，学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患，建立一套切实可行的校园网络防范措施，已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

（一）网络安全设施配备不够

学校在建立自己的内网时，由于意识薄弱与经费投入不足等方面的原因，比如将原有的单机互联，使用原有的网络设施；校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断；机房设计不合理，温度、湿度不适应以及无抗静电、抗磁干扰等设施；网络安全方面的投入严重不足，没有系统的网络安全设施配备等等；以上情况都使得校园网络基本处在一个开放的状态，没有有效的安全预警手段和防范措施。

（二）学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少，安全意识淡薄，U盘、移动硬盘、手机等存贮介质随意使用；学校网络管理人员缺乏必要的专业知识，不能安全地配置和管理网络；学校机房的登记管理制度不健全，允许不应进入的人进入机房；学校师生上网身份无法唯一识别，不能有效的规范和约束师生的非法访问行为；缺乏统一的网络出口、网络管理软件和网络监控、日志系统，使学校的网络管理混乱；缺乏校园师生上网的有效监控和日志；计算机安装还原卡或使用还原软件，关机后启动即恢复到初始状态，这些导致校园网形成很大的安全漏洞。

（三）学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品，加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作，在网络上运行时，这些网络系统和接口都相应增加网络的不安全因素。

（四）计算机病毒、网络病毒泛滥，造成网络性能急剧下降，重要数据丢失

网络病毒是指病毒突破网络的安全性，传播到网络服务器，进而在整个网络上感染，危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况，遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用，使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序，它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的，一旦学校网络中的一台电脑感染上病毒，就很可能在短短几分钟中内使病毒蔓延到整个校园网络，只要网络中有几台电脑中毒，就会堵塞出口，导致网络的“拒绝服务”，严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论，列出了下个世纪的国际恐怖活动将采用五种新式武器和手段，计算机病毒名列第二，这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出，网络病毒的防范任务越来越严峻。

综上所述，学校校园网络的安全形势非常严峻，在这种情况下，学校如何能够保证网络的安全运行，同时又能提供丰富的网络资源，保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题，文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

（一）服务器

学校在建校园网络之时配置一台服务器，它是校园网和互联网之间的中介，在服务器上执行服务的软件应用程序，对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器，服务器会检查用户的访问请求是否符合规定，才会到被用户访问的站点取回所需信息再转发给用户。这样，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息，整个校园网络只有服务器是可见的，从而大大增强了校园网络的安全性。

（二）防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品，是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合，通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理，在网络间建立一个安全网关，对网络数据进行过滤（允许/拒绝），控制数据包的进出，封堵某些禁止行为，提供网络使用状况（网络数据的实时/事后分析及处理，网络数据流动情况的监控分析，通过日志分析，获取时间、地址、协议和流量，网络是否受到监视和攻击），对网络攻击行为进行检测和告警等等，最大限度地防止恶意或非法访问存取，有效的阻止破坏者对计算机系统的破坏，可以最大限度地保证校园网应用服务系统的安全工作。

（三）防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，定期对各工作站进行维护，对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作，学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段，在服务器和各办公室、工作站上安装瑞星杀毒软件网络版，对病毒进行定时的扫描检测及漏洞修复，定时升级文件并查毒杀毒，使整个校园网络有防病毒能力。

（四）口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证，加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护，赋予用户一定的访问存取权限、口令字等安全保密措施，用户只能在其权限内进行操作，合理设置网络共享文件，对各工作站的网络软件文件属性可采取隐含、只读等加密措施，建立严格的网络安全日志和审查系统，建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等，定时对其进行审查分析，及时发现和解决网络中发生的安全事故，有效地保护网络安全。

（五）VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中，将校园网络划分成几个子网。将用户限制在其所在的VLAN里，防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接，网络管理员借助VLAN技术管理整个网络，通过设置命令，对每个子网进行单独管理，根据特定需要隔离故障，阻止非法用户非法访问，防止网络病毒、木马程序，从而在整个网络环境下，计算机能安全运行。

（六）系统备份和数据备份

虽然有各种防范手段，但仍会有突发事件给网络系统带来不可预知的灾难，对网络系统软件应该有专人管理，定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作，并建立网络资源表和网络设备档案，对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

（七）入侵检测系统（IntrusionDetectionSystem，IDS）

IDS是一种网络安全系统，是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能检测和发现入侵行为并报警，通知网络采取措施响应。即使被入侵攻击，IDS收集入侵攻击的相关信息，记录事件，自动阻断通信连接，重置路由器、防火墙，同时及时发现并提出解决方案，列出可参考的网络和系统中易被黑客利用的薄弱环节，增强系统的防范能力，避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，大大提高了网络的安全性。

（八）增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况，对师生进行网络安全防范意识教育，使他们具备基本的网络安全知识。制定相关的网络安全管理制度（网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等）。安排专人负责校园网络的安全保护管理工作，对学校专业技术人员定期进行安全教育和培训，提高工作人员的网络安全的警惕性和自觉性，并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程，长期以来，从病毒、黑客与防范措施的发展来看，总是“道高一尺，魔高一丈”，没有绝对安全的网络系统，只有通过综合运用多项措施，加强管理，建立一套真正适合校园网络的安全体系，提高校园网络的安全防范能力。

参考文献：

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

校园网络安全例4

（Baotou Vocational & Technical College，Baotou 014035，China）

摘要：本文从计算机网络面临的各种安全威胁，针对校园网络的安全问题进行研究，从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略，确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。

Abstract： From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.

关键词：网络安全；安全防范；校园网

Key words： network security；safety；campus network

中图分类号：TP393.1 文献标识码：A

文章编号：1006-4311（2015）02-0199-02

0 引言

随着网络信息技术的高速发展，网络安全问题日渐突出，近年，网络病毒、黑客攻击等屡见不鲜，国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁，因此应该在知道的网络功防基础上构建校园网络安全体系，首先要从两方面着手：一是采用一定的技术；二是不断改进管理方法。

1 校园网络存在的安全隐患

目前，校园网络主要存在的安全隐患和漏洞有：

①校园网通过CERNET与Internet相连，在享受Internet带来的方便快捷的同时，也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险，当前，黑客攻击工具在网上很普遍，并不需要很复杂的知识的普通人就能操作，因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解，所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患，校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等，而这些系统的风险级别不同，例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及，接入校园网的节点也逐渐增多，然而大部分节点都没有构建一定的防护措施，因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。

由此可见，采取必要的信息安全防护措施，构建有效的校园网络安全体系尤为重要。

2 构建校园网主动防御系统

现阶段，威胁校园网的安全有来自校内的，也有来自校外的。在进行校园网络安全系统设计的时候，首先就是要了解学校的需要和目标，然后再制定相应的安全措施，但是与此同时需要重点注意的就是，网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的，在设计完成安全防御体系后，就需要不断地适应并随着安全环境的变化而变化，这样就可以确保安全防御系统的良好发展，并保证它的有效性和先进性。

2.1 P2DR模型美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型，也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下，运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的，并且是动态的安全循环系统，同时在安全策略的指导下能够保证信息系统的安全，这也就成为衡量一个网络系统是否是安全的标准，从而对它的安全性能进行评定。

2.2 校园网络安全防范体系在对网络是否是安全的进行判断后，就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术：

①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据，如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用软件配置服务器使用二级防火墙，在学生机房配置访问控制列表，并利用软件配置服务器，在服务器上安装双网卡，设置连接外网的网卡使用公网IP地址，连接内网的网卡使用私有地址，设置学生客户机IP地址与服务器内网IP地址在同一网段，网关IP设置为服务器内网IP地址。机房服务器通过服务器连接到互联网，从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中，凡是有可能感染和传播病毒的地方都要安装应用，安装相应的防杀毒软件，可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则，也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标，以及安全风险评估分析，不同安全评估标准中保护对象的安全等级方面的内容。

2.3 完善安全制度与管理体系安全防范体系的核心即是安全管理，它贯穿于整个安全防范体系，在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题，也是日常相应的规章制度管理的问题，不然对于网络系统的安全来说也只是纸上谈兵。

在建立了学校网络安全防御体系后，学校的网络控制中心主要负责网络设备的正常运行和日常的管理，信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查，每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包，管理员也需及时打补丁和进行升级，不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。

3 结论

在信息技术飞速发展的今天，校园网已然成为了学校信息系统的核心，网络的不安全就使得整个校园信息系统变得不安全，甚至会造成对教学秩序的紊乱，所以必须建立一套有效且可实施的网络安全防御系统，来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手，对网络攻击的防范进行了设计并将其实现，并且提出了以安全策略为核心，防护、检测和响应为手段，加以技术防范的一种校园网安全防御系统理念，来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的，一是因为网络攻击技术都是在不断向前发展的，二是因为笔者的设计水平局限性，并且网络安全本身是一个十分复杂的技术问题，解决的手段也是多样的，所以还存在很多有待深入研究的问题。

参考文献：

[1]王宇，卢昱.计算机网络安全与控制技术[M].北京：科学出版社，2005，6：19-20.

[2]宋劲松.网络入侵检测：分析、发现和报告攻击[M].国防工业出版社，2004，9：26-28.

校园网络安全例5

一、校园网络安全现状分析

（一）网络安全设施配备不够

（二）学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

（三）学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

（四）计算机病毒、网络病毒泛滥，造成网络性能急剧下降，重要数据丢失

二、校园网络的主要防范措施

（一）服务器

（四）口令加密和访问控制

（五）VLAN(虚拟局域网)技术

术管理整个网络，通过设置命令，对每个子网进行单独管理，根据特定需要隔离故障，阻止非法用户非法访问，防止网络病毒、木马程序，从而在整个网络环境下，计算机能安全运行。

（六）系统备份和数据备份

（七）入侵检测系统（IntrusionDetectionSystem，IDS）

（八）增强网络安全意识、健全学校统一规范管理制度

三、结论

参考文献：

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

校园网络安全例6

国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。

1.校园网目前存在的安全问题

1.1系统自身的安全隐患

任何系统都都可能存在缺陷，操作系统和网络软件也是有漏洞的，中职院校校园网中服务器操作系统基本上使用的是Windows 2003 Server。数据库服务器软件基本上使用的是Sql Server。客户端使用的是Windows XP，这些都是微软提供的软件，它们的漏洞几乎每隔几天都有新的被发现，如果我们的使用者不及时下载更新补丁，入侵者就可以根据扫描的结果进行攻击。

1.2计算机病毒的威胁

当今社会，计算机病毒和黑客攻击的威胁时刻影响着互联网，病毒制造者不断制造更隐蔽、破坏性更强的病毒。当校园网接入Internet后，受病毒感染的机会成倍增加。当校园网中任意一台机器感染上病毒，如果措施不当，极有可能会造成严重后果，轻则系统被破坏，重则大量资料被毁，甚至造成硬件的损坏。还有可能会在局域网内扩散，破坏网络资源，使整个网络的效率和作用急剧下降，直至造成校园网络系统的瘫痪。

1.3校园网安全管理有缺陷。

随着校园内计算机应用的大范围普及，接入校园网的计算机日益增多，如果管理措施不力，随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。

2.造成这些现状的原因

2.1网络安全维护的投入不足。

网络安全维护的工作量是很大的，并且很困难，需要一定的人力、物力，然而大多数学校在校园网上的设备投入和人员投入很不充足，有限的经费也往往主要用在网络设备购置上，对于网络安全建设，普遍没有比较系统的投入。

2.2盗版资源泛滥。

由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。系统自动更新引起的电脑黑屏事件，就是因为Microsoft公司对盗版的XP、Win 7操作系统的更新作了限制。另一方面，从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。

2.3网络管理员责任心不强。

很多学校的网络管理员的都具有一定的专业水平，基本可以胜任本职工作，但是可能由于学校领导对网络安全不是很重视，或者因为个人某些方面的原因，造成工作热情不高、责任心不强，所以也就不会花很多的心思去维护网络、维护硬件。

3.对策措施

为了提高校园网络的安全性，提出以下几点安全策略：

3.1安装系统补丁

现在校园网使用的操作系统基本上采用的是微软的产品，很多网络病毒都是利用微软的系统漏洞入侵个人电脑，进而在网络里进行传播。如果不及时更新系统补丁，病毒就可以利用这些漏洞进行入侵。但在目前，由于学校电脑大部分是处于公用状态，用户使用的时候不会太在意漏洞的修补，从而给了病毒和木马以可乘之机。建议学校网管人员安装补丁服务软件，如我校在校园网络中心部署的Windows Software Auto Update Services服务器，可以让用户直接从学校服务器上下载补丁进行安装，而不必从微软网站上更新，从而可以更快速、更安全的进行系统更新。

3.2安装全网杀毒软件

现在病毒传播速度很快，如果只装单机版的杀毒件，杀毒就比较棘手，需要一台一台的查杀。为了防止病毒在局域网内的感染，最好的办法是在校园网内安装网络杀毒软件，在学校网络中心配置网络版杀毒软件系统中心，负责管理校园网内所有主机节点的计算机。在各计算机节点分别安装杀毒软件的客户端。由管理员控制台负责对网络中所有客户端进行定时杀毒，及时升级杀毒软件的病毒库。并能定期的将杀毒软件的升级文件分发到各个客户端去，这样就能极大的减小病毒在网络内的传染。

3.3数据备份和恢复。

对于计算机而言，最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区，避免因重装系统造成数据丢失。重要的数据要及时备份，备份前要进行病毒查杀，数据备份可采取异地备份、光盘备份等多种方式。

3.4制定切实可行的网络安全管理制度。

为了确保整个网络的安全有效运行，有必要对网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理。主要包括以下几方面的内容：

（1）建立一个权威的信息安全管理机构，制定统管全局的网络信息安全规定；

（2）制定网络管理员的激励制度，促使他们提高工作热情，加强工作责任心；

（3）对网络管理员进行专业知识和技能的培训，培养一支具有安全管理意识的网管队伍，使他们从技术上提高应对各种攻击破坏的能力；

（4）把网络信息安全的基本知识纳入学校各专业教育之中；

校园网络安全例7

关键词：校园网络、防火墙、网络安全策略

一、引言

今天计算机技术已经无孔不入地渗透到社会的每一个角落，而国内校园网建设的蓬勃发展也在告诉我们这样一个事实：未来教育将从传统“课堂”教育向网上教育发展，校园网络的建设正是这一重大转变的开端，教育也要“上网”。校园网络是互联网络的有机组成部分，同时又是为师生员工的教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台。这些极大地促进了教育事业的发展，但是随之而来的却是信息安全问题。

二、校园网络的问题分析

影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使用。校园网络用户众多，学生群体使用网络活跃、用户使用网络的技术水平、安全意识相差大，这给安全管理与安全策略的集中部署带来了一定的难度。由于校园网络开放的特征，校园网的用户往往要直接面对来自校园网内外攻击的威胁，而日益增长的网络安全事件已成为制约校园网可用性的主要因素。

1.计算机的系统漏统普遍存在。目前校园中的服务器常用的操作系统有windows server系列、Unix系列、Linux系列等，这些操作系统多多少少都会存在一些不同程度的安全漏洞，这些漏洞会使操作系统完全曝露给入侵者，给校园网安全构成威胁。因此少了一个安全的操作系统的支持，校园网络安全也将无从谈起。

2.计算机病毒的破坏。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。其中网络病毒威胁就很大。在现有的各计算机系统中都存在着一定的缺陷，尤其是网络系统软件方面存在着漏洞，因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击，病毒通过突破网络的安全防御，从而引发网络系统的瘫痪，造成损失。

3.来自网络外部的入侵、攻击等恶意破坏行为。由于网络的开放性及技术的公开性，一些人出于使自己获得某种非法利益等目的，利用网络协议、服务器和操作系统的安全漏洞以及管理上的疏漏，非法访问资源、删改数据、破坏系统、盗取信息等。这也就是我们常说的遭到黑客的攻击。

4.另外还有很多原因，比如来自U盘的病毒木马、用户的不良操作、维护的不及时、文件传送保密，电子邮件的保密等等也是一些严重的问题。

三、校园网络安全的防范

校园网的安全问题是一个较为复杂的系统工程，要从用户、管理、技术三方面的因素来考虑。

1.访问控制

访问控制是网络安全防范和保护的主要策略，虽然各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，有效的将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。

在防火墙的设置上我们要按照这样的原则来配置，以达到提高网络安全性的目的：

（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

（2）将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。

（3）在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址盗用。

（4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

2.身份认证技术

在对用户的身份进行验证之后，才允许用户进入用户端，然后用户端和服务器端再进行相互验证，并根据其应用范围，分配相应的权限，以防某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成管理混乱。

3.其他方面

要维护好校园网络安全除了上述几个主要层面还有其他很多反面，例如必要的信息过滤技术、安装统一的防病毒软件、定期的进行网络维护与备份、制定切实可行的网络安全管理制度等等。

四、结束语

在网络安全日益影响到校园网运行的情况下，要完善校园网管理制度，对相关的校园网管理人员进行培训，对学生进行网络道德的教育，提高公德意识，安装最新的防病毒软件和病毒防火墙，不断安装软件补丁更新系统漏洞，对重要文件要进行备份，从多个方面进行防范，尽一切可能去制止、减小一切非法的访问和操作，把校园网不安全因素降到最少。网络安全工作是一个循序渐进、不断完善的过程。（作者单位：陕西国际商贸学院）

参考文献：

校园网络安全例8

1.校园网是直接通过主路由器与Internet相连，在享受Internet方便快捷的资源共享与数据共享的同时，也带来了一些安全性的隐患，随时遭遇着外来攻击的风险。

2.校园网内部建设结构存在着一些技术上的安全隐患，校园内部使用者对于网络的结构和基本模式都比较了解，所以对于内部的安全性存在的威胁更大，校园网用户大多以学生为主，其对于网络的理解和正确使用存在一定的误区，而对于个别学生的好奇心与心理特点利用一些黑客工具进行网络攻击，使得网络瘫痪而无法正常运转。

3.对于当前所使用的操作系统本身存在安全漏洞，也是造成网络安全的一大隐患。对于我校服务器安装的操作系统以Windows2003为主，由于Windows2003其操作的普遍性和本身缺点使得在使用过程中维护和管理出现一定的安全问题，例如本身操作系统系统的漏洞、浏览器访问出现的漏洞、IIS服务的漏洞、邮件服务器出现的漏洞、访问端口出现的漏洞等都对网络安全构成威胁。

4.随着校园网中计算机的数量增大以及应用范围的扩大，接入校园网的节点日益增多，而这些节点大部分是新的，没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络受攻击、系统瘫痪等严重后果。

二、在网络维护与管理中投入严重不足

没有理论性的系统投入和其网络安全设备硬件投资对于学校网络建设面临同一个问题就是经费严重不足，经费主要利用在购买有限的硬件设备而没有投入在维护与管理的设备上，对于维护网络安全必须拥有一套完整的硬件设备和系统维护方法。校园网基本处于一种开放状态下，没有任何有效的安全预警手段和防范措施。

三、学校的上网管理方式不到位

校园网中几乎多数终端机是直接连接到控制端与外网相连来提供给学生和教职员工上网、学习。由于缺乏统一的管理软件和监控设施以及日志系统，使得管理基本处在瘫痪状态。为了方便学生上网几乎网络处于开放状态，由于机房的计算机管理不到位或方便管理，基本上安装了还原卡或使用还原软件，使得计算机重启恢复到初始状态，这在安全管理中存在严重漏洞，无法按照安全部门要求保留至少三个月以上的上机和上网日志。

四、网络病毒泛滥

造成网络安全性能急剧下降，很多重要数据丢失，造成严重损失网络在提供给大家方便快捷资源共享的同时也是病毒传播主要途径。随着网络快速发展、网络病毒也同水平的速度快速发展，网络病毒造成的危害也急剧上升，使得网络资源造成严重的危害。从近期的“熊猫烧香”、“灰鸽子”、“ARP病毒”等网络病毒的爆发中可以看出，网络病毒的传播越来越厉害。对于病毒防范的措施，不仅仅体现在个人角色，而要建立一整套的防范措施，制止病毒的传播与破坏。

五、网络操作者使用安全意识淡薄

没有制定完善的网络安全管理制度校园网络上出现屡次数据丢失或攻击现象都未采取相应管理措施，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因。综上所述，校园网络安全的形势非常严峻，能够彻底解决以上安全问题，根据我校校园网络的结构特点以及面临的安全问题，我们提出了以下校园网络安全解决办法并进行实施。校园网络安全解决方案：

（一）构建服务器部署。由于资金的限制，我校校园网在某一工作站构建一台服务器，与外网直接连接，而主服务器则需要通过服务器才能与外网连接。对服务器进行了以下必要的设置，如安装软防火墙、实时监控、限制服务、响应报警等。实际上，这样部署可以有效地保护校园网主服务器不被直接受到外网的攻击，既保护内网资源的安全，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。

（二）防病毒系统部署。为了防止毒的感染、传播和发作，对于病毒多发区进行安全管理，同时建立一套完整的病毒安全防范措施。实现了远程安装、集中管理、分布查杀等功能。主要是按照以下的步骤去实施的：

1.将学校主控中心的一台服务器上安装NOD32管理员版；

2.在学校各科室及网络教室等多个分支安装NOD32标准版；

3.安装完NOD32管理员版后，对内网中所有的客户端进行定期定时查杀毒设置，保证所有客户端即使在没有联网的也能够定期定时对本机进行查杀毒，并及时更新病毒库使整个校园网都具有最强的防病毒能力。

（三）增强网络安全意识。对于病毒是防不胜防的，只有主观上增强网络信息安全的意识，提高警惕性，操作合理，才能最大程度的减少损害。

（四）完善安全管理制度。为了进一步管理好校园网络，学校分管领导组织相关老师，根据我校实际情况，认真制定了相关的网络安全管理制度。这些制度有计算机教室管理制度、多媒体制作室管理制度、网络管理中心管理制度及各办公室网络行为制度等，并采取切实有效的措施保证了制度的实施。

（五）及时公布网络安全信息。学校专门安排网络管理中心的老师，对病毒、漏洞、补丁等等及时进行公布，使的用户在最短的时间内得到最新的信息。不仅方便了网络的使用者，而且也减轻了网络管理者的工作量。

（六）周期性网络维护。网络维护包括网络软件维护和网络硬件维护。学校专门通过某种途径对学校管理人员和维护人员进行培训，提高维护技能和管理技能，加强操作水平。另外，还要做好计算机系统、网络、应用软件及各种资料数据的备份。下一阶段将要进一步解决的问题：

1.用内容过滤器技术和防火墙技术。过滤器技术使得访问者按要求进行有效的网络访问，对于禁止和非法网站进行杜绝。防火墙技术包含了动态的封包过滤、应用服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。

校园网络安全例9

2校园网络安全总体设计思路

针对于校园网网络运行的基本需求，对于校园网络安全进行规划设计，并且在此基础上构建完善的校园安全体系结构，是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求，还要对于可能出现的安全问题进行预警，以保证设计体系的合理性和科学性。具体来讲，其主要设计到以下内容：其一，以独立的VLAN，MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理，可以保证数据传输的安全等级达到最佳水平；其二，以网络安全检测子系统的构建，并在校园网中WWW服务器和Email服务器进行应用，在此基础上对于网络传输内容进行监督和管理，并且形成相应的数据库，避免非法内容进入校园网；其三，针对于安全需求，设置相应的安全防火墙，以双机设备方式去运行，实现防火墙子系统的构建；其三，基于控制中西和探测引擎技术构建入侵检测子系统体系，对于入侵行为进行监督和管理，并且将其屏蔽在网络安全范围之外；其四，全面升级网络系统的防毒系统，实现对于客户端PC机器的安全控制，形成统一的防毒服务器；其五，建立有效的漏洞扫描系统，实现自动修复和检查漏洞，保证补丁工作的全面开展；其六，针对于校园内部的侵袭行为，可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高；其七，建立健全完善的校园网安全运行管理制度体系，为开展一切安全管理工作打下基础。

3整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容，一般情况下会将其归结为物理层，链路层，网络层，应用层等几个方面。

3.1物理层安全体系实现途径物理层的安全性能主要针对于线路的破坏，线路的窃听，物理通路的干扰等安全缺陷问题。对此，需要做好以下工作：其一，采用双网结构作为拓扑网络结构方式，内外网使用不同的服务器，实现不同信道的运行，使得信息处于不同的高度路上运转，不仅仅可以营造安全的运行状态，还可以使得系统运行压力降低；其二，以双网物理隔离的方式去实现内外网布线系统的构建，从根本上杜绝了黑客入侵的可能性，同时还合理设置，避免出现内外网同时使用的情况。

3.2链路层安全体系实现途径链路层安全体系构建是保证网络链路传送数据安全性为根本性目的，主要使用的技术手段有局域网和加密通讯手段。具体来讲，其一，在交换机配置端口安全选项中，尽量将CAM表进行淹没；其二，在中继端口实现VLANID的专业化设置，保证端口设置成为非中继模式；其三，进行MAC地址绑定设置，避免出现IP地址被盗用。

3.3网络层安全体系实现途径网络层安全体系构建，主要是保证网络时能给授予权限的客户使用，避免出现拦截或者监听的情况。为了实现这样的目标，应该从以下几个角度入手：其一，设置硬件防火墙，运行访问控制技术程序，一旦遇到安全问题，使得其处于隔离状态；其二，网络入侵检测系统IDS的使用，能够对于网络入侵行为进行监督，由此构建起来第二道安全闸门；其三，在路由交换设备上进行安全技术应用，如VPN技术，加密机制及时，审计和监控技术等，都是其重要内容。

3.4应用层安全体系的实现途径对于应用层来讲，其安全体系的构建需要做到以下几点：其一，建立网络病毒防火墙，避免内外病毒对于网络文件系统的破坏；其二，设置服务器，尽可能的保护自己的IP地址；其三，构建操作系统补丁自动分发系统，保证能够及时的进行安全漏洞的修复；其四，积极开展认证和授权管理工作，对于多重身份认证和用户角色授权进行审计，以保证系统的安全性。

校园网络安全例10

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01

Building Secure Campus Network

Gao Yu,Ju Hua

(Jilin Electro Mechanical Management School,Jilin132011,China)

Abstract:Along with the rapid development of modern educational technology,campus construction and the increased popularity of online teaching. However,there followed a series of security issues,directly affecting the normal operation of the campus network and the role of play.

Keywords:Campus network;Security;Building

随着我国现代教育技术的飞速发展,校园网建设和网络教学不断普及。但随之出现的一系列安全问题,直接影响到校园网的正常运转和作用的发挥。其实,网络安全是保证网络教学及其它网络应用的前提和基础,是网络使用者不得不面对的问题。近年来,多所大学的校园网频繁受到黑客攻击,引起大量的维护工作,浪费了大量的人力物力,严重影响了正常的教学秩序。为此防止校园网被入侵,建立完善的网络安全方案、保护核心资源已迫在眉睫。下面结合各学校普遍存在的现象,与大家共同探讨。

一、分析原因

影响网络安全的因素很多,归结起来,主要有六个方面:

 人为失误

 病毒感染

 来自网络外部的攻击

 来自网络内部的攻击

 系统的漏洞及“后门”

 隐私及机密资料的存储和传输

由于网络所带来的诸多不安全因素,网络管理者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞。

二、整体规划

在园区网安全方面,可以采用多种技术从不同角度来保证信息的安全。然而,单纯的防护技术可能会导致系统安全的盲目性,我们对其进行整体规划。

(一)构建加密技术

在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。

另外校园网与Internet无物理联系在安全上是最稳妥的。

(二)建立防火墙、防毒网关,集中控制、管理、查杀网络中服务器、终端病毒,保护园网不被病毒侵害。

防火墙能够控制网络进出的信息流向,提供园区网使用状况和流量的审计、隐藏内部IP地址及园区网网络结构的细节。防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到服务器上,以防止Internet病毒及Java程序对系统的破坏。

(三)在每个安全域内或多个安全域之间安装入侵检测系统,可有效地防止来自网络内处的攻击。

(四)利用漏洞扫描器,定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到网络的相对持续安全。可以通过各种漏洞扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。

(五)运用内容过滤器,屏蔽不良的网站,对网上色情、暴力和等有强大的堵截功能。

(六)垃圾邮件过滤系统和防病毒邮件网关。垃圾邮件主要分两大类,一类是病毒造成,另一类是广告行为。采用基于行为分析的垃圾邮件过滤系统,即通过识别垃圾邮件的行为进行过滤;我们在校园网邮件系统的信件都要经过防病毒网关的过滤,才能最终被送到用户邮箱中。

三、网内计算机的防护

在校园网内部,非法用户的登录和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、帐号转借和共享都会对网络安全造成极大的威胁,从校园区网内部访问控制层进行安全防护,可采取以下措施。

(一)用户口令认证:在密码的设置安全上,首先要杜绝不设口令的账号存在,尤其是超级用户账号。其次,密码口令的设置上要避免使用弱密码,即易被人猜出的字符作为密码。密码的长度也是设置者所要考虑的一个问题。密码越长越不易破解。另外,适当的交叉使用大小写字母及数字也是增加破解难度的好办法。

(二)共享权限的控制:在园网中人们经常利用给计算机中的某个目录设置共享进行资料的传输。但在设置过程中,要充分认识到当一个目录共享后,就不仅是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问,对共享的资料、文档进行查看、修改、删除,这也成了数据资料安全的一个隐患。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。

四、操作者、管理者

大部分学校的上网场所管理较混乱,由于缺乏统一的网络管理软件,上网用户的身份无法唯一识别,存在极大的安全隐患。身份认证系统是整个校园网络安全体系的基础,建立了基于校园网络的全校统一身份认证系统,彻底地解决了用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。

校园网络管理部门,配备专职的计算机系统管理员,负责校园网的建设、监督、管理、维护、信息等工作,保证校园网能够安全有效地工作,为教学服务。

五、管理制度

学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。利用免费的校园网资源免费下载视频或软件资源,占用了大量的网络带宽,影响了校园网的应用,导致网络资源的浪费。如果没有意识到后果的严重性,有些学生尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响的破坏。如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。

互联网络飞速发展,对全校师生的生活和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好地解决了网络安全问题,校园网络的应用才能健康、高速的发展。

校园网络安全例11

关键词：校园；网络；隐患；安全技术

校园网络的发展改善了教育技术和网络教育应用的环境，革新了现有的教学手段、教学方法和教学模式，推动了信息技术和现代远程教育的发展。校园网络的普及和广泛应用，提升了学校的信息化、数字化水平；如何保证校园网络安全、有效地运行，已成为目前许多学校面临的重要课题。

一、校园网络安全概述

1.校园网络安全的定义

校园网是指基于互联网应用的，提供以学习活动为核心的，兼顾教学与学校管理的网络媒体教学环境。校园网网络安全是指校园网信息系统和信息资源不受自然和人为有害因素的威胁和危害。广义的校园网网络安全包括实体安全、运行安全、数据安全、软件安全和通信安全等。其中，实体安全主要是指校园网硬件设备和通信线路的安全，其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全，其威胁主要来自信息破坏和信息泄漏。狭义的校园网网络安全是指校园网网络的信息安全，凡是涉及到网络上信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论。

2.校园网络安全的特点

第一，开放性。由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面较企业网络来说更宽松一些，这样就会留下一些安全隐患。第二，活跃性。在学校中，在校学生通常是最活跃的网络用户，而且数量非常庞大，他们对网络新技术充满好奇，敢于尝试。尤其是一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏。第三，复杂性。大多数用户基本上使用的是盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例如留有后门、携带病毒等，这些将会影响计算机系统的正常运行。

二、校园网络安全隐患

1.网络连接安全隐患

几乎所有校园网都与Internet链接，这对宣传学校、扩大学校的影响和知名度很有好处。但是，在带来方便的同时也带来安全风险。对于校园网的安全来说所有的Internet用户都属于不信任的，无法保证不发生攻击行为，需要特别注意防范。浏览网页是绝大多数上网者的事情，令人遗憾的是，过去一直被认为浏览网页是安全的观念现在已经被彻底打破，大量事实表明仅仅是阅读了某些网页，就完全有可能在浏览者的机器上运行任何程序，比如格式化硬盘，安装木马，肆意篡改浏览器，限制某些功能等等。

2.系统漏洞安全隐患

系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前校园网上所使用的操作系统主要有Unix，Linus，Windows系列，而且以Windows系列操作系统最多。不管哪一种操作系统都存在大量已知和未知的漏洞，国际上一些安全组织已经了大量的安全漏洞，其中一些漏洞可以导致入侵者获得管理员的权限，有一些漏洞则可以被用来实施拒绝服务攻击，一些漏洞则成为病毒攻击的对象。近几年来，利用漏洞开发的计算机病毒在互联网上泛滥成灾，频频掀起发作狂潮，并且随着网络带宽和计算机数量的增加，病毒的传播速度越来越快。

3.网络病毒侵袭隐患

计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒以计算机为载体，利用操作系统和应用程序的漏洞主动进行攻击，是一种通过网络传统的恶性病毒。它不仅具有传播性，隐蔽性，破坏性等特性，同时还具有不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合等特征。在产生的破坏性上，计算机病毒可以在短短的时间内蔓延整个网络，造成网络瘫痪。

4.管理制度安全隐患

管理制度是保障信息化建设安全的重要组成部分，许多学校都存在着重建设轻管理的倾向。实践证明，安全管理制度不完善是网络风险的重要来源之一。比如，网络管理员配备不当、用户安全意识不强、用户口令设置不合理、管理制度不健全等，都会给信息安全带来严重威胁。IP地址的盗用、混用问题，校园网内部连接的计算机有的是得到合法的IP地址，有的没有申请过IP地址，如果没有IP地址的用户冒用合法用户的IP地址上网，这就是IP地址的盗用；IP地址的混用是指用户由于某些原因，人为地修改了机器的静态的IP地址。这两种情况都能造成局域网内部地址的冲突，严重影响着网络的正常使用。

另外，地震、水灾、火灾等环境事故，电源故障，人为操作失误或错误等网络的外部环境安全隐患也是整个网络系统安全的前提。

三、校园网络安全技术运用

1.网络防火墙技术防火墙是网络安全的屏障，它能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。因此要在Internet与校园网内网之间部署一台防火墙，构筑内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Inter-net进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。

2.网络入侵监测技术

对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，有些攻击方式可以绕过防火墙，直接侵入到内部网络，使得网络安全受到威胁。入侵检测系统(IDS)是近年来出现的新型网络安全技术，IDS能够实时分析内部网和外部网的数据通讯信息，分辨入侵企图，在网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应对策，最大限度保护网络的安全。它可以弥补防火墙的不足，作为一种积极主动地安全防护技术，提供了一种对外部攻击、内部攻击以及误操作的实时保护，最大限度的降低可能的入侵危害。由于它与防火墙有很强的互补性，所以在网络安全系统的设计过程中，入侵检测系统经常与防火墙实现联动。

3.数据加密技术加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。数据加密技术是为提高网络上的信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。数据加密技术作为主动网络安全技术，是提供网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段，是许多安全措施的基本保证。加密后的数据能保证在传输、使用和转换时不被第三方获取数据。基于数据加密技术以上特点，在校园网络中传送重要信息时要使用数据加密技术来保证信息的安全。

4.防网络病毒技术

在网络环境下，病毒传播速度很快，大量的数据包经常使网络瘫痪，仅用单机版的杀病毒软件已经难以清除网络病毒，必须使用网络版的杀病毒产品，并在网络设备上进行相应的设置，阻断病毒的传播，从病毒的源头和传播途径两方面解决问题。在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心，负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒，并自动对网络版杀毒软件进行更新。安全防范体系的建立不是一劳永逸的，必须根据情况的变化和现有体系中暴露出的一些问题，不断对此体系进行及时的维护和更新，保证网络安全防范体系的良性发展。

参考文献：

[1]凌捷.计算机数据安全技术[M].北京:科学出版社.2004