校园网络安全解决方案

１校园网安全现状及特点

随着我国经济与科技的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育发展的方向。随着各个校园网络规模的急剧膨胀、网络用户的快速增长，校园网安全问题已经成为当前各个校园网络建设中不可忽视的首要问题。

目前，我国的校园网络的安全状况方面普遍存在以下几个共同的基本特点：（１）开放的网络环境

教研活动的特点决定了校园网络环境应该是开放的，管理也是宽松的。很多应用均可运行在校园网上，没有严格的应用限制和要求。比如，网络远程教育、Ｐ２Ｐ下载、即时通信等应用都在校园网上广泛使用。大量的应用必将导致大量安全隐患的存在。

（２）众多的应用系统

校园网需要提供给教职工和学生全面的应用服务，如Ｗｅｂ、Ｅｍａｉｌ、数据库服务、Ｆｔｐ等。但也由于校园网内服务器提供的各种服务种类复杂、内容繁多，存在的安全漏洞和隐患相应较多，容易被攻击者利用。

（３）有限的经费和人员投入

多数学校网络建设经费严重不足，仅将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，缺乏有效的安全预警手段和防范措施。另外，

多数的中小学还没有专门的网络管理人 员。

（４）管理人员及用户安全意识较差 由于校园网络中的许多数据并不具 有很高的安全敏感性，长期以来，校园网 络的管理人员和用户并没有养成很好的 安全意识。但是，随着教研活动对计算机 及网络的依赖性越来越大，校园网用户的

安全意识正在逐步提高。 （５）活跃的用户群体

学生是校园网络的主要用户，他们通 常思维活跃，对网络新技术充满好奇。但 另一方面，学生的安全意识以及法律观念 比较淡薄，通常意识不到某些对校园网络 攻击行为后果的严重性。 （６）恶意软件及病毒泛 滥

网络下载是校园网络用 户使用的主要软件来源方式。 一方面，普遍使用的Ｐ２Ｐ下载 方式占用了大量的网络带宽； 另一方面，从网络随意下载的 不明来源的软件可能隐藏着 病毒以及恶意软件，这些软件 的随意安装，对校园网的计算 机系统及网络环境都可能造 成极大的影响。 以上各种原因导致校园 网既是大量攻击的发源地， 也是攻击者最容易攻破的目标。 ２校园网安全策略

校园网的安全威胁既可能来自外部， 也可能来自内部。因此，在进行校园网安 全策略设计时，既要在校园网的边界处采 取安全防范措施，抵御外部入侵和攻击， 又要对校园网内部的各种设备进行安全 访问控制，避免校园网内部的合法或非法 用户因失误或故意造成对校园网的破坏。

因此，在对当前网络安全技术比较和分析 的基础上，结合校园网的特点及要求，本 文提出了如附图所示的校园网安全方案 的基本架构。 ２．１物理安全策略

物理安全指网络系统中各通信计算 校园网络安全解决方案 赵力维

（武汉市水果湖中学，湖北武汉４３００７１）

摘要：在对校园网络安全管理的特点和常见威胁分析的基础上，综合目前网络安全的常用技术方法，提出

了一系列针对校园网特点的安全策略。 关键词：校园网；网络安全；网络安全策略

中图分类号：ＴＰ３９３．０８文献标识码：Ａ文章编号：１６７２－７８００（２００７）０３－００８９－０２

附图校园网安全方案的基本架构 信息安全 ８９

软件导刊?２００７?３月号

机设备以及相关设备的物理保护，免予破坏、丢失等。要保证校园网络的物理安全，需要制定相应的安全策略来保护校园网中的计算机系统、网络服务器、物理链路等基础设施免受自然灾害、人为破坏和搭线攻击。这主要包括：建立完善的安全管理制度，防止非法人员进入计算机控制室和各种偷窃、破坏活动的发生；建立相应的安全区域内工作规范规程；保证设备供电安全及通信电缆安全；建立设备维护、运行日志等。

２．２访问控制策略

访问控制是校园网安全防范和保护的主要策略，其主要任务是保证网络资源不被非法用户使用和访问，它是保证网络安全最重要的核心策略之一，包括网络访问控制、网络的权限控制、目录安全控制、

文件属性控制、网络服务器访问控制、网络监测和锁定控制、网络端口和节点的安全控制、网络安全基础设施控制等。对于校园网而言，主要应做好网络访问控制、网络服务器访问控制及网络监测和锁定控制。

网络访问控制是网络安全和实现访问控制策略的第一层控制，主要通过一定的技术手段识别网络用户的身份，并依据不同用户身份，给予不同的网络访问权限或阻止其进入校园网系统。网络访问控制策略不仅能阻止网络用户的非法访问，而且能够在很大程度上减少病毒及恶意代码的危害。其技术手段主要有：防火墙、访问控制列表、ＶＬＡＮ的划分及ＩＰ／ＭＡＣ地址绑定等。

服务器的访问控制主要是控制用户对服务器的非法访问，防止服务器的数据被修改、删除或破坏。服务器访问控制主要包括制定相应的管理措施，防止非法用户直接操作服务器的控制台；及时给服务器上运行的各种软件打上安全补丁；严格控制服务器的帐户数量和使用权限；帐号应使用复杂密码和帐户锁定策略；停止服务器上不必要的服务软件的运行；减少服务器上安装应用软件的数量；对服务器的各种操作进行日志记录，并定期审查日志，以及时发现攻击迹象；限制服务器登录时间；对服务器数据进行定期的备份等措施。

网络管理员应对校园网实施监控措 施，及时发现校园网受到的攻击和安全隐 患，并进行相应的处理，增加校园网的安 全。校园网的用户多、流量大，仅靠网络 管理员来监控是不够的，也是不可能的， 因此必须使用自动化的监控措施。现在通

用的是使用入侵检测系统（ＩｎｔｒｕｓｉｏｎＤｅｔｅ－ ｃｔｉｏｎＳｙｓｔｅｍ，简称ＩＤＳ），它是一种自动的 网络入侵检测工具，通过收集、分析网络 中若干关键点的信息，发现网络或系统中 违反安全策略的行为和被攻击的迹象，并 做出及时的报警和响应，甚至可以调整防

火墙的配置策略，与其进行联动。因此， ＩＤＳ被认为是防火墙之后的第二道安全 屏障。

２．３加密与认证策略

信息加密的目的是保护网内的数据、 文件、口令和控制信息，保护网上传输的 数据。常用的方法有链路加密、端点加密、 节点加密。链路加密的目的是保护网络节 点之间的链路信息安全；端点加密的目的 是对源端用户到目的端用户的数据提供 保护。节点加密的目的是对源节点到目的 节点之间传输链路提供保护。信息加密过 程是由形形色色的加密算法来具体实施。 信息在整个传输过程中均受到保护，所以 即使所有节点被破坏也不会使信息泄露。 端到端加密价格较便宜，且比链路加密和 节点加密更可靠，更易设计、实现和维护， 还避免了同步问题。校园网建设中应根据 实际情况采用适当的信息加密及认证技 术。

２．４病毒及恶意软件防治策略 该策略主要是指在网络环境下，能够 及时地检测、清除、报告各种己知和未知 的计算机病毒，在病毒造成破坏前能够及 时地采取措施，控制病毒的传播和破环。 其主要内容包括预防病毒、病毒诊断、消 毒和网络病毒检测。要实现网络环境下的 病毒防治，仅靠单机版的杀毒软件是不可 能的，必须安装网络版的杀毒软件，这样 才能实现杀毒软件的远程安装、智能升

级、远程报警、集中管理、分布查杀病毒的 功能。仅有网络版的杀毒软件，还不能到 达防治病毒的目的，还必须加强管理，提 高使用人员的防毒意识和相应知识。把预 防、检测和杀毒结合起来，才能达到病毒 防治的目的。

２．５网络安全管理策略

安全政策（ＳｅｃｕｒｉｔｙＰｏｌｉｃｙ）描述校园网 安全的目标和需求，是一个组织安全管理 的需求说明。它是执行各项管理制度、技 术措施的依据，一般规定“做什么”而不是 “怎么做”，告诉用户哪些行为是允许的， 哪些行为是不允许的，违反了这些约定将 会受到怎样的处罚。目前很多学校以安全 管理规定、安全条例、安全管理办法等形 式发布。一个可行的安全政策应该根据我 国的相关法律、法规以及学校的管理制度 和具体情况制定，不存在通用的、可实施 的安全政策。 ３结论

目前，网络安全技术正向整体化、系 统化方向发展。网络安全是有结构层次的 系统，而不是若干网络安全产品的堆积。 因此，目前网络安全技术的研究和开发已 从单个网络安全产品发展到重点研究网 络安全技术体系和网络安全管理平台上。 高校的网络系统建设应注意采用这些研 究成果。

各种安全技术措施常常结合在一起 使用，从而构成校园网系统的安全体系。

但是技术永远不能解决一切问题，除了技 术以外，制度建设是信息系统安全建设的 重要内容。可以从建立完整的校园信息系 统安全策略、明确的系统操作守则、完善 并及时更新的技术文档、切实可行的灾难 恢复计划和人员的道德标准着手进行这 方面的工作。 参考文献：

［１］卿斯汉．网络安全的三道防线一密码、协议 和防火墙［Ｊ］．计算机工程，１９９９，（１）． ［２］陈波，于泠，宋如顺．口令入侵攻击的并行化 及其防范对策研究［Ｊ］计算机工程与应用， ２００１，（２３）．

［３］周世兵，刘渊．多层次的内部网安全策略研 究及应用［Ｊ］．计算机应用研究，２００２，（９）．［４］陈鹏，吕卫锋，单征．基于网络的入侵检测方 法研究［Ｊ］．计算机工程与应用，２００１，（１９）．（责任编辑：刘君） 信息安全 ９０

软件导刊?２００７?３月号