校园网安全运行和实现策略.docVIP

校园网安全运行和实现策略 　　【摘要】校园网的网络安全是一个系统性工程，不能仅仅依靠防火墙和其它网络安全技术，更需要仔细考虑系统的安全需求，建立相应的管理制度，并将各种安全技术与管理手段结合在一起，才能生成一个高效、通用、安全的校园网络系统，确保校园网正常安全运行和朝着健康有序方向发展。 【关键词】校园网；网络安全；病毒 【中图分类号】TP393.1 【文献标识码】A 【文章编号】1672-5158（2012）12-0027-01 高校校园网络安全是一个动态发展过程，是检测、监视、安全响应的循环过程，内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全，因此，校园网络安全及技术防范任重而道远，网络安全防范体系的建立不可能一劳永逸。随着计算机技术的发展，新技术的不断涌现和使用，新的安全问题也不断涌现，对网络安全的防范策略也要不断改进，保证网络安全防范体系的艮性发展，确保校园网络朝着健康、安全、高速的方向发展。 一、校园网网络安全的概念 网络安全包括物理安全和逻辑安全；物理安全指网络系统中各通信计算机设备以及相关设备的物理保护，免予破坏、丢失等；逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指系统能够防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。网络计算机中安全威胁主要有：身份窃取，身份假冒、数据窃取、数据篡改，操作否认、非授权访问、病毒等。 二、高校校园网络安全的现状 （一）计算机操作系统的安全问题 Windows操作系统由于本身所存在的问题或技术缺陷，隐藏着许多的系统漏洞，微软公司几乎每个月都会有系统更新补丁发布。学院现有的网络用户使用的都是Windows操作系统，如果不及时安装系统更新补丁，许多新型的病毒就会通过操作系统漏洞肆意传播，导致系统崩溃甚至影响整个网络运行。 （二）网络病毒的破坏 通过可移动介质传播病毒是目前计算机病毒传播的主要途径。由于学院师生之间U盘，MP3、移动硬盘等可移动存储的频繁使用，导致病毒相互感染，这些病毒中的木马程序会导致信息泄漏，蠕虫类病毒则会导致网络运行效率下降甚至瘫痪。由于病毒变种的不断产生，防范起来非常困难。 （三）恶意的网络攻击 恶意的网络攻击指的是利用黑客技术对校园网络系统或应用服务器进行破坏。主要体现在两个方面：—是恶意的攻击行为，如拒绝眼务攻击，网络病毒等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至导致服务器所在网络的瘫痪；另外一个就是恶意的入侵行为，如对学校网站的主页面进行修改，破坏学校的形象。利用学院的邮件服务器转发各种非法的信息等，这种行为导致服务器敏感信息泄露，或者服务器的重要信息被恶意破坏。 三、校园网安全运行的主要策略 （一）采用人侵检测系统 入侵检测系统用于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略（入侵模式），识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。 （二）网络防火墙 防火墙是用来控制信息流的设施，主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在防火墙上配置的安全策略（过滤规则）来控制（允许、拒绝、监测）出入网络的信息流，同时实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙的包过滤，可实现基于地址的粗粒度访问控制（入网访问控制）。通常晴况下，防火墙都被部署在网络基础设施的关键入口或出口。 防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时，防火墙的3个接口构成一个以太网交换器，本身没有IP地址，在IP层透明。将内网、DMZ区（非军事区）和路由器的内部端口连接起来，构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓朴结构和各主机、设备的网络位置。当防火墙工作在路由模式时，可以作为内网、DMZ区和外网三个区之间的路由器，提供内网到外网，DMZ区到外网的网络地址转换。内部网的用户通过地址转换可访问INTERNET，内部网、DMZ区通过反向地址转换可向INTERNET提供服务。 （三）防止ARP的攻击