校园网安全及对策.docVIP

校园网安全及对策 　　摘 要： 随着学校信息化建设的不断加强，应用领域在不断扩展，但是面对的安全威胁也在不断增加，校内和校外的安全威胁同时存在。保障校园网的安全运行成为校园网建设中的重要课题。使用防火墙进行访问和控制，采用入侵检测系统，VLAN技术的使用，VPN使用，漏洞扫描，身份认证等方式保证信息化校园的安全，建立较为全面的校园信息安全体系。 　　关键词： 安全威胁 校园网络 解决方案 　　1.引言 　　由于互联网技术的快速发展，网络在校园中的应用领域越来越广，参与了学校的教学、科研、管理、校园一卡通和对外交流等，已成为高校不可或缺的基础设施。但是由于网络设计的开放性、互联性及对安全的防护设计先天不足，随着网络规模的扩大，面临的安全威胁种类不同，而且增长速度惊人，因此需要建构各种技术融合的立体的安全体系保障校园网的安全。 　　2.校园网络面临的威胁 　　安全威胁的类型包括数据安全和系统安全。当前校园网络中的绝大部分机器采用Windows系统，漏洞最多，经常被黑客攻击，受到的病毒威胁也最多，这些都是系统安全的范畴。而数据安全威胁主要指信息被窃听，篡改、无法传递和伪造信息。网络在运行中面临的安全威胁的表现有如下方面： 　　（1）非法访问。利用假冒和欺骗的手段获得合法的访问权限，或者超越用户拥有的合法权限获取资源，篡改信息，改变设备的配置信息，甚至是从事违法犯罪活动。校园网络是对学生开放的，但是有许多资源是要授权访问的，比如成绩管理系统和在线考试系统都需要口令，从校外访问网站一些期刊、科研信息与成果等资源也是需要身份验证的。大学生群体中也会存在一部分人试图利用已学技术非法访问一些资源。 　　（2）木马、病毒泛滥。用户使用感染病毒的U盘及其他存储设备，访问一些带有病毒的网站，收取藏有病毒的邮件附件，这些因素都可导致计算机感染病毒，由于处在网络中，传播迅速，带来了极大危害，威胁了计算机网络的安全。 　　（3）因特网上非法和不良内容的访问。学生可以通过校园网络访问因特网，而因特网上资源鱼龙混杂，存在色情、暴力、赌博等网站，大学生群体是所有网民中最活跃的，很容易就可以接触到这些信息。阻止学生浏览和下载不良信息，促进学生身心健康成长也是学校德育工作的一个方面。 　　（4）拒绝服务攻击。此攻击的目的是使计算机或网络无法提供正常的服务，有带宽攻击和连通性攻击。常见的带宽攻击指用大量的垃圾信息冲击网络，使得所有可用资源被消耗殆尽，无法处理合法的用户请求。连通性攻击指大量的信息冲击计算机消耗掉计算的操作系统资源，计算机无法满足合法用户的请求。 　　（5）安全漏洞。微软是这样定义的：即使使用者在合理配置了产品的条件下，由于产品自身存在的缺陷，产品的运行可能被改变从而带来非设计者预期的后果，并可能最终导致安全性被破坏的问题，包括使用者系统被非法侵占，数据被非法访问并泄露，或系统拒绝服务等。漏洞本身不会对系统产生损害，只有其被恶意利用时才会产生危害。 　　3.校园网络安全解决方案 　　针对校园网络的安全，可以采用多种先进的技术构建一个网络安全体系，最大限度地发挥这个体系的功能，应对来自网络内部和外部的安全威胁，但是几乎不可能从根本上解决网络安全问题。目前主要有防火墙技术、VPN技术、VLAN技术、分布式防毒软件、入侵检测技术、身份认证等。 　　安全技术采用的越多，安全保障就越有力，但由于成本等因素，部分高校不可能使用许多的技术构建一个层次分明的安全防护体系。下面简单探讨由各种技术构建的校园安全体系结构。 　　（1）防火墙技术。防火墙是一种用来加强计算机网络之间访问控制的特殊的网络互联设备，对流经防火墙的数据按照规定的策略进行检查，允许内部用户对外网的合法访问，阻止对内部信息资源的非法访问，过滤掉不良信息的目的，即只允许被授权的访问。防火墙的技术在不断发展，功能和分类也在变化，根据防火墙处理的对象不同，可以分为包过滤防火墙和应用层网关。 　　包过滤防火墙是早期的一种防火墙，检查通过防火墙的每一个数据包报头，用一个新的报头替换掉旧报头，离开防火墙。这种工作方式不占用带宽，但是攻击者可以得到防火墙内部的地址并锁定机器，同时防火墙只检查源IP地址，容易受到IP欺骗攻击。 　　应用层网关也叫代理服务器，运行在应用层上，客户端将请求送至代理服务器，由代理服务器向服务器请求数据，代理服务器收到后交给客户端。应用层网关阻隔了外界和内部的直接联系，减少了蠕虫、木马等造成的危害。但是每次连接时有多余的开销，访问速度会变慢，每一个服务都需要一个特定的代理软件，新开发的应用，也需要开发相应的代理服务。 　　（2）入侵检测系统。入侵检测技术是一种主动安全技术，收集网络系统内若干不同关键点的信息，分析采集的信息与已知的网络入侵和系统误用模式数据