浅述校园网安全技术.docVIP

浅述校园网安全技术 　　【中图分类号】TN918.91 【文献标识码】A 【文章编号】2095-3089（2014）04-0188-01 　　 校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统。在网络安全日益影响到校园网运行的情况下，我们不能够去保障校园网绝对的安全，只能说我们要尽一切可能去制止、减小一切非法的访问和操作，把不安全的因素降到最少，要完善校园网管理制度，对相关的校园网管理人员进行培训，对学生进行网络道德的教育，提高公德意识，安装最新的防病毒软件和病毒防火墙，不断安装软件补丁更新系统漏洞，对重要文件要进行备份，从多个方面进行防范，把校园网不安全因素降到最少。 　　 一、物理安全 　　 保证计算机信息系统各种设备的物理安全是保障整个校园网网络系统安全的前提。 　　 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 　　 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护； 　　 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等，通过严格管理及提高师生的整体安全意识来实现； 　　 媒体安全：包括媒体数据的安全及媒体本身的安全。 　　 二、网络安全 　　 网络安全主要涉及网络结构的安全和网络系统的安全。网络结构安全涉及网络结构的合理性和可扩展性，网络系统的安全涉及到访问控制、入侵检测、病毒防护、数据的备份等。 　　 1.网络结构安全 　　 网络结构的建立要考虑地域环境、现有线路状况、设备配置与应用情况、网络维护管理、网络应用等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。 　　 在网络结构的安全方面，主要考虑网络结构的优化、路由的优化和可扩展性。 　　 网络结构的优化，在网络拓扑上主要考虑冗余链路、冗余路由，动态路由协议的安全认证，专用网管链路等； 　　 路由的优化，主要涉及到以下几个方面：防止单点失败；隔离路由波动；消除循环路由；较小的时延；使用路由认证，保证动态路由的安全等； 　　 可扩展性，网络发展极为迅速，我们的需求也在不断提高，当为扩展业务范围而增加设备时，能够方便、有效地接入，不至于因网络结构的局限性，而重新调整整个网络设备。 　　 2.访问控制 　　 校园网络系统的访问控制可以通过配备访问控制设备来实现。 　　 对于内部网络，根据实际的业务数据流向，应划分不同强度的网络安全域。通过配置安全的访问控制策略可以过滤进、出防火墙的数据包；管理进、出网络的访问行为；封堵某些禁止的访问；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。 　　 通过防火墙的规则设置，可以隔离数据库安全域与其它安全域，实现保护关键业务的应用、控制对服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。到数据库安全域的全部通信都受到防火墙的监控，通过防护墙的策略可以设置相应的保护级别，以保证系统的安全。 　　 过滤网络中不必要传输的无用数据。防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加规则策略保障，如果在防火墙上添加一些有关重要应用的策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据，比如封闭目前常见的蠕虫病毒使用的端口。 　　 防火墙具有流量控制的特性，可以依据应用来限制流量，来调整链路的带宽利用。如：在网络中，有数据库调用应用、域登陆应用等等，可以在防火墙中直接加载控制策略，使数据库调用应用、域登陆应用按照预定的带宽进行数据交换，实现流量控制，调整链路带宽利用的功能。 　　 对于防火墙自身来说，日志的导出、日志服务器的安装，可使得通过防火墙的数据访问加以统计，为优化网络提供必要的数据，日志服务器可以完成，每个不同的源访问的流量统计，可以了解到每个源的流量是否在正常范围内，等等。 　　 3.入侵检测 　　 通过在数据库安全域添加入侵检测系统，保证入侵检测系统与防火墙产生联动。当网络中发生攻击时，向防火墙发送策略，将攻击行为进行过滤，使攻击行为的数据无法到达目的主机，实际上是斩断了攻击的路径。如此往复，可以提供大量时间来追测攻击源，采取相应措施。全面的联动延长了安全管理的触角，增加了安全管理的手段，加大了安全管理的强度。 　　 防火墙的主要功能是对进出防火墙的数据进行访问控制，防火墙无法阻止由于防火墙配置有误或者绕过防火墙而进入网络的非法数据。数据一旦通过防火墙进入网络后，如果操作系统或者应用系统本身存在漏洞，由于防火墙系统是一个静态、被动的设备，这时