校園網(wǎng)絡(luò)安全及防范措施.doc

校園網(wǎng)絡(luò)安全及防范措施校園網(wǎng)建設(shè)的宗旨，是服務(wù)于教學(xué)、科研和管理，其建設(shè)原則也無(wú)外乎先進(jìn)性、實(shí)用性、高性能性、開(kāi)放性、可擴(kuò)展性、可維護(hù)性、可操作性，但人們大多都忽略了網(wǎng)絡(luò)的安全性，或者說(shuō)在建設(shè)校園網(wǎng)過(guò)程中對(duì)安全性的考慮不夠。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起Internet 計(jì)算機(jī)侵入事件。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。人們?cè)谙硎艿骄W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重視。由于學(xué)校是以教學(xué)活動(dòng)為中心的場(chǎng)所，網(wǎng)絡(luò)的安全問(wèn)題也有自己的特點(diǎn)。主要表現(xiàn)在：1.不良信息的傳播。 在校園網(wǎng)接入Internet后，師生都可以通過(guò)校園網(wǎng)絡(luò)在自己的機(jī)器上進(jìn)入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對(duì)世界觀和人生觀正在形成的學(xué)生來(lái)說(shuō)，危害非常大。如果安全措施不好，不僅會(huì)有部分學(xué)生進(jìn)入這些網(wǎng)站，還會(huì)把這些信息在校園內(nèi)傳播。2.病毒的危害。 通過(guò)網(wǎng)絡(luò)傳播的病毒無(wú)論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入Internet后，為外面病毒進(jìn)入學(xué)校大開(kāi)方便之門，下載的程序和電子郵件都可能帶有病毒。3.非法訪問(wèn)。 學(xué)校涉及到的機(jī)密不是很多，來(lái)自外部的非法訪問(wèn)的可能性要少一些，關(guān)鍵是內(nèi)部的非法訪問(wèn)。一些學(xué)生可能會(huì)通過(guò)非正常的手段獲得習(xí)題的答案，使正常的教學(xué)練習(xí)失去意義。更有甚者，有的學(xué)生可能在考前獲得考試內(nèi)容，嚴(yán)重地破壞了學(xué)校的管理秩序。4.惡意破壞。 這包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。 網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、通信媒體、工作站等，它們分布在整個(gè)校園內(nèi)，管理起來(lái)非常困難，某些人員可能出于各種目的，有意或無(wú)意地將它們損壞，這樣會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。 另一方面是利用黑客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面：對(duì)學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，破壞學(xué)校的形象；向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓；利用學(xué)校的BBS轉(zhuǎn)發(fā)各種非法的信息等。5.使用者自身的特點(diǎn)校園網(wǎng)絡(luò)有別于一般的Intranet。首先，它的主要使用者為處于青少年階段的學(xué)生，他們好奇心強(qiáng)、求勝逞強(qiáng)心重、法律意識(shí)比較淡泊，大部分學(xué)校對(duì)他們的信息道德教育不到位，使他們產(chǎn)生崇拜黑客的想法，總想一試身手；其次，某些網(wǎng)站為了點(diǎn)擊率及自身的利益，提供黑客軟件及教程下載；此外，學(xué)生精力旺盛，掌握了大量的計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)知識(shí)，所以他們易產(chǎn)生黑客行為或編寫病毒程序。校園網(wǎng)安全的防范措施目前，比較成熟的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有：防火墻、入侵檢測(cè)、身份認(rèn)證、病毒防范、信息過(guò)濾、數(shù)據(jù)加密、VPN、VLAN、容錯(cuò)、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡(luò)安全不只是這些技術(shù)產(chǎn)品的簡(jiǎn)單堆砌，它是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。1.根據(jù)用戶的特性和需求劃分VLAN校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比，聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)用戶的群體更為復(fù)雜。有教師備課機(jī)、學(xué)生機(jī)房、學(xué)生宿舍、圖書館、家屬區(qū)以及人事、財(cái)務(wù)、后勤等行政辦公計(jì)算機(jī)等。不同的用戶對(duì)于網(wǎng)絡(luò)有著不同的需求，對(duì)于自身信息的安全性要求也不同，據(jù)此可以將校園網(wǎng)劃分為多個(gè)VLAN。2.在校園網(wǎng)出口設(shè)置防火墻網(wǎng)關(guān)防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng)，使校園網(wǎng)與互聯(lián)網(wǎng)之間的訪問(wèn)連接得到有效控制，阻止黑客對(duì)校園網(wǎng)的非法訪問(wèn)和攻擊。針對(duì)校園網(wǎng)中部分重要的網(wǎng)段(如院長(zhǎng)辦公室、教務(wù)、財(cái)務(wù)、人事、科研中心、重要實(shí)驗(yàn)室等)設(shè)置防火墻網(wǎng)關(guān)，將他們和學(xué)生機(jī)房、學(xué)生宿舍及家屬區(qū)的網(wǎng)段隔離，提供最基本的網(wǎng)絡(luò)層的訪問(wèn)控制，使之不會(huì)受到來(lái)自校內(nèi)其他網(wǎng)段的攻擊。3.合理運(yùn)用入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?？梢岳萌肭謾z測(cè)技術(shù)構(gòu)架校園網(wǎng)的主動(dòng)防御體系，加強(qiáng)對(duì)校園網(wǎng)特別是行政、教研、服務(wù)器等重點(diǎn)網(wǎng)段的保護(hù)。4.設(shè)置訪問(wèn)控制管理系統(tǒng)和智能信息過(guò)濾系統(tǒng)在學(xué)生上網(wǎng)比較集中的網(wǎng)段(如學(xué)生機(jī)房、學(xué)生宿舍、圖書館等)，設(shè)置Internet訪問(wèn)控制管理系統(tǒng)和智能信息過(guò)濾系統(tǒng)，從技術(shù)上對(duì)學(xué)生的上網(wǎng)行為進(jìn)行管理和監(jiān)控，防止學(xué)生有意無(wú)意訪問(wèn)含有黃、賭、毒、暴力、邪教等內(nèi)容的網(wǎng)站。另外，還要加強(qiáng)對(duì)學(xué)生的信息道德教育、法制教育及上網(wǎng)行為的管理，使他們不再主動(dòng)上網(wǎng)瀏覽、下載、傳播這類信息。5.加強(qiáng)服務(wù)器安全設(shè)置服務(wù)器是校園網(wǎng)的核心設(shè)備，也是黑客們的主要攻擊對(duì)象，所以它們要有最高的安全性。網(wǎng)絡(luò)操作系統(tǒng)是校園網(wǎng)服務(wù)器系統(tǒng)中最重要的組成部分，用戶通過(guò)使用網(wǎng)絡(luò)操作系統(tǒng)來(lái)使用校園網(wǎng)絡(luò)資源，所以服務(wù)器安全的前提是網(wǎng)絡(luò)操作系統(tǒng)的安全。6.加強(qiáng)防范，防止病毒泛濫要建立一個(gè)有效合理的病毒預(yù)防和查殺機(jī)制。通過(guò)在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機(jī)有效地防止病毒侵害，還可以使管理員從中央位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)狀態(tài)下的病毒防護(hù)。7.在防火墻內(nèi)口上捆綁IP和MAC地址，在匯聚交換機(jī)上捆綁IP和MAC地址，在接入交換機(jī)上捆綁端口和MAC地址。通過(guò)MAC地址、IP地址、交換機(jī)端口的雙重捆綁，解決校園網(wǎng)中IP地址盜用問(wèn)題和IP沖突問(wèn)題。8.容錯(cuò)和備份對(duì)于重要的服務(wù)器，可以進(jìn)行雙機(jī)熱備、磁盤鏡像；對(duì)于重要的數(shù)據(jù)信息，采用數(shù)據(jù)備份技術(shù)，要定期進(jìn)行備份、存儲(chǔ)，做到防患于未然。一旦出現(xiàn)系統(tǒng)癱瘓、崩潰，可通過(guò)備份的數(shù)據(jù)信息快速地恢復(fù)系統(tǒng)。9.加強(qiáng)內(nèi)部安全管理，提高用戶的安全意識(shí)為了確保網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)轉(zhuǎn)，應(yīng)該建立嚴(yán)格的局域網(wǎng)管理制度和機(jī)房上機(jī)管理制度，杜絕人為因素造成網(wǎng)絡(luò)不安全。配備相應(yīng)的網(wǎng)絡(luò)管理人員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)安全的日常管理及維護(hù)。以上是從事網(wǎng)絡(luò)管理工作中得到的