黃 振 祝海炳

（浙江金融職業(yè)學(xué)院，浙江 杭州 310018）

1 校園網(wǎng)絡(luò)的安全性分析

1.1 物理層的安全問題

校園網(wǎng)絡(luò)系統(tǒng)的安全是以物理安全為前提的。主要包括：各種自然災(zāi)害比如地震，雷擊，電擊，水火災(zāi)害等；電源的故障或由硬件原因引起的故障，由操作人員的操作失誤造成的故障，由于設(shè)備失竊、故意損毀或超載；行盜竊和竊聽等。

1.2 網(wǎng)絡(luò)層的安全問題

拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的路由狀態(tài)和網(wǎng)絡(luò)環(huán)境等是決定網(wǎng)絡(luò)安全的關(guān)鍵因素。網(wǎng)絡(luò)層面的主要威脅包括：訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)應(yīng)用服務(wù)；交換信息的保密性；傳播或滲透網(wǎng)絡(luò)病毒；網(wǎng)絡(luò)的拒絕服務(wù)型攻擊，網(wǎng)絡(luò)監(jiān)聽，網(wǎng)絡(luò)欺騙攻擊；針對(duì)網(wǎng)絡(luò)設(shè)備配置脆的攻擊弱性，因應(yīng)用軟件的缺陷而造成的網(wǎng)絡(luò)攻擊。

1.3 系統(tǒng)層安全問題

系統(tǒng)的安全性是指整個(gè)網(wǎng)絡(luò)的操作系統(tǒng)，網(wǎng)絡(luò)硬件的平臺(tái)是不是可靠和值得信賴的。沒有絕對(duì)安全的操作系統(tǒng)可以選擇，微軟Windows操作系統(tǒng)或其他操作系統(tǒng)都不是決定安全的，系統(tǒng)本身也有很多的漏洞問題，這些漏洞將帶來各種重大的安全隱患。

1.4 應(yīng)用層的安全問題

應(yīng)用安全是主機(jī)系統(tǒng)應(yīng)用軟件的層面問題。應(yīng)用系統(tǒng)軟件的使用，一方面給用戶帶來方便，但也帶來了新的網(wǎng)絡(luò)威脅，這是因?yàn)榇蠖鄶?shù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)軟件都不具有良好的安全性設(shè)計(jì)，網(wǎng)絡(luò)服務(wù)器程序經(jīng)常使用超級(jí)用戶權(quán)限執(zhí)行，這引起了很多安全問題。

2 校園網(wǎng)絡(luò)的安全設(shè)計(jì)

2.1 物理層的安全設(shè)計(jì)

主要針對(duì)通信安全，設(shè)備的安全，機(jī)房環(huán)境安全三個(gè)方面設(shè)計(jì)校園網(wǎng)絡(luò)物理安全。

光纜的安全設(shè)計(jì)：很多線路都有可能破壞或者竊聽，比如光纜和雙絞線，因此，應(yīng)該通過專用電纜溝布線，建筑物之間的光纖光纜應(yīng)埋在地下，建筑物內(nèi)的雙絞線應(yīng)該埋在有管道的墻壁內(nèi)，應(yīng)盡量確保安全，防止發(fā)生挖掘和破壞事件。同時(shí)，學(xué)校安全辦公室負(fù)責(zé)組織校園巡邏，校園網(wǎng)絡(luò)的輸電線路和設(shè)施的檢查和巡邏，以防止通信線路被損壞。

校園網(wǎng)服務(wù)器機(jī)房設(shè)計(jì)要按照《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、《計(jì)算站場(chǎng)地技術(shù)條件》和《計(jì)算站場(chǎng)地安全要求》，分別是國家標(biāo)準(zhǔn)GB50173-93、國標(biāo)GB2887-89和 GB9361-88進(jìn)行設(shè)計(jì)。 電源供應(yīng)和分配系統(tǒng)，能夠確保機(jī)房的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備的安全，不間斷供電，在任何情況下都能做到，沒有單點(diǎn)故障，穩(wěn)定、可靠，同時(shí)也為UPS系統(tǒng)提供電源，以確保系統(tǒng)安全。

物理安全設(shè)備的設(shè)計(jì)：采用門禁系統(tǒng)，以確保使用的物理設(shè)備的安全，同時(shí)做設(shè)備的抗毀，抗電磁輻射，抗電磁信息泄漏和干擾的處理等。

2.2 網(wǎng)絡(luò)層的安全設(shè)計(jì)

路由器訪問控制：數(shù)據(jù)包過濾在網(wǎng)絡(luò)層的基礎(chǔ)上，選擇該系統(tǒng)設(shè)置了過濾邏輯的數(shù)據(jù)包。檢查每個(gè)數(shù)據(jù)包的源地址、目的地址、口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合，以確定是否允許數(shù)據(jù)包通過數(shù)據(jù)流。路由訪問列表access-list命令來完成設(shè)置包過濾規(guī)則，被稱為訪問控制列表和拒絕語句，它們規(guī)范了路由器的數(shù)據(jù)。訪問列表，允許網(wǎng)絡(luò)管理員控制網(wǎng)絡(luò)數(shù)據(jù)流，依據(jù)為數(shù)據(jù)包的源IP地址、目的IP地址和應(yīng)用類型。

使用加密技術(shù)認(rèn)證：DES技術(shù)認(rèn)證的校園網(wǎng)站，提高網(wǎng)絡(luò)服務(wù)的安全性和效率。DES算法在認(rèn)證過程中，不怕被竊聽，加密傳輸數(shù)據(jù)，可以防止篡改，將數(shù)據(jù)傳輸?shù)臄?shù)字簽名，使用認(rèn)證反應(yīng)過程的方法，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。

入侵檢測(cè)技術(shù)及其應(yīng)用：入侵檢測(cè)系統(tǒng)能為校園網(wǎng)絡(luò)提供可靠的安全保障。首先，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量的入侵檢測(cè)系統(tǒng)，能夠準(zhǔn)確有效地識(shí)別所有已知攻擊和未知攻擊的網(wǎng)絡(luò)活動(dòng)，一旦發(fā)現(xiàn)攻擊，警方立即采取應(yīng)對(duì)措施。其次，具有入侵檢測(cè)與分析的能力，對(duì)于具有逃避入侵檢測(cè)技術(shù)的通信數(shù)據(jù)系統(tǒng)，可以有效檢測(cè)其IDS，以避免其行為。再次，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的完整記錄，在入侵過程中，為安全事故的調(diào)查提供證據(jù)，進(jìn)行分析。

2.3 系統(tǒng)級(jí)別的安全性設(shè)計(jì)

操作系統(tǒng)安全：服務(wù)器系統(tǒng)，使用微軟專門為教育界推出了正版的Windows Server 2003操作系統(tǒng)，所有分區(qū)使用一個(gè)專用的服務(wù)器，網(wǎng)絡(luò)應(yīng)用服務(wù)，使用專用服務(wù)器上的NTFS格式，所以的系統(tǒng)和日志都放在這個(gè)系統(tǒng)上。安裝正版的Windows Server 2003，安裝應(yīng)用程序，升級(jí)、補(bǔ)丁，然后聯(lián)網(wǎng)調(diào)試。在服務(wù)器上解除NetBIOS和TCP/IP協(xié)議綁定的TCP/IP協(xié)議，刪除NETBEUI，IPX/SPX協(xié)議。授權(quán)的用戶共享文件從Everyone組特定的授權(quán)用戶改為“完全控制”權(quán)限需要給予授權(quán)，關(guān)閉默認(rèn)共享，遠(yuǎn)程管理和遠(yuǎn)程IPC，防止IPC的入侵，每臺(tái)服務(wù)器上的登錄賬號(hào)和密碼中位數(shù)要足夠長和足夠復(fù)雜，定期更改密碼，不使用姓名、電話、出生日期、學(xué)校名稱、部門名稱等作為密碼，運(yùn)用密碼策略、賬戶策略，以符合密碼復(fù)雜性要求。設(shè)置密碼的最長使用期限。系統(tǒng)默認(rèn)所有的端口是開放的，根據(jù)提供的服務(wù)的服務(wù)器需要，關(guān)閉那些不需要打開的服務(wù)和端口。

安全審計(jì)存在于自帶的Windows Server 2003系統(tǒng)中，打開安全審計(jì)策略的入侵檢測(cè)方法。服務(wù)器安裝設(shè)置完成后，應(yīng)該創(chuàng)建一個(gè)緊急修復(fù)磁盤，準(zhǔn)備系統(tǒng)意外損壞不能正常啟動(dòng)時(shí)應(yīng)急使用。進(jìn)行服務(wù)器漏洞掃描，采用多種方式對(duì)系統(tǒng)進(jìn)行優(yōu)化配置和修補(bǔ)程序，最大程度上修補(bǔ)最新的安全漏洞，消除服務(wù)器本身的安全隱患。

服務(wù)器帳戶的安全性：取消系統(tǒng)默認(rèn)的用戶名和密碼，重新命名系統(tǒng)管理員及用戶名和密碼，并撤銷Guest帳戶的申請(qǐng)，以避免未經(jīng)授權(quán)的用戶進(jìn)行攻擊。此外，對(duì)用戶數(shù)量進(jìn)行限制，避免其他用戶嘗試登錄到該系統(tǒng)。系統(tǒng)管理員應(yīng)設(shè)置一個(gè)復(fù)雜的密碼。以實(shí)現(xiàn)最大程度的保護(hù)。確保管理員帳戶的安全，密碼必須至少有九個(gè)字符，包含一個(gè)標(biāo)點(diǎn)符號(hào)或字符非ASCⅡ碼至少有七個(gè)字符。此外，您不能在多臺(tái)服務(wù)器上設(shè)置相同的管理員帳戶密碼。應(yīng)在每個(gè)服務(wù)器上使用不同的密碼，以提高工作組或域的安全級(jí)別。要定期更換系統(tǒng)管理員的密碼。

數(shù)據(jù)備份和恢復(fù)：做數(shù)據(jù)備份和恢復(fù)很重要。如果是系統(tǒng)中的問題，運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和信息系統(tǒng)應(yīng)該進(jìn)行整體恢復(fù)。系統(tǒng)安全需求可選擇的備份機(jī)制：進(jìn)行高速、高容量的自動(dòng)數(shù)據(jù)存儲(chǔ)、備份和恢復(fù);異地?cái)?shù)據(jù)存儲(chǔ)、備份和恢復(fù)系統(tǒng)的備份。備份不只是發(fā)揮保護(hù)作用，在發(fā)生網(wǎng)絡(luò)系統(tǒng)硬件故障或人為錯(cuò)誤時(shí)發(fā)揮重要作用。出現(xiàn)入侵者未經(jīng)授權(quán)的訪問或網(wǎng)絡(luò)上的攻擊和破壞數(shù)據(jù)等情況是，對(duì)系統(tǒng)的完整性起到保護(hù)作用，是系統(tǒng)的災(zāi)難后恢復(fù)的先決條件之一。

配置防火墻：通過光纖連接核心交換機(jī)6806E到行政大樓、教學(xué)體系、圖書館和其他建筑物，將銳捷公司的硬件防火墻RGWALL160A架設(shè)在核心交換機(jī)6806E和路由器2600之間?？刂七M(jìn)/出數(shù)據(jù)的訪問以及對(duì)網(wǎng)絡(luò)進(jìn)行隔離。防火墻的主要作用是隔離核心交換機(jī)和匯聚層的2126交換機(jī)，并嚴(yán)格控制教師/學(xué)生宿舍網(wǎng)絡(luò)數(shù)據(jù)包訪問主要校園網(wǎng)絡(luò)資源，防止學(xué)生在宿舍對(duì)行政辦公室及主校區(qū)教學(xué)單位在網(wǎng)絡(luò)上進(jìn)行未經(jīng)授權(quán)的操作。

結(jié)論

校園網(wǎng)絡(luò)環(huán)境、安全與防務(wù)問題，必須認(rèn)真對(duì)待并加強(qiáng)管理。針對(duì)校園網(wǎng)絡(luò)的安全性建設(shè)問題，需加強(qiáng)網(wǎng)絡(luò)運(yùn)行的實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)潛在的安全隱患，有效遏制安全事故，以確保整個(gè)校園網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)與信息的安全。發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)漏洞，需及時(shí)進(jìn)行修復(fù)，并采取預(yù)防措施，進(jìn)一步改善校園網(wǎng)絡(luò)環(huán)境的安全。

[1] 張郭軍.校園網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀及發(fā)展趨勢(shì)[J].渭南師范學(xué)院報(bào)，2007，4.

[2] 陽柳，校園網(wǎng)絡(luò)安全體系的解決方案[J]，計(jì)算機(jī)安全.2007年，p178-182.

[3] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連:大連理工大學(xué)出版社，2004.