天津工業(yè)大學計算機科學與軟件學院 魏愛華

隨著互聯(lián)網(wǎng)技術的發(fā)展，在高校中運用計算機網(wǎng)絡進行教學科研等各項工作更加深入和普及，通過校園網(wǎng)絡向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和喜愛。在人們享受網(wǎng)絡帶來的巨大便利的同時，網(wǎng)絡安全也正受到前所未有的考驗。

1.校園網(wǎng)的安全隱患

1.1 網(wǎng)絡部件的不安全因素

網(wǎng)絡的脆弱性：系統(tǒng)的易欺騙性和易被監(jiān)控性，加上薄弱的認證環(huán)節(jié)以及局域網(wǎng)服務的缺陷和系統(tǒng)主機的復雜設置與控制，使得計算機網(wǎng)絡容易遭受威脅和攻擊。電磁泄露：網(wǎng)絡端口、傳輸線路和處理機都有可能因屏蔽不嚴或未屏蔽而造成電磁泄露，目前大多數(shù)機房屏蔽和防輻射設施都不健全，通信線路也同樣容易出現(xiàn)信息泄露。搭線竊聽：隨著信息傳遞量的不斷增加，傳遞數(shù)據(jù)的密級也不斷提高，犯罪分子為了獲取大量情報，采用監(jiān)聽通信線路的手段，非法接收信息。非法終端：有可能在現(xiàn)有終端上并接一個終端，或合法用戶從網(wǎng)上斷開時，非法用戶乘機接入并操縱該計算機，或由于某種原因使信息傳到非法終端上。非法入侵：非法分子通過技術滲透或利用電話線侵入網(wǎng)絡，非法使用、破壞或獲取數(shù)據(jù)及系統(tǒng)資源，目前的網(wǎng)絡系統(tǒng)大都采用口令來防止非法訪問，一旦口令被竊，很容易打入網(wǎng)絡。注人非法信息：通過電話線有預謀地截獲所傳信息，再刪除原有信息或注入非法信息后再發(fā)送，使接收者收到錯誤信息。

1.2 軟件的不安全因素

網(wǎng)絡軟件的漏洞及缺陷被利用，能對網(wǎng)絡進行入侵和損壞。如網(wǎng)絡軟件安全功能不健全；應加以安全措施的軟件未予標識和保護，要害的程序沒有安全措施；錯誤地進行路由選擇，為一個用戶與另一個用戶之間通信選擇不合適的路徑；拒絕服務、中斷或妨礙通信，延誤對時間要求較高的操作和信息重播。包括人為地對網(wǎng)絡設備進行破壞；處理中斷過程中，通信方式留在內(nèi)存中未被保護的信息段或通信方式意外弄錯而傳到別的終端上。計算機病毒可以多種方式侵入網(wǎng)絡并不斷繁殖，然后擴展到網(wǎng)上的計算機來破壞系統(tǒng)。黑客采用種種手段，對網(wǎng)絡及其計算機系統(tǒng)進行攻擊，侵占系統(tǒng)資源或?qū)W(wǎng)絡和計算機設備進行破壞、竊取或破壞數(shù)據(jù)和信息等。

1.3 校園網(wǎng)內(nèi)部的安全隱患

高校學生(特別是計算機專業(yè)的大學生)是一個不安分、好奇心強的群體，他們會一方面把學校的網(wǎng)絡當作一個實驗環(huán)境，測試各種網(wǎng)絡功能；另一方面，他們也在不斷地尋找方法擺脫學校對學生網(wǎng)絡資源使用的控制。

1.4 來自互聯(lián)網(wǎng)的風險

幾乎所有校園網(wǎng)絡都是利用Internet技術構建的，同時又與Internet相連。網(wǎng)絡用戶可以直接訪問互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源，給校園網(wǎng)帶來安全風險。

1.5 校園網(wǎng)絡構架缺乏安全策略

多數(shù)校園網(wǎng)普遍采用基于IP技術且采用開放的網(wǎng)絡架構，其本身就不具備必要的安全策略。且大多數(shù)校園網(wǎng)管還是采用一種單一、被動、缺乏主動性、靈活性的基于網(wǎng)絡設備做集中式的安全策略，根本無法適應現(xiàn)行的網(wǎng)絡規(guī)范。此外，也是最重要的一條，即沒有對網(wǎng)絡安全引起足夠的重視，沒有采取得力的措施，以致造成各種重大事故。

2.校園網(wǎng)絡安全解決策略

校園網(wǎng)絡安全的形勢非常嚴峻，學校領導和具體管理者、相對應的責任人應該要給予充分的重視和支持。為能徹底解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點和現(xiàn)今網(wǎng)絡安全的典型解決方案和技術，提出了以下校園網(wǎng)絡安全解決策略。

2.1 建立良好的網(wǎng)絡拓撲結(jié)構和合理地劃分VLAN

校園網(wǎng)絡至少要采用兩級結(jié)構：主干網(wǎng)和子網(wǎng)。校園網(wǎng)的主干采用成熟的1000M快速以太網(wǎng)，在校園網(wǎng)絡中心機房設有一個總的出口（代理服務器）訪問互聯(lián)網(wǎng)，提供認證系統(tǒng)，所有進出校園網(wǎng)的數(shù)據(jù)都需要通過此出口檢測過濾。由網(wǎng)絡中心用光纖連到各座大樓的分節(jié)點，再經(jīng)分節(jié)點的交換機聯(lián)接到大樓的各個用戶。這種配置結(jié)構既保證了主干網(wǎng)信息可靠、高速、無瓶頸地傳輸，又為用戶計算機接入提供了靈活、方便的手段。同時將校園網(wǎng)劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)可不受設備物理位置的限制，靈活性較大。校園網(wǎng)按網(wǎng)絡功能劃分為：接入網(wǎng)部分和內(nèi)部局域網(wǎng)部分。內(nèi)部局域網(wǎng)又按數(shù)據(jù)交換能力分為：核心層、匯聚層和接入層。將各種主要服務器（WEB、MAIL、FTP服務器、數(shù)據(jù)庫服務器等）放在一個虛擬網(wǎng)內(nèi)，這樣便于管理、維護，同時也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性。另外劃分一個教學管理子網(wǎng)，方便教師進行管理和教學；其余虛擬子網(wǎng)可按教師信息管理系統(tǒng)、財務系統(tǒng)、圖書館系統(tǒng)、學生信息管理系統(tǒng)、多媒體網(wǎng)上教學系統(tǒng)等劃分。

2.2 重視網(wǎng)絡安全規(guī)劃建設

校園網(wǎng)的建設是一項龐大的技術性很強的綜合工程，一般需要經(jīng)過：網(wǎng)絡調(diào)研，系統(tǒng)設計，可行性分析，設備選型和工程招標，硬件施工，軟件環(huán)境的建立，人員培訓，聯(lián)調(diào)測試，系統(tǒng)驗收等九個階段。所完成的工程應與用戶的網(wǎng)絡方案相結(jié)合，應考慮系統(tǒng)的容錯設計，滿足用戶的各種需求，有完善的標簽和文檔，便于管理和維護。用戶在驗收時，應進行相應的抽檢，以驗證工程質(zhì)量。在工程完工后，可一次驗收，也可分階段驗收。

2.3 制定網(wǎng)絡中心配套設施配備方案

校園計算機網(wǎng)絡是學校發(fā)展的重要基礎設施，是提高教學科研及管理水平不可缺少的支撐條件。而網(wǎng)絡中心是校園網(wǎng)的核心，為加快校園網(wǎng)的建設和確保網(wǎng)絡安全、可靠、穩(wěn)定運行，促進校園網(wǎng)的健康發(fā)展，為學校信息化管理、教學、科研提供可靠的保障，應制定網(wǎng)絡中心配套設施配備方案。

2.4 對網(wǎng)絡設備進行基本安全配置

對系統(tǒng)和網(wǎng)絡設備使用復雜的密碼。有許多網(wǎng)絡病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的，因此使用復雜的密碼，將會大大提高計算機的安全系數(shù)(特別是管理員Administrator密碼)；經(jīng)常升級安全補丁，以防范未然；不在同一個服務器開多種服務，因為服務器上服務越多，安全漏洞就越多；關閉不需要的功能，遵守簡單就是穩(wěn)定，簡單就是安全的原則；加強設備訪問的認證與授權；使用訪問控制列表限制訪問和使用訪問控制表限制數(shù)據(jù)包類型等等。

3.結(jié)束語

隨著校園網(wǎng)絡應用的深入，由于主觀意識和技術水平等因素，或者是客觀上Internet固有的開放性，與互聯(lián)網(wǎng)一樣，校園網(wǎng)絡的安全問題也逐漸突出，直接影響著學校的教學、管理、科研等活動。校園網(wǎng)安全問題越來越突出，數(shù)據(jù)的安全性和學校自身的利益受到了嚴重的威脅。因此，能否保證計算機和網(wǎng)絡系統(tǒng)的安全和正常運行便成為校園網(wǎng)絡管理所面臨的一個重要的問題。

[1]劉勇.試析高校校園網(wǎng)網(wǎng)絡安全技術及其防范措施[J].信息系統(tǒng)工程,2012(02).

[2]高衛(wèi)衛(wèi).網(wǎng)絡型病毒分析與計算機網(wǎng)絡安全技術[J].信息與電腦(理論版),2012(06).

[3]李東生,王震.網(wǎng)絡安全技術在校園網(wǎng)中的應用與研究[J].中國科技信息,2009(04).