构建安全校园网策略

摘要：针对目前常见的校园网安全威胁，建立可行、有效的安全策略是必要的，计算机网络信息安全是一个复杂的系统工程，国际上普遍认为：它不仅涉及到技术、设备、人员管理等范畴，还应该依法律规范作保证，只有各方面结合起来，相互弥补，不断完善，才能有效地实现网络信息安全。本文只从技术的角度探讨校园网信息安全的对策。
关键字：校园网网络安全
近几年校园网络发展迅速，承载了越来越多的应用。相应地其安全性问题也日益凸显，如何构建安全校园网成为我们思考的问题。

一、校园网存在的安全风险分析

校园网的安全威胁既有来自校内的，也有来自校外的，经过分析、研究，我认为校园网大多存在以下的安全隐患：1、人员因素；2、灾难因素；3、逻辑问题：可能的软件错误；物理或网络问题，用户不恰当的操作请求而导致错误等；4、硬件故障：常见的磁盘故障；I/O控制器故障、电源故障、受射线、腐蚀或磁场影响而引起的硬件设备故障；5、网络故障：网卡或驱动程序问题、交换器堵塞、网络设备和线路引起的网络链接问题、辐射引起的不稳定问题；6、威胁数据保密性的主要因素：(1)直接威胁：如偷窃，通过伪装使系统出现身份鉴别错误等；(2)线缆连接：通过线路或电磁辐射进行网络接入，借助一些恶意工具软件窃听、登陆专用网络、冒名顶替；(3)身份鉴别：口令窃取或，非法登录；(4)编程：通过编写恶意程学进行数据破坏；（5）系统漏洞：操作系统提供的怎么写作不受安全系统控制，造成不安全怎么写作；在更改配置时，没有同时对安全配置做相应的调整；CPU和防火墙中可能存在由于系统设备、测试等原因留下的后门等。

二、构建安全校园网的设计策略

针对以上可能存在的安全风险，下面介绍几种个人认为的安全对策。

1、访问控制策略

利用访问控制识别网络用户的身份，并依据不同用户身份，给予不同的网络访问权限或阻止其进入校园网系统，按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。用户在其合法的访问授权之外无其他的访问特权，有效防止了网络因超权限访问而造成的损失。网络访问控制策略不仅能阻止网络用户的非法访问，而且能够在很大程度上减少病毒及恶意代码的危害。

2、防火墙策略

利用防火墙技术解决内外网络边界安全，防止外部攻击，保护内部网络（禁止外部网络访问内部网络）；可通过IP地址、协议类型、端口等进行数据包过滤；内外网络可采用两套IP地址，实现双向地址转换功能，在内外网之间建立一道牢固的安伞屏障，其中连接，这样，通过Internet进来的外网用户只能访问到对外公开的一些怎么写作(如www、E-mail、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使用，并能够对发生在网络中的安全事件进行跟踪和审计；建立支持安全怎么写作器网络（DMZ区），允许内外网络访问DMZ区，但禁止DMZ区访问内部网络；通过IP与MAC地址绑定防止IP盗用，避免乱用网络资源；防止IP欺骗；开启黑白名单功能，实现URL过滤，过滤不健康网站；提供应用写作技巧怎么写作，隔离内外网络。

3、入侵检测系统策略

建立入侵检测系统，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。利用入侵检测根据系统的安全策略从不同的系统资源收集信息，分析反映误用或异常行为的信息，对检测的行为作出自动的反应，并报告检测过程的结果。采用分布式入侵检测与病毒防护系统，保护整个网络所支持的分布式主机集合。在每个网段上安装一台网络入侵检测与病毒防护系统，可以实时监视各个网段的访问请求，并及时将信息反馈给控制台，这样全网任何一台主机受到攻击时系统都可以及时发现。在认证方面，采用建立校园认证中心来确保相互信任问题。根据网络的系统结构，构建一个与整个网络的系统结构相对应的安全认证中心(CA系统)，通过CA签发的数字证书，使通过网络进行数据交换的各方都有合法的身份，在数据交换的各个环节，各方都可验证对方数字证书的有效性，从而解决相互信任问题。同时保证各种数据交换中信息的保密性、数据的完整性、不可否认性等。

4、使用虚拟局域网(VLAN)技术

VLAN(Virtual Local Area Network)即虚拟局域网。校园网中可采用使用虚拟局域网(VLAN)技术控制各子网间的访问。一个VLAN可以在一个交换机或者跨交换机实现。利用VLAN根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访闯的目的；根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。另外，采用交换式局域网技术的校园网络，可以用VLAN技术来加强内部网络管

摘自：论文查重www.udooo.com

理；基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

5、漏洞扫描策略

面对校园网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估是不够的。可以采用漏洞扫描系统定期对工作站、怎么写作器、交换机等进行安全检查，可以帮助网管人员用来进行网络模拟攻击，漏洞检测，从而报告怎么写作进程，提取对象信息，然后可以得到风险评测、安全建议，最终实现帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。

6、安装补丁程序和网络杀毒软件策略

任何操作系统都是有漏洞，所以大部分校园网怎么写作器使用的操作系统都有漏洞，蓄意攻击它们的人也特别多，所以就需要定期对系统进行升级，还需要在整个网络内对可能感染和传播病毒的地方采取相应的防病毒手段，同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络病毒成为威胁网络安全的重要因素，如何防止网络病毒也就成为校园网安全必须考虑的重要问题，因此必须在校园网上安装网络版的杀毒软件才能满足要求。

三、结束语

众所周知，网络安全问题是一个较为复杂的系统工程，没有绝对安全的网络，任何提高网络安全系数的方法都要以牺牲网络效率和增加投入为代价的。以上只是个人为如何构建一个安全、高效、适用的校园网而提出的几点策略。
参考文献：
李小智．高校校园网络安全分析及解决方案．现代教育技术.2008年第3期第18卷；
宋莹莹．构建安全的局域网策略．电脑知识与技术. 2009年6月第5卷第16期；
[3]解继丽．基于校园网的入侵检测系统设计．昆明学院学报.2008年l2月；
[4]张志刚 吴建设．入侵检测技术在网络安全中的应用．黄石理工学院学报.2008年。