高职院校校园网的安全策略探析

谭琼玲

永州职业技术学院商贸旅游学院 湖南 425006

0 前言

由于全球信息化的快速发展，计算机网络安全问题越来越引起人们的重视。近几年来，随着校园网迅速普及，黑客入侵、信息泄露和病毒泛滥等网络安全问题日趋严重。

1 目前网络存在的安全隐患

1.1 非授权访问

没有经过同意，就使用网络或计算机资源，被看作非授权访问，如有意避开系统访问控制机制，对网络设备进行非正常使用，或擅自扩大权限，越权访问信息等。它主要有以下几种方式：假冒身份攻击、合法用户以未授权的方式进行操作、非法用户进入网络系统进行非法操作等。

1.2 破坏数据完整性

以不正当手段取得数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰合法用户的正常使用。

1.3 信息泄露或丢失

敏感数据被泄露出去或丢失，它常包括：通过建立隐蔽隧道等窃取敏感信息，信息在传输中丢失或泄露，信息在存储介质中丢失或泄露等。

1.4 抵赖

可能出现的抵赖行为有：发送信息后，发送方否认已经发送过信息；接收方在接收到信息后，否认接收到信息。

1.5 拒绝服务攻击

不断对网络服务系统进行干扰，执行无关程序，改变正常的作业流程，使系统响应减慢甚至瘫痪，干扰正常用户的使用，使合法用户不能进入计算机网络系统或不能得到相应的服务。由于入侵检测系统中的网络引擎、主机代理和存储系统都对网络通信非常敏感，所以非常容易受到攻击。

2 威胁高职院校校园网安全的原因

2.1 物理方面

在物理方面，校园网的安全很脆弱。校园网使用的设备较多，如通信线路、交换机等都有可能遭到攻击，引起通信的中断。存储介质的丢失，会引起信息的泄密等。

2.2 技术方面

高职院校的校园网基本上都与Internet相连，Internet的资源共享性和开放性使得网络存在安全隐患。目前我们使用的操作系统存在着各种漏洞、后门等，对网络安全构成威胁。

2.3 宣传教育方面

虽然关于网络安全的法律法规已经制定，但并没在用户中进行广泛宣传，致使用户有意破坏网络安全。

2.4 管理方面

严格的管理是保证校园网安全的重要途径。许多高职院校对网络的管理松懈，管理者和用户的安全意思淡薄，疏于防范，没有建立校园网的安全管理体制。

2.5 用户方面

校园网的用户包括教师和学生，校园网是以用户为中心的系统，一个合法的用户在系统内可以执行各种操作，如要下载，有可能会下载一些带有病毒的软件。

3 安全策略

3.1 运用防火墙

防火墙的主要功能是进行访问控制，它的主要作用是隔离安全网络与不安全网络；隔离信任网络与不信任网络，并对它们之间的访问进行控制。鉴于防火墙本身的功能特点，决定它的配置位置是在两个不同网络或者不同安全域之间的连接处，使得防火墙成为两个不同网络之间访问的惟一通道，这样防火墙就可以对所有进出它的数据进行检查、过滤，真正发挥防火墙的最大功效。设置防火墙后，所有从Internet访问学校校园网的访问请求都首先到达防火墙。防火墙可以通过分析这些数据包的性质控制网络中对主机的访问，防火墙还可以对 Internet网络采取安全措施，只允许与业务有关的访问进入校园网，其他的网络服务请求都加以拒绝，于是来自外部网络的攻击行为不能到达校园网主机。对于一些特定的服务请求，防火墙可以进行强制认证，只有来自合法主机的合法操作在通过认证之后才能到达要访问的主机。

3.2 运用入侵检测系统

入侵检测系统是一种主动保护自己免受攻击的网络安全技术，是对防火墙的合理补充。入侵检测系统与防火墙不同，主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问，目的在于防止入侵，但并不对来自网络内部的攻击发出警报信号。而入侵检测系统却可以在入侵发生时，评估可疑的入侵并发出警告。而且入侵检测系统还可以观察源自系统内部的攻击。但现有的入侵检测系统仍然存在着漏报、误报以及在自身安全、管理等方面存在着先天的不足。可以运用曙光GodEye-HIDS主机入侵检测系统，它凭借先进的分布式入侵检测技术，有效的实现了“管理周密，简单易用”、“检测严密，主动防护”、“过硬的自我保护功能”、“有效防范近千种黑客攻击”、“攻击取证” 等几大功能优势，具有极强的抗欺骗能力和降低漏报误报能力。

3.3 运用安装补丁程序

任何操作系统都有漏洞，网络系统管理员有责任及时地打上“补丁”。目前校园网服务器多数使用微软的 Windows操作系统，微软公司为了弥补操作系统的安全漏洞，会定期公布发现的漏洞，并在官方网站上提供相关的补丁程序，用户可以到网上下载并安装相关升级软件包。

3.4 重视病毒的防治

计算机病毒的防治技术分成四个方面，即检测、清除、免疫和防御。计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏，实际上它是一种特征判定技术，也可能是一种行为规则的判定技术。也就是说，计算机病毒的预防是根据病毒程序的特点对病毒进行分类处理，在程序运行中凡有类似的特点出现则认定是计算机病毒。计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性己遭到破坏，从而检测到病毒的存在。计算机病毒的消除技术是计算机病毒检测技术发展的必然结果，是病毒传染程序的一种逆过程。在检测发现特定的计算机病毒基础上，根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。目前还没有一种有效的计算机病毒免疫方法。目前，大多数反病毒厂商都已经推出了网络版的杀毒软件，同时，使用网络版的杀毒软件，一定要及时升级杀毒软件。

3.5 信息加密策略

信息加密的目的是保护校园网内的数据、文件、口令和控制信息，保护网上传输的数据的安全。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全；端点加密是对源端用户到目的端用户的数据提供保护。节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下，信息加密是保证信息机密性的惟一方法。

3.6 运用数据备份与恢复技术

备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份 ，一旦原有数据遭到破坏还能使用数据备份进行恢复，所以要定期对数据进行备份，并异地保存。

3.7 建立身份认证系统

校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础，否则即便发现了安全问题也只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。

3.8 加强用户安全意识

面对日趋严重的网络犯罪，必须逐步建立与网络安全相关的法律、法规，使图谋不轨的人慑于法律的威力，不敢轻举妄动。利用新生入学教育和员工岗前培训的时间，对新用户进行网络安全及相关法律、法规的教育，引导学生正确学习和运用网络技术，机房要专人管理，无关人员不得进入，只有这样才能促使校园网健康发展。

3.9 严格规范上网场所的管理

对上网用户集中进行监控和管理。上网用户不但要通过身份认证系统确认，而且合法用户上网的行为也要统一进行监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。才能保证网络能高效、安全地为高职院校师生的工作和学习服务。

4 总结

校园网络安全体系是一个系统的工程，不仅要用技术来保障系统的安全，还要改进管理方法、建立安全防范体系。随着网络自身不断发展，必将出现新的安全问题，我们必须根据情况的变化，不断对网络系统进行及时的维护和更新，细化各种管理制度，不断提高校园网管理人员的技术水平，

[1] 王春荣,刘兰娟.网络安全入侵检测研究.计算机时代.2002.

[2] 陈立新.计算机病毒防治百事通.清华大学出版社.2000.

[3] 冯登国.计算机通信网络安全[M].清华大学出版社.2001.

[4] 王锐,陈靓,靳若明,周刚.网络最高安全技术指南[M].机械工业出版社.1998.

[5] 谢希仁.计算机网络[M].大连理工大学出版社.2000.