浅析校园网中存在的网络安全问题及对策

肉缸科技２００６年第９期　网络纵横　浅析校园网中存在的网络安全问题及对策　赖怡梅　（成都耿业技术学院　摘要构建一个安全可靠高效的校园网络环境是我们每一个校园网络系统建设和管理者值得高度重视和认真研究的课题　拳文分析了校园网络中存在的诸多不安全因素以及带来的危害，提出了如何构建互联网与校园网络之间访问控制、内部网络访问　安全控制、身分识别、防毒防黑体系建立、服务器的安全配置与管理等网络安全措施和策略。　关键词校园网网络安全黑客攻击防火墙目录服务嚣　随着互联网的飞速发展．　今儿乎所有校　网络不仅为师牛提　供网络教学、管理、办公、娱乐等服务，ｆ斫且采　各种技术方法接　入国际互联网，使广大师生能获得更多的信息资源．．正是｜｝Ｉ十Ｍ络　使通倩和信息的共享变得更为容易的同时．其自身也更多地傲暴露　在危险之中．威胁Ｍ络安全的潜在危险大大增　Ｕ，网络系统及其数　络系统成本考虑＋其防病毒防黑方案可以采用学校办公、管理用计　算机安装　络防毒防黑软件客户端．实现整体防御：学生　机则采　单机防病毒和系统还原的方案。　２　５建立完善的系统备份与恢复机制　系统备份与恢复可分为　络服务器系统和工作站系统两方面：　（１　Ｊ　Ｍ络服务器系统的备份与恢复：网络服务器通常分为　非专用服务器和专用服务器两类　非专崩服务器一般采　１ＤＥ接ｕ硬盘系统和ｗｉｎｄｏｗｓ　ＮＴ／２０００　ｓｅｎ’ｅｒ系统，在资金有限的情况下，其系统备份可以利用磁盘镜像　工具Ｇｈｏｓｔ．ｅｘｅ软件将服务器的系统分区和软件分区进行备份，系统　崩溃后可以用它快速恢复系统；也可以采用ｗｉｎｄｏｗｓ　２（１００　ｓｅｎ－ｅｒ系　据安全面Ｉｌ　的挑战也随之增大，Ｍ络安全正逐渐成为现实的一大ｆｕＪ　题。如果网络安全隐患不排除，其中任一不安全事件发生部可能对　整个校园Ｉ＝《】ｇ络造成致命性破坏。凶此，如何打造一个安全可靠高效　的校园Ｉ碉络环境是我们每一个Ｉ碉络系统建设者和管理者值得高度重　视和认真研究的澡题　１　校园网络安全面临的挑战　汁算机网络系统安全是一个系统性概念，包括汁算机软件和信　息存储安全，信息传输过程的网络通信安全和汁算机没备的实体安　全　对于计算机没备实体安全．相对说来，各校园网络一般部能达　到设备安全标准　信息存储安全和通信安全则是校园Ｉ碉络系统安　全的主要薄弱环节，其安全威胁主要来自以下三个方面：一是互联　网对校　网络造成的威胁，其中包括汁算机病毒侵袭、黑客的恶意　统提供“备份”功能，对服务器中的系统、数据制定备份计划，使　系统能自动定期定时备份系统信息和数据，　专　服务器｜｝Ｉ十一股是｝Ｉｌ　ＳＣ１Ｓ接ｕ的硬盘系统和ｗｉｎｄｏｗｓ　ＮＴ／２ＯＯＯ　ｓｅＰ，一ｅｒ系统构成，因此，服务器系统备份采用ｗｉｎｄｏｗｓ　２（Ｘ）Ｏ　ｓｅｒｖｅｒ系统提供的“备份　功能．对服务器中的系统和重要数　据制定备份计划，以“普通”备份方式定期定时自动备份系统信息　和数据，并将备份结果转存到移动硬盘中保存　　．（２）工作站系统备份与恢复：工作站在系统和应用软件安　装结束后都采用磁盘镜像工具Ｇｈｏｓｔｌｅｘｅ软件将其系统分区和软件分　区进行克隆，并将克隆备份刻录成光盘，以便长期保存。对十学生　用工作站还应安装硬盘还原系统，以便自动恢复系统。　２．６及时跟踪系统漏洞和补丁　攻击和破坏、不良信息的传播　二是来自校园刚络内部Ｉ碉络安全的　威胁；三是服务器的网络软件系统漏洞和“后门”以及Ｉ硼络结构不　合理，　２校园网络安全解决的措施和策略　２．１构建互联网与校园网之间的访问控制防护系统　互联网和校同网是两种特殊类型网络，网『日Ｊ信息交换和网络　安全，应当采取综合性的技术手段和策略　才能有效防止外部公共　网络对校园专用网的非法访ｉｕ＇Ｊ　实践证明，采崩防火墙＋Ｎ　Ａ　Ｔ服　务器＋防病毒软件＋还原系统共同构成综合性访问防护控制平台，　可以较好的抵御来自互联网对校园网络的攻击。　２－２校园网内部的访问安全控制和策略　经常通过Ｗｉｎｄｏｗｓ　Ｕｐｄａｔｅ自动给操作系统和相关软件打上补　丁Ｊ，杜绝系统的安全漏洞，减少服务器被入侵的儿率。　２　７加强网络各服务器系统的安全管理和安全配置　服务器正确安装操作系统（Ｗｉｎ２（Ｘ）Ｏ　Ｓｅｒｖｅｒ）后，系统仍然存　在诸多安全漏洞，必须进一步采取相关措施和策略，并对其逐个细　致地加以配置．　①关闭不需要的端Ｅｌ：②认真配置Ｉｌｓ服务；③账　内部网络安全控制的指导思想是将非法用户和网络资源之间相　隔离。凶此，可以采用网络分段和虚拟Ｍ络（Ｖ　Ｌ　Ａ　Ｎ）技术手段　控制内部Ｉ嘲络的访问，以达到限制非法的访ｆｕＪ的目的。使学生汁算　机既能访问校园网服务器教学和管理资源，又能上互联网，同时限　制其访问各老师汁算机私有资源，保障了内部网络的安全性，网络　性能大为改善，管理更加方便　２．３建立访问身份鉴别控制系统　号和密码策略；④系统安装策略：⑤安全策略：⑥安全日志；⑦　对一般用户只给予读取权限．管理员和Ｓｙｓｔｅｍ才给予完全控制权　限；⑧解除ＮｅｔＢｉｏｓ与ＴＣＰ／ＩＰ协议的，绑定只保留ＴＣＰ／１Ｐ协议：⑨　修改ＮＴＦＳ的安全权限；⑩禁川ｌＰ转发功能；　禁止对ＦＴＰ服务的　匿名访问；　禁用空连接．禁止匿名获得用户名列表；㈣预防　ＤＯＳ攻击：　预防ｐｉｎｇ￣＇Ｘ击（１ＣＭＰ入侵）；　改变ｗｉｎｄｏｗｓ系统　建立全网通信的身份识别系统，实现用户的统一管理，统一授　权，防止未经授权的用户非法使用系统资源。　采用网络访问者的集中鉴别手段是利用目录服务器（ｗｉｎ　２０００的Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ］］Ｅ务）来对校园网的访问者进行集中的身份　以别　：４组建整体性的计算机防病毒、防止黑客攻击网络体系　校园网络中的防毒防黑体系主要分为服务器的防护和工作站的　防护　的一些默认值；　禁止ｃ￥、Ｄ￥、Ｅ￥、ＡＤＭＩＮ￥默认共享；　禁止　死网关监测技术；０ａ注意ＡＳＰ编程安全；　加强ＳＱＬ　ＳＥＲＶＥＲ的　安全设置。　２．８加强网络监控和网络管理措施　制定严格的校同网规章制度．使网络管理有章可循．同时．进　步加强全校师生网络安全防范意泌和防范技能培训　这才能有效　的提高校园网络的整体安全性能．　．一３结束语　（１）服务器的防护：安装防病毒服务器，网络中所有服务　器只需安装其防病毒客户端软件，使各服务器随时处于病毒免疫状　态，实现集中管理．整体防御。　（２）工作站的病毒防护：网络工作站的病毒防护位于校园网　络防毒体系中的最底层．对学校汁算机用户而青，也是最后一道　防、杀病毒的要塞。通常校园网络中工作站又可分为两种类型：一　类是教师和管理人员使用办公、管理用机；■类是学生用机　从网　综上所述，嘲络安全需求是全方位的，涉及方面很广泛。因　此，网络安全是一个较为复杂的系统工程．必须仔细考虑系统的安　全需求，将各种安全技术（如防火墙、ＮＡＴ、密码技术、防毒反黑　技术等）充分结合在一起，并建立和完善相应的管理机制，才能生　成构建一个高效、通用、安全的网络系统。实践证明．通过上述一　系列方法和策略以及安全技术措施等．可以有效地建立一套相对完　整的网络安全系统　我们的校园才能够在比较安全的环境下工作，　维普资讯 http://www.cqvip.com

网络纵横　南肛科技２００６￣Ｔ－第９期　对校园网络建设规划的思考　朱兆松　（南京特殊教育职业技术学院）　摘要信息化的飞速发展．使得校园网络成为衡量一个高校技术水平和管理水平的标志　高速、稳定、安全的校园网络成　校园网络规划设计需求分析　为学校办学的重要基础设施之一　本文对校园网络的规划提出了系统的方案，并给出一些参考性的意见　关键词校吲州络是衡量一个高校技术水平和管理水平的一个标志，校　同Ｉ硼络建设是一项系统工程，是学校实现教育脱代ｌ＇Ｌｆｌ３，必经之路　本文结合学校Ｉｑ络的建设，提出了一些思考。　１　校园网络建设规划的必要性　中，每一层各自完成自己的功能，这种层次性ｌ叫络设汁的特点是：　易十实现、易十维护、协议支持性好、具有良好的可扩展能力，能　够满足　络长期发展的需求。　３　１核心层　校园网络的重要作用一是对外宣传，展示学校Ｊｘ【貌．　当前教育　产业化．各中、小学饺校迫切需要为自身做宣传．打出教育品牌．　而互联网的发展刚好满足这一需要　如何利用好ｌ硐络已成为高校宣　传的重要课题　■是对内信息交流，经验分享、信息发布、工作协　同、教育研讨、学生能力的培养以及科学管理等方嘶也越来越起着　十分重要作用　因此，校园网络建没不仅是社会发展的需要，更是　高校自身生存和发展的必经之路．．规划和没汁好校园蚓是关系学校　前途的大事，校园网的建没规划也越来越广泛地受到各方重视。在　建渡过　中，务求做到有需求分析，有规划没计。　２需求分析　由于大多数饺　网采用树形结构，ｍ星型结构衍生而来的星　型结构的最大缺点就是，大多数流量都必须通过中心　点，中心仃　点负荷比较大．一旦中心节点出现故障将导致整个网络瘫痪。而核　心层包括了整个校园网络的中心节点，因此核心层是校园网络ｉ殳汁　的重中之重，不可小视。核心层主要功能实现对全Ｉ叫数据进行高速　无阻碍的交换。当前校园网主下网的带宽已达￣，１８ｏ２　３ｕ标准，而且　有相当一部分学校要求使用８（）２．３ｚ标准，而核心层是主干网的交汇　点，这就要求核心层采用高端的设备，例如：Ｃｉｓｃｏ的Ｃａｔａｌｙｓｔ　６５０６、华为的Ｑｕｉｄｗａｙ　Ｓ６５０６等都具备了＿Ｉ、三层线速交换的功　能，完全可以满足需要。另外作为校园网的主要数据交换没备，还　必须具有路ｍ管理，　络管理等管理功能　３．２汇聚层　在饺同嘲络建设规划这个阶段，我们所需要解决的问题是“为　什么”．．这是理解校　网络的关键一步．它贯穿于整个校园ｌ叫络建　没的始终　没汁人员必须了解校吲Ｉ叫络没汁的目的和任务，从而制　定出与学饺发展策略相匹配的规划方案　｝ｈ需求分析制定出的工程　计划．贯穿整个校园恻络建设的过程中，确定了该任务由准在什么　时候完成　：并且对学校资金的投入有—个大体的了解，投入的资金　量直接决定着这之后的规划没汁，以及州络提供的服务质量。　在学校需求分析的同时，还必须考虑到用户的需求。主要包括　以下儿点：可靠性、安全性、实时性　可靠性即整个网络能提供给　用户稳定的服务．一方面用户能高效地得到自己所需的资源，另一　方面网络提供给用户的服务必须是持久的；安全性是可靠性的保　障，它通过随时备份、数据恢复等措施．维护了整个网络资源的完　整性：实时性指用户操作信息的能力，主要取决于用户对系统响应　时间的要求。　在此基础上考虑软硬件的需求。一股情况下，作为学校的用户　来说，需要的软件主要有：文字处理软件、图形图像处理软件、数　汇聚层包括主＿下网络及其所连接的路ｍ器，提供高速无阻碍的　数据链路到核心层。通常的Ｍ络策略是在分布层实现的，因此可以　说汇聚层提供了基于网络策略的连接。例如抑制广播风暴、分流数　据处理压力等等。　本层主要包括三个方面：服务器集群主要位于网管中心、各部　门的汇聚点，以及到核心的高速链路、外网出ｕ。　汇聚层的设备各个学校根据自己的实际需要采用百兆或千兆的　三层交换机　如Ｃｉｓｃｏ　Ｃａｔａｌｙｓｔ　３５２４、华为的Ｑｕｉｄｗａｙ　Ｓ３５２６等　３　３接入层　据库软件、网络浏览软件等等一些常用的应用软件。这些常用的软　件，普通的奔腾系列、ＡＭＤ系列终端即可以支持。当然还要考虑　到对一些专用软件的支持。例如，学校机房教学系统、学校教务财　务系统、图书管理系统等一些专用软件　这就可能要求一些高性能　终端的支持．．　其次考虑到网络的需求。网络采用什么样的拓扑结构、用到那　些网络软件、需要什么功能的网络设备、通过何种方式接入到广域　网中，这些都是重点『ｕＪ题　一般来说广泛采用树形结构　这种结构　山基于ＣＳＭＡ／ＣＤ的星型构架衍生而来，其特点是高效高速易十故　障判断．．对于有能力的学校可以采用ＦＤＤＩ的环型结构。另外，网　络软件也是考虑的一个重要方面，主要有：网络操作系统、备份管　理和存档、防病毒、安全性与ＪＪｕ密技术、Ｍ络管理等方＿血的软件。　３规划设计　接入层主要为用户提供本地网络访问服务，此层主要特点是；　网络没备众多，工作量大，因此在施工过程中－　很大的比重。在这　层的没汁上，必须考虑冲突域和广播域的范围。尽量减小冲突域　和广播域，以减少不必要的冲突和广播流量，提高网络的稳定性和　高效性。另外，校吲的一部分安全ｆｕ】题也山本层解决。学校内部各　部¨之间也不希望自己的数据完全没有防范．解决方法是ｖｌａｎ的划　分．把各部『】划分到不同ｆｌ￣ｖｌａｎ中，ｖｌａｎ问的数据流通必须通过路　山进行，便于管理员监控管理。　接入层的没备一般选用具有百兆交换功能的交换机　如Ｃｉｓｃｏ　一Ｃａｔａｌｙｓｔ　２９５０、华为的Ｑｕｉｄｗａｙ　Ｓ３１００等。　４结束语　校园嘲络建｝笠是一项系统工程，是每个学校实现教育现代化的　必经之路。规划建没好一个完善、稳定、安全的校园网络，对于学　校的教学、研究、管理其有很强的促进作用。另外，汁算机网络技　术的飞速发展，使得网络没备更新换代越来越快，一个好的规划建　没可以使得网络改造的成本降到最低。同时，必须明确的是，我们　不是建没一个最好最优的网络，而是建没一个符合学校长期发展需　要的网络。　作者简介朱兆松，南京特殊教育职业技术学院．助教　（收稿日期：２（Ｘ）６・１０・１３）　在这一阶段．我们需要解决的问题是“怎么做”。此阶段通常　采用分级没汁的策略，分为核心层、汇聚层和接入层。在这一结构　才能充分发挥它的优势．更好地为我们的教育事业服务。　参考文献　【１】Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｘｘ’ｓ　２（ＸＸ）Ｓｅｒｖｅｒ　Ｍ（　ｓＥ培训教程Ｃｏｒｐｏｒａｔｉｏｎ著Ａ－ｇ，３＇ｒ；￣出版社　【美］Ｍｉｃｒｏｓｏｆｔ　【２】组建局域网电脑报社．重庆出版社　【３】Ｋａｕｓｔｕｂｈ　Ｍ　Ｐｈａｌｔａｎｄａｒ著．内联网与外联网安全指南．杨义先．　夏光升　李忠献献北京：人民邮电出版社　［４１　Ｗｉｎｄｏｘｘ　ｓ　２０００性能优化技术参考［￣］ｈａｕｄｈｒｙ著，李逸波等译　北京：机械工业出版社　（收稿日期：２００６・１０・１６　Ｊ