学校网络安全建设范文

导语：如何才能写好一篇学校网络安全建设，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

1.1网络信息安全事件频繁发生，给社会造成了严重损失

在科学技术快速发展的环境下，计算机网络技术的发展步伐不断加快，为人们的生产、生活带来了极大的便利，但是随之而来的网络信息安全问题的威胁也在不断加大，一些钓鱼网站、黑客、木马、间谍软件、网络漏洞攻击等各种形式的网络信息安全问题经常出现。随着社会各界对网络与信息安全问题认识的不断提升，网络信息安全问题越来越得到人们的重视，根据相关部门的统计，2005年一年内我国相关部门接受的国内外网络安全事件已经超过了12万件，使我国计算机用户造成了巨大的损失。

1.2高校网络与信息安全实验教学的要求

高校是国家培训专门技术人才的重要机构，也是社会专业人才的主要来源，当前我国高校网络技术和网络安全实验教学硬件已经不能满足现阶段网络技术和网络安全实验教学的需求。因此为了适应新形势下网络与信息安全的需求，高校应该不断加大对网络技术和网络信息安全实验的建设，提升网络信息安全实验的硬件条件，从而更好地满足新形势下高校网络与信息安全对实验的需求，提升学生网络信息安全的实践能力，满足社会发展对网络信息安全人才的需求。

2、关于网络与信息安全教学实验室建设原则的分析

2.1遵循层次性原则，满足不同层次网络与信息安全课程实验的需求

网络信息安全关系到国家安全和社会发展，涉及面十分广阔。但是，不同层次和不同专业的学生对网络与信息安全专业技能和理论需求都不相同。因此，网络安全实验室的构建要充分满足不同层次的学生需求，让更多层次的学生受益。

2.2提升网络安全实验室的可扩充性，满足时展的需求

网络信息技术的发展十分迅速，因此，高校网络信息安全实验室建设，应充分考虑这一点，实验室平台要满足升级、更新的需求，要跟得上时展的步伐。实验室的构建要保证实验室能够具有较强的可扩充性，从而保证高校网络与信息安全实验教学能够满足信息安全技术的发展趋势，体现高校网络与信息安全实验教学的时代性特征。

2.3保证实验室软硬件设备先进性和实用性

网络信息安全技术是以网络通讯协议为技术基础而构建的。而当前使用的基于IPv4的IP网络正处于向IPv6转变和过渡的过程中。这次转变极大地提升了网络信息的安全性，同时也为网络计算机提供了大量的IPv6地址。针对这一系列变化，高校在网络信息安全实验室建设时，要充分考虑到实验室设备与IPv6协议的兼容性。网络信息安全实验室建设，要在为学生提供良好实验环境的基础上，考虑学生将来的就业需求，因此，实验室软硬件设备必须要具有较强的先进性和实用性，从而保证实验室能够发挥出更大的效用。

3、关于高校网络安全实验室项目设计的分析

3.1网络信息安全实验室应满足高级实验的需求

对于网络信息安全专业的学生来讲，他们在掌握常规的实验基础上还应该具备较高的网络信息安全技术和相关的实验能力。当前高级的实验和技术主要包括：VPN技术和相关配置、数字证书发放的实验、身份认证实验等等。数字证书发放实验就是使用服务器网络中的CA证书服务器，实现对实验小组发放数字证书。通过这个实验帮助学生有效掌握公钥密码运行机制以及相关技术，提升学生对数字证书的理解和使用能力。在进行数字证书认证的过程中，以发放的数字证书作为身份的依据，完成对网络服务的访问。服务器为使用者提供相关服务之前，需要具有合法的身份才能够获得系统提供的有效服务。

3.2建设网络平台

建设网络平台是高校网络与信息安全教学实验室建设的第一步，高校在建设过程中，要在原有的实验室基础上补充一些网络信息安全设备，包括每个试验台布置一台防火墙，一台IDS，在核心处布置一台安全隔离网闸、一台UTM、一台APM应用安全管理系统；高校实验室建设人员在已经补充好的网络信息安全设备上，设置安全管理平台，并对设备日志进行审计和分析，以便更好的对网络安全设备进行控制和管理。同时，每个试验台可以根据情况防止IPS入侵防护系统和安全隔离网闸。

3.3为学生提供网络安全创新实验的平台

信息安全方面的知识学习具有很强的实践性，因此，信息安全专业课程的学习对信息安全实验室的要求很高。而当前我国高校的网络信息安全教学基本都是停留在理论层面，对学生实践能力培养的关注相对较少，学校的网络安全实验室条件很差，实践课程很难高效开展，导致网络信息安全实验教学环节之后，学生的实践能力较差，无法满足社会对网络信息安全的需求。因此，配备一个合格的网络安全实验室具有极其深远的意义。高校的网络信息安全实验室在完成一般实验教学的基础上，还可为更高层次学生提供创新实验的机会和平台，让学生在现有软硬件条件的基础上，对当前的软件进行创新和改进，优化软件的效果，提升学生的网络信息安全创新能力。

3.4全面模块化的网络安全实验室解决方案

模块化的网络安全实验室解决方案把防火墙设备，WEB应用安全设备，非法信息检测设备，舆情分析系统，作为一个安全有效的防御整体，架设到高校信息安全专业的实验室中，使师生全面地对网络安全的多样性，复杂性从理论上和实际操作中得到了全方位的了解。一方面使学生毕业后真正走向网络安全方向的学生不会再和现行的网络攻击和威胁脱节，不会单独依靠简单肤浅的理论知识对繁琐复杂多样的攻击摸不到头脑，另一方面可以让学生和研究人员可以深入地了解网络安全问题，加深对网络原理、协议的理解，同时最重要的是在整个网络安全实验室中，实验者通过学习可以很清楚地了解如何进行有效的网络安全设计，避免网络风险的发生以及在网络安全事件发生的第一时间，如何有效地解决安全问题。

参考文献：

[1] 张卫东，李晖，尹钰.网络安全实验教学方法的研究[J]_实验室研究与探索，2007（12）

[2] 容治.计算机网络教学实验环境存在的问题和改革探讨[J].科技信息（科学教研），2007（21）

[3] 陈峰，沈雅婕，冯朝辉。高校网络与信息安全教学实验室建设研究[J】.网络安全技术与应用，2007（07）

作者简介：

篇2

一、校园网络安全体系设计的原则

网络安全对校园网的建设至关重要，技术人员对网络安全性的设计要遵循以下几点原则:第一，安全性。它是保障网络安全的首要目标，对保护信息和网络系统尤为关键，校园网的安全性必须要做好网络体系的完备性和可扩展性。第二，可行性。校园网网络安全体系的设计要把理论与现实情况相结合，降低实施的难度。第三，高效性。网络安全体系主要包括软件和硬件设施，它在运行过程中也会对校园网产生影响，所以在进行网络安全设计时要考虑系统资源的开销，确保整个校园网的正常运转。第四，可承担性。学校承担着网络安全体系各方面工作的代价和开销，校园网的安全系统设计要根据学校的特点和实际承受能力而开展，没有必要按银行级标准来设计。

二、校园网络安全建设的措施

网络安全是社会各界非常关注的问题，学校在建设校园网络时要充分重视和支持，依靠先进的网络安全技术，保障校园网络的安全。目前，校园网络安全建设的主要利用的是以下几个方面的技术:

(一)防火墙技术。目前防火墙是对网络系统进行安全保护的最常用防护措施，在社会各界的网络和系统中被广泛应用。校园网络管理员可以通过防火墙对网络中的数据进行监控，对于特定数据包可以方便快捷地允许或禁止其通过，同时还能监控和记录网络中的所有事件，保证内部网络不会遭到攻击，还能正常提供网络访问、下载等服务。校园网络安全要做好防火墙设置方案，目前主要应用的是双宿主机网关、屏蔽主网、屏蔽子网三种方式，其中屏蔽子网在保护校园网安全、提高防火墙抗攻击能力方面作用最为显著。校园网防火墙的设置要遵守以下几点原则:一是要根据校园网的用途和特点，正确设置安全过滤规则，防止公网非法访问校园网络;二是要对防火墙访问日志进行定期检测和查看，及时发现网络攻击行为和不良上网记录;三是为提高防火墙管理安全性，还要加强网卡对防火墙的设置。

(二)防病毒技术。计算机病毒严重威胁着网络安全，防止计算机病毒传播不但要建立完善的管理措施，还要有病毒扫描、病毒查杀、系统恢复等工具和技术。学校领导、教师、学生使用电子邮件的情况比较广泛，这就造成了计算机病毒的迅速传播，学校信息系统因此受到侵害，造成了学校的严重损失。随着互联网的快速发展，计算机病毒的种类和传播途径也日益多样化，校园网的防病毒工作急需建立一个多层次、立体的病毒防护体系，并依靠先进的管理系统防止计算机病毒的侵害。防病毒软件在校园网络安全中得到了最为广泛的应用，学校在对防病毒软件进行选择时，要充分考虑到软件的易用性、系统的兼容性、对资源的占用情况及病毒查杀能力，同时还要综合考虑软件的价格、软件开发商的实力等。除了安装防病毒软件之外，学校还要采用集中式安全管控的防毒策略，它的优点主要体现在:第一，可对校内所有联网计算机进行统一的病毒清除;第二，具有病毒预警机制，可及时更新、升级病毒库;第三，可在线帮助域外计算机查毒、杀毒;第四，可整合电子邮件系统，有效过滤病毒邮件。

(三)访问控制技术。访问控制技术是针对不同身份的用户对网络数据资源进行限制，防止非法用户的入侵，保护合法用户的权利，同时保证网络数据的保密性和网络系统的完整性。网络系统的安全防范和保护需要重视访问控制技术的应用，它的应用类型主要有三种:网络访问控制、应用程序访问控制和主机、操作系统访问控制。做好校园网的访问控制的应用要遵循以下三个原则:一是最小特权原则，即最小化分配用户的所需权限。这样可以对用户权限进行最大程度的限制，用户只能进行权限内的操作，越权的操作一律不被允许，只有把用户错误操作的概率降到最低，才能保证系统最大程度上的安全。二是最小泄密原则。这一原则是在最小特权原则的基础上进行的，只有分配到用户身上的权限越小，才能保证用户信息被窃取的越少，规避重大损失的产生。三是多级安全策略。用户权限具有安全级别，若用户强制访问，则需其权限高于安全级别，访问控制技术中多级安全策略的应用可保证系统的安全，防止敏感资源的扩散。校园网的安全建设需重视访问控制技术的应用，保证校园内不同角色登录校园网权限的级别和差异性，防止机密信息的泄漏与扩散。

(四)网络数据恢复和备份技术。计算机病毒、黑客攻击等都会造成校园网信息数据的泄漏、丢失，应用网络数据恢复和备份技术可以有效保护校园网的重要数据信息资源。学校运用网络备份设备可以对网络信息资源进行集中管理，不仅可以提高网络管理员的工作效率，还可以对校园网络中的备份作业进行实时监控。校园网运行过程中结合网络数据恢复和备份技术，可以根据出现的问题及时对网络备份策略进行修改，有效提高系统备份的效率。校园网网络管理的重要环节是定时对网络数据库中的数据资源进行备份，校园网要建立在线网络索引，保证用户在访问校园网过程中可以根据需求随时恢复网络数据文件。同时校园网的归档管理在网络数据恢复和备份技术上得以实现，校园网络管理员可以利用统一的数据备份和储存格式保障网络信息数据的长期保存。

(五)身份认证和数据加密技术。身份认证技术是指网络用户在使用计算机网络时身份需要被确认并获得准入权限的技术。在校园网络中，每一个校园网络使用者都需要在网络管理员处获得一个身份，凭借这个身份，网络用户在登录校园网络后需要首先输入相应的帐号和密码，通过身份认证后才被准入校园网络而进行查找、浏览、下载等活动，这对网络黑客的恶意攻击产生了巨大的抑制作用，从而提高了校园网络的安全性。但随着科技的快速发展，一些网络攻击者通过特殊手段进入了校园网络，对用户信息进行修改、盗窃的违法犯罪活动，这时学校就应当做好数据加密工作。数据加密主要是针对通信数据和路由数据而进行的加密处理，网络攻击者窃取数据之后，没有能力对其解密，从而无法获得有用的数据信息，这样就保障了数据的机密性。

三、结语

篇3

关键词：校园网 安全 防范体系

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2015）11-0000-00

当今社会，网络已经成为信息传播的主要渠道，广泛应用于社会的各个领域，但由于网络的开放性、多样性以及自身安全漏洞的存在等，网络安全成为一个不可忽视的问题。信息化建设已经成为高校重点开展的项目之一，利用网络能够加快信息处理的速度、合理优化和配置教育资源、及时分享和获取科研成果等[1]。

1 网络安全的含义

网络安全和信息安全是网络信息安全的两个组成部分。网络安全主要指的是系统平台层面的安全范畴，包括硬件组成、操作系统、软件运行的环境、各种应用软件等。信息安全指的是数据通信过程中的安全保障，包括数据加密、过滤、备份等，常用的安全技术有防火墙、杀毒软件等。

学校内每个部门和学生都属于校园网的一个用户，每个用户的信息都需要得到很好的保护。如何有效地管理和保护用户的信息是校园网安全建设的重要问题，也是信息安全保证环节中最为重要的一环。

2 校园网网络现状

校园网通过校内局域网互通的方式，实现了整个学校的教育、科研、管理的统一结合。校园网主要分为三个层次：核心层、汇聚层、接入层。核心层是整个校园网络的保障，一般选用交换机等作为服务器进行数据的收发工作；接入层直接面向用户，通过不同的VLAN进行用户与主机的相连；汇聚层则是相当于核心层与接入层之间的通道。目前主流的校园网拓扑结构比较简单，学校网络中心作为校园网的入口，经过一道防火墙，到达中心交换机处，再由中心交换机向四周的汇聚交换机辐射，形成一个星型拓扑结构。

大多数学校由于在校园网建设初期经费有限，往往对网络安全的建设投入不足，使得校园网络在一个缺乏有效安全预警和防范措施的环境中使用，仅仅通过一个防火墙的方式来进行防范。同时没有对用户的网络进行设置，从而导致病毒的传播、网络攻击、信息窃取等安全隐患。这些隐患一旦发生，对校园网络是致命的。校园网建设过程中面临的主要的问题有：硬件设备简陋、IP地址攻击、操作系统漏洞。

硬件设备的优劣关系到校园网内的用户访问互联网的速度。设备简陋、设备技术指标低是目前校园网硬件平台的通病，学校往往为了提高用户的访问速度，而把防火墙设置较低的等级，这就为网络建设留下了安全隐患。学校应该加大硬件投入力度，购置多台性能好的服务器设备，满足广大校园网用户日益增长的网络使用需求，真正做到安全、高效、便捷的网络化应用。

TCP/IP协议是互联网应用的主要传输协议，其用物理地址作为网络节点的唯一标识，校园网中一般采用DHCP 服务器技术，即是说每个节点的IP地址都是不固定的公共数据，这样，一些不法人员就可以通过直接修改IP地址进行伪装、冒充可信节点，在网络中进行攻击，威胁着校园网络安全。

Windows系统目前作为学生群体的主流使用的操作系统，属于 C2 级安全操作系统，拥有用户标识、身份认证、存储控制和审计跟踪等功能，但其本身也存在一些安全漏洞，如果系统中没有安装高效的杀毒软件等，很容易造成病毒的入侵并传播，造成整个校园网络的瘫痪或信息的流失。

3 信息安全防范技术

目前主流的信息安全防范技术主要有：防火墙技术、VLAN划分、流量控制。

防火墙作为最重要的网络安全设备，是一种位于两个或多个网络之间，用于控制访问的组件集合。它通过软件和硬件上限制没有授权的网络访问，达到保护网络和系统不受未知侵犯的目的。硬件上，防火墙可以是路由器、交换机或其他可提供网络交互的设备，也可以这些设备的组合，它将广域网和局域网区分开来，作为内网和外网之间信息流通的唯一通道，通过安全设置，将内外网间交互的信息进行限制和保护。管理员可以通过查询防火墙的工作日志，了解网络的使用情况。防火墙的缺点就是“防外不防内”，如果攻击者在内部网络中实施攻击，防火墙是无法进行防御的，所以目前对于来自内部网络用户的安全威胁，只能通过加强内部管理，如用户安全教育、定时安全检查等方式进行规范。

VLAN 又称虚拟局域网，是一种将物理网络划分成多个逻辑（虚拟）局域网的技术。传统的局域网当中，用户可以随意地截取同一局域网内的其他计算机之间的通讯数据，这就给局域网的通信留下了较大的安全隐患。通过划分VLAN，每一个虚拟局域网之间只能通过路由转发而不能直接地进行数据交互，大大提高了网络的安全性。同时，每个路由器可以进行单独地设置，进而对网络监听等一些入侵手段采取有效防范。校园网拥有的用户群体比较庞大，也比较集中，比如教室、图书馆、宿舍、办公楼等，每个区域对网络的使用需求以及对安全性的要求都不相同。因此，采用VLAN技术将校园网划分成各个不同的局域网区域，满足各个用户群体的使用需求和相应的安全防范设置。

校园中网络使用群体较多，一般都达到数千或上万人，网络访问速度一直是校园网中一个比较关注的问题。上网人数众多、P2P类软件下载使用频繁、加之校园网网络带宽有限，常常会因流量负荷过大造成网络阻塞，严重影响用户的使用体验效果。因此，增加流量控制设备可以作为一个较好的解决手段，通过流量管理功能合理的分配有限的带宽资源，优先满足比较重要的系统应用，保证其正常的运行，同时限制或过滤占用资源大的P2P下载等网络应用，降低网络的负荷[2]。同时通过查询和分析网络使用过程中的流量分布情况，对一些可能发生的突况进行预控，也可以根据报告定制功能或网络流量应用管理措施，能够大大提高网络管理人员的工作效率。

4 结语

校园网作为一个特殊的网络形态，在满足学校教育、科研、管理工作需求的同时，也要保证学生在一个安全健康的网络环境中学习。因此校园网的网络安全建设成为整个校园信息化建设的一个重要组成部分，从技术和管理层面相结合，建立一套完善的安全管理体系和安全防范措施。

参考文献

篇4

随着现代智能感应、物联网、移动互联网、大数据、云计算等现代技术的飞速发展，高校传统校园和智慧校园已越来越不可分割，师生教育活动已经置身于现代智慧校园中，这不仅是信息技术不断进步的结果，更是信息化深入高校发展、融入高等教育后的一种回应。

1智慧校园内涵

目前，iot、aiot和ai等互联网教育技术在国内已逐步得到广泛应用和有效普及，在国家互联网+智慧教育创新理念的强大影响下，国内高校出现了多所学校的教育跨专业领域教育理念智慧教育，学校的教育信息化专业教育已由传统数字化教育走向专业信息化和智慧教育化。在宏观政策层面上，构建高校校园信息化体育教学管理体系，可以为促进学校的自身发展和推进校园教育改革建设提供有力支撑，可以为高校不断寻找自身发展的新方向。实际上在教学管理改革过程中，积极探索构建一所智慧素质校园，是直接促进高校师生综合素质不断提高的有利驱动因素，可以做到实现高校不断创新管理机制，不断加强高校的教育组织管理机构，为广大学生家长提供优质全方位的素质教育，主要包括教育学习、研究、教育、服务、管理教育文化和信息科技等领域内容。“智慧校园”是指运用“互联网+”的思维方式，结合物联网、云计算、大数据、人工智能等新一代信息技术，将分散的、各自为政的学校信息化系统与资源整合为一个有机整体，构建具有高度感知、协作和服务能力的新型信息化校园环境，提供网络化、智能化、一体化的教学、科研、管理和服务支撑平台，推动教育教学体制改革，提高教育教学质量和教学效益，促进师生成长和发展。“互联网+”信息时代，伴随着现代物联网、云计算、大数据、移动互联网、人工智能等各种新一代校园信息基础技术的不断出现及在专业校园教育中的广泛应用，高校专业校园教育信息化建设发展已经进入了一个全新的发展阶段，智能自动感知的校园网络学习环境、云端服务平台上的支持信息服务、大规模数据中心的智能建设、业务管理系统的智能集成化与整合、一站式校园信息服务入口、可视化信息展示等，使我国校园教育信息化从数字化发展阶段逐步进入智慧化发展阶段。

2新时代背景下高校智慧校园网络安全问题

在“智慧校园”的时代背景下，校园一卡通、校园安全无线网络、网络安全检测设备等被广泛地深入应用于大学校园环境安全建设宣传活动中，在取得促进大学校园环境安全建设成效的同时，也给大学校园文化环境建设工作带来了安全隐患。

2.1校园一卡通系统中的安全问题

校园管理网络服务是我国现代化大学校园服务建设的一个重要组成部分，教师和在校学生可随时通过各级校园服务网络直接开展学校图书管理借阅、成绩管理查询、信息管理登记、饮食娱乐消费等服务活动。校园网络一卡通通信系统能否安全稳定运行，会直接影响到全体师生的正常学习生活，是学校网络通信系统安全规范建设重要的技术出发点和落脚点。一般而言，如果学校计算机在个人信息的收集记录、统计、处理、归档等操作过程中一旦出现安全漏洞，教师和在校学生一卡通就很有可能被不法分子利用网络病毒进行攻击。计算机病毒因其具有场域性和空间联动性，一旦学校计算机电脑控制器和系统硬件受到严重破坏，整个大学校园的网络计算机安全系统就可能会因此受到严重影响，最终可能导致整个校园内的网络安全系统瘫痪。与此同时，校园一卡通也是一种学生电子货币，一旦受到黑客攻击，不仅可能会直接泄露整个校园的管理系统信息，包括教师和学生的个人信息，还可能直接给整个校园师生造成不同程度的生命财产安全威胁。

2.2校园无线网的网络安全问题

校园无线网以利用电磁波传播作为学校信息网络传播的主要载体，不法分子通过借助一些专业通信设备和其他专业通信技术，可以对校园无线网络连接造成一定的网络干扰，从而容易产生非法窃听他人信息、盗窃他人信息、篡改他人信息等不法行为;有的学校市场营销工作人员还可以利用一些个人电脑设备或者虚拟电脑处理一些校园无线网络中的热点，创建网络钓鱼软件网站，窃取网络用户的电子账户登录信息、密码验证信息等。

2.3校内设备的网络安全问题

校园网络安全技术设备配置是有效解决当前校园网络安全问题的重要技术手段，是引导学校深入开展校园网络安全建设的关键。但就目前校园网络安全管理设备的实际应用而言，由于长期受到网络硬件管理设备运行质量、软件管理系统工作性能及其他网络相关设备配置软件属性等诸多因素的双重影响，其实际使用时的安全性相对较低，工作效率不高，在整个设备运行使用过程中，容易受到各种不法分子的恶意攻击。

2.4校园网络系统漏洞的安全问题

“网络系统漏洞”安全泛指一个网络安全系统在日常设计使用过程中所不能忽视的或固有的主要缺陷，这些主要缺陷很有可能是由于网络技术不断发展却不及时更新所导致的安全问题。理论上讲，随着网络系统的不断升级和网络技术的不断改进，网络安全系统可能会不断出现各种形式的安全漏洞。网络安全漏洞的不断产生，会不断加大网络病毒和其他网络攻击对系统的直接危害，因此，必须不断提高系统的安全故障保护意识，把网络安全系统保障维护作为一个长期的重要工作目标去抓。当前最常见的一种计算机操作系统就是Windows，在实际系统设计中也同样可能存在一些缺陷，而且大多数勒索病毒都不只是针对一个Windows系统而设计的。例如2006年，我国第一个专门用于恶意敲诈其他用户系统数据的恶意木马病毒被警方发现并进行拦截，称其代码为“敲诈者”，该木马病毒软件可以在用户系统文件遭到恶意攻击并隐藏其他用户系统数据后，以恶意修复系统文件的加密名义向其他用户进行敲诈。在勒索病毒被警方截获后的几天内，国内成千上万的个人计算机受到了严重危害，大部分的个人和事业单位也都遭受了严重损失。

3新时代背景下高校智慧校园网络安全问题的解决策略

3.1接入层安全优化

高校需要建立一个智慧大学校园系统网络安全监控平台，实现接入层对整个智慧校园系统的安全进行全面监控优化。为了有效优化学校接入到基层学校设备的网络安全性，需要从整个学校正常办公或其他教学使用区域中自动抽取学校静态i和ip，以有效保证学校静态i和ip的地址唯一性，同时也要保证整个智慧校园在正常使用网络过程中完全不会因学校地址的自动变化而产生一系列复杂的学校网络安全问题。总体而言，相关端口管理人员通常可以利用端口提取器输出的一个静态端口ip值来过滤出一些不可靠的端口信息，配置不可靠的配置端口，将旧的配置端口设备与新的mac端口绑定。同时，相关网络管理者也希望可以通过网络端口配置设计来不断提高网络安全性，主要就是依靠学校相关网络管理者在配置交换机网络端口、mac通讯地址等方面的综合能力合理设计，并从具体网络通讯地址配置入手，不断完善优化整个大学校园网络，最终真正达到网络整体安全的效果。

3.2数据信息安全优化

网络环境下校园数据安全保护问题还需要从访问控制、数据安全隔离、数据安全加密等多个方面对其进行深入探讨，以有效保证我国校园网络数据的信息完整性和数据有效性。实施虚拟数据资源隔离处理技术时，需要考虑建立一个新的虚拟数据资源库，即系统用户可将数据通过这种虚拟资源技术直接导入并将其存储到一个数据共享式的物理资源数据库中。这样的虚拟存储应用环境仍然存在许多数据安全隐患，需要根据高校应用发展需求及时采取安全隔离保护措施，对相关学校现有数据资源进行实时分类采集处理，以有效提高学校数据的使用安全性。并且它还要特别重视访问控制，采用系统数据远程加密技术，明确不同级别用户的系统访问权限，用户每次输入新的用户名、密码后，就已经可以实时查询整个系统的相关信息。为了有效顺利进行手机数据安全访问，建立手机身份信息认证管理平台，加强手机用户端的身份认证管理，是保证数据安全访问有序顺利进行的关键。对于出现多用户访问情况，一般建议采用数字签名、双重访问登录身份认证等多种技术手段来同时实现多个用户的同时访问登录权限和用户身份信息认证实时管理，使多个用户能够同时对整个数据库的信息安全进行实时查询。另外，还逐步加强了对敏感数据安全加密的高度重视，可以通过数据加密技术提高手机用户及其个人敏感数据的安全，尤其是可以保证用户敏感数据的安全私密性，在现有数据被非法恶意窃取的危险情况下，保证数据的商业机密不被恶意泄露。目前我国有很多不同类型的校园数据信息加密传输算法，需要根据我国校园加密网络使用规模和各种数据加密传输方式分别选择合适的加密算法，为数据的加密传输和数据存储处理提供可靠的网络外部环境。

3.3云安全技术优化

云安全技术的应用，可以把平面变成立体。在智能校园建设中，传统的杀毒软件只对安装在本地硬盘上的软件程序进行杀毒，通过对病毒信息的对比分析，实现杀毒效果。但这种杀毒方法不能对恶意程序进行拦截处理，同时国内还有许多手机木马程序不能正常检测。利用云安全识别技术，可以对多个病毒节点进行快速自动识别，在整个中国智慧大学校园网络结构中对病毒传感器中的节点群病毒进行全方位、立体化的病毒查杀。云安全管理技术把整个智慧型的校园病毒网络系统看作一个庞大的自动杀毒管理软件，几乎可以在多个病毒传感器中的节点上同时进行自动定位，实时跟踪采集和分析整理恶意病毒信息，防止恶意病毒在快速查杀文件过程中被漏杀。

3.4网络设备安全优化

在研究构建现有智慧智能校园设备网络管理系统时，要有计划地定期对现有智能校园设备系统进行日常维护和更新，以有效保证校园网络中智能硬件和软件设备的正常运行，保证所有网络通信设备的安全。通常用户可考虑采取下列软件设备安全应急保护措施：有效减少室内地震、火灾、洪水等自然灾害对软件资源和相关硬件基础设备的直接破坏;有效减少室内温度、湿度、电磁干扰和空气灰尘对系统正常运行的直接影响。网络设备的供电选型系统应尽量选择可靠性强、扩展性好的智能服务器，采用vvups方式供电，保证系统正常工作运行时也能稳定正常供电;对于校园通信网络数据中心智能交换机的系统设计，应优先综合考虑系统采用三层智能交换机的技术，既能实现校园网络间的有效相互连接，又能有效解决校园局域网空间划分的问题，避免由于校园路由器运行速度过低而造成的校园通信网络障碍中断现象。该支持技术在我国校园网络的建设中已经得到广泛应用，其支持系统实现了校园网络信息系统的实时数据共享、传输管理等功能；在数据存储设备的方式选择上，应尽量选用稳定性高、性能好的存储设备，以有效保证数据实时存储的可靠性和完整性。

篇5

【关键词】校园网安全 威胁 防范策略 防火墙

随着教育与科研网工程的快速发展，许多高校建立起自己的校园网络。但与此同时，也带来了网络安全问题。建立全新校园网络安全机制。保障网络的安全运行，使校园网络成为一个具有良好的安全性、可扩充性和易管理性的信息网络。

1 校园网络面临的威胁

目前，高校校园网络正处在蓬勃发展阶段，网络基础设施有了较好的基础，但网络环境的复杂性、多变性以及信息系统的脆弱性，决定了网络安全威胁的客观存在。国内高校校园网的安全问题有其历史原因。在以前的网络建设时期，由于意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在重技术、轻安全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就面临更多的安全威胁。不完善的计算机网络系统、潜在的强大黑客、嚣张的计算机病毒、缺乏防范意识的用户等等，都是威胁网络安全的隐患。这些安全隐患一旦成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。

2 校园网络安全的防范策略

2.1 物理安全策略

网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，应该对场地的封闭、防火、防盗、防静电、适当的通风、温度的控制以及电源的安全等提供符合网络设备要求的安全保证。还要考虑布线系统与照明电线、通信线路及暖气管道之间的距离，考虑布线系统和绝缘线、线以及接地与焊接的安全。

2.2 制定严格的网络安全管理制度策略

网络安全最重要的还是要思想上高度重视，校园网的安全需要用完备的安全制度来保障。健全校园网络安全管理制度是网络安全的核心。成立专门负责管理信息安全的部门，制定一系列规定。这些规定应包括：计算机网络安全建设规定，计算机网络安全管理规定，安全保密管理规定，机房出入管理等。选择有较高职业道德修养的人做网络管理员，提高管理人员的管理技术和计算机网络安全的防范意识，要从基本上保证和巩固计算机网络安全。对于使用人员来说，要加大宣传力度，进行计算机网络安全教育，提高使用人员的防范意识，保证计算机网络的相对安全。

2.3 系统安全策略

计算机网络应用与服务的基础是操作系统，但是不论采用什么操作系统，恐怕没有绝对安全的操作系统可以选择，无论啊个操作系统，其开发厂商必然有其后门。高校校园网络不但要选用尽可能可靠的操作系统，而且必须对操作系统进行安全配置。

在缺省安装的条件下计算机系统都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。同时采用最先进的漏洞扫描系统定期对网络中心的网络设备进行安全检查。也要优化操作系统，可以通过修正补丁，完善漏洞，加强监控，将服务和应用建立在安全级别较高的操作系统上。而且，必须加强登录服务器过程的认证，确保用户的合法性，也应该严格限制登录者的操作权限，将其操作限制在最小的范围内。

2.4 防火墙安全策略

防火墙是一个系统或一组系统， 它是由一个软件或和硬件设备组合而成，在内部网与公用的互联网间执行一定的安全策略，它实际上是一种隔离技术。在校园网中安全防火墙进行双向限制，一方面限制外界用户访问校园内部网络，较好的防止非法用户的入侵，一方面限制校园内部用户访问外界网络，通过这双方的限制保证网络的安全，就像是一道门将内部网络和外界通道进行了阻隔。

同时防火墙监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记。所以使用防火墙来保护计算机、服务器和局域网，使其在一定程度上避免受到攻击并保护网络资源的安全。

2.5 数据加密策略

数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。数据加密技术相比防火墙来说，更加灵活，可以用以进行动态信息的保护。

在校园网络系统中，涉及到很多重要信息，如学生成绩，科研资料等，如果这些重要信息遭到窃取或破坏，它的经济和社会影响将是很严重的。对于传输的重要信息，必须采用加密技术，保证网上传输的信息的机密性与完整性。

2.6 部署入侵检测系统策略

入侵检测系统是公认的一种对抗网络安全的有效方式。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，通过检测再采用一定的方式进行阻止或封闭等。强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。

对来自外部网和校园网内部的各种行为进行实时检测。当检测到网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据，如果情况严重，系统可以发出实时报警，使得学校网络管理员能够及时采取应对措施。

2.7 防病毒策略

计算机病毒给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在校园网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、自动升级、病毒扫描和清除、远程报警等多种功能。杀毒时要注意使用多种杀毒软件，尤其要安装网络杀毒软件，结合各种查杀方式交叉清理，可以有效对抗病毒、木马等对计算机有危害的程序。

3 总结

本文针对目前校园网络中存在的主要威胁，提出一些网络安全防范的措施。网络安全防范策略涵盖面广，综合性强，需要不断的完善和努力。校园网络安全是一个循序渐近不断完善的过程，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。

参考文献

[1]谢晖辉.网络安全技术在校园网中的应用，电脑知识与技术，2009年第09期.

[2]李红，薛礼.云计算与物联网[J]，硅谷，2012，09：17+64.

篇6

关键词： 高校；网络安全管理；校园网；数据库；身份认证

中图分类号：TP393文献标识码：A文章编号：1671－7597（2012）0320149－01

校园网是高校基础设施中重要的组成部分，也是高等学校在创办国家“211”工程院校的必备条件，可见校园网络安全在高校中被重视的力度，学校大力加强网络安全的管理更有利于学生在日常生活中来使用网络。

1 数据库统一

随着网络通讯技术的发展和教育水平的逐渐提高，计算机网络的应用已不再仅仅是为了满足学生之间的互访以及学校信息的单独处理，而是发展成为集局域网、学校系统管理、学校各部门之间信息传递等数据一体化的趋势。

a

校园网络的使用和其他企业网络的使用有着很大的差别，校园网络的使用有自身的独特性与非独性，比如在学校一些简单的局域网技术就能给学生带来不一样方便的使用，如P2P的技术，学生在使用此技术后可以共享学习中的一些资料，以达到资料内部共享，可以互相讨论学习，就能够更加节约时间与空间，这样的学校效率可谓事半功倍。

在高校中管理校园网络负责学校网络的日常安全还可以借助各种应用软件，比如说，SAM安全运营管理，这个是专为教育行业而开发的一款软件，借助这种管理平台不仅仅能安全的实现学生之间以及学生与教师之间以及学校工作人员之间的紧密联系与信息反馈，而且可以达到数据统一的作用，在管理和计费方面有着及其优秀的特性，在学校采集数据及其入库时可以通过建立专属数据库的防火墙以便来过滤采集时的一些垃圾信息，而且还可以阻止病毒的攻击，非常有利于学校数据信息化的统一，为学校的网络安全管理做出积极的贡献。

2 身份认证统一

关于高校网络安全措施之一身份认证统一，相信大家并不陌生，在各个学校中，学校网络管理系统会设置学生和学校工作人员的登录帐号，这就是为了让师生更安全的使用校园网络，而且相信大家也都知道学校的校园网络有部分属于内部信息只提供师生在学校的局域网络范围内使用共享，这就是为了网络不受外部人员的攻击，更又有利于网络安全的管理。

学校网络安全建设中统一身份验证是完全有必要的，在这方面往往也要借助学校所购买的一些功能软件，其安全性就更加能够得到保障，很多高校在学校信息化建设中投入了很大的资金和人力，其中采购、管理、维护等方面。在学校统一身份认证后，学校一系列的网络建设就更加安全，如远程教育、办公自动化、精品课堂、数字图书馆的建设都得到了保障，保障这些网络应用发挥到极致，从而在另一方面推动了学校数字化建设，让校园网络发挥到更多更大的作用，安全性大大提高，在垃圾邮件、网络病毒、内部攻击等方面起到了遏制作用。

对于学校管理人员来讲，统一身份认证更加是有必要的，在其减轻工作力度上又做积极作用，据了解，在学校，校园网络成为了广大师生学习娱乐生活的重大动脉，以至于广大校园网络使用者对其产生依赖，在遇到一些突况后会对校园网络进行恶意的批评乃至攻击，这是因为，如今的信息时代，学生已经完全依赖这种方便快速的生活模式，在遇到些许不便然后或大或小的对学校网络进行正常的咨询以及非正常的投诉。

在网络应用上，如新学期的网络选课大家再熟悉不过，同一时间内大量人员进行访问校内网，造成网络堵塞，以至于主页瘫痪，难以进行正常的选课，给学校管理人员带来极大的困扰，避开高峰进行选课是最常用的方式，不过这仅仅是治标不治本，优化学校服务器才是王道，进行数据更新才是根本，这也是统一认证给校园网络带来的困扰，事物两面性在这里得到体现，不过为了更安全的使用以便不至于资源浪费，所以建议在统一认证后升级系统服务才会跟有利校园网络的建设。

3 结束语

可持续发展是网络最高追求，特别是校园网同一个主页同一个客服系统，同一个校内公告，都是在循序渐进中完善更新，每个网络服务每个平台，校园网络就更加能体现这一点，如何维护网络正常安全运行是每一个学者都应该去探究的科学问题，加强校内多处站点网络的监测，购进更强大的网络杀毒系统，就能够近一步遏制网络病毒泛滥的特性，保证网络安全高效的运行。

参考文献：

篇7

职业院校网络迅速发展的同时，层出不穷的网络安全问题影响了校园网的正常运行。为了更好地建设职业院校园网络，本文在APPDRR模型的风险分析指导下，从职业院校网络的特点出发，探讨当前职业院校网络所面临的安全风险。

【关键词】APPDRR 风险分析

1 引言

在国家实施科教兴国战略的背景下，校园网络已经成为职业院校的必备硬件基础，是衡量职业院校教育现代化、信息化的重要标志。目前，大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台，并产生了明显的效果。

2 APPDRR网络安全模型

APPDRR（全网动态安全理论）网络安全模型是一种动态，自适应的现代网络安全模型，[1]即：网络安全= 风险分析+ 制定策略+ 系统防护+ 实时监测+ 实时响应+ 灾难恢复，本文是基于APPDRR模型的风险分析指导下展开的。

风险分析是APPDRR模型的重要组成部分，通过对资产、脆弱性和威胁，综合评估分析网络所面临的风险，对所发现的风险提出相应的处理意见和安全建议，并指导下一步的网络安全建设。

3 职业院校网络风险分析

职业院校网络面临着诸多的问题，首先是规划建设并不是一步到位的，是经过不断升级改造后才形成的规模。安全设备品牌种类不一，在功能和处理能力上存差别，有的职业院校管理的重点侧重于网络边界和主机安全等方面，但是在校园网络的运行过程中，所出现的的威胁，大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。

本文从链路层、网络层、操作系统、应用层和网络管理等6个方面，对职业院校网络所面临的风险作一个粗略的分析。

3.1 数据链层的安全

数据链层位于物理层和网络层之间，数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略，数据链层的安全问题有： MAC 地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和VLAN 跳跃攻击。

3.2 网络层的安全

网络层处于数据链层和传输层之间，是网络体系结构中的第三层，TCP/IP 协议族中最核心的IP协议就在网络层，广泛应用的TCP、UDP、IGMP及ICMP 数据包，都以 IP 数据报文形式传输。网络层封装 IP 数据包，并路由转发，解决机器之间的通信问题。网络层常见安全问题有：明文传输面临的威胁、IP 地址欺骗、源路由欺骗和ICMP 攻击。

3.3 传输层的安全

传输层在 OSI 模型中起着关键作用，负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议：传输控制协议和用户数据报协议。传输层常见安全问题有：TCP"SYN"攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。

3.4 操作系统的安全

目前在职业院校，除了服务器是使用UNIX、Linux外，其它工作站基本是使用微软操作系统，存在以下风险。

（1）安全隐患的产生，主要是操作系统配置不合理，例如：没有管理员口令，用户弱口令，未删除和禁用不必要的帐号，设置完全共享的目录、没有防病毒软件、不合理的访问控制，资源共享的访问权限配置不当等。

（2）操作系统的正常运行需要很多系统服务支撑，这些系统服务向用户和应用程序提供功能接口，有些是操作系统正常运行必需的，有些则是不必要的。不必要的服务不仅会占用系统资源，还会给操作系统带来安全威胁。如果用户不知道自已的操作系统，哪些服务是可以访问网络的，就容易被入侵者利用。

3.5 业务应用的安全

职业院校为了满足科研、教学、办公的需要，校园网搭建了很多网络应用系统，如：信息、教务管理、办公自动化、图书管理等。这些应用系统很重要，但也存在风险如下：

（1）身份认证：操作系统和应用系统为了保证安全，采取了身份认证措施，这些机制各有特点，但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄，使用系统默认或者弱密码，并且长期不改动，形同虚设。

（2）WEB 服务：WEB 服务是学校用于对外宣传、开展网络远程教学的重要手段，应用极其普遍，使得 Web 服务经常成为非法攻击的首选目标。存在的安全隐患较多，网页代码本身就存在后门和一些缺陷，比如 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷WEB 服务器，可以把WEB 服务器作为跳板，通过中间件或数据库连接部件，非法访问学校内部应用系统和数据库，并可利用网页脚本访问本地文件系统和网络系统中其它资源。

（3）数据库：数据库是信息系统的核心，校园网内的业务应用依赖于各种数据库系统，保证数据的安全和完整，正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的，通过查询工具就可建立与数据库的连接，例如通过 TCP1521 和 1526端口，就能侵入一个弱防护的数据库；数据库运行过程中，出现的错误信息，可以泄漏数据库结构，分析这些信息就能实施攻击。

（4）网络资源共享：为了工作方便，内部人员经常会使用网络共享，如果没有对资源共享，作必要的访问控制策略，重要的数据信息，就无防护地暴露在网络中。

3.6 网络管理的安全

安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束，就会带来风险：网络管理人员把校园网络结构、系统的一些重要信息传播给外人，会造成信息泄漏；密码和密钥管理风险，管理员账户及密码被外人窃取；在约束缺失的情况下，利用网络和系统的弱点，实施入侵、修改、删除数据等非法行为；审计不力或无审计，当网络受到攻击或其它威胁时，没有相应的检测、监控、报告与预警机制。事件发生后，不能提供任何记录，无法追踪线索，缺乏对网络的可控和可审查性。

4 结束语

综上， 为了把职业院校网络建成一个全方位、多层次的网络安全防范体系，从根本上解决校园网络内外部对网络安全造成的威胁，首先我们得作风险分析，发现风险，并提出相应的意见和建议，并指导下一步的网络安全建设。

参考文献

[1]彭飞，龙敏.计算机网络安全[M].北京：清华大学出版社，2013.

篇8

关键词：计算机教育；信息安全；邮件

目前，网络大数据是全球信息化发展的趋势，人们越来越依赖于电脑、手机等电子设备，随之而来的信息在网络上被窃取，用于非法的事件也不断频发，对保障网络信息安全带来了新的挑战，愈发受到人们的重视。网络信息安全不仅跟个人生活密切相关，更是国家信息战略不可或缺的部分。根据中国互联网络信息中心的青少年上网行为研究报告显示，中国青少年网民规模庞大，占整体网民的42.7%，占青少年总体的79.6%。60.1%的青少年网民信任互联网上的信息，青少年网民对互联网有较强的依赖性，网络信息安全意识淡薄，因此，教师要从学生时代开始灌输信息安全的重要性。网络在给学生的学习和生活带来便利的同时，也可能对其身心健康造成不良影响。如果不能让学生认识到网络信息安全的重要性，那么，学生很可能错误地理解网络信息安全，更可能受到网络不良信息的侵害。下面就教育中的信息安全问题做个简单的探讨：

一、计算机网络安全教育面临的问题

1.学校对网络信息安全教育的重视不够

当前大多数学校对信息网络安全教育的重要性认识不足，比起当今网络的飞速发展，学校对于网络信息安全教育的认知相对滞后。加强网络信息安全教育，不仅可以让学生的身心健康发展得到保证，也是网络化社会安全的基本需求，可以最大限度地保证学生免受不良信息的侵害，避免学生因受网络不良信息的引导而做出违法犯罪的事情，更是为国家培养高素质信息安全人才提供了保障。

2.对信息安全教育的重要性认识不足

目前，学校校园网络随着国家信息化建设的步伐，已经逐步走上正轨。许多学校都配备了无线、有线网络，使学生和老师的生活和教学更加方便。义务教育阶段，学校也普遍开设信息课程，但是重视程度远远不够，开设信息安全教育只是较为简单的论述，导致学生对网络信息安全的知识没有一个系统的了解。学校也没有正规、科学地把网络信息安全教育纳入教学计划中。为了全面提高学生的网络信息安全意识，学校应该重视普及信息安全教育，这对加速国家网络信息安全建设的进程具有十分重要意义。

3.教育方法较为落后单一

部分学校信息安全教育的教材、教育方法落后，只有老旧的理论教育，缺乏与现实的紧密联系，相关信息安全的教育人才缺失也是影响教育效果的关键因素。学校应该顺应信息化时代的需求挑选教材和更新教育方法，使之更加适应当前社会网络信息安全发展的需求。

二、信息网络安全的危害及其表现形式

1.自然灾害

计算机是一个电子设备，其使用对环境有一定的要求，受环境影响也比较大。目前大部分学校机房没有相关的保护措施，抵御自然灾害和意外事故的能力较差。在日常学习工作中由于缺乏相关保护措施，导致电脑损坏、数据丢失的现象也时有发生。

2.“恶意”网络软件和“后门”

网络世界的开放及多样性导致软件的质量参差不齐，其安全性也没有统一的机构进行审核，犯罪分子往往利用软件中的漏洞或缺陷攻击或破坏计算机系统。另外，软件公司的开发人员出于某种目的，会在开发的软件代码中留有“后门”，一般不为普通用户所知，在特定的情况下，“后门”会被打开，其造成的影响和后果是不可估量的。2014年的“Shellshock”和美国的“棱镜门”事件是近年来最为典型的网络安全事件。

3.黑客的威胁和攻击

自从世界第一台计算机”ENIAC“诞生以来，网络技术不断发展，其中也包括“黑客”技术。黑客通常指在未经他人许可的情况下，侵入他人系统，这是信息网络所面临的最大威胁。黑客攻击手段一般可分为破坏性攻击和假冒型攻击（非破坏型攻击）。破坏性攻击是为了达到某种目的，侵入网络电脑系统、盗取系统资料信息、破坏网络系统的数据。黑客们常用的攻击手段有获取口令、木马攻击、电子邮件攻击的欺骗技术和寻找系统漏洞等，假冒型攻击是指黑客冒用你的账号向别人输送信息。

4.垃圾邮件和间谍软件

一些不法分子利用电子邮件地址的“公开性”和“可广播性”强行给别人发送电子邮件，这些邮件一般是带有广告推销性质或是带有恶意代码，一旦打开邮件就可能导致不良后果。间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户数据。

三、加强学校信息安全教育的方法和途径

1.建立信息安全教育体制

首先将信息安全教育归纳进学校的安全教育中，制定切实可行的信息安全教育内容和计划。在日常教育与教学活动中开展信息网络安全教育工作。

2.增加学生信息网络安全意识

网络提供了求知学习的广阔空间，使学习能够不受空间和时间的限制，这对学生的学习有着巨大在帮助作用。在网络上学生能够接触到更多的知识，但是学生对这些信息缺乏辨别能力，自身的安全意识和对网络的自律能力不足，容易受到不良信息诱惑，使其人生观、价值观发生转变。因此，教师要注重培养学生的信息安全意识，使他们既能保护自己的信息，又能抵制进行网络犯罪，共创安全和谐信息网络环境。

3.加强信息安全的教学实践

信息安全不仅仅要进行理论学习，更要强化学生的实践环节，广泛组织以《青少年网络文明公约》为主题的各项活动，积极引导学生养成正确的网络观，竖立信息网络正能量，提高学生适应信息化社会的能力，使学生能够勇于直面网络的善与恶，投入到建设安全网络的实践中去。

参考文献：

篇9

随着教育网基础建设的逐步完成，其构成的信息化高速公路在学校教学、科研、管理和对外交流等多方面扮演着越来越重要的角色。

杨浦区早在1996年就成立了区教育信息中心，并将其建成了连接各校园网的门户站点，校际共享的教育教学的资料库，教育行政部门管理的网络中心。

全区中小学信息中心网络实现24小时开通，建立了全区中小学电子邮件系统，通知、提示、文件全部网上运行，加快了信息的传递速度，提高了工作效率。分批推进校园网建设，实施“校校通”工程，做到“线路通、资源通、应用通”。

但是，数字化技术的大量应用，也使恶意和非恶意性的侵害和攻击行为发生的可能性大大提高，如何保障信息系统安全、优良的运行，实行高效、及时的管理?同时维护也成为重点考虑的问题。

杨浦区教育信息系统是教育行业内发展快、基础架构完善的网络，承载着整个区的网络教育以及教职员的研究项目的任务。由于网络系统比较出名，容易招致黑客的恶意攻击。

每当攻击导致网络出现故障时，学生将无法完成自己的课堂作业，教职人员无法进行自己的研究项目，行政管理人员则无法完成日常的管理任务。攻击也会给网络小组造成极大的麻烦，此外，学校还必须投入数十万元的资金用于恢复网络。

如何寻求新的解决方案给网络安全再上一道门。那么，什么样的门才能实现这个功能呢?防火墙的目标是用于网络访问控制，对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力。

另外，对于通过邮件传播的蠕虫病毒，防火墙也无法阻挡。而且，黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。IDS只能是被动的报警，有时候还有相当大的漏报和误报现象发生。

最终，IPS(入侵防护系统)吸引了信息中心同事们的注意。他们发现，IPS不仅具有IDS的预警功能，而且，还可以在报警的同时，截获恶意的数据包，实现主动防御。

通过对防火墙、IDS以及IPS等安全工具的优劣势进行比较分析，杨浦区教育信息中心的技术人员都觉得IPS是最佳的选择，于是，他们决定引进IPS系统。

通过多家公司的产品测试，最后决定购买McAfee的设备。McAfee具有全面的安全产品，如防病毒、病毒网关、入侵防护以及安全风险管理。目前主要是解决网络安全事情，特别是蠕虫和非法攻击。经过严格的测试和对比，最后决定选择McAfee Intrushield 2600。

McAfee Intmshield 2600可同时以In-Line的方式防护四条链路，做到对网络入侵攻击的实时阻断。提供一对千兆端口和三对百兆快速以太网端口，吞吐量高达600Mb／s，不仅满足了杨浦区教育信息中心的现有网络需求，并且为信息中心网络今后的扩展提供了很大空间。

同时，可以根据杨浦区教育城局域的需求，在McAfee Intrushield2600上针对VLAN和CIDR设定虚拟IPS，以做到更进一步的细致防护，确保整个杨浦区教育城域网网络的安全。

在安全系统中，将McAfee Intrushield 2600的一对检测防护端口以In-Line的方式串接在核心交换机和链路负载均衡设备Radware LinkProof之间，以做到实时的阻断整个杨浦区教育城域网内网对外网及外网对内网的入侵攻击。

一对检测防护端口同样以In-Line的方式串接在核心交换机和电信MPLSVPN接入之间，以做到实时的阻断内部网络中各学校对信息中心应用服务器群的入侵攻击，有效的保护信息中心的安全。

MsAfee IntruShield能够通过先进的签名检测、异常检测以及DoS攻击检测来预防各种各样的攻击，其先进的功能也使杨浦区教育信息中心的工作人员受益匪浅。自从部署了McAfee IntruShield以后，杨浦区教育城域网被攻击的次数显著降低了。

加油IC卡：防毒也“加油”

文　斌

如今80％的病毒通过电子邮件进行传播，那么加油IC卡系统是如何对整个防病毒系统进行集中管理，如何在网关处就将带病毒的电子邮件扫除门外?

中国石化加油IC卡系统是中国石化集团公司与银行合作开展的跨系统、跨地区的特大型IC卡应用项目。

IC卡系统通过以现代支付工具IC卡取代传统的现金、油票等结算，实现加油款的电子支付和交易数据的自动采集，在各级石油公司和加油站建设零售业务管理信息系统，以高科技的经营管理和服务提高工作效率、降低经营成本，使企业在市场竞争中处于有利的地位。

项目的建设不仅为开展油品电子商务业务奠定基础，也有利于逐步以加油卡这一现代金融工具替代传统的现金、油票结算，同时采用银企合作方式建设通用加油卡系统，也为国有商业银行开辟了新的业务领域和新的服务市场。由于中国石化加油IC卡系统需要完成各种交易信息的传送和处理，因此，确保系统的安全可靠至关重要。

全方位保护系统

为了全面实现“中国石化加油Ic卡防病毒管理系统”的目标，最大限度地防范病毒危害，在建立“中国石化加油IC卡防病毒管理系统”时，针对网络构造和应用环境的实际情况，采用McAfee Active Virus Defense(AVD)和McAfee安全网关解决方案。

建立全方位的、统一完整的加油IC卡防病毒系统，从桌面客户端、服务器、群件以及网关上进行全方位、多层次的整体防护，并通过McAfee AVD的核心产品ePolicy Orchestrator(ePO)对整个防病毒系统进行集中管理，分级控制，确保保护整个企业网络远离各种病毒攻击。

针对桌面客户端的防病毒产品VirusScan，VirusScan支持多种操作系统，从而能够对最广大的用户群提供支持，同时集成了一些功能强大的辅助技术，可以自动地保护系统免于崩溃和数据的意外丢失。

针对服务器的防病毒产品NetShield，NetShield支持Novell、Win NT、Win2000S和NetApp等多种操作系统，能够从一个直观的控制台保护整个企业的文件、应用程序和群件服务器，方便地从本地服务器或工作站监测、配置和执行远程服务。

分别专门针对Lotus Domino和Microsoft Exchange群件环境的防病毒产品GroupShield for Domino和GroupShield for Exchange。

传统的反病毒产品并不能对专有数据库内部以及群件环境中使用的通信进行扫 描，但群件服务器级的病毒防护功能对于企业防止病毒的扩散是十分重要的。应用了McAfee高级扫描技术的GroupShield能够有效防止病毒在信息传递过程中发作，在病毒扩散到网络其他部分时有效地将其查杀。

VirusScan防范多威胁

VirusScan Enterprise 8．Oi使得用户和管理员能够从容应对最常见的潜在恶意软件程序，包括蠕虫、间谍软件以及广告软件。

VirusScan Enterprise 8．Oi扩展了对新类型恶意代码的检测功能，这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够预防约200多种最具危险性的潜在恶意程序，用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。

网关拦截病毒

电子邮件已经成为计算机病毒传播的主要媒介，据统计，80％的病毒通过电子邮件进行传播。

如果能够在网关处就开始对电子邮件进行扫描，在病毒进入网络之前就将其截住，从而将对关键业务系统可能造成的危害减到最低。

McAfee安全网关全面集成了软硬件技术的防病毒硬件设备。利用McAfee安全网关，企业用户能够对出入网络的电子邮件、HTTP数据与FTP数据进行扫描以搜寻病毒信号。一旦侦探到病毒信号，能够将其清除、阻止或隔离该信息或数据。

中国石化加油IC卡系统是中国石化集团公司的重要系统，整个系统的稳定性直接影响着业务的发展。自从利用McAfee构建起全面防病毒系统后，整个系统运行稳定，实现了全方位的病毒防护，确保了整个系统免遭病毒的攻击和危害，保障了业务的顺利发展。

SOC建设剑指金融安全

刘　岩

安全管理已经被业界所认可，那么如何将这些管理上的制度和规范落实，将这些安全管理目标真正用技术手段加以控制?

正如ISO 17799国际标准所强调的，“信息安全是管理的过程，而不能仅仅考虑技术因素。”随着信息技术的发展，金融领域的科技工作重点已经由网络建设、数据大集中、安全基础设施建设，发展到安全管理的阶段。

那么如何才能更加体系化、流程化、平台化的进行信息安全管理系统的建设呢?

从BS7799谈起

由英国标准协会(BSI)在1999年首次提出的BS7799安全管理标准，2000年正式成为ISO／IEC 17799，并于2005年发展为最新版本ISO／IEC 27001。

该标准通过11个大类的安全目标和安全控制，构建了信息安全管理系统的框架，为各机构进行信息安全管理工作提供基础的依据。

七分管理，三分技术，管理和技术在金融领域的安全工作中是密不可分的，管理需要以强大的技术手段作为依托，技术的实施需要以管理目标作为依据。

近年来，国内的各大银行均在加强安全策略和规范的建设，如人民银行早在2003年牵头编制了《银行和相关金融服务信息安全管理规范》，而交通银行也正在制定信息安全总体规划，并制定相应的规范。

国外的同行业机构已经将7799的认证工作确实的落实到具体的安全技术体系之上，例如英国的SmileBank，其网上银行最早获得了英国BSI的7799 ISMS认证，并以此认证工作为契机为网银的客户提供强有力的安全保障。

如何将安全管理上的目标真正用技术手段做到控制呢?SOC(Seevturity Op-eration Center)就是在这样的大环境之下顺理成章出现并不断发展，它是从单一的技术手段向管理过渡的重要里程碑。

四个中心，五个模块

启明星辰提出的SOC解决方案，其体系架构如图1所示，由“四个中心、五个功能模块”组成：

“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心；

“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。常用的关键系统功能：

脆弱性管理

通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。

综合分析与预警

综合分析与预警是安全运营中心的核心模块，依据资产管理和脆弱性管理中心进行综合的事件协同关联分析，并基于资产(CIA属性+价值)进行风险评估分析，按照风险优先级针对各个业务区域和具体事件产生预警，参照网络安全运行知识管理平台的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。

响应管理

响应管理是根据当前的网络安全状态，及时调动有关资源做出响应，降低风险对网络的负面影响。

网络安全响应模块负责根据预定义好的安全策略规则，及时工作指令，调动有关资源做出响应。实现人机接口，通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMP Trap、邮件和短信。

安全策略管理

网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力。

同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。

安全知识管理

安全信息管理是安全信息的WEB系统，不仅可以充分共享各种安全信息资源，而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。

实现在安全管理中心WEB门户提供统一界面以安全WEB的形式最新的安全信息，并将处理的安全事件方法和方案收集起来，形成一个安全共享知识库，该信息库的数据以数据库的形式存储及管理，为培养高素质的网络技术人员提供培训资源。

SOC架起安全桥梁

SOC是安全管理工作的重要工具之一。机构资产的梳理、防火墙的配置、入侵检测系统的事件分析、甚至整个信息系统的脆弱性和威胁分析，这些都不能做到整体的安全管理。因为管理者不可能过多的关注某些细节，安全管理需要对整体的安全现状和态势进行宏观地把握，并果断 有效的传达旨意，采取措施。所以SOC的首要价值是通过技术的实现手段加强对安全管理的关注。应该关注的问题有：

衔接宏观与微观

金融机构的安全建设提出了更多管理层面的问题，需要对多种资源的整合管理更加重视。目前企业的安全运行管理普遍现象是，不同类安全产品分别有其自身的管理控制台，网络与主机设备由网管系统管理。特别对于金融行业而言，需要有效地整合各系统，对事件的数据格式、分级进行标准化，从全局上对整个网络安全事件进行分析。

解决人员依赖性

企业需要解决人力严重不足的问题，降低对人员技术水平、经验以及责任心的依赖，把人员所造成的安全风险降到最低。考虑到事件优先级判断与参与人员的技术水平和经验相关，很难有客观的分析和判断，需要建立一套完整的事件采集、统计、判断和处理机制。

关注业务风险

对于技术型的人员来说，往往采用技术型语言来描述问题。这种情况下，容易与领导和非技术部门人员产生沟通和交流的问题。因此需要将技术型问题上升到管理型的问题，风险数字化，损失数据化。

合规性

BS 7799作为系统的安全管理标准，在国际金融界广为使用。所谓7分管理、3分技术。管理和技术一直很难整合起来，管理不仅是制度，还需要有一种系统来实现管理的目的。SOC将安全管理需求与安全技术解决方案的整合，将管理和日常技术工作融合在一起。

有效显示

第一时间发现病毒或者入侵事件源头和发展趋势，通过图形化显示，直观了解全网的情况。

SOC能够把问题显示出来，能够量化。每天发现了多少次，解决了多少次，从而了解到网络安全的真实现状。

通过监控大屏幕的显示可以将整个网络管理的现状和态势展示出来，机构领导者可以直观的在监控中心了解宏观安全，并指挥各地的安全工作的落实。

例如，交通管理指挥中心人员不需要亲自前往各个拥堵的路段，他们只需要通过各种手段采集交通信息作汇总和，统一的指挥调度。安全管理工作也同样需要这样的机制进行全局的管控。

有效提炼，实施预警

SOC系统可以从海量的安全事件报警中得出有价值的信息，及时采取报警措施。

有效投资

安全风险是无限的，而安全投资是有限的。应该利用有限的安全投资解决无限的安全风险(安全投资ROI=减少的安全损失／安全投入)。

与安全域划分相结合

安全域的划分和赋值是金融行业网络安全建设的重要环节。启明星辰的泰合SOC解决方案的另一大特点，也是安全建设非常有价值的功能之一，是可以部署基于安全域的SOC平台，从而实现多层次可定制的安全域管理，基于域的细粒度风险计算和监控能力，并且以安全域的思想进行风险管理。

安全域作为安全建设的核心，需要长期的管理，SOC是安全域管理监控的有效工具。使用资源管理中的安全域管理的核心功能，可以使安全建设从单纯的信息安全工作向业务保障转换，同时将宏观的信息安全建设向下落实。

中国的信息安全起步和发展都处于世界前列，特别是在金融领域，2000年以来信息安全的技术和管理层面都已经作了大量的工作。但是行业科技人员和管理者还需要继续脚踏实地的落实信息安全管理工作，从而切实地为我们的金融客户提供高可靠、高质量的服务，使金融机构稳步健康地发展。

双认证护航远程安全

满　欣

由于RSA SecurlD认证器上每隔60秒转换一次6位数的无穷尽无重复口令多么高明的黑客都无法在如此短的时间内猜测出如此复杂的口令。

中国大地财产保险股份有限公司(简称大地财险)由包括中国再保险(集团)公司在内的10家境内外投资人共同发起设立，总部设在上海，目前全国有15家分公司。

为了建设一个高起点和高标准的信息化系统，大地财险与IBM公司合作，引进国际先进的保险理念和信息技术，初步建立起公司的信息技术基础平台。

基于VPN的种种优势以及最大化保险人的工作效率，大地财险的许多业务资源访问已经开始通过VPN实现，具备合法身份的工作人员可以利用VPN访问公司的核心资源。

VPN是把双刃剑?

大地财险的运营越来越依赖企业的核心力系统和数据，在通过VPN提高工作效率的同时，也看到了潜在的安全风险。

毕竟，VPN所应用的通信隧道，需要通过公共网络并且必须向各种各样的用户打开自己的“网络之门”。如果是正确的人存取了正确的信息，就等于你找到了一种功能无与伦比的商务工具。但是，当VPN的远程存取权落入错误的掌握之下时，就无疑是一场大灾难。

如何为企业的VPN访问建立一个更加安全的环境，成为大地财险完善VPN服务的一个关键因素。

VPN网络安全认证主要有以下几种形式：密码属于一种最弱的安全形式，密码公认的优点在于易于部署应用并且费用非常低廉。但是，密码非常容易被猜中、被窃取或者受到其他的破坏。

双因素认证必须提供两种形式的认证内容。这就象是一部银行的自动取款机(ATM)，用户既需要知道身份(卡)号码，还需要拥有认证设备(令牌或者智能卡)。

随着互联网交易数量的增长，将数字证书作为一种认证形式变得更加广泛。数字证书可以帮助识别用户，因为它要求使用具有唯一性的数字信用证明。

使用智能卡的安全等级最强。这不仅在于使用智能卡得到了双因素认证保护，而且还因为双密钥可以在智能卡上生成并储存。

生物认证利用的是某个用户所拥有的唯一生物特征。利用这种技术需要掌握某些生物数据，例如：指纹、视网膜扫描以及声波纹等等。

最终，大地财险决定采用双因素认证来保障其VPN网络的安全登录。

虚拟专用网络(VPN)正迅速成为远程存取应用中最普及的一种方法。通过建立在复杂交织的公共网络中的一个专用通信隧道，VPN可以使用户充分利用互联网的强大功能，不仅大大节省了用户远程存取应用的费用，而且还进一步提高了工作效率。

但是，作为个人专用并不一定意味着一个虚拟的个人网络具备应有的安全性，这是由于VPN经常采用的保护手段仅限于一种门槛偏低的密码屏障。

大地财险通过对业界知名安全厂商所提供解决方案的对比，最终采用了RSA SecurID和Web Express认证解决方案。

同步令牌双认证

目前，大地财险仅仅为其符合资格的保险人配备了RSA SecurID令牌。RSA SecurID时间同步令牌提供功能强大的双因素认证，这种技术要求用户提供他们知道的口令和他们拥有的硬件令牌。

这些令牌被设计成一种易于操作使用并且便于携带的小件产品，用来替代口令这种可以被轻松猜中或破解的安全性能偏弱的认证形式。

双因素用户认证系统能够代替基本的密码安全机制，有效抵御非法入侵，使宝贵的网络资源获得完善的保护，免受意外造成的破坏及恶意入侵。

RSA SecurID双因素用户认证产品的操作，如同使用取款卡一样简单方便。用户只需在进入受保护的网络前，先行输入个人识别密码，以及在RSA SecurlD认证器上每隔60秒转换一次口令，就能通过认证。

篇10

信息安全是一个复杂的系统工程,涉及到了系统软件、硬件、环境以及人员等各种因素.本文以赤峰学院为研究对象,详细讨论了一般高校信息安全风险点,及网络安全技术在解决校园网络安全问题中的应用,并提出了综合利用各种网络安全技术保障校园网络安全的具体措施.

关键词：

校园网络；网络安全；安全技术

当前互联网发展迅速,高校的校园网建设也随之快速发展,一方面有力推进我国高校现代化建设进程,另一方面有效促进了高校教学、办公、科研和学术交流等方面的发展.但是这也使得办公系统、教务管理系统、信息门户、校园一卡通系统等内网服务都直接暴露在开放式的网络环境之下运行,这无疑给黑客提供攻击机会,造成病毒入侵、信息泄露等不良后果.在高校校园网中,参与人员情况十分复杂,不仅有校园内部的老师和同学,还有一些外来办事及培训访学人员,这种参与人员成分的复杂性决定了校园网络管理的难度增大.当然,由于校园网络其本身种种特殊性,除了上面提到的互联网和校园网内部人员的威胁之外,还有其本身体系结构的网络安全问题值得警惕.这对建立校园网络的工作人员提出了较高要求,需要进行充分的调研与考量,采取正确的设计与布置模式,建立一个安全合理有效的校园网络.本文所讲正是根据自己几年来在校园网络的运行与维护的工作经验总结而来,以校园网络的配置和网络体系设计为基础,对校园网络的运行风险进行分析,并对相应的安全保护措施进行详细研究.在分析校园网络的运行风险时,不仅考虑到校园网络本身的体系结构安全问题,也要考虑到网络配置时的软硬件安全、技术安全、使用和管理安全等等,在这些方面都需要制定详细的安全保护规则,在实际操作中严格遵守,使校园网络的安全性得到保障,最终建立一个真正让人放心使用的安全校园网络.

1校园网安全面临的风险分析

1.1硬件安全

众所周知,信息系统的运行之初就是要建立一个合格标准的机房———系统核心硬件的所在地,所以,机房要严格按照国家相关标准进行建设,包括机房本身的防火防水防盗等问题,机房所在楼板的承受力问题,机房位置选择问题等等,只有这样才能保证机房内设施不受侵害,对其安全性进行充分的考虑,确保信息系统的平稳安全运行.另一方面,信息系统运行的硬件设备还对周围环境有着较高要求,例如湿度、温度、空气颗粒物浓度、周围磁场强度等等,所以要对机房配备专门的管理人员监测环境问题,保证一个合理有效的硬件运行环境.

1.2系统及数据库安全

对于校园网络来说,由于资金有限,很多服务器或者相关系统硬件都会被延期使用,一旦硬件没有得到及时更新,过度使用,就会导致其稳定性不可预估,例如发生断电时,这些非法关机形式的发生,都会使得相关数据或者运行系统发生异常,从而导致进一步的不可预测性的异常工作形态发生.

1.3网络安全

赤峰学院的网络建设已经告一段落,有线网方面,光纤直通各个楼宇办公室及宿舍楼区域的弱电井,千兆入户;无线网方面,已经实现包括教学区、宿舍、运动场、食堂等位置的全校覆盖.但是,随着网络速度的不断提高,网络覆盖范围的不断扩大,网络内容和资源的不断丰富,也伴随着网络安全问题显得日益突出,需要我们给予高度重视.

a、漏洞注入威胁

无论是网络系统也好,还是各种软件的形成,其都是由相关代码编写人员进行开发,这无可避免的会产生一些漏洞问题,这些漏洞的存在就是一种潜在的安全威胁,没有及时地修补漏洞,就会有可能导致安全问题.而且这种威胁一旦发生,就会从某一台主机,通过网络,对网络内其他主机产生安全威胁,这会是一个连锁反应,情况进一步恶化,会直接造成整个网络的瘫痪.近些年来,在操作系统上,Linux和Win-dows都在不断地各种网络漏洞补丁,如校园网内的绝大部分主机系统都是Windows系统,因此,如果Windows系统漏洞被发现而没有及时更新漏洞补丁进行修复,很有可能被不法分子进行攻击,最终影响到整个校园网络的安全.

b、DDOS攻击（DistributedDenialofService)）.

DDOS攻击,即分布式拒绝服务攻击,它是指通过借助一系列工具或手段,把许多个计算机联合起来构成一个平台,针对一个或者多个目标发动DOS攻击.DOS攻击最基本的方式就是发送合法的服务请求,以便占用目标主机的大量的服务资源,目标主机的资源一旦被大量占用,其他正常用户将无法正常访问该主机.DOS攻击必须占有大量的带宽,这样的话,对于攻击者本身很难实现这一目标,于是攻击者就通过其他攻击手段先把很多主机变成“肉鸡”,再通过这些“肉鸡”一起对目标发起攻击,最终使得目标主机无法正常工作乃至处于瘫痪的状态.

c、ARP攻击（Addressresolutionprotocolspoofing）.

ARP协议（地址解析协议）,就是根据目标IP地址,转换为相应的MAC物理地址.我们所谈的校园网络,更多的主机是基于MAC地址进行传输的,这样就造成了ARP协议就更多地发挥着使两台主机之间进行通信的作用.黑客正是利用了这一原理,一方面,可以通过实时监测,拦截窃听如A主机某一节点信息,获得相应的IP地址和MAC地址,然后就可以伪装A主机,给其他主机信息,为自己获得有用信息.另一方面,黑客还可以完全伪造一个MAC地址和IP地址信息,使其在局域网内传播,在网络上会产生网络风暴效应,使网络通信变得异常堵塞,也很有可能造成网络的失效或者瘫痪.

d、病毒、木马

高校的办公电脑分为几类:专属电脑、多媒体教室教学电脑、还有学工办、教学办等非专用的办公电脑.这些电脑在使用的过程中,由于很多人员并没有专业的计算机基础知识,或者电脑安全意识并不高,导致U盘使用、非法网站下载等可能导致病毒攻击的行为偶有发生,再加之电脑系统的杀毒软件等防护措施并没有及时更新与使用,最终这些主机很容易被黑客利用,成为“肉鸡”,进而使得校园网络安全出现问题.

1.4人员管理

a、安全管理安全管理是一项十分重要的内容.在所有安全措施的发生有效影响之前,安全管理就是这一切的前提.一个健全的安全体系是需要建立十分详尽并且能被严格执行的安全规范,安全体系在建设过程中,人、设备、技术都是必须要考量的因素,这些安全规范或者规则要在所有安全设备部署和具体施工过程中进行约束,所以安全管理不仅是一种表面行为上的规范,也是对人、技术、设备、架构等等的一种深层次要求.

b、安全意识在高校的校园网络里,主体使用人员就是学生和教职人员,这个群体的计算机应用水平有高有低,更多的人是缺乏计算机网络安全意识的.例如,某些老师和学生往往在使用计算机网络时,设置一些十分简单易破解的密码,这就是一种缺乏安全意识的表现,黑客很容易抓住这一点,通过某些破解方法获得密码,进而获取计算机中对他们有用的信息,可能会进一步产生盗用银行卡、诈骗、透漏个人重要信息等等不法行为；另外,当前计算机网络快速发展,计算机病毒等木马程序也在呈现出多方式、多渠道的攻击模式,如U盘传播、移动端传播、局域网内传播等等,这些问题一旦发生,就会产生一些不良后果.因此,我们需要提高用户的网络安全意识,增强其网络使用规范,并让用户学习一些基本的网络安全知识,这都是当代网络管理人员需要注意的问题.

2校园网安全的防护措施

2.1硬件防护

(1)防火墙

我校于2012年校园网络建成后在出口处用功能和安全性更高的华为下一代防火墙（华为USG5500）代替原来的防火墙（华为Eudemon）,同时在出口链路上加装了入侵检测设备(华为NIP5100),以防止外网对内网及数据中心的入侵攻击,将替代下来的防火墙部署在数据中心服务器存储和内网之间,这样加强出口链路安全的同时,也进一步提升了内网的数据安全.

(2)流量控制设备

我校使用锐捷ACE流量控制设备,ACE可以有效防止各种关键应用（如ERP、CRM、OA系统、视频会议系统等）受到其它网络应用（P2P等）的冲击,导致这些关键业务的应用得不到保障.同时,通过对网络异常流量和网络攻击进行预先防护,大大提高了网络的可靠性和稳定性.

(3)行为审计

校园网络配置行为审计设备.可以针对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析.用户所有访问的网页地址都会被系统监控、追踪及记录,如果是设定为合法地址的访问则不做限制,如果是非法地址则会被禁止或发出警告,而且每一次对访问行为的监控都是具体到每一个人的.

(4)防毒墙

计算机病毒的日益猖狂,尽管许多企业已经具有了一定的安全防范意识,并且部署了网络版杀毒软件和硬件防火墙,但是在面对诸如SQLSlammer等新的蠕虫病毒时,仍然显得力不从心.我校针对上网人数多,使用网络人员能力参差不齐,网络蠕虫病毒传播广泛,控制吃力的情况,主干网络配置防毒墙,用来解决对诸如SQLSlammer等新的蠕虫病毒.

(5)DDOS防护

DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的.而我校校园网络配置DDOS防护设备,可解决通过使网络过载来干扰甚至阻断正常的网络通讯;通过向服务器提交大量请求,使服务器超负荷;阻断某一用户访问服务器;阻断某服务与特定系统或个人的通讯等情况.

(6)UPS不间断电源

我校中心机房、图书馆机房及灾备机房都配备UPS不间断电源,在学校断电时为机房内的服务器供电,延长服务器工作时间,同时能够防止服务器因为断电导致的物理故障、数据丢失问题.

2.2VPN的管理

VPN是在公用网络上建立专用网络,进行加密通讯,而我校的数字化应用系统及数字图书馆资源等重要的信息系统均使用深信服公司的专业的SSLVPN设备为所有供教职工、学生提供校外访问.我校对对校内应用系统和资源都作了内网IP地址的锁定,保证了网络访问的安全控制,进一步提高校内信息系统的安全指数.同时,针对不同的厂商及使用者的身份,区分访问权限,做到严格控制VPN的使用人员,保证只有操作相关业务系统的人员才可获得相应权限.比如:在校教职工使用工号及密码登陆后只可以访问基础资源及业务系统,不能访问服务器等敏感网段；工程师需要通过实名制注册,并使用真实手机号码接受随机验证码及管理员指定的用户名和密码（复杂密码）进行访问,并且不同的厂商只能访问跟自己业务相关的网段(目前正在建设中)；其他使用人员需要严格遵守申请流程就行审批.

2.3软件防护

(1)校园网认证系统

我校使用专业的校园网认证系统,该系统能够对接入校园网络的所有用户进行访问控制管理,同时,我校教职工用工号登陆,学生用学号进行登录,校外人员需要提供有效证件并且获得相关部门的统一方可获得由网络中心统一发放的上网账号,我校的网络认证系统配有日志服务器,能够对用户的上网行为实时记录,并且保存用户上网行为日志90天以上.

(2)机房服务器安全

赤峰学院机房的服务器使用两套虚拟化软件（华为Fu-sionComputeV100R005C00SPC300和曙光虚拟化软件）动态分配部署,用虚拟计算、虚拟存储、虚拟网络等技术,完成计算资源、存储资源、网络资源的虚拟化；同时通过统一的接口,对这些虚拟资源进行集中调度和管理.系统通过获取异常日志和程序堆栈,缩短问题定位时间,快速解决异常问题.支持自动化健康检查.系统通过自动化的健康状态检查,及时发现故障并预警,确保虚拟机可运营管理.

(3)存储（数据）安全

我校的存储设备用专业的软件做RAID6,做完RAID6,在存储中任意一个硬盘故障时,仍可读出数据,在数据重构时,将数据经计算后重新置入新硬盘中从而保证了数据安全.同时,华为虚拟化软件具备快照功能,可以记录某一时间点的系统情况,并且可以手动恢复到快照的时间点,保证系统的运行安全.

(4)运维系统

我校使用校园网络运维管理系统,能够实时监控机房的温度湿度,工作人员可进行水灾、火灾的防控,同时,可以对校园网各个设备的运行情况进行实时监控,可随时查看某一线路的带宽、设备在线情况等.如遇问题可在一时间收到短信通知,将风险降到最低.

3校园网络安全管理策略

3.1信息系统定级备案

我校坚持严格执行备案制度的原则,分别于赤峰市宣传部、联通公司、电信公司做了网站备案,严格管理,校内一切网络资源只限于教职工和学生工作学习使用,坚决禁止一切商务等盈利用途.赤峰学院主页及二级网站使用统一建站系统CMS,使用统一建站系统能有效管理网站访问者的登陆权限,使内网数据库不受攻击,并且前端静态页面显示,同时,服务器安装了正版的网页防篡改软件一套,能够定期升级版本,确保了信息的安全.

3.2信息安全事件应急处置

制定健全的应急预案,如:《赤峰学院校园网络信息安全应急预案》、《数据中心机房突发事件应急预案》、《信息技术安全事件的应急报告与处置流程》等,周末及节假日有相关的值班人员每天对应用系统及机房进行检监测,以保证紧急事件紧急处理.

4小结

校园网络安全建设是一个不断推进、不断深入、不断完善的动态过程.需要清楚当前学校的网络情况及风险点,面对多种多样的安全威胁,从安全技术手段的角度出发,确保校园网络安全体系满足防护、检测、响应模式,从而降低安全风险,实现校园网络稳定可靠运行.

作者：吉岚 辛欣 单位：内蒙古广播电视大学 赤峰学院网络与信息管理处

参考文献：

〔1〕齐菊红,李春霞.校园网网络安全分析[J].兰州文理学院学报（自然科学版）,2014,28（1）:69-74.

〔2〕李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,18（3）:91-93．

〔3〕胡光民,柯立新.校园网络安全与准入身份认证[J].上海海洋大学学报,2010,19（2）:271-274．