校园网络安全预案范文

导语：如何才能写好一篇校园网络安全预案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：APPDRR；校园网络；安全对策

中图分类号：TP393.08

1 探究网络安全需求

1.1 业务安全需求

在网络安全和通畅的情况下，才可以对学校中财务系统、办公系统、教务学生管理以及教学活动正常的开展。防止Dos等攻击而造成的性能丧失或者服务瘫痪的现象。

1.2 物理安全需求

在校园网络中的较多物理设施需要和有关的安全规范相符，例如：中心机房、硬件防火墙、路由器、交换机、服务器等。还需要按照有关的管理范围限制系统管理员、数据库管理员以及机房管理人员的权限。

1.3 数据安全需求

数据安全需求具体包含：抗抵赖性、数据完整性、数据机密性。其中所涉及到的数据机密性所指的是，不可以被进程、实体或者非授权者加以利用，在机密性中还会存在泄漏的特点。信息数据按照安全级别包含：机密、内部、公开等三个级别。公开性质的信息是Internet用户可以对其访问的，内部的信息只可以被校内学生和教职工进行访问，机密的信息只是小部分的授权用户有使用权限。数据的完整性方面需要将主动威胁有所抵制，从而确保接收者的信息接收和信息发送初期是统一的，保证信息真实有效。抗抵赖性是发送人员不可以在发送之后否认消息的发送内容[1]。

2 APPDRR的校园网络安全对策

校园网络安全是动态的系统，新问题会接连出现，解决方案会随着问题的出现而改善。APPDRR这一方案能够完善的解决校园网络安全问题，其主要的构成部分为：故障恢复与事件响应、监控与检测、防御系统、安全策略的制定以及风险的评估与分析。

2.1 风险分析

想要开展APPDRR，风险分析是第一组成部分，进行风险的分析能够保证其他组成部分的顺畅开展，在校园网络中所存在的风险为几大部分：（1）控制和非法访问。控制是机制和策略的有效融合，可以访问限定的资源。系统若认证非法访问的情况下，会顺利的进入到系统的内部对数据资源随意使用。（2）病毒。校园中拥有着较多的学生和教职工，网络用户十分复杂。在加上对电脑与智能手机应用方面不断增多，更加增添了网络拓扑结构的复杂性。仅仅是一项细节部位受到的病毒的干扰，也会快速、大范围的传播。（3）Dos攻击。Dos主要是通过有效的服务请求去占用较多的服务资源，继而对用户指令不能够应用服务器进行处理，最后会造成服务器的瘫痪现象。

2.2 安全策略

对安全风险确定之后，就需要按照安全的需要拟定出相应的安全策略。在APPDRR当中安全策略是核心成分，APPDRR具体创建了四大防线，分别为：故障恢复、实时响应、监控与检测、防护。

2.3 安全防护

（1）核心层的网络设备中能够应用URPF御DDOS攻击，同时和OTP动态形式下的一次性密码进行结合，验证出用户身份。只要将服务开启，通过安全设计的路由协议，验证协议，利用SSH、SNMP等拥有安全性较强的管理协议，就能够开展端口限速控制接入层的交换机。（2）防火墙在Internet入口处设置。防火墙涉及到的双主动模式具有一定的可靠性，不管是在网络地址的转换模式还是路由模式，都能够配置为主动的备份防火墙和防火墙，能够有效的共享数据流。所体现的双主动模式能够确保两台防火墙可以有50%的分担能力，可以合理的利用资源，能够延续防火墙的使用期限。

2.4 安全监控和检测

想要将安全策略落实，一定要进行安全检测，检测的具体对象包含两种，其一为系统外部的入侵威胁，其二为系统自身的脆弱性。对系统自身的脆弱性有几种检测措施：（1）入侵检测。在外部中的入侵检测具体是利用计算机系统，以及计算机网络当中的小部分重点开展信息分析和信息收集，在收集的过程中搜寻能否存在不符合安全策略的迹象和行为。分析监视系统活动和用户能否和安全策略分析相符，比较已经知道的活动攻击模式数据库，同时充分的识别异常的情况。严格的监控关键的数据是否完整。还需要审计操作系统的日志，以此来正确的识别异常的行为[2]。（2）检测系统自身脆弱性：1）漏洞的扫描系统。在漏洞数据库中会产生漏洞扫描，会针对应用终端和服务器开展安全弱脆性的系统检测，对系统漏洞能够及时发现。漏洞具体包含：MAIL类、缓冲区溢出、WEB应用漏洞以及Windows系统漏洞等。后台的管理扫描系统提倡通过管理系统，在漏洞扫描服务器中安装服务器端。2）防病毒的部署。对于防病毒策略的实现，需要将集中安装实现，将策略的管理统一开展。将趋势科技中央控管产品TMCM在后台的管理区防病毒服务器中详细的部署，此管理软件可以将防病毒软件，开展系统化的管理和监控。针对客户监控区的终端系统，以及后台管理层中的监控区域的病毒防护，可以应用OfficeScan方案。其高效和升级的实时防护以及统一管理模式，可以合理的确保应用人员的应用安全[3]。3）操作系统补丁方面的管理系统。若操作系统存在漏洞，应用极为优质的管理措施和软件都不能够产生效用，基本上在校园网络中所产生的安全隐患，具体的原因都是由于计算机或者业务服务器中缺失系统补丁的及时更新，所以在校园网中需要配置专业的补丁管理系统。SMS系统是提倡应用的系统，该系统可以较好的配置Microsoft的更新，能够让校园网当中所使用的计算机和服务器，都可以在暴露安全弱点之前被发现[4]。

2.5 应急实时的响应

应急实时响应是在网络安全隐患发生之后的有效应对方式，能够有效的解决安全性问题，是较为完善的处理手段。若产生安全隐患，需要及时的开展应急的预案，为的是在较短时间内，将危害性降低到最小的程度[5]。

3 总结

根据以上的论述，应用APPDRR的前瞻性随着动态校园网络的形成，不断的得以体现。并且，有必要将管理和技术有效的融合在一起，让教师和学生都拥有着一定的网络风险意识，建立健全的“防火墙”，用规范的行为正确的进行电脑的使用以及保证上网的良好习惯。要力求用信息技术维护校园网络安全，让师生能够在一定程度上开展优质的网络体验。

参考文献：

[1]黄昌伟，万伟蹈，吴洪强.基于APPDRR的校园网络安全模型研究[J].江西教育学院学报，2013，12（09）：123-125.

[2]林日.信息化背景下的校园网络安全问题与对策[J].福建教育学院学报，2013，11（06）：146-150.

[3]曾松.浅谈中职学校数字化校园网络的安全问题及对策[J].福建电脑，2013，14（02）：188-190.

[4]夏龄，周德荣，舒涛.校园网络的安全及对策初探[J].西南民族大学学报：自然科学版，2013，6（03）：146-157.

[5]宋帆，杨晓兰.北邮校园网学籍、成绩管理信息系统安全对策探讨[J].管理信息系统，2013，5（04）：176-179.

篇2

[论文摘要】由校园网运行和信息安全问题，提出加强校园网管理，提高教师和学生信息安全意识。并对具体的网络管理实施方法和信息安全保护措施进行探究和实践。

一、引言

随着校园网络建设的不断发展，学院在教学、管理、科研以及对外信息交流等多方面对校园网的依赖性日渐增强，以网络的方式来获取信息、存储信息和交流信息成为学院教师和学生使用信息的重要手段之一。然而，就目前的网络运行状况来看，校园网信息安全问题日益突出，网络的稳定性依然较差，因此，加强校园网的管理，确保校园网安全、稳定、高效地运行，使之发挥其应有的作用已成为当前校园网应用中一个亟待解决的课题。

二、校园网信息安全的研究思路

校园网是一个直接连接互联网的开放式网络，校园网用户的层次差异较大，校园网的信息安全与用户的安全意识和技能紧密相关，校园网的校园网的信息安全从总体结构上可分为，校园网主干网设备和应用的安全和校园网用户的安全应用两个部分。对具体的信息安全问题的研究，能有效的解决校园网中的信息安全隐患，从而确保校园网安全，稳定、高效地运行。

(一)校园网边界安全

校园网边界安全就是确保校园网与外界网络的信息交换安全，既能保证校园网与互联网进行正常的信息通讯，又能有效地阻止来自网络的恶意攻击，如端口扫描、非授权访问行为、病毒、不良网站等。

(二)系统漏洞的修补

校园网的网络运行环境较为复杂性是一个由多用户、多系统、多协议、多应用的网络，校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。不及时修补这些安全漏洞，就会给病毒、木马和黑客的入侵提供方便。

(三)校园网计算机与存储设备的安全

校园网计算机和存储设备中存储了大量的信息，如学生档案，教学课件、考试题库、学生作业、网站数据、办公文件等。由于设备配置、应用和管理上的问题存在较大的信息安全隐患。如设备无分级管理、使用公共帐户和密码、操作人员无信息安全常识等。

(四)校园网计算机病毒控制

计算机病毒是校园网安全隐患之一。必须做到有效控制。选择适合的杀毒手段和相应软件可以对服务器、接入计算机、网关等所有计算机设备进行保护，杀毒软件可以对邮件、ftp文件、网页、u盘、光盘等所有可能带来病毒的信息源进行监控、查杀和拦截。计算机病毒控制要防杀结合以防为主。

(五)校园网维护管理

校园网的硬件环境建设完毕后，一项重要的工作就是做好校园网的维护工作。校园网的安全运维需要有一个校园网安全运营中心，通过强化安全管理工作，对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控，汇总和关联分析，提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控，保护校园网络数字资产安全。

三、确保校园网信息安全的具体蕾理措施

(一)优化结构，合理配置，加强监管

使用硬件放火墙，防火墙可在校园网与外界网络之间建立一道安全屏障，是目前非常有效的网络安全模型，它提供了一整套的安全控制策略，包括访问控制、数据包过滤和应用网关等功能。使用放火墙可以将外界网络(风险区)与校园网(安全区)的连接进行逻辑隔离，在安全策略的控制下进行内外网的信息交换，有效地限制外网对内网的非法访问、恶意攻击和入侵。

安装入侵检测系统，入侵检测系统是放火墙的合理补充，能够在放火墙的内部检测非法行为，具有识别攻击和入侵手段，监控网络异常通信，分析漏洞和后门等功能。

使用vlan技术优化内部网络结构，增强了网络的灵活性，有效的控制了网络风暴，并将不同区域和应用划分为不同的网段进行隔离来控制相互间的访问，达到限制用户非法访问的目的。

使用静态i p配置。检测网络中i p应用状况，并将i p+mac地址进行绑定，防止特殊ip地址被盗用。对计算机特别是服务器的访问必须进行安全身份认证，非认证用户无法进行访问。

使用网络管理软件，扫描和绘制网络拓扑结构，显示路由器与子网、交换机与交换机、交换机与主机之间的连接关系，显示交换机各端口、使用情况和流量信息，定期对客户端流量、分支网络带宽流量进行分析，并进行数据包规则检测，防止非法入侵、非法滥用网络资源。加强接入管理，保证可信设备接入。对新增设备、移动设备和移动式存储工具要做到先检测后接入，做好网络设备的物理信息的登记管理，如设备的名称、设备楼层房间号、使用部门、使用人、联系电话等。做到遇故障能及时准确地定位和排查。

(二)提高认识，规范行为，强化应用

网络安全涉及到法律、道德、知识、管理、技术、策略等多方面的因素，是一个有机的结合体。因此，在做好技术防护和网络管理的同时，要把树立信息安全意识提高到一个新的高度。并从环境、自身、产品和意识等方面出发，逐个解决存在的问题，把可能的危险排除在发生之前。对于校园网用户来说，要进一步提高网络信息安全意识，加强关于计算机信息安法律知识的学习，自觉规范操作行为，同时掌握一些有关信息安全技术和技能。来强化我们的应用能力。具体可从以下几个方面入手。

建议在系统安装时选择最小化，而多数用户采用默认安装，实际上不少系统功能模块不是必需的，要保证系统安全，需遵循最小化原则，可减少安全隐患。

及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度，可在校园网中部署微软自动更新服务器来提供客户端补丁自动分发。在安装补丁程序前一定要仔细阅读安装说明书，做好数据备份等预防工作，以免导致系统无法启动或破坏等情况。

操作系统安装完成后，要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配，共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等，使用系统默认的配置安全性较差。

使用个人防火墙，个人防火墙足抵御各类网络攻击最有效的手段之一，它能够在一定程度上保护操作系统信息不对外泄漏，也能监控个人电脑正在进行的网络连接，把有害的数据拒绝于门外。

使用反病毒软件，目前互联网上的病毒非常猖獗，达几万种之多，传播途径也相当广泛。可通过u盘、光盘、电子邮件和利用系统漏洞进行主动病毒传播等，这就需要在用户计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中，必须要定期或及时升级防病毒软件和病毒码特征库。

(三)注意数据备份，提高网络和系统容灾能力

在做好网络安全管理工作的同时，也应考虑系统在不可避免的因素下出现故障。必须定期做好重要设备和重要数据的备份工作，以便在出现故障时能即使进行硬件更换和软件恢复等措施。存储重要数据和运行重要软件的设备应有硬件备份。软件恢复包括系统恢复和文件恢复。系统恢复就是当操作系统和应用软件不能正常启动和使用，可利用修复软件对其进行修复，最快捷的法是使用克隆技术对系统进行全盘备份，可在系统损坏时快速恢复。从而以最快的速度是系统正常工作。恢复则是当存储介质上的应用文件损坏时，用修复软件对其进行修复。要采用多种手段保存数据文件，重要数据要多做几个备份来确保数据文件的安全。

篇3

关键词：高校校园网；网络安全；对策

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599(2012)05-0000-02

一、引言

“教育信息化作为国家信息化建设的重要组成部分，在教育改革和发展中的战略地位日益凸显。”高校校园网络的建设和普及，给学校的教学和管理、学生的学习生活等多方面带来了极大的方便，并担负着支持全院教学和科研工作的重要职责，然而与此同时，网络社会与生俱来的不安全因素，如病毒、黑客、非法入侵，不健康信息等，也无时无刻不在威胁高校校园网络的健康发展，而成为高校教育信息化建设中不容忽视的问题。

二、高校校园网络安全问题

影响校园网络安全的因素很多，除了自然因素外，对校园网络安全的威胁主要有四个方面：

（一）病毒：从“蠕虫”病毒开始到现在的“冲击波”和“震荡波”，病毒一直是电脑安全最直接的威害，网络的发展更是为病毒提供了快速传播的渠道，病毒通过下载、电子邮件接收等方式进入电脑及网络，然后对校园网络进行攻击，造成损失。

（二）黑客：这是指来自校园网外部的恶意攻击，比如：有目的地破坏网络信息的完整性；假装成合法用户进入校园网络并占用大量可用资源；修改网络数据、窃取、破译密码信息、破坏程序执行；在中间站点截取和读取重要信息等。

（三）网络内部非法用户：在校园网内部，一些非法用户冒用合法用户的密码以合法身份登陆系统后，查看重要信息，修改系统信息及破坏应用程序的正常运行。

（四）程序“后门”及漏洞：程序不可能是百分之百的无问题、无漏洞的。另外，程序员为了便于维护而在程序中留有“后门”，一旦这些为外人所用，就会成为校园网络中受攻击的第一个目标。黑客入侵网络事件就是由软件的“漏洞”和“后门”所造成的。

三、校园网络安全对策

校园网络安全可以从两方面来入手，一方面是管理层面。包括各种网络安全规章制度的建立、实施以及监督；另一方面是技术层面。包括各种安全设备实施，安全技术措施应用等。只有将两者紧密结合，才能使校园网络安全得到有效的保障。

（一）加强校园网安全管理制度和组织建设

通过制度告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。对校园网用户，无论是院系领导、教师还是学生个人，都要以签署入网协议的形式让用户知道学院的安全管理政策，一方面起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/处/系/宿舍安全管理分级负责的组织体系建设是必要的。还要加强用户安全意识和管理员安全技术的培训。

（二）采用主动防御的安全技术

主动防御技术就是在增强和保证本地网络安全性的同时，及时发现正在进行的网络攻击，预测和识别未知攻击，并采取各种措施使攻击者不能达到其目的所使用的各种方法与技术。

目前主动防御新技术有两种。一种是陷阱技术，它包括蜜罐技术和蜜网技术。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。它提供了一种动态识别未知攻击的方法，将捕获的未知攻击信息反馈给防护系统，实现防护能力的动态提升。另一种技术是取证技术，它包括静态取证技术和动态取证技术。静态取证技术是在计算机已经遭到攻击的情况下，运用各种技术方法进行分析、取证工作。动态取证技术是电脑取证的发展趋势，它是在受保护的电脑上事先安装上软件，当系统遭到攻击时，如对系统的操作和文件的修改、删除、传送等行为，系统软件会产生相应的日志加以记录，这些日志记录传到取证的设备上保存，作为入侵系统的重要证据。

（三）防火墙技术

防火墙是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它能提高校园网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。它决定了哪些内部服务可以被外界访问，可以被外界的哪些人访问，以及内部人员可以访问哪些外部服务等。设立防火墙后，所有来自和去向外界的信息都必须经过防火墙，接受防火墙的检查。它能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。它能防止内部信息的外泄，通过利用它对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。因此通过防火墙可以把未授权用户排除到受保护的网络外，防止各种来自网络内外的攻击，同时还可以提供必要的服务。

（四）防病毒技术

计算机网络的高度共享性与开放综合性环境令其中不良病毒的传播与扩算速度较快，因此仅仅采用单机防毒软件工具显然无法彻底清除根深蒂固的网络病毒，因此我们必须选用网络全方位运行特点的防毒产品，令其适用于各个服务系统的操作平台与操作系统。倘若对长期处于网络运行工作环境中的计算机进行杀毒处理，那么还需要该防毒软件具有网关控制性能，令其在综合层次的配置与定期升级更新处理中，合理强化网络计算机的安全服务性。在日常管理实践中我们应养成良好的防病毒攻击控制习惯，做到杜绝病毒的传染渠道、合理防止计算机受到来自电磁泄漏及辐射的攻击，应定期对计算机系统进行备份升级设置其传染对象的科学属性，不应随意对他人软件进行非法复制，实时开启反病毒监控软件，在下载各类软件后应先杀毒后使用等。

（五）认证技术

认证是防止网络遭威胁的重要技术，它对开放的网络环境中的各种信息系统的安全有重要作用。认证的目的主要有四个，一是信息接收者能够确认所获得的信息不是由冒充者所发出的。二是信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。三是要求信息的发送方不能否认自己所发出的信息。四是对重要的文件进行加密。现在有关认证的主要技术有：基于私有密钥体制的信息认证、基于公开密钥体制的信息认证、时间戳、身份认证和数字签字。基于私有密钥体制的信息认证、基于公开密钥体制的信息认证和身份认证解决了通信双方利害一致条件下防止第三者伪装和破坏的问题。在电子商务交易文件中，时间是十分重要的信息。时间戳它能提供电子文件的日期和时间信息的安全保护。数字签字机制提供了一种鉴别方法，通过它能够实现对原始报文的鉴别和验证，保证报文完整性、权威性和发送者对所发报文的不可抵赖性，以解决伪造、抵赖、冒充、篡改等问题。另外用户账号的完整性也是很重要的，用户账号是校园网内较大的安全弱点之一。入侵者攻击系统的主要目地也是为了获取合法的账号和密码。因此，我们既要从技术方面也要从制度方面保护用户账号的安全，只有双管齐下，才能有效地保障用户账号的安全。

（六）及时安装补丁程序

漏洞是程序员在设计程序时的设计缺陷。攻击者利用了这些漏洞，使计算机用户在打开一个事先设计好的恶意网页时入侵并控制电脑，在电脑中植入木马程序或病毒。攻击者就可以在未授权情况下访问计算机及其数据。当系统中有漏洞时，它们就会对网络中的计算机造成很大的安全问题。为了能及时纠正这些漏洞,软件开发商了补丁程序。如没有及时更新补丁程序的用户往往会受到病毒、黑客威胁。因此，计算机系统应及时打好补丁，有效解决系统漏洞所带来的安全问题。

四、结束语

由于校园网络运行环境是多变的、复杂的，以及操作系统本身的缺点，决定了校园网络安全问题的客观存在，因此我们必须即时掌握网络的各种特征和各种威胁，才可以采取相应的策略来防止不安全因素的影响，这对于网络环境下的数据安全非常重要。同时我们也应该清楚，网络安全技术的提高也会伴随着入侵手段的提高，因此只有不断创新，网络中心的管理制度的不断完善和加强校园网管理人员水平的不断提高等办法来保障，同时也要加快校园网络安全技术手段的研究，从而使校园网络能安全可靠地为广大师生服务。

[1]胡铮.网络与信息安全.北京:清华大学出版社,2006

[2]冯登国.网络安全原理与技术.北京:科学出版社，2007

篇4

关键词：校园网络；网络安全；网络安全教育与管理措施；对策

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)27-6596-03

Thoughts and Countermeasures of Campus Network Security

CHANG Qing

(Information Technology Center, Shaanxi Energy Institute, Xi'an 710613, China)

Abstract: With the development of education informatization, relying on the campus of digital information system has become one of the important network teaching platforms and office informatization. Therefore, network security has been paid more and more attention and has become the main problem affecting campus network application. Based on the analysis of the current college campus network security threat,the paper discusses the the main factors influencing network security and puts forward the countermeasures for campus network security.

Key words: campus network; network security; network security education and management measures; countermeasures

随着教育信息化的发展，依托校园网的数字化信息资源系统成为学校重要的网络教学平台，依托校园网的OA成为学校现代办公信息化的主要手段。校园网为学校各方面建设提供了安全、可靠、快捷的网络环境，是学校的管理、教学、科研、学生思想教育等各项工作正常进行的保障。校园网络的安全状况直接影响到各项工作的顺利进行。因此，保障校园网络正常运行及其信息安全已经成为当前各高校网络建设中首先需要考虑的问题。

1 网络安全的概念

1.1 网络安全的定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

1.2 网络安全的学科基础

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

1.3 网络安全的本质

网络安全的本质是针对：网络系统的运行安全和网络数据库的信息安全，两个方面的安全防护措施。

2 校园网络安全的现状分析

校园网具有速度快、规模大，计算机系统管理复杂等特点，随着网络系统应用的深入发展，校园网络的安全问题也逐渐突出，直接影响着学校的管理、教学和科研活动的进行。为此，在全面了解校园网安全现状的基础上，合理构建网络安全体系结构，改善网络应用环境的工作迫在眉睫。

当前，校园网络常见的安全隐患有以下几种：

2.1 计算机系统漏洞

目前，校园网中被广泛使用的网络操作系统主要是WINDOWS，存在各种各样的安全问题，服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。而且随着时间的推移，将会有更多漏洞被人发现并利用。

2.2 计算机病毒的破坏

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。计算机病毒具有以下特点：一是攻击隐蔽性强；二是繁殖能力强；三是传播途径广；四是潜伏期长；五是破坏力大。特别是近年来利用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不断增加，严重威胁着校园网络的正常运行。

2.3 来自网络外部的入侵、攻击等恶意破坏行为

校园网与Internet相连，在享受Internet信息丰富、方便快捷的同时，也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器，以窃取一些重要信息。

2.4 校园网内部的攻击

由于高校部分学生对网络知识很感兴趣，具有相当高的专业知识水平，对内部网络的结构和应用模式又比较了解，攻击校园网就成了他们表现自己的能力，实践自己所学知识的首选，经常有意无意的攻击校园网系统，干扰校园网的安全运行。

另外有一些学生，在下载一些音/视频资料时在未进行查杀病毒的情况下，就进行应用等也是造成内部的攻击的重要因素。

2.5 校园网安全管理有缺陷

随着校园内计算机应用的迅速普及，接入校园网的计算机日益增多，如果管理措施不力，随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。主要表现为对网络安全的认识不足，将网络系统作为一项纯技术工程来实施，没有一套完善的安全管理方案；网络系统管理人员只将精力集中于IP的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。

3 造成这些现状的原因

3.1 网络安全维护的投入不足

网络安全维护的工作量是很大的，并且很困难，需要一定的人力、物力，然而大多数学校在校园网上的设备投入和人员投入不足，有限的经费也往往主要用在网络设备购置上，对于网络安全建设，普遍缺乏比较系统的投入。

3.2 网络管理人员配备不足

很多学校的网络管理人员的都具有一定的专业水平，基本可以胜任本职工作，但是可能由于人员配备不足的原因，勉强能够维护网络硬件正常的配置和运行，而无暇顾及其他。

3.3 师生的网络安全意识和观念淡薄

有的学生对网络安全重视不够，法律意识不强。在组织文艺活动和节目编排时，随意通过网络下载或通过带毒的移动存储介质，经常有意无意的传播病毒，攻击校园网络系统，干扰校园网的安全运行。

4 对策

校园网的安全问题是一个较为复杂的系统工程，要从用户、管理、技术三方面的因素来考虑。从严格的意义上来讲，100%的安全网络系统是没有的，网络安全工作是一个循序渐进、不断完善的过程。为了提高校园网络的安全性，提出以下几点安全措施：

4.1 配备高性能的防火墙产品

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对防火墙作好安全设置,设定恰当的访问控制策略,保障网络信息资源不被非法使用和访问。

4.2 加强网络中PC机的安全防范

4.2.1 身份认证技术

身份认证是对通信方进行身份确认来阻止非授权用户进入。常用的身份认证方法有口令认证法。主要是给系统管理员帐户设置足够复杂和一定强度的密码，最好是字母+数字+符号的组合；系统管理员的口令应严格管理，不定期地予以更换。如：很多用户的Windows XP/2000系统却根本没有设置密码，有的用户，虽然也设置了密码，但密码要么全是数字的，要么很短，对于这类密码，可以轻易的被破解。

4.2.2 防范系统安全漏洞

及时更新操作系统和安装各种补丁程序非常重要。一般用户需要借助第三方产品（如：漏洞扫描系统）的帮助，及时发现安全隐患。目前，许多新型计算机病毒都是利用操作系统的漏洞进行传染的。可以通过安装360安全卫士或其它功能类似的软件来给系统的漏洞打好补丁，这样可以有效的保护系统。

4.2.3 校园内部网络中PC机的安全隔离

合理使用防火墙，可以构筑内外网之间的安全屏障，有效地将内部网与外部网隔离开来，有利于提高网络抵抗黑客攻击的能力和系统的安全性。在校园网内的所有PC机应自觉安装专业的防火墙软件，如360安全卫士防火墙等。

4.3 防范计算机病毒

1）作为校园网的网络管理人员，要为系统使用安全策略，如帐户设定、审核策略、网络访问、安全选项设定等。使用安全策略不仅可以有效防范病毒，监控系统状态，还可以防范黑客攻击。

2）选择合适的防病毒软件，及时更新病毒库。防病毒软件分为两大类：网络版和单机版。单机版防毒软件适用于个人用户，管理功能相对较弱。从网络管理和病毒监控的角度来说，校园网更适用网络版防毒软件，因为网络版防毒软件的管理功能更强大，校园网的管理员只要及时在服务器端进行升级，客户端启动后就可自动升级，网管员还可对所有安装客户端的计算机进行病毒监控、进行远程杀毒，及时了解校园网中病毒疫情。

3）计算机网络用户要增强安全意识，不要轻易使用盗版和存在安全隐患的软件；不轻易浏览一些缺乏可信度的网站；不要随便打开不明来历的电子邮件，尤其是邮件附件中的EXE和COM等可执行程序，对方发过来的电子邮件及相关附件的文档，首先使用另存为命令保存到本地硬盘，待用杀毒软件检查无毒后才可以打开使用；不要随便共享文件和文件夹，即使要共享，也得设置好权限。

4.4 网络监控措施

在不影响网络正常运行的情况下，增加内部网络监控机制，可以最大限度地保护网络信息资源。如：配备入侵检测系统(IDS， Intrusion Detection System)，入侵防御系统(IPS， Intrusion Prevention System)，Web、E-mail、BBS的安全监测系统和网络监听系统等。通过监控手段，增强网络安全的自我适应性和反应能力，及时发现不安全因素，从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、MRTG和Sniffer等工具，形成一个功能较完整、覆盖面较广的监控管理系统。

4.5 加强网络安全教育及安全管理措施

维护网络安全是每一个网络用户共同的责任，当得知自己的CP机感染病毒时，应及时处理。包括：升级杀毒软件，杀毒操作；仍不能处理时，应及时断开本机与网络联系（避免成为病毒传染源在网上的传播），必要时格式化硬盘，重新安装系统。以确保网络系统的安全。

4.6 数据备份和恢复

对于计算机用户而言，最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区，避免因重装系统造成数据丢失。重要的数据要及时备份，备份前要进行病毒查杀，数据备份可采取异地备份、光盘备份等多种方式。对于校园网的管理人员来说，要做好各种应急准备工作，必须要有一套应急修复工具，如系统启动盘、DOS版杀毒盘、紧急系统恢复盘、各种操作系统盘、常用应用软件包、最新系统补丁盘等，并且做好分区表、DOS引导扇区、注册表等的备份工作，这样可提高系统维护和修复时的工作效率。

4.7 制定切实可行的网络安全管理制度

为了确保整个校园网络的安全有效运行，有必要对网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理制度。主要包括以下几方面的内容：1)建立一个权威的信息安全管理机构，制定统管全局的网络信息安全规定；2)对网络管理人员加强专业知识和技能的培训，培养一支具有安全管理意识和技能的网管队伍，使他们从技术上提高应对各种攻击破坏的能力；3)把网络信息安全的基本知识纳入学校各专业教育之中；4)对学校教师和其他人员进行信息安全知识普及教育；5)在学校的网站设立网络安全信息栏目，网络法令法规、网络病毒公告、操作系统更新公告，并提供常用软件的补丁下载等信息。

总之，校园网络安全问题是一个较为复杂的系统工程，需要全方位防范，防范不仅是被动的，更要主动进行。在网络安全日益影响到校园网络运行的情况下，要完善校园网管理制度，对相关的校园网管理人员进行培训，对学生进行网络道德的教育，提高公德意识；安装最新的防病毒软件和病毒防火墙，不断安装软件补丁更新系统漏洞，对重要文件要进行备份，从多个方面进行防范，尽一切可能去制止、减小一切非法的访问和操作，把校园网络安全事故及故障率降到最低程度。

参考文献：

[1] 蒋玉芳.校园网络安全问题分析与对策[J].现代教育教研,2009(3).

[2] 曾科.高校校园网络安全隐患及对策探讨[J].商情,2009(25).

篇5

关键词：校园网；一卡通系统；总体设计；网络安全；网络优化

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3038-02

A Network Security Design of Campus Smart Card System

WU Jian-cai

(Fujian Jinjiang Zhiye Zhongzhuan Xuexiao, Jinjiang 362251, China)

Abstract: Along with the rapid development of digital campus as well as the increasing complexity on the work of student management in middling vocational school, the implementation of campus smart card system has already become a kind of inevitable trend. In this paper, focus on network security problem.Put forward a proposal of network optimization design.

Key words: campus network; smart card system; overall design; network security: network optimization

校园一卡通系统是数字化校园建设的基础工程和主要内容，在学校管理中具有特殊、独立地位，其最核心的两大应用功能一是作为身份识别的手段，如教职员工考勤、教学管理（如学生点名）、出入实验室、宿舍、学校等门禁系统、通过图书馆通道机、借阅图书、挂号就医等功能；二是作为电子支付的手段，如校园内的食堂就餐、超市消费，水电缴费、公共机房上机上网等各项收费的生活服务项目。此外，校园一卡通系统能实现涵盖学校生活各个方面的其他功能，如可以通过“校园一卡通”平台提供查询个人账户余额、明细，交纳费用等金融服务；通过一卡通系统与校园办公自动化系统的无缝连接，可实现师生的基本信息查询、教务信息查询（如课程成绩、学籍学分、教学情况）、后勤信息查询（如餐卡余额、水电费用）等。校园一卡通系统促进了数字化校园建设的脚步，提供了一个统一、简便、快捷的平台，便于学校宏观管理的综合查询，基本满足了学校管理和服务的各项需求[1] [2]。

但是校园一卡通系统仍在处在持续完善和发展的过程中，随着中职院校应用的逐步深入，对校园卡系统提出诸多新的需求，例如系统数据的安全、校园卡系统每年用校园卡消费与支付的金额数额庞大，因此校园卡系统应重点提高网络完全功能，确保消费与支付的准确性和有效性；此外，校园卡系统的应用范围和管理复杂度很大，保证网络服务质量、提高系统稳定运行时间是对校园卡管理部门的重要衡量标准[3]。针对校园一卡通系统的网络安全问题，文章选定一卡通系统设备皆为锐捷的交换机产品，尝试采取多重优化措施保证系统功能顺利实现。

1关于端口镜像的优化设计

所谓端口镜像（Port Mirroring）是指将交换机的一个或多个端口（VLAN）的符合指定规则的数据报文复制转发到目的端口，为网络分析和监控提供网络数据流的方法。

交换机的端口镜像功能通常与网络分析仪器等设备共同使用。通过使用端口镜像对网络数据包进行监听，并使用网络分析仪对数据分析，可提供用户进行网络监控和故障排除的数据，为网络数据提供安全性保障[4]。

在配置本地端口镜像时，需要注意以下几点：

1）配置本地镜像组时要使镜像配置生效，源端口和目的端口必须同时配置；

2）已加入到汇聚组或生成树功能的端口不能设置为目的端口；

3）某些交换机上配置目的端口时同一端口的设置以最后一次配置为结果生效。

基于所选用的设备都为锐捷的交换机产品，源端口只允许为一个，目的端口可一个或多个。校园网中端口镜像功能主要应用于校园监控网络VLAN 19，设置在核心层交换机RG-S7606上：

monitorsession1sourcevlan 19 rx

//监视vlan 19接收到的数据

monitorsession1destinationinterfacefastEthernet0/20

//设置端口20为目的端口

若需要查看交换机的端口镜像信息内容，则可使用命令：

showmonitorsession1

2关于防ARP攻击的优化设计

ARP（地址解析协议，Address Resolution Protocol）是一种将IP地址转化为计算机网卡MAC地址的协议。ARP为OSI七层模型中的第三层协议，ARP表中存放着计算机IP地址与MAC地址的对应关系。

ARP攻击常见于接入层设备，是局域网中常见的网络攻击行为，严重时可能会引起网络瘫痪。在交换机上对防ARP攻击的功能有IP和MAC地址的绑定、防网关被欺骗两种。

IP和MAC地址的绑定，将IP地址和网卡MAC地址绑定可防止校内用户盗用他人的IP地址，起到保护IP地址的作用。在校园网络建设中，财务部门等安全性要求较高的部门采用IP和MAC地址绑定的方式应用。绑定命令在汇聚层交换机上执行，下面以1#教学楼会议室的计算机(IP地址：172.16.18.2，MAC地址：000C.292E.3321)为例设置：

arp 172.16.18.2000C.292E.3321arpa fastEthernet 0/1

需要注意的是此功能只能用在三层交换机中。

3关于防网关欺骗的优化设计

防网关欺骗一般用于由于某台计算机假冒网关的IP地址发出ARP请求使其它计算机因无法区分真假网关而引起的网络问题。使用交换机的防网关欺骗功能，可以在一定程度上阻止计算机用户的网关欺骗行为，保证网络的正常运行[5]。

在本校园网中此功能应用于汇聚层交换机中，以2#实训大楼网络综合实训室连接的端口为例，使用命令如下：

interface fastEthernet0/7

anti-ARP-Spoofingip172.16.41.1

//配置防止网关地址为172.16.41.1的arp欺骗行为

需要注意的是防网关欺骗功能只能应用于靠近用户端的设备上。

4关于防DoS/DDoS攻击的优化设计

DoS（拒绝服务，Denial of Service）是一种拒绝用户服务访问，令用户无法正常得到服务的一种攻击方式；DDoS（分布式拒绝服务，Distributed Denial of Service）是一种以DoS为基础的分布协作式的DoS攻击方式，相较DoS破坏性更大。

本校园网使用的锐捷交换机的防DoS/DDoS攻击是利用入口过滤功能来实现的，其防DoS/DDoS攻击功能主要应用于核心层交换机RG-S7606的端口2和端口3上（连接2#实训大楼和3#信息信息中心实训大楼的端口），主要配置命令如下：

interface rangefastEthernet0/2-3

ipdenyspoofing-source

//设置对伪造IP地址的预防DoS/DDoS攻击入口过滤功能

使用交换机的防DoS/DDoS攻击功能主要注意以下几点：

使用防DoS/DDoS要求交换机配置网络三层接口地址；

交换机入口过滤功能只能配置在直连接口上；

防DoS/DDoS功能不能与ACL同时应用于同一接口上，否则后配置的应用将覆盖先前的设置；

若对接口的IP地址修改，则防DoS/DDoS攻击必须重新设置。

5关于IP扫描攻击的优化设计

局域网中的IP扫描攻击方式可分为目的IP地址变化的扫描攻击（scan dest ip attack）和发送大量报文给不存在的目的IP地址攻击（same des tip attack）两种。其中前者对整个网络的危害极大，很大程度上消耗网络带宽；而后者则会消耗交换机的CPU资源。

要防止IP扫描攻击，需要打开交换机系统保护功能，限制非法用户的扫描攻击次数，对非法用户进行隔离，从而保证整个校园网络的正常运行[6]。

校园内计算机数目多，校园网的防IP扫描攻击主要在汇聚层交换机S3760中配置实现，主要代码如下：

system-guard enable

//打开交换机系统保护功能

showsystem-guard isolated-ip

//查看系统保护后交换机的隔离用户详细的IP地址及时间等信息

另外，使用系统该保护后，被隔离用户实际上尚未被隔离，为保证校园网络的安全还应对攻击者采取其它的有效措施。

6总结

根据本系统预期上线的功能情况，一卡通系统经过端口镜像、防ARP、防网关欺骗、防DoS/DDoS攻击、防IP扫描攻击的多重优化设计，可以有效消除大部分可能发生的网络安全问题，减少系统故障率；一卡通系统健康的运行，能使学校教学、生管、后勤各个环节都符合当前乃至未来数年学校的发展需求，极大优化了信息处理的效率，同时也给在校学生带来极大的便利，最终实现数字化校园的有效构建。

参考文献：

[1]郑燕,何学文.“一卡通”系统在广州大学城的建设和应用[J].中国科技信息,2006(13):156-157.

[2]蒋临风.一卡通推进“数字科大”建设[J].中国教育网络,2006(7):38.

[3]张海.北京语言大学校园“一卡通”系统分析与设计[D].北京:北京邮电大学,2010.

[4]杜化美,张更路,高仕军.高校校园网建设的新思考[J].高师理科学刊,2008(3)52-53.

篇6

关键词：防火墙；校园网；病毒；服务器；路由器

近年来互联网技术蓬勃发展，人们网络使用的频率以及依赖度不断提高，校园网络在学校教学、管理等方面的作用日益凸显出来，同时校园网网络安全问题也越来越严重，各种计算机病毒、黑客以及非法入侵事件不断出现。防火墙技术作为网络安全的一项重要技术，在校园网络安全当中有着重要的应用价值。

1防火墙技术概述

1.1防火墙的功能

防火墙可以说是校园网络安全重要的保障，通过监测并控制网络之间交换的数据包以及访问行为，对网络实行严格的安全管理，所以防火墙需要具备基本的功能，例如控制管理网络访问行为，检测并告警网络攻击行为，对于不安全的服务以及信息进行限制与拦截，隐蔽校园网络并对进出数据加以监控，记录防火墙信息以及活动等。因为防火墙的作用非常重要，所以防火墙一方面需要具备这些常规功能，另一方面也应当具备附加功能，比如入网身份的验证和授权，病毒的免疫功能、虚拟专用网和网络地址转换等等。

1.2防火墙的优缺点

在防火墙的优点方面，防火墙可以保护校园网络安全，设置安全策略保证符合要求的那些请求才可以通过防火墙，从而有效避免非法入侵行为，并且防火墙作为校园内部网络同外部网络进出的控制点，可以收集并记录网络使用信息以及错误信息，确保校园网络同外部网络联系的安全性。防火墙可以间隔网络当中的网段，避免因为某个网段安全问题而影响整个校园网络的使用，作为检查站可以检查那些试图侵入校园网络的行为，从而避免可疑访问进入。

在防火墙的缺点方面，防火墙虽然可以保护校园网络安全，不过作用并非是绝对的，也有其自身的缺点。防火墙可以保护校园网络当中系统用户发送的安全信息，不过要是用户直接复制信息，这些复制的信息就可以绕过防火墙，从而非法带走数据信息，对侵入的信息而言，防火墙同样无法加以控制，并且对校园网络内部用户窃取数据以及信息，破坏校园网络软件硬件的行为，防火墙都无法发挥作用。要是信息绕过防火墙传输，同样无法有效拦截入侵者。除此之外，防火墙充分发挥作用的需要良好的设计方案，设计方案合理才可以防备已知的安全威胁，而没有防御新出现的安全威胁的作用。

2校园网络应用防火墙技术的必要性

（1）计算机病毒问题。计算机病毒可以说是威胁校园网络安全一个最为常见的影响因素，计算机病毒传播的途径多种多样，U盘、网络下载以及邮件等都是常见的传播方式。同时随着病毒产业链的不断发展壮大，解密以及道好问题带来用户信息以及隐私泄露、网络阻塞、文件破坏以及硬件损害等现象层出不穷，甚至有可能导致校园网络系统瘫痪。由于校园网络的用户数量比较多，网络安全管理方面存在欠缺，容易给计算机病毒传输提供条件，尤其是校园网络使用涉及到各种资源的共享，从而容易使得计算机病毒造成教学科研成果的泄露。

（2）黑客攻击的问题。因为校园网络需要同互联网连接，从而给师生查找资料提供便利，不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明，破坏程度同样越来越严重，黑客攻击校园网络，有着时间长、范围广、损失大以及处理难的特点，校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方，黑客很多时候使用专业工具攻击校园挽留过，导致校园网络服务器无法正常使用，部分攻击软件甚至可以让非法用户可以随便攻击校园网络，同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。

（3）内部用户的问题。现在学生对于网络了解程度比较深，这就导致部分学生会在好奇心趋势下，攻击校园网络系统，从而给校园网络的正常运行带来不利影响，提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右，大部分情况由学生好奇心而引起，同时学校对于学生的管理以及教育不够重视，纵容他们破坏校园网络安全的种种行为。

3防火墙技术在校园网络安全中的应用

3.1选择合适的防火墙产品

最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全，很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案，然后选择合适的防火墙产品。从形式的角度而言，防火墙可以分成硬件防火墙以及软件防火墙这2大类，硬件防火墙同软件防火墙比较而言，由于使用专用硬件设备，并且集成生产厂商防火墙软件，功能上通过内置安全软件，并且使用强化甚至专属的操作系统，有着管理方便以及更换容易的特点，并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高，可以解决防火墙性能以及效率之间的关系，可以根据校园网络的具体情况来加以选择。

3.2使用服务器

服务器指的是连接校园网络局域网以及Internet的网关，这一网关运行服务软件，可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作，所以提供应用级的网关。客户端往服务器发送请求，请求到达服务器，然后服务器在接收连接请求之后，进行身份认证以及访问控制，要是客户端确认服务器身份认证以及访问控制，那么就代替客户端发送请求。服务器在响应之后，服务器则将数据反馈到客户端。

3.3配置路由器防火墙

防火墙技术在校园网络安全当中的应用一方面除了使用服务器，另一方面就是通过路由器来接入到Internet。路由器作为连接多个网络的设备，可以在不同网络间实现数据信息交换。现在路由器的功能日益增多，其中一个重要功能就是具备安全功能，集成防火墙以及VPN（虚拟专有网络）等方面的功能。通常情况下，安全路由器在接入Internet的时候采用防火墙技术，基于源以及目标IP地址和端口过滤环节的防火墙技术，并且通过防火墙技术，能够让内部局域网避免受到外网的攻击，从而发挥安全防护作用。

3.4防火墙入侵检测

篇7

关键词：校园无线网络；AP；局域网

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）22-5204-02

1 校园无线网络现状与前景

随着通讯技术的不断发展和普及，国内高校对于校园网的要求也越来越高，校园有线网络已经很难满足师生的教学与科研需求。为了进一步提升学校的综合实力，越来越多的高等院校在校园内部署无线网络。一方面，无线网络有效缓解了传统有线网络的覆盖问题，另一方面，无线网络为教师和学生提供了更加灵活的网络接入方式，同时也提高了学校的信息化建设水平。目前无线网络技术日臻成熟，应用也越来越广泛，随着3G、4G等无线通信技术的推广以及国家信息产业政策的扶持，校园无线网络势必会得到进一步的发展。

2 校园无线网络的应用区域

与传统有线校园网对比，校园无线网络具有搭建快速，布线灵活，服务移动化等特点。无线技术在校园网中的主要应用区域有：

1） 综合布线困难的区域：如大型报告厅，体育场馆，户外临时会场，食堂等场所，采用无线局域网技术，可以快捷方便地搭建临时网络接入平台，节省开支，有效优化网络管理。

2） 学校图书馆，教学楼等大型公共区域：由于有线网络接入端口数量有限以及使用时无法摆脱网线的束缚，导致用户网络接入困难。如果在这些区域建设校园无线网络，就能很方便地扩充现有的网络接入容量。

3） 休闲场所：师生户外环境随时随地接入网络，查找资料，收发电子邮件。

3 校园无线网络的搭建

随着智能手机、平板电脑等便携设备越来越频繁地出现在校园日常生活中，无线网络已成为高校校园网的重要组成部分，而不仅只是传统有线网络的补充和延伸。下面就如何搭建一个稳定、高效，安全的校园无线网络做出一个简略的建设方案：

3.1 建设目的

根据当前校园网的实际情况，首先确立校园无线网络的建设目的：利用传统有线网络做为校园骨干网，无线网络作为扩容补充，实现网络接入方式的多样化，同时加强教学的互动效果。以实用性为原则，尽量保留原有的网络设备，最小代价升级网络系统，并保证兼容各种应用系统，加快学校信息化数字校园的建设步伐。

3.2 规划以及设计

1）根据实际情况，确定建设目标：网络设计初期应充分考虑整个无线网络的规模，AP的分布，网络总出口带宽大小，无线覆盖的范围等问题。

2）选定合适的通信协议：采用 802.11n的无线通信协议，同时保证向下兼容 802.11a、802.11b、802.11g 等早期无线网络通信协议。做好频率规划，确保AP间最小干扰，实现2.4G/5G 双频在线。

3） IP规划：调查统计无线网络用户的最大同时上网人数，分配合适的IP段，同时配置好DHCP服务器。

4）组网模式：采用 Fit AP+AC的搭建方案，集中化管理AP，达到AP无线信道和发射功率自动调整，QOS快速配置等目标。

5）安全认证计费模式：从安全和校园网的运营角度考虑，增加认证计费模块，采用 802.1x+RADIUS认证技术以确保校园无线网络的安全稳定和长久发展。

6）设备选型：根据现有的校园网结构和建设的实际要求选择合适设备，保证采购的设备支持802.11 a/b/g/n 协议、多种无线安全加密方式、QOS管理、ACL过滤、POE供电等功能。综合考虑多个知名品牌的产品，最后确定采购的设备型号。

3.3网络测试

1）覆盖范围测试： 通过智能手机，平板电脑或者笔记本等便携设备，安装无线信号强度测试软件，在AP的不同距离段进行多方位移动测试，记录各点的信号强度，再调整AP位置或者增加发射功率，确保各区域不存在网络盲点。

2）可靠性测试： 通过网络分析软件发送大量数据包，使整个区域无线WLAN处于满负荷工作状态。期间监测并记录整个网络运行状况，分析错误故障的次数是否在正常的范围内。

3）吞吐量测试：利用网络工具，发送大量的不同长度的帧到被测试网络中，监测一段时间内整个网络的丢包率。确保上网高峰期，不会发生网络拥塞。

4）响应时间测试：通过PING命令获取网络接入点到各个无线网关的平均响应时间，排查产生瓶颈的网络设备，保证网络的响应时间。

4 校园无线网络的安全威胁

无线网络具有传统有线网络无法比拟的诸多优势，但其与生俱来的不安全因素也一直让人诟病。无线网络中常见的安全威胁有：

4.1 DOS攻击

随着无线技术的发展，DOS攻击不仅针对于有线网络，也越来越多的把攻击的方向指向了无线网络。DOS攻击者利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。

4.2 密钥破解

为解决无线网络的安全问题，无线网络采用了密钥认证的方式来识别接入用户的合法身份。常见的保密协议包括 WEP，WPA，WPA2等。攻击者通过伪装合法用户，请求重新连接的方式，截获握手包。然后通过分析握手包，得到正确的网络访问密钥。WEP是早期最普遍的无线加密机制，同时也是非常脆弱的安全机制。目前破解WEP密钥的方法越来越成熟，攻击者可以轻松获得认证密码。WPA、WPA2相对安全，攻击者想要破解得到正确密钥，一般通过密码字典进行暴力破解，破解难度则取决于无线网络的密钥强度。

4.3 网络窃听

WIFI网络通过电波作为媒介传播信号的特性使得网络窃听成为一个非常大的安全隐患。一旦攻击者破解得到无线网络密钥，就可以对网络中的其他用户的数据进行嗅探分析，并可能通过分析网络数据包，截获合法用户的用户名、密码、邮件信息等个人敏感数据。

5 校园无线网络的安全策略

虽然无线网络的安全威胁很多，但只要合理应用安全策略就能有针对性地减少无线网络中的安全风险。主要的安全策略如下：

1） 升级早期无线网络设备的固件版本，设置更多的安全选项。

2） 隐匿SSID，开启MAC名单过滤，导入合法的IP-MAC表。

3） 采用SSL等安全通信协议保护管理配置通信，限制管理ip的范围，更换默认的管理登陆口。

4） 尽量使用安全等级更高的加密保护方式，推荐使用WPA或者WPA2。

5） 设置密码时，尽量采用强密码，不建议密码当中包含个人信息。最大可能避免密钥被暴力字典破解。

6） 更换无线网络设备的缺省网关，配置防御DOS策略。

7） 限制使用无线网卡与AP相连的BSS模式。

6 结束语

无线网络在高校信息化过程中扮演着越来越重要的角色，在高校组建或升级无线网络的过程中，我们要根据本校的实际情况，规划不同的网络升级方案，确保校园无线网络系统的稳健性和安全性。同时可以借鉴已经实现校园无线网络工程的高校的建设与应用经验，少走弯路，摒弃过时的技术标准，搭建一个现代化的无线局域网，使无线网络平台更好地服务高校师生，促进校园信息化建设进程。 （下转第5208页）

（上接第5205页）

参考文献：

[1] 陈卓. 无线局域网在校园网中的应用[J]. 南京广播电视大学学报，2005（4）.

[2] 丁家凤. 无线网络在图书馆应用时的安全分析与防范策略[J]. 高校图书情报论坛， 2007（12）：75-78.

篇8

【关键词】图书馆；网络安全；计算机病毒；黑客

在网络高速发展的今天，网络已成为人类最丰富多彩的虚拟世界，计算机技术和通信技术相结合所形成的信息基础设施已经成为反应信息社会特征最重要的基础设施，图书馆作为一个专业的网络信息库，给我们提供很多方便快捷的专项信息。目前，支撑图书馆的关键技术主要有信息处理、信息存储和信息传输3个方面。这种由新技术带来新的信息资源形态（数字化）和新的信息资源使用方式（网络传输），必然存在许多网络隐患，易受网络黑客攻击。另外，高职院校图书馆网络系统具有体系结构开放、资源共享和信道公用等特性，这使得高职院校图书馆网络安全问题更加突出。

1.威胁高职院校图书馆网络安全的因素

1.1 软件系统的漏洞

目前，大部分图书馆的信息服务器主要采用Web界面和基于TCP/IP协议的信息技术系统。TCP/IP协议现在已经广为应用、但也存在许多不足造成安全漏洞在所难免，例如：smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。

其次是图书馆的服务器一般用Windows Server的操作系统，系统以图形化界面和易操作闻名，但存在着安全漏洞；另外应用软件也存在着漏洞或者缺陷。这也给黑客提供了攻击的突破口。例如，数据库是图书馆重要组成部分之一，常用的有SQL、Oracle、Sybase等，未打全补丁的数据库系统就是一个隐藏着的定时炸弹，网络上专门针对此的扫描和攻击工具不胜枚举。黑客一旦攻破其漏洞，其造成的后果将不堪设想。

1.2 网络硬件系统

硬件的安全问题也可以分为两种，一种是物理安全，一种是设置安全。从物理上讲，高职院校图书馆园网络的安全是脆弱的，因为校园网络设备分布较为广泛，任何个人或部门都不可能时刻对这些设备进行全面监控。另一个方面，大多数高职院校将有限的经费主要投入在一些基本的网络设备上，对于保证网络安全的硬件关心较少，例如只注重服务器、路由器、交换机的性能而忽略了防火墙、杀毒软件的重要性，相对减少投入，所以导致校园网基本还处在一个个开放的状态，没有任何有效的安全预警机制和防范措施。

1.3 内部攻击

所谓内部攻击，是指局域网攻击。来自内部用户的安全威胁远大于外部网络用户的安全威胁，特别是一些安装了防火墙的网络系统，对内部网用户来说一点作用也不起。根据权威部门的统计，70%的攻击来自内部。内部人员对数据的存储位置、信息重要性非常了解，这使得内部攻击更容易凑效。比如文件共享，打印机共享等等，某些操作本身就是合法的，通过很多合法的操作对防火墙或者路由的ACL规则进行欺骗作为攻击和入侵的手段。另外是读者的违规操作。在这样的情况下，图书馆网络必然要承受大量的来自内部的攻击，而源于内部的攻击恰恰是很难防御的。

1.4 外部攻击

（1）来自Internet的病毒攻击

高职院校图书馆网络一般是通过CERNET与Internet相连，在享受Internet的高效便捷的同时，大量的网络病毒也伴随攻击而来。计算机病毒直接影响计算机系统的正常运行速度，破坏系统软件和文件系统，破坏网络资源使网络效率急剧下降，甚至造成计算机网络系统的瘫痪。现阶段，出现了专门攻击计算机网络的网络型病毒，如特洛伊木马、蠕虫病毒、震荡波、冲击波病毒、AV终结者、磁盘病毒、W0M系列盗号木马等等。

（2）黑客非法攻击

随着计算机网络的快速发展，黑客的队伍也不断壮大，黑客现在则多指那些偷阅、篡改或偷窃他人数据资料，在网络上进行犯罪活动的人。在Internet网络条件下，常见的拒绝服务攻击方式主要有两种，一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击；二是用蠕虫病毒等新的攻击方式，造成网络流量急速提高，导致网络设备崩溃，或者造成网络链路的不堪负重。如：数字图书的域名服务器、网页服务器、电子邮件服务器等都可以成为黑客攻击的对象。黑客的花样很多，攻击者可以在现场，也可以在其它任何地方。攻击者的企图有多种，从造成间歇停机到造成整个系统瘫痪、数据错误、大批盗窃信息、盗用服务、进行非法监视和收集情报、引入假电文和提取数据用于进行欺诈，从而达到破坏目的。而且，现在黑客工具种类繁多，容易获取，容易使用，不用懂太多的计算机知识，都可以发动攻击。

1.5 内部人员管理因素

内部工作人员的素质、职业道德和责任心等对系统安全占较大比重，其中人为因素产生的原因如下：（1）管理者对系统安全的认识不足，安全意识淡薄，对安全的重视程度不够，不能及时发现已经存在的和可能出现的问题。（2）个别工作人员敬业精神不高，责任心不强，不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能做出积极、有序和有效的反应。（3）技术能力不够，由于网络管理人员和有关技术人员缺乏必要的专业知识，不能安全配置和管理网络，在服务器上随意安装非法软件。（4）安全管理制度不健全或执行力度不够等因素，从而导致网络安全体系和安全控制措施不能充分、有效地发挥，造成信息泄露，给攻击者创造机会。

2.高职院校图书馆网络的防范措施

2.1 选择稳定的软件系统，保证图书馆数字化安全。

软件系统方面主要是保证系统软件和应用数字图书馆平台应用软件的安全。系统软件是整个软件系统的生命线，是关乎所有在其之上运行的应用软件安全和稳定的基础。所以，可以选择运行比较稳定的WINDOWS 2003 SERVER作为系统软件，在系统配置方面，关闭所有的不必要端口，禁用GUEST账户和IPC连接，删除WindowsServer2003默认共享，随时关注微软的系统补丁包，保证操作系统的安全性和稳定性。另外，数据库管理平台使用SQLSERVER 2005，在SQLSERVER数据库中必须要对SA账户使用强密码；删除BUILTIN＼Administrators服务器登录；定期对MASTER数据库进行完全备份，当数据库系统出现问题时进行恢复，保证数据库系统的可用性。定期对业务数据库进行差异备份，即可备份数据，又可降低备份时对数据库服务器的系统资源消耗，保证服务器的稳定运行。

2.2 利用防火墙技术，避免网络威胁和黑客攻击

防火墙技术是在内部网和外部网之间的界面上构造一个保护层，所有内外连接都强制性地经过这一保护层接受检查过滤，只有被授权的通信才允许通过。其安全意义是双向的，一方面可以限制外部网对内部网的访问，另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时，防火墙还可以对网络存取访问进行记录和统计，对可疑动作告警，以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种，一种是分组过滤技术，一种是服务技术。分组过滤基于路由器技术，其机理是由分组过滤路由器对IP分组进行选择，根据特定组织机构的网络安全准则过滤掉某些IP地址分组，从而保护内部网络。服务技术是由一个高层应用网关作为服务器，对于任何外部网的应用连接请求首先进行安全检查，然后再与被保护网络应用服务器连接。服务技术可使内、外网络信息流动受到双向监控。

2.3 利用加密技术，保护数字馆藏安全和信息产品传输安全。

利用加密技术是保护数字馆藏安全和信息产品传输安全的常用措施。数据库加密方法有库内加密、整个数据库加密和硬件加密。优秀的数据库管理系统（DMS）内嵌有面向网络的数据库安全保护模块，提供安全服务。美国NIST公布的数字签名算法DSA是一个公开密钥数字签名算法，用于保证网络数据传输的完整性和一致性，从而保证数据传输的准确和安全。

2.4 安装防病毒软件，预防计算机病毒的入侵

防病毒软件，也可称为杀毒软件，它具备预防隔离和查杀病毒的双重功能，主要是针对已经遭受网络病毒入侵的网络在病毒入侵后，及时用杀毒软件进行杀毒，能有效的减少损失挽救各种重要信息数据。此外，杀毒软件还能实时跟踪监督各软件的运行情况，一旦发现威胁会立即报警，反馈给用户。图书馆选择一款有效优质的正版的杀毒软件便安装了第二道保护网络安全的防线。图书馆内部局域网中传播的病毒大多是管理人员工作不严谨细致导致的，这些病毒往往是在无意间就进入了工作站。因此在平时工作中，工作人员需慎重选择使用安装软件，不要轻易在工作站上插入来历不明的优盘，非用不可时必须先对它们扫描杀毒。在安装杀毒软件后，还要注意随时更新它。因为网络病毒形式千变万化，随时都有新品种诞生，杀毒软件也会做出新的防御措施。及时下载更新病毒数据库，有利于更好的实现网络安全的维护。

2.5 加强图书馆数据的备份工作

数字信息是数字图书馆的核心资源，其中书目信息和读者借阅信息是图书馆员工多年辛苦劳动的结晶，数据丢失所带来的损失也常常是难以估量的。因此，图书馆数据的备份是一项极为重要的工作，应定期进行数据转储，将数据备份到其它存储设备上，或采用磁盘阵列等技术，利用冗余硬盘，让系统实时对数据进行备份，再配合热插拔等技术，可以保证在部分数据被破坏后，能立即启用备份数据，使服务部中断。

2.6 采用多种方案、建立安全管理机制

只有建立了相应的安全管理制度和操作规程，才能使数字图书馆的员工各司其职，工作有章可循。把图书馆的安全措施和管理制度融会为一个整体，为图书馆的网络安全运行提供保障和基础。比如：（1）制定网络安全管理制度，划分各自得权限，规范各项计算机操作活动。（2）定期进行安全审核，主要是审核制度的安全策略，管理制度是否被有效地、准确地执行，不断调整网络系统配置以达到最优化。（3）加强图书馆各部门的协调能力，严格遵守图书馆岗位责任制。最大限度地保证数字图书馆系统安全和系统能够稳定运行。

3.结语

在信息化、网络化的时代，计算机病毒的泛滥、黑客的恶意攻击和读者网络信息的安全需求已构成对数字图书馆网络信息安全的迫切要求，网络安全任务越来越重要，加强数字图书馆信息的安全与防范工作刻不容缓。因此，这就需要全馆人员同心协力，严格遵守岗位责任制，在工作中不断努力与创新，以确保数字图书馆能在安全、稳定的状态下运行，为更多的读者提供信息服务。

参考文献

[1]黎九平.基于数据挖掘的数字图书馆网络安全管理研究[J].情报探索，2012（12）.

[2]赵晓红，雒伟群，刘伟光，等.高校图书馆网络安全分析与防护策略[J].计算机与信息技术，2009（3）.

篇9

本文系统的分析了目前高职院校中校园网在网络安全方面存在的隐患和问题，并根据这些问题提出了维护改善网络安全的措施手段，为建设安全的高职院校校园网起到了一定的指导作用。

关键词：校园网；网络安全；网络安全的维护

中图分类号：TP393 文献标识码：A 文章编号：1007-9599 (2012) 10-0000-02

一、引言

在社会不断地进步，互联网在生活中扮演的角色越来越重要，人们的工作、学习和生活已经离不开互联网。近年来，在高职院校，为方便师生的学习、工作，纷纷组建了校园网，校园网的发展也非常迅速，不过由于其起步较晚，软硬件设施较差，在组建校园网运行中存在着很多不足之处，导致了现存的高职院校校园网存在足多隐患的局面，高职院校校内网的安全问题也益发凸显。

二、目前高职院校校园网存在的隐患及问题

高职院校的校园网网络安全存在很大的隐患，这给广大师生的学习，工作都带来很大的不便，更有甚者回影响到学校、师生的利益。这些隐患主要体现在以下几个方面：

（一）互联网的开放性决定了校园网的安全更容易受到攻击

互联网网络的通信协议是开放性的，通信协议是互联网通信的基础，目前高职院校校园网普遍使用TCP/IP协议簇，而通用性和开放性是TCP/IP协议簇的一大特点，基于这种特点，只要具备了一定的技术就可以分析并使用这一协议，这就造成了校园网在通信上的漏洞。数据窃听(Packet Sniff)：TCP/IP协议数据流采用明文传输，因此数据信息很容易被窃听、篡改和伪造。特别是在使用含有用户账号、口令的数据包进行通信时，使用Sniff，Snoop或网络分析仪等可以对以上信息进行截取，达到攻击的目的。例如：源地址欺骗(Source address spoofing)；源路由选择欺骗(Source Routing spoofing)；鉴别攻击(Authentication Attacks)；TCP序列号欺骗(TCP Sequence number spoofing)；ICMP攻击(工CMP Attacks)；拒绝服务((DOS)攻击；IP栈攻击(IP Stack Attack)等，这种由于互联网的根本属性而来的漏洞，不能够彻底解决，但是由于校内网的特点却更容易使其安全受到攻击。

（二）硬件设施的落后导致其安全隐患巨大

高职院校的校园网虽然发展迅速，但由于其起步较晚，加之在建设校园网的过程中，大部分高职院校并没有进行大幅度的改变，而是在原有局域网的基础上进行一些整改，这种硬件上的落后必然导致校园网的安全隐患。

（三）系统防火墙抵抗外来攻击入侵能力较弱

校园网的系统防火墙是抵御外来入侵的有效手段，对于外来的攻击能提供有效的屏蔽，但目前大部分高职高校的校园网系统却存在很多漏洞，容易被不法分子利用，校园网的防火墙能力也比较弱，对于拥有一定技术的黑客而言基本形同虚设。

（四）网络安全管理存在巨大的缺陷，非常不完善

网络的管理能够很大程度上消除校园网的安全隐患，但大部分高职院校学院网络的管理相对比较较混乱，没有统一的网络出口、网络管理软件和网络监控、日志系统，缺乏上网的有效监控和日志。这种管理能力的欠缺也是导致目前高职院校网络安全问题的一大原因。

（五）校内人员安全意识单薄，并出现内部攻击校园网的情况

微型计算机的普及使得拥有个人计算机的学生数量在飞速的增长，但是除了个别对于计算机比较熟练地用户以外，目前，很大一部分的学生对于计算机的安全意识比较单薄，比如：安全软件更新不够，系统的漏洞更是比比皆是，这些问题导致了校园网的计算机更容易沾染病毒，而基于校内网特点，这带来的后果往往更加严重。此外，校园网的防火墙虽然能够对于校外的入侵起到一定抵御作用，可是对于来自校园网内部的攻击的防护能力却基本为零，而根据研究，目前基本上校园网受到的大部分攻击都是来自校内，这主要是由于校园内的人员大多属于有想法，有冲劲的年轻人，加之互联网上的攻击软件，黑客软件比比皆是，再加上目前国内外舆论对于黑客行为的不可观的评价，这就对于年轻人带来很大的诱惑，希望通过一些比较出位的手段来获得心理的满足，于是，攻击校园网也就成了一种可选择的手段。

（六）高职院校的特殊性导致其更易受到攻击

校园网的一大特点即是速度和规模上比较大，由于存在以上隐患，对于不法之徒而言，攻击、入侵校内网的效率相对而来就会更高，目前，越来越多的黑客把目标瞄向了校园网，加之层出不穷的网络病毒在校园网内传播的更加迅速，虽然校园网目前大都建立了防火墙，但这些依旧给校园网的安全带来很大的压力。

三、针对高职院校校园网存在问题的改善意见及措施

针对我国目前高职院校校园网存在的问题，学校应该从提高技术，增强防范意识，提高软硬件设施等方面出发。

（一）加大基础设施投入

良好的基础设施是改善校园网现存问题的基础，工欲善其事，必先利其器，没有好的硬件设施，一切只是空中楼阁，在这方面应该做的工作有很多，首先，应以高性能的防火墙来替代落伍的防火墙，做到外部人员只能够访问允许访问的资源，对于不开放的资源做到有效地隔离；其次，建设有效全面杀毒系统，有效地杀毒系统能够解决校内网中木马病毒泛滥的现状，最大程度上保证用户的利益；第三，完善系统漏洞，减少给不法分子有机可趁的机会；最后，安装旁路监听性检查系统。

篇10

1 网络信息安全的定义与基本内容

网络安全的基本定义是利用相关技术进行数据处理系统的建立与维护，保证计算机硬件、软件不遭到毁坏，对数据进行有效的保护，防止其通过恶意手段遭到破坏，保持网络的完整性、保密性、可用与可控性。

硬件安全指的是网络硬件媒体设备的安全，包括主机系统、终端设备以及防火墙、服务器等的安全[1]；软件安全指的是保证计算机网络中软件功能的完整性与准确性；数据安全指的是保证网络中储存与传输数据的安全，避免非法篡改、解密等，是网络安全的核心。

2 信息化校园网络面临的安全问题

校园网涵盖了教学、管理、通讯等方面的功能，教师可以通过网络进行教学工作，方便与学生的远程学习，校园网学习信息资源管理系统的建立有效的实现了学校与学生之间信息的透明化与共享化，学生可以通过校园网进行信息综合管理与数据交换。

随着校园网络的快速普及，相关的安全问题也日益增加，由于技术资金的落后，在高职院信息化校园网络的建设中没有完善的防范措施，硬件设施薄弱，软件系统的安全建设不够完善；网络管理缺乏安全机制，专业管理人员少，无论是自身的网络管理还是对设备管理都缺乏经验与技术，导致对网络安全问题不能进行及时的监控与反馈，使网络安全缺乏可控性。

3 信息化校园网络安全的技术保护措施

3.1网络多出口的规范

校园安全体系与架构的建设是信息化校园网络的基本管理措施，近几年高职校园网网络架构的多出口特点给网络安全带了严重的影响，多出口不利用整体网络的规范化管理。校园网络管理机构应对现有的网络架构进行合理的优化与改造，对出口进行规范与监制，出口的统一化、专业化的管理为校园网络安全体系的构建奠定基础。

3.2配备完整的系统的网络安全设备

校园网络结构庞大而复杂，但是从架构特点分析，它是属于局域网技术领域。控制局域网的独立性，保证其与外部连接的安全为网络安全的管理与规范提供了思路，具体的方法是在局域网与外部网络接口的连接处设置硬件与软件的监理设备，保持对连接处网络安全的控制与管理[2]。当代社会的校园网络都是基于高速层面的网络，我们必须降低一切硬、软件设备对网络性能不同程度的影响，因此使用了以下设备进行网络安全防护：

（1）高性能的硬件防火墙：防火墙是本地网络与外界网络之间的防御系统，它是可以实现隔离风险的网络安全模型，高性能的防火墙有过滤、链路级网关和应用级网关等方面的性能，为网络防御提供了更好的安全性。

（2）入侵检测系统与防病毒、漏洞扫描系统：入侵检测系统为网络黑客的检测与反馈提供了很好的措施；建立完备的防病毒与漏洞扫描系统为非法访问提供了解决方法，有助于抑制网络不良因子的扩散与影响。

（3）网络故障检测系统：利用故障检测系统科实现对校园网络进行实时的诊断，有利于及早发现故障，进行系统的清理与优化。

3.3 建立全校统一的身份认证系统

身份认证系统是解决校园网络安全问题的基本方法，用身份证与有效的ID信息进行网络认证与使用有利于对网络安全的监管，若发现不良的网络问题，可以通过身份认证的方式进行有效的处理，有利于减少信息监控的成本，并对个人良好的网络素质与信用的提高起到了很大的作用。

虽然近几年各高职校园网络管理机构进行了身份认证系统的建设与完善，但是应用系统在通用性、权威性与安全性上还有一定的不足与差距，因此在校园网络的规范建设中还存在危险漏洞。在高职校园网络建设中应实现全校统一的身份认证系统，使非合法用户无法使用校园网络，避免再认证中出现缺口与问题，这有利于校园网络由于上网身份出现的安全隐患的彻底解决。

3.4对上网场所集中进行规范和监控

高职校园应该鼓励广大师生在公众场所使用网络，不仅对网络教学的普及有作用，还有助于实行网络统一的管理与监控。在公众场所必须进行身份认证，使用机房固有的安全学习软件，有利于有效的保证网络安全。

但是现在高职校园的网络管理系统处于孤岛的状态，学生上网的地点分散，很多身份难以识别与认证，对于分散的网络行为的监管也难上加难。“还原卡”的普及更降低了很多高职校园信息化网络的管理能力，因此要尽快实现网络的集中认证，利用中心监控服务器进行网络行为的监管，通过日志备查保证信息化网络的安全性。

3.5改造电子邮件系统，建立完善的恢复机制

高职院校免费的电子邮件系统已经明显不适用于现代网络系统的功能，这成为现在校园网络安全的主要隐患。因此应该对电子邮件系统进行改造，提高其过滤有害信息的能力和及时的反馈能力；增加数据传输的设备，为校外教师或外出人员通过提供隧道连接，使他们安全进入校网电子邮件系统；建立完善、成熟的

备份软件与恢复机制，减小由于数据损坏与信息泄露造成的损失，也有助于整个网络系统的稳定运行。

3.6 校园网络的系统层安全设计与管理

充分宣传校园网络自动更新服务，引导师生们深入了解防病毒软件的使用，及时安装补丁，加固操作系统；加强师生们对用户信息与账户安全的设置，利用系统服务设置更好的保证私人以公共计算机网络的运营，定期做网络巡检与监控。