校园网络安全防范摘要：本文主要是结合校园网络安全存在的问题,针对引起校园网络安全的安全威胁，进行针对性安全规划，应用安全技术进行有效的安全防范从而有效地保护校园网的安全。

关键词校园网安全威胁安全规划安全技术安全防范一．校园网安全威胁1.1校园网络安全概述校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。

校园网应为学校教学、科研提供先进的信息化教学环境。

目前计算机和网络技术在学校的教学、管理上的信息泄密和毁坏也就越来越受人们关注, 这就是网络信息安全问题。

因此针对网络的安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。

1.2 网络威胁的表现形式计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。

影响计算机网络的因素很多，归结起来，大致有以下几方面：一是通过互联网访问学校资源的终端用户, 二是校内的终端用户, 三是病毒攻击, 四是系统漏洞, 五是管理人员自身的管理不善。

主要表现在“黑客”恶意的攻击、信息泄密和篡改、数据被删除和毁坏、IP 盗用、病毒攻击、非法站点的访问、E -mail 和BBS 携带非法信息等问题。

1.3 入侵方式俗话说“知己知彼,百战不殆”,为了减少甚至杜绝校园网中的安全隐患,我们必须首先了解:这些所谓的威胁是以一种什么方式与你的计算机建立联系的。

（1）利用操作系统的一些漏洞。

如有名的windows DCOM蠕虫病毒就是利用windows DCOMMS03 - 26漏洞进行攻击的。

（2）通过邮件或资料下载,病毒或木马程序被下载到本地机器上。

（3）盗版软件也是传播病毒及木马程序的途径之一。

（4）骗取用户口令,冒充合法用户。

（5）操作系统自身设置造成的。

许多教师为了办公方便,将所有硬盘分区共享,并且不限制权限,使其他用户通过网上邻居等简单方式就可以对文件进行操作。

（6）浏览一些恶意的网站。

这些网站不仅内容无聊,而且往往还带有一些恶意代码。

浏览之后,轻则更改IE设置,重则更改注册表,造成系统的不稳定。

二．校园网安全规划2.1网络安全规划制订校园网安全规划的目的就是要对网络安全问题有一个全面的思考, 要从系统的观点去考虑安全问题。

安全规划至少应当包括如下一些内容: 安全策略, 内/ 外网的逻辑划分, 校园网上的信息分布与安全密级, 应用系统的分布与应用服务器、数据库系统设置和放置地点, 安全管理制度(人员、工作流程、维护保障制度等), 安全服务, 安全防范措施和技术手段(包括访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等), 数据备份与恢复措施、安全评估、实施计划(包括资金投入的计划) 等。

2.2合理划分网络区域从安全角度讲, 校园网也应当从逻辑上合理划分区域。

要根据整体的安全规划和信息安全密级, 从逻辑上划分外网、内网, 划分出安全区域( 即内部网络区域) 、非军事区(DMZ) 和不安全区域, 要根据学校对网络的需求, 合理划分虚拟专用网(VLAN) , 如图1所示。

安全区域是校园网的内部网络区域, 是外部用户不能直接访问的部分, 有很高的安全级别。

各种内部服务器、数据库服务器应当放置在该区域, 各种应用系统、OA 系统等在该区域运行。

非军事区(DMZ) 是内/ 外网用户均可以访问的区域。

在此区域, 可以提供一些对外的服务, 比如Web 服务、Ftp 服务、Email 服务等。

但是, 该区域也应当有一定的安全防范措施。

不安全区域也可以称为外部区域, 就是防火墙的外网接口以外的区域。

根据校园网用户的特点, 该结构有如下特点:（1）所有校园网用户都能通过防火墙和入侵检测系统访问Internet , 能满足校园网用户的需求。

内部用户应用（2）外部区域与DMZ (demilitarized zone) 之间建立防火墙, 提供访问控制、信息过滤。

在DMZ 区域内的各种服务, 是向外网用户和内网用户开放的, 外网用户和内网用户均可以访问。

要根据DMZ 的这种特点, 制订合理的安全策略。

在制订DMZ 的安全策略时, 只允许外网用户和内网用户访问开放的服务, 不应当允许从DMZ 访问内网的各种服务。

（4）对安全级别较高的内部网络区域, 使用防火墙与入侵检测系统, 防火墙与入侵检测系统联动, 共同构筑防御体系。

三．校园网安全技术3.2.1防火墙技术作为加强网络间访问控制的网络互连设备, 防火墙是在内部网与外部网之间实施安全防范的系统, 它保护内部网络免受非法用户的侵入, 过滤不良信息, 防止信息资源的未授权访问。

防火墙是一种基于网络边界的被动安全技术, 对内部未授权访问难以有效控制, 因此较适合于内部网络相对独立, 且与外部网络的互连途径有限、网络服务种类相对集中的网络。

防火墙的实现技术主要有：数据包过滤, 应用网关和代理服务等。

(1) 包过滤型包过滤型是网络中的分包传输技术。

网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/ UDP 源端口和目标端口等。

防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。

系统管理员也可以根据实际情况灵活制订判断规则。

使用这一类型,即可防患病毒入侵校园网。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。

包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java 小程序以及电子邮件中附带的病毒。

有经验的黑客很容易伪造IP 地址,骗过包过滤型防火墙。

(2) 网络地址转化- NAT网络地址转换是一种用于把IP 地址转换成临时的、外部的、注册的IP 地址标准。

它允许具有私有IP 地址的内部网络访问因特网。

它还意味着用户不需要为其网络中每一台机器取得注册的IP 地址。

NAT的工作过程是:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。

系统将外出的源地址和源地址端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。

在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP 地址和端口来请求访问。

防火墙根据预先定义好的映射规则来判断这个访问是否安全。

当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。

当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。

(3) 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。

代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。

从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。

3.2.2数据加密技术数据加密技术作为主动网络安全技术, 是提高网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段, 是许多安全措施的基本保证。

加密后的数据能保证在传输、使用和转换时不被第三方获取。

数据加密技术可以分为三类: 对称型加密、不对称型加密和不可逆加密。

(1) 对称加密技术在对称加密技术中,对信息的加密和解密都使用相同的钥匙,也就是说一把钥匙开一把锁。

这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。

如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。

对称加密技术也存在一些不足,如果交换一方有多个交换对象,那么他就要维护多个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。

(2) 不对称加密技术在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。

这对密钥中任何一把都可以作为公开密钥(加密密钥) 通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥) 加以保存。

公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。

非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

3.2.5 网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。

入侵检测( Intrusion Detection)不仅检测来自外部的入侵行为, 同时也检测来自内部用户的未授权活动。

入侵检测应用了以攻为守的策略, 它所提供的数据不仅有可能用来发现合法用户滥用特权, 还有可能在一定程度上提供追究入侵者法律责任的有效证据。

入侵检测通常采用IDS。

所谓IDS就是一个能够对网络活动进行实时监测的系统, 它能够发现并报告网络中存在的可疑迹象, 为网络安全管理提供有价值的信息。

现在, 大多数的IDS 产品综合采用三个基本方法来检测网络入侵: 追踪分析、网络包分析及实时活动监控。

3.3 其它防范措施3.3.1备份和镜像技术运用备份和镜像技术提高数据完整性。

备份技术是最常用的提高数据完整性的措施, 它是指对需要保护的数据在另一个地方制作一个备份, 一旦失去原件还能使用数据备份。

镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。

3.3.3 VPN 技术VPN (Virtual Private Network , 虚拟专用网络) 目前多指那些在地域上非常分散, 同时需要相互协同工作的企业用户在互联网上利用隧道、加密、认证等技术来建立自己的专用网络。

VPN 仿真点对点的专线行为, 特别适合点对点、点对多点的连接结构, 它有效利用PN 的加密、认证技术, 可以保护数据库免受攻击。

3.4加强安全管理, 重视制度建设3.4.1加强日志管理与安全审计一般的防火墙与入侵检测系统都具备审计功能, 要充分利用它们的审计功能，作好网络（特别是内网）的日志管理工作和安全审计工作。

对审计数据要严格管理，不允许任何人修改、删除审计记录。

3.4.2 建立内网的统一认证系统认证是网络信息安全的关键技术之一，其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。

校园网与Internet没有实施物理隔离，但是对于运行内部管理信息系统是内网，以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。

3.4.3 建立病毒防护体系网络病毒成为威胁网络安全的重要因素，如何防护网络病毒也就成为校园网安全必须考虑的重要问题，因此必须在校园上安装防病毒体系。