校园网安全分析及应对策略
摘要：校园网的安全问题可能会威胁影响到学校的教学科研、管理和对外交流等正常工作，它已经成为当前各学校网络建设中迫在眉睫的问题。

本文对校园网面临的安全威胁，从现有的网络机制以及人为攻击两方面进行了分析，而后针对攻击来源从控制接入、业务流监控和备份镜像上提出了相应可行的防治策略，并提出了加强校园网内部人员管理的具体方法。

关键词：校园网；网络安全
中图分类号：tp393 文献标识码：a 文章编号：1007-9599 （2012）24-0141-02
1 引言
校园网作为数字化校园的重要基础，担当着学校教学科研、管理和对外交流等重要任务，为学校的教育、教学、生活提供了极大的方便。

然而在享受校园网方便快捷的同时，随着校园网规模的壮大和运用水平的提高，校园网的安全问题也随之摆在眼前，它面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列的安全问题。

如何保证校园网不被攻击和破坏，如何使校园网免受黑客的入侵、病毒的侵袭和其他不良意图的攻击等风险，确保校园网正常、高效和安全地运行，已经成为学校需要解决的重大问题，也是校园网管理的重要任务。

2 校园局域网安全分析
2.1 现有网络机制造成的网络威胁
目前的网络技术，在原理上应用的都是tcp/ip。

但是tcp/ip协议本身就存在诸多缺陷，如：缺乏安全策略，ip协议容易被窃听和欺骗，icmp报文协议存在缺陷等等。

此外，应用程序甚至操作系统都可能存在安全漏洞或安全后门。

这些都为人为攻击提供了可能。

2.2 人为攻击造成的网络威胁
（1）网络监听。

从网络的原理上讲，每一个计算机都有其硬件地址。

当用户发送一个数据包时，这些数据会发往连接在一起的所有可用的主机。

但是数据包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

然而嗅探器（英文sniffer），可收接收处理所有这些数据包，无论数据包中的目标地址是什么，只要经过其接口主机它都将接收。

（2）数据篡改。

数据篡改是建立在网络监听基础之上，还多了一个修改数据的过程。

（3）口令破解。

黑客可以利用口令破解软件，远程去破解计算机的口令，如果用户设置的是空口令或是弱口令，黑客破解后就可以远程连接到此用户的计算机上，窃取资料。

黑客较常利用人们的密码设置习惯，针对所搜集到的信息，对有意义或简单的字符进行组合，生成口令字典，并以它作为基础，编写程序，让计算机模拟登陆的方式，逐个进行测试，看能否成功进入。

（4）缓冲区溢出。

所有程序都是在内存中运行的，如果系统有漏洞存在，黑客可以通过一段代码，进入其它区域如管理员区域，这时黑客具有管理员权限，可以远程操作计算机。

（5）木马攻击。

木马程序，常被伪装成邮件的附件形式，或是和一些软件捆绑在一起，当用户打开邮件或
是安装软件时，电脑就会感染木马，以后黑客就可以通过木马监视此用户或盗窃这个用户的有价值的信息。

3 校园局域网的安全解决方案与策略
3.1 访问控制
ip地址盗用或地址欺骗是一个常见的威胁校园网安全的因素。

诸多网络应用，如流量统计、账号控制等都是基于ip地址的。

如果合法地址被盗用，网络上传输的数据则面临被破坏、窃听，甚至盗用。

而绑定mac地址与ip地址是防止内部ip盗用的一个有效措施。

下面我们以cisco交换机为例介绍ip和mac绑定的设置方案：switch（config）mac access-list extended mac1
#定义一个mac地址访问控制列表并且命名该列表名为mac1 switch（config）permit host 0001.010a.010b any
#定义mac地址为0001.010a.010b的主机能访问任意主机
switch（config）permit any host 0001.010a.010b
#定义所有主机能访问mac地址为0001.010a.010b的主机
switch（config）ip access-list extended ip1
#定义一个ip地址访问控制列表并且命名该列表名为ip1 switch（config）permit 102.108.0.1 0.0.0.0 any
#定义ip地址为102.108.0.1的主机能访问任意主机
permit any 102.108.0.1 0.0.0.0
#定义所有主机能访问ip地址为102.108.0.1的主机
switch（config-if ）interface fa0/20
#进入设置具体端口的模式
switch（config-if ）mac access-group mac1 in
#在该端口上应用名为mac1的访问列表（即前面我们定义的访问策略）
switch（config-if ）ip access-group ip1 in
#在该端口上应用名为ip1的访问列表（即前面我们定义的访问策略）
switch（config）no mac access-list extended mac1
#清除名为mac1的访问列表
switch（config）no ip access-group ip1 in
#清除名为ip1的访问列表
虽然ip和mac绑定可以有效地防止非法用户入侵网络，但是对少数恶意的合法用户或者“肉鸡”用户却缺少防范机制。

要想彻底根治上述攻击，只有从业务流入手，监控网络中的异常流量，查找攻击源，采取有效策略化解危机。

3.2 备份和镜像
备份技术指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。

镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。

有效的备份镜像可以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致的系统崩溃、信息损坏，避免蒙受重大损失。

3.3 加强校园网内部人员管理
（1）提高网络安全意识。

让每个教职员工及学生明白网络信息安全的重要性，理解保证网络安全是所有人员共同的责任，防止因疏忽懈怠导致的安全事故。

（2）增强网络安全知识。

让每个内部人员掌握一定的网络安全知识，培养良好的计算机使用习惯。

网络安全知识，即如何设置强密码、怎样关闭不必要的服务、慎用移动存储介质、文件共享时尽量控制权限和增加密码等等。

（3）制定并贯彻安全管理制度。

制定相应的计算机安全管理制度、服务器安全管理制度、网络维护管理制度等。

约束普通用户等网络使用者，督促管理员完成好自身的工作，并定期检查各项制度的贯彻执行情况。

4 结束语
以上对企业局域网面临的安全威胁，从现有的网络机制以及人为攻击两方面进行了分析，而后针对攻击来源从控制接入、业务流监控和备份镜像上提出了相应可行的防治策略，并提出了加强校园网内部人员管理的具体方法。

校园网的信息安全维护与控制是一项长期而艰巨的任务，需要我们不断深入探索。

参考文献：
[1]w.richard stevens，范建华（译）.tcp/ip 详解[m].机械工业出版社，2000.
[2]周超.ieee 802.1x的安全性分析及改进[j].计算机应用，2011，（05）.1265-1270.
[3]曾梦良，郑雪峰.基于接入层的网络安全解决方案研究[j].微计算机信息，2007，（23）.72-74.
[4]韩多龙.校园局域网安全解决方案[j].中国教育信息化，2012，（02）.82-83.。