高校校园网安全问题及解决策略　

徐有芳　（河西学院，甘肃张掖７３４０００）　

摘要：随着互联网的飞速发展，网络安全已经成为很现实的问题，不仅造成了不可估量的经济损失，而且成为网络技术广泛　使用的一个障碍。高校校园网因其自身的特点，安全问题尤为突出。重．占’对高校校园网存在的安全隐患与问题进行调查和研究，　并对—高校校园网的安全技术与优化策略进行了介绍和探讨　关键词：校园网；网络安全；身份认证；７ＰＮ　

Ｓｅｃｕｒｉｔｙ　Ｉｓｓｕｅｓ　ａｎｄ　Ｓｏｌｕｔｉｏｎｓ　ｏｆ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ　

ｘｕ　ＹＯｕ—ｆａｎｇ　（ｆｌｅｘ／ＵｎｉｖｅｒｓｉＴｙ，Ｚｈａｎｇｙｅ．Ｇａｎｓｕ　７５，１０００，ｃ％ｍａ）　Ａｂｓｔｒａｃｔ：Ｗｉｔｈ　ｔｈｅ　ｒａｐｉｄ　ｄｅｖｅｌｏｐｅｎｔ　ｏｆ　Ｉｎｔｅｒｎｅｔ，ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｈａｓ　ｂｅｃｏｍｅ　ａ　ｖｅｒｙ　ｒｅａｌｉｓｔｉｃ　ｑｕｅｓｔｉｏｎ，ｎｏｔ　ｏｎｌｙ　ｃａｕｓｅｄ　ｉｎｃａｌｃｕｌａｂｌｅ　ｅｃｏｎｏｍｉｃ　ｌｏｓｓ　ｂｕｔ　ａｌｓｏ　ｉｓ　ａｎ　ｏｂｓｔａｃａｌ　ｏｆ　ｕｓｅ　ｏｆ　ｎｅｔｗｏｒｋ　ｔｅｃｈｎｏｌｏｇｙ．Ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ　ｉｓ　ｍｏｒｅ　ｓｅｒｉｏｕｓ　ｆＯｒ　ｉｔｓ　ｏｗｎ　ｆｅａｔｕｒｅｓ．Ｔｈｅ　ｐａｐｅｒ　ａｎａｌｙｚｅ　ｔｈｅ　ｓｔａｔｕｓ　ａｎｄ　ｓｅｃｕｒｉｔｙ　ｉｓｓｕｅｓ　ｏｆ　ｔｈｅ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，ａｎｄ　ｄｅｌｖｅｄ　ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ　ａｎｄ　ｔｈｅ　ｓｏｌｕｔｉｏｎｓ．　Ｋｅｙ　ｗｏｒｄｓ：Ｃａｍｐｕｓ　ｎｅ＇￣ｗｏｒｋ；Ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉＷ；Ａｕｔｈｅｎｔｉｃａｔｉｏｎ；ＶＰＮ　

校园网是把分布在校园不同地点的多台电脑连　

接，按照网络协议相互通信，以共享软件、硬件和　数据资源为目标的网络系统，是信息社会和教育发　展的必然趋势之一。它是以现代网络技术、多媒体　

技术以及Ｉｎｔｅｒｎｅｔ技术等为基础建立起来的计算机　

新型网络…，一方面连接学校内部子网和分散于校　

园各处的计算机，另一方面作为沟通校园内外部网　络的桥梁。校园网为学校的教学、管理、办公、信　

息交流和通信等提供良好的网络应用环境。　

１校园网应用现状　

各国的高等教育都是最早建设和应用互联网技　

术的行业之一，中国的高校校园网一般都最先应用　最先进的网络技术，网络应用普及，用户群密集而　

且活跃。校园网顺应学校信息化的要求，为学校与　

外界交流提供了桥梁，也为教师提供了丰富的教学　

资源和深化教学的先进手段，促进了学校信息技术　

水平的提高，也逐渐发展为学校管理的基础平台与　

重要手段。随着网络技术的发展与应用，用户不但　注重校园网提供的功能与服务，同时也越来越关注　

校园网的安全问题。互联网的各种安全威胁在校园　网的运行和管理中表现得尤为突出，加强校园网的　

安全管理是当前非常迫切、充满挑战的任务。目前　

校园网安全建设和解决方案应该满足高性能、高可　

靠性、高安全性、良好的可扩展性、可管理性和运　营性等需求。　

２校园网的安全特点与安全隐患　

高校校园网由于自身的特点，安全问题比较突　

出，安全管理也更为复杂、困难。从结构上分析，　

校园网总体上分为校园内网和校园外网以及提供各　种服务的服务器群。校园内网主要包括教学局域网、　

图书馆局域网、办公自动化局域网，一卡通等。外　

部网主要实现校园网与Ｉｎｔｅｒｎｅｔ的基础接入。校园　

网的服务器群构成了校园网的服务系统，主要包括　

ＤＮＳ、Ｗｅｂ、ＦＴＰ、Ｐｒｏｘｙ、视频点播以及ＭａＵ服　

务等。　

基于校园网络的基本结构，可以分析出校园网　

２　０　１　１．０　８田口圆国目　５８　ｗｗｗ　ｎｓｃ．ｏｒｇ　ｃｎ　ｌ

　络存在的安全隐患和漏洞，主要有以下几个方面：　（１）校园网用户群数量大、分布密集，受到内　

外两方面的安全威胁。一方面校园网与Ｉｎｔｅｒｎｅｔ相　

连，速度快，规模大，使用Ｉｎｔｅｒｎｅｔ服务的同时，　

也面临着遭遇攻击的风险。另一方面高等校园网的　用户通常是最活跃的网络用户，对网络新技术较为　

敏感、勇于尝试，可能对网络造成一定的影响和破　

坏。　

（２）网络环境架构自身因素可能造成的漏洞、　受到攻击。由于教学和科研的特点，决定了校园网　

络环境是开放的、且管理宽松，不能实施过多的　

限制，容易受到攻击。同时，目前使用的操作系　统存在安全漏洞，对网络安全构成了威胁　。例如　

ＷｉｎｄｏＷＳ　ＮＴ／２０００的普遍性和可操作性使它成　

为最不安全的系统：自身安全漏洞、浏览器的漏洞、　ＩＩＳ的漏洞、病毒木马等。　（３）校园网系统管理过程中存在的隐患。校园　

网中的计算机系统的购置和管理情况非常复杂，要　

求所有的端系统实施统一的安全政策是非常困难的。　

这也对网络维护带来的不便，使本就因为投入有限　而难以顾及的网络维护工作更显不足。　（４）没有建立健全的网络使用规则与制度，无　

法对网络用户形成有效约束。　

３网络安全技术　

（１）认证与数字签名技术：身份认证是对通信　

方进行身份确认的过程，用户向系统请求服务时要　出示自己的身份证明　。常用的身份认证方法有口　

令认证法、基于“可信任的第三方”的认证机制和　

智能卡技术等。　

通常有三种方法验证主体身份。（１）只有该主体　

了解的秘密，如口令、密钥（用户所知道的）；（２）　

主体携带的物品，如智能卡和令牌卡（用户所拥有　

的）；（３）只有该主体具有的独一无二的特征或能力，　

５９固口皿圈２　０　１　１．０　８　ｗｗｗ　ｎＳＣ　０ｒｇ　ＣＩ３　如指纹、声音、视网膜图或签字等（用户的特征）。　

身份认证一般可分为用户与主机问的认证和主机与　

主机之间的认证，用户与主机之间的认证。可以　基于如下一个或几个因素：（１）用户所知道的东西，　

例如口令、密码等；（２）用户拥有的东西，例如印章、　

智能卡（如信用卡等）；（３）用户所具有的生物特征，　例如指纹、声音、视网膜、签字、笔迹等。　

（２）ＶＰＮ一数据加密通道：ＶＰＮ（虚拟专网）技　

术是指在公共网络中建立专用网络，数据通过安全　的“加密管道”在公共网络中传播。　ＶＰＮ技术的　

核心是隧道技术，是将专用网络的数据加密后，透　

过虚拟的公用网络隧道进行传输，建立一个虚拟通　

道，让用户感觉是在同一个网络上，可以安全且不　

受拘束地互相存取，从而防止敏感数据被窃。ＶＰＮ　

能够提供如下功能：（１）加密数据，以保证通过公　

网传输的信息即使被他人截获也不会泄露；（２）信　息认证和身份认证，保证信息的完整性、合法性，　

并能鉴别用户的身份；（３）提供访问控制，不同的　

用户有不同的访问权限。　

（３）防火墙：是一种用来加强网络之问访问控制，　

防止外部网络用户以非法手段通过外部网络进入内　部网络，访问内部网络资源，保护内部网络操作环　

境的特殊网络互联设备。它对两个或多个网络之间　

传输的数据包链接方式按照一定的安全策略来实施　检查，以决定网络之间的通信是否被允许，并监视　

网络运行状态。目前，防火墙技术主要分为包过滤、　应用级网关、代理服务器和状态监测等。　

（４）数据加密：与防火墙配合使用的数据加密　

技术是为提高信息系统及数据的安全性和保密性，　

防止绝密信息被外部破坏所采用的主要技术手段之　

一。计算机网络的传输加密与通信加密类似，加密　

方式分为链路层加密、网络层加密、传物层加密和　

应用层加密等。　

（

５）入侵检测技术：提供实时的入侵检测及采　取相应的防护手段，如记录证据用于跟踪和恢复、　断开网络连接等。通过在计算机网络或计算机系统　的关键点采集信息进行分析，从中发现网络或系统　

中是否有违反安全策略的行为和被攻击的迹象。入　

侵检测系统一般分为基于主机的、基于网络的和基　

于网关的入侵检测系统。　（６）入侵防御系统：　是一种主动积极的入侵防　

范、阻止系统，旨在预先对入侵活动和攻击性网络　

流进行拦截，避免其造成任何损失，而不是简单地　

在恶意流量传送时或传送后才发出替报。部署在网　

络的进出口处，当检测到攻击企图后会自动地将攻　击包丢掉或采取措施将攻击源阻断。入侵防御系统　

一般分为基于主机的、基于网络的和基于应用的入　

侵防护系统。　

（７）反病毒技术：病毒网络安全的主要问题之一。　根据病毒的发展，反病毒技术一步一步地进行功能　融合，逐渐形成了多功能融合的反病毒产品。包括　

静态杀毒技术、实时反病毒等。主要实现阻止病毒　

的传播、检查和清除病毒、病毒数据库的升级等保　

护功能。　

（８）应用系统安全技术：网络应用平台的安全　问题较为复杂，包括域名服务、邮件系统、操作系　统等。主要包括域名器设置隐藏信息、备份域名数　

据、安装监控系统、应用专门的邮件服务器及增加　

补丁等。　

４校园网安全问题的优化策略　

在“十一五”高校信息化发展战略中，信息技　

术将成为校园的一项核心生产力，成为校园教学科　

研各项核心业务的最有力的支撑点。为了实现高校　

校园网安全、通畅和可靠，从端点接入、到校园核　

心、到网络出口及数据存储，都必须通过强有力的　

手段和必要的技术进行管理。　

（１）端点设备的接入问题。目前校园网已普遍　实现了对用户身份的认证管理系统，但是对于用户　

计算机的安全状态却不了解，也无法控制用户的网　络行为。所谓的端点设备的安全接入是要实现在用　

户的ＰＣ接入网络时，首先是身份认证，确保用户　

的身份合法，然后是安全状态评估，检查用户的操　作系统是否有漏洞和补丁问题。如果不符合安全要　求，将被隔离处理，只能到补丁服务器去打补丁，　

到病毒服务器去升级病毒库。然后是系统下发安全　

控制策略到接入设备，对用户的上网行为进行必要　

的控制。通过这些管理和技术手段，保证了整个网　

络系统的安全，以及用户自身的安全　。这就是端　点安全准入防御ＥＡＤ的思想。　（２）保证网络出入口的安全。在校园网的出入　

口和数据中心的出入口需要采取绝对安全的措施。　

目前在校园网中，各种病毒泛滥，安全攻击猖獗，　而且大多攻击都是基于应用层实现的。传统的防火　

墙都是基于三到四层的检测和过滤，只能对付网络　层的攻击，对于应用层的安全威胁视而不见。这　

就需要深度安全防御解决方案Ｔｉｐｐｉｎｇ　Ｐｏｉｎｔ　ＩＰＳ。　

只有实现防火墙与主动入侵防御系统的紧密配合，　

才能真正实现校园网络与应用的安全保障。　（３）校园网的透明性。为了管理和应用优化，　

校园网络需要具备一定的透明性，需要对于大规模　

的网络流量进行分析，通过实时的状态信息收集和　

历史的统计信息分析，了解网络的流量分布，作为　

实施各种优化措施和ＱｏＳ方案的基础，保证核心关　键业务的运行。这就是ＮＴＡ网流分析解决方案。　（４）ＩＰ技术的存储整合。目前在校园网中，存　

储资源依附于应用和服务器，在校园网络中分散孤　

立，无法共享，导致了资源的浪费，同时依附于其　

上的数据也无法整合共享，所以存储资源的整合是　

解决资源孤岛和信息孤岛的重要步骤。通过校园数　

据中心的建设，实现存储、计算资源的整合，基础　

资源的共享和优化，最终为数据与应用系统的整合　

２　０　１　１．０　８￣１６ｏ　ＷＷＷｉｑＳＣ　ｏｒｇ　ｃｎ