引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇校園網(wǎng)絡(luò)安全范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時(shí)聯(lián)系我們的客服老師。

第1篇

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;病毒;防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)08-1836-01

On Campus Network Security

CHEN Cheng-zhao

(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)

Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.

Key words: campus network; network security; virus; firewall

網(wǎng)絡(luò)的應(yīng)用日益豐富,目前e-mail、ftp、WWW已經(jīng)非常普遍。近幾年發(fā)展起來(lái)的VOD點(diǎn)播、網(wǎng)上交友、網(wǎng)上游戲、網(wǎng)上求職、網(wǎng)上購(gòu)物、網(wǎng)上醫(yī)療以及網(wǎng)上學(xué)習(xí)等也是如火如荼、雖然這些應(yīng)用還處于發(fā)展階段,但是有很大的發(fā)展前景。目前校園網(wǎng)的建設(shè)也得到了快速的發(fā)展,全國(guó)絕大多數(shù)的高校建成了自己的校園網(wǎng)絡(luò)。

隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快速增長(zhǎng),關(guān)鍵性應(yīng)用的不斷普及和深入,校園網(wǎng)已經(jīng)成為教育行業(yè)信息化的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施。伴隨著校園網(wǎng)絡(luò)的發(fā)展,“數(shù)字校園”概念逐漸被高等院校采納并實(shí)施。可以說(shuō),高速、穩(wěn)定、安全、可管理是“數(shù)字校園”建設(shè)的基本要求和最終目標(biāo)。下面就我個(gè)人在工作中的經(jīng)驗(yàn),談?wù)剬?duì)校園網(wǎng)安全的一些看法。

1 系統(tǒng)的安全

雖然操作系統(tǒng)的功能及安全性日趨完善,但從目前來(lái)看,最近流行于網(wǎng)絡(luò)上的“ARP”、“機(jī)器狗”等病毒都是利用系統(tǒng)的漏洞進(jìn)行傳播的。各種系統(tǒng)都或多或少存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問(wèn)題。作為一個(gè)網(wǎng)絡(luò)管理人員,及時(shí)發(fā)現(xiàn)并修補(bǔ)系統(tǒng)漏洞是主要任務(wù)。對(duì)于正在使用的軟件和服務(wù),應(yīng)該密切關(guān)注其官網(wǎng)的最新版本和安全信息,一旦發(fā)現(xiàn)有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。

一般啟動(dòng)操作系統(tǒng)時(shí),會(huì)同時(shí)啟動(dòng)數(shù)十個(gè)服務(wù),但有些服務(wù)時(shí)沒(méi)有必要的,反而會(huì)成為黑客、病毒和木馬入侵的隱患。如允許遠(yuǎn)程修改注冊(cè)表、提供IPC連接、默認(rèn)共享等,應(yīng)及時(shí)關(guān)閉這些服務(wù)。同時(shí)嚴(yán)格控制用戶向系統(tǒng)的訪問(wèn),可以利用身份驗(yàn)證和用戶權(quán)限控制技術(shù),兩者結(jié)合使用,給予不同的用戶不同的操作權(quán)限,實(shí)現(xiàn)信息安全的分級(jí)管理。

2 防火墻與入侵檢測(cè)系統(tǒng)的使用

應(yīng)用服務(wù)器在校園網(wǎng)中的使用量很大,極易成為黑客攻擊的主要對(duì)象。因此們需要對(duì)所有的外部網(wǎng)絡(luò)接口隔離,用防火墻在內(nèi) 外網(wǎng)之間構(gòu)建一道安全屏障。防火墻會(huì)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,阻止外部非法用戶的訪問(wèn)和破壞。所以在防火墻配置上,我們要根據(jù)每個(gè)學(xué)校的需求設(shè)置正確的安全過(guò)濾規(guī)則,網(wǎng)絡(luò)管理人員應(yīng)定期查看防火墻的記錄日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良記錄并采取相應(yīng)的對(duì)策。

入侵檢測(cè)系統(tǒng)相對(duì)防火墻,是一種積極主動(dòng)的安全防護(hù)技術(shù),能夠在系統(tǒng)受到危害前發(fā)出警報(bào)。即使一個(gè)系統(tǒng)中不存在某個(gè)漏洞,但是檢測(cè)系統(tǒng)仍然可以檢測(cè)到相應(yīng)的攻擊事件并調(diào)整狀態(tài)做出警告。所以,入侵監(jiān)測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護(hù)網(wǎng)絡(luò)安全,將安全隱患降到最低。

3 個(gè)人用戶安全

大多數(shù)的校園網(wǎng)用戶安全意識(shí)淡薄,比如不使用殺毒軟件或不及時(shí)更新病毒庫(kù);不及時(shí)更新系統(tǒng)漏洞;使用移動(dòng)存儲(chǔ)時(shí)沒(méi)有事先殺毒;接受或運(yùn)行來(lái)歷不明的文件或郵件;瀏覽黃色或非法網(wǎng)站等行為,這些行為都有可能導(dǎo)致電腦中毒。中毒后對(duì)方能在你的電腦上上傳、下載文件,偷取你的各種賬號(hào)信息及密碼。除了能泄露個(gè)人資料外,如今很多病毒能夠通過(guò)用戶單機(jī)對(duì)校園網(wǎng)進(jìn)行攻擊,惡意的向被攻擊服務(wù)器發(fā)送信息,嚴(yán)重的占用校園網(wǎng)帶寬,致使網(wǎng)絡(luò)運(yùn)行速度慢,嚴(yán)重的更處于一種癱瘓的狀態(tài)。

所以個(gè)人用戶的安全也不能小視,作為網(wǎng)絡(luò)管理人員,在推廣網(wǎng)絡(luò)應(yīng)用的同時(shí),也要加強(qiáng)上網(wǎng)行為安全的宣傳教育工作,并制定相應(yīng)的制度,防范和制止各種違法行為。

4 結(jié)論

校園網(wǎng)安全體系是一個(gè)動(dòng)態(tài)的、不斷發(fā)展的機(jī)制,當(dāng)然不論我們?cè)趺捶婪?由于系統(tǒng)和軟件本身的局限性和計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性,我們都不可能徹底的消除所有網(wǎng)絡(luò)系統(tǒng)的安全隱患。但是作為一名網(wǎng)絡(luò)管理人員,我們需要提高工作熱情,加強(qiáng)責(zé)任心,頭腦中時(shí)刻具備安全意識(shí),提高自己的專業(yè)知識(shí)和技能,為廣大師生提供更快、更安全的校園網(wǎng)環(huán)境。

參考文獻(xiàn):

[1] 賈遂民.校園網(wǎng)絡(luò)安全分析與對(duì)策[J].卿城大學(xué)學(xué)報(bào):自然科學(xué)版. 2005(2):83-86.

[2] 凌捷,肖鵬,何東風(fēng). 防火墻本身的安全問(wèn)題淺析[J].計(jì)算機(jī)應(yīng)用與軟件 2004(7):138-140.

第2篇

摘要：校園網(wǎng)絡(luò)作為信息化建設(shè)的主要載體，校園網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前校園網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。本文介紹了當(dāng)前校園網(wǎng)絡(luò)中常見(jiàn)的安全隱患：系統(tǒng)漏洞、病毒破壞和網(wǎng)絡(luò)攻擊，并將校園網(wǎng)絡(luò)安全管理分為硬件管理和軟件管理。

關(guān)鍵詞：校園網(wǎng)；安全隱患；安全管理

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不收偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)器不中斷。它是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

隨著教育信息化的發(fā)展，校園網(wǎng)絡(luò)在校園管理、日常教學(xué)等方面正扮演正扮演著越來(lái)越重要的角色。在國(guó)家“校校通”工程的推動(dòng)下，許多學(xué)校都將自己的內(nèi)網(wǎng)與Internet進(jìn)行聯(lián)通，網(wǎng)絡(luò)安全逐漸成為Internet及其各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展的重要問(wèn)題，網(wǎng)絡(luò)安全亦在與網(wǎng)絡(luò)攻擊的對(duì)抗中不斷發(fā)展。網(wǎng)絡(luò)的生命在于其安全性，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

校園網(wǎng)與Internet相連，且速度快和規(guī)模大，在享受Internet方便快捷的同時(shí)局限性面臨著遭遇攻擊的風(fēng)險(xiǎn)。高校校園網(wǎng)目前普遍使用了百M(fèi)到千M甚至萬(wàn)M實(shí)現(xiàn)園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群比較密集。正是由于高寬帶和用戶多的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題一般蔓延快，對(duì)網(wǎng)絡(luò)的影響比較嚴(yán)重。當(dāng)前校園網(wǎng)網(wǎng)絡(luò)常見(jiàn)的安全隱患有以下幾種。

1.計(jì)算機(jī)系統(tǒng)漏洞

目前校園網(wǎng)中使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有INNT/2000、UNIX、LINUX等，這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同，例如，WINNT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等，這些漏洞個(gè)就是一個(gè)個(gè)安全隱患。

2.計(jì)算機(jī)病毒的破壞

計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、是網(wǎng)絡(luò)效率下降，甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。計(jì)算機(jī)病毒具有以下特點(diǎn)：一是攻擊隱蔽性強(qiáng)；二是繁殖能力強(qiáng)；三是傳染途徑廣；四是潛伏期長(zhǎng)；五是破壞力大。如ARP欺騙病毒、熊貓燒香病毒、網(wǎng)絡(luò)執(zhí)行官、網(wǎng)絡(luò)特工、ARPKILLER、灰鴿子等木馬病毒、表現(xiàn)為集體掉線、部分掉線、單機(jī)掉線、游戲賬號(hào)、QQ賬號(hào)、網(wǎng)上銀行卡等賬號(hào)和密碼被盜等等，嚴(yán)重威脅了校園網(wǎng)絡(luò)的正常使用。

3.網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊包括很多方面，有黑客攻擊法、IP欺騙法、拒絕服務(wù)攻擊法和信息梗阻法。在校園網(wǎng)里普遍發(fā)生的是拒絕服務(wù)攻擊，這是因?yàn)樾@用戶集中度高、密度大為拒絕攻擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，這種攻擊不是以獲得網(wǎng)絡(luò)的控制權(quán)和信息的訪問(wèn)權(quán)為目的，而是為了使網(wǎng)絡(luò)服務(wù)不能正常運(yùn)行。當(dāng)Web服務(wù)器或FTP服務(wù)器這些專門的網(wǎng)絡(luò)應(yīng)用服務(wù)遭到拒絕服務(wù)攻擊時(shí)，攻擊者能夠獲得并把持服務(wù)器支持的所有有用鏈接，而將服務(wù)器真正的用戶有效地關(guān)在外面。大部分拒絕服務(wù)攻擊是利用被攻擊系統(tǒng)整體結(jié)構(gòu)設(shè)計(jì)上的弱點(diǎn)，而不是利用軟件的缺陷或安全漏洞。

前述各種網(wǎng)絡(luò)安全威脅，都是通過(guò)網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來(lái)對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。

校園網(wǎng)安全管理包括各種網(wǎng)絡(luò)安全的規(guī)章制度、安全策略、口令規(guī)則等，其主要分為對(duì)硬件的安全管理、軟件的安全管理兩部分。

1．對(duì)硬件的安全管理

硬件設(shè)備的管理，包括交換機(jī)的地址管理、主交換機(jī)的虛擬網(wǎng)劃分、路由器的設(shè)置等。在局域網(wǎng)內(nèi)，學(xué)校應(yīng)盡量采用動(dòng)態(tài)地址與靜態(tài)地址相結(jié)合的方法管理。一些重要處室應(yīng)有固定IP地址，既方便與其他終端通信，又能夠在主服務(wù)器不I作的情況下正常工作，便于校內(nèi)事務(wù)的管理和數(shù)據(jù)的傳輸、保存，其他的終端全部采用動(dòng)態(tài)地址。合理劃分虛擬網(wǎng)，使各個(gè)功能相同或相近的終端位于同一虛擬網(wǎng)下，方便它們彼此間的通訊，保證數(shù)據(jù)的安全性。

2．對(duì)軟件的安全管理

軟件管理是整個(gè)校園網(wǎng)的核心，整個(gè)校同網(wǎng)的軟件系統(tǒng)主要包括以下幾個(gè)部分：網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)殺毒軟件、網(wǎng)絡(luò)管理軟件等。其中網(wǎng)絡(luò)操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，對(duì)于Windows操作系統(tǒng)，由于使用較方便，而且在其基礎(chǔ)上開(kāi)發(fā)的各種軟件較多，故使用得較多，但系統(tǒng)的安全性相對(duì)較差。而對(duì)于Linux操作系統(tǒng)，它的穩(wěn)定性和安全性都較Windows高，不過(guò)其要求的技術(shù)條件較高且應(yīng)用軟件相對(duì)較少。一般可采用Windows2000 Server作為網(wǎng)絡(luò)操作系統(tǒng)，而服務(wù)器的配置與維護(hù)就是軟件管理的核心內(nèi)容。數(shù)據(jù)的備份及保存是非常關(guān)鍵的，可以應(yīng)用Windows 2000提供的系統(tǒng)備份功能進(jìn)行數(shù)據(jù)的備份，也可采用數(shù)據(jù)庫(kù)本身的數(shù)據(jù)備份工具將數(shù)據(jù)備份到硬盤上，也可定期將數(shù)據(jù)存儲(chǔ)到光盤上。校園網(wǎng)還需要在其他方面進(jìn)行安全設(shè)置，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全管理，如設(shè)置防火墻、設(shè)置服務(wù)器等。

總之，由于互聯(lián)網(wǎng)絡(luò)的開(kāi)放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問(wèn)與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易被泄露和破壞，因此校園網(wǎng)的高效運(yùn)行更依賴于對(duì)網(wǎng)絡(luò)安全的管理、預(yù)防和維護(hù)，這樣才能提高網(wǎng)絡(luò)的利用率，保證數(shù)據(jù)的安全性，充分發(fā)揮校園網(wǎng)的作用，使其為學(xué)校的教學(xué)和管理服務(wù)。（新疆沙灣縣教師進(jìn)修學(xué)校；新疆;沙灣;832100）

參考文獻(xiàn)

［1］ 姚南生.校園網(wǎng)安全策略的探討［J］.淮南師范學(xué)院學(xué)報(bào),2003,(3).

第3篇

關(guān)鍵詞: 校園網(wǎng)絡(luò)平安 系統(tǒng)平安 網(wǎng)絡(luò)運(yùn)行平安 內(nèi)部網(wǎng)絡(luò)平安 防火墻

許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這無(wú)疑對(duì)加快信息處理,提高工作效率,減輕勞動(dòng)強(qiáng)度,實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。但校園網(wǎng)用戶在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件,導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的癱瘓,嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化,實(shí)現(xiàn)資源共享的同時(shí),校園網(wǎng)用戶都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)安全的重視。因此,如何在現(xiàn)有的條件下,搞好網(wǎng)絡(luò)安全,就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

高校網(wǎng)絡(luò)管理員肩負(fù)著校園網(wǎng)絡(luò)的維護(hù)和管理責(zé)任,同時(shí)也承擔(dān)維護(hù)系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全的責(zé)任。維護(hù)好網(wǎng)絡(luò)安全,我們可從以下幾個(gè)方面著手。

一、系統(tǒng)安全

主要措施有反病毒、入侵檢測(cè)、審計(jì)分析等技術(shù)。系統(tǒng)安全包括主機(jī)和服務(wù)器運(yùn)行安全。我們可采用以下措施來(lái)保護(hù)系統(tǒng)的安全。

1.反病毒技術(shù)。計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的主要原因之一。特別是在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力,因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié),具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,

2.入侵檢測(cè)。入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它進(jìn)行分析,以提高系統(tǒng)管理員的安全管理能力,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件,主要功能有:檢測(cè)并分析用戶和系統(tǒng)的活動(dòng);檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞,統(tǒng)計(jì)分析異常行為,等等。

發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員的主要任務(wù)。當(dāng)然,從目前來(lái)看,系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問(wèn)題。從系統(tǒng)中發(fā)現(xiàn)漏洞不是一般網(wǎng)絡(luò)管理人員所能做到的,但是,及早地發(fā)現(xiàn)有報(bào)告的漏洞,并進(jìn)行升級(jí)補(bǔ)丁卻是應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,對(duì)于已使用的軟件和服務(wù),應(yīng)該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。許多網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠,以致于過(guò)了幾年,還能掃描到機(jī)器存在許多漏洞。校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)存在的漏洞也就越多,也就有更多的危險(xiǎn)。因此從安全角度考慮,網(wǎng)絡(luò)管理員應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供所需的基本的服務(wù)。最典型的校園網(wǎng)服務(wù)器中對(duì)公眾通常只提供Web服務(wù)功能,而沒(méi)有必要向公眾提供FTP功能,這樣,服務(wù)器的服務(wù)配置中,只開(kāi)放Web服務(wù),而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能,就一定只能向可能信賴的用戶開(kāi)放,因?yàn)橥ㄟ^(guò)FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么通過(guò)運(yùn)行上傳某些程序,就可能使服務(wù)器受到攻擊。所以,信賴來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。

3.審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程。它還能指出系統(tǒng)正被怎樣地使用。在確定是否有網(wǎng)絡(luò)攻擊的情況時(shí),審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要。同時(shí),系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題,并且它是后面階段事故處置的重要依據(jù)。另外,通過(guò)對(duì)安全事件的不時(shí)收集、積聚和分析,有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤,可以及早發(fā)現(xiàn)可能發(fā)生的破壞。除使用一般的網(wǎng)管軟件系統(tǒng)、監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的罕見(jiàn)操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。

二、網(wǎng)絡(luò)運(yùn)行安全

要保證網(wǎng)絡(luò)運(yùn)行安全,除采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外,我們還應(yīng)該具備盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)的功能,即將所有文件寫入備份介質(zhì)。一般數(shù)據(jù)備份操作有兩種:一是全盤備份,只備份那些上次備份之后更改過(guò)的文件,這種備份是最有效的備份方法。二是差分備份,備份上次全盤備份之后更改過(guò)的所有文件,有“冷備份”和“熱備份”兩種方案。“熱備份”指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中,根據(jù)備份的存儲(chǔ)媒介不同,只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點(diǎn)。“冷備份”將下載的備份存入到安全的存儲(chǔ)媒介中,而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系,系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管,用以彌補(bǔ)“熱備份”的一些不足。進(jìn)行備份的過(guò)程中常使用備份軟件,如GHOST等。

三、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離。常用的措施是內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè),以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。

采用防火墻技術(shù)是目前維護(hù)內(nèi)部網(wǎng)安全的最主要的同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一。防火墻不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,防火墻在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中,能根據(jù)平安政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn),外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。其基本功能有:過(guò)濾進(jìn)出的數(shù)據(jù),管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為,封堵某些禁止的業(yè)務(wù)等。應(yīng)該強(qiáng)調(diào)的是,防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分,而不是全部。因此必須將防火墻的安全維護(hù)融合到系統(tǒng)的整體安全戰(zhàn)略中,才能實(shí)現(xiàn)真正的平安。

保證網(wǎng)絡(luò)系統(tǒng)安全最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析,檢查系統(tǒng)存在弱點(diǎn)和漏洞,采取彌補(bǔ)措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

參考文獻(xiàn):

第4篇

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；系統(tǒng)安全

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享起到了無(wú)法估量的作用。但一些教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視。網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

一、校園網(wǎng)絡(luò)現(xiàn)狀

隨著電腦的普及，計(jì)算機(jī)技術(shù)并沒(méi)有像早年想象的那么遙遠(yuǎn)。幾乎每個(gè)人都知道一些最基本的電腦維護(hù)的知識(shí)，對(duì)于生活在學(xué)校的學(xué)生們就更不用說(shuō)了。幾乎每所學(xué)校都有其自身的網(wǎng)絡(luò)體系，無(wú)論是無(wú)線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)。有了網(wǎng)絡(luò)的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動(dòng)態(tài)模式，這樣才能更好地激發(fā)學(xué)生的學(xué)習(xí)興趣。在大家看來(lái)每所學(xué)校所關(guān)心的安全領(lǐng)域問(wèn)題是大致相同的，無(wú)論是在哪方面，無(wú)疑就是網(wǎng)絡(luò)是否暢通，上網(wǎng)是否安全，網(wǎng)絡(luò)是否可以抵御黑客攻擊，上網(wǎng)時(shí)我們的賬號(hào)是否存在風(fēng)險(xiǎn)等問(wèn)題。網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施有反病毒、入侵檢測(cè)、審計(jì)分析等技術(shù)。

（一）反病毒技術(shù)

計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序，它能夠傳染給其它程序，并進(jìn)行自我復(fù)制，特別是在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力，因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)，具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)，或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。

（二）入侵檢測(cè)

入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算C系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。在校園網(wǎng)中服務(wù)器為用戶提供著各種的服務(wù)，但是服務(wù)提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險(xiǎn)。因此，從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供他們所需的基本的服務(wù)。

（三）審計(jì)監(jiān)控技術(shù)

審計(jì)監(jiān)控不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題，并且它是后面階段事故處理的重要依據(jù)。另外，通過(guò)對(duì)安全事件的不斷收集、類聚和分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡(luò)運(yùn)行安全

網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施，保證網(wǎng)絡(luò)受到攻擊后能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過(guò)的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過(guò)的所有文件。

根據(jù)備份的存儲(chǔ)媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點(diǎn)。“冷備份”是將下載的備份存入到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管，用以彌補(bǔ)“熱備份”的一些不足。進(jìn)行備份的過(guò)程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。

（一）訪問(wèn)控制

在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中，采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全最主要，同時(shí)也是最有效和最經(jīng)濟(jì)的措施之一。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中，才能實(shí)現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。

（二）網(wǎng)絡(luò)安全檢測(cè)

第5篇

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2007)06-11545-02

1 引言

隨著“校校通”工程、教育城域網(wǎng)的深入開(kāi)展，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)豐富教學(xué)形式，實(shí)現(xiàn)資源共享，加快信息處理，提高工作效率都起到無(wú)法估量的作用。校園網(wǎng)絡(luò)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色，但在網(wǎng)絡(luò)建設(shè)的過(guò)程中，由于對(duì)技術(shù)的偏好和網(wǎng)絡(luò)安全意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害成為各個(gè)學(xué)校不可回避的一個(gè)緊迫問(wèn)題，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。

2 目前校園網(wǎng)絡(luò)中普遍存在的安全問(wèn)題

2.1 網(wǎng)絡(luò)安全方面的投入不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備

大多數(shù)學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)不足，所以就將有限的經(jīng)費(fèi)投在關(guān)鍵設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)沒(méi)有比較系統(tǒng)的投入，使得校園網(wǎng)處在一個(gè)開(kāi)放的狀態(tài)，沒(méi)有有效的安全預(yù)警手段和防范措施。

2.2 缺少專業(yè)的網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)出口、網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)等缺乏有效的管理，上網(wǎng)用戶的身份無(wú)法唯一識(shí)別，存在極大的安全隱患。

2.3 電子郵件系統(tǒng)極不完善，缺乏安全管理和監(jiān)控的手段

電子郵件既是互聯(lián)網(wǎng)必不可少的一個(gè)應(yīng)用之一，同時(shí)也是病毒和垃圾的重要傳播手段。目前絕大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)，不能提供自身完善的安全防護(hù)，更沒(méi)有提供任何針對(duì)用戶來(lái)往信件過(guò)濾、監(jiān)控和管理的手段，完全不符合國(guó)家對(duì)安全郵件系統(tǒng)的要求，出現(xiàn)問(wèn)題時(shí)也無(wú)法及時(shí)有效的解決

2.4 網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。

網(wǎng)絡(luò)病毒的肆虐傳播，極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能下降，單純單機(jī)殺毒軟件已經(jīng)不能滿足用戶的需求，迫切需要集中管理、統(tǒng)一升級(jí)、統(tǒng)一監(jiān)控的針對(duì)網(wǎng)絡(luò)的防病毒體系。

2.5 網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有指定完善的網(wǎng)絡(luò)安全管理制度

校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄，大量的非正常訪問(wèn)導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)也為網(wǎng)絡(luò)的安全帶來(lái)了極大的安全隱患。

綜上所述，校園網(wǎng)絡(luò)安全的形勢(shì)非常嚴(yán)峻，目前，許多學(xué)校的校園網(wǎng)都以WINDOWS NT做為系統(tǒng)平臺(tái)，由IIS（Internet Information Server）提供WEB等等服務(wù)。下面本人結(jié)合自己校園網(wǎng)絡(luò)管理的一點(diǎn)經(jīng)驗(yàn)與體會(huì)，提幾個(gè)基本的、關(guān)鍵的解決方案。

3 校園網(wǎng)絡(luò)安全解決方案

3.1 配備完整的、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，規(guī)范出口的管理

校園網(wǎng)出口配備了雙冗余的Cisco PIX535防火墻，把校園網(wǎng)絡(luò)分成三個(gè)隔離網(wǎng)段：校園內(nèi)部各功能網(wǎng)、DMZ區(qū)、Internet。通過(guò)防火墻的隔離，防止了跨網(wǎng)攻擊、網(wǎng)絡(luò)間干擾等安全隱患，同時(shí)病毒的感染范圍也可以得到有效的控制，使各網(wǎng)段的安全性大大提高。

我校校園網(wǎng)采用了包括路由器、防火墻和交換機(jī)在內(nèi)的三層立體集成化安全防御。第一層防護(hù)由邊界路由器實(shí)現(xiàn)。邊界路由器提供Internet與校園網(wǎng)的連接，為防止外部用戶對(duì)服務(wù)器進(jìn)行非法操作，對(duì)服務(wù)器的內(nèi)容進(jìn)行刪除、修改等破壞，必須對(duì)外部訪問(wèn)的操作進(jìn)行嚴(yán)格控制。利用Cisco路由器所具有的防火墻功能，可防止各服務(wù)器受到來(lái)自外部的破壞。第二層防護(hù)由PIX防火墻保障。PIX防火墻將校園內(nèi)部網(wǎng)和外部完全分開(kāi)，PIX是內(nèi)部各網(wǎng)絡(luò)子系統(tǒng)對(duì)外的惟一出口，通過(guò)使用PIX防火墻隔離內(nèi)、外網(wǎng)絡(luò)，更進(jìn)一步保障了內(nèi)部網(wǎng)絡(luò)的安全。第三層防護(hù)由交換機(jī)提供。網(wǎng)絡(luò)管理員在核心交換機(jī)部署防火墻模塊，這是抵御外部攻擊的第三道屏障，也是防止內(nèi)部攻擊的有利手段。

3.2 服務(wù)器安全措施

3.2.1 密碼的設(shè)置

眾所周知，用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最基本、最常用的方法。但目前發(fā)生的大多數(shù)安全問(wèn)題，還是由于密碼管理不嚴(yán)造成的，因此密碼口令的有效管理是非常基本的，也是非常重要的。首先，絕對(duì)杜絕不設(shè)口令的帳號(hào)存在，尤其是超級(jí)用戶帳號(hào)。一些網(wǎng)絡(luò)管理人員，為了圖方便，認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用，常常對(duì)系統(tǒng)不設(shè)置密碼。這樣，“入侵者”就能通過(guò)網(wǎng)絡(luò)輕而易舉的進(jìn)入系統(tǒng)，另外，對(duì)于系統(tǒng)的一些權(quán)限，如果設(shè)置不當(dāng)，對(duì)用戶不進(jìn)行密碼驗(yàn)證，也可能為“入侵者”留下后門。其次，在密碼口令的設(shè)置上要避免使用弱密碼，就是容易被人猜出的字符作為密碼，例如常有人將自己名字的縮寫或6位相同的數(shù)字進(jìn)行密碼設(shè)置。密碼的長(zhǎng)度也是設(shè)置者所要考慮的一個(gè)問(wèn)題。在WINDOWS NT系統(tǒng)中，有一個(gè)sam文件，它是windows NT的用戶帳戶數(shù)據(jù)庫(kù)，所有NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。如果“入侵者”通過(guò)系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件，就能通過(guò)一定的程序（如L0phtCrack）對(duì)它進(jìn)行解碼分析。在用L0phtCrack破解時(shí)，如果使用"暴力破解" 方式對(duì)所有字符組合進(jìn)行破解，那么對(duì)于5位以下的密碼它最多只要用十幾分鐘就完成，對(duì)于6位字符的密碼它也只要用十幾小時(shí)，但是對(duì)于7位或以上它至少耗時(shí)一個(gè)月左右，所以說(shuō)，在密碼設(shè)置時(shí)一定要有足夠的長(zhǎng)度。總之在密碼設(shè)置上，最好使用一個(gè)不常見(jiàn)、有一定長(zhǎng)度的但是你又容易記得的密碼。另外，適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。

3.2.2 及時(shí)為系統(tǒng)打補(bǔ)丁

對(duì)于Windows操作系統(tǒng)的服務(wù)器，采用Windows自動(dòng)更新服務(wù)預(yù)防操作系統(tǒng)的漏洞。對(duì)于UNIX操作系統(tǒng)，網(wǎng)絡(luò)管理人員時(shí)刻關(guān)心相關(guān)廠商的網(wǎng)站上的補(bǔ)丁列表，及時(shí)為系統(tǒng)打上相應(yīng)的補(bǔ)丁。

3.2.3 用戶終端IP地址配置

我校選用支持DHCP Snooping功能的接入交換機(jī)，用戶的IP地址只能由網(wǎng)絡(luò)中心分配，而不能來(lái)自非法的IP地址提供者。對(duì)于學(xué)校的職能部門，因?yàn)榇嬖谝恍Ｓ梅?wù)器，為了防止用戶將IP地址手動(dòng)設(shè)置成服務(wù)器的地址而造成沖突，職能部門的接入交換機(jī)全部采用支持IP SourceGuard的交換機(jī)，用戶必須從DCHP服務(wù)器取得IP地址才可進(jìn)行通信，私自設(shè)定IP地址將會(huì)自動(dòng)被交換機(jī)禁止。

3.2.4 進(jìn)行有效的監(jiān)控和管理

上網(wǎng)用戶不但要通過(guò)統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證這個(gè)記錄的法律性和準(zhǔn)確性。

4 用戶終端系統(tǒng)安全措施

用戶終端的安全包含兩個(gè)方面：一個(gè)是操作系統(tǒng)的安全性，一個(gè)是應(yīng)用程序的安全性。 針對(duì)操作系統(tǒng)的安全性，我校的校園網(wǎng)內(nèi)安裝了Windows更新服務(wù)器，每天凌晨定時(shí)從微軟網(wǎng)站同步下載補(bǔ)丁程序，并及時(shí)下發(fā)給終端機(jī)，使終端機(jī)能及時(shí)獲得更新的操作系統(tǒng)補(bǔ)丁。 應(yīng)用程序的安全性主要在于防止機(jī)器中病毒以及惡意程序的影響，針對(duì)病毒影響，我們采用了兩層安全模式：一是在校園網(wǎng)內(nèi)安裝了網(wǎng)絡(luò)版的瑞星殺毒軟件；二是我們?cè)谛@網(wǎng)出口以及各個(gè)匯聚節(jié)點(diǎn)放置基于集群的病毒網(wǎng)關(guān)，一旦發(fā)現(xiàn)下聯(lián)的客戶機(jī)有中毒的癥狀，則主動(dòng)切斷用戶的連接，并將用戶的鏈接定向到瑞星殺毒軟件進(jìn)行查殺病毒，并通過(guò)自行編寫的ActiveX控件更改客戶端的注冊(cè)表，使Windows客戶端的自動(dòng)更新自動(dòng)指向校內(nèi)更新服務(wù)器。為了防止惡意程序的影響，要求校內(nèi)終端用戶安裝Windows Defender。

5 完善電子郵件系統(tǒng)，提供安全監(jiān)控和管理功能

針對(duì)目前郵件系統(tǒng)存在的安全隱患，我校的郵件系統(tǒng)采用Eyou的產(chǎn)品，我們?cè)贓you系統(tǒng)中內(nèi)嵌了殺毒軟件，對(duì)用戶的郵件直接進(jìn)行病毒的查殺。對(duì)于出入學(xué)校的郵件，進(jìn)行垃圾郵件檢查、病毒檢查。

6 配備專業(yè)的網(wǎng)絡(luò)安全管理員，嚴(yán)格管理制度

第6篇

關(guān)鍵詞：網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)絡(luò)運(yùn)行安全內(nèi)部網(wǎng)絡(luò)安全防火墻

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視。正如人們經(jīng)常所說(shuō)的：網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

作為一位中學(xué)電腦教師兼負(fù)著校園網(wǎng)絡(luò)的維護(hù)和管理，我們一起來(lái)探討一下校園網(wǎng)絡(luò)安全技術(shù)。

網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。

一、系統(tǒng)安全

系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施有反病毒。入侵檢測(cè)、審計(jì)分析等技術(shù)。

1、反病毒技術(shù)：計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序，它能夠傳染其它程序，并進(jìn)行自我復(fù)制，特別是要網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力，因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)，具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)，或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。如我校就安裝了遠(yuǎn)程教育中心配置的金山毒霸進(jìn)行實(shí)時(shí)監(jiān)控，效果不錯(cuò)。

2、入侵檢測(cè)：入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件，主要功能有：檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)；檢查系統(tǒng)的配置和操作系統(tǒng)的日志；發(fā)現(xiàn)漏洞、統(tǒng)計(jì)分析異常行為等等。

從目前來(lái)看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問(wèn)題，發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的，但是及早地發(fā)現(xiàn)有報(bào)告的漏洞，并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對(duì)于我們有使用的軟件和服務(wù)，應(yīng)該密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。許多的網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠，以至于過(guò)了幾年，還能掃描到機(jī)器存在許多漏洞。在校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險(xiǎn)。因此從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本的服務(wù)。最典型的是，我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能，而沒(méi)有必要向公眾提供FTP功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開(kāi)放WEB服務(wù)，而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能，就一定只能向可能信賴的用戶開(kāi)放，因?yàn)橥ㄟ^(guò)FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過(guò)運(yùn)行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。

3、審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題，并且它是后面階段事故處理的重要依據(jù)。另外，通過(guò)對(duì)安全事件的不斷收集、積聚和分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

因此，除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。

二、網(wǎng)絡(luò)運(yùn)行安全

網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施來(lái)保證網(wǎng)絡(luò)受到攻擊后，能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過(guò)的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過(guò)的所有文件。

根據(jù)備份的存儲(chǔ)媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點(diǎn)。“冷備份”是將下載的備份存入到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管，用以彌補(bǔ)了熱備份的一些不足。進(jìn)行備份的過(guò)程中，常使用備份軟件，如GHOST等。

三、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。

1、訪問(wèn)控制：在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中，采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的，同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。其基本功能有：過(guò)濾進(jìn)、出的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)等。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中，才能實(shí)現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。針對(duì)某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任，或者某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

2、網(wǎng)絡(luò)安全檢測(cè)：保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析，用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

以上只是對(duì)防范外部入侵，維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項(xiàng)重要措施，健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來(lái)維護(hù)。

參考文獻(xiàn)

1.局域網(wǎng)組建與維護(hù)DIY.人民郵電出版社,2003.05

第7篇

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞能力越來(lái)越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害。考慮學(xué)校教學(xué)用機(jī)數(shù)量龐大，要建立全面的主動(dòng)病毒防護(hù)體系，在每臺(tái)工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時(shí)有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁(yè)攜帶的Applet小應(yīng)用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢(shì)、江民、金山等，網(wǎng)絡(luò)上也不乏免費(fèi)殺毒軟件，如360殺毒。首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，注意定期查殺，及時(shí)進(jìn)行軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個(gè)人防火墻，網(wǎng)上這樣的免費(fèi)或限時(shí)軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺(tái)和專用操作系統(tǒng)，甚至芯片級(jí)硬件防火墻使用專門芯片硬件平臺(tái)。沒(méi)有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對(duì)外部攻擊者是不可見(jiàn)的。在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡(jiǎn)單化，安全級(jí)別也更高。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過(guò)200臺(tái)時(shí)網(wǎng)絡(luò)管理將極為困難。在實(shí)際應(yīng)用時(shí)，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過(guò)物理設(shè)備，各子網(wǎng)之間無(wú)法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性，利于管理。根據(jù)校園網(wǎng)管理特點(diǎn)，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個(gè)VLAN對(duì)應(yīng)一個(gè)端口集合，一個(gè)端口在某一時(shí)間只能位于一個(gè)VLAN中。比如可以把交換機(jī)SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機(jī)SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡(jiǎn)單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動(dòng)時(shí)，新端口不位于原VLAN中時(shí)，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個(gè)MAC地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLANl中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識(shí)別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動(dòng)位置，更換端口，也不會(huì)改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時(shí)，如果用戶數(shù)量較多，要收集所有計(jì)算機(jī)MAC地址，對(duì)所有計(jì)算機(jī)進(jìn)行配置，工作量極大；后期，每一臺(tái)新計(jì)算機(jī)入網(wǎng)時(shí)，也需要添加到對(duì)應(yīng)的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設(shè)置為VLANI給教師使用，把192.168.2.1-192.168.2.200設(shè)置為VLAN2給學(xué)生使用。它具有第2種劃分方法的優(yōu)點(diǎn)，用戶計(jì)算機(jī)可以不修改網(wǎng)絡(luò)配置移動(dòng)，并且無(wú)需收集MAC地址對(duì)所有計(jì)算機(jī)單獨(dú)配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價(jià)格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實(shí)際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中Email、BBS、Web、即時(shí)通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對(duì)網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來(lái)越大，破壞性越來(lái)越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點(diǎn)要么成為“僵尸”，要么成為被攻擊的對(duì)象。比如：“僵尸網(wǎng)絡(luò)”就是通過(guò)掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對(duì)目標(biāo)進(jìn)行DOS等攻擊；還有“零日攻擊”指惡意運(yùn)用立即被發(fā)現(xiàn)的安全漏洞，利用時(shí)間差在網(wǎng)絡(luò)未及防范的情況下實(shí)施攻擊。

第8篇

關(guān)鍵詞：網(wǎng)絡(luò) 安全 黑客

高等教育和科研機(jī)構(gòu)是互聯(lián)網(wǎng)誕生的搖籃，也是最早的應(yīng)用環(huán)境。各國(guó)的高等教育都是最早建設(shè)和應(yīng)用互聯(lián)網(wǎng)技術(shù)的行業(yè)之一，中國(guó)的高校校園網(wǎng)一般都最先應(yīng)用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點(diǎn)也是安全問(wèn)題比較突出的地方，安全管理也更為復(fù)雜、困難。尤其最近暴發(fā)的“紅色代碼”、“藍(lán)色代碼”及“尼姆達(dá)”等病毒，使人們更加深刻地認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要。正如人們所說(shuō)的：網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下搞好網(wǎng)絡(luò)的安全，就成了網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

許多學(xué)校的校園網(wǎng)都以Windows2000Server做為系統(tǒng)平臺(tái)，由IIS（Internet Information Server）提供Web等等服務(wù)。下面本人結(jié)合自己對(duì)Windows2000Server網(wǎng)絡(luò)管理的一點(diǎn)經(jīng)驗(yàn)與體會(huì)，就技術(shù)方面談?wù)勛约簩?duì)校園網(wǎng)安全的一些看法。

一、密碼的安全

眾所周知，用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的之一。目前發(fā)現(xiàn)的大多數(shù)安全問(wèn)題，是由于密碼管理不嚴(yán)，使“入侵者”得以趁虛而入。因此密碼口令的有效管理是非常基本的，也是非常重要的。

在密碼的設(shè)置安全上，首先絕對(duì)杜絕不設(shè)口令的帳號(hào)存在，尤其是超級(jí)用戶帳號(hào)。一些網(wǎng)絡(luò)管理人員，為了圖方便，認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用，常常對(duì)系統(tǒng)不設(shè)置密碼。這樣，“入侵者”就能通過(guò)網(wǎng)絡(luò)輕而易舉地進(jìn)入系統(tǒng)。筆者曾經(jīng)發(fā)現(xiàn)并進(jìn)入多個(gè)這樣的系統(tǒng)。另外，對(duì)于系統(tǒng)的一些權(quán)限，如果設(shè)置不當(dāng)，對(duì)用戶不進(jìn)行密碼驗(yàn)證，也可能為“入侵者”留下后門。

其次，在密碼口令的設(shè)置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過(guò)幾個(gè)這樣的站點(diǎn)，它們的共同特點(diǎn)就是利用自己名字的縮寫或6位相同的數(shù)字進(jìn)行密碼設(shè)置。

密碼的長(zhǎng)度也是設(shè)置者所要考慮的一個(gè)問(wèn)題。在Windows2000Server系統(tǒng)中，有一個(gè)sam文件，它是Windows2000Server的用戶帳戶數(shù)據(jù)庫(kù)，所有用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。如果“入侵者”通過(guò)系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件，就能通過(guò)一定的程序（如L0phtCrack）對(duì)它進(jìn)行解碼。在用L0phtCrack破解時(shí)，如果使用“暴力破解”方式對(duì)所有字符組合進(jìn)行破解，那么對(duì)于5位以下的密碼它最多只要用十幾分鐘就完成，對(duì)于6位字符的密碼它也只要用十幾小時(shí)，但是對(duì)于7位或以上它至少耗時(shí)一個(gè)月左右，所以說(shuō)，在密碼設(shè)置時(shí)一定要有足夠的長(zhǎng)度。總之在密碼設(shè)置上，最好使用一個(gè)不常見(jiàn)、有一定長(zhǎng)度的，但是你又容易記得的密碼。另外，適當(dāng)?shù)亟徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。

二、系統(tǒng)的安全

曾經(jīng)流行于網(wǎng)絡(luò)上的“紅色代碼”、“藍(lán)色代碼”及“尼姆達(dá)”病毒都利用系統(tǒng)的漏洞進(jìn)行傳播。從目前來(lái)看，各種系統(tǒng)或多或少都存在著各種的漏洞。系統(tǒng)漏洞的存在就成為網(wǎng)絡(luò)安全的首要問(wèn)題，發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的，但是及早地發(fā)現(xiàn)有報(bào)告的漏洞并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對(duì)于我們使用的軟件和服務(wù)，應(yīng)該密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。比如上面提及引起“紅色代碼”、“藍(lán)色代碼”及“尼姆達(dá)”病毒的傳播流行的Unicode解碼漏洞，早就被發(fā)現(xiàn)，且沒(méi)隔多久就有了解決方案和補(bǔ)丁，但是許多的網(wǎng)絡(luò)管理員并沒(méi)有及時(shí)地發(fā)現(xiàn)和補(bǔ)丁，以致于過(guò)了很久還能掃描到許多機(jī)器存在該漏洞。

在校園網(wǎng)中服務(wù)器為用戶提供著各種的服務(wù)，但是服務(wù)提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險(xiǎn)。因此從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供他們所需的基本的服務(wù)。最典型的是，我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供Web服務(wù)功能，而沒(méi)有必要向公眾提供FTP功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開(kāi)放Web服務(wù)，而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能，就一定只能向可信賴的用戶開(kāi)放，因?yàn)橥ㄟ^(guò)FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過(guò)運(yùn)行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。

三、目錄共享的安全

在校園中，利用在對(duì)等網(wǎng)中對(duì)機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)。但在設(shè)置過(guò)程中，要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問(wèn)到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。筆者曾搜索過(guò)外地機(jī)器的一個(gè)C類IP網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè)C盤、D盤進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。所以，為了防止資料的外泄，在設(shè)置共享時(shí)一定要設(shè)定訪問(wèn)密碼。只有這樣，才能保證共享目錄資料的安全。

四、木馬的防范

相信木馬對(duì)于大多數(shù)人來(lái)說(shuō)不算陌生。它是一種遠(yuǎn)程控制工具，以簡(jiǎn)便、易行、有效而深受廣大黑客青睞。一臺(tái)電腦一旦中上木馬，它就變成了一臺(tái)傀儡機(jī)，對(duì)方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私？不復(fù)存在！木馬應(yīng)該說(shuō)是網(wǎng)絡(luò)安全的大敵，并且在進(jìn)行的各種入侵攻擊行為中，木馬都起到了開(kāi)路先鋒的作用。

木馬感染通常是執(zhí)行了一些帶病毒的程序而駐留在你的計(jì)算機(jī)當(dāng)中，計(jì)算機(jī)啟動(dòng)后，木馬就在計(jì)算機(jī)中打開(kāi)一個(gè)服務(wù)，通過(guò)這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞，在各種木馬中，較常見(jiàn)的是“冰河”，筆者也曾用冰河掃描過(guò)網(wǎng)絡(luò)上的計(jì)算機(jī)。發(fā)現(xiàn)每個(gè)C類IP網(wǎng)段中（個(gè)人用戶），偶爾都會(huì)發(fā)現(xiàn)一、二個(gè)感染冰河的計(jì)算機(jī)。由此可見(jiàn)，個(gè)人用戶中感染木馬的可能性還是比較高的。如果是服務(wù)器感染了木馬，危害更是可怕。

木馬的清除一般可以通過(guò)各種殺毒軟件來(lái)進(jìn)行查殺。對(duì)于新出現(xiàn)的木馬，我們的防治可以通過(guò)端口的掃描來(lái)進(jìn)行，端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，我們平時(shí)多注意一下服務(wù)器中開(kāi)放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運(yùn)行的程序，以及注冊(cè)表中自動(dòng)加載運(yùn)行的程序，來(lái)監(jiān)測(cè)是否有木馬存在。

以上只是筆者對(duì)防范外部入侵、維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法，當(dāng)然對(duì)于這些方面的安全還可以通過(guò)設(shè)置必要的防火墻，建立健全的網(wǎng)絡(luò)管理制度來(lái)實(shí)現(xiàn)。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上，還必須定時(shí)進(jìn)行數(shù)據(jù)安全備份。對(duì)于硬盤中數(shù)據(jù)備份的方法很多種，我們提倡通過(guò)鏡像卷的設(shè)置來(lái)進(jìn)行實(shí)時(shí)數(shù)據(jù)備份，這樣即使服務(wù)器中的一個(gè)硬盤損壞，也不至于數(shù)據(jù)丟失。

參考文獻(xiàn)：

第9篇

1．1網(wǎng)絡(luò)安全的定義

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將網(wǎng)絡(luò)安全［2］定義為：為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護(hù)措施，保護(hù)運(yùn)行在網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改、破壞或者泄露，從而保證了網(wǎng)絡(luò)服務(wù)不中斷，使得系統(tǒng)可靠安全地運(yùn)行．上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容：物理安全和邏輯安全．其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時(shí)候，保證物理線路能夠防雷、放火、防水、防盜等，能夠保證物理線路連續(xù)的進(jìn)行數(shù)據(jù)傳輸．而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全，即對(duì)網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護(hù)．另一方面，網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息的保密性、可用性和完整性提供相應(yīng)的保護(hù)．概括的說(shuō)，可以將網(wǎng)絡(luò)安全定義為：為保證目前網(wǎng)絡(luò)中運(yùn)行的系統(tǒng)、信息數(shù)據(jù)、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施，從而保證網(wǎng)絡(luò)中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性．

1．2網(wǎng)絡(luò)安全基本特征

網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個(gè)方面的特征．保密性：信息未經(jīng)授權(quán)不泄露給任何用戶，而且信息的特性也具有保密性，其它非授權(quán)用戶、實(shí)體或過(guò)程無(wú)法利用其特征．可用性：用戶經(jīng)過(guò)授權(quán)后可按需使用，即授權(quán)用戶當(dāng)需要該信息時(shí)能否正常存取．網(wǎng)絡(luò)環(huán)境下常見(jiàn)的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)行等．可控性：對(duì)網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力．可審查性：當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問(wèn)題時(shí)可提供相應(yīng)的依據(jù)與手段，便于追蹤攻擊源．完整性：用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性，即信息在保存或者傳輸?shù)倪^(guò)程中擁有不被修改、破壞或丟失的特性，保證了信息的完整性．

2校園網(wǎng)建設(shè)概述及其安全威脅

隨著互聯(lián)網(wǎng)的快速普及，校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一，教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向，校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一，并發(fā)揮著越來(lái)越重要的作用［3］．另一方面，隨著國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施，政府加強(qiáng)了對(duì)學(xué)校的投資，由此也加強(qiáng)了學(xué)校對(duì)校園網(wǎng)的建設(shè)．中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（CER－NET）的成立，標(biāo)志著教育網(wǎng)的形成．CERNET主干網(wǎng)絡(luò)傳輸速率已達(dá)到2．5Gpbs，總?cè)萘窟_(dá)40Gpbs，它吸引超過(guò)1000所高校的鼎力加盟，覆蓋全國(guó)超過(guò)200個(gè)城市．目前，大部分學(xué)校都已建成校園網(wǎng)，實(shí)現(xiàn)了校園網(wǎng)的整體覆蓋，包括辦公樓、教學(xué)樓、宿舍樓等．校園網(wǎng)同時(shí)與Internet對(duì)接，實(shí)現(xiàn)了校園辦公教學(xué)的信息化、自動(dòng)化．如圖1所示，為一個(gè)簡(jiǎn)單的校園網(wǎng)組網(wǎng)模型．隨著CERNET的建設(shè)不斷提高，校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一，是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施，同時(shí)擔(dān)任著科研與教學(xué)的重要任務(wù)．然而，目前國(guó)內(nèi)大多數(shù)學(xué)校都缺乏對(duì)校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對(duì)校園網(wǎng)絡(luò)的認(rèn)識(shí)不足，這些都極大阻礙了校園網(wǎng)的發(fā)展．因此合理地對(duì)校園網(wǎng)絡(luò)升級(jí)，是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一［4］．同時(shí)，校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施，安全問(wèn)題不容忽視．在互聯(lián)網(wǎng)開(kāi)放程度很高的今天，校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo)．威脅校園網(wǎng)安全的因素有很多，但主要的安全威脅有以下幾類．

2．1TCP／IP協(xié)議漏洞造成的威脅

現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP／IP協(xié)議了，這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議．TCP／IP協(xié)議在設(shè)計(jì)之初，就沒(méi)有考慮安全問(wèn)題，它只考慮如何把信息互相傳輸，因此存在很大的安全威脅．雖然國(guó)際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全，但是由于TCP／IP協(xié)議的開(kāi)放性和通用性幾乎占用了整個(gè)市場(chǎng)，使得OSI七層協(xié)議無(wú)法推廣．所以，目前網(wǎng)絡(luò)黑客針對(duì)TCP／IP漏洞攻擊有很多，例如：數(shù)據(jù)竊聽(tīng)、源地址欺騙、ARP欺騙等等．

（1）數(shù)據(jù)竊聽(tīng)（PacketSniff）．TCP／IP協(xié)議從設(shè)計(jì)之初，就采取的是數(shù)據(jù)包明碼傳輸，這種傳輸模式使得數(shù)據(jù)包很容易被竊聽(tīng)、修改和偽造．黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包，竊取用戶有利用價(jià)值的信息，如用戶賬戶和密碼等信息．同時(shí)，黑客也能修改和偽造數(shù)據(jù)包，讓用戶誤入釣魚(yú)網(wǎng)站或者竊取網(wǎng)上銀行信息，給用戶造成直接經(jīng)濟(jì)損失．特別是在校園網(wǎng)中，數(shù)據(jù)包流通比較集中，一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號(hào)信息，將會(huì)給校園網(wǎng)絡(luò)造成重大損失．

（2）源地址欺騙（SourceAddressSpoofing）．在網(wǎng)絡(luò)安全中，一個(gè)比較重要的安全問(wèn)題就是源地址欺騙．這里的源地址，能夠是IP地址，也能是MAC地址．但是MAC地址隨著路由轉(zhuǎn)發(fā)，信息會(huì)發(fā)生變化，而且在實(shí)際的網(wǎng)絡(luò)系統(tǒng)中，也有一定的限制，改造欺騙難度比較大，所以一般的源地址欺騙是指IP地址偽造欺騙．攻擊者通常偽造被攻擊的主機(jī)IP地址，騙取防火墻信任，從而對(duì)校園網(wǎng)內(nèi)部發(fā)起攻擊．

（3）源路由選擇欺騙（SourceRoutingSpoo－fing）．在一個(gè)完整的IP數(shù)據(jù)包中，通常只包含源地址和目的地址，即路由器可以知道數(shù)據(jù)包從哪個(gè)主機(jī)發(fā)送出來(lái)，將要到達(dá)哪個(gè)主機(jī)．源路由是指數(shù)據(jù)包將會(huì)列出所要經(jīng)過(guò)的路由，路由器將會(huì)根據(jù)這些指定的路由將數(shù)據(jù)包送達(dá)相應(yīng)的主機(jī)，然后根據(jù)其反向路由進(jìn)行應(yīng)答，從而實(shí)現(xiàn)主機(jī)之間的通信．而源路由選擇欺騙，則是攻擊者通過(guò)偽造主機(jī)源路由，讓數(shù)據(jù)包經(jīng)過(guò)該主機(jī)必經(jīng)路由，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤判斷，將某些被保護(hù)的數(shù)據(jù)提供給了攻擊者．另一方面，由于路由器一般對(duì)接收到的路由信息是不經(jīng)過(guò)檢驗(yàn)的，這樣就給攻擊者提供便利，攻擊者可以發(fā)送虛假數(shù)據(jù)包，改變某些重要數(shù)據(jù)包的傳遞路徑，使得數(shù)據(jù)在傳遞到正常主機(jī)前，即可抓取分析，從而也達(dá)到攻擊的目的．

（4）鑒別攻擊（AuthenticationAttacks）．由于TCP／IP協(xié)議還無(wú)法證明網(wǎng)絡(luò)身份的真實(shí)有效性，因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息，從而達(dá)到攻擊目的．

（5）ARP欺騙（AddressResolutionProtocolSpoofing）．ARP即地址解析協(xié)議，作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議．因?yàn)樵诰钟蚓W(wǎng)中，尤其是在校園網(wǎng)中，使用最多的往往是MAC地址進(jìn)行傳輸，而不是IP地址進(jìn)行傳輸，所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺(tái)主機(jī)進(jìn)行通信．而黑客只需在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，獲取到一臺(tái)主機(jī)A的節(jié)點(diǎn)信息（IP地址和MAC地址），就能偽造A的數(shù)據(jù)包，與B進(jìn)行通信，獲取有用信息．另一方面，黑客可以偽造一個(gè)不存在的MAC地址在局域網(wǎng)內(nèi)傳播，形成廣播風(fēng)暴，這樣會(huì)造成網(wǎng)絡(luò)不通，給局域網(wǎng)造成致命打擊．

（6）DoS攻擊（DenialofService）．DoS攻擊，即拒絕服務(wù)攻擊，攻擊者的目的是讓目標(biāo)主機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù)．因?yàn)門CP協(xié)議采用三次握手建立一次連接，而任何一次握手失敗，則會(huì)重新發(fā)送．攻擊者正是利用這一個(gè)協(xié)議漏洞，采取不斷建立連接，然后丟棄該連接數(shù)據(jù)包，使得服務(wù)器處于等待狀態(tài)，如果攻擊者一直持續(xù)連接和丟棄的過(guò)程，則服務(wù)器和網(wǎng)絡(luò)所有的資源會(huì)被完全消耗，導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法正常工作，從而達(dá)到攻擊目的．

（7）DDoS攻擊（DistributedDenialofServ－ice）．DDoS攻擊，即分布式拒絕服務(wù)攻擊，它是指攻擊者借助一系列工具或手段，聯(lián)合多個(gè)計(jì)算機(jī)組成攻擊平臺(tái)，對(duì)一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊．最基本的DoS是利用合法的服務(wù)請(qǐng)求，占用攻擊目標(biāo)主機(jī)大量服務(wù)資源，使得正常用戶無(wú)法訪問(wèn)．然而DoS服務(wù)需要占用大量帶寬，單個(gè)計(jì)算機(jī)攻擊肯定無(wú)法達(dá)到攻擊者想要的目標(biāo)．因此網(wǎng)絡(luò)黑客會(huì)抓取網(wǎng)絡(luò)“肉雞”，集合大量網(wǎng)絡(luò)帶寬，組成龐大的攻擊平臺(tái)，可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài)．

（8）TCP序列號(hào)欺騙和攻擊（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以偽造TCP序列號(hào)，形成一個(gè)TCP封包，對(duì)網(wǎng)絡(luò)中可信節(jié)點(diǎn)進(jìn)行攻擊．而且最重要的是，黑客可能利用偽造的TCP封包發(fā)動(dòng)SYN攻擊，讓服務(wù)器無(wú)法完成三次握手，造成服務(wù)器開(kāi)放大量等待端口，影響正常網(wǎng)絡(luò)訪問(wèn)，嚴(yán)重時(shí)，可直接造成服務(wù)器死機(jī)，如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器，那么可能導(dǎo)致網(wǎng)站主頁(yè)無(wú)法鏈接或者校園網(wǎng)內(nèi)部用戶無(wú)法訪問(wèn)外部網(wǎng)絡(luò)．

（9）ICMP攻擊（InternetControlMessageProtocolAttacks）．ICMP協(xié)議是Internet控制報(bào)文協(xié)議，它屬于TCP／IP協(xié)議下的一個(gè)子協(xié)議，用于在IP主機(jī)和路由器之間傳遞控制消息．其中控制消息是指網(wǎng)絡(luò)是否暢通、主機(jī)是否可連接、路由是否可用等一系列消息，它對(duì)數(shù)據(jù)傳輸有很重要的作用．而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過(guò)64KB這一規(guī)定，發(fā)動(dòng)“PingofDeath”攻擊，當(dāng)主機(jī)ICMP數(shù)據(jù)包尺寸超過(guò)64KB時(shí)，主機(jī)會(huì)發(fā)生內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP／IP堆棧崩潰，使得目標(biāo)主機(jī)死機(jī)．雖然操作系統(tǒng)通過(guò)取消ICMP數(shù)據(jù)包大小限制來(lái)解決該漏洞，但是向目標(biāo)主機(jī)發(fā)動(dòng)持續(xù)、大規(guī)模的ICMP攻擊，會(huì)消耗主機(jī)CPU、內(nèi)存等資源，嚴(yán)重時(shí)也會(huì)導(dǎo)致目標(biāo)主機(jī)癱瘓，無(wú)法提供正常服務(wù)．

2．2漏洞威脅

軟件和操作系統(tǒng)是由程序員編寫的，而在開(kāi)發(fā)的過(guò)程中，多多少少會(huì)存在各種各樣的漏洞問(wèn)題，這些漏洞如果不能及時(shí)修復(fù)，將會(huì)對(duì)主機(jī)造成重大安全威脅．一旦該主機(jī)被攻破，同時(shí)也會(huì)給該主機(jī)處在的局域網(wǎng)中的其它機(jī)器造成威脅，情況嚴(yán)重時(shí)，甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)癱瘓．近幾年來(lái)，無(wú)論是Windows操作系統(tǒng)，還是Linux操作系統(tǒng)，的補(bǔ)丁數(shù)目一直持續(xù)增加．特別是Windows操作系統(tǒng)，在校園網(wǎng)內(nèi)擁有的用戶眾多，如果沒(méi)能及時(shí)修復(fù)各種漏洞，勢(shì)必會(huì)影響整個(gè)校園網(wǎng)安全．

2．3病毒、木馬威脅

近些年來(lái)，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)上各種各樣的開(kāi)源軟件繁多，有些開(kāi)源軟件打著免費(fèi)的旗號(hào)，暗留后門或者對(duì)操作系統(tǒng)植入木馬，稍不注意，就會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響．同時(shí)，網(wǎng)絡(luò)上黑客也會(huì)主動(dòng)攻擊，種植木馬，抓取網(wǎng)絡(luò)肉雞，作為自己攻擊的跳板，對(duì)互聯(lián)網(wǎng)上其它的計(jì)算機(jī)造成嚴(yán)重威脅．

2．4初級(jí)黑客攻擊

校園網(wǎng)因?yàn)樽陨砭窒扌裕渚W(wǎng)絡(luò)管理水平無(wú)法與企業(yè)相比，因此很容易受到網(wǎng)絡(luò)上初級(jí)黑客的攻擊，作為他們?cè)囀值哪繕?biāo)．另外一方面，互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具，這些教程和工具可以自由查閱和下載，加上很多黑客工具屬于使用簡(jiǎn)單，這讓許多初級(jí)黑客也能在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的攻擊．且根據(jù)心理學(xué)研究分析，很多普通攻擊者往往有炫耀心理，即把校園網(wǎng)作為自己攻擊的目標(biāo)，以獲取所謂的成功感，這讓校園網(wǎng)增加更多的威脅．

3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問(wèn)題

目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問(wèn)題分為人為因素導(dǎo)致的安全問(wèn)題和非人為因素導(dǎo)致的安全問(wèn)題．

3．1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題

3．1．1校園網(wǎng)用戶數(shù)量龐大

校園網(wǎng)內(nèi)用戶量眾多且處在同一個(gè)局域網(wǎng)中，同時(shí)，校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的．用戶量加上數(shù)目可觀、功能強(qiáng)大的服務(wù)器，這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊，因此存在著很大的安全隱患．

3．1．2校園網(wǎng)用戶安全意識(shí)低

根據(jù)調(diào)查研究發(fā)現(xiàn)，校園網(wǎng)的用戶大部分都安全意識(shí)不強(qiáng)，用戶計(jì)算機(jī)整體水平偏低，有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件，也沒(méi)能及時(shí)給系統(tǒng)打補(bǔ)丁，系統(tǒng)處于“裸奔”狀態(tài)．這對(duì)于當(dāng)今如此開(kāi)放的互聯(lián)網(wǎng)，將直接為黑客提供攻擊目標(biāo)．而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識(shí)，在下載和使用軟件時(shí)，基本上不考慮其風(fēng)險(xiǎn)性，這些都將會(huì)給黑客制造攻擊機(jī)會(huì)，影響整個(gè)校園網(wǎng)安全［5］．

3．1．3信息泄密

信息泄密是指將信息透漏給非授權(quán)用戶，它在一定程度上破壞了計(jì)算機(jī)系統(tǒng)的保密性．目前，常見(jiàn)的信息泄密有：操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽(tīng)、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚(yú)、電磁、物理入侵、射頻截獲、非法授權(quán)、計(jì)算機(jī)后門程序．

3．1．4拒絕服務(wù)攻擊（DoS）

攻擊者使用一切辦法讓被攻擊計(jì)算機(jī)停止提供服務(wù)，讓合法的信息或資源訪問(wèn)被拒絕或者嚴(yán)重推遲．常見(jiàn)的DoS攻擊有：SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等．

3．1．5完整性破壞

攻擊者通過(guò)系統(tǒng)漏洞、病毒、木馬、后門程序等方式破壞信息的完整性，使得信息亂碼．

3．1．6網(wǎng)絡(luò)濫用

由于授權(quán)的用戶因操作或行為不當(dāng)，導(dǎo)致網(wǎng)絡(luò)濫用，從而導(dǎo)致網(wǎng)絡(luò)安全威脅，例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動(dòng)風(fēng)險(xiǎn)等等．

3．2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題

網(wǎng)絡(luò)安全除去人為因素外，很大一部分安全威脅來(lái)自安全工具和操作系統(tǒng)自身的局限性．其具體特征為：每一種安全工具（如：殺毒軟件）都有其自身的應(yīng)用范圍和環(huán)境，同時(shí)安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響，這些因素反而給攻擊者帶來(lái)了一定的便利．對(duì)于操作系統(tǒng)而言，沒(méi)有絕對(duì)安全的操作系統(tǒng)，無(wú)論是微軟的Windows系列操作系統(tǒng)，還是開(kāi)源的Linux操作系統(tǒng)，都有存在后門或漏洞的可能．世界上沒(méi)有絕對(duì)安全的操作系統(tǒng)，因此在搭建校園網(wǎng)時(shí)，要選擇安全性盡可能高的操作系統(tǒng)，而且要隨時(shí)提供校園網(wǎng)用戶漏洞補(bǔ)丁下載，以及殺毒軟件，保證用戶系統(tǒng)安全性始終最高．由上所述，我們可以說(shuō)網(wǎng)絡(luò)安全問(wèn)題絕大部分是由人為因素引起的．現(xiàn)在，國(guó)家也制定了相應(yīng)的法律來(lái)保護(hù)網(wǎng)絡(luò)安全，打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動(dòng)．但是校園網(wǎng)作為一個(gè)龐大的用戶群，如何防范這些網(wǎng)絡(luò)犯罪活動(dòng)顯得尤為重要．我們不能等著整個(gè)網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范，而是要在攻擊之前做好準(zhǔn)備工作，讓校園網(wǎng)在安全中運(yùn)行．

4加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對(duì)策和建議

加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個(gè)方面來(lái)進(jìn)行．

4．1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建

在校園網(wǎng)工程的建設(shè)中，網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程，它的耐壓值比較低．由此，在校園網(wǎng)工程的設(shè)計(jì)和建設(shè)中，一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問(wèn)題；考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路、動(dòng)力線路、空氣對(duì)流管道以及暖氣管道之間的距離；考慮網(wǎng)絡(luò)中物理電路的接地安全；考慮建設(shè)合理的防雷系統(tǒng)，保證建筑物、計(jì)算機(jī)以及其它物理設(shè)備的防雷［6］．

4．2應(yīng)加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)的安全維護(hù)技術(shù)

從技術(shù)層面來(lái)說(shuō)，網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)等多個(gè)安全組件組成，單獨(dú)的一個(gè)組件是無(wú)法保證當(dāng)前網(wǎng)絡(luò)信息安全的．最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法，即通過(guò)對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，符合規(guī)定的數(shù)據(jù)包可通過(guò)，不符合規(guī)定的數(shù)據(jù)包就拋棄，這種方式在一定程度上能阻止對(duì)網(wǎng)絡(luò)的入侵和攻擊，但是不能有效防止網(wǎng)絡(luò)攻擊．目前，應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有：防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等．防火墻［7］指的是一個(gè)由硬件和軟件混合組成的設(shè)備，用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來(lái)，建立一層安全保護(hù)屏障，它是一種隔離控制技術(shù)．常見(jiàn)的防火墻有包過(guò)濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)等．相對(duì)于防火墻來(lái)說(shuō)，防病毒技術(shù)將是從計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行防控，主要預(yù)防病毒程序、后門程序、網(wǎng)絡(luò)監(jiān)聽(tīng)等．目前采取比較多的防病毒手段是對(duì)系統(tǒng)進(jìn)行監(jiān)聽(tīng)，阻止不合規(guī)定進(jìn)程．而且防病毒技術(shù)永遠(yuǎn)是滯后性的，即防病毒工具一直在病毒出現(xiàn)后才能組織．現(xiàn)在的防病毒技術(shù)和云平臺(tái)技術(shù)結(jié)合，已經(jīng)對(duì)病毒起到了一定的控制作用．相對(duì)前面兩種技術(shù)來(lái)說(shuō)，數(shù)據(jù)加密技術(shù)就比較靈活了．可以將用戶的信息經(jīng)過(guò)加密后，再在網(wǎng)絡(luò)上傳輸，及時(shí)數(shù)據(jù)被黑客截獲，沒(méi)有有效的密鑰，數(shù)據(jù)對(duì)黑客來(lái)說(shuō)也只是一堆無(wú)效數(shù)據(jù)而已．在開(kāi)放的互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全［8］．

4．3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)

計(jì)算機(jī)網(wǎng)絡(luò)安全絕大部分是人為因素引起的．因此在校園網(wǎng)搭建過(guò)程中，關(guān)于對(duì)計(jì)算機(jī)系統(tǒng)管理員的培訓(xùn)及管理，是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分．一個(gè)不合理的操作，很有可能讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，因此必須建立健全管理規(guī)范，明確管理員責(zé)任和權(quán)利．同時(shí)，要記錄管理員操作信息，當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時(shí)，可以及時(shí)分析，如果發(fā)現(xiàn)黑客入侵，則及時(shí)采取必要措施杜絕黑客進(jìn)一步入侵，必要時(shí)需向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案，減少學(xué)校損失．另外一方面，建立健全的管理制度以及嚴(yán)格的管理模式，可以保證校園網(wǎng)的正常、安全運(yùn)行．總而言之，網(wǎng)絡(luò)安全涉及的領(lǐng)域很多，是一個(gè)綜合性的問(wèn)題．只有合理的運(yùn)用相關(guān)技術(shù)以及人員培訓(xùn)，才能盡最大可能的把安全威脅降到最低．

5結(jié)語(yǔ)