校园网风险 一级戒备

　　【赛迪网讯】校园网的安全问题是一个较为复杂的系统工程，要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲，100%的安全网络系统是没有的，网络安全工作是循序渐进、不断完善的过程。

　　在应用逐步深化的今天，网络的安全问题已经成为了焦点。五年前，校园网络要是断了，影响并不大。如今一旦网络出问题很可能导致学生上不了课、吃不了饭，这些全部是

核心的应用要求。因此构筑相对可靠的校园网络安全体系，使网络安全、稳定、高效地运转，已成为当务之急。

　　人是最薄弱的环节

　　网络安全的主要威胁可以分为外部入侵和内部攻击两种形式，校园网的问题主要是内部攻击。在高校这个特殊的集体中，学生、教师成为校园网庞大的用户群，根据用户行为可以划分为三类：非法用户接入、合法用户有意破坏和合法用户无意破坏。

　　1．用户非法接入问题：目前流行的方法是采用全面的身份认证系统解决。在网络中心组建Radius（远程身份验证拨号用户服务）认证计费服务器，同时在用户电脑中安装相应的客户端软件。

　　用户在接入网络的时候，其账户名、口令、客户端软件、IP地址、MAC地址、交换机端口等信息都会形成绑定。此种方法不仅杜绝代理的产生，而且确保接入的惟一性。

　　2．合法用户有意破坏问题：学生有可能会尝试一些攻击行为和病毒传播，在病毒或攻击发出大量报文的时候，一般会被网络中的IDS（入侵检测系统）设备抓到。IDS会与身份认证系统做匹配，找到该用户在哪个端口上，认证系统可以警告用户或者联动交换机，将该用户直接隔离或者“踢”下线。

　　3．合法用户无意破坏问题：大多数情况是用户在不知情的情况下被安装了木马，或者感染了病毒，随即在网络中发作。这种情况需要给终端用户分发安装杀毒软件，或者采取远程安装、隔离到安全区域或不允许上网的措施。

　　对于校园网内用户进行有效管理，能够从很大程度上降低网络安全的威胁。为此应加强对校园网用户的安全意识教育，提高遵守相关的安全制度的自觉性，增强整体安全防范能力。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

　　同时，也要加强对校园网安全技术和管理人员的培训，使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

　　建立综合的安全体系

　　校园网的安全问题是一个较为复杂的系统工程，要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲，100%的安全网络系统是没有的，网络安全工作是循序渐进、不断完善的过程。

　　在目前的情况下，我们应当全面考虑综合运用防火墙、入侵检测、防毒软件等多项技术，互相配合、加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高校园网络的安全性，从而建立起一套真正适合学校计算机网络的安全体系。

　　网络结构要合理

　　网络结构布局的合理与否，影响着网络的安全性。在内部局域网中可以通过交换机划分VLAN（虚拟局域网），校园网可以划分为教学子网、办公子网、宿舍子网等，应根据各子网的安全保密程度进行合理分布，以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。

　　阻挡网络入侵

　　防火墙在校园网与Internet之间执行访问控制策略，决定哪些内部站点允许外界访问和允许对外界访问，从而保护内部网免受非法用户的入侵。

　　防火墙主要有如下几类: 一是包过滤型防火墙，这类防火墙是必须的，尤其是对于使用静态IP地址的校园网；二是应用代理型防火墙，对用户身份进行鉴别，并提供比较详细的日志和

　　那么我们究竟应该在哪些地方部署防火墙呢?首先，应该把防火墙安装在内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果内部网络规模较大，并且设置有 (VLAN)虚拟专用网，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的校本部与各分校区之间也应该设置防火墙。

　　虽然网络防火墙在网络安全中起着不可替代的作用，但它也有自身的弱点。防火墙不能防病毒，不能对内网的攻击进行防御，对新的网络安全问题也无能为力，对网络环境中日新月异的攻击手段缺乏主动的反应。

　　对数据进行控制

　　建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问。对校园网用户进行流量控制，依据时间安全规则变化策略，控制内网用户访问外网时间。定期查看防火墙访问日志，对防火墙的管理员权限严格控制。

　　在系统中使用两个包过滤路由器，在内部网络和Internet之间建立一个被隔离的子网，在子网内构成一个“缓冲地带”，两个路由器一个控制校园网内数据流，另一个控制Internet数据流，校园网和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。

　　可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。

　　监测威胁事件的过程

　　IDS作为动态的网络安全防御技术，提供对内部攻击、外部攻击的实时保护，使得网络安全系统在受到危害之前拦截和响应入侵，为网络安全人员提供主动的防御手段。

　　可以通过对计算机网络和系统进行监测，从而发现违反安全策略事件的过程。在校园网中构架成一套完整立体的主动防御体系，需要同时采用基于网络和基于主机的入侵检测系统。

　　首先，在校园网比较重要的网段中放置基于网络的入侵检测产品，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击，也可以对付来自外部网络的攻击行为。

　　其次，在重要的主机上（如WWW服务器、E-mail服务器和FTP服务器）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。

　　阻止病毒传播

　　校园网防病毒工作主要包括预防计算机病毒入侵、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。

　　在校园网中需建立统一集中的病毒防范体系，特别是针对重要的网段和服务器，要进行彻底堵截。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。

　　它应具有以下一些特征：

　　第一，能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；

　　第二，要能保护校园网所有可能出现的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统；

　　第三，具有较强的防护功能，可以对数据、程序进行有效保护。(n101)

　　作者：那罡