浅析高校网络安全及策略:网络安全知识教育

　　摘要：浅析校园网络中存在的问题，给出相应的措施，从管理和技术上保证校园网络的安全，建立健全校园网络。 　　关键词：校园网；网络；安全；防火墙；VLAN 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31552-01
　　Analysis of Network Security in Campus Network of University and Strategies
　　PAN Yun
　　(Chizhou College Computer Center,Chizhou 247000,China)
　　Abstract: On campus network in question, given the corresponding measures to guarantee the management and technical campus network security, and establish and improve the campus network.
　　Key words:Campus network;Network;Security;Firewalls
　　
　　随着计算机网络技术的发展, 现在大部分高校都建立了校园网络并投入使用，这对促进教学科研提高、加快信息处理、提高工作效率、实现资源共享和建立信息化校园都起到了无法估量的作用，但校园网络安全隐患令人担忧!
　　
　　1 网络安全概念
　　
　　网络安全是在分布网络环境中, 对信息载体和信息的处理、传输、存储、访问提供安全保护, 以防止数据、信息内容被非授权使用和篡改。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各种通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;逻辑安全包括信息完整性、保密性和可用性。
　　
　　2 高校网络状况分析
　　
　　2.1环境的问题
　　自然环境和社会环境对计算机网络都会产生巨大的不良影响。自然环境的影响，例如我们学校的服务器由于放在顶楼，容易造成雷击的损坏。社会环境的影响，人们安全意识淡薄也会增加对网络的人为破坏，给系统带来毁坏性的打击。
　　2.2黑客攻击和校内外的非法访问
　　黑客活动比病毒破坏更具目的性，几乎覆盖了所有的操作系统，包括 UNIX、Windows系列等，因而也极具危害性。如:对学校网站的主页面进行修改，破坏学校的形象;向服务器发送大量信息使整个网络陷于瘫痪，甚至关闭了信息服务器;并且利用学校的邮件服务器转发各种非法的信息等。还有一些来自校外或校内的非法访问造成的危害。某些人员为了访问
　　不属于自己该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成管理的混乱。另外，由于学生好奇等想法下载各种黑客软件，在校园网络上对管理系统进行黑客程序的测试运行等活动，造成极大破坏。
　　2.3系统的漏洞及网络安全漏洞
　　目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。大学的网络服务器安装的操作系统主要有 WindowsNT/Windows2000、Unix和Linux等。这些系统安全风险级别也不同，如 WINNT/WIN2000 的普遍性和可操作性使得它也是最不安全的系统，存在本身系统的漏洞、浏览器的漏洞和IIS的漏洞等。另外许多校园都拥有WWW，FTP，邮件，数据库等服务器，无法确切的了解网络安全的漏洞及安全的缺陷。
　　2.4病毒危害与不良信息传播
　　计算机网络可从多个节点接收信息，因而极易感染计算机病毒，且计算机病毒具有自我复制能力，尤其是通过网络传播的病毒无论是在传播速度、 破坏性和传播范围等方面都是单机不能比拟的。程序和电子邮件都可能带有病毒。大量病毒传播破坏服务器或单机都会影响整个学校网络的正常运作。校园网接入 Internet 后，师生通过校园网进入Internet 随意浏览。但是网上的各种信息良莠不齐，关于**、暴力等内容的网站泛滥。对世界观和人生观正在形成的学生来说，这些有毒的信息危害极大。
　　
　　3 网络安全的解决方法
　　
　　3.1防火墙
　　所谓“防火墙”，是指一种将内部网和公众网络（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、复制和毁坏你的重要信息。防火墙的功能有两个：一个是阻止，另一个是允许。“阻止”就是阻止某种类型的通信量通过防火墙。“允许”的功能与“阻止”恰好相反。不过防火墙的主要功能是“阻止”。为了保证网络运转安全,防火墙必须从通信的各个层次以及应用中获取、储存并且管理相关的信息。以CISCO公司PIX防火墙为例,可以实现以下特性:①Filters (过滤)、②Proxy Server (代理服务)、③Socks Server (透明代理)、④DomainName System (域名系统)、⑤Network Address Translation (NAT,网络地址转换)、⑥Safe Mail (安全邮件)、⑦VirtualPrivate Network (VPN,虚拟私有网络)、⑧Log (记录、审计)。
　　3.2 VLAN技术
　　VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。
　　(1)基于端口划分的VLAN
　　这种划分VLAN的方法是根据以太网交换机的端口来划分，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
　　(2)基于MAC地址划分VLAN
　　这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。
　　(3)基于网络层划分VLAN
　　这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。
　　(4)根据IP组播划分VLAN
　　IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。
　　3.3 IP地址的绑定
　　网络IP地址的绑定是根据校园网络主要采用TCP/IP网络协议，将分配给网络用户的IP地址和该用户使用的计算机网卡MAC物理地址绑定设置在网络路由器上。由于计算机网卡MAC物理地址是全世界唯一性和不可更改性，如用户修改或盗取他人的IP地址就无法上网，解决了校园网用户修改可盗取他人的IP地址的问题。如果网络用户的更换了网卡，则需要通知网络管理员修改IP绑定，较为繁琐是网络IP地址的绑定技术不足之处。
　　3.4漏洞及时打补丁
　　及时安装系统补丁和更新服务方软件。任何系统都有漏洞，作为网络管理员应及时将补丁打上。在交换机、路由器、防火墙和服务器上运行的第三方软件也需要不断更新，新版本的服务软件能够提供更多更好的功能，保证这些设备更有效更安全地运行。
　　3.5杀毒软件
　　学生经常使用可以移动存储设备在不同的计算机上拷贝文件,造成病毒感染，以及下载一些带有病毒的软件等。整个网络中一旦有一个计算机中了病毒,病毒就会在网络中迅速传播,导致整个网络瘫痪,给校园网络的维护带来极大的麻烦。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。
　　3.6用户管理
　　用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。这样,就保证网络资源不被非法访问和非法使用。
　　3.7数据的备份与恢复
　　数据是网络的核心，其安全性要高。数据一旦被破坏，那将是灾难性的，所以要有一整套完整的数据备份与恢复方案。另外,还要做好计算机系统、网络、应用软件及各种资料数据的备份,有可能的话,应建立备份数据库系统。
　　
　　4 结束语
　　
　　以上是我对网络安全的一点知识。通过以防火墙为核心,结合VLAN技术、网络病毒防治、数据备份、用户管理等,充分发挥各自的长处、协同配合,搭建一个有效的安全防范体系。
　　
　　参考文献：
　　[1]陈新健.校园网络安全技术策略[J].电脑知识与技术,2007(06).
　　[2]靳添博.高校校园网络的安全管理研究[J].科技与管理,2005(5).
　　[3]程俊英.浅析校园网络安全[J].电脑知识与技术,2007(04).
　　[4]李圣良.基于校园网的网络安全策略[J].网络安全技术与应用,2005(10).
　　[5]晓燕,刘彦保,李军利.防火墙技术与校园网络安全[J].延安大学学报,2004,23(4).
　　[6]朱鲁华,等.译.最高安全机密[M].北京:机械工业出版社,2002.