導(dǎo)語：如何才能寫好一篇校園網(wǎng)絡(luò)安全預(yù)案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：APPDRR；校園網(wǎng)絡(luò)；安全對(duì)策

中圖分類號(hào)：TP393.08

1 探究網(wǎng)絡(luò)安全需求

1.1 業(yè)務(wù)安全需求

在網(wǎng)絡(luò)安全和通暢的情況下，才可以對(duì)學(xué)校中財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)、教務(wù)學(xué)生管理以及教學(xué)活動(dòng)正常的開展。防止Dos等攻擊而造成的性能喪失或者服務(wù)癱瘓的現(xiàn)象。

1.2 物理安全需求

在校園網(wǎng)絡(luò)中的較多物理設(shè)施需要和有關(guān)的安全規(guī)范相符，例如：中心機(jī)房、硬件防火墻、路由器、交換機(jī)、服務(wù)器等。還需要按照有關(guān)的管理范圍限制系統(tǒng)管理員、數(shù)據(jù)庫管理員以及機(jī)房管理人員的權(quán)限。

1.3 數(shù)據(jù)安全需求

數(shù)據(jù)安全需求具體包含：抗抵賴性、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性。其中所涉及到的數(shù)據(jù)機(jī)密性所指的是，不可以被進(jìn)程、實(shí)體或者非授權(quán)者加以利用，在機(jī)密性中還會(huì)存在泄漏的特點(diǎn)。信息數(shù)據(jù)按照安全級(jí)別包含：機(jī)密、內(nèi)部、公開等三個(gè)級(jí)別。公開性質(zhì)的信息是Internet用戶可以對(duì)其訪問的，內(nèi)部的信息只可以被校內(nèi)學(xué)生和教職工進(jìn)行訪問，機(jī)密的信息只是小部分的授權(quán)用戶有使用權(quán)限。數(shù)據(jù)的完整性方面需要將主動(dòng)威脅有所抵制，從而確保接收者的信息接收和信息發(fā)送初期是統(tǒng)一的，保證信息真實(shí)有效。抗抵賴性是發(fā)送人員不可以在發(fā)送之后否認(rèn)消息的發(fā)送內(nèi)容[1]。

2 APPDRR的校園網(wǎng)絡(luò)安全對(duì)策

校園網(wǎng)絡(luò)安全是動(dòng)態(tài)的系統(tǒng)，新問題會(huì)接連出現(xiàn)，解決方案會(huì)隨著問題的出現(xiàn)而改善。APPDRR這一方案能夠完善的解決校園網(wǎng)絡(luò)安全問題，其主要的構(gòu)成部分為：故障恢復(fù)與事件響應(yīng)、監(jiān)控與檢測(cè)、防御系統(tǒng)、安全策略的制定以及風(fēng)險(xiǎn)的評(píng)估與分析。

2.1 風(fēng)險(xiǎn)分析

想要開展APPDRR，風(fēng)險(xiǎn)分析是第一組成部分，進(jìn)行風(fēng)險(xiǎn)的分析能夠保證其他組成部分的順暢開展，在校園網(wǎng)絡(luò)中所存在的風(fēng)險(xiǎn)為幾大部分：（1）控制和非法訪問?？刂剖菣C(jī)制和策略的有效融合，可以訪問限定的資源。系統(tǒng)若認(rèn)證非法訪問的情況下，會(huì)順利的進(jìn)入到系統(tǒng)的內(nèi)部對(duì)數(shù)據(jù)資源隨意使用。（2）病毒。校園中擁有著較多的學(xué)生和教職工，網(wǎng)絡(luò)用戶十分復(fù)雜。在加上對(duì)電腦與智能手機(jī)應(yīng)用方面不斷增多，更加增添了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的復(fù)雜性。僅僅是一項(xiàng)細(xì)節(jié)部位受到的病毒的干擾，也會(huì)快速、大范圍的傳播。（3）Dos攻擊。Dos主要是通過有效的服務(wù)請(qǐng)求去占用較多的服務(wù)資源，繼而對(duì)用戶指令不能夠應(yīng)用服務(wù)器進(jìn)行處理，最后會(huì)造成服務(wù)器的癱瘓現(xiàn)象。

2.2 安全策略

對(duì)安全風(fēng)險(xiǎn)確定之后，就需要按照安全的需要擬定出相應(yīng)的安全策略。在APPDRR當(dāng)中安全策略是核心成分，APPDRR具體創(chuàng)建了四大防線，分別為：故障恢復(fù)、實(shí)時(shí)響應(yīng)、監(jiān)控與檢測(cè)、防護(hù)。

2.3 安全防護(hù)

（1）核心層的網(wǎng)絡(luò)設(shè)備中能夠應(yīng)用URPF御DDOS攻擊，同時(shí)和OTP動(dòng)態(tài)形式下的一次性密碼進(jìn)行結(jié)合，驗(yàn)證出用戶身份。只要將服務(wù)開啟，通過安全設(shè)計(jì)的路由協(xié)議，驗(yàn)證協(xié)議，利用SSH、SNMP等擁有安全性較強(qiáng)的管理協(xié)議，就能夠開展端口限速控制接入層的交換機(jī)。（2）防火墻在Internet入口處設(shè)置。防火墻涉及到的雙主動(dòng)模式具有一定的可靠性，不管是在網(wǎng)絡(luò)地址的轉(zhuǎn)換模式還是路由模式，都能夠配置為主動(dòng)的備份防火墻和防火墻，能夠有效的共享數(shù)據(jù)流。所體現(xiàn)的雙主動(dòng)模式能夠確保兩臺(tái)防火墻可以有50%的分擔(dān)能力，可以合理的利用資源，能夠延續(xù)防火墻的使用期限。

2.4 安全監(jiān)控和檢測(cè)

想要將安全策略落實(shí)，一定要進(jìn)行安全檢測(cè)，檢測(cè)的具體對(duì)象包含兩種，其一為系統(tǒng)外部的入侵威脅，其二為系統(tǒng)自身的脆弱性。對(duì)系統(tǒng)自身的脆弱性有幾種檢測(cè)措施：（1）入侵檢測(cè)。在外部中的入侵檢測(cè)具體是利用計(jì)算機(jī)系統(tǒng)，以及計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中的小部分重點(diǎn)開展信息分析和信息收集，在收集的過程中搜尋能否存在不符合安全策略的跡象和行為。分析監(jiān)視系統(tǒng)活動(dòng)和用戶能否和安全策略分析相符，比較已經(jīng)知道的活動(dòng)攻擊模式數(shù)據(jù)庫，同時(shí)充分的識(shí)別異常的情況。嚴(yán)格的監(jiān)控關(guān)鍵的數(shù)據(jù)是否完整。還需要審計(jì)操作系統(tǒng)的日志，以此來正確的識(shí)別異常的行為[2]。（2）檢測(cè)系統(tǒng)自身脆弱性：1）漏洞的掃描系統(tǒng)。在漏洞數(shù)據(jù)庫中會(huì)產(chǎn)生漏洞掃描，會(huì)針對(duì)應(yīng)用終端和服務(wù)器開展安全弱脆性的系統(tǒng)檢測(cè)，對(duì)系統(tǒng)漏洞能夠及時(shí)發(fā)現(xiàn)。漏洞具體包含：MAIL類、緩沖區(qū)溢出、WEB應(yīng)用漏洞以及Windows系統(tǒng)漏洞等。后臺(tái)的管理掃描系統(tǒng)提倡通過管理系統(tǒng)，在漏洞掃描服務(wù)器中安裝服務(wù)器端。2）防病毒的部署。對(duì)于防病毒策略的實(shí)現(xiàn)，需要將集中安裝實(shí)現(xiàn)，將策略的管理統(tǒng)一開展。將趨勢(shì)科技中央控管產(chǎn)品TMCM在后臺(tái)的管理區(qū)防病毒服務(wù)器中詳細(xì)的部署，此管理軟件可以將防病毒軟件，開展系統(tǒng)化的管理和監(jiān)控。針對(duì)客戶監(jiān)控區(qū)的終端系統(tǒng)，以及后臺(tái)管理層中的監(jiān)控區(qū)域的病毒防護(hù)，可以應(yīng)用OfficeScan方案。其高效和升級(jí)的實(shí)時(shí)防護(hù)以及統(tǒng)一管理模式，可以合理的確保應(yīng)用人員的應(yīng)用安全[3]。3）操作系統(tǒng)補(bǔ)丁方面的管理系統(tǒng)。若操作系統(tǒng)存在漏洞，應(yīng)用極為優(yōu)質(zhì)的管理措施和軟件都不能夠產(chǎn)生效用，基本上在校園網(wǎng)絡(luò)中所產(chǎn)生的安全隱患，具體的原因都是由于計(jì)算機(jī)或者業(yè)務(wù)服務(wù)器中缺失系統(tǒng)補(bǔ)丁的及時(shí)更新，所以在校園網(wǎng)中需要配置專業(yè)的補(bǔ)丁管理系統(tǒng)。SMS系統(tǒng)是提倡應(yīng)用的系統(tǒng)，該系統(tǒng)可以較好的配置Microsoft的更新，能夠讓校園網(wǎng)當(dāng)中所使用的計(jì)算機(jī)和服務(wù)器，都可以在暴露安全弱點(diǎn)之前被發(fā)現(xiàn)[4]。

2.5 應(yīng)急實(shí)時(shí)的響應(yīng)

應(yīng)急實(shí)時(shí)響應(yīng)是在網(wǎng)絡(luò)安全隱患發(fā)生之后的有效應(yīng)對(duì)方式，能夠有效的解決安全性問題，是較為完善的處理手段。若產(chǎn)生安全隱患，需要及時(shí)的開展應(yīng)急的預(yù)案，為的是在較短時(shí)間內(nèi)，將危害性降低到最小的程度[5]。

3 總結(jié)

根據(jù)以上的論述，應(yīng)用APPDRR的前瞻性隨著動(dòng)態(tài)校園網(wǎng)絡(luò)的形成，不斷的得以體現(xiàn)。并且，有必要將管理和技術(shù)有效的融合在一起，讓教師和學(xué)生都擁有著一定的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)，建立健全的“防火墻”，用規(guī)范的行為正確的進(jìn)行電腦的使用以及保證上網(wǎng)的良好習(xí)慣。要力求用信息技術(shù)維護(hù)校園網(wǎng)絡(luò)安全，讓師生能夠在一定程度上開展優(yōu)質(zhì)的網(wǎng)絡(luò)體驗(yàn)。

參考文獻(xiàn)：

[1]黃昌偉，萬偉蹈，吳洪強(qiáng).基于APPDRR的校園網(wǎng)絡(luò)安全模型研究[J].江西教育學(xué)院學(xué)報(bào)，2013，12（09）：123-125.

[2]林日.信息化背景下的校園網(wǎng)絡(luò)安全問題與對(duì)策[J].福建教育學(xué)院學(xué)報(bào)，2013，11（06）：146-150.

[3]曾松.淺談中職學(xué)校數(shù)字化校園網(wǎng)絡(luò)的安全問題及對(duì)策[J].福建電腦，2013，14（02）：188-190.

[4]夏齡，周德榮，舒濤.校園網(wǎng)絡(luò)的安全及對(duì)策初探[J].西南民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，6（03）：146-157.

[5]宋帆，楊曉蘭.北郵校園網(wǎng)學(xué)籍、成績(jī)管理信息系統(tǒng)安全對(duì)策探討[J].管理信息系統(tǒng)，2013，5（04）：176-179.

篇2

[論文摘要】由校園網(wǎng)運(yùn)行和信息安全問題，提出加強(qiáng)校園網(wǎng)管理，提高教師和學(xué)生信息安全意識(shí)。并對(duì)具體的網(wǎng)絡(luò)管理實(shí)施方法和信息安全保護(hù)措施進(jìn)行探究和實(shí)踐。

一、引言

隨著校園網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，學(xué)院在教學(xué)、管理、科研以及對(duì)外信息交流等多方面對(duì)校園網(wǎng)的依賴性日漸增強(qiáng)，以網(wǎng)絡(luò)的方式來獲取信息、存儲(chǔ)信息和交流信息成為學(xué)院教師和學(xué)生使用信息的重要手段之一。然而，就目前的網(wǎng)絡(luò)運(yùn)行狀況來看，校園網(wǎng)信息安全問題日益突出，網(wǎng)絡(luò)的穩(wěn)定性依然較差，因此，加強(qiáng)校園網(wǎng)的管理，確保校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)行，使之發(fā)揮其應(yīng)有的作用已成為當(dāng)前校園網(wǎng)應(yīng)用中一個(gè)亟待解決的課題。

二、校園網(wǎng)信息安全的研究思路

校園網(wǎng)是一個(gè)直接連接互聯(lián)網(wǎng)的開放式網(wǎng)絡(luò)，校園網(wǎng)用戶的層次差異較大，校園網(wǎng)的信息安全與用戶的安全意識(shí)和技能緊密相關(guān)，校園網(wǎng)的校園網(wǎng)的信息安全從總體結(jié)構(gòu)上可分為，校園網(wǎng)主干網(wǎng)設(shè)備和應(yīng)用的安全和校園網(wǎng)用戶的安全應(yīng)用兩個(gè)部分。對(duì)具體的信息安全問題的研究，能有效的解決校園網(wǎng)中的信息安全隱患，從而確保校園網(wǎng)安全，穩(wěn)定、高效地運(yùn)行。

(一)校園網(wǎng)邊界安全

校園網(wǎng)邊界安全就是確保校園網(wǎng)與外界網(wǎng)絡(luò)的信息交換安全，既能保證校園網(wǎng)與互聯(lián)網(wǎng)進(jìn)行正常的信息通訊，又能有效地阻止來自網(wǎng)絡(luò)的惡意攻擊，如端口掃描、非授權(quán)訪問行為、病毒、不良網(wǎng)站等。

(二)系統(tǒng)漏洞的修補(bǔ)

校園網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境較為復(fù)雜性是一個(gè)由多用戶、多系統(tǒng)、多協(xié)議、多應(yīng)用的網(wǎng)絡(luò)，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件都存在難以避免的安全漏洞。不及時(shí)修補(bǔ)這些安全漏洞，就會(huì)給病毒、木馬和黑客的入侵提供方便。

(三)校園網(wǎng)計(jì)算機(jī)與存儲(chǔ)設(shè)備的安全

校園網(wǎng)計(jì)算機(jī)和存儲(chǔ)設(shè)備中存儲(chǔ)了大量的信息，如學(xué)生檔案，教學(xué)課件、考試題庫、學(xué)生作業(yè)、網(wǎng)站數(shù)據(jù)、辦公文件等。由于設(shè)備配置、應(yīng)用和管理上的問題存在較大的信息安全隱患。如設(shè)備無分級(jí)管理、使用公共帳戶和密碼、操作人員無信息安全常識(shí)等。

(四)校園網(wǎng)計(jì)算機(jī)病毒控制

計(jì)算機(jī)病毒是校園網(wǎng)安全隱患之一。必須做到有效控制。選擇適合的殺毒手段和相應(yīng)軟件可以對(duì)服務(wù)器、接入計(jì)算機(jī)、網(wǎng)關(guān)等所有計(jì)算機(jī)設(shè)備進(jìn)行保護(hù)，殺毒軟件可以對(duì)郵件、ftp文件、網(wǎng)頁、u盤、光盤等所有可能帶來病毒的信息源進(jìn)行監(jiān)控、查殺和攔截。計(jì)算機(jī)病毒控制要防殺結(jié)合以防為主。

(五)校園網(wǎng)維護(hù)管理

校園網(wǎng)的硬件環(huán)境建設(shè)完畢后，一項(xiàng)重要的工作就是做好校園網(wǎng)的維護(hù)工作。校園網(wǎng)的安全運(yùn)維需要有一個(gè)校園網(wǎng)安全運(yùn)營(yíng)中心，通過強(qiáng)化安全管理工作，對(duì)校園網(wǎng)不同教學(xué)場(chǎng)所設(shè)備、不同計(jì)算機(jī)系統(tǒng)中的安全事件進(jìn)行監(jiān)控，匯總和關(guān)聯(lián)分析，提供可視化校園網(wǎng)安全狀況展示。針對(duì)不同類型安全事件提供緊急應(yīng)對(duì)措施。實(shí)現(xiàn)校園網(wǎng)絡(luò)集中安全管控，保護(hù)校園網(wǎng)絡(luò)數(shù)字資產(chǎn)安全。

三、確保校園網(wǎng)信息安全的具體蕾理措施

(一)優(yōu)化結(jié)構(gòu)，合理配置，加強(qiáng)監(jiān)管

使用硬件放火墻，防火墻可在校園網(wǎng)與外界網(wǎng)絡(luò)之間建立一道安全屏障，是目前非常有效的網(wǎng)絡(luò)安全模型，它提供了一整套的安全控制策略，包括訪問控制、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)等功能。使用放火墻可以將外界網(wǎng)絡(luò)(風(fēng)險(xiǎn)區(qū))與校園網(wǎng)(安全區(qū))的連接進(jìn)行邏輯隔離，在安全策略的控制下進(jìn)行內(nèi)外網(wǎng)的信息交換，有效地限制外網(wǎng)對(duì)內(nèi)網(wǎng)的非法訪問、惡意攻擊和入侵。

安裝入侵檢測(cè)系統(tǒng)，入侵檢測(cè)系統(tǒng)是放火墻的合理補(bǔ)充，能夠在放火墻的內(nèi)部檢測(cè)非法行為，具有識(shí)別攻擊和入侵手段，監(jiān)控網(wǎng)絡(luò)異常通信，分析漏洞和后門等功能。

使用vlan技術(shù)優(yōu)化內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，增強(qiáng)了網(wǎng)絡(luò)的靈活性，有效的控制了網(wǎng)絡(luò)風(fēng)暴，并將不同區(qū)域和應(yīng)用劃分為不同的網(wǎng)段進(jìn)行隔離來控制相互間的訪問，達(dá)到限制用戶非法訪問的目的。

使用靜態(tài)i p配置。檢測(cè)網(wǎng)絡(luò)中i p應(yīng)用狀況，并將i p+mac地址進(jìn)行綁定，防止特殊ip地址被盜用。對(duì)計(jì)算機(jī)特別是服務(wù)器的訪問必須進(jìn)行安全身份認(rèn)證，非認(rèn)證用戶無法進(jìn)行訪問。

使用網(wǎng)絡(luò)管理軟件，掃描和繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，顯示路由器與子網(wǎng)、交換機(jī)與交換機(jī)、交換機(jī)與主機(jī)之間的連接關(guān)系，顯示交換機(jī)各端口、使用情況和流量信息，定期對(duì)客戶端流量、分支網(wǎng)絡(luò)帶寬流量進(jìn)行分析，并進(jìn)行數(shù)據(jù)包規(guī)則檢測(cè)，防止非法入侵、非法濫用網(wǎng)絡(luò)資源。加強(qiáng)接入管理，保證可信設(shè)備接入。對(duì)新增設(shè)備、移動(dòng)設(shè)備和移動(dòng)式存儲(chǔ)工具要做到先檢測(cè)后接入，做好網(wǎng)絡(luò)設(shè)備的物理信息的登記管理，如設(shè)備的名稱、設(shè)備樓層房間號(hào)、使用部門、使用人、聯(lián)系電話等。做到遇故障能及時(shí)準(zhǔn)確地定位和排查。

(二)提高認(rèn)識(shí)，規(guī)范行為，強(qiáng)化應(yīng)用

網(wǎng)絡(luò)安全涉及到法律、道德、知識(shí)、管理、技術(shù)、策略等多方面的因素，是一個(gè)有機(jī)的結(jié)合體。因此，在做好技術(shù)防護(hù)和網(wǎng)絡(luò)管理的同時(shí)，要把樹立信息安全意識(shí)提高到一個(gè)新的高度。并從環(huán)境、自身、產(chǎn)品和意識(shí)等方面出發(fā)，逐個(gè)解決存在的問題，把可能的危險(xiǎn)排除在發(fā)生之前。對(duì)于校園網(wǎng)用戶來說，要進(jìn)一步提高網(wǎng)絡(luò)信息安全意識(shí)，加強(qiáng)關(guān)于計(jì)算機(jī)信息安法律知識(shí)的學(xué)習(xí)，自覺規(guī)范操作行為，同時(shí)掌握一些有關(guān)信息安全技術(shù)和技能。來強(qiáng)化我們的應(yīng)用能力。具體可從以下幾個(gè)方面入手。

建議在系統(tǒng)安裝時(shí)選擇最小化，而多數(shù)用戶采用默認(rèn)安裝，實(shí)際上不少系統(tǒng)功能模塊不是必需的，要保證系統(tǒng)安全，需遵循最小化原則，可減少安全隱患。

及時(shí)對(duì)系統(tǒng)進(jìn)行漏洞掃描、安裝補(bǔ)丁程序。為提高補(bǔ)丁程序的下載速度，可在校園網(wǎng)中部署微軟自動(dòng)更新服務(wù)器來提供客戶端補(bǔ)丁自動(dòng)分發(fā)。在安裝補(bǔ)丁程序前一定要仔細(xì)閱讀安裝說明書，做好數(shù)據(jù)備份等預(yù)防工作，以免導(dǎo)致系統(tǒng)無法啟動(dòng)或破壞等情況。

操作系統(tǒng)安裝完成后，要對(duì)系統(tǒng)的安全策略進(jìn)行必要的設(shè)置。如登錄用戶名和密碼。用戶權(quán)限的分配，共享目錄的開放與否、磁盤空間的限制、注冊(cè)表的安全配置、瀏覽器的安全等級(jí)等，使用系統(tǒng)默認(rèn)的配置安全性較差。

使用個(gè)人防火墻，個(gè)人防火墻足抵御各類網(wǎng)絡(luò)攻擊最有效的手段之一，它能夠在一定程度上保護(hù)操作系統(tǒng)信息不對(duì)外泄漏，也能監(jiān)控個(gè)人電腦正在進(jìn)行的網(wǎng)絡(luò)連接，把有害的數(shù)據(jù)拒絕于門外。

使用反病毒軟件，目前互聯(lián)網(wǎng)上的病毒非常猖獗，達(dá)幾萬種之多，傳播途徑也相當(dāng)廣泛?？赏ㄟ^u盤、光盤、電子郵件和利用系統(tǒng)漏洞進(jìn)行主動(dòng)病毒傳播等，這就需要在用戶計(jì)算機(jī)上安裝防病毒軟件來控制病毒的傳播。在單機(jī)版的防病毒軟件使用中，必須要定期或及時(shí)升級(jí)防病毒軟件和病毒碼特征庫。

(三)注意數(shù)據(jù)備份，提高網(wǎng)絡(luò)和系統(tǒng)容災(zāi)能力

在做好網(wǎng)絡(luò)安全管理工作的同時(shí)，也應(yīng)考慮系統(tǒng)在不可避免的因素下出現(xiàn)故障。必須定期做好重要設(shè)備和重要數(shù)據(jù)的備份工作，以便在出現(xiàn)故障時(shí)能即使進(jìn)行硬件更換和軟件恢復(fù)等措施。存儲(chǔ)重要數(shù)據(jù)和運(yùn)行重要軟件的設(shè)備應(yīng)有硬件備份。軟件恢復(fù)包括系統(tǒng)恢復(fù)和文件恢復(fù)。系統(tǒng)恢復(fù)就是當(dāng)操作系統(tǒng)和應(yīng)用軟件不能正常啟動(dòng)和使用，可利用修復(fù)軟件對(duì)其進(jìn)行修復(fù)，最快捷的法是使用克隆技術(shù)對(duì)系統(tǒng)進(jìn)行全盤備份，可在系統(tǒng)損壞時(shí)快速恢復(fù)。從而以最快的速度是系統(tǒng)正常工作。恢復(fù)則是當(dāng)存儲(chǔ)介質(zhì)上的應(yīng)用文件損壞時(shí)，用修復(fù)軟件對(duì)其進(jìn)行修復(fù)。要采用多種手段保存數(shù)據(jù)文件，重要數(shù)據(jù)要多做幾個(gè)備份來確保數(shù)據(jù)文件的安全。

篇3

關(guān)鍵詞：校園網(wǎng)、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理

中圖分類號(hào)：TU714 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-3520（2013）-12-0056-01

近年來，隨著學(xué)校信息化建設(shè)的不斷發(fā)展，大部分學(xué)校都建立了自己的校園網(wǎng)，這已經(jīng)成為學(xué)校教育信息化的重要標(biāo)志。校園網(wǎng)承載著學(xué)校教學(xué)、科研、管理和對(duì)外交流等各種任務(wù)，發(fā)揮著重要的作用。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)病毒的泛濫增長(zhǎng)，校園網(wǎng)絡(luò)的安全性已成為一個(gè)不容忽視的問題。因此確保校園網(wǎng)絡(luò)安全、穩(wěn)定、高效的運(yùn)行，就成為高校信息化發(fā)展路上的一個(gè)重要任務(wù)。

1、高校校園網(wǎng)發(fā)展現(xiàn)狀

高校的校園網(wǎng)絡(luò)作為高校信息化教育的基礎(chǔ)設(shè)施之一，其規(guī)模在不斷地?cái)U(kuò)大。這些校園網(wǎng)承載著辦公自動(dòng)化、 教務(wù)管理信息化、校園網(wǎng)內(nèi)資源共享等多項(xiàng)重要任務(wù)，對(duì)學(xué)校的教學(xué)水平、科研成果和管理水平起到了不可忽視的作用。隨著校園網(wǎng)絡(luò)帶給我們方便快捷的同時(shí)，校園網(wǎng)絡(luò)的安全問題也隨之暴露出來，因病毒攻擊造成的網(wǎng)絡(luò)中斷經(jīng)常發(fā)生，網(wǎng)絡(luò)中的管理系統(tǒng)、存放的數(shù)據(jù)經(jīng)常遭到破壞，因此保障校園網(wǎng)絡(luò)安全可靠的運(yùn)行已成為各大高校建設(shè)信息化校園的一個(gè)重要任務(wù)。

2、高校校園網(wǎng)絡(luò)中存在的的安全隱患及網(wǎng)絡(luò)安全管理存在的主要問題

作為學(xué)校內(nèi)部進(jìn)行信息交流和資源共享的一個(gè)重要載體，高校校園網(wǎng)絡(luò)的最主要任務(wù)就是確保網(wǎng)絡(luò)的正常運(yùn)行和傳輸信息的安全性。校園網(wǎng)是否安全正常的運(yùn)行直接關(guān)系到學(xué)校教育信息化的發(fā)展進(jìn)程。目前高校校園網(wǎng)絡(luò)存在的安全隱患，主要有以下幾方面：（1）網(wǎng)絡(luò)系統(tǒng)本身存在的缺陷。網(wǎng)絡(luò)系統(tǒng)軟件是運(yùn)行管理其他網(wǎng)絡(luò)軟、硬件資源的基礎(chǔ)，其自身的安全性直接關(guān)系到網(wǎng)絡(luò)的安全。校園網(wǎng)中所有終端的系統(tǒng)或軟件存在大量漏洞且病毒泛濫。校園網(wǎng)絡(luò)在為大家提供服務(wù)的同時(shí)，也加快了病毒的傳播速度。（2）對(duì)網(wǎng)絡(luò)安全建設(shè)投入不足。學(xué)校重點(diǎn)投入網(wǎng)絡(luò)設(shè)備，使得學(xué)校網(wǎng)絡(luò)可以正常的使用。但是對(duì)于后期管理中的網(wǎng)絡(luò)安全項(xiàng)目，卻疏于管理。使得網(wǎng)絡(luò)處于開放或者半保護(hù)狀態(tài)，缺乏有效的安全預(yù)警機(jī)制和防范措施。（3）忽視來自校園內(nèi)部的攻擊。校園網(wǎng)要滿足學(xué)校日常教學(xué)、辦公等眾多需求，還要滿足教務(wù)管理和校園一卡通等各種類型的系統(tǒng)，這些不同類型的應(yīng)用系統(tǒng)也增加了校園網(wǎng)的安全隱患。許多高校在應(yīng)用服務(wù)系統(tǒng)的訪問控制方式上考慮不足，再加上網(wǎng)絡(luò)安全管理制度上存在的缺陷，使得人為因素造成的安全隱患成為整個(gè)網(wǎng)絡(luò)安全體系的最大隱患。（4）網(wǎng)絡(luò)資源濫用。學(xué)校在多媒體教室和機(jī)房實(shí)驗(yàn)室建設(shè)中，共享大量的軟件及數(shù)據(jù)資源，這些資源的濫用占用了大量的網(wǎng)絡(luò)帶寬，再加上學(xué)校監(jiān)管方面的不足，這也為校園網(wǎng)絡(luò)安全帶來了一定的隱患[1]。

3、如何構(gòu)建一個(gè)高校校園網(wǎng)絡(luò)安全管理系統(tǒng)

校園網(wǎng)絡(luò)安全工作是一個(gè)復(fù)雜的系統(tǒng)工程，它既是技術(shù)問題，又是管理問題。只有采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和嚴(yán)格規(guī)范的管理措施，才能有效的保障校園網(wǎng)安全平穩(wěn)地運(yùn)行。所以我們要從技術(shù)和管理兩個(gè)方面來考慮如何加強(qiáng)高校校園網(wǎng)的安全防范。

3.1采用有效的網(wǎng)絡(luò)安全技術(shù)。從技術(shù)方面考慮，通過各種安全技術(shù)手段來維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，并在計(jì)算機(jī)網(wǎng)絡(luò)安全受到威脅時(shí)能及時(shí)發(fā)現(xiàn)和抵御侵犯。

（1）防火墻技術(shù)。即在互聯(lián)網(wǎng)與校園網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)校園網(wǎng)免受非法用戶的侵入，達(dá)到保障內(nèi)部網(wǎng)絡(luò)安全的目的。

（2）采用密碼技術(shù)。密碼技術(shù)是信息安全的核心技術(shù)。采用密碼技術(shù)可以實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)信息進(jìn)行加密傳送、完整性驗(yàn)證、數(shù)字簽名等功能。最主要的是對(duì)所有重要信息進(jìn)行加密處理， 防止信息的泄漏、篡改和破壞。

（3）使用反病毒技術(shù)。隨著計(jì)算機(jī)病毒的入侵途徑和特點(diǎn)的日新月異。我們要定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行軟件和硬件上的升級(jí)，使之與網(wǎng)絡(luò)技術(shù)的發(fā)展速度保持一致。更新桌面型計(jì)算機(jī)的操作系統(tǒng)，提高系統(tǒng)的安全性。 使用專業(yè)殺毒軟件對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行掃描和監(jiān)測(cè)，并且及時(shí)更新病毒庫。同時(shí)學(xué)校網(wǎng)管中心也要提醒和指導(dǎo)校內(nèi)用戶做好查殺病毒工作。

（4）采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)的目的在于對(duì)當(dāng)前運(yùn)行網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)分析，以發(fā)現(xiàn)潛在的隱患和正在進(jìn)行的攻擊。不管是授權(quán)用戶還是外部入侵者，在網(wǎng)絡(luò)上進(jìn)行的任何非授權(quán)活動(dòng)都可以被實(shí)時(shí)地檢測(cè)到并立即被阻止。

（5）使用虛擬局域網(wǎng)技術(shù)。VPN（虛擬專用網(wǎng)）之外的用戶無法訪問網(wǎng)絡(luò)內(nèi)部的資源，而VPN 內(nèi)部之間的用戶可以安全而有效地進(jìn)行數(shù)據(jù)傳輸和交換。

（6）數(shù)據(jù)備份技術(shù)。在實(shí)際應(yīng)用中，一旦網(wǎng)絡(luò)系統(tǒng)發(fā)生硬件故障，或者非法用戶對(duì)數(shù)據(jù)進(jìn)行了纂改，數(shù)據(jù)備份將輕松有效地解決這個(gè)難題，恢復(fù)數(shù)據(jù)至之前的安全狀態(tài)[2]。

3.2 應(yīng)用和完善網(wǎng)絡(luò)安全管理策略

（1）提高網(wǎng)絡(luò)安全管理意識(shí)。校園網(wǎng)內(nèi)部產(chǎn)生的安全隱患，大部分是因?yàn)橛脩羧狈镜木W(wǎng)絡(luò)安全常識(shí)。因此，高校要對(duì)校園網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)安全常識(shí)教育，將網(wǎng)絡(luò)道德的教育納入教學(xué)計(jì)劃，使用戶提高網(wǎng)絡(luò)安全管理意識(shí)，從而自覺地維護(hù)校園網(wǎng)絡(luò)安全。

（2）做好網(wǎng)絡(luò)安全管理人才的引進(jìn)工作。將安全意識(shí)好、安全技能扎實(shí)的優(yōu)秀人才引入到網(wǎng)絡(luò)安全管理隊(duì)伍中，對(duì)于現(xiàn)有網(wǎng)絡(luò)管理人員，學(xué)校應(yīng)該采取積極的措施，派出學(xué)校網(wǎng)絡(luò)管理人員出去參加網(wǎng)絡(luò)安全管理培訓(xùn)，以更好的技術(shù)和方式來管理校園網(wǎng)絡(luò)。

（3）對(duì)校園網(wǎng)用戶進(jìn)行訪問控制。訪問控制是校園中維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要策略，它的主要功能是拒絕網(wǎng)絡(luò)資源被非法使用和非法訪問。主要方法有進(jìn)行身份認(rèn)證，對(duì)數(shù)據(jù)加密，設(shè)置訪問權(quán)限等[3]。

4結(jié)論

校園網(wǎng)的安全隱患既有來自校內(nèi)的，也有來自校外的，因此加強(qiáng)校園網(wǎng)絡(luò)的安全管理是當(dāng)前高校非常迫切且充滿挑戰(zhàn)性的任務(wù)。而安全合理的管理制度是建立安全防范體系中具體落實(shí)的重要手段，只有將網(wǎng)絡(luò)安全技術(shù)應(yīng)用到具體的管理方式中，才能構(gòu)建出一個(gè)安全的校園網(wǎng)，保證整個(gè)網(wǎng)絡(luò)的安全性和有效性，使校園網(wǎng)在高校信息化建設(shè)中發(fā)揮更大的作用。

參考文獻(xiàn)：

[1] 申凱.高校計(jì)算機(jī)網(wǎng)絡(luò)安全問題研究[J].軟件導(dǎo)刊，2010（7）

篇4

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全教育與管理措施；對(duì)策

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)27-6596-03

Thoughts and Countermeasures of Campus Network Security

CHANG Qing

(Information Technology Center, Shaanxi Energy Institute, Xi'an 710613, China)

Abstract: With the development of education informatization, relying on the campus of digital information system has become one of the important network teaching platforms and office informatization. Therefore, network security has been paid more and more attention and has become the main problem affecting campus network application. Based on the analysis of the current college campus network security threat,the paper discusses the the main factors influencing network security and puts forward the countermeasures for campus network security.

Key words: campus network; network security; network security education and management measures; countermeasures

隨著教育信息化的發(fā)展，依托校園網(wǎng)的數(shù)字化信息資源系統(tǒng)成為學(xué)校重要的網(wǎng)絡(luò)教學(xué)平臺(tái)，依托校園網(wǎng)的OA成為學(xué)?，F(xiàn)代辦公信息化的主要手段。校園網(wǎng)為學(xué)校各方面建設(shè)提供了安全、可靠、快捷的網(wǎng)絡(luò)環(huán)境，是學(xué)校的管理、教學(xué)、科研、學(xué)生思想教育等各項(xiàng)工作正常進(jìn)行的保障。校園網(wǎng)絡(luò)的安全狀況直接影響到各項(xiàng)工作的順利進(jìn)行。因此，保障校園網(wǎng)絡(luò)正常運(yùn)行及其信息安全已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中首先需要考慮的問題。

1 網(wǎng)絡(luò)安全的概念

1.1 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

1.2 網(wǎng)絡(luò)安全的學(xué)科基礎(chǔ)

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

1.3 網(wǎng)絡(luò)安全的本質(zhì)

網(wǎng)絡(luò)安全的本質(zhì)是針對(duì)：網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全和網(wǎng)絡(luò)數(shù)據(jù)庫的信息安全，兩個(gè)方面的安全防護(hù)措施。

2 校園網(wǎng)絡(luò)安全的現(xiàn)狀分析

校園網(wǎng)具有速度快、規(guī)模大，計(jì)算機(jī)系統(tǒng)管理復(fù)雜等特點(diǎn)，隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用的深入發(fā)展，校園網(wǎng)絡(luò)的安全問題也逐漸突出，直接影響著學(xué)校的管理、教學(xué)和科研活動(dòng)的進(jìn)行。為此，在全面了解校園網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，合理構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。

當(dāng)前，校園網(wǎng)絡(luò)常見的安全隱患有以下幾種：

2.1 計(jì)算機(jī)系統(tǒng)漏洞

目前，校園網(wǎng)中被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS，存在各種各樣的安全問題，服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。而且隨著時(shí)間的推移，將會(huì)有更多漏洞被人發(fā)現(xiàn)并利用。

2.2 計(jì)算機(jī)病毒的破壞

計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。計(jì)算機(jī)病毒具有以下特點(diǎn)：一是攻擊隱蔽性強(qiáng)；二是繁殖能力強(qiáng)；三是傳播途徑廣；四是潛伏期長(zhǎng)；五是破壞力大。特別是近年來利用ARP協(xié)議漏洞進(jìn)行竊聽、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加，嚴(yán)重威脅著校園網(wǎng)絡(luò)的正常運(yùn)行。

2.3 來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為

校園網(wǎng)與Internet相連，在享受Internet信息豐富、方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊校園網(wǎng)的服務(wù)器，以竊取一些重要信息。

2.4 校園網(wǎng)內(nèi)部的攻擊

由于高校部分學(xué)生對(duì)網(wǎng)絡(luò)知識(shí)很感興趣，具有相當(dāng)高的專業(yè)知識(shí)水平，對(duì)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式又比較了解，攻擊校園網(wǎng)就成了他們表現(xiàn)自己的能力，實(shí)踐自己所學(xué)知識(shí)的首選，經(jīng)常有意無意的攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運(yùn)行。

另外有一些學(xué)生，在下載一些音/視頻資料時(shí)在未進(jìn)行查殺病毒的情況下，就進(jìn)行應(yīng)用等也是造成內(nèi)部的攻擊的重要因素。

2.5 校園網(wǎng)安全管理有缺陷

隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的迅速普及，接入校園網(wǎng)的計(jì)算機(jī)日益增多，如果管理措施不力，隨時(shí)有可能造成病毒傳播泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)普遍存在重視硬件投入，忽視軟件投資；重運(yùn)行，輕管理的現(xiàn)象。主要表現(xiàn)為對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)不足，將網(wǎng)絡(luò)系統(tǒng)作為一項(xiàng)純技術(shù)工程來實(shí)施，沒有一套完善的安全管理方案；網(wǎng)絡(luò)系統(tǒng)管理人員只將精力集中于IP的申請(qǐng)分配和開通、帳戶的維護(hù)、各服務(wù)器上應(yīng)用系統(tǒng)日常維護(hù)、系統(tǒng)日志的審查和網(wǎng)絡(luò)規(guī)范的設(shè)計(jì)及調(diào)整上，而很少去研究網(wǎng)絡(luò)安全狀態(tài)的發(fā)展變化、入侵手段、防范措施、安全機(jī)制等。

3 造成這些現(xiàn)狀的原因

3.1 網(wǎng)絡(luò)安全維護(hù)的投入不足

網(wǎng)絡(luò)安全維護(hù)的工作量是很大的，并且很困難，需要一定的人力、物力，然而大多數(shù)學(xué)校在校園網(wǎng)上的設(shè)備投入和人員投入不足，有限的經(jīng)費(fèi)也往往主要用在網(wǎng)絡(luò)設(shè)備購(gòu)置上，對(duì)于網(wǎng)絡(luò)安全建設(shè)，普遍缺乏比較系統(tǒng)的投入。

3.2 網(wǎng)絡(luò)管理人員配備不足

很多學(xué)校的網(wǎng)絡(luò)管理人員的都具有一定的專業(yè)水平，基本可以勝任本職工作，但是可能由于人員配備不足的原因，勉強(qiáng)能夠維護(hù)網(wǎng)絡(luò)硬件正常的配置和運(yùn)行，而無暇顧及其他。

3.3 師生的網(wǎng)絡(luò)安全意識(shí)和觀念淡薄

有的學(xué)生對(duì)網(wǎng)絡(luò)安全重視不夠，法律意識(shí)不強(qiáng)。在組織文藝活動(dòng)和節(jié)目編排時(shí)，隨意通過網(wǎng)絡(luò)下載或通過帶毒的移動(dòng)存儲(chǔ)介質(zhì)，經(jīng)常有意無意的傳播病毒，攻擊校園網(wǎng)絡(luò)系統(tǒng)，干擾校園網(wǎng)的安全運(yùn)行。

4 對(duì)策

校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，要從用戶、管理、技術(shù)三方面的因素來考慮。從嚴(yán)格的意義上來講，100%的安全網(wǎng)絡(luò)系統(tǒng)是沒有的，網(wǎng)絡(luò)安全工作是一個(gè)循序漸進(jìn)、不斷完善的過程。為了提高校園網(wǎng)絡(luò)的安全性，提出以下幾點(diǎn)安全措施：

4.1 配備高性能的防火墻產(chǎn)品

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來說,防火墻設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻相當(dāng)于分析器,可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運(yùn)行,根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過濾規(guī)則來拒絕或允許報(bào)文分組通過。所以對(duì)防火墻作好安全設(shè)置,設(shè)定恰當(dāng)?shù)脑L問控制策略,保障網(wǎng)絡(luò)信息資源不被非法使用和訪問。

4.2 加強(qiáng)網(wǎng)絡(luò)中PC機(jī)的安全防范

4.2.1 身份認(rèn)證技術(shù)

身份認(rèn)證是對(duì)通信方進(jìn)行身份確認(rèn)來阻止非授權(quán)用戶進(jìn)入。常用的身份認(rèn)證方法有口令認(rèn)證法。主要是給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜和一定強(qiáng)度的密碼，最好是字母+數(shù)字+符號(hào)的組合；系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，不定期地予以更換。如：很多用戶的Windows XP/2000系統(tǒng)卻根本沒有設(shè)置密碼，有的用戶，雖然也設(shè)置了密碼，但密碼要么全是數(shù)字的，要么很短，對(duì)于這類密碼，可以輕易的被破解。

4.2.2 防范系統(tǒng)安全漏洞

及時(shí)更新操作系統(tǒng)和安裝各種補(bǔ)丁程序非常重要。一般用戶需要借助第三方產(chǎn)品（如：漏洞掃描系統(tǒng)）的幫助，及時(shí)發(fā)現(xiàn)安全隱患。目前，許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染的?？梢酝ㄟ^安裝360安全衛(wèi)士或其它功能類似的軟件來給系統(tǒng)的漏洞打好補(bǔ)丁，這樣可以有效的保護(hù)系統(tǒng)。

4.2.3 校園內(nèi)部網(wǎng)絡(luò)中PC機(jī)的安全隔離

合理使用防火墻，可以構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障，有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來，有利于提高網(wǎng)絡(luò)抵抗黑客攻擊的能力和系統(tǒng)的安全性。在校園網(wǎng)內(nèi)的所有PC機(jī)應(yīng)自覺安裝專業(yè)的防火墻軟件，如360安全衛(wèi)士防火墻等。

4.3 防范計(jì)算機(jī)病毒

1）作為校園網(wǎng)的網(wǎng)絡(luò)管理人員，要為系統(tǒng)使用安全策略，如帳戶設(shè)定、審核策略、網(wǎng)絡(luò)訪問、安全選項(xiàng)設(shè)定等。使用安全策略不僅可以有效防范病毒，監(jiān)控系統(tǒng)狀態(tài)，還可以防范黑客攻擊。

2）選擇合適的防病毒軟件，及時(shí)更新病毒庫。防病毒軟件分為兩大類：網(wǎng)絡(luò)版和單機(jī)版。單機(jī)版防毒軟件適用于個(gè)人用戶，管理功能相對(duì)較弱。從網(wǎng)絡(luò)管理和病毒監(jiān)控的角度來說，校園網(wǎng)更適用網(wǎng)絡(luò)版防毒軟件，因?yàn)榫W(wǎng)絡(luò)版防毒軟件的管理功能更強(qiáng)大，校園網(wǎng)的管理員只要及時(shí)在服務(wù)器端進(jìn)行升級(jí)，客戶端啟動(dòng)后就可自動(dòng)升級(jí)，網(wǎng)管員還可對(duì)所有安裝客戶端的計(jì)算機(jī)進(jìn)行病毒監(jiān)控、進(jìn)行遠(yuǎn)程殺毒，及時(shí)了解校園網(wǎng)中病毒疫情。

3）計(jì)算機(jī)網(wǎng)絡(luò)用戶要增強(qiáng)安全意識(shí)，不要輕易使用盜版和存在安全隱患的軟件；不輕易瀏覽一些缺乏可信度的網(wǎng)站；不要隨便打開不明來歷的電子郵件，尤其是郵件附件中的EXE和COM等可執(zhí)行程序，對(duì)方發(fā)過來的電子郵件及相關(guān)附件的文檔，首先使用另存為命令保存到本地硬盤，待用殺毒軟件檢查無毒后才可以打開使用；不要隨便共享文件和文件夾，即使要共享，也得設(shè)置好權(quán)限。

4.4 網(wǎng)絡(luò)監(jiān)控措施

在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制，可以最大限度地保護(hù)網(wǎng)絡(luò)信息資源。如：配備入侵檢測(cè)系統(tǒng)(IDS， Intrusion Detection System)，入侵防御系統(tǒng)(IPS， Intrusion Prevention System)，Web、E-mail、BBS的安全監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。通過監(jiān)控手段，增強(qiáng)網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，及時(shí)發(fā)現(xiàn)不安全因素，從而保證網(wǎng)絡(luò)服務(wù)的正常提供。通過使用網(wǎng)管軟件、日志分析軟件、MRTG和Sniffer等工具，形成一個(gè)功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

4.5 加強(qiáng)網(wǎng)絡(luò)安全教育及安全管理措施

維護(hù)網(wǎng)絡(luò)安全是每一個(gè)網(wǎng)絡(luò)用戶共同的責(zé)任，當(dāng)?shù)弥约旱腃P機(jī)感染病毒時(shí)，應(yīng)及時(shí)處理。包括：升級(jí)殺毒軟件，殺毒操作；仍不能處理時(shí)，應(yīng)及時(shí)斷開本機(jī)與網(wǎng)絡(luò)聯(lián)系（避免成為病毒傳染源在網(wǎng)上的傳播），必要時(shí)格式化硬盤，重新安裝系統(tǒng)。以確保網(wǎng)絡(luò)系統(tǒng)的安全。

4.6 數(shù)據(jù)備份和恢復(fù)

對(duì)于計(jì)算機(jī)用戶而言，最重要的應(yīng)該是硬盤中存儲(chǔ)的數(shù)據(jù)。用戶數(shù)據(jù)不要與系統(tǒng)共用一個(gè)分區(qū)，避免因重裝系統(tǒng)造成數(shù)據(jù)丟失。重要的數(shù)據(jù)要及時(shí)備份，備份前要進(jìn)行病毒查殺，數(shù)據(jù)備份可采取異地備份、光盤備份等多種方式。對(duì)于校園網(wǎng)的管理人員來說，要做好各種應(yīng)急準(zhǔn)備工作，必須要有一套應(yīng)急修復(fù)工具，如系統(tǒng)啟動(dòng)盤、DOS版殺毒盤、緊急系統(tǒng)恢復(fù)盤、各種操作系統(tǒng)盤、常用應(yīng)用軟件包、最新系統(tǒng)補(bǔ)丁盤等，并且做好分區(qū)表、DOS引導(dǎo)扇區(qū)、注冊(cè)表等的備份工作，這樣可提高系統(tǒng)維護(hù)和修復(fù)時(shí)的工作效率。

4.7 制定切實(shí)可行的網(wǎng)絡(luò)安全管理制度

為了確保整個(gè)校園網(wǎng)絡(luò)的安全有效運(yùn)行，有必要對(duì)網(wǎng)絡(luò)進(jìn)行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理制度。主要包括以下幾方面的內(nèi)容：1)建立一個(gè)權(quán)威的信息安全管理機(jī)構(gòu)，制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全規(guī)定；2)對(duì)網(wǎng)絡(luò)管理人員加強(qiáng)專業(yè)知識(shí)和技能的培訓(xùn)，培養(yǎng)一支具有安全管理意識(shí)和技能的網(wǎng)管隊(duì)伍，使他們從技術(shù)上提高應(yīng)對(duì)各種攻擊破壞的能力；3)把網(wǎng)絡(luò)信息安全的基本知識(shí)納入學(xué)校各專業(yè)教育之中；4)對(duì)學(xué)校教師和其他人員進(jìn)行信息安全知識(shí)普及教育；5)在學(xué)校的網(wǎng)站設(shè)立網(wǎng)絡(luò)安全信息欄目，網(wǎng)絡(luò)法令法規(guī)、網(wǎng)絡(luò)病毒公告、操作系統(tǒng)更新公告，并提供常用軟件的補(bǔ)丁下載等信息。

總之，校園網(wǎng)絡(luò)安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，需要全方位防范，防范不僅是被動(dòng)的，更要主動(dòng)進(jìn)行。在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)絡(luò)運(yùn)行的情況下，要完善校園網(wǎng)管理制度，對(duì)相關(guān)的校園網(wǎng)管理人員進(jìn)行培訓(xùn)，對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)道德的教育，提高公德意識(shí)；安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補(bǔ)丁更新系統(tǒng)漏洞，對(duì)重要文件要進(jìn)行備份，從多個(gè)方面進(jìn)行防范，盡一切可能去制止、減小一切非法的訪問和操作，把校園網(wǎng)絡(luò)安全事故及故障率降到最低程度。

參考文獻(xiàn)：

[1] 蔣玉芳.校園網(wǎng)絡(luò)安全問題分析與對(duì)策[J].現(xiàn)代教育教研,2009(3).

[2] 曾科.高校校園網(wǎng)絡(luò)安全隱患及對(duì)策探討[J].商情,2009(25).

篇5

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；計(jì)算機(jī)病毒

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 23-0000-01

Campus Network Information Security and Virus Prevention

Qin Jianmin

(Lingchuan Vocational Secondary School,Guilin 541202,China)

Abstract:With the continuous expansion of information technology,multimedia network teaching the universal use of computer networks in schools to improve the efficiency of data transmission,data concentration,data sharing has played an increasingly important role in network and information system has been gradually become an important school information technology infrastructure.To ensure safe and efficient operation of the work,to ensure network and information security and network hardware and software system's normal functioning smoothly,the construction of computer network and system security is particularly important.

Keywords:Network information security;Computer viruses

廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)人口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。

目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴(yán)重程度。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：

一、欺騙性的軟件使數(shù)據(jù)安全性降低。在學(xué)校中局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段，因此會(huì)造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

二、服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)。局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷地傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

三、計(jì)算機(jī)病毒及惡意代碼的威脅。由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。

四、局域網(wǎng)用戶安全意識(shí)不強(qiáng)。學(xué)校中計(jì)算機(jī)用戶主要是學(xué)生，許多學(xué)生使用移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。

五、地址沖突。局域網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計(jì)算機(jī)無法上網(wǎng)。對(duì)于局域網(wǎng)來講，此類IP地址沖突的問題會(huì)經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。

我們應(yīng)該怎樣去控制病毒的傳播和加強(qiáng)局域網(wǎng)安全建設(shè)呢?

一、加強(qiáng)學(xué)校工作人員和學(xué)生的網(wǎng)絡(luò)安全培訓(xùn)。

二、局域網(wǎng)安全控制策略。安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上幾個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。具體實(shí)施于以下幾個(gè)方面：（1）利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。（2）采用防火墻技術(shù)。（3）封存所有空閑的IP地址，啟動(dòng)IP地址綁定采用上網(wǎng)計(jì)算機(jī)IP地址與MCA地址唯一對(duì)應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。（4）屬性安全控制。它能控制以下幾個(gè)方面的權(quán)限：防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。（5）啟用殺毒軟件強(qiáng)制安裝策略，監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)，對(duì)沒有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。

三、病毒防治。病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。

篇6

關(guān)鍵詞 服務(wù)器安全 數(shù)據(jù)庫安全 解決方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

要想打造社會(huì)信息化，毫無疑問，第一步就是要實(shí)現(xiàn)高職院校信息化。那么何為高職院校信息化呢？其實(shí)就是實(shí)現(xiàn)院校各部門的辦公無紙化和網(wǎng)絡(luò)資源共享化，舉例說明：學(xué)校教務(wù)管理系統(tǒng)、查分系統(tǒng)、選課系統(tǒng)、工資系統(tǒng)、校園一卡通等等。雖然高職院校信息化帶來了眾多益處，但是其同時(shí)也加大了學(xué)校以及學(xué)生信息泄露的風(fēng)險(xiǎn)，所以維護(hù)網(wǎng)絡(luò)安全就尤為重要。下面就針對(duì)網(wǎng)絡(luò)安全的重點(diǎn)WEB和FTP服務(wù)器安全及數(shù)據(jù)庫安全進(jìn)行詳細(xì)闡述。

1 WEB和FTP服務(wù)器安全

WEB網(wǎng)站是學(xué)校信息宣布和政策宣傳的網(wǎng)絡(luò)平臺(tái)入口。作為各部門之間交流和共享的主要場(chǎng)所，一旦其被入侵者侵入，不僅會(huì)給學(xué)校帶來不良影響和損失還會(huì)造成學(xué)生隱私信息的泄漏，后果十分嚴(yán)重。由此，WEB服務(wù)器安全的重要性可見一斑。

1.1 Web服務(wù)器安全

進(jìn)行網(wǎng)站構(gòu)建時(shí)，必須要考慮Web服務(wù)器安全，而保障其安全，應(yīng)從以下兩方面入手：

（1）增強(qiáng)服務(wù)器操作系統(tǒng)的安全，主要的方法是：設(shè)置難度較大的可靠性的登錄名稱，這樣可以加大入侵者從登錄入口入侵的難度；安裝操作系統(tǒng)補(bǔ)丁，一旦發(fā)現(xiàn)系統(tǒng)漏洞，及時(shí)進(jìn)行補(bǔ)丁彌補(bǔ)，不給入侵者可乘之機(jī)。如果情況所迫，需要進(jìn)行遠(yuǎn)程操作或者管理時(shí)，必須使用安全協(xié)議，確保遠(yuǎn)程操作或者管理的安全性，杜絕服務(wù)器安全隱患。

（2）構(gòu)建安全的外部環(huán)境，具體方法如下：

P充分利用防火墻技術(shù)，阻隔內(nèi)外端口，阻隔沒有必要的服務(wù)，增強(qiáng)開放服務(wù)的安全性；

Q及時(shí)進(jìn)行電腦系統(tǒng)安全評(píng)價(jià)、漏洞掃描及木馬查殺，包括用戶安全性評(píng)價(jià)、訪問控制評(píng)價(jià)、數(shù)據(jù)加密評(píng)價(jià)等等；

R利用入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)日志、紀(jì)錄等進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)問題，立即進(jìn)行處理；

S在服務(wù)器（尤其是那些允許發(fā)生信息交互行為的服務(wù)器）上安裝多層次防病毒系統(tǒng)，以防止木馬及網(wǎng)絡(luò)病毒的侵蝕，而這也是維護(hù)服務(wù)器安全的關(guān)鍵。

1.2 FTP服務(wù)器安全

就FTP服務(wù)器而言，構(gòu)建服務(wù)器者首要考慮的問題就是系統(tǒng)的安全性。FTP服務(wù)器的系統(tǒng)安全性主要包含以下內(nèi)容：

（1）文件訪問權(quán)限，構(gòu)建者必須要確認(rèn)在FTP或者它同組的其他賬號(hào)之下沒有任何的目錄或者文件，以此來避免木馬病毒的入侵；

（2）確保沒有賦予anonymous用戶特殊的權(quán)限，以免造成服務(wù)器系統(tǒng)的安全隱患；

（3）對(duì)匿名的FTP用戶進(jìn)行權(quán)限設(shè)置，在任何情況下都不允許其在服務(wù)器的目錄下創(chuàng)建目錄和文件，匿名用戶只有讀取文件的權(quán)利，而且只能讀取公共區(qū)域部分的文件，以此來預(yù)防入侵者通過創(chuàng)建目錄或者文件的方式入侵系統(tǒng)，破壞服務(wù)器安全。

2數(shù)據(jù)庫系統(tǒng)安全

數(shù)據(jù)庫系統(tǒng)按類型大小可以分為三種，分別是小型數(shù)據(jù)庫系統(tǒng)、中型數(shù)據(jù)庫系統(tǒng)和大型數(shù)據(jù)庫系統(tǒng)。目前市面上使用頻率較高的小型數(shù)據(jù)庫系統(tǒng)主要是ACCESS（小型），中型的數(shù)據(jù)庫系統(tǒng)是Microsoft SQL Server 2005（中型），而大型的則數(shù)據(jù)庫系統(tǒng)是Oracle（大型）和Sybase（大型）。

數(shù)據(jù)庫系統(tǒng)的安全性主要體現(xiàn)在數(shù)據(jù)可靠性、用戶認(rèn)證以及訪問控制等方面，鑒于此，數(shù)據(jù)庫的安全策略主要包含兩方面的內(nèi)容：

2.1確保數(shù)據(jù)庫的操作（使用）安全

就數(shù)據(jù)庫而言，其使用安全主要包含三方面：數(shù)據(jù)庫的可用性；數(shù)據(jù)庫的完整性；數(shù)據(jù)庫的保密性。其中，完整性是數(shù)據(jù)庫管理系統(tǒng)的核心關(guān)心對(duì)象，因?yàn)槠浼冗m用整個(gè)大的數(shù)據(jù)庫，又可適用數(shù)據(jù)庫之中的個(gè)別元素；保密性則是指保護(hù)數(shù)據(jù)庫內(nèi)的信息不被竊取，不發(fā)生泄漏；而可用性則是指要實(shí)現(xiàn)數(shù)據(jù)庫的共享訪問。很明顯，保密性和可用性兩者相互矛盾。

2.2確保數(shù)據(jù)庫的數(shù)據(jù)安全

數(shù)據(jù)庫，其本質(zhì)而言就是一個(gè)系統(tǒng)，建立在網(wǎng)絡(luò)、操作系統(tǒng)以及主機(jī)硬件之上，所以我們可以從其存在的安全隱患入手分析數(shù)據(jù)庫的安全。比如說，我們要對(duì)網(wǎng)絡(luò)攻擊、操作系統(tǒng)內(nèi)存泄漏以及主機(jī)斷電等做好預(yù)防。

3總結(jié)

高職院校內(nèi)部局域網(wǎng)網(wǎng)速平均在百兆以上，甚至于有些骨干網(wǎng)網(wǎng)速高達(dá)上千兆，鑒于廣播風(fēng)暴的存在，經(jīng)相關(guān)研究分析，建議根據(jù)院校各部分的職能對(duì)局域網(wǎng)進(jìn)行劃分，這樣一方面能夠提高網(wǎng)絡(luò)的安全性以及其他各方面的性能，另一方面還便于管理，能大大提升管理效率。當(dāng)然劃分區(qū)域網(wǎng)只是解決網(wǎng)絡(luò)安全問題的開端，提升系統(tǒng)本身安全性則是進(jìn)一步的發(fā)展。但是維護(hù)網(wǎng)絡(luò)安全，避免其遭受外部攻擊僅僅只依靠提升系統(tǒng)本身的安全性是遠(yuǎn)遠(yuǎn)不夠的，還必須要結(jié)合專業(yè)的網(wǎng)絡(luò)安全工具，如網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)軟件。這個(gè)軟件可以安裝于整個(gè)網(wǎng)絡(luò)的任何位置，而且能夠?qū)φ麄€(gè)網(wǎng)絡(luò)的共享網(wǎng)段進(jìn)行周密的監(jiān)測(cè)，包括紀(jì)錄網(wǎng)絡(luò)狀態(tài)、網(wǎng)絡(luò)資源的情況以及各種網(wǎng)絡(luò)操作，而其目的就是便于日后的查詢。除了前面的基本功能外，網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)系統(tǒng)還有一個(gè)強(qiáng)大的功能，就是能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)分析，并且在分析的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)違規(guī)事件進(jìn)行跟蹤、阻斷連續(xù)并進(jìn)行實(shí)時(shí)報(bào)警。

作者簡(jiǎn)介：肖陽（1984―），男，侗族，湖南懷化人，貴州大學(xué)本科，計(jì)算機(jī)應(yīng)用專業(yè)，工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

參考文獻(xiàn)

[1] 劉宗平.高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

[2] 胡桂芝.高職院校計(jì)算機(jī)機(jī)房的網(wǎng)絡(luò)安全問題研究[J].信息通信，2015.

篇7

【 關(guān)鍵詞 】 ARP協(xié)議；ARP緩存；ARP欺騙

Research on ARP Virus and the Security of Campus Network

Shi Shou-le

（Modern Education Technology Center ，Anhui Medical University AnhuiHefei 230032）

【 Abstract 】 The ARP virus is one of the common threat of security of the campus network， the threat from the protocol itself， it is difficult to eradicate. This paper analyzes the ARP protocol vulnerabilities， the work process of ARP protocol， the ARP deception， and then， discussion common methods to deal with the ARP virus by optimizing protocol and system environment from two aspects.

【 Keywords 】 arp protocol；arp cache；arp spoofing

1 引言

ARP協(xié)議是以太網(wǎng)二層和三層間的底層網(wǎng)絡(luò)協(xié)議，ARP病毒利用ARP協(xié)議本身的漏洞，從底層網(wǎng)絡(luò)協(xié)議層面給網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理者帶來了很大的困擾。筆者長(zhǎng)期關(guān)注校園網(wǎng)絡(luò)安全，ARP病毒是一種威脅校園網(wǎng)安全常見形式。

從邏輯上看，傳統(tǒng)校園網(wǎng)一般是三層的網(wǎng)絡(luò)結(jié)構(gòu)：接入層、匯聚層和核心層，終端用戶按照一定的物理位置或者邏輯關(guān)系在接入層被劃分到特定的VLAN中，同一個(gè)VLAN就是一個(gè)沖突域，ARP請(qǐng)求的廣播方式發(fā)送和對(duì)響應(yīng)數(shù)據(jù)源缺乏驗(yàn)證機(jī)制的特點(diǎn)，造成了同一個(gè)VLAN主機(jī)會(huì)輕易地遭受來自另外一臺(tái)主機(jī)ARP病毒的攻擊。本文將從ARP協(xié)議原理、攻擊方式和防范方法等幾個(gè)方面來分析ARP病毒和網(wǎng)絡(luò)安全的關(guān)系。

2 協(xié)議分析

ARP協(xié)議即Address Resolution Protocol，是根據(jù)網(wǎng)絡(luò)地址獲取硬件地址的一種網(wǎng)絡(luò)協(xié)議，即實(shí)現(xiàn)從IP地址到MAC地址的映射，屬于TCP/IP協(xié)議族里的一種，處于數(shù)據(jù)鏈路層和三層之間。

2.1 報(bào)文結(jié)構(gòu)

2.2 工作過程

當(dāng)局域網(wǎng)中的一臺(tái)主機(jī)要發(fā)送數(shù)據(jù)包給另外一臺(tái)主機(jī)時(shí)，它先根據(jù)目的主機(jī)的IP地址，在本地ARP高速緩存中查找對(duì)應(yīng)的以太網(wǎng)地址，ARP緩存是主機(jī)維護(hù)的一個(gè)局域網(wǎng)中IP地址到以太網(wǎng)地址的一個(gè)映射表。如果找到，則將以太網(wǎng)地址封裝到以太網(wǎng)幀首部，加入發(fā)送隊(duì)列，等待發(fā)送，如果沒有則會(huì)向局域網(wǎng)中廣播發(fā)送一個(gè)ARP查詢數(shù)據(jù)包，查詢目的主機(jī)的硬件地址，等到收到回答，再封裝幀數(shù)據(jù)，然后發(fā)送出去。

2.3 協(xié)議漏洞

通過分析ARP協(xié)議的工作過程，可以發(fā)現(xiàn)ARP協(xié)議是建立在局域網(wǎng)主機(jī)之間互相信任的基礎(chǔ)之上的，一旦這個(gè)前提不存在，則會(huì)帶來相應(yīng)的問題。

第一，ARP緩存需要?jiǎng)討B(tài)更新的，需要一定的時(shí)間周期，攻擊者如果在目標(biāo)主機(jī)下一次更新緩存之前，成功對(duì)被攻擊主機(jī)緩存表做出修改，就可以實(shí)施ARP攻擊。

第二，任意主機(jī)可以在任意時(shí)候，或者沒有查詢要求的時(shí)候，發(fā)送ARP應(yīng)答，接收主機(jī)只要收到應(yīng)答，就會(huì)無條件更改自己的ARP緩存。

第三，由于ARP查詢數(shù)據(jù)包是以廣播的方式在局域網(wǎng)內(nèi)傳播，這樣攻擊者就可以和真正應(yīng)答者之間競(jìng)爭(zhēng)，惡意修改查詢主機(jī)的ARP緩存。

第四，ARP協(xié)議由于是基于局域網(wǎng)內(nèi)主機(jī)互相信任的基礎(chǔ)，因此，對(duì)接收到的數(shù)據(jù)源缺少認(rèn)證手段，就無法鑒定應(yīng)答數(shù)據(jù)源身份的真假，帶來安全隱患。

3 ARP病毒攻擊方式和防范手段

嚴(yán)格來說并不存在所謂的ARP病毒，只存在利用ARP協(xié)議本身的漏洞來欺騙主機(jī)或網(wǎng)關(guān)，并在欺騙成功的基礎(chǔ)上，發(fā)起后續(xù)的攻擊。后續(xù)攻擊的種類眾多，但是ARP欺騙主要可分為三類：欺騙主機(jī)、欺騙網(wǎng)關(guān)、欺騙主機(jī)和網(wǎng)關(guān)。

3.1 欺騙主機(jī)

病毒主機(jī)發(fā)送非法的ARP應(yīng)答包，告訴被欺騙主機(jī)，自己的MAC地址就是被欺騙主機(jī)要查詢的網(wǎng)關(guān)地址，被欺騙主機(jī)收到ARP應(yīng)答包后，更改自己的ARP緩存，網(wǎng)關(guān)地址對(duì)應(yīng)的MAC地址就變成了病毒主機(jī)的MAC地址，然后被欺騙主機(jī)后續(xù)發(fā)給網(wǎng)關(guān)的數(shù)據(jù)包，全部發(fā)給了病毒主機(jī)，從而造成被欺騙主機(jī)不能上網(wǎng)或者至少所有數(shù)據(jù)被非法截獲。

3.2 欺騙網(wǎng)關(guān)

攻擊主機(jī)偽造ARP應(yīng)答包，應(yīng)答包中的IP地址為局域網(wǎng)內(nèi)的某臺(tái)合法主機(jī)的地址，MAC地址是攻擊主機(jī)自己的地址，當(dāng)這樣的應(yīng)答包發(fā)送給網(wǎng)關(guān)后，路由器或網(wǎng)關(guān)會(huì)更新自己的IP/MAC地址緩存表，網(wǎng)關(guān)發(fā)送給合法主機(jī)的地址就被發(fā)送給了攻擊主機(jī)，然后再轉(zhuǎn)發(fā)給被攻擊主機(jī)，或者不轉(zhuǎn)發(fā)，從而造成安全威脅。

3.3 欺騙主機(jī)和網(wǎng)關(guān)

攻擊主機(jī)會(huì)同時(shí)欺騙主機(jī)和網(wǎng)關(guān)，是以上兩種欺騙方式的綜合。攻擊主機(jī)會(huì)同時(shí)發(fā)送給被攻擊主機(jī)和網(wǎng)關(guān)ARP應(yīng)答包，在給被攻擊主機(jī)的應(yīng)答包中，會(huì)將MAC地址改成攻擊主機(jī)的MAC地址，這樣被攻擊主機(jī)ARP/MAC緩存表中網(wǎng)關(guān)對(duì)應(yīng)的MAC地址就變成了攻擊主機(jī)的MAC地址。在攻擊主機(jī)發(fā)送給網(wǎng)關(guān)的ARP應(yīng)答包中，IP地址被偽裝成局域網(wǎng)內(nèi)的某臺(tái)合法主機(jī)的IP地址，MAC地址不變，這樣，網(wǎng)關(guān)的IP/MAC緩存表對(duì)應(yīng)被攻擊主機(jī)的表項(xiàng)的IP地址是合法的，但是MAC則變成了攻擊主機(jī)的MAC。此時(shí)，被攻擊主機(jī)的發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)包很顯然直接發(fā)送給了攻擊主機(jī)，而網(wǎng)關(guān)發(fā)送給被攻擊主機(jī)的數(shù)據(jù)包很顯然被發(fā)送給了攻擊主機(jī)，如果攻擊主機(jī)打開了轉(zhuǎn)發(fā)功能，在被攻擊主機(jī)的網(wǎng)絡(luò)癥狀上表現(xiàn)為突然斷網(wǎng)，然后又能正常上網(wǎng)，只不過此時(shí)合法主機(jī)和網(wǎng)關(guān)之間的所有數(shù)據(jù)包都經(jīng)過了攻擊主機(jī)，從而產(chǎn)生數(shù)據(jù)泄漏等威脅。如果攻擊主機(jī)沒打開轉(zhuǎn)發(fā)功能，則從被攻擊主機(jī)看來，直接會(huì)斷網(wǎng)。

4 防范措施

ARP病毒或攻擊很難從根本上根除，可以通過優(yōu)化網(wǎng)絡(luò)環(huán)境、優(yōu)化主機(jī)環(huán)境和優(yōu)化協(xié)議等手段來預(yù)防，目前主要的防范措施包括幾種。

4.1 添加ARP靜態(tài)記錄

默認(rèn)狀態(tài)下，操作系統(tǒng)會(huì)維護(hù)一個(gè)動(dòng)態(tài)IP/MAC高速緩存表，通過DOS命令的方式可以將動(dòng)態(tài)表改成靜態(tài)表，操作命令如下：

ARP -a ；顯示動(dòng)態(tài)IP/MAC表

ARP -d ；清空IP/MAC表

ARP -s x.x.x.x y.y.y.y；將網(wǎng)關(guān)的IP地址x.x.x.x和網(wǎng)關(guān)的MAC地址y.y.y.y靜態(tài)綁定，而網(wǎng)關(guān)的IP和MAC可以在網(wǎng)絡(luò)正常的情況下通過ARP -a命令查詢獲得。命令執(zhí)行過程如圖2所示。

4.2 安裝ARP防火墻

ARP防火墻通過在系統(tǒng)內(nèi)核層攔截仿冒ARP包，并通知網(wǎng)關(guān)本機(jī)正確的MAC地址，以保障本機(jī)和網(wǎng)關(guān)之間數(shù)據(jù)通信不經(jīng)過第三方。ARP防火墻功能包括攔截ARP攻擊、攔截IP沖突、DOS攻擊抑制、ARP數(shù)據(jù)分析等。

目前行業(yè)內(nèi)主流的ARP防火墻有多款都可以使用。只需要下載安裝，并簡(jiǎn)單配置即可。只是，在ARP攻擊源不清除的情況下，ARP防火墻的效果也不能完全保證。

4.3 對(duì)交換機(jī)端口做IP/MAC綁定

這是一項(xiàng)比較繁瑣的工作，因?yàn)橐占芏嘈畔ⅲ颐總€(gè)接入交換機(jī)端口都要做配置，對(duì)動(dòng)輒擁有幾百上千臺(tái)接入交換機(jī)的學(xué)校，工作量很大，后期維護(hù)工作量也很大。筆者在國(guó)內(nèi)某個(gè)主流品牌交換機(jī)上做過配置，定義一個(gè)交換機(jī)端口下用戶IP地址為10.10.10.10，MAC地址為00-1a-4d-1e-39-2d，端口號(hào)為G1/0/2，配置如下：

Interface gigabitethernet 1/0/2 ；進(jìn)入端口視圖

User-bind ip-addr 10.10.10.10 mac-addr 001a-4d1e-392d ；綁定IP和MAC

如果在一個(gè)端口下又接了小交換機(jī)或hub，則需在當(dāng)前端口下將小交換機(jī)下的幾臺(tái)電腦IP和MAC均做綁定配置。為防止新增用戶使用空閑端口，對(duì)于空閑端口要關(guān)掉MAC地址自動(dòng)學(xué)習(xí)功能，命令如下：

Interface gigabitethernet 1/0/21 ；進(jìn)入端口視圖

Mac-address mac-learning disable ；關(guān)掉此端口的MAC地址學(xué)習(xí)功能

4.4 采用pvlan、supervlan或qinq技術(shù)隔離用戶

Pvlan即Private Vlan，采用兩層Vlan隔離技術(shù)，上層Vlan全局可見，下層Vlan互相不可見，將交換機(jī)的每個(gè)端口劃分為下層Vlan，只能通過上層Vlan和默認(rèn)網(wǎng)關(guān)通信，就實(shí)現(xiàn)了端口（或者用戶）間的不可見，相互之間不會(huì)受到廣播包的影響，也不存見ARP欺騙了。

Super Vlan即Vlan Aggregation，又成為Vlan聚合。每個(gè)Super Vlan包含多個(gè)Sub Vlan，每個(gè)Sub Vlan是一個(gè)廣播域，Sub Vlan之間二層互相隔離，Sub Vlan不需要配置三層接口[3]，Super Vlan配置三層接口，Sub Vlan需要進(jìn)行三層通信時(shí)，通過將Super Vlan的IP地址作為網(wǎng)關(guān)地址實(shí)現(xiàn)通信，同時(shí)Sub Vlan間的二層通信通過ARP實(shí)現(xiàn)發(fā)送ARP請(qǐng)求的響應(yīng)和數(shù)據(jù)轉(zhuǎn)發(fā)，實(shí)現(xiàn)二層端口間的三層互通。由于二層間的隔離，也破壞了ARP攻擊在一個(gè)廣播域內(nèi)的條件。

QinQ即Stacked Valn或Double Vlan，一般校園網(wǎng)結(jié)構(gòu)從物理上有接入、匯聚和核心三層結(jié)構(gòu)，從校園網(wǎng)角度來說是將接入層Vlan封裝在匯聚層Vlan，使報(bào)文帶著兩層Vlan穿過校園骨干網(wǎng)，QinQ終結(jié)在校園網(wǎng)核心，這樣也實(shí)現(xiàn)了端口（或用戶）間的二層隔離，而且從邏輯上，校園網(wǎng)是一個(gè)更加簡(jiǎn)潔的扁平化的二層網(wǎng)絡(luò)，這種二層網(wǎng)絡(luò)天然的防止了ARP攻擊發(fā)生。

4.5 改造ARP輸入模塊，實(shí)現(xiàn)IP+MAC一致性驗(yàn)證

在ARP輸入模塊中加入控制代碼，當(dāng)主機(jī)收到一個(gè)ARP應(yīng)答時(shí)，從本機(jī)ARP高速緩存中檢查有沒有相匹配的MAC，如果有則取出緩存表中對(duì)應(yīng)的IP和應(yīng)答包中的IP比較，如果不同則丟棄。當(dāng)局域網(wǎng)中有新的主機(jī)加入，檢查本機(jī)高速緩存中有沒有相同的MAC，如果沒有，則緩存中加入相應(yīng)的MAC到IP的記錄。這樣，以IP+MAC的方式，而不是單純IP或MAC的方式，既保留了ARP協(xié)議的靈活性，又保證了局域網(wǎng)內(nèi)的安全性。

4.6 優(yōu)化ARP協(xié)議

通過增加應(yīng)答包身份合法性驗(yàn)證功能來優(yōu)化ARP協(xié)議。假設(shè)主機(jī)A和主機(jī)B通信，主機(jī)A查詢自己的緩存，如果找到對(duì)應(yīng)項(xiàng)則停止，否則，廣播發(fā)送ARP查詢包；主機(jī)B響應(yīng)ARP查詢；主機(jī)A沒有立即更新ARP緩存，接著發(fā)送一個(gè)驗(yàn)證包給主機(jī)A，只有B才知道如何響應(yīng)；主機(jī)A收到驗(yàn)證包響應(yīng)，先確認(rèn)相應(yīng)的合法性，然后確認(rèn)B正確回答了問題，如果都通過測(cè)試，則A更新ARP緩存。

5 結(jié)束語

由于ARP協(xié)議是一個(gè)本身具有重大缺陷的協(xié)議，它在更新ARP緩存表的時(shí)候，沒有驗(yàn)證機(jī)制，給網(wǎng)絡(luò)安全帶來了潛在的威脅。攻擊者利用這個(gè)缺陷可以輕易的發(fā)起ARP欺騙，從而達(dá)到中間人攔截信息、拒絕服務(wù)等攻擊目的。由于是底層網(wǎng)絡(luò)協(xié)議漏洞，對(duì)于網(wǎng)絡(luò)安全管理者來說，比較實(shí)用的方法是在協(xié)議本身以外做好防范措施。

針對(duì)以上所述幾種防范措施，靜態(tài)記錄、ARP防火墻、端口綁定，相對(duì)來說都不是一種徹底的防范措施，不能完全杜絕ARP攻擊的發(fā)生，且管理工作量比較大。而對(duì)優(yōu)化ARP協(xié)議是最徹底的一種方式，但是帶來安全的同時(shí)會(huì)付出效率的代價(jià)。而對(duì)端口或用戶的隔離，則是從技術(shù)上比較容易實(shí)現(xiàn)，在管理手段上也比較簡(jiǎn)單，徹底杜絕ARP攻擊。特別對(duì)于QinQ隔離方式，杜絕ARP攻擊的發(fā)生只是一個(gè)副產(chǎn)物，同時(shí)更簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，提高了網(wǎng)絡(luò)管理效率。

參考文獻(xiàn)

[1] 姚小兵.ARP協(xié)議簡(jiǎn)析及ARP病毒攻擊的防御.信息網(wǎng)絡(luò)安全，2009-09-10.

[2] 李保華.ARP協(xié)議欺騙的分析與防范.鄭州大學(xué)碩士論文，2008-11-01.

[3] 韓利凱.基于ARP欺騙的網(wǎng)絡(luò)攻擊分析及防范.西安文理學(xué)院學(xué)報(bào)-自然科學(xué)版，Vol 15，No 4，2012-10.

[4] 張黃勵(lì).針對(duì)ARP攻擊的主動(dòng)防范策略研究與實(shí)現(xiàn).重慶大學(xué)碩士學(xué)位論文，2010-4.

篇8

【關(guān)鍵詞】圖書館；網(wǎng)絡(luò)安全；計(jì)算機(jī)病毒；黑客

在網(wǎng)絡(luò)高速發(fā)展的今天，網(wǎng)絡(luò)已成為人類最豐富多彩的虛擬世界，計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合所形成的信息基礎(chǔ)設(shè)施已經(jīng)成為反應(yīng)信息社會(huì)特征最重要的基礎(chǔ)設(shè)施，圖書館作為一個(gè)專業(yè)的網(wǎng)絡(luò)信息庫，給我們提供很多方便快捷的專項(xiàng)信息。目前，支撐圖書館的關(guān)鍵技術(shù)主要有信息處理、信息存儲(chǔ)和信息傳輸3個(gè)方面。這種由新技術(shù)帶來新的信息資源形態(tài)（數(shù)字化）和新的信息資源使用方式（網(wǎng)絡(luò)傳輸），必然存在許多網(wǎng)絡(luò)隱患，易受網(wǎng)絡(luò)黑客攻擊。另外，高職院校圖書館網(wǎng)絡(luò)系統(tǒng)具有體系結(jié)構(gòu)開放、資源共享和信道公用等特性，這使得高職院校圖書館網(wǎng)絡(luò)安全問題更加突出。

1.威脅高職院校圖書館網(wǎng)絡(luò)安全的因素

1.1 軟件系統(tǒng)的漏洞

目前，大部分圖書館的信息服務(wù)器主要采用Web界面和基于TCP/IP協(xié)議的信息技術(shù)系統(tǒng)。TCP/IP協(xié)議現(xiàn)在已經(jīng)廣為應(yīng)用、但也存在許多不足造成安全漏洞在所難免，例如：smurf攻擊、ICMPUnreachable數(shù)據(jù)包斷開、IP地址欺騙以及SYNflood。然而，最大的問題在于IP協(xié)議是非常容易“輕信”的，就是說入侵者可以隨意地偽造及修改IP數(shù)據(jù)包而不被發(fā)現(xiàn)。

其次是圖書館的服務(wù)器一般用Windows Server的操作系統(tǒng)，系統(tǒng)以圖形化界面和易操作聞名，但存在著安全漏洞；另外應(yīng)用軟件也存在著漏洞或者缺陷。這也給黑客提供了攻擊的突破口。例如，數(shù)據(jù)庫是圖書館重要組成部分之一，常用的有SQL、Oracle、Sybase等，未打全補(bǔ)丁的數(shù)據(jù)庫系統(tǒng)就是一個(gè)隱藏著的定時(shí)炸彈，網(wǎng)絡(luò)上專門針對(duì)此的掃描和攻擊工具不勝枚舉。黑客一旦攻破其漏洞，其造成的后果將不堪設(shè)想。

1.2 網(wǎng)絡(luò)硬件系統(tǒng)

硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。從物理上講，高職院校圖書館園網(wǎng)絡(luò)的安全是脆弱的，因?yàn)樾@網(wǎng)絡(luò)設(shè)備分布較為廣泛，任何個(gè)人或部門都不可能時(shí)刻對(duì)這些設(shè)備進(jìn)行全面監(jiān)控。另一個(gè)方面，大多數(shù)高職院校將有限的經(jīng)費(fèi)主要投入在一些基本的網(wǎng)絡(luò)設(shè)備上，對(duì)于保證網(wǎng)絡(luò)安全的硬件關(guān)心較少，例如只注重服務(wù)器、路由器、交換機(jī)的性能而忽略了防火墻、殺毒軟件的重要性，相對(duì)減少投入，所以導(dǎo)致校園網(wǎng)基本還處在一個(gè)個(gè)開放的狀態(tài)，沒有任何有效的安全預(yù)警機(jī)制和防范措施。

1.3 內(nèi)部攻擊

所謂內(nèi)部攻擊，是指局域網(wǎng)攻擊。來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)絡(luò)用戶的安全威脅，特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對(duì)內(nèi)部網(wǎng)用戶來說一點(diǎn)作用也不起。根據(jù)權(quán)威部門的統(tǒng)計(jì)，70%的攻擊來自內(nèi)部。內(nèi)部人員對(duì)數(shù)據(jù)的存儲(chǔ)位置、信息重要性非常了解，這使得內(nèi)部攻擊更容易湊效。比如文件共享，打印機(jī)共享等等，某些操作本身就是合法的，通過很多合法的操作對(duì)防火墻或者路由的ACL規(guī)則進(jìn)行欺騙作為攻擊和入侵的手段。另外是讀者的違規(guī)操作。在這樣的情況下，圖書館網(wǎng)絡(luò)必然要承受大量的來自內(nèi)部的攻擊，而源于內(nèi)部的攻擊恰恰是很難防御的。

1.4 外部攻擊

（1）來自Internet的病毒攻擊

高職院校圖書館網(wǎng)絡(luò)一般是通過CERNET與Internet相連，在享受Internet的高效便捷的同時(shí)，大量的網(wǎng)絡(luò)病毒也伴隨攻擊而來。計(jì)算機(jī)病毒直接影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行速度，破壞系統(tǒng)軟件和文件系統(tǒng)，破壞網(wǎng)絡(luò)資源使網(wǎng)絡(luò)效率急劇下降，甚至造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓?，F(xiàn)階段，出現(xiàn)了專門攻擊計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒，如特洛伊木馬、蠕蟲病毒、震蕩波、沖擊波病毒、AV終結(jié)者、磁盤病毒、W0M系列盜號(hào)木馬等等。

（2）黑客非法攻擊

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，黑客的隊(duì)伍也不斷壯大，黑客現(xiàn)在則多指那些偷閱、篡改或偷竊他人數(shù)據(jù)資料，在網(wǎng)絡(luò)上進(jìn)行犯罪活動(dòng)的人。在Internet網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對(duì)服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊；二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。如：數(shù)字圖書的域名服務(wù)器、網(wǎng)頁服務(wù)器、電子郵件服務(wù)器等都可以成為黑客攻擊的對(duì)象。黑客的花樣很多，攻擊者可以在現(xiàn)場(chǎng)，也可以在其它任何地方。攻擊者的企圖有多種，從造成間歇停機(jī)到造成整個(gè)系統(tǒng)癱瘓、數(shù)據(jù)錯(cuò)誤、大批盜竊信息、盜用服務(wù)、進(jìn)行非法監(jiān)視和收集情報(bào)、引入假電文和提取數(shù)據(jù)用于進(jìn)行欺詐，從而達(dá)到破壞目的。而且，現(xiàn)在黑客工具種類繁多，容易獲取，容易使用，不用懂太多的計(jì)算機(jī)知識(shí)，都可以發(fā)動(dòng)攻擊。

1.5 內(nèi)部人員管理因素

內(nèi)部工作人員的素質(zhì)、職業(yè)道德和責(zé)任心等對(duì)系統(tǒng)安全占較大比重，其中人為因素產(chǎn)生的原因如下：（1）管理者對(duì)系統(tǒng)安全的認(rèn)識(shí)不足，安全意識(shí)淡薄，對(duì)安全的重視程度不夠，不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和可能出現(xiàn)的問題。（2）個(gè)別工作人員敬業(yè)精神不高，責(zé)任心不強(qiáng)，不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題，對(duì)突發(fā)的安全事件不能做出積極、有序和有效的反應(yīng)。（3）技術(shù)能力不夠，由于網(wǎng)絡(luò)管理人員和有關(guān)技術(shù)人員缺乏必要的專業(yè)知識(shí)，不能安全配置和管理網(wǎng)絡(luò)，在服務(wù)器上隨意安裝非法軟件。（4）安全管理制度不健全或執(zhí)行力度不夠等因素，從而導(dǎo)致網(wǎng)絡(luò)安全體系和安全控制措施不能充分、有效地發(fā)揮，造成信息泄露，給攻擊者創(chuàng)造機(jī)會(huì)。

2.高職院校圖書館網(wǎng)絡(luò)的防范措施

2.1 選擇穩(wěn)定的軟件系統(tǒng)，保證圖書館數(shù)字化安全。

軟件系統(tǒng)方面主要是保證系統(tǒng)軟件和應(yīng)用數(shù)字圖書館平臺(tái)應(yīng)用軟件的安全。系統(tǒng)軟件是整個(gè)軟件系統(tǒng)的生命線，是關(guān)乎所有在其之上運(yùn)行的應(yīng)用軟件安全和穩(wěn)定的基礎(chǔ)。所以，可以選擇運(yùn)行比較穩(wěn)定的WINDOWS 2003 SERVER作為系統(tǒng)軟件，在系統(tǒng)配置方面，關(guān)閉所有的不必要端口，禁用GUEST賬戶和IPC連接，刪除WindowsServer2003默認(rèn)共享，隨時(shí)關(guān)注微軟的系統(tǒng)補(bǔ)丁包，保證操作系統(tǒng)的安全性和穩(wěn)定性。另外，數(shù)據(jù)庫管理平臺(tái)使用SQLSERVER 2005，在SQLSERVER數(shù)據(jù)庫中必須要對(duì)SA賬戶使用強(qiáng)密碼；刪除BUILTIN＼Administrators服務(wù)器登錄；定期對(duì)MASTER數(shù)據(jù)庫進(jìn)行完全備份，當(dāng)數(shù)據(jù)庫系統(tǒng)出現(xiàn)問題時(shí)進(jìn)行恢復(fù)，保證數(shù)據(jù)庫系統(tǒng)的可用性。定期對(duì)業(yè)務(wù)數(shù)據(jù)庫進(jìn)行差異備份，即可備份數(shù)據(jù)，又可降低備份時(shí)對(duì)數(shù)據(jù)庫服務(wù)器的系統(tǒng)資源消耗，保證服務(wù)器的穩(wěn)定運(yùn)行。

2.2 利用防火墻技術(shù)，避免網(wǎng)絡(luò)威脅和黑客攻擊

防火墻技術(shù)是在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層，所有內(nèi)外連接都強(qiáng)制性地經(jīng)過這一保護(hù)層接受檢查過濾，只有被授權(quán)的通信才允許通過。其安全意義是雙向的，一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問，另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問。同時(shí)，防火墻還可以對(duì)網(wǎng)絡(luò)存取訪問進(jìn)行記錄和統(tǒng)計(jì)，對(duì)可疑動(dòng)作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種，一種是分組過濾技術(shù)，一種是服務(wù)技術(shù)。分組過濾基于路由器技術(shù)，其機(jī)理是由分組過濾路由器對(duì)IP分組進(jìn)行選擇，根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過濾掉某些IP地址分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為服務(wù)器，對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查，然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。

2.3 利用加密技術(shù)，保護(hù)數(shù)字館藏安全和信息產(chǎn)品傳輸安全。

利用加密技術(shù)是保護(hù)數(shù)字館藏安全和信息產(chǎn)品傳輸安全的常用措施。數(shù)據(jù)庫加密方法有庫內(nèi)加密、整個(gè)數(shù)據(jù)庫加密和硬件加密。優(yōu)秀的數(shù)據(jù)庫管理系統(tǒng)（DMS）內(nèi)嵌有面向網(wǎng)絡(luò)的數(shù)據(jù)庫安全保護(hù)模塊，提供安全服務(wù)。美國(guó)NIST公布的數(shù)字簽名算法DSA是一個(gè)公開密鑰數(shù)字簽名算法，用于保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾院鸵恢滦?，從而保證數(shù)據(jù)傳輸?shù)臏?zhǔn)確和安全。

2.4 安裝防病毒軟件，預(yù)防計(jì)算機(jī)病毒的入侵

防病毒軟件，也可稱為殺毒軟件，它具備預(yù)防隔離和查殺病毒的雙重功能，主要是針對(duì)已經(jīng)遭受網(wǎng)絡(luò)病毒入侵的網(wǎng)絡(luò)在病毒入侵后，及時(shí)用殺毒軟件進(jìn)行殺毒，能有效的減少損失挽救各種重要信息數(shù)據(jù)。此外，殺毒軟件還能實(shí)時(shí)跟蹤監(jiān)督各軟件的運(yùn)行情況，一旦發(fā)現(xiàn)威脅會(huì)立即報(bào)警，反饋給用戶。圖書館選擇一款有效優(yōu)質(zhì)的正版的殺毒軟件便安裝了第二道保護(hù)網(wǎng)絡(luò)安全的防線。圖書館內(nèi)部局域網(wǎng)中傳播的病毒大多是管理人員工作不嚴(yán)謹(jǐn)細(xì)致導(dǎo)致的，這些病毒往往是在無意間就進(jìn)入了工作站。因此在平時(shí)工作中，工作人員需慎重選擇使用安裝軟件，不要輕易在工作站上插入來歷不明的優(yōu)盤，非用不可時(shí)必須先對(duì)它們掃描殺毒。在安裝殺毒軟件后，還要注意隨時(shí)更新它。因?yàn)榫W(wǎng)絡(luò)病毒形式千變?nèi)f化，隨時(shí)都有新品種誕生，殺毒軟件也會(huì)做出新的防御措施。及時(shí)下載更新病毒數(shù)據(jù)庫，有利于更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全的維護(hù)。

2.5 加強(qiáng)圖書館數(shù)據(jù)的備份工作

數(shù)字信息是數(shù)字圖書館的核心資源，其中書目信息和讀者借閱信息是圖書館員工多年辛苦勞動(dòng)的結(jié)晶，數(shù)據(jù)丟失所帶來的損失也常常是難以估量的。因此，圖書館數(shù)據(jù)的備份是一項(xiàng)極為重要的工作，應(yīng)定期進(jìn)行數(shù)據(jù)轉(zhuǎn)儲(chǔ)，將數(shù)據(jù)備份到其它存儲(chǔ)設(shè)備上，或采用磁盤陣列等技術(shù)，利用冗余硬盤，讓系統(tǒng)實(shí)時(shí)對(duì)數(shù)據(jù)進(jìn)行備份，再配合熱插拔等技術(shù)，可以保證在部分?jǐn)?shù)據(jù)被破壞后，能立即啟用備份數(shù)據(jù)，使服務(wù)部中斷。

2.6 采用多種方案、建立安全管理機(jī)制

只有建立了相應(yīng)的安全管理制度和操作規(guī)程，才能使數(shù)字圖書館的員工各司其職，工作有章可循。把圖書館的安全措施和管理制度融會(huì)為一個(gè)整體，為圖書館的網(wǎng)絡(luò)安全運(yùn)行提供保障和基礎(chǔ)。比如：（1）制定網(wǎng)絡(luò)安全管理制度，劃分各自得權(quán)限，規(guī)范各項(xiàng)計(jì)算機(jī)操作活動(dòng)。（2）定期進(jìn)行安全審核，主要是審核制度的安全策略，管理制度是否被有效地、準(zhǔn)確地執(zhí)行，不斷調(diào)整網(wǎng)絡(luò)系統(tǒng)配置以達(dá)到最優(yōu)化。（3）加強(qiáng)圖書館各部門的協(xié)調(diào)能力，嚴(yán)格遵守圖書館崗位責(zé)任制。最大限度地保證數(shù)字圖書館系統(tǒng)安全和系統(tǒng)能夠穩(wěn)定運(yùn)行。

3.結(jié)語

在信息化、網(wǎng)絡(luò)化的時(shí)代，計(jì)算機(jī)病毒的泛濫、黑客的惡意攻擊和讀者網(wǎng)絡(luò)信息的安全需求已構(gòu)成對(duì)數(shù)字圖書館網(wǎng)絡(luò)信息安全的迫切要求，網(wǎng)絡(luò)安全任務(wù)越來越重要，加強(qiáng)數(shù)字圖書館信息的安全與防范工作刻不容緩。因此，這就需要全館人員同心協(xié)力，嚴(yán)格遵守崗位責(zé)任制，在工作中不斷努力與創(chuàng)新，以確保數(shù)字圖書館能在安全、穩(wěn)定的狀態(tài)下運(yùn)行，為更多的讀者提供信息服務(wù)。

參考文獻(xiàn)

[1]黎九平.基于數(shù)據(jù)挖掘的數(shù)字圖書館網(wǎng)絡(luò)安全管理研究[J].情報(bào)探索，2012（12）.

[2]趙曉紅，雒偉群，劉偉光，等.高校圖書館網(wǎng)絡(luò)安全分析與防護(hù)策略[J].計(jì)算機(jī)與信息技術(shù)，2009（3）.

篇9

本文系統(tǒng)的分析了目前高職院校中校園網(wǎng)在網(wǎng)絡(luò)安全方面存在的隱患和問題，并根據(jù)這些問題提出了維護(hù)改善網(wǎng)絡(luò)安全的措施手段，為建設(shè)安全的高職院校校園網(wǎng)起到了一定的指導(dǎo)作用。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全的維護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 10-0000-02

一、引言

在社會(huì)不斷地進(jìn)步，互聯(lián)網(wǎng)在生活中扮演的角色越來越重要，人們的工作、學(xué)習(xí)和生活已經(jīng)離不開互聯(lián)網(wǎng)。近年來，在高職院校，為方便師生的學(xué)習(xí)、工作，紛紛組建了校園網(wǎng)，校園網(wǎng)的發(fā)展也非常迅速，不過由于其起步較晚，軟硬件設(shè)施較差，在組建校園網(wǎng)運(yùn)行中存在著很多不足之處，導(dǎo)致了現(xiàn)存的高職院校校園網(wǎng)存在足多隱患的局面，高職院校校內(nèi)網(wǎng)的安全問題也益發(fā)凸顯。

二、目前高職院校校園網(wǎng)存在的隱患及問題

高職院校的校園網(wǎng)網(wǎng)絡(luò)安全存在很大的隱患，這給廣大師生的學(xué)習(xí)，工作都帶來很大的不便，更有甚者回影響到學(xué)校、師生的利益。這些隱患主要體現(xiàn)在以下幾個(gè)方面：

（一）互聯(lián)網(wǎng)的開放性決定了校園網(wǎng)的安全更容易受到攻擊

互聯(lián)網(wǎng)網(wǎng)絡(luò)的通信協(xié)議是開放性的，通信協(xié)議是互聯(lián)網(wǎng)通信的基礎(chǔ)，目前高職院校校園網(wǎng)普遍使用TCP/IP協(xié)議簇，而通用性和開放性是TCP/IP協(xié)議簇的一大特點(diǎn)，基于這種特點(diǎn)，只要具備了一定的技術(shù)就可以分析并使用這一協(xié)議，這就造成了校園網(wǎng)在通信上的漏洞。數(shù)據(jù)竊聽(Packet Sniff)：TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，因此數(shù)據(jù)信息很容易被竊聽、篡改和偽造。特別是在使用含有用戶賬號(hào)、口令的數(shù)據(jù)包進(jìn)行通信時(shí)，使用Sniff，Snoop或網(wǎng)絡(luò)分析儀等可以對(duì)以上信息進(jìn)行截取，達(dá)到攻擊的目的。例如：源地址欺騙(Source address spoofing)；源路由選擇欺騙(Source Routing spoofing)；鑒別攻擊(Authentication Attacks)；TCP序列號(hào)欺騙(TCP Sequence number spoofing)；ICMP攻擊(工CMP Attacks)；拒絕服務(wù)((DOS)攻擊；IP棧攻擊(IP Stack Attack)等，這種由于互聯(lián)網(wǎng)的根本屬性而來的漏洞，不能夠徹底解決，但是由于校內(nèi)網(wǎng)的特點(diǎn)卻更容易使其安全受到攻擊。

（二）硬件設(shè)施的落后導(dǎo)致其安全隱患巨大

高職院校的校園網(wǎng)雖然發(fā)展迅速，但由于其起步較晚，加之在建設(shè)校園網(wǎng)的過程中，大部分高職院校并沒有進(jìn)行大幅度的改變，而是在原有局域網(wǎng)的基礎(chǔ)上進(jìn)行一些整改，這種硬件上的落后必然導(dǎo)致校園網(wǎng)的安全隱患。

（三）系統(tǒng)防火墻抵抗外來攻擊入侵能力較弱

校園網(wǎng)的系統(tǒng)防火墻是抵御外來入侵的有效手段，對(duì)于外來的攻擊能提供有效的屏蔽，但目前大部分高職高校的校園網(wǎng)系統(tǒng)卻存在很多漏洞，容易被不法分子利用，校園網(wǎng)的防火墻能力也比較弱，對(duì)于擁有一定技術(shù)的黑客而言基本形同虛設(shè)。

（四）網(wǎng)絡(luò)安全管理存在巨大的缺陷，非常不完善

網(wǎng)絡(luò)的管理能夠很大程度上消除校園網(wǎng)的安全隱患，但大部分高職院校學(xué)院網(wǎng)絡(luò)的管理相對(duì)比較較混亂，沒有統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，缺乏上網(wǎng)的有效監(jiān)控和日志。這種管理能力的欠缺也是導(dǎo)致目前高職院校網(wǎng)絡(luò)安全問題的一大原因。

（五）校內(nèi)人員安全意識(shí)單薄，并出現(xiàn)內(nèi)部攻擊校園網(wǎng)的情況

微型計(jì)算機(jī)的普及使得擁有個(gè)人計(jì)算機(jī)的學(xué)生數(shù)量在飛速的增長(zhǎng)，但是除了個(gè)別對(duì)于計(jì)算機(jī)比較熟練地用戶以外，目前，很大一部分的學(xué)生對(duì)于計(jì)算機(jī)的安全意識(shí)比較單薄，比如：安全軟件更新不夠，系統(tǒng)的漏洞更是比比皆是，這些問題導(dǎo)致了校園網(wǎng)的計(jì)算機(jī)更容易沾染病毒，而基于校內(nèi)網(wǎng)特點(diǎn)，這帶來的后果往往更加嚴(yán)重。此外，校園網(wǎng)的防火墻雖然能夠?qū)τ谛Ｍ獾娜肭制鸬揭欢ǖ钟饔?，可是?duì)于來自校園網(wǎng)內(nèi)部的攻擊的防護(hù)能力卻基本為零，而根據(jù)研究，目前基本上校園網(wǎng)受到的大部分攻擊都是來自校內(nèi)，這主要是由于校園內(nèi)的人員大多屬于有想法，有沖勁的年輕人，加之互聯(lián)網(wǎng)上的攻擊軟件，黑客軟件比比皆是，再加上目前國(guó)內(nèi)外輿論對(duì)于黑客行為的不可觀的評(píng)價(jià)，這就對(duì)于年輕人帶來很大的誘惑，希望通過一些比較出位的手段來獲得心理的滿足，于是，攻擊校園網(wǎng)也就成了一種可選擇的手段。

（六）高職院校的特殊性導(dǎo)致其更易受到攻擊

校園網(wǎng)的一大特點(diǎn)即是速度和規(guī)模上比較大，由于存在以上隱患，對(duì)于不法之徒而言，攻擊、入侵校內(nèi)網(wǎng)的效率相對(duì)而來就會(huì)更高，目前，越來越多的黑客把目標(biāo)瞄向了校園網(wǎng)，加之層出不窮的網(wǎng)絡(luò)病毒在校園網(wǎng)內(nèi)傳播的更加迅速，雖然校園網(wǎng)目前大都建立了防火墻，但這些依舊給校園網(wǎng)的安全帶來很大的壓力。

三、針對(duì)高職院校校園網(wǎng)存在問題的改善意見及措施

針對(duì)我國(guó)目前高職院校校園網(wǎng)存在的問題，學(xué)校應(yīng)該從提高技術(shù)，增強(qiáng)防范意識(shí)，提高軟硬件設(shè)施等方面出發(fā)。

（一）加大基礎(chǔ)設(shè)施投入

良好的基礎(chǔ)設(shè)施是改善校園網(wǎng)現(xiàn)存問題的基礎(chǔ)，工欲善其事，必先利其器，沒有好的硬件設(shè)施，一切只是空中樓閣，在這方面應(yīng)該做的工作有很多，首先，應(yīng)以高性能的防火墻來替代落伍的防火墻，做到外部人員只能夠訪問允許訪問的資源，對(duì)于不開放的資源做到有效地隔離；其次，建設(shè)有效全面殺毒系統(tǒng)，有效地殺毒系統(tǒng)能夠解決校內(nèi)網(wǎng)中木馬病毒泛濫的現(xiàn)狀，最大程度上保證用戶的利益；第三，完善系統(tǒng)漏洞，減少給不法分子有機(jī)可趁的機(jī)會(huì)；最后，安裝旁路監(jiān)聽性檢查系統(tǒng)。

篇10

1 網(wǎng)絡(luò)信息安全的定義與基本內(nèi)容

網(wǎng)絡(luò)安全的基本定義是利用相關(guān)技術(shù)進(jìn)行數(shù)據(jù)處理系統(tǒng)的建立與維護(hù)，保證計(jì)算機(jī)硬件、軟件不遭到毀壞，對(duì)數(shù)據(jù)進(jìn)行有效的保護(hù)，防止其通過惡意手段遭到破壞，保持網(wǎng)絡(luò)的完整性、保密性、可用與可控性。

硬件安全指的是網(wǎng)絡(luò)硬件媒體設(shè)備的安全，包括主機(jī)系統(tǒng)、終端設(shè)備以及防火墻、服務(wù)器等的安全[1]；軟件安全指的是保證計(jì)算機(jī)網(wǎng)絡(luò)中軟件功能的完整性與準(zhǔn)確性；數(shù)據(jù)安全指的是保證網(wǎng)絡(luò)中儲(chǔ)存與傳輸數(shù)據(jù)的安全，避免非法篡改、解密等，是網(wǎng)絡(luò)安全的核心。

2 信息化校園網(wǎng)絡(luò)面臨的安全問題

校園網(wǎng)涵蓋了教學(xué)、管理、通訊等方面的功能，教師可以通過網(wǎng)絡(luò)進(jìn)行教學(xué)工作，方便與學(xué)生的遠(yuǎn)程學(xué)習(xí)，校園網(wǎng)學(xué)習(xí)信息資源管理系統(tǒng)的建立有效的實(shí)現(xiàn)了學(xué)校與學(xué)生之間信息的透明化與共享化，學(xué)生可以通過校園網(wǎng)進(jìn)行信息綜合管理與數(shù)據(jù)交換。

隨著校園網(wǎng)絡(luò)的快速普及，相關(guān)的安全問題也日益增加，由于技術(shù)資金的落后，在高職院信息化校園網(wǎng)絡(luò)的建設(shè)中沒有完善的防范措施，硬件設(shè)施薄弱，軟件系統(tǒng)的安全建設(shè)不夠完善；網(wǎng)絡(luò)管理缺乏安全機(jī)制，專業(yè)管理人員少，無論是自身的網(wǎng)絡(luò)管理還是對(duì)設(shè)備管理都缺乏經(jīng)驗(yàn)與技術(shù)，導(dǎo)致對(duì)網(wǎng)絡(luò)安全問題不能進(jìn)行及時(shí)的監(jiān)控與反饋，使網(wǎng)絡(luò)安全缺乏可控性。

3 信息化校園網(wǎng)絡(luò)安全的技術(shù)保護(hù)措施

3.1網(wǎng)絡(luò)多出口的規(guī)范

校園安全體系與架構(gòu)的建設(shè)是信息化校園網(wǎng)絡(luò)的基本管理措施，近幾年高職校園網(wǎng)網(wǎng)絡(luò)架構(gòu)的多出口特點(diǎn)給網(wǎng)絡(luò)安全帶了嚴(yán)重的影響，多出口不利用整體網(wǎng)絡(luò)的規(guī)范化管理。校園網(wǎng)絡(luò)管理機(jī)構(gòu)應(yīng)對(duì)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)進(jìn)行合理的優(yōu)化與改造，對(duì)出口進(jìn)行規(guī)范與監(jiān)制，出口的統(tǒng)一化、專業(yè)化的管理為校園網(wǎng)絡(luò)安全體系的構(gòu)建奠定基礎(chǔ)。

3.2配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

校園網(wǎng)絡(luò)結(jié)構(gòu)龐大而復(fù)雜，但是從架構(gòu)特點(diǎn)分析，它是屬于局域網(wǎng)技術(shù)領(lǐng)域。控制局域網(wǎng)的獨(dú)立性，保證其與外部連接的安全為網(wǎng)絡(luò)安全的管理與規(guī)范提供了思路，具體的方法是在局域網(wǎng)與外部網(wǎng)絡(luò)接口的連接處設(shè)置硬件與軟件的監(jiān)理設(shè)備，保持對(duì)連接處網(wǎng)絡(luò)安全的控制與管理[2]。當(dāng)代社會(huì)的校園網(wǎng)絡(luò)都是基于高速層面的網(wǎng)絡(luò)，我們必須降低一切硬、軟件設(shè)備對(duì)網(wǎng)絡(luò)性能不同程度的影響，因此使用了以下設(shè)備進(jìn)行網(wǎng)絡(luò)安全防護(hù)：

（1）高性能的硬件防火墻：防火墻是本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，它是可以實(shí)現(xiàn)隔離風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全模型，高性能的防火墻有過濾、鏈路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)等方面的性能，為網(wǎng)絡(luò)防御提供了更好的安全性。

（2）入侵檢測(cè)系統(tǒng)與防病毒、漏洞掃描系統(tǒng)：入侵檢測(cè)系統(tǒng)為網(wǎng)絡(luò)黑客的檢測(cè)與反饋提供了很好的措施；建立完備的防病毒與漏洞掃描系統(tǒng)為非法訪問提供了解決方法，有助于抑制網(wǎng)絡(luò)不良因子的擴(kuò)散與影響。

（3）網(wǎng)絡(luò)故障檢測(cè)系統(tǒng)：利用故障檢測(cè)系統(tǒng)科實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的診斷，有利于及早發(fā)現(xiàn)故障，進(jìn)行系統(tǒng)的清理與優(yōu)化。

3.3 建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)

身份認(rèn)證系統(tǒng)是解決校園網(wǎng)絡(luò)安全問題的基本方法，用身份證與有效的ID信息進(jìn)行網(wǎng)絡(luò)認(rèn)證與使用有利于對(duì)網(wǎng)絡(luò)安全的監(jiān)管，若發(fā)現(xiàn)不良的網(wǎng)絡(luò)問題，可以通過身份認(rèn)證的方式進(jìn)行有效的處理，有利于減少信息監(jiān)控的成本，并對(duì)個(gè)人良好的網(wǎng)絡(luò)素質(zhì)與信用的提高起到了很大的作用。

雖然近幾年各高職校園網(wǎng)絡(luò)管理機(jī)構(gòu)進(jìn)行了身份認(rèn)證系統(tǒng)的建設(shè)與完善，但是應(yīng)用系統(tǒng)在通用性、權(quán)威性與安全性上還有一定的不足與差距，因此在校園網(wǎng)絡(luò)的規(guī)范建設(shè)中還存在危險(xiǎn)漏洞。在高職校園網(wǎng)絡(luò)建設(shè)中應(yīng)實(shí)現(xiàn)全校統(tǒng)一的身份認(rèn)證系統(tǒng)，使非合法用戶無法使用校園網(wǎng)絡(luò)，避免再認(rèn)證中出現(xiàn)缺口與問題，這有利于校園網(wǎng)絡(luò)由于上網(wǎng)身份出現(xiàn)的安全隱患的徹底解決。

3.4對(duì)上網(wǎng)場(chǎng)所集中進(jìn)行規(guī)范和監(jiān)控

高職校園應(yīng)該鼓勵(lì)廣大師生在公眾場(chǎng)所使用網(wǎng)絡(luò)，不僅對(duì)網(wǎng)絡(luò)教學(xué)的普及有作用，還有助于實(shí)行網(wǎng)絡(luò)統(tǒng)一的管理與監(jiān)控。在公眾場(chǎng)所必須進(jìn)行身份認(rèn)證，使用機(jī)房固有的安全學(xué)習(xí)軟件，有利于有效的保證網(wǎng)絡(luò)安全。

但是現(xiàn)在高職校園的網(wǎng)絡(luò)管理系統(tǒng)處于孤島的狀態(tài)，學(xué)生上網(wǎng)的地點(diǎn)分散，很多身份難以識(shí)別與認(rèn)證，對(duì)于分散的網(wǎng)絡(luò)行為的監(jiān)管也難上加難。“還原卡”的普及更降低了很多高職校園信息化網(wǎng)絡(luò)的管理能力，因此要盡快實(shí)現(xiàn)網(wǎng)絡(luò)的集中認(rèn)證，利用中心監(jiān)控服務(wù)器進(jìn)行網(wǎng)絡(luò)行為的監(jiān)管，通過日志備查保證信息化網(wǎng)絡(luò)的安全性。

3.5改造電子郵件系統(tǒng)，建立完善的恢復(fù)機(jī)制

高職院校免費(fèi)的電子郵件系統(tǒng)已經(jīng)明顯不適用于現(xiàn)代網(wǎng)絡(luò)系統(tǒng)的功能，這成為現(xiàn)在校園網(wǎng)絡(luò)安全的主要隱患。因此應(yīng)該對(duì)電子郵件系統(tǒng)進(jìn)行改造，提高其過濾有害信息的能力和及時(shí)的反饋能力；增加數(shù)據(jù)傳輸?shù)脑O(shè)備，為校外教師或外出人員通過提供隧道連接，使他們安全進(jìn)入校網(wǎng)電子郵件系統(tǒng)；建立完善、成熟的

備份軟件與恢復(fù)機(jī)制，減小由于數(shù)據(jù)損壞與信息泄露造成的損失，也有助于整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。

3.6 校園網(wǎng)絡(luò)的系統(tǒng)層安全設(shè)計(jì)與管理

充分宣傳校園網(wǎng)絡(luò)自動(dòng)更新服務(wù)，引導(dǎo)師生們深入了解防病毒軟件的使用，及時(shí)安裝補(bǔ)丁，加固操作系統(tǒng)；加強(qiáng)師生們對(duì)用戶信息與賬戶安全的設(shè)置，利用系統(tǒng)服務(wù)設(shè)置更好的保證私人以公共計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)營(yíng)，定期做網(wǎng)絡(luò)巡檢與監(jiān)控。