校园网网络安全问题分析与对策

校园网网络安全问题分析与对策组员：经管0701XXXX经管0702XXXX经管0701XXXX【摘要】：随着互联网的高速开展和教育信息化进程的不断深入,校园网在高校教学、科研和管理中的作用越来越重要,同时高校校园网络平安问题也日益突出。如何提高校园网的平安性已是迫切需要解决的问题。文章从高校校园网的现状及特点出发,分析了目前高校校园网普遍存在的平安问题,并提出了加强高校校园网平安管理的对策。通过分析校园网平安威胁的原因、状况、设计维护校园网平安的方案，进一步探索加强高校教育系统信息平安和网络平安管理，预防和打击各种网上违纪、违法行为的重要途径。【关键词】：校园网平安问题分析对策防火墙杀毒软件病毒目录第一章引言4第二章校园网网络结构和应用系统概述5第三章校园网网络的平安问题分析63.1高校校园网的特点63.2校园网面临的主要网络平安问题和威胁7第四章校园网网络的平安问题应对措施104.1校园网网络设计阶段的应对措施——平安设计104.2校园网网络平安管理的对策14第五章结束语20第一章引言高校是计算机网络诞生的摇篮,也是最早应用网络技术的地方。校园网是当代高校重要根底设施之一，校园网信息系统是校园网的数字神经中枢,是促进学校提升教学质量、提高管理效率和加强对外交流合作的重要平台,校园网的平安状况直接影响着学校的各项工作。在校园网建设初期,网络平安问题可能还不突出,但随着应用的不断深入和用户的不断增加,高校校园网上的数据信息急剧增长,各种各样的平安问题层出不穷。“校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标”,校园网络平安已经引起了各高校的高度重视。并且校园网络平安问题已成为信息时代高校共同面临的挑战，网络信息平安问题成为当务之急，如果不很好地解决这个问题，必将阻碍高校信息化开展的进程。第二章校园网网络结构和应用系统概述校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外效劳的效劳器群、与CERNET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台；图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览；办公自动化局域网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统；校园外网的效劳器群构成了校园网的效劳系统，一般包括DNS、WEB、FTP、PROXY以及MAIL、认证计费、OA效劳等。外部网实现了校园网与CERNET及INTERNET的根底接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。第三章校园网网络的平安问题分析3.1高校校园网的特点与其它局域网相比,高校校园网自身的特点导致网络平安问题严重、平安管理复杂。其特点可以概括为两个方面:

〔1〕用户群体的特点。高校校园网用户群体以高校学生为主。一方面,用户数量大、网络水平较高。随着高校的扩招,现在各高校的在校学生规模越来越大,校园网用户少那么几千,多那么几万,而且往往比拟集中。高校学习以自主性学习为主,决定了高校学生可供自主支配的时间宽裕。通过学习,高校学生普遍掌握了一定的计算机根底知识和网络知识,其计算机水平比普通商业用户要高,而且他们对网络新技术充满好奇,勇于尝试,通常是最活泼的网络用户。另一方面,用户网络平安意识、版权意识普遍较为淡薄。高校学生往往对网络平安问题的严重后果认识缺乏、理解不深,局部学生甚至还把校园网当成自己的“练兵场”,在校园网上尝试各种攻击技术。另外,由于资金缺乏和缺乏版权意识等原因,导致高校学生在校园网上大量使用盗版软件和盗版资源。攻击技术的尝试和盗版软件的传播既占用了大量的网络带宽,又给网络平安带来了极大的隐患。〔2〕校园网建设和管理的特点。一方面,校园网建设需要投入大量的经费,少那么几百万,多那么几千万,而高校的经费普遍是比拟紧张的,有限的投入往往用于扩展网络规模、增加网络应用这些师生都能看到成果的方面,而往往无视或轻视师生不容易看到成果的网络平安方面。由于投入少,缺少必要的网络平安管理设备和软件,致使管理和维护出现困难。另一方面,各高校为了学校的教学、科研、管理以及学生学习生活的需要,目前根本上都建立了千兆主干、百兆桌面,甚至万兆主干、千兆桌面的校园网,高带宽的校园网给校园网用户带来了方便,但同时也大大增加了网络完全管理的难度。3.2校园网面临的主要网络平安问题和威胁校园网的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的平安威胁：〔1〕平安漏洞。校园网内普遍存在用户操作系统漏洞和应用软件平安漏洞,这些漏洞影响用户系统的正常使用和网络的正常运行,对网络平安构成严重的威胁,一旦被黑客或病毒利用,甚至有可能导致灾难性的后果。〔2〕病毒和攻击。网络病毒发病和传播速度极快,而许多校园网用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,不仅严重地危害到了用户计算机平安,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。同时外来的攻击和内部用户的攻击越来越多、危害越来越大,已经严重影响到了校园网的正常使用。〔3〕滥用网络资源。在校园网内,用户滥用网络资源的情况严重,有私自开设代理效劳器,非法获取网络效劳的,也有校园网用户非法下载或上传的,甚至有的用户每天都不断网,其流量每天都到达几十个G,占用了大量的网络带宽,影响了校园网的其它应用。〔4〕不良信息的传播。不良信息的传播对正在形成世界观和人生观的大学生而言,危害是非常大的。网络上的信息良莠不齐,其中有违反人类道德标准或法律法规的,如果不对这些信息加以过滤和处理,学生就会有在校园网内浏览淫秽、赌博、暴力等不健康网页的时机。要确保高校学生健康成长、积极向上,就必须采取措施对校园网络信息进行过滤和处理,使他们尽可能少地接触网络上的不良信息。〔5〕垃圾邮件。垃圾邮件对校园网的破坏性很大,它占用网络带宽,造成邮件效劳器拥塞,进而降低整个网络的运行效率,同时也是网络病毒、攻击和不良信息传播的重要途径之一。现在虽然很多高校都建立了电子邮件效劳器为校园网用户提供邮件效劳,但由于缺乏邮件过滤软件以及缺少限制邮件转发的相关管理制度,使邮件效劳器成为了垃圾邮件的攻击对象和中转站,大大增大了校园网的网络流量,浪费了大量的校园网带宽,造成校园网用户收发邮件速度慢,甚至导致邮件效劳器崩溃。〔6〕恶意破坏。恶意破坏主要是指对网络设备和网络系统的破坏。设备破坏是指对网络硬件设备的破坏。现在各高校校园网的设备数量多、类型杂、分布比拟分散,管理起来非常困难,个别用户可能出于某些目的,会有意或无意地将它们损坏。系统破坏是指利用黑客技术对校园网络各系统进行破坏,如:修改或删除网络设备的配置文件、篡改学校主页等等。而这两个方面的破坏均会影响校园网的平安运行,造成校园网络全部或局部瘫痪,甚至造成网络平安事故。〔7〕管理运营问题。A.工作人员对信息系统的应急处理能力不强，防范水平不高。高校办公室工作人员大都是非计算机专业的人员，计算机知识相对缺乏，对信息平安的防范意识尤为薄弱，缺乏对系统的根本维护能力，这势必给高校校园网的信息平安造成威胁。B.信息平安管理观念薄弱，负责信息平安人员的意识不强。高校校园网用户对平安意识以及防范能力没有足够重视，且认为防范信息平安是网络信息或专业人员的事情，与个人无关。负责信息平安人员把计算机安装复原卡当作“万事通”，只对出问题的计算机进行检查并未对高校网络检查等。C.信息平安保障管理机构和组织队伍不健全对于高校校园网，信息浏览人数多，流量大，加大了信息平安人员对其管理和维护难度。且高校普遍存在维护人员短缺、工作机制不完善、队伍不健全、无法及时响应、快速解决，不能很好地保证校园网络方便、快捷、标准地运行。D.信息平安管理制度和标准缺乏开发性我国的信息平安管理制度结构比拟单一，层次较低，难以适应信息网络技术开展的需要和日新月异带来的信息平安问题。我国现行的信息平安管理制度根本上是一些保护条例、管理方法，缺少系统标准网络行为的相应法律。第四章校园网网络的平安问题应对措施4.1校园网网络设计阶段的应对措施——平安设计下列图是比拟普遍的校园网拓扑结构。基于此图，我们从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的平安方案。〔1〕物理层平安物理层的平安主要包括环境、设备及线路的平安。该层次的平安包括通信线路的平安，物理设备的平安，机房的平安等。物理层的平安主要表达在通信线路的可靠性〔线路备份、网管软件、传输介质〕，软硬件设备平安性〔替换设备、拆卸设备、增加设备〕，设备的备份，防灾害能力、防干扰能力，设备的运行环境〔温度、湿度、烟尘〕，不间断电源保障，等等。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计标准》、GB2887-89《计算机站场地平安要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器，防止由于设备辐射造成的信息泄漏。〔2〕系统平安该层次的平安问题来自网络内使用的操作系统的平安，如Windows2000，Windows2003等。主要表现在三方面，一是操作系统本身的缺陷带来的不平安因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的平安配置问题。三是病毒对操作系统的威胁。系统层主要解决的是由于各种操作系统、数据库、及相关产品的平安漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：A．采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口、安装杀毒软件等；B．采用主机访问控制手段加强对主机的访问控制；C.安装LINUX或UNIX系统做效劳器，增加系统平安性能：〔3〕网络层平安校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网间的互联，使我们对网络层的平安要极度重视。定义一个网络或各网络内不同平安等级的局部为不同的平安域。平安域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层平安防护：A.多网络出口应用。校园网一般会分办公区和学生宿舍区两个场所。学生宿舍区的网络往往会由于学生乱下载等造成病毒的恶意散播。为了防止学生宿舍区的网络影响到办公区的网络，我们可以采用多个出口，即学生宿舍区一个出口，办公区一个出口。这样双方互不影响，也不会影响对方的网速。B.划分平安子网(VLAN)。如果同一局域网内有不同等级的平安域，可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。C.加强网络边界的访问控制。平安等级差异较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。防火墙的主要目的是控制数据组,只允许合法流通过。其特征是在网络边界上建立相应的网络通信监控系统即防火墙来到达保障网络平安的目的。防火墙技术假设被保护网络具有明确的边界和效劳,并且假设网络信息的威胁主要来自外部网络而不是内部网络,它通过建立一整套规那么和系统策略来检测、限制、更改穿越防火墙的数据流,实现内部网络的保护。采用防火墙平安技术适合于与外部网络相对独立并且网络效劳类型相对有限的网络系统,而校园网正属此型,故要实现校园网的平安应采用防火墙技术。D.防止内外的攻击威胁。在每个平安域内或多个平安域之间安装入侵检测系统〔IDS〕,可有效地防止来自网络内外的攻击。E.定期的网络平安性检测实现持续平安。利用漏洞扫描器〔Scanner〕,定期对系统进行平安性评估，及时发现平安隐患并实施修补，可到达网络的相对持续平安。F.建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中的效劳器、终端的病毒，保护全网不被病毒侵害。(4)应用层平安应用层的平安措施主要有以下几点：eq\o\ac(○,1)各应用系统自身的加固；eq\o\ac(○,2)建立身份认证系统〔实名制〕；eq\o\ac(○,3)建立平安审计系统；eq\o\ac(○,4)建立备份系统；eq\o\ac(○,5)建立日志访问系经统；(5)管理层平安实现管理层的平安主要注意以下几点：eq\o\ac(○,1)建立平安管理平台。主要是指将各种平安系统或设备集中控管、综合分析。eq\o\ac(○,2)建立、健全平安管理体制。校园网用户较多，一定要建立一套合理可行的平安管理制度。只有制度和设备的完美结合才能真正提高校园网的平安水平。eq\o\ac(○,3)提高全员的平安意识。信息平安和网络平安事关师生身心健康，事关教育健康开展，事关国计民生和社会稳定。完善信息平安和网络平安体系，加强信息平安和网络平安意识，既是互联网使用单位的法定义务，也是教育信息化开展的迫切需要。为进一步加强我国高校教育系统信息平安和网络平安管理，预防和打击各种网上违纪、违法行为，有效推动我国高校教育网络建设与应用健康有序开展。4.2校园网网络平安管理的对策高校校园网络平安管理是一项复杂的系统工程,要提高网络平安,必须根据实际情况,从多个方面努力。〔1〕加强网络平安管理制度建设“三分技术、七分管理”,网络平安尤为如此。各高校要根据校园网的实际情况,制定并严格执行有效的平安管理制度。如:校园网网络平安管理制度、网络主干管理与维护制度、校园网非主干维护制度、网络平安管理岗位职责、网络运行管理制度、主页维护管理制度、校园网信息发布与管理制度、病毒防治管理制度、重要数据备份与管理制度等。此外,为更加有效控制和减少校园网络的内部隐患,各高校必须制定网络行为标准和违反该标准的具体处分条例。〔2〕做好物理平安防护物理平安防护是指通过采用辐射防护、屏幕口令、状态检测、报警确认、应急恢复等手段保护网络效劳器等计算机系统、网络交换路由等网络设备和网络线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破坏。如:将防火墙、核心交换机以及各种重要效劳器等重要设备尽量放在核心机房进行集中管理;将光纤等通信线路实行深埋、穿线或架空,防止无意损坏;将核心设备、主干设备以及接入交换机等设备落实到人,进行严格管理。物理平安防护是确保校园网络系统正常工作、免受干扰破坏的最根本手段。〔3〕加强对用户的教育和培训通过网络平安教育使用户对校园网络所面临的各类威胁有较为系统、全面的认识,明确这些威胁对他们的危害,增强他们的网络平安意识,让所有校园网用户都来关心、关注网络平安。通过对校园网用户的培训,使他们能尽量保证自己使用的计算机平安,能处理一些简单的平安问题,从而减少网络平安事故的发生。遇到网络平安问题时,能做好记录并及时向有关部门报告。〔4〕提高网络管理人员技术水平高水平的网络管理人员能够根据校园网的实际平安状况,通过对校园网的重要资源设置使用权限与口令、通过对相应网络平安设备尤其是核心设备进行系统配置以有效地保证校园网系统的平安。因此要保证校园网的平安运行,就需要培养一支具有较高平安管理意识的网络管理员队伍,提高他们维护网络平安的警惕性和应对各种攻击的能力。各高校要从两个方面着手:一是要加强对现有网络管理技术人员的培训,提高他们应对网络平安问题的能力和水平;二是要引进高水平的网络平安管理技术人员,提升网络管理技术人员整体技术水平。〔5〕标准出口、入口管理为适应管理和工作的需要,现在高校校园网都有多个网络出口(如:教育网、电信网等),要实施校园网的整体平安策略,首先就要对多出口进行统一管理,以解决校园网多出口带来的平安问题,使校园网络平安体系能够得以实施,为校园网的平安提供了最根底的保障,如:不同出口间的隔离、封锁病毒端口、阻止入侵者的攻击,应用ACL拒绝IP地址欺骗等。〔6〕配备网络平安设备或系统为减少来自校园网内外的攻击和破坏,需要在校园网中配置必要的网络平安设备,如网络入侵保护系统、主页防篡改系统、防火墙、网络防病毒系统、漏洞扫描系统、内容过虑系统、补丁升级系统、效劳器的平安监测系统等等。通过配置网络平安设备,能够实现对校园网络的控制和监管,能够阻断大量的非法访问,能够过滤来自网络的不健康数据信息,能够帮助网络管理员在发生网络故障时迅速定位。充分利用好这些网络平安设备可以大大提高校园网的平安级别。〔7〕建立全校统一的身份认证系统身份认证系统是整个校园网络平安体系的根底,是校园网上信息平安的第一道屏障,是保证校园网内各应用系统平安运行的依靠。各高校要建立基于校园网络的全校统一身份认证系统,对校园网用户上网进行身份认证。这样不仅可以阻止非法用户的上网行为,而且也能统一监控合法户上网的行为。〔8〕建立更平安的电子邮件系统目前有些优秀的电子邮件平安系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。各高校要多方分析、比拟,选择优秀的电子邮件平安系统保证校园网的邮件系统平安,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等平安隐患的现状。〔9〕做好备份和应急处理对校园网来说,一套完整的备份和恢复方案是迫切需要的。备份既指对校园网重要数据的备份,也指核心设备和线路的备份。对网页效劳器,要配置网页防篡改系统,以防止网页被更改;对校园网中的核心设备的系统配置要进行备份,以便设备出故障时能及时恢复;对校园网中的核心线路要留有冗余,以便线路出故障时能立即启用冗余线路以保证校园网络主干的运行。应急响应是校园网整体平安的重要组成局部,各高校的校园网络管理部门要制定网络平安的有关应急处理措施和制度,以保证在出现网络平安问题时要及时按照应急处理措施处理以减少损失。4.3校园网网络信息平安的防范措施〔1〕培养高素质的平安运行维护队伍高校可以组建一支以学生为主体的平安运行维护队伍，由网络中心统一领导，中心专业老师负责对学生等用户进行平安管