网络安全与解决方案

1、一、目前校园网络中可能存在的安全问题1、网络安全方面的投入不足，没有系统的网络安全设施配备 大多数学校网络建设经费严重不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。 2、 学校的上网场所管理较混乱 由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统，是学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。 3、 电子邮件系统极不完善，无任何安全管理和监控的手段 电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大

2、多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决 4.网络安全意识淡薄，没有指定完善的网络安全管理制度 校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。网络的整体安全仅从技术和设备入手是不够的，还应该有一套对工作人员行之有效的管理制度，尤其要加强对内部人员的管理和约束。这是因为内部人员对网络的结构、模式都比较了解，若不加强管理，一旦有人出于某种目的破坏网络，后果将不堪设想。然而，

3、目前国内的高校中还很少有学校具备完善的校园网管理制度。同时，在对设备的操作方面也应设立相应的操作规范。如没有规范的操作，把交换机的密码设置得过于简单；或者允许用户从任何地点登陆核心交换机之类的问题都会给网络的安全带来巨大的隐患。在对用户的管理方面，目前很多学校还没有建立起一套行之有效的校园网用户管理方法。有的学校即使有用户上网守则，但也没有相应的监控措施，难以取得违规用户的行为证据，这些都是管理上的缺陷。5.病毒的侵害校园网中的用户众多，每天许多用户都要通过校园网访问Internet，而当今Internet上的许多的资源都暗藏病毒。如果某个用户的计算机上没有安装防病毒系统，那么该计算机就极易被

4、病毒感染，当网络中的计算机被感染后，病毒就通过Internet进入了校园网内部。而现在的决大多数病毒除了具有传统病毒的一般特性(可传播性、隐蔽性、可执行性、破坏性)之外，还具有传播速度极快、扩散面非常广、不易防范、难于彻底清除等特点，如蠕虫病毒、冲击波病毒、振荡波病毒等，这些病毒往往能够在很短时内里通过网络进行传播。由于病毒在网络中大规模的传播与复制，将极大地消耗网络资源，造成网络性能的急剧下降，严重时有可能造成网络广播风暴甚至导致网络瘫痪。6. 网络攻击Internet是一个开放的网络，计算机可以通过各种网络设备接入Internet，如果对网络访问不加限制，那么Internet上所有的网络资

5、源都可以被任意访问。从校园网的安全角度考虑，对于任何一个Internet用户都有必要加以防范，因为任何一个用户都有可能是校园网的攻击者。攻击者通过设置特洛伊木马、WWW欺骗、端口扫描等方法对网络进行攻击，一旦攻击成功将对学校的数据造成极大的威胁。比如一些黑客入侵学校的Web服务器，篡改学校的主页损坏学校形象，或对学校Web服务器发送大量的攻击数据包导致学校的主页难以访问。网络攻击不仅来自于外部，还可能来自校园网内部。据统计来自内部的攻击比例要大大高于来自外部的攻击。这是因为校园网内部的用户对网络结构和应用系统更加熟悉，同时校园网用户中绝大部分是具有较高知识水平的大学生群体，在学生中不乏计算机应

6、用高手（特别是计算机专业的学生），由于对网络攻击的巨大的好奇心和渴望攻击成功的心理使他们把校园网络当作网络攻击的试验场地，而这种不安全因素对校园网的破坏力往往更大。7. 软件系统存在安全漏洞系统安全漏洞指的是系统在设计时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比较的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者针对系统漏洞进行攻击，入侵成功后将获得系统的相应的权限，进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Win

7、dow2000/xp操作系统，而Windows操作系统是不太安全的，因为Windows操作系统的漏洞比较多，由Windows操作系统漏洞引发的不安全问题时有发生。此外，应用系统也不例外，如IE、Office办公软件、Ms-SQL、 Oracal等软件也存在安全漏洞。8.校园网中的设备多。校园网需要各种设备的支持，而这些设备分布在各种不同的地方，管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪，如室外通信光缆、电缆等，分布范围广，不能封闭式管理；室内设备也可能发生被盗、损坏等情况。校园网是一个平台，面向全校的师生，校园网中的设备管理也比较多样化，校级设备一般有网络中心管理，院、系级设备由本

8、部门管理，也由本部门维护，学生自用的机器，放在学生宿舍中，由学生自行维护。这样就很难对所有设备实施统一的安全策略，如安装防病毒软件等。所以当用户的计算机接入校园网后感染病毒，这台感染病毒的计算机又影响了校园网的运行，于是出现“交叉感染”。9.技术上的不足。由于教学和科研的特点决定了校园网络环境应该是开放的。目前校园网大都是利用Internet技术构造的，且又与Internet相连，所以校园网在运行过程中面临各种安全威胁。现在TCP/IP协议广泛用于各种网络，所以几乎所有的Internet协议都没有考虑安全机制。并且现在人们很容易从Internet上获得相关的核心技术资料，特别是有关Intern

9、et自身的技术资料及各类黑客软件，很容易造成网络安全问题。尤其是在学校学生的好奇心、破坏欲给校园网带来了很多安全问题。其次，随着软件交流规模的不断增大，软件中的安全漏洞也不可避免地存在。当前应用的各种网络操作系统都有不同级别的安全风险。10.活跃的用户群体。高校的学生通常是最活跃的网络用户，对网络新技术充满好奇，敢于尝试。很多学生的计算机技术水平非常高，而且具有强烈的好奇心和实践欲望，他们时常有意无意地破坏校园网系统，尝试使用网上学到的、甚至自己研究的各种攻击技术，干扰校园网的安全运行。另外，很多学生通过网络在线看电影、听音乐、玩游戏，很容易造成网络堵塞和病毒传播。校园网与一般网络不同，不仅要

10、注意防止外部网络用户对校园网的攻击，还要注意防范校园网内部的学生攻击。可以说，来自校园网内部的安全隐患比校园网外部的安全隐患破坏力更强、影响更广、威胁更大。11.盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播也给网络安全带来了一定的隐患。另一方面，从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。二、校园网络安全解决方案 1、 配备完整的、系统的网络安全设备 在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外配置安全设

11、备既要考虑到功能，同时也必须考虑性能和可扩展性，以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。 2、 解决用户上网身份问题，建立全校统一的身份认证系统 校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。3、规范出口的管理 实施校园网的整体安全架构，必须解决多出口的问题。对

12、于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。 4严格规范上网场所的管理，集中进行监控和管理 上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 5 改造电子邮件系统，提供多种安全监控和管理功能 针对目前邮件系统存在的安全隐患，航天联志结合国内知名的邮件安全系统提供商美讯智推出了专门针对校园网的邮件安全系统。该系统具有强大的高准确率和低误报率，使被垃圾邮件的准确率高达98%；而且独特的策略模块可以帮助用户简单轻松的视线邮件系统的管理与维护；

13、全面防护针对传输层25端口的攻击，防止邮件地址泄露，保障邮件系统的安全；通过直观的图标和多种查询方式全面显示邮件的应用情况并可以及时调整策略设定。这些优秀的功能为校园网的邮件安全带来了坚实的防护。 6根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 网络安全建设是三分设备，七分管理，没有切实可行的安全保障体系和制度，网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度越深，网络安全的形式就越严峻，这也从近几年互联网络安全问题频频出现得到印证。而网络安全的技术又是非常复杂和广泛的，现状还是道高一尺，魔高一丈，这样，管理的工作就愈发重要和艰巨，必须要做到及时进行漏

14、洞修补和定期询检，保证对网络的监控和管理。另外，学校必须颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少内部网络的隐患。 互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的影响，网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全问题的日益严重也越来越成为网络应用的巨大阻碍，校园网络安全已经到了必须要统一管理和彻底解决的地步，只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的发展。7.建立网络防病毒系统在非网络环境下计算机病毒的防杀一般都是靠单机版的杀毒软件来完成，但在校园网环境下单机版的杀毒软件已经无法适应网络病毒的防杀

15、要求。这是因为单机版的杀毒软件只能防杀本地计算机中的病毒，且单机版的杀毒软件各自为政，在病毒库的升级以及病毒的统一防杀方面很难做到协调一致。要有效地防范网络病毒可以采用集中式病毒防杀系统。该系统包括了服务器端和客户端两个模块。首先在校园网上建立一个防病毒服务器，即系统的控制中心，然后采用客户端安装或网络分发的方式将客户端软件安装到每个工作站上，并设置每个工作站接受服务器的管理。管理员只需利用控制台软件就能对联网计算机进行统一的病毒清除，从而能有效的控制校园病毒的爆发。如果有新病毒库发布，只需对服务器上的病毒库更新，客户端就会自动到服务器上下载并更新病毒库。集中式病毒防杀系统因它的病毒库更新及时

16、方便、防杀行动统一彻底、系统稳定可靠、用户参与少等优点成为了校园网的病毒防治中最有效的措施之一。8、构建防火墙和入侵检测系统防火墙是位于两个（或多个）网络间实施网间访问控制的一组组件的集合。所有进出网络的数据流都必须经过防火墙的授权。设置防火墙是保护内部网络免于外部网络攻击的重要措施，在Internet与校园网内网之间部署防火墙，就在内外网之间建立了一道牢固的安全屏障。防火墙可以限制对某些不安全端口的访问，能封锁特洛伊木马，并禁止来自特殊站点的访问和禁止某些协议的运行，从而有效地防止外部入侵者的非法攻击行为。入侵检测是指对计算机和网络资源的恶意行为的识别和响应的过程。入侵检测系统从计算机网络系

17、统的若干关键点收集信息并对其进行分析，发现入侵以后，会及时进行记录事件、断开网络连接和报警等操作，如果把防火墙比作是网络门卫的话，入侵检测系统就是网络中不间断的摄像机。在校园网中部署入侵检测系统可以有效地监控校园网内的恶意攻击行为。建立一个有效合理的病毒防御和查杀机通过在网络中部署分布式、网络化的防病毒系统，不仅可以让单机有效地防止病毒侵害，还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。主要做法是：网络中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将

18、最新的升级文件分发到其他多个主机网点的客户端与服务器端，并自动对杀毒软件网络版进行更新。采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是由程序自动、智能地完成，可以避免由于人为因素造成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。建立一个有效合理的病毒防御和查杀机通过在网络中部署分布式、网络化的防病毒系统，不仅可以让单机有效地防止病毒侵害，还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。主要做法是：网络中心负责整个校园网的升级工作。为了安全和管理的方便起见，由

19、网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端，并自动对杀毒软件网络版进行更新。采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是由程序自动、智能地完成，可以避免由于人为因素造成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。9. 使用VLAN技术VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。每一

20、个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、提高网络安全性、简化网络管理。下面从几个方面具体来谈谈VLAN技术在校园网中的发挥的突出作用。由于不同的VLAN有着各自独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。例如在我校就对每栋学生宿舍划分两个或两个以上VLAN，在这种情况下即使有一栋学生宿舍的VLAN产生了广播风暴，也不会对此VLAN之外的网络产生影响。在交换机上划分VLAN以后，不同V

21、LAN的之间将不能直接通信，VLAN间的通信必须通过三层设备（路由设备）。我们可以通过路由访问列表和MAC地址分配等VLAN划分原则，控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN中，从而提高了校园网的整体性能和安全性。如果结合相应的网络技术还可以方便的控制校园网用户的登陆地点，例如开启交换机的认证功能，校园网用户在登陆校园网前首先要进行身份认证，我们可以将认证帐号绑定到具体的VLAN中，这样只有具备相应VLAN认证帐号的用户才能在指定的VALN登陆校园网络。利用VLAN技术可以根据学校的部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段，在不改动网络物理连接的

22、情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。10、软件系统的安全配置软件系统的安全问题也是不容忽视的，任何软件都有漏洞。作为网络系统的管理人员有责任及时将软件的补丁打上。比如，校园网中的服务器所使用的操作系统大多是win2000/xp的操作系统，因为使用的人多所以发现的漏洞也就特别多，这就需要网络管理人员随时去了解微软公司发布的有关操作系统的安全信息，如有相关的补丁程序或升级包就应当及时地从微软的官方网站下载并安装。对于其他的软件系统（比如：Linux，Oracal，SQL）也应当密切关注其安全问题。只有这样才能有效

23、的避免因软件系统漏洞而导致的安全问题。操作系统在服务器上刚安装好时会自动启动一些不必要的服务，这样不仅给系统增加了额外的开销，而且带来了系统的安全隐患。对于服务器上不需要的服务我们应及时将其关闭，比如我们可以关闭web服务器的telNET等服务，同时我们还应该关闭不必要的tcp端口。11.访问控制访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名和口令的识别与验证、用户帐号的缺省限制检查等。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。用户在其合法的访问授权之外无其他的访问特权

24、，有效防止了网络因超权限访问而造成的损失。目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么所有的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。12.防火墙与IDS联动防火墙是构建整个网络安全体系的核心，它位于内部网和外部网之间，成为内外网之间一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过防火墙与Internet连接。通过Internet进来的公众用户只能访问到对外公开的一些服务，既保护内网资源不被外部非授权用

25、户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。对于校园网而言，不但要防御外部的攻击还要考虑内部的攻击。但是，防火墙毕竟只是被动防御，因此，必须加强与IDS（入侵检测系统）的联动。IDS所采用的不是被动防御的策略，而是主动监视、检测和识别正在进行的或已经成功的入侵行为，并及时报告给网络管理者。由于IDS系统除了报告外，本身不能对入侵采取任何的防御措施。所以网络中心通过IDS和防火墙的联动来实现入侵防御，当IDS发现攻击企图后，它会通知防火墙将攻击来源的IP地址或端口禁掉。这种联动方式集合了IDS和防火墙的优点，从而能主动地阻挡入侵，降低非

26、法入侵造成的损失13.漏洞扫描系统解决网络中安全问题，首先要清楚网络中存在哪些安全隐患、漏洞。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不够的。解决的方案是，寻找一种能查找网络安全漏洞、评估风险并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。而且也可以采用目前先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。14.安装补丁程序和网络杀毒软件任何操作系统都有漏洞，大部分校园网服务器使用的操作系统都有漏洞，蓄意攻击它们的人也特别多，作为网络系统管理员就有责任及时对系统进行升级。在校园网防病毒方案中，系统管理员最终要达到的一个目标就是，要在整个网络中杜绝病毒的感染和传播。为了实现这个目标，