[摘 要]随着计算机网络技术的不断发展，更多的教学、日常工作都是在校园网中完成的。因此，校园网络信息安全已经越来越影响师生的正常教学、学习。如何解决校园网络信息安全已经是在各校园网络建设中必须要考虑的问题。

[关键词]校园网络；信息安全；计算机病毒；防火墙；防护策略

一、校园网络信息安全现状

校园网络一般分为内网和外网两部分，其中校园外网主要指学校提供对外服务的服务器群、与ISP的接入等。校园内网主要提供教学、办公自动化等内容。因此，校园网络面临的潜在攻击类型可能包括：

（一）修改传输中的数据

电子邮件、实时报文传输、文件传输的过程中都容易收到截取和修改。

（二）插入并利用Trojan木马、后门、病毒与蠕虫等恶意代码

攻击者能进入用户系统并执行命令。通过先前发现的脆弱性并使用该访问来达到其攻击目的。包括植入基于未来事件而发作的软件。

（三）利用協议或基础设施的BUG

利用协议中的缺陷来欺骗用户或重定向通信量。这种攻击有哄骗域名服务器进行未授权远程登陆；使用ICMP炸弹使某个机器离线；使用源路由伪装成信任主机；TCP序列号猜测获得访问权；未截获合法连接而进行的TCP组合等。

（四）建立非授权的网络连接

对高密级网络具有物理访问能力的用户未授权连接到一个低密级或敏感网络中，这违背了安全策略或用户流程。

（五）伪装成合法用户

利用可信实体的标识，通过电子邮件、实时报文或请求文件传输得以进入通信信道，实现恶意目的。

（六）地址欺骗

一个主体可能假冒成另一个主体获得对特定信息的访问。例如，外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源。

（七）监视纯文本报文

纯文本报文是那些没有被加密的报文，一旦被拦截，纯文本报文就很容易被读出。

（八）拒绝服务攻击

包括炸弹、洪水攻击等DoS攻击以及DDoS攻击，造成网络宕机或服务停止，形成业务中断。

这些已存在或潜在的网络威胁，多数是由于校园网用户的网络安全意识薄弱或本身校园网络的安全防护措施设置不高造成的。为了更好地安全使用网络，我们有必要对校园网采取一些安全防护措施。

二、防止病毒流入内网

（一）采用防火墙实施边界保护机制

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

1.对源、目的和服务做出限制，并阻断危险的协议，比如ICMP协议。进出边界的通信都需要进行控制；

2.限制可执行代码的服务和下载能力；

3.使用访问控制列表；

4.使用身份验证机制；

5.使用网络地址转换机制隐藏内部网络（地址和网络拓扑结构）防止潜在攻击者；

6.记录和分析源路径和其他信息包，并对攻击做出反应和进行限制；

7.扫描恶毒软件；

8.操作者能够方便正确的配置边界保护机制，如采取友好图形用户界面（GUI）；

9.自监控并且有产生告警的能力。

（二）采用新型入侵防御系统（IPS）

边界防护技术提供周边的访问控制，被“授权”的内部和远程用户可以在边界内尝试窥探、滥用以及执行恶意行为。防火墙并不会监测被授权用户的行为，它的侧重点也不是内部威胁。防火墙被允许一定程度的访问，则有可能为来自外部的漏洞窥探和潜在的攻击打开了大门。网络入侵者越来越多地利用开放的服务端口（如HTTP、SMTP、POP3、DNS等）发起攻击，且手段隐蔽，破坏性却非常大。IPS是一种部署在网关位置的安全设备，利用攻击的知识对网络数据和行为进行深层检查，从而更有效地抵御应用层攻击。IPS在线（Inline）的部署模式使它可以直接将有害的流量（探测、攻击等）阻挡于所保护的网络之外。

在网络中心防火墙后部署一台高性能的IPS，做为边界防护的第二道防线。入侵防御系统具有内置BYPASS功能，在设备出现硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。此外不管是因为硬件或是软件的因素，假设侦测引擎出现阻碍（blocking）死锁的状况，内置BYPASS功能也会自动切换到直通状态，无须担心设备的可靠度。内置BYPASS功能可通过远程管理实现启动或关闭管理。

IPS将ASIC硬件检查、深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而，很好地提供了动态、主动、深度的安全防御。

防火墙与IPS协同部署的安全方案能够在网关位置构建起多层次的信息安全防护体系，形成一道完整的保护关键服务器和内网安全的防线。

（三）利用微软系统中的用户身份认证对上网人员进行访问授权限制

认证是指对主客体身份进行确认的过程。身份认证是指网络用户在进入系统或受限系统资源时，系统对用户身份的鉴别过程。身份认证的方式有：静态密码方式、动态密码方式、USB Key认证、生物识别技术、CA认证。

（四）在计算机上安装杀毒软件

不管是老师还是学生，在校园网内不可避免地要经常使用U盘、移动硬盘，这些移动存储设备在使用前应进行病毒的扫描和查杀，以避免计算机病毒、木马等流入校园内网。

（五）个人计算机的使用者尽量不要设置共享目录，以减少感染病毒的机会

如果确实工作需要开共享目录，则个人计算机共享目录的访问权限必须设置为满足使用要求的最低访问权限，并加上复杂密码。对不再必要的共享目录，必须及时取消其共享属性。

三、防止内网病毒流出外网

从网络安全方面来说，我们不但应该防止计算机病毒、木马等不安全信息进入校园网，还要防止校园网内感染的计算机病毒、木马等向外网传染。防止内网病毒向外网扩散比较好的技术手段是采用防火墙技术。防火墙是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。

它具有以下六大功能：信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意地扩散本地机密信息；系统用户管理，记录用户登录系统的信息，为日后的安全审计提供依据；系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作；系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等；信息安全审计，记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等报告。

网络完全防护是一项长期的工作，它不但涉及到各种安全防范技术，还涉及到用户的网络安全意识、网络管理等许多方面，只有将各方面都做好才能建成一个安全的校园网。

[参考文献]

[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,(5).

[2]斯特拉斯伯格.防火墙技术大全[M].机械工业出版社, 2003.

[3]张彩文.防火墙技术浅谈[J].硅谷,2010,(20).

[作者简介]谭英，广西机电工程学校。