黄 振 祝海炳

（浙江金融职业学院，浙江 杭州 310018）

1 校园网络的安全性分析

1.1 物理层的安全问题

校园网络系统的安全是以物理安全为前提的。主要包括：各种自然灾害比如地震，雷击，电击，水火灾害等；电源的故障或由硬件原因引起的故障，由操作人员的操作失误造成的故障，由于设备失窃、故意损毁或超载；行盗窃和窃听等。

1.2 网络层的安全问题

拓扑结构、网络的路由状态和网络环境等是决定网络安全的关键因素。网络层面的主要威胁包括：访问未经授权的网络应用服务；交换信息的保密性；传播或渗透网络病毒；网络的拒绝服务型攻击，网络监听，网络欺骗攻击；针对网络设备配置脆的攻击弱性，因应用软件的缺陷而造成的网络攻击。

1.3 系统层安全问题

系统的安全性是指整个网络的操作系统，网络硬件的平台是不是可靠和值得信赖的。没有绝对安全的操作系统可以选择，微软Windows操作系统或其他操作系统都不是决定安全的，系统本身也有很多的漏洞问题，这些漏洞将带来各种重大的安全隐患。

1.4 应用层的安全问题

应用安全是主机系统应用软件的层面问题。应用系统软件的使用，一方面给用户带来方便，但也带来了新的网络威胁，这是因为大多数的互联网应用系统软件都不具有良好的安全性设计，网络服务器程序经常使用超级用户权限执行，这引起了很多安全问题。

2 校园网络的安全设计

2.1 物理层的安全设计

主要针对通信安全，设备的安全，机房环境安全三个方面设计校园网络物理安全。

光缆的安全设计：很多线路都有可能破坏或者窃听，比如光缆和双绞线，因此，应该通过专用电缆沟布线，建筑物之间的光纤光缆应埋在地下，建筑物内的双绞线应该埋在有管道的墙壁内，应尽量确保安全，防止发生挖掘和破坏事件。同时，学校安全办公室负责组织校园巡逻，校园网络的输电线路和设施的检查和巡逻，以防止通信线路被损坏。

校园网服务器机房设计要按照《电子计算机机房设计规范》、《计算站场地技术条件》和《计算站场地安全要求》，分别是国家标准GB50173-93、国标GB2887-89和 GB9361-88进行设计。 电源供应和分配系统，能够确保机房的主机、服务器、网络设备、通讯设备的安全，不间断供电，在任何情况下都能做到，没有单点故障，稳定、可靠，同时也为UPS系统提供电源，以确保系统安全。

物理安全设备的设计：采用门禁系统，以确保使用的物理设备的安全，同时做设备的抗毁，抗电磁辐射，抗电磁信息泄漏和干扰的处理等。

2.2 网络层的安全设计

路由器访问控制：数据包过滤在网络层的基础上，选择该系统设置了过滤逻辑的数据包。检查每个数据包的源地址、目的地址、口号、协议状态等因素，或它们的组合，以确定是否允许数据包通过数据流。路由访问列表access-list命令来完成设置包过滤规则，被称为访问控制列表和拒绝语句，它们规范了路由器的数据。访问列表，允许网络管理员控制网络数据流，依据为数据包的源IP地址、目的IP地址和应用类型。

使用加密技术认证：DES技术认证的校园网站，提高网络服务的安全性和效率。DES算法在认证过程中，不怕被窃听，加密传输数据，可以防止篡改，将数据传输的数字签名，使用认证反应过程的方法，实现数据的安全传输。

入侵检测技术及其应用：入侵检测系统能为校园网络提供可靠的安全保障。首先，实时监控网络流量的入侵检测系统，能够准确有效地识别所有已知攻击和未知攻击的网络活动，一旦发现攻击，警方立即采取应对措施。其次，具有入侵检测与分析的能力，对于具有逃避入侵检测技术的通信数据系统，可以有效检测其IDS，以避免其行为。再次，通过对网络数据的完整记录，在入侵过程中，为安全事故的调查提供证据，进行分析。

2.3 系统级别的安全性设计

操作系统安全：服务器系统，使用微软专门为教育界推出了正版的Windows Server 2003操作系统，所有分区使用一个专用的服务器，网络应用服务，使用专用服务器上的NTFS格式，所以的系统和日志都放在这个系统上。安装正版的Windows Server 2003，安装应用程序，升级、补丁，然后联网调试。在服务器上解除NetBIOS和TCP/IP协议绑定的TCP/IP协议，删除NETBEUI，IPX/SPX协议。授权的用户共享文件从Everyone组特定的授权用户改为“完全控制”权限需要给予授权，关闭默认共享，远程管理和远程IPC，防止IPC的入侵，每台服务器上的登录账号和密码中位数要足够长和足够复杂，定期更改密码，不使用姓名、电话、出生日期、学校名称、部门名称等作为密码，运用密码策略、账户策略，以符合密码复杂性要求。设置密码的最长使用期限。系统默认所有的端口是开放的，根据提供的服务的服务器需要，关闭那些不需要打开的服务和端口。

安全审计存在于自带的Windows Server 2003系统中，打开安全审计策略的入侵检测方法。服务器安装设置完成后，应该创建一个紧急修复磁盘，准备系统意外损坏不能正常启动时应急使用。进行服务器漏洞扫描，采用多种方式对系统进行优化配置和修补程序，最大程度上修补最新的安全漏洞，消除服务器本身的安全隐患。

服务器帐户的安全性：取消系统默认的用户名和密码，重新命名系统管理员及用户名和密码，并撤销Guest帐户的申请，以避免未经授权的用户进行攻击。此外，对用户数量进行限制，避免其他用户尝试登录到该系统。系统管理员应设置一个复杂的密码。以实现最大程度的保护。确保管理员帐户的安全，密码必须至少有九个字符，包含一个标点符号或字符非ASCⅡ码至少有七个字符。此外，您不能在多台服务器上设置相同的管理员帐户密码。应在每个服务器上使用不同的密码，以提高工作组或域的安全级别。要定期更换系统管理员的密码。

数据备份和恢复：做数据备份和恢复很重要。如果是系统中的问题，运行计算机系统所需的数据和信息系统应该进行整体恢复。系统安全需求可选择的备份机制：进行高速、高容量的自动数据存储、备份和恢复;异地数据存储、备份和恢复系统的备份。备份不只是发挥保护作用，在发生网络系统硬件故障或人为错误时发挥重要作用。出现入侵者未经授权的访问或网络上的攻击和破坏数据等情况是，对系统的完整性起到保护作用，是系统的灾难后恢复的先决条件之一。

配置防火墙：通过光纤连接核心交换机6806E到行政大楼、教学体系、图书馆和其他建筑物，将锐捷公司的硬件防火墙RGWALL160A架设在核心交换机6806E和路由器2600之间。控制进/出数据的访问以及对网络进行隔离。防火墙的主要作用是隔离核心交换机和汇聚层的2126交换机，并严格控制教师/学生宿舍网络数据包访问主要校园网络资源，防止学生在宿舍对行政办公室及主校区教学单位在网络上进行未经授权的操作。

结论

校园网络环境、安全与防务问题，必须认真对待并加强管理。针对校园网络的安全性建设问题，需加强网络运行的实时检测，及时发现潜在的安全隐患，有效遏制安全事故，以确保整个校园网络系统、网络与信息的安全。发现网络和系统漏洞，需及时进行修复，并采取预防措施，进一步改善校园网络环境的安全。

[1] 张郭军.校园网络安全技术的现状及发展趋势[J].渭南师范学院报，2007，4.

[2] 阳柳，校园网络安全体系的解决方案[J]，计算机安全.2007年，p178-182.

[3] 谢希仁.计算机网络[M].大连:大连理工大学出版社，2004.