【摘 要】校园网络安全的主要问题是预防病毒、访问控制、身份验证和加密技术、发现系统安全漏洞并解决等问题。作为一个网络，一方面是网络内部的安全性，一方面是本网络和外部信息网络互联时的安全性。其中内部的安全性要从网络安全技术、网络设备、网络结构、操作系统和网络应用等多方面考虑。本章结合自己的工作实际，研究如何应用网络安全技术解决校园网络安全问题。

【关键词】网络安全；安全技术；校园网；安全应用

1.防火墙防范技术

防火墙是目前网络安全的一个最常用的防护措施，也广泛应用于对校园网络和系统的保护。根据校园网络管理员的要求，可以监控通过防火墙的数据，允许和禁止特定数据包的通过，并对所有事件进行监控和记录，使内部网络既能对外正常提供Web访问，FTP下载等服务，又能保护内部网络不被恶意者攻击。

为更好地实现校园网络安全，可以采用双宿主机网关或是屏蔽主机网关或是屏蔽子网的防火墙设置方案。为了提高防火墙安全性能，让其具有很强的抗攻击能力，最好采用的屏蔽子网体系结构配置方案，具体配置方法为：

在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个缓冲地带，两个路由器一个控制Intranet数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW，FTP，Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。

2.网络入侵检测技术

入侵检测不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。

为了更有效地检测校园网的外部攻击和内部攻击，在每个需要受保护的网络内安装相应的IDS入侵检测系统。通过专用响应模式与防火墙进行互操作，实现IDS与防火墙联动。IDS与防火墙联动可以更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。

在校园网中最好设立两个检测点，可以分别对外网和内网进行检测，外网IDS与防火墙联动，当有外部网络攻击时，IDS提供实时的入侵检测，将信息交给防火墙，由防火墙对这些攻击进行控制、隔离、断开；当有内部网络攻击时，IDS系统向网络管理人员发出报警，让网管人员及时做出反应。

3.数据加密技术

加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。数据加密技术是为提高网络上的信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。

数据加密技术作为主动网络安全技术，是提供网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段，是许多安全措施的基本保证。加密后的数据能保证在传输、使用和转换时不被第三方获取数据。基于数据加密技术以上特点，在校园网络中传送重要信息时要使用数据加密技术来保证信息的安全。

4.操作系统身份验证

校园网上运行着各种数据库系统，如教学管理系统，学生成绩管理系统，以及各种对外服务如Web，FTP服务等。如果安全措施不当，使这些数据库的口令被泄露，数据被非法取出和复制，造成信息的泄露，严重时可导致数据被非法删改。

4.1 校园网络主要安全技术

目前校园网络操作系统平台以Windows为主，对应的主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。

①操作系统安全策略用于配置木地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派等安全选项。

②安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境需要采取的安全管理策略也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。

③数据安全主要体现在以下几个方面：数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。

对于校园网中常使用的Windows2000 Server服务器操作系统，由于被配置IIS用作Web，FTP服务器，且安装了SQL Server 2000数据库系统，它的安全就显得更为重要。由于登陆帐号是进入系统的第一道门槛，因此必须做好如下保密工作：

①把系统Administrator帐号改名

由于Administrator账号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。

②使用安全密码

一个好的密码无论对于一个网络还是一台单机都是非常重要，所以为了系统安全，应该使用合适的用户密码，应该设置复杂、难以破解的密码。当然，还要注意经常更改密码。

③停用guest帐号

在计算机管理的用户里而把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。

④禁止系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的用户名，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。

⑤打开审核策略

开启安全审核是Windows2000系统最基本的入侵检测方法。当有人尝试对系统进行入侵（如尝试用户密码，改变帐户策略，未经许可的文件访问等等）的时候，都会被安全审核记录下来。

⑥使用NTFS格式分区

NTFS文件系统可以对文件和目录进行管理，FAT文件系统则只能提供共享级的安全，而Windows2000的安全机制是建立在NTFS文件系统之上的。所以在安装Windows2000时最好使用NTFS文件系统，否则将无法建立NT的安全机制。

事实证明，对Windows2000系统进行以上安全设置之后，服务器的安全性有了很大提高。VPN让用户在互联网上利用隧道、加密、认证等技术来建立自己的专用网络。它有效利用VPN的加密、认证技术，可以保护校园网中的数据库免受攻击。

4.2 VPN技术

VPN让用户在互联网上利用隧道、加密、认证等技术来建立自己的专用网络它有效利用VPN的加密、认证技术，可以保护校园网中的数据库免受攻击。

4.3 IP地址绑定技术

为了防止MAC地址的盗用、IP地址的盗用、端口的不固定性、账号的盗用等安全问题的产生。要利用IP地址自动绑定、释放技术解决这个问题。

自动绑定、释放技术主要是为了防止用户在通过认证后，在上网期间随意更改自己的IP地址，同时也可防范DoS攻击等多种非法用户的攻击。用户在认证通过后在交换机上会产生一条ACL策略将该用户的IP，MAC，端门进行捆绑，如果此时用户随意更改自己的IP地址，交换机将会强制用户下线。用户下线后，对应端口的ACL策略会自动释放、删除。

本学校使用IPRMS（IP资源管理系统）来进行IP地址绑定。IPRMS是一个以IP地址及用户名为中心的管理系统，是简化IP地址和服务分配的有力工具。它实现动态分配IP地址与用户注册、检测模块集成，确定IP地址与用户的关系，并将此动态实时的信息通知其它相关服务与应用，以实现计费、防火墙、认证和审计等各种增值服务。IPRMS支持分布或集中的网络管理结构，核心服务器、地区服务器、服务代理、注册服务器、DNS服务器、DHCP服务器、Web服务器、数据库既可以分布在不同的机器上，也可以分布在同一台机器上。通过IPRMS系统友好的操作平台，可简便、有效地管理企业内部DNS服务器、DHCP服务器、注册服务器及检测服务器，创建和维护公司整体地址架构和完整的域名体系，进而管理所有IP设备，并监控其对应IP地址的使用状态。

5.结束语

网络安全是保证Internet/Intranet健康发展的基础，是保证企业信息系统正常运行，保护国家信息基础设施成功建设的关键。随着信息网络技术应用的深入，各类业务工作对网络和信息系统的依赖日益提高。如何有效的保障信息网络的安全，已经成为一个十分重要的课题。

在目前的情况下，应当全面考虑综合运用防毒软件、防火墙、加密技术等多项措施，互相配合，加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高校园网络的安全性，从而建立起一套真正适合学校计算机网络的安全体系。

参考文献：

[1]高永强，郭世泽等.网络安全技术与应用大典[M].北京：人民邮电出版社.

[2]谢希仁.计算机网络（第4版）[M].北京：电子工业出版社，2003.

[3]Franklin Jr，Curtis.Detective Work.Network Computing，2004（7）.

[4]胡道元.网络安全[M].北京：清华大学出版社，2004.

[5]王群主编Windows网络安全配置、管理和应用实例[M].北京：清华大学出版社，2004.

[6]方东权，杨岿.校园网网络安全与管理.网络安全技术与应用，2005（3）.

[7]Adrian Perrig，Dawn Song.A First Step on Automatic Generation.In：Proceedings of Networkand Distributed System Security 2000，2000（2）.

作者简介：左俊（1984—），湖北广水人，大学本科，助理讲师，研究方向：计算机技术应用。