蒲昌玖，胡 飞

(重庆第二师范学院 网络中心，重庆 400067)

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全［1］主要是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。随着教育的信息化、校园数字化成为教育发展的方向，几乎各大专院校都纷纷扩大、改建或新建自己的校园网。这使得校园网络规模不断扩大并带来用户数量的激增，校园网安全问题越来越严重，数据的安全性和学校自身的利益受到了严重的威胁。因此，只有需要针对各种不同的威胁或攻击采取必要、有效的措施，才能确保网络信息的保密性、安全性和可靠性。

本文以重庆第二师范学院为研究对象，详细讨论了各种网络安全技术在解决校园网络安全问题中的应用，并提出了综合利用各种网络安全技术保障校园网络安全的具体解决方法。

1 校园网的现状

计算机网络的发展从20 世纪50 年代以前以单主机为中心的联机终端系统，然后到形成了有多个单主机系统相连接的计算机网络，再到B/S 模式、SOA 和数据中心的阶段，以及发展到现在提出的云计算、物联网、移动终端和虚拟现实等技术支持的网络结构。与其紧密结合的校园网络的要求也随之提高。目前，很多高校把建设数字校园作为长期发展规划，特别是在新校区建设过程中，把数字校园纳入总体建设目标，大力推进了数字校园建设的进程。我校也在这方面取得了一定的成果。

图1 校园网络拓扑图

我院校园网始建于2000 年，目前学院已从中国电信接入宽带达200M、中国联通和中国移动接入宽带达各100M，还分别从这三家运营商处获得了6个、64 个、2 个C 类IPv4 网络地址。校园网投入运行后，一直稳定良好地运行，为学院的教学、科研发挥了重要的作用。随着整个学校规模的不断扩大，计算机应用水平的不断提升，和新校区的建设，校园网经过了两次大规模的改造和升级。校园网拥有4台万兆核心交换机，20 台高性能汇聚交换机，200 多台可网管接入交换机，1 台无线控制器AC，30 个无线AP 点。目前已建成万兆双冗余骨干网，有线网络和无线网络覆盖全院所有区域，楼宇互联达到千兆，桌面接入达到百兆，通过租用运营商的链路实现了学府大道校区和南山校区的互联，将两个校区纳入同一个局域网络内加以管理，其网络拓扑图如图1 所示。校园网带宽能够满足教学、科研、管理及服务的需要。

2 对校园网络安全造成威胁的原因

校园网络安全所面临的威胁是多方面的，有物理上的，也有逻辑上的;有内部的，也有外部的;有人为的，也有非人为的。在目前条件下我们应该根据实际网络环境设计一个良好的安全防护策略。归结起来，对校园网络安全构成威胁的主要原因有以下几个方面［2］:

2.1 物理上的安全

物理上的安全主要在于保护物理设备不被丢失，供电系统能达到要求，防雷达到规范，其工作的环境能够满足温度和湿度等要求。这些要求不仅是中心机房的要求，而且在弱电井的交换机等设备也需要考虑，只不过中心机房的要求更高。

2.2 网络安全投入不足，无系统网络安全设施配备

网络建设经费的不足是大多数学校都遇到的问题，因为一直以来，高校一直承担着因数字校园建设而带来的各种费用。这些费用的支付一部分来源于上级部门的拨款，另一部分由高校自行解决。而学校的需要资金很多，很多学校就需要把有线的钱用于更重要的地方，就不可能购买所有的安全设备。

2.3 网络病毒泛滥

相对于网络入侵事件来说，病毒的危害对学校网络造成的影响更大。病毒的破坏能力不仅在于破坏系统，更多的情况是造成网络性能急剧下降，甚至造成网络的中断。网络病毒的肆虐传播，极大的消耗了网络资源，造成网络性能下降，特别是高校的局域网更加适合病毒的传播，如arp 病毒等。近2 年学校南山校区每到开学的时候发生的病毒引起的广播风暴导致网络问题的数量一直在增加，容易引起交换机资源的不足而死机或不能上网等。

2.4 安全意识淡薄，执行力度不够

学校有很多的比较完善的网络安全管理制度，但很多用户(包括教职工和学生)可能并没有去阅读或执行。而他们的安全意识又比较淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。

2.5 网络的攻击

网络攻击来源于内部网络还是外部网络，而网络攻击在于窃取信息和破坏系统。一般来说，学校网站上没有很保密的资料。目前Internet 上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大，因此要防止外部“黑客”利用学校服务器传播这些信息。更多的网络攻击可能出现在内部的学生身上，这些“内部攻击”不是为了获得某些东西或破坏而攻击，更多的是为了满足自己的好奇心。而网络的黑客攻击资料和工具很多，有时他们就会选择这些工具和资料进行攻击实验，又由于学校网络的正好适应了他们网络的快速反映和对学校网络了解的要求，他们更愿意选择学校设备作为工具对象。从而可能带来网络的不稳定。

2.6 人为因素

由于学校人员的密集性，很多办公室或寝室的网络端口数量都是大于两个，有的教职工或学生并不了解网络，他们有可能把网线的两端同时接入两个网口形成了网络环路。那么该节点就不断发广播包。若没有被有效的设备拦截就会引起网络上其他节点的回应，不断扩散，进而引起连锁反应，很快部分网络就会被局域网络上所有节点所广发的广播包堵塞，最终主交换机和服务器就会瘫痪，网络也就瘫痪了。另一种是校内人员无节制的上网行为(主要发生在那些上网不要钱的账号上)，他们通过各种P2P 工具下载一些影视资料等，极大地耗费了学校的网络带宽资源，加大了病毒传播的风险。

2.7 操作系统的漏洞

目前，被广泛使用的网络操作系统主要是WINDOWS。这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染，如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。

2.8 口令和权限

校园网中有很多应用，很多应用的数据都很敏感。很多系统的管理都是通过限定不同人员的账号权限去管理系统。但有的某些人总想越权操作，篡改数据，要么是得到有权限管理人员的账号(这种情况最多，管理员有可能无疑中泄露账号或者在某个特殊时期把账号给别人使用了一下。还有是非法技术获得，如用木马病毒、记录键盘或者网站密码的注入攻击等方法)，要么是通过非法途径提升自己的管理权限(如早期的ipc $ 漏洞等)，从而获得或破坏数据。

3 校园网络的防范机制

3.1 建设专业化的网络人才梯

只有全面提高全校师生员工的网络应用水平，建设高素质的人才梯队，才能发挥校园网在高校教学和科研管理中的作用［3］。

3.2 物理安全策略

保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。一方面，主要是通过保证设备工作环境满足设备工作的要求，如环境安全。另一方面，设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

3.3 加强网络安全教育，增加网络方面的知识

结合学校“安全教育”等活动，坚持开展针对性和实效性强的网络安全教育活动。如利用板报、宣传栏、校园网等，广泛开展网络安全宣传活动，使学生认识网络安全的重要性和维护的必要性。当然，宣传的文章不用太专业，可通过图文并茂的方式讲解。如果学校用的登录软件进行认证的可在登录后随机的弹出该网站，在网页登录的可在登录网页上直接宣传。其次，还可以在上网账号自助服务中心网页上公布这些内容;教职工可通过培训进行提高，而学生方面，与数学与信息科学系沟通，对计算机专业方向的学生在上相关课程时，可加强这方面的教育。而非计算机系的可选修课、社团等形式方式加强学生的安全教育和普及网络方面的知识。当然，还可以建立一定的网络安全预警机制。

3.4 增加设备的投入

从图1 的网络拓扑图可以看出，学校在安全方面主要是通过防火墙来防止外部的入侵。在资金允许的情况下，可适当增加一些安全方面的系统，如入侵检测系统，行为管理系统等［4］。在内部，因为南山校区所有设备都是使用的华为的可网管的交换机，可增加支持他们的snmp 协议的管理软件，不光能够更快速的反应哪些交换机出现异常，还能观察交换机的端口通过数据异常的告警等。

3.5 网络设备策略的使用

从图1 的网络拓扑图可以看出，我校具有网络流控设备IP2000，那么，我们可通过该设备进行各时段网络流量的监控和网络数据的分析，可以减少P2P、网络电影方面的数据流量。从而保证能够满足大多数用户的HTTP 的请求。还可以检测到恶意IP 的大量下载［5］。

3.6 安装防毒软件，及时对系统打补丁

虽然单机的杀毒系统并不能解决病毒在网络的横行，但是作为管理者不光要教育使用者安装杀毒软件，还有在重大病毒到来时，提出预警。特别是学校局域网中ARP 病毒开启防火墙能保证自己上网的正常。第二，及时对系统进行升级，特别是在重大漏洞出现时对服务器的升级。

3.7 统一身份认证和账户的分级、分区管理

学校的应用系统繁多，如果在每个系统中都建立账户的话，可能产生很多，不光用户不容易记，有的系统账户自动生成，开始是默认密码，有个用户可能没有用而忘记该密码，就可能造成信息的泄露(在以往新建系统过程中经常有这样的经历，当新增加一个系统，如VPN 或OA 等，需要给每位老师都建立账户，又不可能让他们单独来设置密码，就在建系统的时候都设置了统一的默认密码，用过的老师一般会该密码，但有部分老师没有用或因各种原因没改密码的账号就有可能成为泄密的漏洞)。那么就需要建立统一的身份认证，实现账户的统一管理，其次对账户的分级、分区。每个系统职能不一样，有很多数据及流程，如在科研系统中有科研成果的数据，财务系统中有工资等数据，这些数据的产生可遵循“谁生成，谁维护”。在账户的分区主要是学生和老师的账户，可只允许教师账户不能用于学生宿舍区，就可避免学生在寝室尝试获得老师账户信息。

3.8 交换机的安全策略

从图1 的网络拓扑图可以看出，我校采用了S9306 为核心层，S5700 为汇聚层和S2700 为接入层的三层智能网络结构。在对内的防御上，没有其他专门的安全设备，而作为首先接触内部用户的网络设备的安全策略及其重要。在网络中主要采用了以下策略:

(1)为了满足校园网的扩展行并让普通用户不需设置就能上网的特性，架设了DHCP 服务器，并把该服务放置在了汇聚层上。开启接入交换机端口的DHCP Filtering(它是DHCP 侦听技术，是通过建立和维护DHCP Snooping 绑定表过滤不可信任的DHCP 信息，这些信息是指来自不信任区域的DHCP信息。)

(2)汇聚设备对接入自身的接入交换机分别不同的vlan 从而是IP 地址在不同交换机上呈不同的网段［6］。VLAN 技术能够将物理上互联的网络在逻辑上划分为多个互不相干的网络。通过逻辑划分使划分后的网络间无法通讯，有效的控制了广播风暴的产生、提高了高校校园网络整体的安全性。VLAN技术的应用能够降低传统物理划分的成本、降低网络管理与维护成本，提高高校网络管理与维护工作效率。VLAN 技术还能够提高信息的安全性、提高网络管理效率。而IP 地址规划更可以让各个功能区(教学去、办公区、宿舍区)处于不同的网段，有利于安全策略的设置。

(3)对接入交换机得端口设置QOS 控制，这样可有效控制“恶意用户计算机”产生其它大量的服务请求包，如icmp，导致目标cpu 过高而无法处理别的请求等。

(4)为有效防止环路等情况的出现，可以在接入交换机上设置生成树来解决端口之间的环路，而对单端口的环路可在接入设备上采用RLDP。

对应采用以上配置的如图1 我校网络，其故障解决方法也比较简单。

(1)去掉接入端口下的网络设备，把能计算机(该计算机设置为自动获得IP 地址)接入到该端口上。

(2)查看本地连接的状态，如果本地连接是网线被拔出，那么说明接入交换机到计算机网口中间线路异常，可用网线测试仪测试线路并检测模块。

(3)如本地连接的状态为感叹号(无法获得IP地址或IP 地址为169.254.X.X)，需要确认相邻多个网口是否也该状态，如果是，则说明汇聚交换机到接入交换机连线异常。如果是否，就需要检查计算机是否正常或检查接入交换机配置中端口vlan 等是否设置为VLAN。

(4)如本地连接的状态中IP、掩码、网关、DNS等都正常还不能上就需检查核心交换机到汇聚交换机的线路或者检查更上层设备的是否正常了(这种情况对不能上网人数的影响更大)。

3.9 部分系统的独立布线

校园网的建设是多个系统的整合，包含视频监控，一卡通和财务系统等。这些系统的保密性要求更高。对于视频监控系统，虽然有基于网络的视频监控(能节约线路材料)，但最好能单独走线，不仅是为了保密，也是因为实时响应，免受网络风暴的袭击。同时，也能避免在以后增加高清等摄像头后对交换机压力的增大影响。而一卡通和财务可采用单独的VLAN 从逻辑上保证他们的独立性。

［1］钟志永，姚珺.大学计算机应用基础［M］.重庆:重庆大学出版社，2012.178.

［2］谢大吉，李明华.新形势下高校网络安全隐患与对策研究［J］.信息科技，2011，(8):134-135.

［3］查怀志.校园网络安全隐患与防范机制［J］.安庆师范学院学报(社会科学版)，2009，28(9):21-24.

［4］韩洁.浅议校园网络安全防御与应急策略［J］.芜湖职业技术学院学报，2010，12(3):53-54.

［5］陈红军，王新科.基于校园网的运行维护体系研究［J］.软件导刊，2011，10(1):149-150.

［6］宋海楠.高校校园网络VLAN 技术应用［J］.信息科学，2011，(11).