李晓熙

【中图分类号】TN918.91 【文献标识码】A 【文章编号】2095-3089（2014）04-0188-01

校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统。在网络安全日益影响到校园网运行的情况下，我们不能够去保障校园网绝对的安全，只能说我们要尽一切可能去制止、减小一切非法的访问和操作，把不安全的因素降到最少，要完善校园网管理制度，对相关的校园网管理人员进行培训，对学生进行网络道德的教育，提高公德意识，安装最新的防病毒软件和病毒防火墙，不断安装软件补丁更新系统漏洞，对重要文件要进行备份，从多个方面进行防范，把校园网不安全因素降到最少。

一、物理安全

保证计算机信息系统各种设备的物理安全是保障整个校园网网络系统安全的前提。

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：

环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等，通过严格管理及提高师生的整体安全意识来实现；

媒体安全：包括媒体数据的安全及媒体本身的安全。

二、网络安全

网络安全主要涉及网络结构的安全和网络系统的安全。网络结构安全涉及网络结构的合理性和可扩展性，网络系统的安全涉及到访问控制、入侵检测、病毒防护、数据的备份等。

1.网络结构安全

网络结构的建立要考虑地域环境、现有线路状况、设备配置与应用情况、网络维护管理、网络应用等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。

在网络结构的安全方面，主要考虑网络结构的优化、路由的优化和可扩展性。

网络结构的优化，在网络拓扑上主要考虑冗余链路、冗余路由，动态路由协议的安全认证，专用网管链路等；

路由的优化，主要涉及到以下几个方面：防止单点失败；隔离路由波动；消除循环路由；较小的时延；使用路由认证，保证动态路由的安全等；

可扩展性，网络发展极为迅速，我们的需求也在不断提高，当为扩展业务范围而增加设备时，能够方便、有效地接入，不至于因网络结构的局限性，而重新调整整个网络设备。

2.访问控制

校园网络系统的访问控制可以通过配备访问控制设备来实现。

对于内部网络，根据实际的业务数据流向，应划分不同强度的网络安全域。通过配置安全的访问控制策略可以过滤进、出防火墙的数据包；管理进、出网络的访问行为；封堵某些禁止的访问；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

通过防火墙的规则设置，可以隔离数据库安全域与其它安全域，实现保护关键业务的应用、控制对服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。到数据库安全域的全部通信都受到防火墙的监控，通过防护墙的策略可以设置相应的保护级别，以保证系统的安全。

过滤网络中不必要传输的无用数据。防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加规则策略保障，如果在防火墙上添加一些有关重要应用的策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据，比如封闭目前常见的蠕虫病毒使用的端口。

防火墙具有流量控制的特性，可以依据应用来限制流量，来调整链路的带宽利用。如：在网络中，有数据库调用应用、域登陆应用等等，可以在防火墙中直接加载控制策略，使数据库调用应用、域登陆应用按照预定的带宽进行数据交换，实现流量控制，调整链路带宽利用的功能。

对于防火墙自身来说，日志的导出、日志服务器的安装，可使得通过防火墙的数据访问加以统计，为优化网络提供必要的数据，日志服务器可以完成，每个不同的源访问的流量统计，可以了解到每个源的流量是否在正常范围内，等等。

3.入侵检测

通过在数据库安全域添加入侵检测系统，保证入侵检测系统与防火墙产生联动。当网络中发生攻击时，向防火墙发送策略，将攻击行为进行过滤，使攻击行为的数据无法到达目的主机，实际上是斩断了攻击的路径。如此往复，可以提供大量时间来追测攻击源，采取相应措施。全面的联动延长了安全管理的触角，增加了安全管理的手段，加大了安全管理的强度。

防火墙的主要功能是对进出防火墙的数据进行访问控制，防火墙无法阻止由于防火墙配置有误或者绕过防火墙而进入网络的非法数据。数据一旦通过防火墙进入网络后，如果操作系统或者应用系统本身存在漏洞，由于防火墙系统是一个静态、被动的设备，这时候就无能为力了，入侵检测系统作为防火墙的一个有益补充,完全可以胜任此工作。入侵检测是根据已有的、最新的攻击手段的信息代码对进出各个安全域的所有操作进行主动的实时监控、审查，并按制定的策略实行响应(阻断、报警、发送E-mail)，同时进行日志记录，并且入侵检测系统的动态防御还能实现入侵检测系统和防火墙及其它特定网络安全系统之间的互动(如路由器)，动态的保护网络不受恶意的入侵及来自于内部的攻击。

4.病毒防护

校园网应部署一套完整的防病毒解决系统，包括客户端防病毒、服务器防病毒、群件系统防病毒、网关防病毒系统以及统一的升级、管理、监控，但面对日益猖狂的病毒，特别是蠕虫型的病毒，单靠一套完整的防病毒系统已经难以解决问题。一套优秀的防病毒解决方案不但要有一套完整的技术解决方案，还要有一个勤奋努力的网络管理员和严格的管理制度。

5.数据备份与恢复

备份系统为一个目的而存在。存档备份。当需要时，尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场地内高速、高容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

一般的数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法；三是差量备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。

在进行备份的过程中，常使用备份软件，它一般应具有以下功能：备份数据的完整性，并具有对备份介质的管理能力；支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期；支持多种文件格式的备份；支持多种校验手段（如字节校验、CRC循环冗余校验、快速磁带扫描），以保证备份的正确性；提供联机数据备份功能；支持RAID容错技术和图像备份功能。

校园网络安全是一个动态发展过程。随着计算机技术的发展，新技术的不断涌现和使用，新的安全问题也不断涌现，对网络安全的防范策略也要不断改进。加强校园网的安全管理是当前非常迫切、充满挑战的任务。在目前的情况下，应当全面考虑综合运用防毒软件、防火墙、数据备份等多项措施，互相支持，加强管理，综合提高校园网络的安全性，从而建立起一套真正适合学校校园网络的安全体系。