王 召（西北民族大学电气工程学院，兰州 730000）

校园网网络安全措施研究

王 召
（西北民族大学电气工程学院，兰州 730000）

通常的校园网网络不能全面地监控整个网络和各种设备的运行状态并记录和深入分析网络流量，无法实时监控教师行为，私设IP地址的行为时有发生，迅雷、flashget等多线程下载软件抢占网络带宽的现象很突出。为了解决这些问题，增加统一威胁管理网关，加强网络安全管理，从而实现网络负载均衡、网络防火墙过滤、带宽管理、上网行为管理。是保证校园网络安全的重要措施。

安全；策略；控制

保证校园网络系统各种设备的物理安全是整个网络安全的前提条件。为了保护设备免遭环境事故的影响，我们所采用的设备必须要安全可靠，可以防止火灾、水灾等破坏，也可以避免人为操作的错误或失误，从而更好地保护校园网络系统和服务器。物理安全策略主要包括以下两个方面:

（1）环境安全。能够保护计算机系统的安全，使之工作在相对安全的工作状态下，并能更好地创造电磁兼容的环境。

（2）设备安全。设备的防毁、防盗、防电磁信息辐射泄漏、电源保护及抗电磁干扰等，都是设备安全的主要方面。

1　访问控制策略

我们所采取的一些访问控制的措施是为了防止非法用户对网络资源使用和访问，网络安全最重要的策略是访问控制策略。

（1）网络的权限控制。网络的权限控制可以控制非法操作，保护网络安全。系统可以对用户设定权限，也对用户组限定了一些权限。只有这样，才能有效的控制用户的访问目录，控制访问资源及访问文件以等，对于一些目录的操作也对用户设定了限制。

（2）入网访问控制。第一层访问控制是入网访问控制，它可以有效的控制不被允许的人登陆到网络，从而获取网络资源，还可以控制用户的登陆时间和登陆网站。

（3）属性安全控制。如果用到目录、文件和网络设备时，校园网络管理者应该给目录、文件等指定一些访问属性。把给定的属性与目录、网络服务器的文件和网络设备连接在一起，这是属性安全控制的任务。为了能保证更好的安全性，属性安全是在权限安全的条件下进行的。

（4）目录级安全控制。用户在指定的权限内可以有效的访问目录，同时也可以指定子目录下的一些权。

（5）网络监测和锁定控制。自动锁定账户是在进入网络的次数达到设定数值时进行的，这样可以限定非法访问用户的次数。

（6）网络服务器安全控制。服务器的控制台上进行的一系列操作是网络允许的。网管应该对校园网进行监控，用户对网络资源的访问可以被服务器记录下来。服务器应该对非法的网络访问以图形或声音或文字等一些方式报警，这样就可以引起校园网络管理者的注意。当非法用户试图进入校园网络时，对控制台模块进行装载和卸载，非法删除和安装软件等这些操作是会被网络服务器自动记录下来的。为了防止非法用户破坏数据或删除、修改重要信息，可以对网络服务器设定口令锁定。同时也可以对服务器进行登录时间的控制、对非法访问者也可以进行检测，关闭其非法操作，也可以查到相应的时间间隔。

2　防火墙控制策略

可以保护校园网络安全的技术措施是防火墙技术，它是近期发展起来的一种技术。可以阻止黑客访问网络机构，防火墙位于软件或者硬件或两种都有，它是一种可以控制网络的系统，可以限制非法用户访问网络资源，监控内部和外部网络系统，可以防止破坏和偷窃行为的恶意攻击［1］。

3　信息加密策略

保护校园网内的文件、数据、控制信息和口令，保护网络传送的数据是信息加密的主要目的。端点加密、链路加密和节点加密是网络加密常采用的三种方法。链路加密是指保护校园网络节点与节点之间的链路信息安全。对从起始端用户到目的端用户提供数据保护是端点加密技术。对从源节点到目标节点的链路传送进行保护是节点加密技术。各种加密算法对信息加密过程进行具体实施。在很多情况下，保证信息机密性的唯一方法是信息加密策略［2］。

4　网络入侵检测技术

试图破坏信息系统的机密性、完整性、可信性的所有网络活动都叫做网络入侵。入侵检测（IntrusionDeteetion）技术是指：能检测针对网络资源或计算机的恶意行为和企图，并对这些行为和企图做出相应反应的过程。该技术可以检测出来自内部用户的未被授权的活动，也可以查出来自外部的入侵行为。 这个技术采用了以攻为守的策略，它能提供出合法用户乱用特权的数据，也有可能提供一些非法用户入侵网络的有效证据。

5　镜像和备份技术

镜像技术是指两个设备同时运行完全一样的工作，如果其中一个设备发生故障，另一个设备还可以继续工作。为了提高完整性，需要采用镜像和备份技术。提高数据完整性最常用的措施是备份技术，对于需要保护的数据，在其他地方制作一个备份，如果原件丢失了，还能使用备份数据［3］。

6　网络安全策略配置

（1）安全接入和配置。在接入网络前，为了保证网络基础设施的安全性，要经过授权和认证限制。

（2）谢绝服务的防止。防止主要是防止出现Smurf攻击、TCP SYN泛滥攻击等是校园网络的设备拒绝服务攻击的的主要目的。配置网络设备的TCP SYN临界值，如果多于设定的临界值，则丢弃多余的TCP SYN数据包是网络设备防止TCP SYN的主要方法。为了避免成为一个Smurf攻击的受害者和转发者，应该防Smurf攻击，使得配置网络设备设置ICMP包临界值和不转发ICMP echo请求。

（3）访问控制。① 开放全部端口并允许内网访问Internet；② 从公网到隔离区的访问请求是允许的；③ 关闭全部端口并禁止公网到内部区的访问请求；④ 开放全部端口并允许内网访问隔离区；⑤ 开放全部端口并允许隔离区访问Internet；⑥ 关闭全部端口并禁止隔离区访问内网。

［1］王英龙.Ad Hoc网络路由协议安全性分析方法研究［J］.山东：山东大学，2005：17-20.

［2］宋庆大.计算机网络安全问题和对策研究［J］.现代电子技术，2009（05）：15.

［3］张燕.网络故障诊断关键技术［J］.电脑知识与技术，2009（11）：32.

10.16640/j.cnki.37-1222/t.2016.14.122

王召（1995-），女，湖北孝感人，本科在读。