引言

校園網是當今信息社會發展的必然趨勢。 它是以現代網絡技術、多媒體技術及 Internet 技術等為基礎建立起來的計算機網絡， 一方面連接學校內部子網和分散于校園各處的計算機，另一方面作為溝通校園內外部網絡的橋梁。 但由于計算機網絡具有形式多樣性，終端分布不均勻性和網絡的開放性，互連性等特征，使得網絡信息安全日益成為一個至關重要的問題。計算機校園網絡系統是學校重要的現代化基礎設施，應為學校的師資培訓、教學科研、科室辦公、現代化管理等提供先進、可靠、安全、快捷的計算機網絡環境。 因此，保障校園網絡信息安全越來越成為一個不可回避的問題。

1 校園網的安全隱患

校園網具有速度快、規模大，計算機系統管理復雜，用戶非?；钴S，相對開放的網絡環境，有限的資金及人力投入等特點，這些特點使校園網既是大量網絡攻擊的發源地，也是網絡攻擊者最容易攻破的目標。 當前，校園網常見的安全威脅有如下幾種。

1.1 普遍存在的計算機系統漏洞
安全漏洞是指允許任意用戶未經授權獲得訪問，或提高其訪問權限的硬件或軟件特征。 漏洞也可以理解為某種形式的脆弱性，網絡結構、服務器、操作系統、防火墻、TCP/IP 協議等方面都存在大量安全漏洞。 例如：

1.1.1 VM 漏洞。 此漏洞可能造成信息泄露，并執行攻擊者的代碼。 攻擊者可通過向 JDBC 類傳送無效的參數使宿主應用程序崩潰，攻擊者需在網站上擁有惡意的 applet 并引誘用戶訪問該站點。 惡意用戶可在用戶機器上安裝任意 DLL,并執行任意的本機代碼，潛在地破壞或讀取內存數據。

1.1.2 帳號快速切換漏洞。 Windows 操作系統快速帳號切換功能存在問題，可被造成帳號鎖定，使所有非管理員帳號均無法登錄。 Windows操作系統設計了帳號快速切換功能，使用戶可快速地在不同的帳號間切換，但其設計存在問題，可被用于造成帳號鎖定，使所有非管理員帳號均無法登錄。配合帳號鎖定功能，用戶可利用帳號快速切換功能，快速重試登錄另一個用戶名，系統則會認為判別為暴力破解，從而導致非管理員帳號鎖定。

1.2 計算機病毒入侵
計算機病毒是校園網安全最大威脅，能夠通過計算機網絡、存儲介質等進行傳播。 其中，網絡病毒具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強的特點。 近年來的 CIH 病毒、愛蟲病毒、熊貓燒香病毒等網絡病毒對全球計算機網絡造成了極大的破壞和嚴重的經濟損失。網絡蠕蟲病毒的危害日益嚴重，種類和數量日益增多，發作日益頻繁?，F在，蠕蟲病毒往往與黑客技術結合，計算機中毒發作后，常導致拒絕服務攻擊（DoS），連累全網服務中斷。 過去，病毒最大的“本事”是復制自身到其他程序。 現在，它具有了蠕蟲的特點，通過網絡到處亂竄。還有些病毒具有黑客程序的功能，一旦侵入計算機系統后，病毒控制者可以從入侵的系統中竊取信息，遠程控制這些系統。

校園網中病毒的主要來源有盜版光盤、電子郵件、惡意的網頁、網絡共享、U 盤等。 主要入侵途徑見下：

1.2.1 輕率地使用盜版光盤上的軟件 ,因為光盤是只讀的 ,即便發現了病毒也無法刪除，再加上它廉價的優勢，很容易誤用。

1.2.2 隨著互聯網的發展 ,電子郵件被頻繁地使用 ,這給蠕蟲類病毒提供了良好的空間，毫無防備的接收電子郵件，甚至是僅僅選中了一封郵件的標題頭，就有可能使病毒在你的機器里安家落戶了。

1.2.3 瀏覽網頁是絕大多數上網者的事情 ,令人遺憾的是 ,過去一直被認為瀏覽網頁是安全的觀念現在已經被徹底打破，大量事實表明僅僅是閱讀了某些網頁（當然是含有惡意代碼的網頁，事實上你并不知道它有害），就完全有可能在你的機器上運行任何程序，比如格式化你的硬盤，安裝木馬，把你的瀏覽器肆意篡改，限制某些功能等等。

1.2.4 在校園網中設置網絡共享可以極大的方便用戶共享信息 ,但是不幸的是如果共享文件中有病毒， 它就會感染使用此共享文件的系統，進而影響到所有的用戶。

1.2.5 來自 U 盤的入侵 ,校園網方便了人們的數據交流 ,但由于 U 盤攜帶方便，U 盤的使用率很高， 如果不小心使用了帶有引導區病毒的U 盤，盡管這種病毒不能成功的駐留你的機器 ,但是它有可能破壞你的硬盤分區，導致數據丟失。

1.3 來自網絡外部的入侵、攻擊等惡意破壞行為
隨著網絡技術的發展，各種網絡攻擊事件頻頻發生，黑客的惡意行為給人們帶來了難以估量的損失， 甚至有些教師一上網就心有余悸。 分析網絡攻擊將有助于做好防范措施。 網絡攻擊主要有以下幾種形式：

1.3.1 拒絕服務（DOS）：就是對服務器產生大量的服務請求 ,使服務器忙于響應大量的應答訊息， 造成的現象為 TCP/IP 棧崩潰， 導致與Internet 的連接中斷 、有無數的窗口被打開 、系統死機 ,甚至重新啟動等等，使得服務器系統不勝負荷，致使服務器喪失提供正常服務的能力。 這種攻擊不需要高深的知識， 僅從網上下載一些程序 WinNuker,FluSho 等，甚至使用簡單的網絡命令 Ping（偽裝 IP 地址），也能夠造成系統資源大量消耗，最終形成 DOS 攻擊，致使系統崩潰。

1.3.2 木馬程序 :你的機器上一旦被人種植了木馬 ,就意味著你的機器就可以被別人像你自己一樣使用，你的一舉一動都在他人的掌握之中，甚至利用你的機器去做些你不知道的事情，而那個人可能是在地球的那一邊，很難發現他。

1.3.3 黑客入侵 :是指某些具有頂尖網絡技術的人士 ,使用掃描程序發現系統開放的端口和漏洞，然后通過特殊的程序或進行特定操作就能夠控制整個系統。

黑客大多利用系統中的安全漏洞非法進入他人計算機系統，通過獲取口令、控制中間站點、獲得超級用戶權限，達到讀取他人電子郵件、搜索和盜用私人文件、毀壞重要數據、破壞整個系統的目的。 黑客常用的攻擊手段主要有：網絡監聽、地址欺騙、會話劫持、拒絕服務攻擊。

1.4 校園網內部的威脅
1.4.1 IP 地址盜用主要有 IP 地址的盜用，混用問題，校園網內部連接的計算機有的是得到合法的 IP 地址，有的沒有申請過 IP 地址，如果沒有 IP 地址的用戶冒用合法用戶的 IP 地址上網， 這就是 IP 地址的盜用；IP 地址的混用是指用戶由于某些原因，人為地修改了機器的靜態的 IP 地址。 這兩種情況都能造成局域網內部地址的沖突，嚴重影響著網絡的正常使用。

1.4.2 校園網內部用戶對網絡資源的濫用有人利用校園網資源進行商業的或免費的視頻、軟件資源下載服務，占用了大量珍貴的網絡帶寬，從而影響網絡的速度。

1.4.3 垃圾郵件、不良信息的傳播對于校園網絡，由于使用人群的特定性，必須要對網絡的有害信息加以過濾，防止一些色情、暴力和反動信息危害學生的身心健康，必須采用一套完整的網絡管理和信息過濾相結合的系統。實現對校園內電腦訪問互聯網進行有害信息過濾管理。

2 安全解決方案

好的安全解決方案要從環境、用戶、產品、意識等方面來考慮，進行綜合分析，逐個解決存在的問題，把可能發生的危害排除在發生之前，達到安全防護的目的。并且把網絡安全理念貫穿于網絡建設、使用和維護的整個過程中，而不是顧此失彼，僅僅強調某個環節。

2.1 校園網絡的 IP 路由信息和訪問范圍的控制管理
校園網絡主要采用 TCP/IP 網絡協議， 網上的路由器間需要交換路由信息，IP 路由信息交換有動態和靜態兩種方式。 采用靜態路由協議，與上一級網絡中心相連，不采用 RIP 主要原因是為了防止網絡上不正確的路由信息對本校園網絡的影響。

為了控制用戶訪問一些網絡采用 IP 的限制， 在路由器上加入這兩條指令：【1】

該規則表示只有 3 網段上 192.168.3.0-192.168.3.31 的用戶才能訪問國外網站這樣防止其他用戶訪問國外網站，避免造成國外流量劇增，從而增加經費開支（指按流量計用戶）。

為了禁止網絡不必要的端口連接，在路由器上加入如下指令：【2】

該規則表示訪問列表序號為 101,禁止從一切主機建立與 IP 地址段為 192.168.3.1-192.168.3.254 的主機建立 telnet（23）連接，同時禁止一切主機與主機之間的 138 端口的連接。

2.2 采用虛擬局域網技術（VLAN）
VLAN 能夠幫助控制流量 ,提供更高的安全性 ,使網絡設備的變更或移動更加方便。 VLAN 技術的核心是網絡分段，根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，以達到限制非法訪問的目的。

一個 VLAN 組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。 使用 VLAN 具有以下優點：

2.2.1 控制廣播風暴 , 一個 VLAN 就是一個邏輯廣播域 , 通過對VLAN 的創建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。

2.2.2 提高網絡整體安全性， 通過路由訪問列表和 MAC 地址分配等VLAN 劃分原則，可以控制用戶訪問權限和邏輯網段大小 ,將不同用戶群劃分在不同的 VLAN 中，從而提高交換式網絡的整體性能和安全性。

2.3 軟件系統的安全防護
隨著技術的發展，操作系統越來越復雜，從而導致了操作系統本身的漏洞也越來越多，這樣就使得操作系統不是絕對安全、萬無一失的。 最近幾年針對 Windows、Unix 安全漏洞的各種病毒、網絡攻擊日益增多，因此我們必須加固機器中的操作系統，主要采取以下方法：

2.3.1 及時安裝系統補丁程序，各大廠商都會在他們自己的網站以及授權站點上公布，都是免費使用的，需要注意的是，下載安裝補丁程序時需要仔細閱讀附帶的安裝說明書，以防補丁程序帶來無謂的損失。

2.3.2 最小化系統 ,遵循最小化原則 ,也就是說 ,能不裝的一定不裝 ,一定要裝得要盡量少裝，因為每多一個不必要的模塊，就增加了一份不安全的因素，所以對于系統要嚴格檢查去掉不必要的模塊，提高系統的安全性。

2.3.3 加強操作系統權限管理和口令管理 , 比如用戶權限的分配，共享目錄的開放與否、注冊表的安全配置、瀏覽器的安全等級等等。

打開“計算機管理”,檢查用戶和組里是否有非法用戶，尤其小心管理員權限的非法用戶。 禁止系統提供的 GUEST 用戶，因為黑客常用GUEST 進行系統控制， 對于 ADMINISTRATOR 則應進行改名操作并設置足夠復雜的密碼。 開啟審核策略，修改終端管理端口，以及配置MS-SQL,刪除危險的存儲過程。

2.4 安裝殺毒軟件
現在大多數用戶都了解了病毒，也都安裝殺毒軟件，需要說明的是， 安裝了殺毒軟件并不能保證你的機器已經完全拒病毒于門外了，你還需要做以下的事情：

2.4.1 及時升級殺毒軟件， 這是由于殺毒軟件的滯后性所決定的 ,否則的話，新的網絡蠕蟲病毒仍然可以在你的機器里暢通無阻。

2.4.2 要經常使用殺毒軟件檢查系統并清除病毒 ,安裝后 ,如果長期不用，那也起不到殺毒作用了，充其量也不過只是一種擺設而已。

2.4.3 使用殺毒軟件的監控功能 ,這樣能夠有效地把木馬程序 、網頁炸彈等有害程序拒之門外。

2.5 安裝防火墻技術
防火墻技術是控制進和出兩個方向通訊的門檻，是抵御來自網絡攻擊最有效的手段之一，它能允許你“同意”的人和數據進入你的網絡或機器，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。 因此它能夠最大程度的保護你的系統信息不向外泄漏，所以對通過交換機直接上寬帶的用戶而言，使用防火墻至少可以幫你抵擋來自網絡常見的攻擊方式：

2.5.1 拒絕服務（DOS），防火墻能識別諸如 WinNuker,FluSho 等所發送的數據包，提醒用戶作相應的處理，及時切斷與某個 IP 的通訊，預防DOS 的形成。

2.5.2 監控不明程序進程， 木馬類程序往往隱藏在正常的程序中 ,它們后臺運行然后通過網絡與主控端聯系，往往很難被發現，而防火墻的監控進程功能就可以有效地攔截含有木馬類的不明程序在你的機器上的運行，從而達到安全防護的目的。

2.5.3 對于熟悉網絡的用戶而言，還可以使用防火墻的端口阻塞功能關閉不需要的端口，可以有效地保護系統信息不向外泄漏，并且也降低了黑客利用開放的端口入侵的可能性，從而達到安全防護的目的。

2.5.4 與殺毒軟件一樣，安裝了防火墻以后，并非萬事大吉。 要想充分發揮它的安全防護作用，還必須對它進行跟蹤和維護，要與商家保持密切的聯系，經常關注商家的動態，特別是一些免費使用的防火墻，象天網防火墻、綠色警戒等，因為商家一旦發現其產品存在安全漏洞，就會盡快發布更新程序，此時應盡快確認真偽并對防火墻進行更新。

2.6 IP 地址的管理
在當今的 internet 互聯網絡中，TCP/IP 網絡協議已經成為事實上的工業標準模型，TCP/IP 網絡中的任何一臺主機都需要有一個合法的IP 地址才能正常運行，在設計規劃校園計算機網絡時，應做好各用戶、各部門對上網業務需求調查和統計，確定 IP 網絡地址的劃分，在網絡管理中，如果 IP 地址管理手段不完善，網絡很容易出現 IP 地址沖突和 IP 地址被盜用，就會導致合法的 IP 地址用戶不能正常享用網絡資源，不僅對網絡的正常使用造成影響，同時由于被盜用的地址往往具有較高的權限，因而也對用戶造成了大量的經濟上的損失和潛在的安全隱患。為了防止 IP 地址沖突和被盜用，可以在代理服務器端分配 IP地址時，把 IP 地址與網卡 MAC 地址進行捆綁。

對于動態分配 IP,做一個 DHCP 服務器來綁定用戶網卡 MAC 地址和 IP 地址，然后再根據不同 IP 設定權限。 對于靜態 IP,如果用三層交換機的話，你可以在交換機的每個端口上做 IP 地址的限定，如果有人改了自己的 IP 地址，那么他的網絡就不通了。 我們現在針對靜態 IP地址和動態分配 IP 地址的綁定講解一個實例：

2.6.1 靜態 IP 地址的綁定
查看網卡 MAC 地址（有多種辦法查看，如 ipconfig/all 命令），如一個用戶 MAC 地址為 00-AO-4C-6C-08-75, 分配給其的靜態 IP 地址為 192.168.3.22.

記錄后再到代理服務器端讓網絡管理員把您上網的靜態 IP 地址與所記錄計算機網卡 MAC 地址進行捆綁。 具體命令是：ARP-s192.168.3.2200-AO-4C-6C-08-75

這樣，就將您上網的靜態 IP 地址 192.168.3.22 與網卡地址為 00-AO-4C-6C-08-75 的計算機綁定在一起了， 即使別人盜用您的 IP 地址 192.168.3.22 也無法通過代理服務器上網。 其中應注意的是此項命令僅在局域網中上網的代理服務器端有用，還要是靜態 IP 地址，對動態 IP 地址將不起作用。 要刪除所給出的 IP 地址與 MAC 地址的捆綁，命令如下：ARP-d192.168.3.2200-AO-4C-6C-08-75ARP-s192.168.3.2200-AO-4C-6C-08-75

2.6.2 動態 IP 地址的綁定對規模稍大的網絡用“ARP”命令捆綁 IP 地址和 MAC 地址是不適用了，手工指定 IP 地址也不現實，通常是使用 DHCP 服務器動態分配 IP 地址。 因此使用“ARP”命令進行綁定是無法實現的。 用 DHCP 服務器集成的 IP 地址和 MAC 地址綁定功能，只要我們合理設置，一樣可以實現。

查找客戶機 MAC 地址要想在 DHCP 服務器中實現 IP 地址和 MAC 地址的綁定，同樣要先知道客戶機的 MAC 地址。如想讓主機名為“RTJ”的客戶機固定使用“192.168.0.8”的 IP 地址，首先在客戶機上運行“ipconfig/all”命令，查到該客戶機網卡的 MAC 地址為“00-0E-A6-0C-DE-B9”.

新建保留在 DHCP 服 務 器 端 , 打 開 DHCP 管 理 器 , 展 開 創 建 的 范 圍“192.168.0.6~192.168.0.100”的作用域 ,右鍵點擊 “保留 ”選項 ,在彈出的菜單中選擇“新建保留”,彈出配置對話框。 在該配置對話框中為主機名為“RTJ”的客戶機綁定 IP 地址和 MAC 地址（見圖 1），在“保留名稱”欄中為該保留項目取名，如“RTJ”,然后在“IP 地址”欄中輸入“192.168.0.8”,“MAC 地址 ” 欄中輸入客戶機的網卡 MAC 地址 “00-0E-A6-0C-DE-B9”,接著在“支持類型”中選擇“兩者”選項，最后點擊“添加”按鈕，即可完成客戶機的 IP 地址和 MAC 地址綁定?！緢D1】


3 校園網安全管理措施的建議

加強校園網安全管理措施的建議：由于每個學校機構設置和技術能力的不同，相應的實施安全管理方案也有所區別，可以將校園網安全管理建設為兩個方面：第一，網絡安全設備方面；第二，網絡用戶和管理員，即人員的方面。

3.1 配備完整系統的網絡安全設備
在網內和網外接口處配置一定的統一網絡安全控制和監管設備，加強網絡的訪問控制能力，一般包括：防火墻、入侵檢測系統、漏洞掃描系統、網絡版的防病毒系統等。 對郵件系統建立統一服務器系統，方便垃圾郵件的檢測和攔截。 統一桌面防毒系統，使其能夠自動升級，實時具備最新的防護能力。通過配置安全設備可以實現對校園網絡進行系統的防護、預警和監控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網絡的故障可以迅速定位并解決。

3.2 要提高使用人員的管理安全意識
這里的使用人員包括用戶和管理員。 對于用戶，尤其是新生，應該進行網絡安全教育，提高遵守相關的安全制度的自覺性，增強整體安全防范能力。 對于管理人員要定期進行培訓，以提高其專業方面的素質，使他們具有較高的網絡管理水平，要做到及時進行漏洞修補和定期檢查，保證對網絡的監控和管理。 學校要出臺相關的網絡安全管理制度，規范校園網用戶對網絡的使用方法，從人員方面將出現威脅的可能性降到最低。

大量的安全事件表明：缺乏安全意識是導致事件發生的重要因素之一。因此還需要把安全意識提到議事日程上來。就校園網而言，在做好技術防護的同時，加強校園網的安全教育，提高安全意識，掌握使用安全工具的能力，提高遵守相關安全制度的自覺性，對于維護網絡的安全也是非常重要的。 具體如下：

3.2.1 向用戶講解互聯網的基本知識，使用戶了解到互聯網給人們帶來方便的同時也帶來了更為不安全的因素，這種不安全性是互聯網的歷史原因造成的，我們一時間還不能完全避免。

3.2.2 簡單的了解 TCP / IP 協議 、 端口 、IP 地址 、WWW 服務 、FTP 服務、Email 服務、注冊表的功能及使用等。

3.2.3 使用戶能夠正確地設置瀏覽器，會清除上網留下的個人行蹤。

3.2.4 能夠掌握殺毒軟件、防火墻軟件的設置和使用。

3.2.5 在使用 QQ 等聊天程序時要特別注意，由于設計上使用 UDP 協議的原因，它很容易泄露你的系統信息要經常升級 QQ 程序。

3.2.6 接收電子郵件時打開殺毒軟件的實時監控功能。

3.2.7 不要擅自改動機器的 IP 地址，雖然經常更改機器的 IP 地址可以防止木馬類程序的攻擊，可是這不是有效的途徑，這樣會造成 IP 地址的混亂，影響網絡的正常運作，我們應該借助有效的工具軟件來查殺木馬程序，做好防范措施。

3.2.8 瀏覽網站時盡量去那些名氣大 、流量大的網站 ,因為它們的安全性一般是很好的。 因為有些網站往往在你剛登錄上去，你的機器就可能已經染上了病毒；網頁里的腳本可以執行你硬盤上的程序；有時當你瀏覽某些網頁時，瀏覽器會自動下載某類文件，這是很危險的；有的網頁通過 CGI 程序就能竊取你硬盤上的資料等等，所以瀏覽網頁時要有選擇性。

3.2.9 單位要加強對校園網安全管理人員的培訓 ,使他們從技術上提高應對各種攻擊的能力。

4 結束語

以上是我對網絡安全的一些粗淺的認識， 校園網絡的安全問題，不僅是設備，技術的問題，更是管理的問題。因此校園網的安全也不是一成不變的，我們只有從自身從做起，一定要提高網絡安全意識，加強網絡安全技術的掌握，掌握必要的工具、技術，在使用校園網的同時自覺維護它的安全性，使校園網在學校信息化建設過程中發揮更好的作用。

【參考文獻】
[1]張民，徐躍進.網絡安全實驗教程[M].清華大學出版社，2007,6.
[2]劉培文，趙建功.計算機網絡應用教程[M].北京科海電子出版社，2009,5.
[3]鄭娟.計算機網絡技術與應用教程[M].機械工業出版社，2005,7.