网络安全与解决方案

最新资料欢迎阅读

网络安全与解决方案

一、目前校园网络中可能存在的安全问题

1、网络安全方面的投入不足，没有系统的网络安全设施配备大多数学校 网络

建设经费严重不足，所以就将有限的经费投在关键设备上，对于网络安全建 设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的 安全预警手段和防范措施。

2、学校的上网场所管理较混乱由于缺乏统一的网络出口、网络管理软件 和网

络监控、日志系统，是学校的网络管理各自为政，缺乏上网的有效监控和日 志，上网用户的身份无法唯一识别，存在极大的安全隐患。

3、 电子邮件系统极不完善，无任何安全管理和监控的手段电子邮件既是 互联

网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝 大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供 自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手 段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决

4、 网络安全意识淡薄，没有指定完善的网络安全管理制度校园网络上的 用户

安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安 全带来了极大的安全隐患。网络的整体安全仅从技术和设备入手是不够的，还应 该有一套对工作人员行之有效的管理制度，尤其要加强对内部人员的管理和约 束。这是因为内部人员对网络的结构、模式都比较了解，若不加强管理，一旦有 人出于某种目的破坏网络，后果将不堪设想。然而，目前国内的髙校中还很少有 学校具备完善的校园网管理制度。同时，在对设备的操作方面也应设立相应的操 作规范。如没有规范的操作，把交换机的密码设置得过于简单；或者允许用户从 任何地点登陆核心交换机之类的问题都会给网络的安全带来巨大的隐患。在对用 户的管理方面，目前很多学校

最新资料欢迎阅读

还没有建立起一套行之有效的校园网用户管理方 法。有的学校即使有用户上网守则，但也没有相应的监控措施，难以取得违规用 户的行为证据，这些都是管理上的缺陷。

5、 病毒的侵害校园网中的用户众多，每天许多用户都要通过校园网访问 Internet,而当今Internet上的许多的资源都暗藏病毒。如果某个用户的计算 机上没

有安装防病毒系统，那么该计算机就极易被病毒感染，当网络中的计算机 被感染后，病毒就通过Internet进入了校园网内部。而现在的决大多数病毒除 了具有传统病毒的一般特性（可传播性、隐蔽性、可执行性、破坏性）之外，还具 有传播速度极快、扩散面非常广、不易防范、难于彻底清除等特点，如蠕虫病毒、 冲击波病毒、振荡波病毒等，这些病毒往往能够在很短时内里通过网络进行传播。 由于病毒在网络中大规模的传播与复制，将极大地消耗网络资源，造成网络性能 的急剧下降，严重时有可能造成网络广播风暴甚至导致网络瘫痪。

6、 网络攻击

Internet是一个开放的网络，计算机可以通过各种网络设备接入Internet, 如果

对网络访问不加限制，那么Internet上所有的网络资源都可以被任意访问。 从校园网的安全角度考虑，对于任何一个Internet用户都有必要加以防范，因 为任何一个用户都有可能是校园网的攻击者。攻击者通过设置特洛伊木马、WWW 欺骗、端口扫描等方法对网络进行攻击，一旦攻击成功将对学校的数据造成极大 的威胁。比如一些黑客入侵学校的Web服务器，篡改学校的主页损坏学校形象， 或对学校Web服务器发送大量的攻击数据包导致学校的主页难以访问。网络攻击 不仅来自于外部，还可能来自校园网内部。据统计来自内部的攻击比例要大大髙 于来自外部的攻击。这是因为校园网內部的用户对网络结构和应用系统更加熟 悉，同时校园网用户中绝大部分是具有较高知识水平的大学生群体，在学生中不 乏计算机应用髙手（特别是计算机专业的学生），由于对网络攻击的巨大的好奇 心和渴望攻击成功的心理使他们把校园网络当作网络攻击的试验场地，而这种不 安全因素对校园网的破坏力往往更大。

7、 软件系统存在安全漏洞系统安全漏洞指的是系统在设计时没有考虑到 的

缺陷，特别是操作系统，因为这些软件一般都比较的复杂、庞大，有时会因为 程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不 同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕 虫病毒也层出不穷。攻击者针对系统漏洞进行攻击，入侵成功后将获得系统的相 应的权限，进而

最新资料欢迎阅读

盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝 大多数都是使用

Window2000/xp操作系统，而Windows操作系统是不太安全的， 因为Windows操作系

统的漏洞比较多，由Windows操作系统漏洞引发的不安全问 题时有发生。此外，应用系统也不例外，如IE.Office办公软件、Ms-SQL、Oracal 等软件也存在安全漏洞。

8、 校园网中的设备多。校园网需要各种设备的支持，而这些设备分布在各 种

不同的地方，管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪， 如室外通信光缆、电缆等，分布范围广，不能封闭式管理；室内设备也可能发生 被盗、损坏等情况。校园网是一个平台，面向全校的师生，校园网中的设备管理 也比较多样化，校级设备一般有网络中心管理，院、系级设备由本部门管理，也 由本部门维护，学生自用的机器，放在学生宿舍中，由学生自行维护。这样就很 难对所有设备实施统一的安全策略，如安装防病毒软件等。所以当用户的计算机 接入校园网后感染病毒，这台感染病毒的计算机又影响了校园网的运行，于是出 现\"交叉感染”。

9、 技术上的不足。由于教学和科研的特点决定了校园网络环境应该是开放 的。

目前校园网大都是利用Internet技术构造的，且又与Internet相连，所以 校园网在运行过程中面临各种安全威胁。现在TCP/IP协议广泛用于各种网络， 所以几乎所有的Internet协议都没有考虑安全机制。并且现在人们很容易从 Internet ±获得相关的核心技术资料，特别是有关Internet自身的技术资料及 各类黑客软件，很容易造成网络安全问题。尤其是在学校学生的好奇心、破坏欲 给校园网带来了很多安全问题。其次，随着软件交流规模的不断增大，软件中的 安全漏洞也不可避免地存在。当前应用的各种网络操作系统都有不同级别的安全 风险©

10、活跃的用户群体。高校的学生通常是最活跃的网络用户，对网络新技术 充

满好奇，敢于尝试。很多学生的计算机技术水平非常高，而且具有强烈的好奇 心和实践欲望，他们时常有意无意地破坏校园网系统，尝试使用网上学到的、甚 至自己研究的各种攻击技术，干扰校园网的安全运行。另外，很多学生通过网络 在线看电影、听音乐、玩游戏，很容易造成网络堵塞和病毒传播。校园网与一般 网络不同，不仅要注意防止外部网络用户对校园网的攻击，还要注意防范校园网 内部的学生攻击。可以说，来自校园网内部的安全隐患比校园网外部的安全隐患 破坏力更强、影响更广、威

最新资料欢迎阅读

胁更大。

11、盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普 遍

使用，这些软件的传播也给网络安全带来了一定的隐患。另一方面，从网络上 随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入 和利用。 二、校园网络安全解决方案

1、配备完整的、系统的网络安全设备在网内和网外接口处配置一定的统 一网

络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、 入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外配置安全设备既要 考虑到功能，同时也必须考虑性能和可扩展性，以避免成为网络的瓶颈。通过配 置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访 问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

2、 解决用户上网身份问题，建立全校统一的身份认证系统校园网络必须 要解

决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基 础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的 全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息 化的各项应用系统提供了安全可靠的保证。

3、 规范出口的管理实施校园网的整体安全架构，必须解决多出口的问题。 对

于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的 安全提供最基础的保障。

4、严格规范上网场所的管理，集中进行监控和管理上网用户不但要通过 统一

的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控, 上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确 性。

最新资料欢迎阅读

5、改造电子邮件系统，提供多种安全监控和管理功能针对目前邮件系统 存在

的安全隐患，航天联志结合国内知名的邮件安全系统提供商美讯智推出了专 门针对校园网的邮件安全系统。该系统具有强大的高准确率和低误报率，使被垃 圾邮件的准确率高达98%；而且独特的策略模块可以帮助用户简单轻松的视线邮 件系统的管理与维护；全面防护针对传输层25端口的攻击，防止邮件地址泄露, 保障邮件系统的安全；通过直观的图标和多种查询方式全面显示邮件的应用情况 并可以及时调整策略设定。这些优秀的功能为校园网的邮件安全带来了坚实的防 护。

6、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制 度

网络安全建设是三分设备，七分管理，没有切实可行的安全保障体系和制度, 网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度 越深，网络安全的形式就越严峻，这也从近几年互联网络安全问题频频出现得到 印证。而网络安全的技术又是非常复杂和广泛的，现状还是道高一尺，魔高一丈, 这样，管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检, 保证对网络的监控和管理。另外，学校必须颁布网络行为规范和具体处罚条例， 这样才能有效的控制和减少内部网络的隐患。

互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的影 响，网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时，我们 需要清醒的认识到，网络安全问题的日益严重也越来越成为网络应用的巨大阻 碍，校园网络安全已经到了必须要统一管理和彻底解决的地步，只有很好的解决 了网络安全问题，校园网络的应用才能健康、高速的发展。

7、 建立网络防病毒系统在非网络环境下计算机病毒的防杀一般都是靠单机

版的杀毒软件来完成，但在校园网环境下单机版的杀毒软件已经无法适应网络病 毒的防杀要求。这是因为单机版的杀毒软件只能防杀本地计算机中的病毒，且单 机版的杀毒软件各自为政，在病毒库的升级以及病毒的统一防杀方面很难做到协 调一致。

要有效地防范网络病毒可以采用集中式病毒防杀系统。该系统包括了服务器 端和客户端两个模块。首先在校园网上建立一个防病毒服务器，即系统的控制中 心，然后采用客户端安装或网络分发的方式将客户端软件安装到每个工作站上， 并设置每

最新资料欢迎阅读

个工作站接受服务器的管理。管理员只需利用控制台软件就能对联网计 算机进行统一的病毒清除，从而能有效的控制校园病毒的爆发。如果有新病毒库 发布，只需对服务器上的病毒库更新，客户端就会自动到服务器上下载并更新病 毒库。集中式病毒防杀系统因它的病毒库更新及时方便、防杀行动统一彻底、系 统稳定可靠、用户参与少等优点成为了校园网的病毒防治中最有效的措施之一。

8、 构建防火墙和入侵检测系统

防火墙是位于两个（或多个）网络间实施网间访问控制的一组组件的集合。 所有进出网络的数据流都必须经过防火墙的授权。设置防火墙是保护内部网络免 于外部网络攻击的重要措施，在Internet与校园网内网之间部署防火墙，就在 内外网之间建立了 一道牢固的安全屏障。防火墙可以限制对某些不安全端口的访 问，能封锁特洛伊木马，并禁止来自特殊站点的访问和禁止某些协议的运行，从 而有效地防止外部入侵者的非法攻击行为。

入侵检测是指对计算机和网络资源的恶意行为的识别和响应的过程。入侵检 测系统从计算机网络系统的若干关键点收集信息并对其进行分析，发现入侵以 后，会及时进行记录事件、断开网络连接和报警等操作，如果把防火墙比作是网 络门卫的话，入侵检测系统就是网络中不间断的摄像机。在校园网中部署入侵检 测系统可以有效地监控校园网内的恶意攻击行为。建立一个有效合理的病毒防御 和查杀机通过在网络中部署分布式、网络化的防病毒系统，不仅可以让单机有效 地防止病毒侵害，还可以使管理员从中央位置对整个网络进行实时状态下的病毒 防护。主要做法是：网络中心负责整个校园网的升级工作。为了安全和管理的方 便起见，由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新 的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升 级文件分发到其他多个主机网点的客户端与服务器端，并自动对杀毒软件网络版 进行更新。采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步， 使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新 都是由程序自动、智能地完成，可以避免由于人为因素造成网络中部分用户因为 没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。建立一 个有效合理的病毒防御和查杀机通过在网络中部署分布式、网络化的防病毒系 统，不仅可以让单机有效地防止病毒侵害，还可以使管理员从中央位置对整个网 络进行实时状态下的病毒防护。主要做法是：网络中

最新资料欢迎阅读

心负责整个校园网的升级工 作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到杀毒 软件厂家网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等）, 然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端，并自 动对杀毒软件网络版进行更新。采取这种升级方式，一方面确保校园网内的杀毒 软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于 整个网络的升级、更新都是由程序自动、智能地完成，可以避免由于人为因素造 成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最 强的防病毒能力。

9、使用VLAN技术VLAN是一种通过将局域网內的设备逻辑地而不是物理 地划

分成一个个网段从而实现虚拟工作组的新兴技术。每一个VLAM都包含一组 有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、提高 网络安全性、简化网络管理。下面从几个方面具体来谈谈VLAN技术在校园网中 的发挥的突出作用。

由于不同的VLAN有着各自独立的广播域，而广播只能在本地VLAM内进行， 从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避 免广播风暴的产生。例如在我校就对每栋学生宿舍划分两个或两个以上VLAN, 在这种情况下即使有一栋学生宿舍的VLAN产生了广播风暴，也不会对此VLAN 之外的网络产生影响。在交换机上划分VLAN以后，不同VLAN的之间将不能直接 通信，VLAN间的通信必须通过三层设备（路由设备）。我们可以通过路由访问列 表和MAC地址分配等VLAN划分原则，控制用户访问权限和逻辑网段大小，将不 同用户群划分在不同VLAN中，从而提髙了校园网的整体性能和安全性。如果结 合相应的网络技术还可以方便的控制校园网用户的登陆地点，例如开启交换机的 认证功能，校园网用户在登陆校园网前首先要进行身份认证，我们可以将认证帐 号绑定到具体的VLAN中，这样只有具备相应VLAN认证帐号的用户才能在指定的 VALN登陆校园网络。

利用VLAN技术可以根据学校的部门职能、对象组或者应用将不同地理位置 的网络用户划分为一个逻辑网段，在不改动网络物理连接的情况下可以任意地将 工作站

最新资料欢迎阅读

在工作组或子网之间移动。利用VLAN技术，大大减轻了网络管理和维护 工作的负担，降低了网络维护费用。

10、 软件系统的安全配置

软件系统的安全问题也是不容忽视的，任何软件都有漏洞。作为网络系统的 管理人员有责任及时将软件的补丁打上。比如，校园网中的服务器所使用的操作 系统大多是win2000/xp的操作系统，因为使用的人多所以发现的漏洞也就特别 多，这就需要网络管理人员随时去了解微软公司发布的有关操作系统的安全信 息，如有相关的补丁程序或升级包就应当及时地从微软的官方网站下载并安装。 对于其他的软件系统（比如：Linux, Or acai, SQL）也应当密切关注其安全问题。 只有这样才能有效的避免因软件系统漏洞而导致的安全问题。

操作系统在服务器上刚安装好时会自动启动一些不必要的服务，这样不仅给 系统增加了额外的开销，而且带来了系统的安全隐患。对于服务器上不需要的服 务我们应及时将其关闭，比如我们可以关闭web服务器的telNET等服务，同时 我们还应该关闭不必要的tcp端口。

11、 访问控制

访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网 访问控制通常有用户名和口令的识别与验证、用户帐号的缺省限制检查等。当用 户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内 进行操作。这样，就保证网络资源不被非法访问和非法使用。用户在其合法的访 问授权之外无其他的访问特权，有效防止了网络因超权限访问而造成的损失。目 前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系 统，那么所有的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密 码进行管理是保证系统安全非常重要的措施。

12、 防火墙与IDS联动

防火墙是构建整个网络安全体系的核心，它位于内部网和外部网之间，成为 内外网之间一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等对外服务器连接 在防火墙的DMZ区，与内、外网间进行隔离，內网口连接校园网內网交换机，外 网口通过防火墙与Internet连接。通过Internet进来的公众用户只能访问到对 外公开的一些服

最新资料欢迎阅读

务，既保护内网资源不被外部非授权用户非法访问或破坏，也可 以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行 跟踪和审计。对于校园网而言，不但要防御外部的攻击还要考虑内部的攻击。但 是，防火墙毕竞只是被动防御，因此，必须加强与IDS （入侵检测系统）的联动。 IDS所采用的不是被动防御的策略，而是主动监视、检测和识别正在进行的或已 经成功的入侵行为，并及时报告给网络管理者。由于IDS系统除了报告外，本身 不能对入侵采取任何的防御措施。所以网络中心通过IDS和防火墙的联动来实现 入侵防御，当IDS发现攻击企图后，它会通知防火墙将攻击来源的IP地址或端 口禁掉。这种联动方式集合了 IDS和防火墙的优点，从而能主动地阻挡入侵，降 低非法入侵造成的损失

13、 漏洞扫描系统

解决网络中安全问题，首先要清楚网络中存在哪些安全隐患、漏洞。面对大 型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全 漏洞、做出风险评估，显然是不够的。解决的方案是，寻找一种能查找网络安全 漏洞、评估风险并提出修改建议的网络安全扫描工具，利用优化系统配置和打补 丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度 不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴稼出网络的漏洞。 而且也可以采用目前先进的漏洞扫描系统定期对工作站、服务器、交换机等进行 安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提 髙网络安全整体水平产生重要依据。

14、安装补丁程序和网络杀毒软件

任何操作系统都有漏洞，大部分校园网服务器使用的操作系统都有漏洞，蓄 意攻击它们的人也特别多，作为网络系统管理员就有责任及时对系统进行升级。 在校园网防病毒方案中，系统管理员最终要达到的一个目标就是，要在整个网络 中杜绝病毒的感染和传播。为了实现这个目标，系统管理员应该在整个网络内可 能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和 管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管 理、分布查杀病毒等多种功能。网络病毒成为威胁网络安全的重要因素，如何防 止网络病毒也就成

最新资料欢迎阅读

为校园网安全必须考虑的重要问题，因此必须在校园网上安装 网络版的杀毒软件才能满足要求。

15、 关闭不需要的服务和端口、建立监测系统日志

服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统 的资源，而且也增加了系统的安全隐患。对于完全不用的服务，可以完全关闭； 对于要使用的服务，应开通其服务。另外，还要关掉没有必要开的TCP端口。通 过运行系统日志程序，系统会记录所有用户使用系统的情形，包括最近登录时间、 使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析， 你可以知道是否有异常现象。

16、 定期对服务器进行备份与维护定期对服务器进行备份与维护为防止不 能

预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对 全系统进行每月1次的备份外，还应对修改过的数据进行备份。同时应将修改过 的重要系统文件存放在不同的服务器上，以便出现系统崩溃时可及时将系统恢复 到正常状态。

17、网络安全意识内部安全管理，提髙用户的安全意识在使用外来移动存储 设

备时应确保无病毒后再在校内机器上使用，防止病毒利用校园网进行传播。电 子邮件的安全只能由用户自己控制；在浏览网页时，可能会遇上陷阱，这些都要 求用户保持警惕。互联网络的飞速发展，对校园网络中师生的生活和学习已经产 生了深远的影响，网络在我们的生活中无处不在。但在享受高科技带来的便利的 同时，我们需要清醒地认识到，网络安全问题的日益突出越来越成为网络应用的 巨大阻碍，只有很好地解决网络的安全问题，校园网络的应用才能健康、髙速的 发展。校园网安全问题的解决立不是一劳永逸的。校园网络自身的情况不断变化, 新的安全问题不断涌现，必须根据情况的变化和现有解决方案中暴露出的一些问 题，不断进行及时的维护和更新，保证网络安全防范体系的良性发展，确保它的 有效性和先进性。