校園網(wǎng)絡(luò)安全本科畢業(yè)論文設(shè)計(jì)

成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文PAGEII成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文PAGEI校園網(wǎng)絡(luò)安全摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了無(wú)窮的資源，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也顯得尤為重要，人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能夠更加可靠地運(yùn)行，不受外來(lái)入侵者干擾和破壞,所以解決好網(wǎng)絡(luò)的安全性和可靠性問(wèn)題，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。校園網(wǎng)絡(luò)作為計(jì)算機(jī)網(wǎng)絡(luò)中的一部分，也正在飛速發(fā)展，而面對(duì)越來(lái)越多的非法入侵和好多學(xué)校的網(wǎng)站被惡意攻擊，校園網(wǎng)絡(luò)安全也越來(lái)越受到各方面的重視。一個(gè)學(xué)校的網(wǎng)絡(luò)環(huán)境是否安全，不僅關(guān)系到學(xué)校的教學(xué)質(zhì)量，學(xué)生與老師之間的有效溝通，更反映了一個(gè)學(xué)校的整體形象，也與學(xué)校的發(fā)展密切相關(guān)。因此，校園網(wǎng)絡(luò)安全問(wèn)題是一個(gè)必須重視的問(wèn)題。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)校園網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊病毒防治

CampusNetworkSecurityAbstract:Withthecontinuousdevelopmentandpopularityofcomputernetwork,computernetworkbringsendlessresources.Buttheattendantproblemofnetworksecurityisparticularlyimportant.Peopleallwanttheirnetworktobemorereliabletorun,whitoutforeigninvadersdisturbanceanddestruction.Sotosolvenetworksecurityandreliabilityissuesistoensurethenormaloperation.Campusnetworkaspartofacomputernetwork,isalsorapidlydeveloping,facingalotoftheillegalinvasionandmaliciousattacksontheschoolsite.Campusnetworkservedsecurityisincreasinglybeingpaidmuchattention.Aschool'snetworkenvironmentissafe,notonlythequalityofteachinginschools,andeffectivecommunicationstudentsbetweenteachers,butalsoreflectsaschool'soverallimage,aswellascloselyrelatedtothedevelopmentoftheschool.Therefore,campusnetworkneedsimmediateattention.Keywords:ComputernetworkCampusnetworksecurityNetworkAttackAntivirus

目錄引言 11現(xiàn)在大學(xué)院校校園網(wǎng)普及情況及對(duì)學(xué)生日常生活的影響 11.1校園網(wǎng)的普及狀況 11.2校園網(wǎng)的快速發(fā)展給學(xué)生帶來(lái)的影響 11.2.1一卡多用 21.2.2圈存消費(fèi) 21.2.3實(shí)時(shí)管理 22校園網(wǎng)安全現(xiàn)狀 22.1權(quán)限隱患 22.2資源共享隱患 32.3上網(wǎng)環(huán)境切換隱患 32.4IP地址沖突 33校園網(wǎng)絡(luò)安全系統(tǒng)的脆弱性 33.1軟件方面 43.1.1操作系統(tǒng)的安全脆弱性 43.1.2網(wǎng)絡(luò)系統(tǒng)的安全脆弱性 43.1.3數(shù)據(jù)庫(kù)管理系統(tǒng)的安全脆弱性 43.2硬件方面 53.2.1計(jì)算機(jī)硬件的故障 53.2.2防火墻的局限性 53.2.3天災(zāi)人禍 53.3其他方面的原因 54銀杏酒店管理學(xué)院校園網(wǎng)絡(luò)安全狀況分析 54.1銀杏學(xué)院校園網(wǎng)建設(shè)概況 54.2在校園網(wǎng)發(fā)展過(guò)程中遇到的問(wèn)題 74.2.1病毒攻擊 74.2.2帶寬限制 74.2.3系統(tǒng)差別 74.2.4上網(wǎng)環(huán)境差異 74.2.5其他問(wèn)題 74.3針對(duì)以上問(wèn)題提出的解決方法 74.3.1做好對(duì)病毒的防范 74.3.2帶寬的問(wèn)題 84.3.3使用比較成熟的系統(tǒng) 84.3.4做好環(huán)境轉(zhuǎn)換的調(diào)整 84.3.5對(duì)于意外情況的措施 85校園網(wǎng)安全控制與病毒防治策略 95.1加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn) 95.1.1強(qiáng)調(diào)信息安全中重要性 95.1.2掌握一定的安全知識(shí) 95.1.3加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn) 95.2校園網(wǎng)安全控制策略 95.2.1利用相關(guān)措施控制用戶入網(wǎng) 105.2.2采用防火墻技術(shù) 105.2.3進(jìn)行IP控制 105.2.4對(duì)網(wǎng)絡(luò)用戶進(jìn)行行為操作上的監(jiān)控 105.2.5屬性安全控制 105.3病毒防治 115.3.1增加安全意識(shí)和安全知識(shí) 115.3.2小心使用移動(dòng)存儲(chǔ)設(shè)備 115.3.3挑選網(wǎng)絡(luò)版殺毒軟件 11結(jié)論 13參考文獻(xiàn) 14致謝 15引言隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視。正如人們經(jīng)常所說(shuō)的：網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。1現(xiàn)在大學(xué)院校校園網(wǎng)普及情況及對(duì)學(xué)生日常生活的影響1.1校園網(wǎng)的普及狀況

作為新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校，和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進(jìn)行實(shí)驗(yàn)并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會(huì)的。另一方面，作為“高新技術(shù)孵化器”的學(xué)校，知識(shí)、人才的資源十分豐富，比其他行業(yè)更渴求信息、希望能有渠道獲得各種各樣的信息來(lái)促進(jìn)自身在研究、學(xué)術(shù)上的進(jìn)步。校園網(wǎng)應(yīng)用平臺(tái)代表了學(xué)校教育的管理水平和意識(shí)，是信息化時(shí)代的學(xué)校在管理方面的重要裝備。目前國(guó)內(nèi)高校幾乎都已建立校園網(wǎng)，其中擁有1000M主干帶寬的高校已占高?？倲?shù)的64.9%，早在2005年一些綜合類(lèi)大學(xué)和理工類(lèi)院校就已經(jīng)率先升級(jí)到萬(wàn)兆校園網(wǎng)。經(jīng)過(guò)幾年的發(fā)展，升級(jí)到萬(wàn)兆校園網(wǎng)的院校所占的比例又有了進(jìn)一步的提高。國(guó)內(nèi)高校在校園網(wǎng)建設(shè)過(guò)程中，已經(jīng)意識(shí)到信息資源及應(yīng)用軟件的重要性，“重硬輕軟”的現(xiàn)象將會(huì)逐漸轉(zhuǎn)變，高校在遠(yuǎn)程教育系統(tǒng)、數(shù)字圖書(shū)館系統(tǒng)等建設(shè)方面的投資將逐步提高。1.2校園網(wǎng)的快速發(fā)展給學(xué)生帶來(lái)的影響隨著科學(xué)技術(shù)的發(fā)展，越來(lái)越多的信息系統(tǒng)都應(yīng)用在學(xué)校中，如一卡通系統(tǒng)、網(wǎng)上評(píng)教系統(tǒng)、選課系統(tǒng)、教務(wù)系統(tǒng)等。這些都極大地給學(xué)生帶來(lái)了方便。如一卡通系統(tǒng)給學(xué)生帶來(lái)的方便主要表現(xiàn)在以下幾個(gè)方面：1.2.1一卡多用校園ＩＣ卡作為信息載體將各種原有的學(xué)生證、工作證、借書(shū)證、閱覽證、醫(yī)療證、聽(tīng)課證、體鍛證、上機(jī)證合一后，減少卡的數(shù)量，方便用戶。1.2.2圈存消費(fèi)依托校園網(wǎng)，將校園卡和銀行金融卡相結(jié)合，自動(dòng)、自助地將銀行存款圈存到校園卡上，完成校內(nèi)消費(fèi)，減少現(xiàn)金收支，統(tǒng)一結(jié)算管理，提高資金的安全性。1.2.3實(shí)時(shí)管理各級(jí)用戶進(jìn)入學(xué)校門(mén)戶進(jìn)行身份認(rèn)證，從而與學(xué)校管理信息系統(tǒng)無(wú)縫連接，實(shí)現(xiàn)學(xué)生、教職員工基本信息查詢，并且能按用戶權(quán)限進(jìn)行各種信息的實(shí)時(shí)管理。校內(nèi)各個(gè)子系統(tǒng)間共用標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)，如教務(wù)管理系統(tǒng)、人事管理系統(tǒng)、圖書(shū)館管理系統(tǒng)、一卡通系統(tǒng)等，操作時(shí)只需要從標(biāo)準(zhǔn)共享數(shù)據(jù)庫(kù)中調(diào)用各自所需的數(shù)據(jù)，減化操作，提高效率。2校園網(wǎng)安全現(xiàn)狀廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS（入侵檢測(cè)系統(tǒng)）等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。主要表現(xiàn)有：2.1權(quán)限隱患校園網(wǎng)絡(luò)就像是一個(gè)局域網(wǎng)，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過(guò)到校園網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。目前，校園網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此校園網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)校園網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。2.2資源共享隱患由于校園網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。校園網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果校園網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣校園網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)攻擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部校園網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出校園網(wǎng)，這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。2.3上網(wǎng)環(huán)境切換隱患一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間頻繁切換使用，許多用戶將在Internet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部校園網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。2.4IP地址沖突校園網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計(jì)算機(jī)無(wú)法上網(wǎng)。對(duì)于校園網(wǎng)來(lái)講，此類(lèi)IP地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。3校園網(wǎng)絡(luò)安全系統(tǒng)的脆弱性校園網(wǎng)絡(luò)面臨病毒、特洛伊木馬程序、系統(tǒng)后門(mén)和窺探等多個(gè)方面的威脅。盡管近幾年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)得到了巨大的進(jìn)展，但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性比以往任何時(shí)候都更加脆弱。主要表現(xiàn)在它極易受到攻擊和侵害，它的抗打擊力和防護(hù)力很弱。現(xiàn)對(duì)其脆弱性從軟件和硬件兩個(gè)放面分析[1]。3.1軟件方面3.1.1操作系統(tǒng)的安全脆弱性操作系統(tǒng)不安全，是計(jì)算機(jī)不安全的根本原因。操作系統(tǒng)的脆弱性主要表現(xiàn)在：操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷；在網(wǎng)絡(luò)上傳輸文件，加載與安裝程序，包括可執(zhí)行的文件；它可以創(chuàng)建進(jìn)程，甚至可以在網(wǎng)絡(luò)的節(jié)點(diǎn)上進(jìn)行遠(yuǎn)程的創(chuàng)建和激活；操作系統(tǒng)中有一些守護(hù)進(jìn)程，實(shí)際上是一些系統(tǒng)進(jìn)程，它們總是在等待一些條件的出現(xiàn)；操作系統(tǒng)都提供遠(yuǎn)程調(diào)用服務(wù)，而提供的安全驗(yàn)證功能卻很有限等等。3.1.2網(wǎng)絡(luò)系統(tǒng)的安全脆弱性（1）網(wǎng)絡(luò)安全的脆弱性。由于Internet/Intranet的出現(xiàn)，網(wǎng)絡(luò)的安全問(wèn)題更加嚴(yán)重?？梢哉f(shuō)，使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的FTP、e-mail、RPC（遠(yuǎn)程過(guò)程調(diào)用）和NFS都包含許多不安全的因素，存在著許多漏洞。（2）軟件本身的“后門(mén)”。軟件本身的“后門(mén)”是軟件公司的程序設(shè)計(jì)人員為了方便自己進(jìn)入而在開(kāi)發(fā)時(shí)預(yù)留設(shè)置的，雖然為軟件調(diào)試、進(jìn)一步開(kāi)發(fā)或者遠(yuǎn)程維護(hù)提供方便，但同時(shí)也為非法入侵提供了通道。這些“后門(mén)”一般不為外人所知，但是一旦“后門(mén)”洞開(kāi)，入侵者就可以利用“后門(mén)”多次進(jìn)入系統(tǒng)，或采取其他措施繞過(guò)安全控制路徑進(jìn)入系統(tǒng)，即使系統(tǒng)管理員已經(jīng)彌補(bǔ)了系統(tǒng)漏洞，入侵者也可以取得對(duì)系統(tǒng)的訪問(wèn)權(quán)限，造成很?chē)?yán)重的后果。常見(jiàn)的“后門(mén)”有：修改配置文件、建立系統(tǒng)木馬程序、修改系統(tǒng)內(nèi)核等。入侵者利用“后門(mén)”可以從非特權(quán)用戶變?yōu)槟軌蚴褂胷oot權(quán)限的特權(quán)用戶[2]。（3）軟件的漏洞。軟件不可能百分之百的無(wú)缺陷和無(wú)漏洞的，因此。這些漏洞和缺陷就成了網(wǎng)絡(luò)攻擊者進(jìn)行攻擊的首選目標(biāo)。典型的缺陷和漏洞如操作系統(tǒng)中的bugs等。3.1.3數(shù)據(jù)庫(kù)管理系統(tǒng)的安全脆弱性當(dāng)前，大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)中，然而，這些數(shù)據(jù)庫(kù)系統(tǒng)在安全方面的考慮很少。而且，數(shù)據(jù)庫(kù)系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。例如DBMS的安全級(jí)別是B2級(jí)，那么操作系統(tǒng)的安全級(jí)別也應(yīng)該是B2級(jí)，但實(shí)踐中往往不是這樣做的[3]。3.2硬件方面3.2.1計(jì)算機(jī)硬件的故障由于生產(chǎn)工藝或制造商的原因，計(jì)算機(jī)硬件系統(tǒng)本身會(huì)有故障，如電路短路、斷線、接觸不良引起系統(tǒng)的不穩(wěn)定、電壓波動(dòng)的干擾等。3.2.2防火墻的局限性仍然存在著一些防火墻不能防范的安全威脅，如不能防范不經(jīng)過(guò)防火墻的攻擊，很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊及病毒的威脅等。3.2.3天災(zāi)人禍天災(zāi)指不可控制的自然災(zāi)害，如地震、雷擊等。天災(zāi)輕則造成業(yè)務(wù)工作混亂，重則造成系統(tǒng)中斷甚至是無(wú)法估量的損失。人禍指人為因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的威脅。人禍可分為有意和無(wú)意兩種。（1）有意。有意是指人為的惡意攻擊、違紀(jì)、違法和計(jì)算機(jī)犯罪。這是目前計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨的最大威脅。（2）無(wú)意。人為地?zé)o意失誤和各種各樣的誤操作都可能造成嚴(yán)重的不良后果，典型的錯(cuò)誤有文件的誤刪除、輸入錯(cuò)誤的數(shù)據(jù)等。又如，操作員安全配置不當(dāng)、用戶口令選擇不慎、用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或者與別人共享等無(wú)意行為都有可能會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)威脅。3.3其他方面的原因如環(huán)境和災(zāi)害的影響，計(jì)算機(jī)領(lǐng)域中任何重大的技術(shù)進(jìn)步都會(huì)對(duì)安全性構(gòu)成新的威脅等?？傊?，系統(tǒng)自身的脆弱和不足，是造成計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的內(nèi)部根源。但系統(tǒng)本身的脆弱性、社會(huì)對(duì)系統(tǒng)應(yīng)用的依賴(lài)性這一對(duì)矛盾又將促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展和進(jìn)步[4]。4銀杏酒店管理學(xué)院校園網(wǎng)絡(luò)安全狀況分析4.1銀杏學(xué)院校園網(wǎng)建設(shè)概況08年9月至今，新校區(qū)網(wǎng)絡(luò)基礎(chǔ)建設(shè)已全部完成。全院校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)實(shí)施，由垂直、水平布線子系統(tǒng)，弱電間子系統(tǒng)等組成。各匯聚節(jié)點(diǎn)采用光纖直連至中心機(jī)房核心，經(jīng)過(guò)計(jì)費(fèi)系統(tǒng)、行為審計(jì)系統(tǒng)通至外網(wǎng)。對(duì)院內(nèi)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)記錄，嚴(yán)格規(guī)范院內(nèi)網(wǎng)絡(luò)用戶合理使用網(wǎng)絡(luò)資源的行為。校園網(wǎng)內(nèi)采用VLAN劃分地址，DHCP分配地址的方式進(jìn)行網(wǎng)絡(luò)地址的管理。學(xué)院共16個(gè)匯聚節(jié)點(diǎn)，（1#教學(xué)樓A1~3、B1區(qū)4個(gè)，2#教學(xué)樓1個(gè)，綜合樓1個(gè)，食堂1個(gè)，教職工宿舍3個(gè)，1#女生宿舍4個(gè)，2#男生宿舍2個(gè)。）采用分區(qū)、分層的管理方式，將各故障區(qū)隔離出來(lái)以避免影響正常區(qū)域運(yùn)行。對(duì)于財(cái)務(wù)組以及學(xué)院主要服務(wù)器組采用硬件防火墻做訪問(wèn)策略，只允許準(zhǔn)入用戶訪問(wèn)，以保證服務(wù)器組與數(shù)據(jù)的安全。圖4-1銀杏學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖圖4-1即為銀杏學(xué)院的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。各個(gè)區(qū)域相互獨(dú)立，在核心機(jī)組的統(tǒng)一調(diào)配下工作。各個(gè)部門(mén)和區(qū)域通過(guò)核心交換機(jī)組進(jìn)行數(shù)據(jù)的聯(lián)通和共享，實(shí)現(xiàn)不同權(quán)限的用戶訪問(wèn)各個(gè)區(qū)域不同的資源，真正發(fā)揮校園網(wǎng)的真正作用。4.2在校園網(wǎng)發(fā)展過(guò)程中遇到的問(wèn)題4.2.1病毒攻擊信息技術(shù)日新月異，而病毒的也在不斷地更新?lián)Q代。由于學(xué)生對(duì)病毒攻擊的防范意識(shí)薄弱，這就更加容易遭受病毒的攻擊。如果不及時(shí)采取措施，將影響到學(xué)校的網(wǎng)絡(luò)環(huán)境。4.2.2帶寬限制由于技術(shù)的進(jìn)一步發(fā)展，各個(gè)軟件系統(tǒng)或游戲不僅機(jī)器的配置要求越來(lái)越高，對(duì)帶寬的要求也越來(lái)越高。隨著學(xué)校的發(fā)展壯大，網(wǎng)絡(luò)用戶的數(shù)量也越來(lái)越多，這就對(duì)帶寬提出了更高的要求。而帶寬的增加需要一段時(shí)間和過(guò)程。在這一段時(shí)間內(nèi)就會(huì)給整個(gè)學(xué)校的網(wǎng)絡(luò)造成壓力，容易產(chǎn)生問(wèn)題。4.2.3系統(tǒng)差別新系統(tǒng)的發(fā)展是一個(gè)逐步的過(guò)程，將從不完善逐步到完善。就目前發(fā)展情況，Windows7的兼容性并不理想，而好多用戶喜歡嘗試新事物，這就造成了一些上網(wǎng)軟件在Windows7上不能正常使用。4.2.4上網(wǎng)環(huán)境差異由于上網(wǎng)環(huán)境的不同，許多殺毒軟件的設(shè)置也千差萬(wàn)別。好多殺毒軟件為了防止病毒的入侵，在安裝的時(shí)候做了好多限制，這也造成了好多網(wǎng)絡(luò)用戶不能夠訪問(wèn)外網(wǎng)。4.2.5其他問(wèn)題在學(xué)校上網(wǎng)會(huì)遇到很多突發(fā)情況，也包括人為的破壞。例如將網(wǎng)線的兩頭同時(shí)插到一個(gè)交換機(jī)上；惡意病毒攻擊交換機(jī);個(gè)別網(wǎng)絡(luò)用戶因?qū)W(xué)校網(wǎng)絡(luò)不滿用攻擊軟件進(jìn)行破壞等;這些都有可能造成整層或者整棟樓乃至整個(gè)學(xué)校都上不去網(wǎng)，造成惡劣影響。4.3針對(duì)以上問(wèn)題提出的解決方法4.3.1做好對(duì)病毒的防范及時(shí)更新殺毒軟件，升級(jí)病毒數(shù)據(jù)庫(kù)，做好防火墻的設(shè)置。定期殺毒，進(jìn)行系統(tǒng)的檢測(cè)和維護(hù)。針對(duì)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行不同的限制。如在學(xué)校的教學(xué)計(jì)算機(jī)室安裝專(zhuān)門(mén)的殺毒軟件，對(duì)接入外網(wǎng)的權(quán)限進(jìn)行限制；在學(xué)校公共機(jī)房禁用USB接口、安裝防護(hù)軟件、對(duì)一些非法或者不健康的網(wǎng)站進(jìn)行隔離等。4.3.2帶寬的問(wèn)題（1）針對(duì)以學(xué)生為主體的網(wǎng)絡(luò)用戶進(jìn)行流量的限制。學(xué)生在宿舍上網(wǎng)的網(wǎng)絡(luò)費(fèi)用采用包月的計(jì)費(fèi)策略。目前采用的計(jì)費(fèi)策略有2種：15元/1.5G和40元/8G。通過(guò)對(duì)流量的限制，有效地防止了學(xué)生同時(shí)進(jìn)行下載、在線觀看、打游戲、系統(tǒng)或者軟件更新等多種網(wǎng)絡(luò)應(yīng)用，有效地減輕了帶寬的壓力。（2）獨(dú)立各個(gè)應(yīng)用網(wǎng)絡(luò)環(huán)境的帶寬線路。例如針對(duì)學(xué)生的宿舍區(qū)，學(xué)校引入的是網(wǎng)通線路；學(xué)校的公共機(jī)房引入的是電信和網(wǎng)通雙線路，而這三條線路互不影響。（3）實(shí)時(shí)監(jiān)控學(xué)校帶寬的飽和度，根據(jù)具體情況增加帶寬。4.3.3使用比較成熟的系統(tǒng)由于Windows7系統(tǒng)不穩(wěn)定，現(xiàn)在好多軟件還不能與其進(jìn)行兼容，所以學(xué)校不建議學(xué)生使用Windows7系統(tǒng)，建議使用相對(duì)穩(wěn)定的WindowsXP和Vista系統(tǒng)。而在Windows7系統(tǒng)兼容性問(wèn)題上也在想辦法，在探索和解決當(dāng)中。4.3.4做好環(huán)境轉(zhuǎn)換的調(diào)整好多網(wǎng)絡(luò)用戶都是在家庭環(huán)境下上網(wǎng)直接轉(zhuǎn)移到學(xué)校環(huán)境下上網(wǎng)。由于環(huán)境的差異性導(dǎo)致不能正常使用。主要表現(xiàn)是殺毒軟件的問(wèn)題。對(duì)此，學(xué)校根據(jù)具體網(wǎng)絡(luò)環(huán)境建議學(xué)生使用360安全衛(wèi)士和360殺毒軟件。這兩個(gè)軟件的功能足以預(yù)防在學(xué)校網(wǎng)絡(luò)環(huán)境中學(xué)生受到的一般攻擊。4.3.5對(duì)于意外情況的措施如網(wǎng)線的兩頭同時(shí)接在一個(gè)交換機(jī)上，并非故意的病毒攻擊等，學(xué)校將采取斷網(wǎng)一星期，責(zé)令其進(jìn)行整改和殺毒，然后在檢測(cè)無(wú)誤的情況下給其恢復(fù)網(wǎng)絡(luò)；如果是故意使用攻擊軟件對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行攻擊，并造成嚴(yán)重后果的，會(huì)根據(jù)學(xué)院的相關(guān)規(guī)定和條例對(duì)其進(jìn)行處罰。此外，為了保證學(xué)校網(wǎng)絡(luò)用戶有一個(gè)安定、和諧的上網(wǎng)環(huán)境，現(xiàn)學(xué)校采用實(shí)名制上網(wǎng)制度。在學(xué)生宿舍區(qū)域使用DR.COM客戶端，對(duì)學(xué)生的學(xué)號(hào)、IP、MAC進(jìn)行3方面的綁定。每個(gè)學(xué)生都有自己的IP地址，在網(wǎng)絡(luò)中心辦理開(kāi)戶后會(huì)領(lǐng)取到一個(gè)未使用的IP地址，手動(dòng)設(shè)置好后系統(tǒng)自動(dòng)對(duì)其相關(guān)信息進(jìn)行綁定。一旦發(fā)現(xiàn)攻擊，網(wǎng)絡(luò)管理員就可以根據(jù)IP和MAC地址準(zhǔn)確的定位，并查出攻擊源，及時(shí)采取相關(guān)措施，避免造成不必要的損失。通過(guò)以上策略的設(shè)置，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)等網(wǎng)絡(luò)安全威脅的切入點(diǎn)，及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。5校園網(wǎng)安全控制與病毒防治策略5.1加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個(gè)過(guò)程，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個(gè)層面。要確保信息安全工作的順利進(jìn)行，必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上，而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個(gè)環(huán)節(jié)的加固又是見(jiàn)效最快的。所以必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn)方法。增強(qiáng)內(nèi)部人員的安全防范意識(shí)，提高內(nèi)部管理人員整體素質(zhì)。同時(shí)要加強(qiáng)法制建設(shè)，進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子[5]。對(duì)校園網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培訓(xùn)：5.1.1強(qiáng)調(diào)信息安全中重要性加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。5.1.2掌握一定的安全知識(shí)加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地?cái)?shù)據(jù)信息的安全可靠。5.1.3加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣。5.2校園網(wǎng)安全控制策略安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問(wèn)。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在[6]。5.2.1利用相關(guān)措施控制用戶入網(wǎng)入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)的目錄、文件和其他資源，可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改。設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問(wèn)。對(duì)密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。5.2.2采用防火墻技術(shù)防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開(kāi)，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)[7]。5.2.3進(jìn)行IP控制封存所有空閑的IP地址，啟動(dòng)IP地址綁定采用上網(wǎng)計(jì)算機(jī)IP地址與MAC地址唯一對(duì)應(yīng)，網(wǎng)絡(luò)沒(méi)有空閑IP地址的策略。由于采用了無(wú)空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。5.2.4對(duì)網(wǎng)絡(luò)用戶進(jìn)行行為操作上的監(jiān)控網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)上所作的一切行為都將進(jìn)行記錄和存儲(chǔ)。這些信息只有網(wǎng)絡(luò)管理員才能有權(quán)訪問(wèn)，并做好保密工作。一旦發(fā)現(xiàn)存在病毒或者惡意攻擊，網(wǎng)絡(luò)管理員將及時(shí)對(duì)其進(jìn)行停網(wǎng)處理，保證整個(gè)校園網(wǎng)絡(luò)的安全性。5.2.5屬性安全控制它能控制以下幾個(gè)方面的權(quán)限：防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件[8]。5.3病毒防治病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是對(duì)病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個(gè)方面制定有針對(duì)性的防病毒策略：5.3.1增加安全意識(shí)和安全知識(shí)首先明確病毒的危害，文件共享的時(shí)候盡量控制權(quán)限和增加密碼，對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對(duì)杜絕病毒，主觀能動(dòng)性起到很重要的作用[9]。5.3.2小心使用移動(dòng)存儲(chǔ)設(shè)備移動(dòng)存儲(chǔ)設(shè)備現(xiàn)在已經(jīng)是人們?nèi)粘Ｉ钪斜夭豢缮俚囊徊糠?，給人們的工作、學(xué)習(xí)和生活帶來(lái)了極大地方便。但是這也給病毒和木馬提供了傳播媒介。因此，在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺，這樣既可以保護(hù)文件和數(shù)據(jù)的安全，也可把病毒拒絕在外，保護(hù)計(jì)算機(jī)的安全。5.3.3挑選網(wǎng)絡(luò)版殺毒軟件一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素。目前的主流殺毒軟件一般都具有各自的優(yōu)勢(shì)，用戶可以根據(jù)自己的愛(ài)好和習(xí)慣進(jìn)行選擇。網(wǎng)絡(luò)版與單機(jī)版相比具有的優(yōu)勢(shì)有一下幾點(diǎn)：遠(yuǎn)程殺毒：網(wǎng)絡(luò)管理員只需通過(guò)一臺(tái)計(jì)算機(jī)，就可以對(duì)全網(wǎng)的所有計(jì)算機(jī)同時(shí)進(jìn)行病毒檢測(cè)和清除；遠(yuǎn)程報(bào)警：在局域網(wǎng)中任何一臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)病毒時(shí)，網(wǎng)絡(luò)殺毒軟件自動(dòng)將病毒信息傳遞給網(wǎng)絡(luò)管理員；遠(yuǎn)程操作：網(wǎng)絡(luò)管理員只需通過(guò)一臺(tái)計(jì)算機(jī)，就可以對(duì)全網(wǎng)進(jìn)行統(tǒng)一或個(gè)性化設(shè)置；自動(dòng)安裝：整個(gè)局域網(wǎng)只需在一臺(tái)計(jì)算機(jī)上安裝殺毒軟件，即可實(shí)現(xiàn)對(duì)所有計(jì)算機(jī)的自動(dòng)安裝；自動(dòng)升級(jí)：可自