網(wǎng)絡(luò)安全與解決方案

1、一、目前校園網(wǎng)絡(luò)中可能存在的安全問(wèn)題1、網(wǎng)絡(luò)安全方面的投入不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備 大多數(shù)學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足，所以就將有限的經(jīng)費(fèi)投在關(guān)鍵設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒(méi)有比較系統(tǒng)的投入，致使校園網(wǎng)處在一個(gè)開(kāi)放的狀態(tài)，沒(méi)有任何有效的安全預(yù)警手段和防范措施。 2、 學(xué)校的上網(wǎng)場(chǎng)所管理較混亂 由于缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，是學(xué)校的網(wǎng)絡(luò)管理各自為政，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無(wú)法唯一識(shí)別，存在極大的安全隱患。 3、 電子郵件系統(tǒng)極不完善，無(wú)任何安全管理和監(jiān)控的手段 電子郵件既是互聯(lián)網(wǎng)必不可少的一個(gè)應(yīng)用之一，同時(shí)也是病毒和垃圾的重要傳播手段。目前絕大

2、多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)，不能提供自身完善的安全防護(hù)，更沒(méi)有提供任何針對(duì)用戶來(lái)往信件過(guò)濾、監(jiān)控和管理的手段，完全不符合國(guó)家對(duì)安全郵件系統(tǒng)的要求，出現(xiàn)問(wèn)題時(shí)也無(wú)法及時(shí)有效的解決 4.網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有指定完善的網(wǎng)絡(luò)安全管理制度 校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄，大量的非正常訪問(wèn)導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)也為網(wǎng)絡(luò)的安全帶來(lái)了極大的安全隱患。網(wǎng)絡(luò)的整體安全僅從技術(shù)和設(shè)備入手是不夠的，還應(yīng)該有一套對(duì)工作人員行之有效的管理制度，尤其要加強(qiáng)對(duì)內(nèi)部人員的管理和約束。這是因?yàn)閮?nèi)部人員對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解，若不加強(qiáng)管理，一旦有人出于某種目的破壞網(wǎng)絡(luò)，后果將不堪設(shè)想。然而，

3、目前國(guó)內(nèi)的高校中還很少有學(xué)校具備完善的校園網(wǎng)管理制度。同時(shí)，在對(duì)設(shè)備的操作方面也應(yīng)設(shè)立相應(yīng)的操作規(guī)范。如沒(méi)有規(guī)范的操作，把交換機(jī)的密碼設(shè)置得過(guò)于簡(jiǎn)單；或者允許用戶從任何地點(diǎn)登陸核心交換機(jī)之類(lèi)的問(wèn)題都會(huì)給網(wǎng)絡(luò)的安全帶來(lái)巨大的隱患。在對(duì)用戶的管理方面，目前很多學(xué)校還沒(méi)有建立起一套行之有效的校園網(wǎng)用戶管理方法。有的學(xué)校即使有用戶上網(wǎng)守則，但也沒(méi)有相應(yīng)的監(jiān)控措施，難以取得違規(guī)用戶的行為證據(jù)，這些都是管理上的缺陷。5.病毒的侵害校園網(wǎng)中的用戶眾多，每天許多用戶都要通過(guò)校園網(wǎng)訪問(wèn)Internet，而當(dāng)今Internet上的許多的資源都暗藏病毒。如果某個(gè)用戶的計(jì)算機(jī)上沒(méi)有安裝防病毒系統(tǒng)，那么該計(jì)算機(jī)就極易被

4、病毒感染，當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)被感染后，病毒就通過(guò)Internet進(jìn)入了校園網(wǎng)內(nèi)部。而現(xiàn)在的決大多數(shù)病毒除了具有傳統(tǒng)病毒的一般特性(可傳播性、隱蔽性、可執(zhí)行性、破壞性)之外，還具有傳播速度極快、擴(kuò)散面非常廣、不易防范、難于徹底清除等特點(diǎn)，如蠕蟲(chóng)病毒、沖擊波病毒、振蕩波病毒等，這些病毒往往能夠在很短時(shí)內(nèi)里通過(guò)網(wǎng)絡(luò)進(jìn)行傳播。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制，將極大地消耗網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)性能的急劇下降，嚴(yán)重時(shí)有可能造成網(wǎng)絡(luò)廣播風(fēng)暴甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。6. 網(wǎng)絡(luò)攻擊Internet是一個(gè)開(kāi)放的網(wǎng)絡(luò)，計(jì)算機(jī)可以通過(guò)各種網(wǎng)絡(luò)設(shè)備接入Internet，如果對(duì)網(wǎng)絡(luò)訪問(wèn)不加限制，那么Internet上所有的網(wǎng)絡(luò)資

5、源都可以被任意訪問(wèn)。從校園網(wǎng)的安全角度考慮，對(duì)于任何一個(gè)Internet用戶都有必要加以防范，因?yàn)槿魏我粋€(gè)用戶都有可能是校園網(wǎng)的攻擊者。攻擊者通過(guò)設(shè)置特洛伊木馬、WWW欺騙、端口掃描等方法對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，一旦攻擊成功將對(duì)學(xué)校的數(shù)據(jù)造成極大的威脅。比如一些黑客入侵學(xué)校的Web服務(wù)器，篡改學(xué)校的主頁(yè)損壞學(xué)校形象，或?qū)W(xué)校Web服務(wù)器發(fā)送大量的攻擊數(shù)據(jù)包導(dǎo)致學(xué)校的主頁(yè)難以訪問(wèn)。網(wǎng)絡(luò)攻擊不僅來(lái)自于外部，還可能來(lái)自校園網(wǎng)內(nèi)部。據(jù)統(tǒng)計(jì)來(lái)自?xún)?nèi)部的攻擊比例要大大高于來(lái)自外部的攻擊。這是因?yàn)樾@網(wǎng)內(nèi)部的用戶對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)更加熟悉，同時(shí)校園網(wǎng)用戶中絕大部分是具有較高知識(shí)水平的大學(xué)生群體，在學(xué)生中不乏計(jì)算機(jī)應(yīng)

6、用高手（特別是計(jì)算機(jī)專(zhuān)業(yè)的學(xué)生），由于對(duì)網(wǎng)絡(luò)攻擊的巨大的好奇心和渴望攻擊成功的心理使他們把校園網(wǎng)絡(luò)當(dāng)作網(wǎng)絡(luò)攻擊的試驗(yàn)場(chǎng)地，而這種不安全因素對(duì)校園網(wǎng)的破壞力往往更大。7. 軟件系統(tǒng)存在安全漏洞系統(tǒng)安全漏洞指的是系統(tǒng)在設(shè)計(jì)時(shí)沒(méi)有考慮到的缺陷，特別是操作系統(tǒng)，因?yàn)檫@些軟件一般都比較的復(fù)雜、龐大，有時(shí)會(huì)因?yàn)槌绦騿T的疏忽或軟件設(shè)計(jì)上的失誤而留下一些漏洞。理論上講任何一個(gè)系統(tǒng)都不同程度地存在著漏洞。因?yàn)橄到y(tǒng)漏洞的存在，使得針對(duì)系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊和蠕蟲(chóng)病毒也層出不窮。攻擊者針對(duì)系統(tǒng)漏洞進(jìn)行攻擊，入侵成功后將獲得系統(tǒng)的相應(yīng)的權(quán)限，進(jìn)而盜取重要資料或?qū)ο到y(tǒng)進(jìn)行破壞活動(dòng)。目前學(xué)校的計(jì)算機(jī)系統(tǒng)絕大多數(shù)都是使用Win

7、dow2000/xp操作系統(tǒng)，而Windows操作系統(tǒng)是不太安全的，因?yàn)閃indows操作系統(tǒng)的漏洞比較多，由Windows操作系統(tǒng)漏洞引發(fā)的不安全問(wèn)題時(shí)有發(fā)生。此外，應(yīng)用系統(tǒng)也不例外，如IE、Office辦公軟件、Ms-SQL、 Oracal等軟件也存在安全漏洞。8.校園網(wǎng)中的設(shè)備多。校園網(wǎng)需要各種設(shè)備的支持，而這些設(shè)備分布在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理；室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。校園網(wǎng)是一個(gè)平臺(tái)，面向全校的師生，校園網(wǎng)中的設(shè)備管理也比較多樣化，校級(jí)設(shè)備一般有網(wǎng)絡(luò)中心管理，院、系級(jí)設(shè)備由本

8、部門(mén)管理，也由本部門(mén)維護(hù)，學(xué)生自用的機(jī)器，放在學(xué)生宿舍中，由學(xué)生自行維護(hù)。這樣就很難對(duì)所有設(shè)備實(shí)施統(tǒng)一的安全策略，如安裝防病毒軟件等。所以當(dāng)用戶的計(jì)算機(jī)接入校園網(wǎng)后感染病毒，這臺(tái)感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)的運(yùn)行，于是出現(xiàn)“交叉感染”。9.技術(shù)上的不足。由于教學(xué)和科研的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開(kāi)放的。目前校園網(wǎng)大都是利用Internet技術(shù)構(gòu)造的，且又與Internet相連，所以校園網(wǎng)在運(yùn)行過(guò)程中面臨各種安全威脅?，F(xiàn)在TCP/IP協(xié)議廣泛用于各種網(wǎng)絡(luò)，所以幾乎所有的Internet協(xié)議都沒(méi)有考慮安全機(jī)制。并且現(xiàn)在人們很容易從Internet上獲得相關(guān)的核心技術(shù)資料，特別是有關(guān)Intern

9、et自身的技術(shù)資料及各類(lèi)黑客軟件，很容易造成網(wǎng)絡(luò)安全問(wèn)題。尤其是在學(xué)校學(xué)生的好奇心、破壞欲給校園網(wǎng)帶來(lái)了很多安全問(wèn)題。其次，隨著軟件交流規(guī)模的不斷增大，軟件中的安全漏洞也不可避免地存在。當(dāng)前應(yīng)用的各種網(wǎng)絡(luò)操作系統(tǒng)都有不同級(jí)別的安全風(fēng)險(xiǎn)。10.活躍的用戶群體。高校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。很多學(xué)生的計(jì)算機(jī)技術(shù)水平非常高，而且具有強(qiáng)烈的好奇心和實(shí)踐欲望，他們時(shí)常有意無(wú)意地破壞校園網(wǎng)系統(tǒng)，嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，干擾校園網(wǎng)的安全運(yùn)行。另外，很多學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽(tīng)音樂(lè)、玩游戲，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。校園網(wǎng)與一般網(wǎng)絡(luò)不同，不僅要

10、注意防止外部網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的學(xué)生攻擊?？梢哉f(shuō)，來(lái)自校園網(wǎng)內(nèi)部的安全隱患比校園網(wǎng)外部的安全隱患破壞力更強(qiáng)、影響更廣、威脅更大。11.盜版資源泛濫。由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播也給網(wǎng)絡(luò)安全帶來(lái)了一定的隱患。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門(mén)等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。二、校園網(wǎng)絡(luò)安全解決方案 1、 配備完整的、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備 在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外配置安全設(shè)

11、備既要考慮到功能，同時(shí)也必須考慮性能和可擴(kuò)展性，以避免成為網(wǎng)絡(luò)的瓶頸。通過(guò)配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問(wèn)和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。 2、 解決用戶上網(wǎng)身份問(wèn)題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問(wèn)題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問(wèn)題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問(wèn)題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。3、規(guī)范出口的管理 實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問(wèn)題。對(duì)

12、于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 4嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理 上網(wǎng)用戶不但要通過(guò)統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 5 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能 針對(duì)目前郵件系統(tǒng)存在的安全隱患，航天聯(lián)志結(jié)合國(guó)內(nèi)知名的郵件安全系統(tǒng)提供商美訊智推出了專(zhuān)門(mén)針對(duì)校園網(wǎng)的郵件安全系統(tǒng)。該系統(tǒng)具有強(qiáng)大的高準(zhǔn)確率和低誤報(bào)率，使被垃圾郵件的準(zhǔn)確率高達(dá)98%；而且獨(dú)特的策略模塊可以幫助用戶簡(jiǎn)單輕松的視線郵件系統(tǒng)的管理與維護(hù)；

13、全面防護(hù)針對(duì)傳輸層25端口的攻擊，防止郵件地址泄露，保障郵件系統(tǒng)的安全；通過(guò)直觀的圖標(biāo)和多種查詢(xún)方式全面顯示郵件的應(yīng)用情況并可以及時(shí)調(diào)整策略設(shè)定。這些優(yōu)秀的功能為校園網(wǎng)的郵件安全帶來(lái)了堅(jiān)實(shí)的防護(hù)。 6根據(jù)相關(guān)部門(mén)的要求，配備專(zhuān)門(mén)的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度 網(wǎng)絡(luò)安全建設(shè)是三分設(shè)備，七分管理，沒(méi)有切實(shí)可行的安全保障體系和制度，網(wǎng)絡(luò)安全就變成了空談。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶對(duì)網(wǎng)絡(luò)的了解程度越深，網(wǎng)絡(luò)安全的形式就越嚴(yán)峻，這也從近幾年互聯(lián)網(wǎng)絡(luò)安全問(wèn)題頻頻出現(xiàn)得到印證。而網(wǎng)絡(luò)安全的技術(shù)又是非常復(fù)雜和廣泛的，現(xiàn)狀還是道高一尺，魔高一丈，這樣，管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏

14、洞修補(bǔ)和定期詢(xún)檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患。 互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)校園網(wǎng)絡(luò)中師生的生活和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無(wú)處不在。但在享受高科技帶來(lái)的便捷同時(shí)，我們需要清醒的認(rèn)識(shí)到，網(wǎng)絡(luò)安全問(wèn)題的日益嚴(yán)重也越來(lái)越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，校園網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問(wèn)題，校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展。7.建立網(wǎng)絡(luò)防病毒系統(tǒng)在非網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的防殺一般都是靠單機(jī)版的殺毒軟件來(lái)完成，但在校園網(wǎng)環(huán)境下單機(jī)版的殺毒軟件已經(jīng)無(wú)法適應(yīng)網(wǎng)絡(luò)病毒的防殺

15、要求。這是因?yàn)閱螜C(jī)版的殺毒軟件只能防殺本地計(jì)算機(jī)中的病毒，且單機(jī)版的殺毒軟件各自為政，在病毒庫(kù)的升級(jí)以及病毒的統(tǒng)一防殺方面很難做到協(xié)調(diào)一致。要有效地防范網(wǎng)絡(luò)病毒可以采用集中式病毒防殺系統(tǒng)。該系統(tǒng)包括了服務(wù)器端和客戶端兩個(gè)模塊。首先在校園網(wǎng)上建立一個(gè)防病毒服務(wù)器，即系統(tǒng)的控制中心，然后采用客戶端安裝或網(wǎng)絡(luò)分發(fā)的方式將客戶端軟件安裝到每個(gè)工作站上，并設(shè)置每個(gè)工作站接受服務(wù)器的管理。管理員只需利用控制臺(tái)軟件就能對(duì)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行統(tǒng)一的病毒清除，從而能有效的控制校園病毒的爆發(fā)。如果有新病毒庫(kù)發(fā)布，只需對(duì)服務(wù)器上的病毒庫(kù)更新，客戶端就會(huì)自動(dòng)到服務(wù)器上下載并更新病毒庫(kù)。集中式病毒防殺系統(tǒng)因它的病毒庫(kù)更新及時(shí)

16、方便、防殺行動(dòng)統(tǒng)一徹底、系統(tǒng)穩(wěn)定可靠、用戶參與少等優(yōu)點(diǎn)成為了校園網(wǎng)的病毒防治中最有效的措施之一。8、構(gòu)建防火墻和入侵檢測(cè)系統(tǒng)防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合。所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過(guò)防火墻的授權(quán)。設(shè)置防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部網(wǎng)絡(luò)攻擊的重要措施，在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署防火墻，就在內(nèi)外網(wǎng)之間建立了一道牢固的安全屏障。防火墻可以限制對(duì)某些不安全端口的訪問(wèn)，能封鎖特洛伊木馬，并禁止來(lái)自特殊站點(diǎn)的訪問(wèn)和禁止某些協(xié)議的運(yùn)行，從而有效地防止外部入侵者的非法攻擊行為。入侵檢測(cè)是指對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意行為的識(shí)別和響應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)從計(jì)算機(jī)網(wǎng)絡(luò)系

17、統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，發(fā)現(xiàn)入侵以后，會(huì)及時(shí)進(jìn)行記錄事件、斷開(kāi)網(wǎng)絡(luò)連接和報(bào)警等操作，如果把防火墻比作是網(wǎng)絡(luò)門(mén)衛(wèi)的話，入侵檢測(cè)系統(tǒng)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)。在校園網(wǎng)中部署入侵檢測(cè)系統(tǒng)可以有效地監(jiān)控校園網(wǎng)內(nèi)的惡意攻擊行為。建立一個(gè)有效合理的病毒防御和查殺機(jī)通過(guò)在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機(jī)有效地防止病毒侵害，還可以使管理員從中央位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)狀態(tài)下的病毒防護(hù)。主要做法是：網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件廠家網(wǎng)站上獲取最新的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將

18、最新的升級(jí)文件分發(fā)到其他多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級(jí)方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是由程序自動(dòng)、智能地完成，可以避免由于人為因素造成網(wǎng)絡(luò)中部分用戶因?yàn)闆](méi)有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。建立一個(gè)有效合理的病毒防御和查殺機(jī)通過(guò)在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機(jī)有效地防止病毒侵害，還可以使管理員從中央位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)狀態(tài)下的病毒防護(hù)。主要做法是：網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由

19、網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件廠家網(wǎng)站上獲取最新的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級(jí)方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是由程序自動(dòng)、智能地完成，可以避免由于人為因素造成網(wǎng)絡(luò)中部分用戶因?yàn)闆](méi)有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。9. 使用VLAN技術(shù)VLAN是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。每一

20、個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、提高網(wǎng)絡(luò)安全性、簡(jiǎn)化網(wǎng)絡(luò)管理。下面從幾個(gè)方面具體來(lái)談?wù)刅LAN技術(shù)在校園網(wǎng)中的發(fā)揮的突出作用。由于不同的VLAN有著各自獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。例如在我校就對(duì)每棟學(xué)生宿舍劃分兩個(gè)或兩個(gè)以上VLAN，在這種情況下即使有一棟學(xué)生宿舍的VLAN產(chǎn)生了廣播風(fēng)暴，也不會(huì)對(duì)此VLAN之外的網(wǎng)絡(luò)產(chǎn)生影響。在交換機(jī)上劃分VLAN以后，不同V

21、LAN的之間將不能直接通信，VLAN間的通信必須通過(guò)三層設(shè)備（路由設(shè)備）。我們可以通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則，控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN中，從而提高了校園網(wǎng)的整體性能和安全性。如果結(jié)合相應(yīng)的網(wǎng)絡(luò)技術(shù)還可以方便的控制校園網(wǎng)用戶的登陸地點(diǎn)，例如開(kāi)啟交換機(jī)的認(rèn)證功能，校園網(wǎng)用戶在登陸校園網(wǎng)前首先要進(jìn)行身份認(rèn)證，我們可以將認(rèn)證帳號(hào)綁定到具體的VLAN中，這樣只有具備相應(yīng)VLAN認(rèn)證帳號(hào)的用戶才能在指定的VALN登陸校園網(wǎng)絡(luò)。利用VLAN技術(shù)可以根據(jù)學(xué)校的部門(mén)職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段，在不改動(dòng)網(wǎng)絡(luò)物理連接的

22、情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。10、軟件系統(tǒng)的安全配置軟件系統(tǒng)的安全問(wèn)題也是不容忽視的，任何軟件都有漏洞。作為網(wǎng)絡(luò)系統(tǒng)的管理人員有責(zé)任及時(shí)將軟件的補(bǔ)丁打上。比如，校園網(wǎng)中的服務(wù)器所使用的操作系統(tǒng)大多是win2000/xp的操作系統(tǒng)，因?yàn)槭褂玫娜硕嗨园l(fā)現(xiàn)的漏洞也就特別多，這就需要網(wǎng)絡(luò)管理人員隨時(shí)去了解微軟公司發(fā)布的有關(guān)操作系統(tǒng)的安全信息，如有相關(guān)的補(bǔ)丁程序或升級(jí)包就應(yīng)當(dāng)及時(shí)地從微軟的官方網(wǎng)站下載并安裝。對(duì)于其他的軟件系統(tǒng)（比如：Linux，Oracal，SQL）也應(yīng)當(dāng)密切關(guān)注其安全問(wèn)題。只有這樣才能有效

23、的避免因軟件系統(tǒng)漏洞而導(dǎo)致的安全問(wèn)題。操作系統(tǒng)在服務(wù)器上剛安裝好時(shí)會(huì)自動(dòng)啟動(dòng)一些不必要的服務(wù)，這樣不僅給系統(tǒng)增加了額外的開(kāi)銷(xiāo)，而且?guī)?lái)了系統(tǒng)的安全隱患。對(duì)于服務(wù)器上不需要的服務(wù)我們應(yīng)及時(shí)將其關(guān)閉，比如我們可以關(guān)閉web服務(wù)器的telNET等服務(wù)，同時(shí)我們還應(yīng)該關(guān)閉不必要的tcp端口。11.訪問(wèn)控制訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。用戶的入網(wǎng)訪問(wèn)控制通常有用戶名和口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問(wèn)權(quán)限，用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問(wèn)和非法使用。用戶在其合法的訪問(wèn)授權(quán)之外無(wú)其他的訪問(wèn)特權(quán)

24、，有效防止了網(wǎng)絡(luò)因超權(quán)限訪問(wèn)而造成的損失。目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始的。一旦黑客進(jìn)入了系統(tǒng)，那么所有的防衛(wèi)措施幾乎就沒(méi)有作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。12.防火墻與IDS聯(lián)動(dòng)防火墻是構(gòu)建整個(gè)網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)防火墻與Internet連接。通過(guò)Internet進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用

25、戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。對(duì)于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動(dòng)防御，因此，必須加強(qiáng)與IDS（入侵檢測(cè)系統(tǒng)）的聯(lián)動(dòng)。IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別正在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵采取任何的防御措施。所以網(wǎng)絡(luò)中心通過(guò)IDS和防火墻的聯(lián)動(dòng)來(lái)實(shí)現(xiàn)入侵防御，當(dāng)IDS發(fā)現(xiàn)攻擊企圖后，它會(huì)通知防火墻將攻擊來(lái)源的IP地址或端口禁掉。這種聯(lián)動(dòng)方式集合了IDS和防火墻的優(yōu)點(diǎn)，從而能主動(dòng)地阻擋入侵，降低非

26、法入侵造成的損失13.漏洞掃描系統(tǒng)解決網(wǎng)絡(luò)中安全問(wèn)題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估風(fēng)險(xiǎn)并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。而且也可以采用目前先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。14.安裝補(bǔ)丁程序和網(wǎng)絡(luò)殺毒軟件任何操作系統(tǒng)都有漏洞，大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞，蓄意攻擊它們的人也特別多，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)。在校園網(wǎng)防病毒方案中，系統(tǒng)管理員最終要達(dá)到的一個(gè)目標(biāo)就是，要在整個(gè)網(wǎng)絡(luò)中杜絕病毒的感染和傳播。為了實(shí)現(xiàn)這個(gè)目標(biāo)，