校園網絡安全方案范例6篇

前言：中文期刊網精心挑選了校園網絡安全方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

校園網絡安全方案范文1

關鍵詞：校園網；網絡安全技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)10-1pppp-0c

Shallowly Discusses the Campus Network Security and the Solution

GU Sheng

(Taizhou Normal College,Taizhou 225300,China)

Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.

Key words:Campus network;Network security technology

1 校園網絡安全概述

1.1 網絡病毒

(1)計算機感染病毒的途徑：校園內部網感染和校園外部網感染。

(2)病毒入侵渠道：來自Internet 或外網的病毒入侵、網絡郵件/群件系統、文件服務器和最終用戶。主要的病毒入口是Internet，主要的傳染方式是群件系統。

(3)計算機病毒發展趨勢：病毒與黑客程序相結合，病毒破壞性更大，制作病毒的方法更簡單，病毒傳播速度更快，傳播渠道更多，病毒的實時檢測更困難。

(4)切斷病毒源的途徑：要防止計算機病毒在網絡上傳播、擴散，需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源。

1.2 網絡攻擊

(1)校園網與Internet 相連，面臨著遭遇攻擊的風險。

(2)校園網內部用戶對網絡的結構和應用模式都比較了解，存在的安全隱患更大一些。

(3)目前使用的操作系統存在安全漏洞，對網絡安全構成了威脅。

(4)存在“重技術、輕安全、輕管理”的傾向。

(5)服務器與系統一般都沒有經過細密的安全配置。

2 校園網絡安全分析

2.1 物理安全分析

網絡的物理安全風險主要有環境事故（如地震、水災、火災、雷電等）、電源故障、人為操作失誤或錯誤、設備被盜或被毀、電磁干擾、線路截獲等。

2.2 網絡結構的安全分析

網絡拓撲結構設計也直接影響到網絡系統的安全性。從結構上講，校園網可以分成核心、匯聚和接入三個層次；從網絡類型上講，可以劃分為教學子網、辦公子網、宿舍子網等。其特點是接入方式多，包括撥號上網、寬帶接入、無線上網等各種形式，接入的用戶類型也非常復雜。

2.3 系統的安全分析

系統安全是指整個網絡的操作系統和網絡硬件平臺是否可靠且值得信賴，其層次分為鏈路安全、網絡安全、信息安全。目前，沒有完全安全的操作系統。

2.4 應用系統的安全分析

應用系統的安全是動態的、不斷變化的，涉及到信息、數據的安全性。

2.5 管理的安全風險分析

安全管理制度不健全、責權不明確及缺乏可操作性等，都可能引起管理安全的風險。

3 校園網絡安全解決方案

3.1 校園內部網絡安全方案

3.1.1 內網病毒防范

在網絡的匯聚三層交換機上實施不同的病毒安全策略。網絡通過在交換機上設置相應的病毒策略，配合網絡的認證客戶端軟件，能偵測到具體的計算機上是否有病毒。

3.1.2 單機病毒防范

教師機安裝NT 內核的操作系統，使用NTFS 格式的分區；服務器可以使用Windows Server甚至UNIX或類UNIX系統。學生機安裝硬盤還原卡、保護卡或者還原精靈，充分利用NTFS分區的“安全”特性，設置好各個分區、目錄、文件的訪問權限。安裝簡單的包過濾防火墻。

3.1.3 內部網絡安全監控

采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機，能把網絡訪問安全控制前移到用戶的接入點。利用三層交換機的網絡監控軟件，對網絡進行即時監控。

3.1.4 防毒郵件網關系統

校園網網關病毒防火墻安裝在Internet 服務器或網關上，在電腦病毒通過Internet 入侵校園內部網絡的第一個入口處設置一道防毒屏障，使得電腦病毒在進入網絡之前即被阻截。

3.1.5 文件服務器的病毒防護

服務器上安裝防病毒系統，可以提供系統的實時病毒防護功能、實時病毒監控功能、遠程安裝和遠程調用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。

3.1.6 中央控制管理中心防病毒系統

建立中央控制管理中心系統，能有效地將跨平臺、跨路由、跨產品的所有防毒產品的管理綜合起來，使管理人員能在單點實現對全網的管理。

3.2 校園外部網絡安全方案

3.2.1 校園網分層次的拓撲防護措施

層次一是中心級網絡，主要實現內外網隔離、內外網用戶的訪問控制、內部網的監控、內部網傳輸數據的備份與稽查；層次二是部門級，主要實現內部網與外部網用戶的訪問控制、同級部門間的訪問控制、部門網內部的安全審計；層次三是終端/個人用戶級，主要實現部門網內部主機的訪問控制、數據庫及終端信息資源的安全保護。

3.2.2 校園網安全防護要點

(1)防火墻技術。目前，防火墻分為三類，包過濾型防火墻、應用型防火墻和復合型防火墻（由包過濾與應用型防火墻結合而成）。利用防火墻，可以實現內部網與外部網絡之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。

(2)防火墻設置原則。一是根據校園網安全策略和安全目標，遵從“不被允許的服務就是被禁止”的原則；二是過濾掉以內部網絡地址進入路由器的IP包和以非法IP地址離開內部網絡的IP包；三是在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用；四是定期查看防火墻訪問日志，及時發現攻擊行為和不良的上網記錄；五是允許通過配置網卡對防火墻進行設置，提高防火墻管理的安全性。

(3)校園網部署防火墻。系統中使用防火墻，在內部網絡和外界Internet之間隔離出一個受屏蔽的子網，其中WWW、E-mail、FTP、DNS 服務器連接在防火墻的DMZ區，對內、外網進行隔離。內網口連接校園網內網交換機，外網口通過路由器與Internet 連接。

(4)入侵檢測系統的部署。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身，可以彌補防火墻相對靜態防御的不足。根據校園網絡的特點，將入侵檢測引擎接入中心交換機上，對來自外部網和校園網內部的各種行為進行實時檢測。

(5)漏洞掃描系統。采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告。

3.2.3 校園網防護體系

構造校園網“包過濾防火墻+NAT+計費++VPN＋網絡安全檢測＋監控”防護體系，具體解決的問題是：內外網絡邊界安全，防止外部攻擊，保護內部網絡；隔離內部不同網段，建立VLAN；根據IP地址、協議類型、端口進行過濾；內外網絡采用兩套IP地址，需要網絡地址轉換NAT功能；通過IP地址與MAC地址對應防止IP欺騙；基于用戶和IP地址計費和流量統計與控制；提供應用服務，隔離內外網絡；用戶身份鑒別、權限控制；支持透明接入和VPN 及其管理；網絡監控與入侵檢測。

4 校園網絡運營安全

4.1 認證的方式

網絡運營是對網絡用戶的管理，通過“認證的方式”使用網絡。方式如下：

(1)802.1x的基本思想是端口的控制。一般是在二層交換機上實現，需要接入的所有交換機都支持802.1x協議，實現整網的認證。

(2)基于流的認證方式。指交換機可以用基于用戶設備的MAC地址、VLAN、IP等實現認證和控制，能解決傳統802.1x無法解決但對于運營是十分重要的一些問題，如假、假冒IP和MAC、假冒DHCP SERVER。

4.2 管理

利用客戶端機器上安裝服務器軟件實現多人共用一個賬號上網的現象非常普遍，給學校的運營帶來很大的損失。使用三層交換機上的802.1x擴展功能和802.1x客戶端，防止非認證的用戶借助軟件從已認證的端口使用服務或訪問網絡資源，做到學校提供一個網絡端口只能一個用戶上網。

4.3 賬戶管理

學生是好奇心強的群體，假冒DHCP SERVER和IP、MAC給學校的運營管理帶來很大的麻煩。通過匯聚三層交換機和客戶端軟件配合，發現有假冒的DHCP SERVER，立即封掉該賬戶。

5 校園網絡的訪問控制策略

5.1 建立并嚴格執行規章制度

規章制度作為一項核心內容，應始終貫穿于系統的安全生命周期。

5.2 身份驗證

對用戶訪問網絡資源的權限進行嚴格的認證和控制。

5.3 病毒防護

主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。

6 校園網絡安全監測

校園網絡安全監測可采用以下系統或措施：入侵檢測系統；Web、E-mail、BBS的安全監測系統；漏洞掃描系統；網絡監聽系統；在路由器上捆綁IP和MAC地址。這些系統或措施在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

7 校園網絡系統配置安全

7.1 設置禁用

禁用Guest賬號；為Administrator設置一個安全的密碼；將各驅動器的共享設為不共享；關閉不需要的服務，運用掃描程序堵住安全漏洞，封鎖端口。

7.2 設置IIS

通過設置，彌補校園網服務器的IIS 漏洞。

7.3 運用VLAN 技術來加強內部網絡管理VLAN 技術的核心是網絡分段，網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中，通常采用二者相結合的方法。

7.4 遵循“最小授權”原則

指網絡中的賬號設置、服務配置、主機間信任關系配置等都應為網絡正常運行所需的最小限度，這可以將系統的危險性大大降低。

7.5 采用“信息加密”技術

包括算法、協議、管理在內的龐大體系。加密算法是基礎，密碼協議是關鍵，密鑰管理是保障。

8 校園網絡安全管理措施

安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。

9 結束語

校園網安全是一個動態的發展過程，應該是檢測、監視、安全響應的循環過程。確定安全技術、安全策略和安全管理只是一個良好的開端，只能解決60%～90%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等，這些都是對信息系統安全的挑戰。

參考文獻：

[1]孫念龍.后門防范技巧[J].網管員世界,2005(6).

[2]段新海.校園網安全問題分析與對策[J].中國教育網絡,2005(3).

[3]王子榮,李軍義,胡峰松.IPv6 發展與部署之冷靜思考[J].教育信息化,2005(12).

校園網絡安全方案范文2

關鍵詞：校園網；網絡安全；防范；管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)17-21413-02

1 引言

我國著名的空間科學家奠基人錢學森院士認為：21世紀教育是一個“人腦+電腦+網絡”的教育。如今隨著互聯網技術的迅猛發展，計算機技術、網絡通訊技術、多媒體技術不斷普及，校園網也如雨后春筍般在各大院校嶄露頭角。校園網的建立使其在學校的教育教學工作中越來越發揮著舉足輕重的作用。但是，在校園網絡建設的過程中，由于對技術的偏好和網絡安全意識的不足，普遍存在著“重技術、輕安全、輕管理”的傾向。校園網作為數字化信息的重要傳輸載體，如何保證其網絡的安全性成為學校不得不面對的一個問題。

2 校園網絡存在的安全隱患分析

校園網一般由內網和外網兩大部分組成。其中內網部分包括教學局域網、圖書館局域網、辦公自動化局域網等，它實現了教學管理、資產管理、人事管理、財務管理、后勤管理等應用，形成了學校的管理信息系統；外網部分則包括一些公開的服務器，主要負責與教育科研網、互聯網的連接以及遠程移動辦公用戶等的接入。它主要通過外部網交換機連接至互聯網服務器，構成一個獨立的網段，路由器則通過DDN專線與教育科研網或其他網絡實現互聯。

對于校園網來說，網絡安全主要是指系統和數據庫的安全。針對校園網絡的特點，維護網絡安全除了要防止外部的入侵，還要防止那些具有獵奇心理、計算機操作能力較強的在校學生。因此，校園網存在的安全隱患可以歸結如下：

2.1 設備受損

構成校園網的一些計算機設備如各種服務器、計算機系統、路由器、交換機、集線器等硬件實體和信鏈路極易受自然災害及環境（溫度、濕度、振動、沖擊、污染等）的影響。目前，我們不少計算機機房還沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施，接地系統也疏于考慮，抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象也時有發生。由于噪音和電磁輻射，導致網絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。

2.2 操作系統的安全漏洞

從終端用戶的程序到服務器的應用服務，以及網絡安全的很多技術，都是運行在操作系統之上的。校園網服務器安裝的操作系統大多為WindowsXP或Windows2000系統，這些系統或多或少總存在著一些漏洞，如系統本身的漏洞、瀏覽器的漏洞、IIS的漏洞等等。這些都給黑客以入侵的機會，他們使用各種計算機工具，非法侵入重要信息系統，竊取重要信息，修改和破壞信息網絡的正常使用狀態，造成數據丟失或系統癱瘓，給學校的正常教學秩序和日常工作造成極其惡劣的影響，甚至使學校遭受一定的損失。

2.3 校園網節點的安全隱患

隨著校園內計算機應用的大范圍普及，接入校園網節點的日益增多，而這些節點大部分都沒有采取一定的防護措施，隨時都有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。

2.4 校園網內部的安全隱患

由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅更大一些?，F在，網絡上的黑客攻擊工具泛濫成災，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。

3 校園網絡安全防范策略

安全策略是指在一個特定環境中，為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括先進的技術、嚴格的管理和相關的法律。安全策略決定了采用何種方式和手段來保證網絡系統的安全，即首先要清楚自己需要什么，制定恰當的滿足需求的策略方案，然后再考慮技術上如何實施。

3.1 物理安全策略

保證計算機網絡系統各種設備的物理安全是整個網絡安全的前提。物理安全是指保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故，人為操作失誤或錯誤以及各種計算機犯罪行為所導致的破壞過程。這就必須在校園網規劃設計階段充分考慮到網絡設備的安全問題，如確保計算機系統有一個良好的通風適溫環境，建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生，將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理，各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止無意損壞，驗證用戶的身份和使用權限、防止用戶越權操作等。

3.2 系統安全策略

從目前來看，各種系統或多或少都存在著各種各樣的漏洞，系統漏洞的存在就成為網絡安全的首要問題。前些時候流行于網絡上的“熊貓燒香”、“灰鴿子變種”等病毒正是利用系統的漏洞進行廣泛傳播。因此及時為系統打補丁顯得尤為重要。對于Windows操作系統的服務器，可以采用Windows自動更新服務來完成。除此之外，還需要建立一套對系統的監控系統，并建立和實施有效的用戶口令和訪問控制等制度。

3.3 防范計算機病毒

從病毒發展趨勢來看，現在的病毒已經由單一傳播、單種行為，變成依賴互聯網傳播，集電子郵件、文件傳染等多種傳播方式于一體，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。對于病毒的防范我們主要依賴于防病毒軟件。從功能上看，可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其它資源傳染，網絡防病毒軟件會立刻檢測到并加以刪除。

3.4 設置防火墻

防火墻是指一個由軟件和硬件設備組合而成，處于網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。當校園網接上Internet之后，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高校園內部網絡的安全性，并通過過濾不安全的服務而降低風險。首先，防火墻可以強化網絡安全。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次，防火墻可以對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。再次，防火墻可以防止內部信息的外泄。利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

3.5 建立安全管理隊伍

俗話說，網絡安全是“三分設備、七分管理”，安全管理貫穿于安全防范體系的始終。學校必須注重對網絡管理人員網絡安全理論、安全技術以及專業業務的培訓，注重對教工、學生等使用人員網絡安全知識的宣傳，在大家的共同努力下，盡一切可能把不安全因素降到最低。同時，學校還必須頒布網絡行為規范和具體處罰條例，這樣才能有效的控制和減少內部網絡的隱患。

4 結束語

教育的信息化，校園網的建立使學校面臨著“安全性”的挑戰。校園網絡安全不應僅僅停留于追堵和攔截，而應該積極主動的運用各種手段和策略面對來自各個方面的挑戰。總的說來，校園網絡安全不僅僅是技術、設備的問題，同時也是一個安全管理問題。因此，我們一定要提高網絡安全意識，加強網絡安全技術的掌握，注重對學生教工網絡安全知識的培訓，并制定一套完整的規章制度來規范上網人員的行為。最終使我們的校園網絡朝著健康、安全、高速的方向發展。

參考文獻：

[1] 王衛華,王長杰.淺析校園網的網絡安全及策略[J].科技信息:學術版,2006(07)140-141.

[2] 林景華.校園網網絡安全與管理[J].沿海企業與科技,2005(12):67-69.

校園網絡安全方案范文3

摘要：校園網的網絡安全是一個系統性工程，不能僅僅依靠防火墻和其它網絡安全技術，更需要仔細考慮系統的安全需求，建立相應的管理制度，并將各種安全技術與管理手段結合在一起，才能生成一個高效、通用、安全的校園網絡系統，確保校園網正常安全運行和朝著健康有序方向發展。

關鍵詞：校園網；網絡安全；病毒

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9599 （2013） 02-0000-02

高校不能單單依靠將一定的安全技術和防火墻進行結合來保護校園網絡的安全運行，而應根據系統安全的需要來細細思考，制定相關的管理機制，并有效地將各類安全與管理措施進行結合，如此，才能在校園中構建起一個安全而高效的網絡系統，為師生帶去更多的便利。隨著當前計算機技術的不斷發展與更新，網絡安全上也隨之出現了不少問題，因而需要加強改進網絡安全的預防措施，真正實現對網絡的安全做到有效的保障，最終使網絡能在高校快速而安全的發展。

1 校園網網絡安全的概念

邏輯安全和物理安全是網絡安全的全部內容；邏輯安全中包含了信息的私密性、整體性和實用性。私密性是指不可將信息透入給未經允許的人，整體性是指系統能預防程序和數據信息被非法修改或刪減。實用性是指系統能避免計算機信息和數據被非法霸占，是服務器能及時而準確的接收或回復客戶的合理服務請求。而能夠對計算機網絡產生危害的主要行為有：虛假身份、篡改數據信息、惡意訪問、盜用信息等。

2 高校校園網絡安全的現狀

首先，操作系統的安全問題。操作系統幾乎是計算機中一切與其有關程序的綜合體，另外，它也是計算機系統得以運行的必備條件。它不光負責對計算機程序的運行過程進行監察和調控，還負責給使用計算機的人供應一些實用而簡便的軟件。因此，對于計算機來說，操作系統好比就是計算機的心臟，缺失了操作系統，計算機也就無法再有效運行。而在操作系統開發時，由于疏忽了一些安全患和差異性而使得當代計算機網絡運行中出現了許多問題。然而，在現代計算機網絡領域，就算是小小的一個問題也會使得計算機網絡面臨極大的威脅，而嚴重時，就會使其徹底癱瘓。

其次，計算機病毒的侵害。計算機病毒是一些具有不良企圖的惡性程序，而該類程序會致使計算機屏幕出現藍屏、系統癱瘓或被別人所掌控，進而給運用計算機的人帶來極大的威脅，并且病毒也會將計算機作為載體來利用其操作系統中存在的隱患性漏洞進行一些不必要的攻擊，最終給使用者造成重大損失。駐守在計算機中的病毒很難作人員發現，并且很有可能會產生一些變異性的病毒，讓它的攻擊性與破壞性變得更大，生存能力更加強大。

第三，計算機的黑客出現。我們都知道，主要對計算機網絡安全造成威脅的另一個主要因素是黑客，因為他們是人為因素，會利用計算機網絡所存在的漏洞，或者會潛入到計算機室內，來盜用計算機內部系統資源，從而非法地盜取了用戶的相關信息數據，并篡改一些數據，破壞了硬件設備。我們可以將計算機黑客稱作為計算機網絡安全環境中的外部進攻者，而這些外部進攻者經常會采取修改計算機用戶的網頁界面，能夠非法潛入到主機內部，也就是所說的“肉雞”，進而破壞了他們的應用程序與系統。

3 校園網安全運行的主要策略

3.1 采用入侵檢測系統。入侵檢測系統用于網絡和系統的實時安全監控，對來自內部和外部的非法入侵行為做到及時響應、告警和記錄，以彌補防火墻的不足。入侵檢測系統通過實時監聽網絡數據流，根據在入侵檢測系統上配置的安全策略（入侵模式），識別、記錄入侵和破壞性的代碼流，尋找違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問嘗試時，網絡安全檢測系統的預警子系統能夠根據系統安全策略作出反映，并通過監測報警日志對所有可能造成網絡安全危害的數據流進行報警和響應。

3.2 網絡防火墻。防火墻是用來控制信息流的設施，主要利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，根據在防火墻上配置的安全策略（過濾規則）來控制（允許、拒絕、監測）出入網絡的信息流，同時實現網絡地址轉換（NAT）、審計和實時報警功能。通過防火墻的包過濾，可實現基于地址的粗粒度訪問控制（入網訪問控制）。通常情況下，防火墻都被部署在網絡基礎設施的關鍵入口或出口。

防火墻主要工作在交換和路由兩種模式。當防火墻工作在交換模式時，防火墻的3個接口構成一個以太網交換器，本身沒有IP地址，在IP層透明。將內網、 DMZ區（非軍事區）和路由器的內部端口連接起來，構成一個統一的交換式物理子網，內網和DMZ區還可以有自己的第二級路由器，這種模式不需要改變原有的網絡拓樸結構和各主機、設備的網絡位置。當防火墻工作在路由模式時，可以作為內網、DMZ區和外網三個區之間的路由器，提供內網到外網，DMZ區到外網的網絡地址轉換。內部網的用戶通過地址轉換可訪問INTERNET，內部網、DMZ區通過反向地址轉換可向INTERNET提供服務。

3.3 防止ARP的攻擊。隨著網絡規模的擴大和用戶數目的增多，網絡安全和管理越發顯出它的重要性。由于校園網用戶具有很強的專業背景，致使網絡黑客攻擊頻繁發生，地址盜用和用戶名仿冒等問題屢見不鮮。因此，ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不僅令網絡中心的老師頭痛不已，也對網絡的接入安全提出了新的挑戰。在DHCP的網絡環境中，使能DHCP Snooping功能，E126A交換機會記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。E126A交換機利用該綁定信息，可以判斷用戶發出的ARP報文是否合法。使能對指定VLAN內所有端口的ARP檢測功能，即對該VLAN內端口收到的ARP報文的源IP或源MAC進行檢測，只有符合綁定表項的ARP報文才允許轉發；如果端口接收的ARP報文的源IP或源MAC不在DHCP Snooping動態表項或DHCP Snooping靜態表項中，則ARP報文被丟棄。這樣就有效的防止了非非法用戶的ARP攻擊。

3.4 計算機病毒的防范。計算病毒可以說無孔不入，首先應采用預防計算機病毒為主，需要在計算機上安裝配置全方位、多層次的防病毒軟件，通過定期或不定期的自動升級，使計算機網絡免受病毒的侵襲。常見的殺毒軟件有：360安全衛士，卡巴斯基，瑞星殺毒、KV3000，NOD32，金山毒霸等。當確定計算機系統感染病毒時，選用殺毒軟件迅速清除計算機病毒，清除不了的新型病毒，可將新型病毒代碼加入殺毒軟件病毒庫中后再次查殺病毒，或上傳到殺毒網站，尋求專家建議和處理辦法。另外盡可能切斷病毒來源，健康上網也是預防計算機病毒的手段，不訪問黃色網站，下載軟件時找正規網站下載正版軟件，特別對外來文件需要先進行病毒掃描，確保無病毒后再使用，從源頭上杜絕計算機病毒的入侵和破壞。

4 結束語

伴隨網絡技術的迅猛發展，校園數字化也隨之迅速崛起。校園網絡是高校數字化的重要基礎。另外，它也是學校管理、科研、學術交流等重要教學工作能順利進行的必要條件，它為師生提供了一個方便而快捷的學習環境。然而，在享受這些的同時，校園網絡的安全方面依然存在不少問題。因此，應加強提高校園網絡的安全性，從而避免信息被竊取、程序被攻擊、系統被植入病毒等風險的發生。

參考文獻：

[1]張偉鋒，王紹讓，顧方磊.校園網絡安全策略研究[J].現代物業（中旬刊）.2010（03）

[2]李娜.校園網安全防護系統的設計與實現[J].魅力中國.2010（07）

[3]趙越.高校網站建設及管理存在的問題與對策[J].產業與科技論壇.2011（02）

[4]張小莉.校園網組建方案探討[J].山西財政稅務?？茖W校學報.2011（01）

[5]薛毅飛.探討計算機網絡安全與防火墻技術[J].信息系統工程.2011（04）

校園網絡安全方案范文4

關鍵詞：高職院校；校園網；網絡安全

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2012) 06-0000-02

近年來，隨著高等職業教育的不斷發展，隨著高職院校辦學實力、社會服務能力不斷提升，社會對高職教育的關注和認識也在逐步加深。同時隨著科技的進步，計算機的普及，網絡技術的飛速發展，計算機及計算機網絡在高職教育中無論從教學、科研還是管理等方面都起著舉足輕重的的作用。當然，隨之而來的校園網絡安全問題也成為各大高職院校日益重視的問題。當前的網絡安全問題已經不是僅僅的存在于簡單的病毒傳播，很大程度上已經影響到了教師的教學。為了確保網絡能有效的保證教學效果及各部門的工作效率，如何在黑客、病毒橫行的時代提高校園網絡的安全已成為各大高職院校迫切需要解決的問題。

一、什么是計算機網絡安全

（一）計算機網絡安全

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括即物理安全和邏輯安全兩個方面。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。

（二）對計算機信息構成不安全的因素

對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發的因素。其中，人為因素是指，一些不法之徒利用計算機網絡存在的漏洞，或者潛入計算機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。

網絡安全一詞也這樣被解釋：網絡系統的硬件，軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞，更改，泄露，系統連續可靠正常地運行，網絡服務不中斷?！?/p>

二、高職院校校園網中出現的網絡安全問題

（一）安全漏洞

所謂漏洞，就是程序設計者在設計過程中的人為疏忽。當然，漏洞是在任何程序中都無法絕對避免。我們所說的“黑客”也正是利用設計者的這一點點疏忽對網絡進行攻擊的。其實真正對黑客的定義我們就可以理解他們為“尋找漏洞的人”。他們中的大多數并不是以網絡攻擊為初衷，只是天天專注與研究他人的程序并努力找到其中的缺陷。我們也可以這樣理解，從某種程度上講，一開始的大多數黑客都是“好人”，他們之所以找漏洞是為了追求完善、建立安全的互聯網模式才加入此行列的。只不過因為個別居心不良或受人唆使的黑客經常利用那些具有攻擊性的漏洞，加上一些影視中夸張的表現手法，近些年才讓人們對黑客有了畏懼和敵視的心理。高職院校中大多數教師及學生使用的都是WINDOWS XP WINDOWS 7操作系統。這些操作系統同樣不是萬無一失，在不同層面上都存在著這樣那樣的問題；這就意味著學生實用的各種應用軟件、防火墻等硬件設備在不同程度上也存在安全漏洞問題。這些漏洞對很多剛剛接觸計算機的同學來說是很容易導致機器不能正常使用，機器的不正常工作一部分原因可能由于操作的不當出現硬件問題，當然有相當一部分問題是由于黑客或病毒找到了系統漏洞，對計算機進行攻擊造成的。

同時校園網站在系統安全保障的建設中也會由技術人員在設計網站應用架構時出現了不規范，從而使得高校網站上出現了嚴重缺失，網站掛馬、網頁篡改等各種攻擊行為；近年來針對高職教育的校園網站的攻擊熱點已經從單純的網站攻擊行為衍生到攻擊利益鏈模式，許多學校都面臨較大的形象及經濟損失。

（二）病毒感染破壞

從計算機普及的那一天起，各種計算機病毒就隨之而來。損壞操作系統的、將文件夾變為可執行性文件的，導致硬盤打不開的等等。有些計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，學生之間通過U盤拷貝文件，或教師通過網絡上傳下載文件都隨時有可能幫助病毒進行傳播。還有些病毒像定時炸彈一樣，讓它什么時間發作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發作，可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中，對其他系統進行傳染，而不被人發現，潛伏性愈好，其在系統中的存在時間就會愈長，病毒的傳染范圍就會愈大。由于高職院校中存在使用計算機人員多，層次多，病毒多的特點，所以各種病毒都會有機可乘。

（三）網絡資源濫用

在高職院校的校園網內，各類用戶濫用網絡資源的情況嚴重。高職學生大多數都是起點較低并且對學習興趣不濃。不排除極個別同學會在校園網上查閱資料，用來學習，但這類人群在當前的高職院校中可以說少之又少。個別同學不安裝殺毒軟件，或者安裝了殺毒軟件也不及時更新，上網隨便下載亂七八糟的軟件，隨意接收別人的文件，還有的同學會瀏覽一些不合法網站，隨著各種不正當操作的進行，病毒也就逐漸的滲透到學校的各個角落，嚴重影響了學校網絡的正常使用，也嚴重影響了學校各項工作的順利開展。

三、校園網絡的安全防范策略

近年來，隨著校園信息化建設的逐步深入，各項工作對信息系統依賴的程度越來越高。作為窗口的校園網站，所面向的用戶群也越來越廣泛，所承載的功能也越來越全面，不單是面向校內，同時面向社會也提供了諸多服務功能。校園網站已從一個簡單的信息、展示平臺，逐步轉變為匯集了招生就業、遠程教育、成果共享、招標采購等功能的綜合性業務平臺。隨著國家對高職教育的逐步重視，越來越成多的攻擊和威脅出現在校園內，學院網站所面臨的Web應用安全問題越來越復雜，混合威脅的風險正在飛速增長，如網頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等，極大地困擾著學校和學生用戶。高職院校校園網絡安全管理是一項復雜的系統工程，尤其在高職院校人員分布零散，學生素質參差不齊，整體管理相對困難的前提下要提高網絡安全，必須從校園的各個層面入手，才能從根本上解決問題。

（一）安全的物理環境

要保證整個學校的計算機網絡系統的安全、可靠，必須保證系統有個安全的物理環境。這個安全的環境包括機房、辦公室、寢室等相關的計算機設施。

（二）配備高性能的防火墻

凡是能有效阻止網絡非法連接的方式，都算防火墻。早期的防火墻一般就是利用設置的條件，監測通過的包的特征來決定放行或者阻止的。雖然防火墻技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火墻可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個IP的流量和連接數。

（三）及時修復系統軟件漏洞

可以以講座或學生宣傳的形式提醒各位教師及同學們及時更新操作系統，安裝各種補丁程序的重要性。

（四）建立全面的網絡防殺毒系統

病毒在網絡環境下傳播擴散特別快，所以僅用單機防病毒產品已經遠遠不能解決網絡病毒，必須使用全方位的防病毒產品，通過及時更新病毒庫，使網絡免受病毒的侵襲。

校園網絡安全方案范文5

【關鍵詞】高校網絡 校園網 網絡安全

1 引言

隨著教育信息化的發展，校園網絡成為高校重要的基礎設施，通過校園網可以實現教學資源和教學信息的共享，促進校園內部，高校之間的信息交流；通過校園網和相應的管理軟件，可以實現辦公自動化，遠程授課，遠程輔導，這些都大大提高了教學工作的效率，校園網絡在高校日常教學工作中起著越來越重要的作用。然而，來自網絡中的黑客攻擊、病毒、資源盜用等常常破壞著校園網絡的正常進行，因此，校園網絡的安全與防范就成了校園網絡組建和使用中不可忽視的問題。

2 高校校園網存在的安全問題

校園網絡中主要的安全問題隨著校園網應用的深入，各種數據急劇增加，各種各樣的安全問題也逐漸突出，當前，校園網常見的安全隱患有以下幾種。

2.1 物理層的安全問題

校園網需要各種設備的支持，而這些設備分布在各種不同的地方，管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理；室內設備也可能發生被盜、損壞等情況。物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力，使得網絡設備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網不能正常運行。

2.2 系統漏洞，包括操作系統漏洞，軟件漏洞，硬件漏洞

2.2.1 操作系統漏洞

操作系統是一個龐大的系統，無論如何仔細考慮，都可能存在未考慮到的地方，這些考慮不周的地方，就可能被攻擊者利用，成為安全漏洞。目前使用的操作系統基本都存在很多的安全漏洞，對網絡安全構成了威脅。許多校園網絡服務器的操作系統都或多或少存在安全風險，再加上系統管理員或使用人對該系統了解不夠和安全設置不當，這些都將對校園網絡構成威脅。

2.2.2 軟件漏洞

計算機要完成各種功能，就需要安裝不同的軟件，高校計算機需要安裝的軟件更多，如辦公軟件，日常用軟件，教學軟件，各種專業課程所需的專業軟件，這么多的軟件，它們中很可能有因為設計不周，或者疏忽出現一些危及系統安全的漏洞。

2.2.3 硬件設備漏洞

與軟件漏洞相比，網絡設備的硬件缺陷很少被人重視，實際上，硬件設計的復雜度遠遠超過了軟件，由于生產工藝和設計水平限制，難免會存在這樣或那樣的缺陷和不足，硬件漏洞是不可避免的。比如網絡硬件設備交換機，路由器的默認密碼，萬能密碼，通過這些密碼，可以取得相應網絡設備的控制權，有了這個權限，就可以監控網絡運行的數據，如果獲得這些權限的人有惡意的話，會給校園網絡帶來嚴重的危害。

2.3 黑客攻擊

黑客攻擊是指在未經網絡認證的情況下入侵到校園網絡進行惡意攻擊的不法行為，主要是對校園網絡中的服務器、路由器、用戶計算機進行破壞或者是竊取校園網絡中的重要數據。校園網絡通常都采用相類似的網絡結構體系和用戶應用模式，這使得入侵者對于入侵校園網絡形成了一種固有的入侵模式。同時有一些學生出于好奇或者是彰顯自己的能力，對學校的網絡設備和應用系統進行攻擊，這導致高校網絡癱瘓，用戶難以訪問互聯網或者校內局域網，并且造成高校重要信息資源丟失和破壞，嚴重威脅著校園網絡的安全。

2.4 網絡病毒

計算機病毒是程序設計者在程序中插入破壞計算機功能，或者破壞數據的程序代碼，它會影響計算機正常使用。病毒有破壞性，傳染性，如果不及時采取措施，會給學校的教學帶來嚴重的后果。病毒的傳染途徑主要有幾個方面，一是利用操作系統或者常用軟件的漏洞制作的病毒，只要W絡存在這些漏洞，并且連上了互聯網，就會中毒；二是校園教職工或者學生訪問不安全的網站，從而引起系統中毒；三是在日常的工作或學習中，通過U盤，移動硬盤拷貝數據，而引起的中毒。

2.5 不良的上網習慣和淡薄的安全意識

校園網的使用者主要是學校職工，教師和學生，這些用戶中很多人安全意識薄弱，上網的習慣也不好，對于自己使用的計算機為了圖方便，不設置密碼，或者使用簡單的密碼，對于教學系統中的密碼，也設置較簡單，或者是姓名拼音，或者重復的字母，或者是用生日來做密碼，對于這些簡單的密碼，很容易被人破解，從而利用這個身份對系統進行破壞。而且對于一些重要的信息，資源也不注意保護，這樣很容易造成泄密。

2.6 維護網絡安全投入的經費不足

對于網絡安全維護，主要的投入有三方面，一是硬件設施的投入，目前，很多高校的規模都是越來越大，對于一些老的設備沒及時淘汰，使網絡承受能力受到考驗，有崩潰的危險；一是各種安全軟件的購買，目前有的高校由于資金緊，在日常辦公中使用了很多盜版軟件，這些軟件中可能存在病毒，萬一出現問題也沒有相應的技術支持；最后是網絡安全人員的人工費及培訓費用，網絡安全維護對維護人員要求較高，需要有較高的專業知識，同時還需要經常學習一些新的知識，技術。這就需要經常參加網絡安全的培訓，但很多高校對維護人員的培訓較少。

3 高校網絡安全問題的解決方案

對于以上提出的校園網絡安全問題，可以從技術層面、管理層面、物理安全層面的因素來考慮，采取相應的措施來確保校園網絡的安全。

3.1 技術層面對策

在技術方面，主要有安全漏洞防范，身份認證和數據加密，數據備份和恢復，病毒防范等，綜合起來，技術層面可以采取以下對策：

3.1.1 修復系統安全漏洞

將操作系統設為自動更新，更新一些重要的補丁，對于各種軟件存在的安全漏洞，也要及時更新補丁，可以下載專門的安全軟件來完成這些工作，如360安全衛士，安裝之后，只要連上網絡，就可以自動的為系統打上必要的補丁。

3.1.2 使用身份認證和數據加密技術

對于校園網絡中重要的資源和信息，要進行數據加密，還要控制它的訪問權限，有權限的人才能訪問這些信息，防止非授權人員訪問這些資源和信息，造成重要信息的泄露。

3.1.3 χ匾數據要定時備份

校園網絡要正常運行，離不開數據的支持，對于這些重要的數據，要經常備份。數據備份是為了防止出現意外情況時，比如病毒破壞，黑客攻擊，硬件故障，工作人員誤操作等，一旦出現意外情況，可以用備份數據使校園網絡以最快的速度恢復正常工作，而不至于造成重大的損失。

3.1.4 做好網絡病毒的防范工作

提高網絡病毒的防范能力，必須選擇相應的防病毒軟件，并且要正確配置這些防病毒軟件，還要及時更新防病毒軟件，平時要多掃描計算機，及時檢測出系統存在的漏洞，進行相應的補救，計算機的安全策略也要進行正確的配置等。

3.2 管理層面對策

對于管理層面，應該制定健全的網絡安全管理制度，主要包括以下幾個方面的內容：

（1）建立高效合理的安全管理制度。建立好的制度來規范用戶的使用習慣，校園網內計算機，必須有最基本的防護措施，并且要經常進行殺毒，數據備份，教學系統密碼必須符合一定的復雜度，而且每過一段時間必須改變密碼，不能長時間使用一個固定密碼，對于一些有重要信息和資源的部門，禁止非授權人員隨便進入并使用計算機。

（2）學校要經常進行關于網絡安全知識教育，加強教職工的安全意識，使教職工意識到網絡安全的重要性，并且具備一些基本的安全防護能力。

（3）加大網絡安全維護的投入。及時更新陳舊的網絡設備，購買防火墻，殺毒軟件，派遣維護人員到專業安全公司接受培訓，以提升維護人員解決新問題的能力。

3.3 物理安全層面對策

物理安全是保護整個計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤導致的破壞的過程?？梢詮南旅鎺讉€方面采取措施：

3.3.1 物理環境選擇

對于校園網絡的各種網絡設備，要選擇適宜的存放環境，要考慮多方面的因素，比如防水，防火，防盜，防雷擊等，保證物理環境的安全。

3.3.2 光纜線路的防護

網絡設備都是通過光纖網線聯通的，如果這些光纜路線出現故障，也會影響網絡的正常運行。光纜線路的防護主要是防止雷擊，防強電破壞，防止老鼠白蟻咬，防人為破壞線纜，同時要經常檢查光纜線路，發現問題及時處理。

3.3.3 防止人為誤操作

可以從兩個方面考慮，一是完善管理制度，對于可能出現或者容易出現誤操作的地方，通過制定制度作來防止出現誤操作，對于已經出現誤操作，要總結經驗，將這些經驗加入到管理制度中；二就是加強技術培訓，對于相關工作人員進行技術培訓，如果工作人員對相應知識、技術都比較熟悉，就可以減少誤操作。

4 結束語

校園網的安全問題是一個較為復雜的系統工程， 涉及技術、設備、管理和制度等多方面的因素，制定安全解決方案需要從整體上進行考慮， 我們必須做到管理和技術并重，安全技術必須結合科學的管理制度，并將各種安全技術與管理手段配合使用，把網絡不安全因素降到最少，才能確保校園網絡系統的安全。

參考文獻

[1]黃彬.淺析高校網絡安全存在的問題及對策[J].信息安全與技術，2011（Z1）：11-12.

[2]吳尚.淺析高校網絡安全存在的問題和對策[J].計算機光盤軟件與應用，2014（21）：178.

[3]賀斌.高校網絡安全存在的問題與完善策略探析[J].信息通信，2014（10）：165.

校園網絡安全方案范文6

關鍵詞:校園網 網絡安全 防御系統

一、網絡安全防御系統使用的鑒別認證機制

在整個網絡防御系統中,使用了兩種鑒別認證機制。

1.從網絡部分而言,通過SSL加密通道以及證書機關,對使用本系統提供的Web服務的用戶進行服務器與外部用戶間的雙向鑒別,其實質是利用了公鑰體制的技術,結合證書機關對服務器和用戶發放的證書,實施鑒別。

2.系統鑒別部分則是利用了安全操作系統提供的鑒別機制,采用了IC卡的方式對所有內部用戶進行身份鑒別,所有內部用戶的IC卡均通過統一的發卡中心發放,只有持卡用戶才能夠進入服務器,而網絡用戶是無法通過普通的遠程登錄進入服務器的,從而保證了服務器的登錄安全。

二、網絡安全防御系統采用安全操作系統的要求

在整個防御系統的所有服務器中要使用安全操作系統,該系統應具有以下多種安全特性。

1.登錄控制

我們將登錄控制分為基于IC卡的本地系統登錄控制和基于安全存儲介質的遠程登錄系統控制。目的都是使不合法用戶不能登錄進某一系統,從而避免不合法用戶對系統造成安全事故。

(1)基于IC卡的本地系統登錄控制

整個系統有一個發卡中心。發卡中心為用戶生成用戶卡,持有用戶卡的用戶可以在一定范圍(由發卡中心限制)的計算機上登錄。持有root身份用戶卡的系統管理員可以在每臺計算機上動態的控制每一個用戶在該機上的登錄訪問。

(2)基于安全存儲介質的遠程登錄系統控制

登錄控制是系統安全中最基本的一個環節,它是一個系統的門戶,一個好的登錄控制系統可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個基于安全shell(SSH1.0. SSH2.0 )協議的遠程登錄軟件,它可以實現在不安全的信道上進行安全的通信。主要是通過在網絡上將信息以密文形式傳送達到安全目的。

2.進程權限控制

程序權限控制是系統中防止非法使用的第一道防線,Chini-os特權控制用戶界面向系統安全員SSO提供操作,維護系統中文件和用戶特權的接口。SSO首先要通過身份驗證才能使用此界面。

Chini-os特權控制用戶界面有如下4個功能:

(1)用戶程序對系統調用的訪問。

(2)為系統中每一個可執行的程序分配其系統調用訪問權限。

(3)為每一個用戶分配其使用的系統調用訪問權限。

(4)兼容現有應用程序。

3.系統完整性保護

Chini_FID是系統管理員和用戶監視被指定保護文件或目錄是否發生改變的完整性檢測工具,利用這個工具可以檢測系統被保護文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個應用程序中駐留了“特洛伊木馬”,是否修改了某個文件的屬性等。管理員可以隨時對系統進行檢測也可以向系統提交定時任務定時對系統進行檢測,Chini_FID可以將檢測結果以郵件方式通知管理員哪些文件發生了改變,以便及時采取控制措施避免損失。

4.加密模塊

加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態和核心態模式。

(1)用戶空間通用加密接口

Chini Sec Interface可用于各種計算機安全應用,它介于各種應用系統和各種算法模塊之間,對上層應用簡化了各種安全接口、對下層算法模塊做出了相應的規范。利用Chini Sec Interface,開發應用的軟件商可以專注于應用系統的開發,無須過多地考慮算法,可在不修改應用的情況下方便地變換算法;生產算法的廠商可專注于算法的軟硬件實現,無須考慮各種應用的實現。

(2)核心空間加密模塊

核心模塊加解密時調用算法管理模塊函數,算法管理模塊再調用各種算法函數,通過這些算法函數完成加解密功能。

5.網絡安全

IP安全由IPSEC實現,己知的IPSEC具體實現有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

(1)實現IP層的安全,保護IP數據包的安全。

(2)保障主機和主機之間、網絡安全網關(如路由器、防火墻)之間、主機和安全網關之間的數據包安全。

(3)實現對IP數據包的加密保護、鑒別驗證、完整性保護、抗重播等。

6.加密文件系統

對于安全敏感數據,必須采取安全的存儲方法保證數據的安全。我們的加密文件系統能夠對該文件系統中的文件提供加密保護,不知道口令的人不可能裝載該文件系統,主機或硬盤丟失后,其他人不能讀取其中的數據。

7.安全審計

在Linux日志系統的基礎上,采用密碼體系中的認證技術,在系統產生日志文件的同時產生相應的保護文件Mac文件,日志系統每產生一條日志記錄,在相應的Mac文件中就有此記錄的Mac項,來對日志文件提供完整性保護。安全審計的功能表現在:

(1)產生日志文件。

(2)使用完整性驗證程序可以驗證系統日志文件和備份日志的完整性。

(3)可以處理和分析系統日志。

三、周期性的安全掃描

由于網絡環境中的設備多種多樣,僅依靠安全操作系統并不能保證所有設備的安全性,所以需要定期對網上的各種設備實施安全掃描,來發現設備的軟件實現中存在的可被攻擊者利用的漏洞,以便及時彌補。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描,防止病毒的進入和漫延。通過實時網上病毒掃描和防病毒軟件的定期升級功能,防止引入新的病毒。

通過以上的網絡,數據,以及系統三方面的種種安全技術手段,結合相關的安全產品,我們為校園網提供了一個完整的網絡安全防御系統的解決方案,以達到保護自己的網絡信息系統安全性的目的。

參考文獻