校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。但由于计算机网络具有形式多样性，终端分布不均匀性和网络的开放性，互连性等特征，使得网络信息安全日益成为一个至关重要的问题。计算机校园网络系统是学校重要的现代化基础设施，应为学校的师资培训、教学科研、科室办公、现代化管理等提供先进、可靠、安全、快捷的计算机网络环境。因此，保障校园网络信息安全越来越成为一个不可回避的问题。

　　1校园网的安全隐患

　　校园网具有速度快、规模大，计算机系统管理复杂，用户非常活跃，相对开放的网络环境，有限的资金及人力投入等特点，这些特点使校园网既是大量网络攻击的发源地，也是网络攻击者最容易攻破的目标。当前，校园网常见的安全威胁有如下几种。

　　1.1普遍存在的计算机系统漏洞

　　安全漏洞是指允许任意用户未经授权获得访问，或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性，网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。例如：

　　1.1.1VM漏洞。此漏洞可能造成信息泄露，并执行攻击者的代码。攻击者可通过向JDBC类传送无效的参数使宿主应用程序崩溃，攻击者需在网站上拥有恶意的applet并引诱用户访问该站点。恶意用户可在用户机器上安装任意DLL,并执行任意的本机代码，潜在地破坏或读取内存数据。

　　1.1.2帐号快速切换漏洞。Windows操作系统快速帐号切换功能存在问题，可被造成帐号锁定，使所有非管理员帐号均无法登录。Windows操作系统设计了帐号快速切换功能，使用户可快速地在不同的帐号间切换，但其设计存在问题，可被用于造成帐号锁定，使所有非管理员帐号均无法登录。配合帐号锁定功能，用户可利用帐号快速切换功能，快速重试登录另一个用户名，系统则会认为判别为暴力破解，从而导致非管理员帐号锁定。

　　1.2计算机病毒入侵

　　计算机病毒是校园网安全最大威胁，能够通过计算机网络、存储介质等进行传播。其中，网络病毒具有传染方式多、传播速度快、影响面大、清除难度大、破坏力强的特点。近年来的CIH病毒、爱虫病毒、熊猫烧香病毒等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。网络蠕虫病毒的危害日益严重，种类和数量日益增多，发作日益频繁。现在，蠕虫病毒往往与黑客技术结合，计算机中毒发作后，常导致拒绝服务攻击(DoS)，连累全网服务中断。过去，病毒最大的“本事”是复制自身到其他程序。现在，它具有了蠕虫的特点，通过网络到处乱窜。还有些病毒具有黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。

　　校园网中病毒的主要来源有盗版光盘、电子邮件、恶意的网页、网络共享、U盘等。主要入侵途径见下：

　　1.2.1轻率地使用盗版光盘上的软件,因为光盘是只读的,即便发现了病毒也无法删除，再加上它廉价的优势，很容易误用。

　　1.2.2随着互联网的发展,电子邮件被频繁地使用,这给蠕虫类病毒提供了良好的空间，毫无防备的接收电子邮件，甚至是仅仅选中了一封邮件的标题头，就有可能使病毒在你的机器里安家落户了。

　　1.2.3浏览网页是绝大多数上网者的事情,令人遗憾的是,过去一直被认为浏览网页是安全的观念现在已经被彻底打破，大量事实表明仅仅是阅读了某些网页(当然是含有恶意代码的网页，事实上你并不知道它有害)，就完全有可能在你的机器上运行任何程序，比如格式化你的硬盘，安装木马，把你的浏览器肆意篡改，某些功能等等。

　　1.2.4在校园网中设置网络共享可以极大的方便用户共享信息,但是不幸的是如果共享文件中有病毒，它就会感染使用此共享文件的系统，进而影响到所有的用户。

　　1.2.5来自U盘的入侵,校园网方便了人们的数据交流,但由于U盘携带方便，U盘的使用率很高，如果不小心使用了带有引导区病毒的U盘，尽管这种病毒不能成功的驻留你的机器,但是它有可能破坏你的硬盘分区，导致数据丢失。

　　1.3来自网络外部的入侵、攻击等恶意破坏行为

　　随着网络技术的发展，各种网络攻击事件频频发生，黑客的恶意行为给人们带来了难以估量的损失，甚至有些教师一上网就心有余悸。分析网络攻击将有助于做好防范措施。网络攻击主要有以下几种形式：

　　1.3.1拒绝服务(DOS)：就是对服务器产生大量的服务请求,使服务器忙于响应大量的应答讯息，造成的现象为TCP/IP栈崩溃，导致与Internet的连接中断、有无数的窗口被打开、系统死机,甚至重新启动等等，使得服务器系统不胜负荷，致使服务器丧失提供正常服务的能力。这种攻击不需要高深的知识，仅从网上下载一些程序WinNuker,FluSho等，甚至使用简单的网络命令Ping(伪装IP地址)，也能够造成系统资源大量消耗，最终形成DOS攻击，致使系统崩溃。

　　1.3.2木马程序:你的机器上一旦被人种植了木马,就意味着你的机器就可以被别人像你自己一样使用，你的一举一动都在他人的掌握之中，甚至利用你的机器去做些你不知道的事情，而那个人可能是在地球的那一边，很难发现他。

　　1.3.3黑客入侵:是指某些具有顶尖网络技术的人士,使用扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定操作就能够控制整个系统。

　　黑客大多利用系统中的安全漏洞非法进入他人计算机系统，通过获取口令、控制中间站点、获得超级用户权限，达到读取他人电子邮件、搜索和盗用私人文件、毁坏重要数据、破坏整个系统的目的。黑客常用的攻击手段主要有：网络监听、地址欺骗、会话劫持、拒绝服务攻击。

　　1.4校园网内部的威胁

　　1.4.1IP地址盗用主要有IP地址的盗用，混用问题，校园网内部连接的计算机有的是得到合法的IP地址，有的没有申请过IP地址，如果没有IP地址的用户冒用合法用户的IP地址上网，这就是IP地址的盗用;IP地址的混用是指用户由于某些原因，人为地修改了机器的静态的IP地址。这两种情况都能造成局域网内部地址的冲突，严重影响着网络的正常使用。

　　1.4.2校园网内部用户对网络资源的滥用有人利用校园网资源进行商业的或免费的视频、软件资源下载服务，占用了大量珍贵的网络带宽，从而影响网络的速度。

　　1.4.3垃圾邮件、不良信息的传播对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。

　　2安全解决方案

　　好的安全解决方案要从环境、用户、产品、意识等方面来考虑，进行综合分析，逐个解决存在的问题，把可能发生的危害排除在发生之前，达到安全防护的目的。并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中，而不是顾此失彼，仅仅强调某个环节。

　　2.1校园网络的IP路由信息和访问范围的控制管理

　　校园网络主要采用TCP/IP网络协议，网上的路由器间需要交换路由信息，IP路由信息交换有动态和静态两种方式。采用静态路由协议，与上一级网络中心相连，不采用RIP主要原因是为了防止网络上不正确的路由信息对本校园网络的影响。

　　为了控制用户访问一些网络采用IP的，在路由器上加入这两条指令：【1】

　　该规则表示只有3网段上192.168.3.0-192.168.3.31的用户才能访问国站这样防止其他用户访问国站，避免造成国外流量剧增，从而增加经费开支(指按流量计用户)。

　　为了禁止网络不必要的端口连接，在路由器上加入如下指令：【2】

　　该规则表示访问列表序号为101,禁止从一切主机建立与IP地址段为192.168.3.1-192.168.3.254的主机建立telnet(23)连接，同时禁止一切主机与主机之间的138端口的连接。

　　2.2采用虚拟局域网技术(VLAN)

　　VLAN能够帮助控制流量,提供更高的安全性,使网络设备的变更或移动更加方便。VLAN技术的核心是网络分段，根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，以达到非法访问的目的。

　　一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。使用VLAN具有以下优点：

　　2.2.1控制广播风暴,一个VLAN就是一个逻辑广播域,通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

　　2.2.2提高网络整体安全性，通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同的VLAN中，从而提高交换式网络的整体性能和安全性。

　　2.3软件系统的安全防护

　　随着技术的发展，操作系统越来越复杂，从而导致了操作系统本身的漏洞也越来越多，这样就使得操作系统不是绝对安全、万无一失的。最近几年针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多，因此我们必须加固机器中的操作系统，主要采取以下方法：

　　2.3.1及时安装系统补丁程序，各大厂商都会在他们自己的网站以及授权站点上公布，都是免费使用的，需要注意的是，下载安装补丁程序时需要仔细阅读附带的安装说明书，以防补丁程序带来无谓的损失。

　　2.3.2最小化系统,遵循最小化原则,也就是说,能不装的一定不装,一定要装得要尽量少装，因为每多一个不必要的模块，就增加了一份不安全的因素，所以对于系统要严格检查去掉不必要的模块，提高系统的安全性。

　　2.3.3加强操作系统权限管理和口令管理,比如用户权限的分配，共享目录的开放与否、注册表的安全配置、浏览器的安全等级等等。

　　打开“计算机管理”,检查用户和组里是否有非法用户，尤其小心管理员权限的非法用户。禁止系统提供的GUEST用户，因为黑客常用GUEST进行系统控制，对于ADMINISTRATOR则应进行改名操作并设置足够复杂的密码。开启审核策略，修改终端管理端口，以及配置MS-SQL,删除危险的存储过程。

　　2.4安装杀毒软件

　　现在大多数用户都了解了病毒，也都安装杀毒软件，需要说明的是，安装了杀毒软件并不能保证你的机器已经完全拒病毒于门外了，你还需要做以下的事情：

　　2.4.1及时升级杀毒软件，这是由于杀毒软件的滞后性所决定的,否则的话，新的网络蠕虫病毒仍然可以在你的机器里畅通无阻。

　　2.4.2要经常使用杀毒软件检查系统并清除病毒,安装后,如果长期不用，那也起不到杀毒作用了，充其量也不过只是一种摆设而已。

　　2.4.3使用杀毒软件的监控功能,这样能够有效地把木马程序、网页等有害程序拒之门外。

　　2.5安装防火墙技术

　　防火墙技术是控制进和出两个方向通讯的门槛，是抵御来自网络攻击最有效的手段之一，它能允许你“同意”的人和数据进入你的网络或机器，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。因此它能够最大程度的保护你的系统信息不向外泄漏，所以对通过交换机直接上宽带的用户而言，使用防火墙至少可以帮你抵挡来自网络常见的攻击方式：

　　2.5.1拒绝服务(DOS)，防火墙能识别诸如WinNuker,FluSho等所发送的数据包，提醒用户作相应的处理，及时切断与某个IP的通讯，预防DOS的形成。

　　2.5.2监控不明程序进程，木马类程序往往隐藏在正常的程序中,它们后台运行然后通过网络与主控端联系，往往很难被发现，而防火墙的监控进程功能就可以有效地拦截含有木马类的不明程序在你的机器上的运行，从而达到安全防护的目的。

　　2.5.3对于熟悉网络的用户而言，还可以使用防火墙的端口阻塞功能关闭不需要的端口，可以有效地保护系统信息不向外泄漏，并且也降低了黑客利用开放的端口入侵的可能性，从而达到安全防护的目的。

　　2.5.4与杀毒软件一样，安装了防火墙以后，并非万事大吉。要想充分发挥它的安全防护作用，还必须对它进行跟踪和维护，要与商家保持密切的联系，经常关注商家的动态，特别是一些免费使用的防火墙，象天网防火墙、绿色警戒等，因为商家一旦发现其产品存在安全漏洞，就会尽快发布更新程序，此时应尽快确认真伪并对防火墙进行更新。

　　2.6IP地址的管理

　　在当今的internet互联网络中，TCP/IP网络协议已经成为事实上的工业标准模型，TCP/IP网络中的任何一台主机都需要有一个合法的IP地址才能正常运行，在设计规划校园计算机网络时，应做好各用户、各部门对上网业务需求调查和统计，确定IP网络地址的划分，在网络管理中，如果IP地址管理手段不完善，网络很容易出现IP地址冲突和IP地址被盗用，就会导致合法的IP地址用户不能正常享用网络资源，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。为了防止IP地址冲突和被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡MAC地址进行捆绑。

　　对于动态分配IP,做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。对于静态IP,如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。我们现在针对静态IP地址和动态分配IP地址的绑定讲解一个实例：

　　2.6.1静态IP地址的绑定

　　查看网卡MAC地址(有多种办法查看，如ipconfig/all命令)，如一个用户MAC地址为00-AO-4C-6C-08-75,分配给其的静态IP地址为192.168.3.22.

　　记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机网卡MAC地址进行捆绑。具体命令是：ARP-s192.168.3.2200-AO-4C-6C-08-75

　　这样，就将您上网的静态IP地址192.168.3.22与网卡地址为00-AO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.3.22也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，对动态IP地址将不起作用。要删除所给出的IP地址与MAC地址的捆绑，命令如下：ARP-d192.168.3.2200-AO-4C-6C-08-75ARP-s192.168.3.2200-AO-4C-6C-08-75

　　2.6.2动态IP地址的绑定对规模稍大的网络用“ARP”命令捆绑IP地址和MAC地址是不适用了，手工指定IP地址也不现实，通常是使用DHCP服务器动态分配IP地址。因此使用“ARP”命令进行绑定是无法实现的。用DHCP服务器集成的IP地址和MAC地址绑定功能，只要我们合理设置，一样可以实现。

　　查找客户机MAC地址要想在DHCP服务器中实现IP地址和MAC地址的绑定，同样要先知道客户机的MAC地址。如想让主机名为“RTJ”的客户机固定使用“192.168.0.8”的IP地址，首先在客户机上运行“ipconfig/all”命令，查到该客户机网卡的MAC地址为“00-0E-A6-0C-DE-B9”.

　　新建保留在DHCP服务器端,打开DHCP管理器,展开创建的范围“192.168.0.6~192.168.0.100”的作用域,右键点击“保留”选项,在弹出的菜单中选择“新建保留”,弹出配置对话框。在该配置对话框中为主机名为“RTJ”的客户机绑定IP地址和MAC地址(见图1)，在“保留名称”栏中为该保留项目取名，如“RTJ”,然后在“IP地址”栏中输入“192.168.0.8”,“MAC地址”栏中输入客户机的网卡MAC地址“00-0E-A6-0C-DE-B9”,接着在“支持类型”中选择“两者”选项，最后点击“添加”按钮，即可完成客户机的IP地址和MAC地址绑定。【图1】

　　3校园网安全管理措施的建议

　　加强校园网安全管理措施的建议：由于每个学校机构设置和技术能力的不同，相应的实施安全管理方案也有所区别，可以将校园网安全管理建设为两个方面：第一，网络安全设备方面;第二，网络用户和管理员，即人员的方面。

　　3.1配备完整系统的网络安全设备

　　在网内和网外接口处配置一定的统一网络安全控制和监管设备，加强网络的访问控制能力，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。对邮件系统建立统一服务器系统，方便垃圾邮件的检测和拦截。统一桌面防毒系统，使其能够自动升级，实时具备最新的防护能力。通过配置安全设备可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

　　3.2要提高使用人员的管理安全意识

　　这里的使用人员包括用户和管理员。对于用户，尤其是新生，应该进行网络安全教育，提高遵守相关的安全制度的自觉性，增强整体安全防范能力。对于管理人员要定期进行培训，以提高其专业方面的素质，使他们具有较高的网络管理水平，要做到及时进行漏洞修补和定期检查，保证对网络的监控和管理。学校要出台相关的网络安全管理制度，规范校园网用户对网络的使用方法，从人员方面将出现威胁的可能性降到最低。

　　大量的安全事件表明：缺乏安全意识是导致事件发生的重要因素之一。因此还需要把安全意识提到议事日程上来。就校园网而言，在做好技术防护的同时，加强校园网的安全教育，提高安全意识，掌握使用安全工具的能力，提高遵守相关安全制度的自觉性，对于维护网络的安全也是非常重要的。具体如下：

　　3.2.1向用户讲解互联网的基本知识，使用户了解到互联网给人们带来方便的同时也带来了更为不安全的因素，这种不安全性是互联网的历史原因造成的，我们一时间还不能完全避免。

　　3.2.2简单的了解TCP/IP协议、端口、IP地址、WWW服务、FTP服务、Email服务、注册表的功能及使用等。

　　3.2.3使用户能够正确地设置浏览器，会清除上网留下的个人行踪。

　　3.2.4能够掌握杀毒软件、防火墙软件的设置和使用。

　　3.2.5在使用QQ等聊天程序时要特别注意，由于设计上使用UDP协议的原因，它很容易泄露你的系统信息要经常升级QQ程序。

　　3.2.6接收电子邮件时打开杀毒软件的实时监控功能。

　　3.2.7不要擅自改动机器的IP地址，虽然经常更改机器的IP地址可以防止木马类程序的攻击，可是这不是有效的途径，这样会造成IP地址的混乱，影响网络的正常运作，我们应该借助有效的工具软件来查杀木马程序，做好防范措施。

　　3.2.8浏览网站时尽量去那些名气大、流量大的网站,因为它们的安全性一般是很好的。因为有些网站往往在你刚登录上去，你的机器就可能已经染上了病毒;网页里的脚本可以执行你硬盘上的程序;有时当你浏览某些网页时，浏览器会自动下载某类文件，这是很危险的;有的网页通过CGI程序就能窃取你硬盘上的资料等等，所以浏览网页时要有选择性。

　　3.2.9单位要加强对校园网安全管理人员的培训,使他们从技术上提高应对各种攻击的能力。

　　4结束语

　　以上是我对网络安全的一些粗浅的认识，校园网络的安全问题，不仅是设备，技术的问题，更是管理的问题。因此校园网的安全也不是一成不变的，我们只有从自身从做起，一定要提高网络安全意识，加强网络安全技术的掌握，掌握必要的工具、技术，在使用校园网的同时自觉维护它的安全性，使校园网在学校信息化建设过程中发挥更好的作用。下载本文