校园网安全威胁种类

　　系统漏洞或后门

　　操作系统和应用软件都存在着缺陷和漏洞，这些缺陷和漏洞，很可能成为攻击者的首选目标。近年来的冲击波、震荡波就是利用微软操作系统的漏洞进行攻击的。而后门是设计者在编写程序时所留下的暗道，在用户未授权的情况下，设计者或其他人可以通过这些后门出入。

　　计算机病毒入侵

　　计算机病毒是校园网安全最大威胁，能够通过计算机网络、存储介质等进行传播。其中，网络病毒具有传染方式多、传播速度快、影响面大、清除难度大、破坏力强的特点。近年来的CIH 病毒、爱虫病毒等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。

　　黑客攻击

　　黑客大多利用系统中的安全漏洞非法进入他人计算机系统，通过获取口令、控制中间站点、获得超级用户权限，达到读取他人电子邮件、搜索和盗用私人文件、毁坏重要数据、破坏整个系统的目的。黑客常用的攻击手段主要有：网络监听、地址欺骗、会话劫持、拒绝服务攻击。

　　IP 地址盗用

　　校园网在规划自己的内部网段时，为用户分配并制定了相应的网络IP 地址资源，以保证网络通信数据的正常传输。在校园网中，盗用IP 地址是一个经常发生的问题。IP地址的盗用将会导致IP 地址发生资源冲突或使合法用户的权益受到侵害，造成网络混乱甚至无法上网。

　　校园网络系统安全策略

　　针对目前常见的校园网安全威胁，建立可行、有效的安全策略是迫在眉睫的事情，笔者根据多年的实践经验，总结出几种构建高效安全校园网的策略。

　　安全隔离技术

　　面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念——安全隔离技术应运而生。其目标是，在确保将有害攻击隔离在可信网络之外，并且保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。

　　防火墙技术

　　防火墙是设置在不同网络之间的一系列软硬件的组合，它在校园网与Internet网络之间执行访问控制策略，能够检测到通过防火墙的各种入侵、攻击和异常事件，并以相应的方式通知相关人员，安全管理员依据这些警报信息及时修改相应的安全策略，重新制定访问控制规则。

　　入侵检测系统(IDS)部署

　　入侵检测能够根据系统的安全策略从不同的系统资源收集信息，分析反映误用或异常行为的信息，对检测的行为作出自动的反应，并报告检测过程的结果。入侵检测被认为是防火墙之后的第一道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

　　数字签名技术

　　数字签名技术就是使用数字证书验证用户的身份。数字证书是互联网中标志通信各方身份信息的一系列数据，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其他人窃取、信息在传输过程中不被篡改、发送方能够通过数字证书来确认接收方的身份以及发送方对于自己的信息不能抵赖等。

　　建立网络版防病毒安全体系

　　应用安校园网作为一个网络系统，必须建立一种具有远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能的防病毒安全体系。从网络管理和病毒监控的角度来说，校园网宜选用网络版防病毒软件。因为网络版防毒软件的管理功能更强大，校园网的管理员只要及时在服务器端进行升级，客户端启动后就可自动升级，网管员还可对所有安装客户端的计算机进行病毒监控、远程杀毒，及时了解校园网中病毒疫情。另外，网络版防病毒软件针对服务器的网络操作系统进行功能优化，进一步提高了服务器防病毒能力以及运行的安全性和稳定性。

　　ACL访问控制策略

　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。可以说，访问控制是保证网络安全的核心策略之一。访问控制列表(简称访问表)是一个应用在路由器接口的有序语句集, 可以根据报文的源IP地址、目的IP地址和应用类型来控制进入内部网络的数据流。

　　IP地址防盗策略

　　在当今的TCP/IP网络系统中，特别是按IP流量进行计费的CERNET网络，由于费用是按IP地址进行统计收费的，因此许多用户为了逃避网络计费，使得IP地址盗用现象十分普遍，已经严重地影响了网络的管理，对网络管理人员及网络用户带来了极大的麻烦，成为网络管理中的一大难题。

　　目前，IP地址盗用主要有单纯修改静态IP地址和修改IP-MAC地址两种方式，常用的防范技术主要有划分VLAN、扫描网络设备的ARP表以获取IP地址和MAC地址的对应表与事先登记的合法对应表相比较，但是都不能从根本上遏制IP地址的盗用。针对此问题，笔者依据TCP/IP协议栈的层次结构原理，结合日常管理经验，针对不同的IP盗用方法，在不同的层次采用不同的方法来防止IP地址的盗用。

　　VLAN技术和VPN技术

　　VLAN 分段通常被认为是控制网络广播风暴的一种基本手段，采用交换式局域网技术组建的校园网络，可以运用VLAN技术来加强内部网络管理。VLAN 技术的核心是网络分段，根据不同的部门及不同的安全机制，将网络进行隔离，可以达到限制用户非法访问的目的。

　　VPN技术的核心是采用隧道技术。将内部网络的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据被窃。

　　安全漏洞防范

　　系统漏洞是网络安全最大的罪魁祸首，例如求职信病毒就是利用IE和Outlook 的漏洞，附件自动被执行，所以才能广泛流传。许多操作系统和应用软件在不断更新版本以修正错误或完善功能。在校园网管理过程中，要及时下载和安装各种补丁、升级程序，封锁系统安全漏洞。防止一些黑客因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。对于校园网络服务器的操作系统，要及时修补系统漏洞，最好还是使用微软的漏洞检测服务、自动更新以及安全分析工具来实现。