网络安全小论文范文

引言：寻求写作上的突破？我们特意为您精选了4篇网络安全小论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

国际标准化组织（ISO）将网络安全［2］定义为：为数据处理系统建立相应的安全保护措施，保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露，从而保证了网络服务不中断，使得系统可靠安全地运行．上述网络安全的定义包含两方面内容：物理安全和逻辑安全．其中物理安全是指在构建网络系统的时候，保证物理线路能够防雷、放火、防水、防盗等，能够保证物理线路连续的进行数据传输．而逻辑安全通常指的是传输在网络上数据的信息安全，即对网络上传输信息的保密性、可用性和完整性的保护．另一方面，网络安全性的涵义也可以理解成是信息安全的一种引申，即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护．概括的说，可以将网络安全定义为：为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施，从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性．

1．2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征．保密性：信息未经授权不泄露给任何用户，而且信息的特性也具有保密性，其它非授权用户、实体或过程无法利用其特征．可用性：用户经过授权后可按需使用，即授权用户当需要该信息时能否正常存取．网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等．可控性：对网络中传播的信息及其内容具有控制能力．可审查性：当网络中出现安全问题时可提供相应的依据与手段，便于追踪攻击源．完整性：用户未经授权不能随意改变数据的特性，即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性，保证了信息的完整性．

2校园网建设概述及其安全威胁

随着互联网的快速普及，校园网建设已经成为学校的基础建设之一，教育信息化、数字化已经成为教育发展的主方向，校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一，并发挥着越来越重要的作用［3］．另一方面，随着国家科教兴国战略的实施，政府加强了对学校的投资，由此也加强了学校对校园网的建设．中国教育和科研计算机网（CER－NET）的成立，标志着教育网的形成．CERNET主干网络传输速率已达到2．5Gpbs，总容量达40Gpbs，它吸引超过1000所高校的鼎力加盟，覆盖全国超过200个城市．目前，大部分学校都已建成校园网，实现了校园网的整体覆盖，包括办公楼、教学楼、宿舍楼等．校园网同时与Internet对接，实现了校园办公教学的信息化、自动化．如图1所示，为一个简单的校园网组网模型．随着CERNET的建设不断提高，校园网已经成为互联网的重要组成部分之一，是学校信息化、数字化建设的基础设施，同时担任着科研与教学的重要任务．然而，目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足，这些都极大阻碍了校园网的发展．因此合理地对校园网络升级，是目前学校校园网工程的首要目标之一［4］．同时，校园网作为学校数字化、信息化的基础设施，安全问题不容忽视．在互联网开放程度很高的今天，校园网往往最容易成为黑客攻击的目标．威胁校园网安全的因素有很多，但主要的安全威胁有以下几类．

2．1TCP／IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP／IP协议了，这几乎是所有校园网采用的网络传输协议．TCP／IP协议在设计之初，就没有考虑安全问题，它只考虑如何把信息互相传输，因此存在很大的安全威胁．虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全，但是由于TCP／IP协议的开放性和通用性几乎占用了整个市场，使得OSI七层协议无法推广．所以，目前网络黑客针对TCP／IP漏洞攻击有很多，例如：数据窃听、源地址欺骗、ARP欺骗等等．

（1）数据窃听（PacketSniff）．TCP／IP协议从设计之初，就采取的是数据包明码传输，这种传输模式使得数据包很容易被窃听、修改和伪造．黑客可以利用一系列工具获取网络中正在传输的数据包，窃取用户有利用价值的信息，如用户账户和密码等信息．同时，黑客也能修改和伪造数据包，让用户误入钓鱼网站或者窃取网上银行信息，给用户造成直接经济损失．特别是在校园网中，数据包流通比较集中，一旦获取了校园网服务器或管理员账号信息，将会给校园网络造成重大损失．

（2）源地址欺骗（SourceAddressSpoofing）．在网络安全中，一个比较重要的安全问题就是源地址欺骗．这里的源地址，能够是IP地址，也能是MAC地址．但是MAC地址随着路由转发，信息会发生变化，而且在实际的网络系统中，也有一定的限制，改造欺骗难度比较大，所以一般的源地址欺骗是指IP地址伪造欺骗．攻击者通常伪造被攻击的主机IP地址，骗取防火墙信任，从而对校园网内部发起攻击．

（3）源路由选择欺骗（SourceRoutingSpoo－fing）．在一个完整的IP数据包中，通常只包含源地址和目的地址，即路由器可以知道数据包从哪个主机发送出来，将要到达哪个主机．源路由是指数据包将会列出所要经过的路由，路由器将会根据这些指定的路由将数据包送达相应的主机，然后根据其反向路由进行应答，从而实现主机之间的通信．而源路由选择欺骗，则是攻击者通过伪造主机源路由，让数据包经过该主机必经路由，使受攻击主机出现错误判断，将某些被保护的数据提供给了攻击者．另一方面，由于路由器一般对接收到的路由信息是不经过检验的，这样就给攻击者提供便利，攻击者可以发送虚假数据包，改变某些重要数据包的传递路径，使得数据在传递到正常主机前，即可抓取分析，从而也达到攻击的目的．

（4）鉴别攻击（AuthenticationAttacks）．由于TCP／IP协议还无法证明网络身份的真实有效性，因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息，从而达到攻击目的．

（5）ARP欺骗（AddressResolutionProtocolSpoofing）．ARP即地址解析协议，作用是将网络中的IP地址转换成MAC物理地址的协议．因为在局域网中，尤其是在校园网中，使用最多的往往是MAC地址进行传输，而不是IP地址进行传输，所以ARP协议能够很快的让局域网中的两台主机进行通信．而黑客只需在局域网中进行网络监听，获取到一台主机A的节点信息（IP地址和MAC地址），就能伪造A的数据包，与B进行通信，获取有用信息．另一方面，黑客可以伪造一个不存在的MAC地址在局域网内传播，形成广播风暴，这样会造成网络不通，给局域网造成致命打击．

（6）DoS攻击（DenialofService）．DoS攻击，即拒绝服务攻击，攻击者的目的是让目标主机或网络无法提供正常服务．因为TCP协议采用三次握手建立一次连接，而任何一次握手失败，则会重新发送．攻击者正是利用这一个协议漏洞，采取不断建立连接，然后丢弃该连接数据包，使得服务器处于等待状态，如果攻击者一直持续连接和丢弃的过程，则服务器和网络所有的资源会被完全消耗，导致计算机或网络无法正常工作，从而达到攻击目的．

（7）DDoS攻击（DistributedDenialofServ－ice）．DDoS攻击，即分布式拒绝服务攻击，它是指攻击者借助一系列工具或手段，联合多个计算机组成攻击平台，对一个或数个目标发动DoS攻击．最基本的DoS是利用合法的服务请求，占用攻击目标主机大量服务资源，使得正常用户无法访问．然而DoS服务需要占用大量带宽，单个计算机攻击肯定无法达到攻击者想要的目标．因此网络黑客会抓取网络“肉鸡”，集合大量网络带宽，组成庞大的攻击平台，可以在瞬间让被攻击目标处于瘫痪状态．

（8）TCP序列号欺骗和攻击（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以伪造TCP序列号，形成一个TCP封包，对网络中可信节点进行攻击．而且最重要的是，黑客可能利用伪造的TCP封包发动SYN攻击，让服务器无法完成三次握手，造成服务器开放大量等待端口，影响正常网络访问，严重时，可直接造成服务器死机，如果该服务器是WEB服务器或者DNS服务器，那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络．

（9）ICMP攻击（InternetControlMessageProtocolAttacks）．ICMP协议是Internet控制报文协议，它属于TCP／IP协议下的一个子协议，用于在IP主机和路由器之间传递控制消息．其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息，它对数据传输有很重要的作用．而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定，发动“PingofDeath”攻击，当主机ICMP数据包尺寸超过64KB时，主机会发生内存分配错误，导致TCP／IP堆栈崩溃，使得目标主机死机．虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞，但是向目标主机发动持续、大规模的ICMP攻击，会消耗主机CPU、内存等资源，严重时也会导致目标主机瘫痪，无法提供正常服务．

2．2漏洞威胁

软件和操作系统是由程序员编写的，而在开发的过程中，多多少少会存在各种各样的漏洞问题，这些漏洞如果不能及时修复，将会对主机造成重大安全威胁．一旦该主机被攻破，同时也会给该主机处在的局域网中的其它机器造成威胁，情况严重时，甚至会造成整个网络瘫痪．近几年来，无论是Windows操作系统，还是Linux操作系统，的补丁数目一直持续增加．特别是Windows操作系统，在校园网内拥有的用户众多，如果没能及时修复各种漏洞，势必会影响整个校园网安全．

2．3病毒、木马威胁

近些年来，随着互联网的普及，网络上各种各样的开源软件繁多，有些开源软件打着免费的旗号，暗留后门或者对操作系统植入木马，稍不注意，就会对整个系统造成重大影响．同时，网络上黑客也会主动攻击，种植木马，抓取网络肉鸡，作为自己攻击的跳板，对互联网上其它的计算机造成严重威胁．

2．4初级黑客攻击

校园网因为自身局限性，其网络管理水平无法与企业相比，因此很容易受到网络上初级黑客的攻击，作为他们试手的目标．另外一方面，互联网出现的一系列黑客教程、黑客工具，这些教程和工具可以自由查阅和下载，加上很多黑客工具属于使用简单，这让许多初级黑客也能在一段时间内对网络造成严重的攻击．且根据心理学研究分析，很多普通攻击者往往有炫耀心理，即把校园网作为自己攻击的目标，以获取所谓的成功感，这让校园网增加更多的威胁．

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题．

3．1人为因素导致的网络安全问题

3．1．1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中，同时，校园网内服务器数量也是别的局域网不能比拟的．用户量加上数目可观、功能强大的服务器，这些条件也吸引着互联网上众多黑客的攻击，因此存在着很大的安全隐患．

3．1．2校园网用户安全意识低

根据调查研究发现，校园网的用户大部分都安全意识不强，用户计算机整体水平偏低，有一部分校园网用户基本上不安装杀毒软件，也没能及时给系统打补丁，系统处于“裸奔”状态．这对于当今如此开放的互联网，将直接为黑客提供攻击目标．而且校园网用户极少学习相应的安全防范知识，在下载和使用软件时，基本上不考虑其风险性，这些都将会给黑客制造攻击机会，影响整个校园网安全［5］．

3．1．3信息泄密

信息泄密是指将信息透漏给非授权用户，它在一定程度上破坏了计算机系统的保密性．目前，常见的信息泄密有：操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序．

3．1．4拒绝服务攻击（DoS）

攻击者使用一切办法让被攻击计算机停止提供服务，让合法的信息或资源访问被拒绝或者严重推迟．常见的DoS攻击有：SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等．

3．1．5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性，使得信息乱码．

3．1．6网络滥用

由于授权的用户因操作或行为不当，导致网络滥用，从而导致网络安全威胁，例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等．

3．2非人为因素导致的网络安全问题

网络安全除去人为因素外，很大一部分安全威胁来自安全工具和操作系统自身的局限性．其具体特征为：每一种安全工具（如：杀毒软件）都有其自身的应用范围和环境，同时安全工具受到人为因素、系统漏洞、程序BUG的影响，这些因素反而给攻击者带来了一定的便利．对于操作系统而言，没有绝对安全的操作系统，无论是微软的Windows系列操作系统，还是开源的Linux操作系统，都有存在后门或漏洞的可能．世界上没有绝对安全的操作系统，因此在搭建校园网时，要选择安全性尽可能高的操作系统，而且要随时提供校园网用户漏洞补丁下载，以及杀毒软件，保证用户系统安全性始终最高．由上所述，我们可以说网络安全问题绝大部分是由人为因素引起的．现在，国家也制定了相应的法律来保护网络安全，打击相应的网络犯罪活动．但是校园网作为一个庞大的用户群，如何防范这些网络犯罪活动显得尤为重要．我们不能等着整个网络被攻击导致瘫痪后再想着去防范，而是要在攻击之前做好准备工作，让校园网在安全中运行．

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行．

4．1应重视校园网网络的安全搭建

在校园网工程的建设中，网络系统的搭建是属于弱电工程，它的耐压值比较低．由此，在校园网工程的设计和建设中，一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题；考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离；考虑网络中物理电路的接地安全；考虑建设合理的防雷系统，保证建筑物、计算机以及其它物理设备的防雷［6］．

4．2应加强校园网网络的安全维护技术

从技术层面来说，网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成，单独的一个组件是无法保证当前网络信息安全的．最早的网络安全技术是采用边界阈值控制法，即通过对网络边界的数据包进行监测，符合规定的数据包可通过，不符合规定的数据包就抛弃，这种方式在一定程度上能阻止对网络的入侵和攻击，但是不能有效防止网络攻击．目前，应用比较广泛的网络安全基本技术有：防火墙技术、防病毒技术、数据加密技术等．防火墙［7］指的是一个由硬件和软件混合组成的设备，用于将内部网络和外部网络隔离起来，建立一层安全保护屏障，它是一种隔离控制技术．常见的防火墙有包过滤技术、技术、状态监测技术等．相对于防火墙来说，防病毒技术将是从计算机网络内部进行防控，主要预防病毒程序、后门程序、网络监听等．目前采取比较多的防病毒手段是对系统进行监听，阻止不合规定进程．而且防病毒技术永远是滞后性的，即防病毒工具一直在病毒出现后才能组织．现在的防病毒技术和云平台技术结合，已经对病毒起到了一定的控制作用．相对前面两种技术来说，数据加密技术就比较灵活了．可以将用户的信息经过加密后，再在网络上传输，及时数据被黑客截获，没有有效的密钥，数据对黑客来说也只是一堆无效数据而已．在开放的互联网平台，数据加密能够有效的保证了用户的隐私以及数据的安全［8］．

4．3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的．因此在校园网搭建过程中，关于对计算机系统管理员的培训及管理，是校园网网络安全中最重要的一部分．一个不合理的操作，很有可能让整个网络系统瘫痪，因此必须建立健全管理规范，明确管理员责任和权利．同时，要记录管理员操作信息，当发现不合规定的记录时，可以及时分析，如果发现黑客入侵，则及时采取必要措施杜绝黑客进一步入侵，必要时需向当地公安机关报案，减少学校损失．另外一方面，建立健全的管理制度以及严格的管理模式，可以保证校园网的正常、安全运行．总而言之，网络安全涉及的领域很多，是一个综合性的问题．只有合理的运用相关技术以及人员培训，才能尽最大可能的把安全威胁降到最低．

篇2

学校在建立自己的内网时，由于意识薄弱与经费投入不足等方面的原因，比如将原有的单机互联，使用原有的网络设施；校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断；机房设计不合理，温度、湿度不适应以及无抗静电、抗磁干扰等设施；网络安全方面的投入严重不足，没有系统的网络安全设施配备等等；以上情况都使得校园网络基本处在一个开放的状态，没有有效的安全预警手段和防范措施。

（二）学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少，安全意识淡薄，U盘、移动硬盘、手机等存贮介质随意使用；学校网络管理人员缺乏必要的专业知识，不能安全地配置和管理网络；学校机房的登记管理制度不健全，允许不应进入的人进入机房；学校师生上网身份无法唯一识别，不能有效的规范和约束师生的非法访问行为；缺乏统一的网络出口、网络管理软件和网络监控、日志系统，使学校的网络管理混乱；缺乏校园师生上网的有效监控和日志；计算机安装还原卡或使用还原软件，关机后启动即恢复到初始状态，这些导致校园网形成很大的安全漏洞。

（三）学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品，加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作，在网络上运行时，这些网络系统和接口都相应增加网络的不安全因素。

（四）计算机病毒、网络病毒泛滥，造成网络性能急剧下降，重要数据丢失

网络病毒是指病毒突破网络的安全性，传播到网络服务器，进而在整个网络上感染，危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况，遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用，使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序，它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的，一旦学校网络中的一台电脑感染上病毒，就很可能在短短几分钟中内使病毒蔓延到整个校园网络，只要网络中有几台电脑中毒，就会堵塞出口，导致网络的“拒绝服务”，严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论，列出了下个世纪的国际恐怖活动将采用五种新式武器和手段，计算机病毒名列第二，这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出，网络病毒的防范任务越来越严峻。

综上所述，学校校园网络的安全形势非常严峻，在这种情况下，学校如何能够保证网络的安全运行，同时又能提供丰富的网络资源，保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题，文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

（一）服务器

学校在建校园网络之时配置一台服务器，它是校园网和互联网之间的中介，在服务器上执行服务的软件应用程序，对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器，服务器会检查用户的访问请求是否符合规定，才会到被用户访问的站点取回所需信息再转发给用户。这样，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息，整个校园网络只有服务器是可见的，从而大大增强了校园网络的安全性。（二）防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品，是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合，通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理，在网络间建立一个安全网关，对网络数据进行过滤（允许/拒绝），控制数据包的进出，封堵某些禁止行为，提供网络使用状况（网络数据的实时/事后分析及处理，网络数据流动情况的监控分析，通过日志分析，获取时间、地址、协议和流量，网络是否受到监视和攻击），对网络攻击行为进行检测和告警等等，最大限度地防止恶意或非法访问存取，有效的阻止破坏者对计算机系统的破坏，可以最大限度地保证校园网应用服务系统的安全工作。（三）防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，定期对各工作站进行维护，对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作，学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段，在服务器和各办公室、工作站上安装瑞星杀毒软件网络版，对病毒进行定时的扫描检测及漏洞修复，定时升级文件并查毒杀毒，使整个校园网络有防病毒能力。

（四）口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证，加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护，赋予用户一定的访问存取权限、口令字等安全保密措施，用户只能在其权限内进行操作，合理设置网络共享文件，对各工作站的网络软件文件属性可采取隐含、只读等加密措施，建立严格的网络安全日志和审查系统，建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等，定时对其进行审查分析，及时发现和解决网络中发生的安全事故，有效地保护网络安全。

（五）VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中，将校园网络划分成几个子网。将用户限制在其所在的VLAN里，防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接，网络管理员借助VLAN技

术管理整个网络，通过设置命令，对每个子网进行单独管理，根据特定需要隔离故障，阻止非法用户非法访问，防止网络病毒、木马程序，从而在整个网络环境下，计算机能安全运行。

（六）系统备份和数据备份

虽然有各种防范手段，但仍会有突发事件给网络系统带来不可预知的灾难，对网络系统软件应该有专人管理，定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作，并建立网络资源表和网络设备档案，对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

（七）入侵检测系统（IntrusionDetectionSystem，IDS）

IDS是一种网络安全系统，是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能检测和发现入侵行为并报警，通知网络采取措施响应。即使被入侵攻击，IDS收集入侵攻击的相关信息，记录事件，自动阻断通信连接，重置路由器、防火墙，同时及时发现并提出解决方案，列出可参考的网络和系统中易被黑客利用的薄弱环节，增强系统的防范能力，避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，大大提高了网络的安全性。

（八）增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况，对师生进行网络安全防范意识教育，使他们具备基本的网络安全知识。制定相关的网络安全管理制度（网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等）。安排专人负责校园网络的安全保护管理工作，对学校专业技术人员定期进行安全教育和培训，提高工作人员的网络安全的警惕性和自觉性，并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程，长期以来，从病毒、黑客与防范措施的发展来看，总是“道高一尺，魔高一丈”，没有绝对安全的网络系统，只有通过综合运用多项措施，加强管理，建立一套真正适合校园网络的安全体系，提高校园网络的安全防范能力。

摘要：随着“校校通”工程的深入实施，校园网作为学校重要的基础设施，担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题，直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验，对如何加强校园网络安全作了分析和探讨。

关键词：校园网；网络安全；防范措施；防火墙；VLAN技术

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机和各种终端设备有机地集成在一起，用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护，不因偶然和恶意等因素而遭到破坏、更改、泄密，保障校园网的正常运行。随着“校校通”工程的深入实施，学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患，建立一套切实可行的校园网络防范措施，已成为校园网络建设中面临和亟待解决的重要问题。

参考文献：

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

篇3

随着电脑的普及，计算机技术已并没有向早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识，对于生活在高校的学生们就更不用说了。几乎每所高校都有其自身的网络体系，无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度，不必拘匿与灌输死板的概念内容，而是灵活的动态模式，这样才能更好的激发学生的学习兴趣。在大家看来每所高校所关心的安全领域问题是大致相同的，无论是在哪方面，无疑就是网络是否畅通，上网是否安全，网络是否可以抵御黑客攻击，上网是我们的账号是否存在风险等问题。

1.2校园网络架构分析

学校校园网跟随着信息化建设的步伐，已经逐步走上正轨。许多高校都配备了无线、有线网络，使学生和老师的生活和教学就更加方便，XX学校网络的拓扑图（图1）。根据图片可知XX学校将Internet汇总通过防火墙，总的路由器分配至每个教学楼路由器，再由交换机分到各个房间，这样每个房间就能有其自己的端口号。这样如果遇到电路、网络中断的话就可以就可以根据端口直接检查出问题所在的地方以及进行及时的修理，例如在一个教学楼的房间，网路连接不上，我们可以通过以下步骤来找到问题所在，首先用测线器来测试下网线是否正常，若不正常首先判断是交叉线还是直通线，换一根网线继续使用；若网线正常在看下网线插口里的芯片是否有接触，可以用小的钳子给它摆正再插上网线试下；若还是不行将模块拆下检查下铜导线与模块是否是接触不良同时可以将铜导线头接触处剥下一点讲他们捏在一起，在交换机上观察是否通，通的话将铜导线重新装回至模块内，正常使用。我们可以从图中得知，这样的架构可以帮助我们尽快查到问题的出处，防止更加难以控制的局面的发生。

1.3校园网络面临的威胁

学校网络大多都使用TCP/IP协议，而该协议的网络所提供的网络服务都包含许多不安全的因素，存在许多漏洞。同时网络的普及是信息共享达到了一个新的层次，信息被暴露的机会大大增加，特别是internet，他就是一个开放大系统。另外，数据处理的可访问性和资源共享的目的性之间的一对矛盾，这些都给校园网络带来了威胁。计算机网络所面临的威胁大体可分为两种：一是，对网络中信息的威胁,即所谓的软威胁；二是，对网络中设备的威胁，即所谓的硬威胁。影响计算机网络的安全因素很多，有意的、无意的、人为的、自然的以及外来黑客对网络系统资源的非法使用等，归结起来，针对网络安全的威胁主要有以下几种：第一，入侵者：入侵者包括黑客、破坏者和其他从外部试图非法访问内部网络的网络用户。这些访问者或者有特定的目的，或者只是基于兴趣和好奇心，都会对校网信息形成威肋。并且，由于互联网的广泛应用，更多的黑客工具和破坏程序被共享，许多青少年对此兴趣极高，形成了一大批潜在的攻击者。第二，病毒和有害代码：便利的网络环境使病毒成为网络信息安全的另一个重要威胁，病毒不仅破坏程序和数据，还会严重影响网络效率，甚至破坏设备；特洛伊木马为入侵者所利用进行网络攻击和刺探，操作系统或应用软件的后门也被开发者利用进行攻击和破坏。目前病毒与黑客技术的结合，使得病毒的危害更进一层，不仅仅针对计算机，同时也针对网络，近几年的一次利用SQLServer漏洞的“蠕虫王”病毒就几乎使得全国计算机网络瘫痪。第三，内部教职员工与学生：其实更为重要的安全威胁来自网络内部，由于误操作、好奇或泄愤，内部教职员工和学生会对校园网中关键信息安全和完整性构成威胁。尤其是学生，极强烈的好奇心和争胜欲望，为了炫耀或者学习实践，对网络有比较大的攻击性。第四，系统和应用的安全漏洞：网络设备、操作系统和应用软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。除此之外，软件和硬件的配置/设置不当同样会造成相当严重的安全问题。第五，用户安全意识：用户对信息安全认识不足，对安全的简单理解和关注不足，对安全设备的利用和投入不足、不及时，都会构成校网信息安全缺陷。第六，其他安全威胁：包括自然灾害、物理设备故障以及其他破坏网络基础设施和数据的意外事故。

2校园网络信息安全策略

2.1信息安全含义及策略概述信息安全是指采取措施保护信息网络的硬件、软件及其系统中的数据，使之不因偶然的或者恶意的原因而遭受破坏、更改、泄露，保证信息系统能够连续、可靠、正常地运行。信息安全是一门涉及网络技术、数据库技术、密码技术、信息安全技术、通信技术、应用数学、信息论等多种学科的综合性学科。信息安全本身包括的范围很广，大到国家军事政治等机密安全，小到防范青少年对不良信息的浏览以及个人信息的泄露等。而信息安全策略是一个有效的信息安全项目的基础。信息安全策略可以划分为两个部分，问题策略和功能策略。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。从信息安全领域中发生的事件来看，信息安全策略的核心地位变得越来越明显。例如，没有安全策略，系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。策略的制定需要达成下述目标：减少风险，遵从法律和规则，确保组织运作的连续性、信息完整性和机密性。信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。同时应当重视对信息系统了解深刻的员工所提出的组织当前信息的主要特性，具体包括：什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。在制定一整套信息安全策略时，应当参考一份近期的风险评估，以便清楚了解组织当前的信息安全需所要面临的风险管理。对曾出现的安全事件的总结，也是一份有价值的资料。信息安全策略应当与已有的信息系统结构相一致，并对其完全支持。这一点不是针对信息安全体系结构，而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定，以保障信息安全体系实施、运行。例如，互联网访问控制策略可使安全体系结构具体化，也有利于选择和实施恰当的防火墙产品。关于风险评估，我们可以根据每一项任务来进行一个风险评估具体流程（如图2），做好一个风险评估能很大程度上的提高信息安全度，也便于今后的管理。

2.2防范校园网络安全措施

在校园网络日渐普及的今天，关于如何应对和防范校园网络安全这一块也存在着许多不足和漏洞，所以各个学校都要从各个方面来保障校园网路的安全运行。首先是管理层面，通过申请在校园网络中各种功能的开通和使用，来实现从源头抓问题，学校也应该制定出明确的计划与流程，使得一些行为可以按照流程一步步完成，这样就能更加安全了。以学生宽带申请为例，学校规定从学校网站上统一下载，统一领导签字，统一分发，统一管理。这种模式能提高管理和工作的效率，正是因为这样的管理和工作模式，让学校的工作井井有条的开展。通过对申请信息的填写，当遇到网络安全威胁时，可以通过信息查询到有问题的主机，然后及时解决问题，不至于拖延很长时间。再次是技术方面，学校配备有上网认证控制器，可以保证在教学楼范围内上网都是有认证的，每个人的上网记录都是可以查询的，以及还有流量控制器，可以保证基本上网的畅通，VPN认证可以保证在校外访问校内网有迹可循，同时学校还配有负载均衡器以扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力，提高网络的灵活性和可用性。同时这些设备也是信息安全策略中功能策略的反映。

篇4

1引言

随着网络技术的迅速发展和各种网络业务应用的普及,用户对网络资源的需求不断增长,网络已成为人们日常工作生活中不可或缺的信息承载工具,同时人们对网络性能的要求也越高,在众多影响网络性能的因素中网络流量是最为重要的因素之一,它包含了用户利用网络进行活动的所有的信息。通过对网络流量的监测分析，可以为网络的运行和维护提供重要信息,对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。

SNMP(简单网络维护管理协议)是Internet工程任务组(IETF)在SGMP基础上开发的,SNMP是由一系列协议组和规范组成的,SNMP的体系结构包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息库(MIB)。每个支持SNMP的网络设备中都包含一个,不断地收集统计数据,并把这些数据记录到一个管理信息库(MIB)中,网络维护管理程序再通过SNMP通信协议查询或修改所纪录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。SNMP最大的特点是简单性,容易实现且成本低,利用SNMP协议能够对被监视的各个网络端口输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等进行采集。

2RRDTOOL的工作原理

RRDTOOL代表“RoundRobinDatabasetool”，是TobiasOetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具,最初设计目的是为流量统计分析工具MRTG提供更好的数据存储性能和更强的图形生成功能。所谓的“RoundRobin”其实是一种存储数据的方式，使用固定大小的空间来存储数据，并有一个指针指向最新的数据的位置。我们可以把用于存储数据的数据库的空间看成一个圆，上面有很多刻度。这些刻度所在的位置就代表用于存储数据的地方。所谓指针，可以认为是从圆心指向这些刻度的一条直线。指针会随着数据的读写操作自动移动。要注意的是，这个圆没有起点和终点，所以指针可以一直移动，而不用担心到达终点后就无法前进的问题。在一段时间后，当所有的空间都存满了数据，就又从头开始存放。这样整个存储空间的大小就是一个固定的数值。所以RRDtool就是使用类似的方式来存放数据的工具，RRDtool所使用的数据库文件的后缀名是''''.rrd''''。

和其它数据库工具相比，它具有如下特点：

首先RRDtool存储数据，扮演了一个后台工具的角色。但同时RRDtool又允许创建图表，这使得RRDtool看起来又像是前端工具。其他的数据库只能存储数据，不能创建图表。

RRDtool的每个rrd文件的大小是固定的，而普通的数据库文件的大小是随着时间而增加的。

其他数据库只是被动的接受数据，RRDtool可以对收到的数据进行计算，例如前后两个数据的变化程度（rateofchange），并存储该结果。

RRDtool要求定时获取数据，其他数据库则没有该要求。如果在一个时间间隔内（heartbeat）没有收到值，则会用UNKN代替，其他数据库则不会这样做。

3监测系统的安装与配置

(1)配置路由器和交换机：

开始配置RRDTool之前,必须对需要监测的网络及设备进行良好的规划、设计与配置,包括配置设备互联地址、网管地址及路由,保证流量监测计算机可以与被监测设备网络层的互通;配置SNMP通信字符串和端口号,掌握需要的监测对象号(SNMPOID),确保流量监测计算机可以获取正确的SNMP信息。在路由器和交换机上启动SNMP,并设置只读团体名。命令如下：

(config)#snmp-serverenabletraps

(config)#snmp-servercommunitytestro

(2)安装配置RRDTool：

我们以Debian平台来安装配置RRDTOOL系统,在安装RRDTOOL前首先要安装支持RRDTOOL运行的环境：Zlib、libart_lgpl、cgilib、Libpng、freetype软件包。

①安装apache、mysql、php：apt-getinstallapache2php4mysql-serverphp4-mysql；安装成功后通过浏览器访问客户器，可以得到“Itworks！”的提示；利用mysqladmin工具给mysql添加好管理员密码。

②安装RRDTOOL：apt-getinstallrrdtool。

③安装NET-SNMP：apt-getinstallsnmp。

④安装Cacti：apt-getinstallcacti，在安装过程中会提示你输入mysql管理员密码和cacti数据库管理员密码。

(3)系统配置：

安装好系统后就要进行简单的初始化和配置，步骤如下：

①访问x.x.x.x/cacti，按照向导提示进行cacti的初始化安装；

②利用crontab-e添加计划任务：

*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1

③利用cacti进行设备的添加；

④利用cacti进行绘图管理。

cacti其实是一套php程序，它运用snmpget采集数据，使用rrdtool绘图。它的界面非常漂亮，能让你根本无需明白rrdtool的参数能轻易的绘出漂亮的图形。更难能可贵的是，它提供了强大的数据管理和用户管理功能，一张图是属于一个host的，每一个host又可以挂载到一个树状的结构上。用户的管理上，作为一个开源软件，它居然做到为指定一个用户能查看的“树”、host、甚至每一张图，还可以与LDAP结合进行用户的验证！我不由得佩服作者考虑的周到！Cacti还提供自己增加模板的功能，让你添加自己的snmp_query和script！可以说，cacti将rrdtool的所有“缺点”都补足了！