序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇安全網(wǎng)絡(luò)論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

1.2網(wǎng)絡(luò)通信軟件存在安全隱患由于客戶在使用網(wǎng)絡(luò)通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統(tǒng)的要求，而這些被廣泛應(yīng)用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息，這種公開化的軟件信息一旦被不法分子利用則會給人們的網(wǎng)絡(luò)通信帶來嚴重影響，這種影響甚至?xí)罢麄€計算機網(wǎng)絡(luò)系統(tǒng)，造成整個網(wǎng)絡(luò)的通信安全隱患。

1.3人為的網(wǎng)絡(luò)系統(tǒng)攻擊在利益的驅(qū)使下，部分不法分子企圖通過不合法的網(wǎng)絡(luò)系統(tǒng)攻擊方式對網(wǎng)絡(luò)通信進行人為的攻擊從而獲取大量的網(wǎng)絡(luò)資源。這些“黑客”的攻擊不僅出現(xiàn)在商業(yè)管理終端等能夠獲取大量經(jīng)濟利益的領(lǐng)域，甚至還可能出現(xiàn)在個人的計算機中獲取個體用戶的信息，給用戶的信息安全造成重大隱患。應(yīng)該客觀認識的是，我國網(wǎng)絡(luò)通信在人們生活水平不斷提升及通信方式變革的背景下發(fā)展速度一日千里，但是作為保障的信息安全維護工作卻與網(wǎng)絡(luò)通信的發(fā)展現(xiàn)狀存在較大差距。再加上網(wǎng)絡(luò)通信管理部門對于網(wǎng)絡(luò)通信信息安全認識不足、網(wǎng)絡(luò)通信管理制度不健全等問題也加劇了網(wǎng)絡(luò)通信信息安全隱患，甚至給整個互聯(lián)網(wǎng)通信系統(tǒng)帶來安全隱患，給不法分子以利用的機會。正是基于當(dāng)前我國網(wǎng)絡(luò)通信中信息安全的嚴峻現(xiàn)狀及在這一過程中所出現(xiàn)問題的原因，筆者認為，不斷加強網(wǎng)絡(luò)通信技術(shù)革新與網(wǎng)絡(luò)通信制度建設(shè)，充分保障網(wǎng)絡(luò)通信信息安全是時展的必然要求。

2保障網(wǎng)絡(luò)通信信息安全的途徑

2.1充分保障用戶IP地址由于黑客對用戶網(wǎng)絡(luò)通信的侵入與攻擊大都是以獲取用戶IP地址為目的的，因此，充分保障用戶的IP地址安全是保護用戶網(wǎng)絡(luò)通信安全的重要途徑。用戶在使用互聯(lián)網(wǎng)時也要特別注意對自身IP地址的保護，通過對網(wǎng)絡(luò)交換機的嚴格控制，切斷用戶IP地址通過交換機信息樹狀網(wǎng)絡(luò)結(jié)構(gòu)傳遞被透露的路徑；通過對路由器進行有效的隔離控制，經(jīng)常關(guān)注路由器中的訪問地址，對非法訪問進行有效切斷。

2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當(dāng)前給網(wǎng)絡(luò)通信信息安全造成隱患的兩個主要途徑，在網(wǎng)絡(luò)信息的存儲與傳遞過程中，黑客可能會對信息進行監(jiān)聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網(wǎng)絡(luò)通信技術(shù)時要對網(wǎng)絡(luò)信息的傳遞與儲存環(huán)節(jié)盡量進行加密處理，保證密碼的多元化與復(fù)雜性能夠有效甚至從根本上解決信息在傳遞與儲存環(huán)節(jié)被黑客攻擊利用的威脅。當(dāng)前在網(wǎng)絡(luò)通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理，而網(wǎng)絡(luò)維護工作者也要根據(jù)實際情況加強對信息的加密設(shè)置。

2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網(wǎng)絡(luò)通信信息安全的另一條重要途徑。在進行網(wǎng)絡(luò)通信之前對用戶身份進行嚴格驗證，確保是本人操作從而對用戶的私人信息進行充分有效的保護。當(dāng)前，用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現(xiàn)的，只有二者配對成功才能獲得通信權(quán)限，這種傳統(tǒng)的驗證方法能夠滿意一般的通信安全需求，但是在網(wǎng)絡(luò)通信技術(shù)發(fā)展速度不斷加快的背景下，傳統(tǒng)的身份驗證方法需要新的變化，諸如借助安全令牌、指紋檢測、視網(wǎng)膜檢測等具有較高安全性的方法進一步提升網(wǎng)絡(luò)通信信息安全水平。此外，在保障網(wǎng)絡(luò)通信信息安全的過程中還可以通過完善防火墻設(shè)置，增強對數(shù)據(jù)源及訪問地址惡意更改的監(jiān)測與控制，從源頭上屏蔽來自外部網(wǎng)絡(luò)對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學(xué)習(xí)與使用，定期對電腦進行安全監(jiān)測，從而確保用戶自身的信息安全。

篇（2）

二、訪問控制

1．存取控制對于互聯(lián)網(wǎng)而言，存取控制是其安全理論中較為重要的組成部分。它涵蓋了風(fēng)險分析、類型控制、權(quán)限控制以及數(shù)據(jù)標識和人員限制。它通常是與身份驗證一起使用，因為身份驗證可以通過數(shù)據(jù)標識對用戶特性進行區(qū)分，這樣才方便確定用戶的存取權(quán)限。2．身份驗證這種訪問控制技術(shù)一般是通過驗證一致性，來確定用戶是否具有訪問權(quán)限。它所需要驗證的數(shù)據(jù)又驗證依據(jù)和驗證系統(tǒng)以及安全要求，這種訪問控制技術(shù)被運用到計算機網(wǎng)絡(luò)中的時間相當(dāng)早，而且一直沿用至今。

三、常見的攻擊手段和應(yīng)對方法

（一）常見攻擊手段

1．盜取用戶口令這種網(wǎng)絡(luò)攻擊手段較為常見，它是通過一些非法手段盜取用戶口令，然后接入、登陸用戶主機，開始一些非法的操作、控制。2．設(shè)置特洛伊木馬程序特洛伊木馬程序是最常見的計算機病毒，它經(jīng)常被偽裝成工具程序或者游戲誘引用戶打開該程序，如果用戶不經(jīng)意間打開、運行了此類程序，被預(yù)先編制好了的病毒就會不露聲息的潛藏在計算機當(dāng)中。當(dāng)該用戶打開電腦后，特洛伊木馬程序就會通知攻擊者，修改計算機程序，竊取信息，通過這樣的方式來滿足不良企圖。3．網(wǎng)頁欺騙當(dāng)前，有些人通過劫持網(wǎng)頁鏈接，來進行網(wǎng)頁欺騙。如果網(wǎng)頁鏈接被劫持，用戶在瀏覽自己想訪問的網(wǎng)頁時，就已經(jīng)踏入了這些人所設(shè)計的欺騙陷阱。

（二）網(wǎng)絡(luò)攻擊應(yīng)對策略

1．加強安全意識對于發(fā)件人不詳?shù)碾娮余]件，不能隨意打開。對于不了解的程序，避免運行。設(shè)置用戶名和密碼的時候要盡量做到字母和數(shù)字混合搭配，避免使用生日等常規(guī)信息。這樣不容易被非法用戶破譯。作為合法用戶應(yīng)該經(jīng)常下載更新補丁程序和殺毒程序，維護系統(tǒng)安全。2．使用防毒、防黑等防火墻軟件防火墻是維護信息安全的屏障，它的功用在于組織黑客非法進入某個機構(gòu)的內(nèi)部信息網(wǎng)絡(luò)。使用防火墻，只需要在適當(dāng)位置上組建網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，并用此監(jiān)控系統(tǒng)來控制內(nèi)外信息交流，保證網(wǎng)絡(luò)信息的安全性。3．隱藏自己的IP地址IP地址非常重要。如果，在用戶還未察覺的狀態(tài)下，計算機上被安裝的木馬程序。但是如果黑客沒有該計算機的IP地址，那么對于信息安全的侵犯也是不能實施的。設(shè)置服務(wù)器是能夠非常有效的對自身IP起到保護作用。使用服務(wù)器能夠轉(zhuǎn)接所有來自外部的訪問申請，也可以控制特定用戶訪問特定服務(wù)器。4．定時升級更新防毒軟件，把防毒防黑當(dāng)成日常工作。5．及時備份重要個人信息和資料。

四、網(wǎng)絡(luò)安全建設(shè)

（一）國外面對網(wǎng)絡(luò)威脅采取的主要對策

篇（3）

（1）個人信息的泄露。在網(wǎng)絡(luò)工程當(dāng)中，對于系統(tǒng)硬件、軟件的相關(guān)維護工作還不夠完善，同時網(wǎng)絡(luò)通信當(dāng)中的許多登錄系統(tǒng)需要借助遠程終端來完成，造成系統(tǒng)遠程終端和網(wǎng)絡(luò)用戶在用戶運用互聯(lián)網(wǎng)進入對應(yīng)系統(tǒng)時存在長遠的連接點，當(dāng)信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ)，用戶通過IP協(xié)議或TCP協(xié)議得到遠程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過點與點連接的方式來進行信息的傳輸。然而，網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹狀形式進行連接的，當(dāng)用戶受到黑客入侵或攻擊時，樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。

（3）相關(guān)網(wǎng)絡(luò)維護系統(tǒng)不夠完善。網(wǎng)絡(luò)維護系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計算機終端主要是依靠主流操作系統(tǒng)，在長時間的使用下需下載一些補丁來對系統(tǒng)進行相關(guān)的維護，導(dǎo)致了軟件的程序被泄露。

2對于網(wǎng)絡(luò)通信中存在的信息安全問題的應(yīng)對方案

對于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問題，我們應(yīng)當(dāng)盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應(yīng)當(dāng)保護好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標。在用戶進行網(wǎng)絡(luò)信息傳輸時，交換機是進行信息傳遞的重要環(huán)節(jié)，因此，用戶可以利用對網(wǎng)絡(luò)交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲過程當(dāng)中的安全問題。在這兩個過程當(dāng)中，黑客通過竊聽傳輸時的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅。互聯(lián)網(wǎng)用戶如果在進行信息傳遞與存儲時，能夠根據(jù)具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產(chǎn)生。

（3）完善身份驗證系統(tǒng)。身份驗證是互聯(lián)網(wǎng)用戶進行網(wǎng)絡(luò)通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當(dāng)中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當(dāng)?shù)厥褂靡淮涡悦艽a，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發(fā)展，目前一些指紋驗證、視網(wǎng)膜驗證等先進生物檢測方法也慢慢得到了運用，這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。

篇（4）

任何軟件都有一定的生命周期，防火墻也有一定的生命周期，我們要正確的評估防火墻的使用效能，一旦防火墻失效，對網(wǎng)絡(luò)安全造成的后果無法想象。防火墻使用具有一定的級別，在被外界病毒等侵入時候具有一定的防御，我們在設(shè)置防火墻的功能時候要具有一定的科學(xué)性，當(dāng)防火墻受到攻擊時候，能自動啟動防御功能，因此，我們在設(shè)置防火墻功能時候，要正確檢測防火墻是否失效功能要開啟，達到防火墻失效狀態(tài)正常評估。

1.2正確選擇、科學(xué)配置防火墻

防火墻功能的科學(xué)配置，是對網(wǎng)絡(luò)安全防御的重要保障，防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬　周哲韞進入新世紀以后，計算機網(wǎng)絡(luò)技術(shù)發(fā)展迅速，尤其Internet的發(fā)展應(yīng)用，計算機網(wǎng)絡(luò)安全越來越重要，尤其一些政府部門網(wǎng)絡(luò)，科研等機構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入，后果是非常嚴重的，在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中，防火墻技術(shù)室比較成熟的，本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。摘要中關(guān)鍵技術(shù)之一，在配置防火墻時候，要正確選擇，科學(xué)配置。防火墻技術(shù)是計算機網(wǎng)絡(luò)技術(shù)人才需要專門的培訓(xùn)與學(xué)習(xí)，才能進行科學(xué)的配置，在配置防火時候具有一定的技巧，在不同環(huán)境，不同時期具有一定的應(yīng)用，因此正確科學(xué)的配置防火墻沒有通式，必須在根據(jù)環(huán)境狀態(tài)下進行科學(xué)合理的配置，這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。

1.3有賴于動態(tài)維護

防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用，不是把防火墻軟件在計算機中安裝以后，進行一些配置以后就完事，管理員要對防火墻實時進行監(jiān)控，看防火墻是否出現(xiàn)一些異常狀況，管理員還要與廠商經(jīng)常保持密切聯(lián)系，是否有更新，任何在完美事物都有兩面性，要及時更新，彌補防火墻漏洞，防止計算機網(wǎng)絡(luò)被更新，因此防火墻技術(shù)是一種動態(tài)實時更新技術(shù)。

1.4搞好規(guī)則集的檢測審計工作

網(wǎng)絡(luò)安全技術(shù)最大的危險是自己，網(wǎng)絡(luò)管理員不能出現(xiàn)一點大意，在防火墻技術(shù)的應(yīng)用過程中，要適時進行更新，彌補漏洞，還要定期進行一定的檢測和審計工作，用來評估網(wǎng)絡(luò)現(xiàn)在的安全性，以及在未來一段時間網(wǎng)絡(luò)的安全性，做好正確的評審工作，是網(wǎng)絡(luò)能長時間保持穩(wěn)定的重要條件，實時檢測，實時維護是網(wǎng)絡(luò)安全的基本法則。

2防火墻網(wǎng)絡(luò)安全技術(shù)的實現(xiàn)方案

2.1設(shè)置內(nèi)部防火墻，編制可靠的安全方案

在網(wǎng)絡(luò)安全防范的過程中，內(nèi)部局域網(wǎng)一定要重視，當(dāng)局域網(wǎng)中一臺機器出現(xiàn)病毒狀況，可能瞬間整個網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài)，因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測，內(nèi)部局域網(wǎng)防火墻要進行科學(xué)合理的設(shè)置，制定一個可行的安全方案，對整個局域網(wǎng)的網(wǎng)絡(luò)進行一定的保障。內(nèi)部防火墻進行一定的分段，每個主機要有標準，但有一個統(tǒng)一的標準，標準時同樣的，這樣對網(wǎng)絡(luò)的檢測等有一定的依據(jù)，增強了網(wǎng)絡(luò)的安全性。

2.2合理設(shè)定外部防火墻，防范外網(wǎng)攻擊

經(jīng)外部防火墻的設(shè)定，把內(nèi)網(wǎng)同外網(wǎng)相分開，可防范外網(wǎng)攻擊行為。外部防火墻通過編制訪問策略，僅已被授權(quán)的主機方能訪問內(nèi)網(wǎng)IP，使外網(wǎng)僅能訪問內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會變換地址，使外網(wǎng)無法掌握內(nèi)網(wǎng)結(jié)構(gòu)，阻斷了黑客攻擊的目標。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間，防火墻對獲取的數(shù)據(jù)包加以剖析，把其中合法請求傳導(dǎo)到對應(yīng)服務(wù)主機，拒絕非法訪問。

3防火墻技術(shù)的未來發(fā)展趨勢及前景

防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物，為不安全的網(wǎng)絡(luò)搭建一個安全的網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)安全是不可預(yù)測的，防火墻技術(shù)也在日新月異的進行發(fā)展，防火墻技術(shù)的未來發(fā)展是廣泛的，能為網(wǎng)絡(luò)安全作出一定的貢獻，下面闡述一下防火墻技術(shù)的未來發(fā)展趨勢，引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.1智能化

現(xiàn)在計算機的未來發(fā)展是網(wǎng)絡(luò)化、智能化，網(wǎng)絡(luò)安全問題的發(fā)展也比較快，對網(wǎng)絡(luò)安全的軟件要求也是越來越高，網(wǎng)絡(luò)上的病毒具有不可預(yù)見性，對防御病毒的軟件提出一個嶄新的要求，必須具有一定的智能化，就是防火墻自身具有很強的防御功能，不是人為的進行控制，智能化是網(wǎng)絡(luò)安全專家對防火墻技術(shù)的期盼，也是防火墻技術(shù)自身發(fā)展的需要，但防火墻技術(shù)實現(xiàn)智能化需要一定的時間，需要網(wǎng)絡(luò)安全專家不停努力的結(jié)果。

3.2擴展性能更佳

篇（5）

國際標準化組織（ISO）將網(wǎng)絡(luò)安全［2］定義為：為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護措施，保護運行在網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改、破壞或者泄露，從而保證了網(wǎng)絡(luò)服務(wù)不中斷，使得系統(tǒng)可靠安全地運行．上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容：物理安全和邏輯安全．其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時候，保證物理線路能夠防雷、放火、防水、防盜等，能夠保證物理線路連續(xù)的進行數(shù)據(jù)傳輸．而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全，即對網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護．另一方面，網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息的保密性、可用性和完整性提供相應(yīng)的保護．概括的說，可以將網(wǎng)絡(luò)安全定義為：為保證目前網(wǎng)絡(luò)中運行的系統(tǒng)、信息數(shù)據(jù)、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施，從而保證網(wǎng)絡(luò)中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性．

1．2網(wǎng)絡(luò)安全基本特征

網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征．保密性：信息未經(jīng)授權(quán)不泄露給任何用戶，而且信息的特性也具有保密性，其它非授權(quán)用戶、實體或過程無法利用其特征．可用性：用戶經(jīng)過授權(quán)后可按需使用，即授權(quán)用戶當(dāng)需要該信息時能否正常存取．網(wǎng)絡(luò)環(huán)境下常見的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運行等．可控性：對網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力．可審查性：當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問題時可提供相應(yīng)的依據(jù)與手段，便于追蹤攻擊源．完整性：用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性，即信息在保存或者傳輸?shù)倪^程中擁有不被修改、破壞或丟失的特性，保證了信息的完整性．

2校園網(wǎng)建設(shè)概述及其安全威脅

隨著互聯(lián)網(wǎng)的快速普及，校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一，教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向，校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一，并發(fā)揮著越來越重要的作用［3］．另一方面，隨著國家科教興國戰(zhàn)略的實施，政府加強了對學(xué)校的投資，由此也加強了學(xué)校對校園網(wǎng)的建設(shè)．中國教育和科研計算機網(wǎng)（CER－NET）的成立，標志著教育網(wǎng)的形成．CERNET主干網(wǎng)絡(luò)傳輸速率已達到2．5Gpbs，總?cè)萘窟_40Gpbs，它吸引超過1000所高校的鼎力加盟，覆蓋全國超過200個城市．目前，大部分學(xué)校都已建成校園網(wǎng)，實現(xiàn)了校園網(wǎng)的整體覆蓋，包括辦公樓、教學(xué)樓、宿舍樓等．校園網(wǎng)同時與Internet對接，實現(xiàn)了校園辦公教學(xué)的信息化、自動化．如圖1所示，為一個簡單的校園網(wǎng)組網(wǎng)模型．隨著CERNET的建設(shè)不斷提高，校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一，是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施，同時擔(dān)任著科研與教學(xué)的重要任務(wù)．然而，目前國內(nèi)大多數(shù)學(xué)校都缺乏對校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對校園網(wǎng)絡(luò)的認識不足，這些都極大阻礙了校園網(wǎng)的發(fā)展．因此合理地對校園網(wǎng)絡(luò)升級，是目前學(xué)校校園網(wǎng)工程的首要目標之一［4］．同時，校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施，安全問題不容忽視．在互聯(lián)網(wǎng)開放程度很高的今天，校園網(wǎng)往往最容易成為黑客攻擊的目標．威脅校園網(wǎng)安全的因素有很多，但主要的安全威脅有以下幾類．

2．1TCP／IP協(xié)議漏洞造成的威脅

現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP／IP協(xié)議了，這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議．TCP／IP協(xié)議在設(shè)計之初，就沒有考慮安全問題，它只考慮如何把信息互相傳輸，因此存在很大的安全威脅．雖然國際標準化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全，但是由于TCP／IP協(xié)議的開放性和通用性幾乎占用了整個市場，使得OSI七層協(xié)議無法推廣．所以，目前網(wǎng)絡(luò)黑客針對TCP／IP漏洞攻擊有很多，例如：數(shù)據(jù)竊聽、源地址欺騙、ARP欺騙等等．

（1）數(shù)據(jù)竊聽（PacketSniff）．TCP／IP協(xié)議從設(shè)計之初，就采取的是數(shù)據(jù)包明碼傳輸，這種傳輸模式使得數(shù)據(jù)包很容易被竊聽、修改和偽造．黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包，竊取用戶有利用價值的信息，如用戶賬戶和密碼等信息．同時，黑客也能修改和偽造數(shù)據(jù)包，讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息，給用戶造成直接經(jīng)濟損失．特別是在校園網(wǎng)中，數(shù)據(jù)包流通比較集中，一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號信息，將會給校園網(wǎng)絡(luò)造成重大損失．

（2）源地址欺騙（SourceAddressSpoofing）．在網(wǎng)絡(luò)安全中，一個比較重要的安全問題就是源地址欺騙．這里的源地址，能夠是IP地址，也能是MAC地址．但是MAC地址隨著路由轉(zhuǎn)發(fā)，信息會發(fā)生變化，而且在實際的網(wǎng)絡(luò)系統(tǒng)中，也有一定的限制，改造欺騙難度比較大，所以一般的源地址欺騙是指IP地址偽造欺騙．攻擊者通常偽造被攻擊的主機IP地址，騙取防火墻信任，從而對校園網(wǎng)內(nèi)部發(fā)起攻擊．

（3）源路由選擇欺騙（SourceRoutingSpoo－fing）．在一個完整的IP數(shù)據(jù)包中，通常只包含源地址和目的地址，即路由器可以知道數(shù)據(jù)包從哪個主機發(fā)送出來，將要到達哪個主機．源路由是指數(shù)據(jù)包將會列出所要經(jīng)過的路由，路由器將會根據(jù)這些指定的路由將數(shù)據(jù)包送達相應(yīng)的主機，然后根據(jù)其反向路由進行應(yīng)答，從而實現(xiàn)主機之間的通信．而源路由選擇欺騙，則是攻擊者通過偽造主機源路由，讓數(shù)據(jù)包經(jīng)過該主機必經(jīng)路由，使受攻擊主機出現(xiàn)錯誤判斷，將某些被保護的數(shù)據(jù)提供給了攻擊者．另一方面，由于路由器一般對接收到的路由信息是不經(jīng)過檢驗的，這樣就給攻擊者提供便利，攻擊者可以發(fā)送虛假數(shù)據(jù)包，改變某些重要數(shù)據(jù)包的傳遞路徑，使得數(shù)據(jù)在傳遞到正常主機前，即可抓取分析，從而也達到攻擊的目的．

（4）鑒別攻擊（AuthenticationAttacks）．由于TCP／IP協(xié)議還無法證明網(wǎng)絡(luò)身份的真實有效性，因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息，從而達到攻擊目的．

（5）ARP欺騙（AddressResolutionProtocolSpoofing）．ARP即地址解析協(xié)議，作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議．因為在局域網(wǎng)中，尤其是在校園網(wǎng)中，使用最多的往往是MAC地址進行傳輸，而不是IP地址進行傳輸，所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺主機進行通信．而黑客只需在局域網(wǎng)中進行網(wǎng)絡(luò)監(jiān)聽，獲取到一臺主機A的節(jié)點信息（IP地址和MAC地址），就能偽造A的數(shù)據(jù)包，與B進行通信，獲取有用信息．另一方面，黑客可以偽造一個不存在的MAC地址在局域網(wǎng)內(nèi)傳播，形成廣播風(fēng)暴，這樣會造成網(wǎng)絡(luò)不通，給局域網(wǎng)造成致命打擊．

（6）DoS攻擊（DenialofService）．DoS攻擊，即拒絕服務(wù)攻擊，攻擊者的目的是讓目標主機或網(wǎng)絡(luò)無法提供正常服務(wù)．因為TCP協(xié)議采用三次握手建立一次連接，而任何一次握手失敗，則會重新發(fā)送．攻擊者正是利用這一個協(xié)議漏洞，采取不斷建立連接，然后丟棄該連接數(shù)據(jù)包，使得服務(wù)器處于等待狀態(tài)，如果攻擊者一直持續(xù)連接和丟棄的過程，則服務(wù)器和網(wǎng)絡(luò)所有的資源會被完全消耗，導(dǎo)致計算機或網(wǎng)絡(luò)無法正常工作，從而達到攻擊目的．

（7）DDoS攻擊（DistributedDenialofServ－ice）．DDoS攻擊，即分布式拒絕服務(wù)攻擊，它是指攻擊者借助一系列工具或手段，聯(lián)合多個計算機組成攻擊平臺，對一個或數(shù)個目標發(fā)動DoS攻擊．最基本的DoS是利用合法的服務(wù)請求，占用攻擊目標主機大量服務(wù)資源，使得正常用戶無法訪問．然而DoS服務(wù)需要占用大量帶寬，單個計算機攻擊肯定無法達到攻擊者想要的目標．因此網(wǎng)絡(luò)黑客會抓取網(wǎng)絡(luò)“肉雞”，集合大量網(wǎng)絡(luò)帶寬，組成龐大的攻擊平臺，可以在瞬間讓被攻擊目標處于癱瘓狀態(tài)．

（8）TCP序列號欺騙和攻擊（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以偽造TCP序列號，形成一個TCP封包，對網(wǎng)絡(luò)中可信節(jié)點進行攻擊．而且最重要的是，黑客可能利用偽造的TCP封包發(fā)動SYN攻擊，讓服務(wù)器無法完成三次握手，造成服務(wù)器開放大量等待端口，影響正常網(wǎng)絡(luò)訪問，嚴重時，可直接造成服務(wù)器死機，如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器，那么可能導(dǎo)致網(wǎng)站主頁無法鏈接或者校園網(wǎng)內(nèi)部用戶無法訪問外部網(wǎng)絡(luò)．

（9）ICMP攻擊（InternetControlMessageProtocolAttacks）．ICMP協(xié)議是Internet控制報文協(xié)議，它屬于TCP／IP協(xié)議下的一個子協(xié)議，用于在IP主機和路由器之間傳遞控制消息．其中控制消息是指網(wǎng)絡(luò)是否暢通、主機是否可連接、路由是否可用等一系列消息，它對數(shù)據(jù)傳輸有很重要的作用．而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定，發(fā)動“PingofDeath”攻擊，當(dāng)主機ICMP數(shù)據(jù)包尺寸超過64KB時，主機會發(fā)生內(nèi)存分配錯誤，導(dǎo)致TCP／IP堆棧崩潰，使得目標主機死機．雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來解決該漏洞，但是向目標主機發(fā)動持續(xù)、大規(guī)模的ICMP攻擊，會消耗主機CPU、內(nèi)存等資源，嚴重時也會導(dǎo)致目標主機癱瘓，無法提供正常服務(wù)．

2．2漏洞威脅

軟件和操作系統(tǒng)是由程序員編寫的，而在開發(fā)的過程中，多多少少會存在各種各樣的漏洞問題，這些漏洞如果不能及時修復(fù)，將會對主機造成重大安全威脅．一旦該主機被攻破，同時也會給該主機處在的局域網(wǎng)中的其它機器造成威脅，情況嚴重時，甚至?xí)斐烧麄€網(wǎng)絡(luò)癱瘓．近幾年來，無論是Windows操作系統(tǒng)，還是Linux操作系統(tǒng)，的補丁數(shù)目一直持續(xù)增加．特別是Windows操作系統(tǒng)，在校園網(wǎng)內(nèi)擁有的用戶眾多，如果沒能及時修復(fù)各種漏洞，勢必會影響整個校園網(wǎng)安全．

2．3病毒、木馬威脅

近些年來，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)上各種各樣的開源軟件繁多，有些開源軟件打著免費的旗號，暗留后門或者對操作系統(tǒng)植入木馬，稍不注意，就會對整個系統(tǒng)造成重大影響．同時，網(wǎng)絡(luò)上黑客也會主動攻擊，種植木馬，抓取網(wǎng)絡(luò)肉雞，作為自己攻擊的跳板，對互聯(lián)網(wǎng)上其它的計算機造成嚴重威脅．

2．4初級黑客攻擊

校園網(wǎng)因為自身局限性，其網(wǎng)絡(luò)管理水平無法與企業(yè)相比，因此很容易受到網(wǎng)絡(luò)上初級黑客的攻擊，作為他們試手的目標．另外一方面，互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具，這些教程和工具可以自由查閱和下載，加上很多黑客工具屬于使用簡單，這讓許多初級黑客也能在一段時間內(nèi)對網(wǎng)絡(luò)造成嚴重的攻擊．且根據(jù)心理學(xué)研究分析，很多普通攻擊者往往有炫耀心理，即把校園網(wǎng)作為自己攻擊的目標，以獲取所謂的成功感，這讓校園網(wǎng)增加更多的威脅．

3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問題

目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問題分為人為因素導(dǎo)致的安全問題和非人為因素導(dǎo)致的安全問題．

3．1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題

3．1．1校園網(wǎng)用戶數(shù)量龐大

校園網(wǎng)內(nèi)用戶量眾多且處在同一個局域網(wǎng)中，同時，校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的．用戶量加上數(shù)目可觀、功能強大的服務(wù)器，這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊，因此存在著很大的安全隱患．

3．1．2校園網(wǎng)用戶安全意識低

根據(jù)調(diào)查研究發(fā)現(xiàn)，校園網(wǎng)的用戶大部分都安全意識不強，用戶計算機整體水平偏低，有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件，也沒能及時給系統(tǒng)打補丁，系統(tǒng)處于“裸奔”狀態(tài)．這對于當(dāng)今如此開放的互聯(lián)網(wǎng)，將直接為黑客提供攻擊目標．而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識，在下載和使用軟件時，基本上不考慮其風(fēng)險性，這些都將會給黑客制造攻擊機會，影響整個校園網(wǎng)安全［5］．

3．1．3信息泄密

信息泄密是指將信息透漏給非授權(quán)用戶，它在一定程度上破壞了計算機系統(tǒng)的保密性．目前，常見的信息泄密有：操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚、電磁、物理入侵、射頻截獲、非法授權(quán)、計算機后門程序．

3．1．4拒絕服務(wù)攻擊（DoS）

攻擊者使用一切辦法讓被攻擊計算機停止提供服務(wù)，讓合法的信息或資源訪問被拒絕或者嚴重推遲．常見的DoS攻擊有：SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等．

3．1．5完整性破壞

攻擊者通過系統(tǒng)漏洞、病毒、木馬、后門程序等方式破壞信息的完整性，使得信息亂碼．

3．1．6網(wǎng)絡(luò)濫用

由于授權(quán)的用戶因操作或行為不當(dāng)，導(dǎo)致網(wǎng)絡(luò)濫用，從而導(dǎo)致網(wǎng)絡(luò)安全威脅，例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動風(fēng)險等等．

3．2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題

網(wǎng)絡(luò)安全除去人為因素外，很大一部分安全威脅來自安全工具和操作系統(tǒng)自身的局限性．其具體特征為：每一種安全工具（如：殺毒軟件）都有其自身的應(yīng)用范圍和環(huán)境，同時安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響，這些因素反而給攻擊者帶來了一定的便利．對于操作系統(tǒng)而言，沒有絕對安全的操作系統(tǒng)，無論是微軟的Windows系列操作系統(tǒng)，還是開源的Linux操作系統(tǒng)，都有存在后門或漏洞的可能．世界上沒有絕對安全的操作系統(tǒng)，因此在搭建校園網(wǎng)時，要選擇安全性盡可能高的操作系統(tǒng)，而且要隨時提供校園網(wǎng)用戶漏洞補丁下載，以及殺毒軟件，保證用戶系統(tǒng)安全性始終最高．由上所述，我們可以說網(wǎng)絡(luò)安全問題絕大部分是由人為因素引起的．現(xiàn)在，國家也制定了相應(yīng)的法律來保護網(wǎng)絡(luò)安全，打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動．但是校園網(wǎng)作為一個龐大的用戶群，如何防范這些網(wǎng)絡(luò)犯罪活動顯得尤為重要．我們不能等著整個網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范，而是要在攻擊之前做好準備工作，讓校園網(wǎng)在安全中運行．

4加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對策和建議

加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個方面來進行．

4．1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建

在校園網(wǎng)工程的建設(shè)中，網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程，它的耐壓值比較低．由此，在校園網(wǎng)工程的設(shè)計和建設(shè)中，一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問題；考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離；考慮網(wǎng)絡(luò)中物理電路的接地安全；考慮建設(shè)合理的防雷系統(tǒng)，保證建筑物、計算機以及其它物理設(shè)備的防雷［6］．

4．2應(yīng)加強校園網(wǎng)網(wǎng)絡(luò)的安全維護技術(shù)

從技術(shù)層面來說，網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測系統(tǒng)、病毒監(jiān)測系統(tǒng)等多個安全組件組成，單獨的一個組件是無法保證當(dāng)前網(wǎng)絡(luò)信息安全的．最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法，即通過對網(wǎng)絡(luò)邊界的數(shù)據(jù)包進行監(jiān)測，符合規(guī)定的數(shù)據(jù)包可通過，不符合規(guī)定的數(shù)據(jù)包就拋棄，這種方式在一定程度上能阻止對網(wǎng)絡(luò)的入侵和攻擊，但是不能有效防止網(wǎng)絡(luò)攻擊．目前，應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有：防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等．防火墻［7］指的是一個由硬件和軟件混合組成的設(shè)備，用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來，建立一層安全保護屏障，它是一種隔離控制技術(shù)．常見的防火墻有包過濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測技術(shù)等．相對于防火墻來說，防病毒技術(shù)將是從計算機網(wǎng)絡(luò)內(nèi)部進行防控，主要預(yù)防病毒程序、后門程序、網(wǎng)絡(luò)監(jiān)聽等．目前采取比較多的防病毒手段是對系統(tǒng)進行監(jiān)聽，阻止不合規(guī)定進程．而且防病毒技術(shù)永遠是滯后性的，即防病毒工具一直在病毒出現(xiàn)后才能組織．現(xiàn)在的防病毒技術(shù)和云平臺技術(shù)結(jié)合，已經(jīng)對病毒起到了一定的控制作用．相對前面兩種技術(shù)來說，數(shù)據(jù)加密技術(shù)就比較靈活了．可以將用戶的信息經(jīng)過加密后，再在網(wǎng)絡(luò)上傳輸，及時數(shù)據(jù)被黑客截獲，沒有有效的密鑰，數(shù)據(jù)對黑客來說也只是一堆無效數(shù)據(jù)而已．在開放的互聯(lián)網(wǎng)平臺，數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全［8］．

4．3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)

計算機網(wǎng)絡(luò)安全絕大部分是人為因素引起的．因此在校園網(wǎng)搭建過程中，關(guān)于對計算機系統(tǒng)管理員的培訓(xùn)及管理，是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分．一個不合理的操作，很有可能讓整個網(wǎng)絡(luò)系統(tǒng)癱瘓，因此必須建立健全管理規(guī)范，明確管理員責(zé)任和權(quán)利．同時，要記錄管理員操作信息，當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時，可以及時分析，如果發(fā)現(xiàn)黑客入侵，則及時采取必要措施杜絕黑客進一步入侵，必要時需向當(dāng)?shù)毓矙C關(guān)報案，減少學(xué)校損失．另外一方面，建立健全的管理制度以及嚴格的管理模式，可以保證校園網(wǎng)的正常、安全運行．總而言之，網(wǎng)絡(luò)安全涉及的領(lǐng)域很多，是一個綜合性的問題．只有合理的運用相關(guān)技術(shù)以及人員培訓(xùn)，才能盡最大可能的把安全威脅降到最低．

篇（6）

計算機系統(tǒng)的正常運行以計算機操作系統(tǒng)程序為主要依據(jù)，與之相關(guān)的各類程序也必須以此為標準，操作系統(tǒng)理所當(dāng)然地成為了計算機系統(tǒng)中的基本程序。計算機操作系統(tǒng)具有較強的拓展性，開發(fā)商很容易完成計算機系統(tǒng)的開發(fā)工作。但是，在優(yōu)化和升級計算機系統(tǒng)的過程中，相關(guān)操作技術(shù)仍存在較大問題，這是計算機技術(shù)快速發(fā)展的難點，也是黑客入侵計算機系統(tǒng)的主要切入點。

1.2計算機病毒安全問題

計算機一旦受到病毒的入侵，將會出現(xiàn)嚴重的運行問題，如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性，目前，計算機病毒種類主要有以下四種：第一，木馬病毒。該類病毒的主要目的是竊取計算機上的數(shù)據(jù)信息，具有典型的誘騙性；第二，蠕蟲病毒。熊貓燒香是該類病毒的典型代表，以用戶計算機上出現(xiàn)的漏洞為切入點，綜合使用攻擊計算機終端的方式控制計算機系統(tǒng)，該病毒具有較強的傳播性和變異性；第三，腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置；第四，間諜病毒。要想提升某網(wǎng)頁的訪問量，強制要求計算機用戶主頁預(yù)期鏈接。伴隨著科技的發(fā)展，計算機網(wǎng)絡(luò)應(yīng)用范圍不斷擴大，各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網(wǎng)絡(luò)攻擊計算機目前，我國仍存在著大量非法人員對計算機系統(tǒng)進行攻擊等行為，這類人員大都掌握著扎實的計算機和計算機安全漏洞技術(shù)，對計算機用戶終端與網(wǎng)絡(luò)做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網(wǎng)絡(luò)的主要形式有三種：第一，利用虛假的信息攻擊網(wǎng)絡(luò)；第二，利用木馬或者病毒程序?qū)τ嬎銠C用戶的電腦進行控制；第三，結(jié)合計算機用戶瀏覽網(wǎng)頁的腳本漏洞對其進行攻擊。

2計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用

2.1防火墻技術(shù)

防護墻技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計算機病毒安全問題，在實際應(yīng)用過程中，計算機網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級防火墻和包過濾防火墻兩種形式。其中應(yīng)用型防護墻的主要目的是保護服務(wù)器的安全，在掃描終端服務(wù)器的數(shù)據(jù)后，如果發(fā)現(xiàn)有意或者不合常理等攻擊行為，系統(tǒng)應(yīng)該及時切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流，采用終端病毒傳播的方式保護企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務(wù)是及時過濾路由器傳輸給計算機的數(shù)據(jù)信息，這種過濾手段可以阻擋病毒信息入侵計算機系統(tǒng)，并第一時間內(nèi)通知用戶攔截病毒信息，為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過程中，要想提高企業(yè)發(fā)展信息的安全性和可靠性，企業(yè)必須在實際運行的計算機網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進行加密處理，在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件，這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種，其中對稱加密算法中使用的加密和加密信息保持一致，非對稱加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。

2.3病毒查殺技術(shù)

病毒查殺技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對計算機安全有極大的威脅，該技術(shù)要求企業(yè)技術(shù)對計算機操作系統(tǒng)進行檢測和更新，減少系統(tǒng)出現(xiàn)漏洞的頻率；杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件；安裝正版病毒查殺軟件的過程中還應(yīng)該及時清理病毒數(shù)據(jù)庫；控制用戶瀏覽不文明的網(wǎng)頁；在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測技術(shù)

入侵檢測技術(shù)在企業(yè)網(wǎng)安全運行中發(fā)揮著至關(guān)重要的作用，其作用主要表現(xiàn)在以下幾方面：第一，收集計算機操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)；第二，找尋計算機系統(tǒng)中可能存在的侵害行為；第三，自動發(fā)出病毒侵害報警信號；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強的安全性特征，該技術(shù)的主要任務(wù)是負責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運行狀況，對網(wǎng)絡(luò)的正常運行不會產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主?；谥鳈C系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機系統(tǒng)、歷史審計數(shù)據(jù)和用戶的系統(tǒng)日志等，該檢測技術(shù)具有極高的準確性，但是，實際檢測過程中很容易引發(fā)各種問題，如數(shù)據(jù)失真和檢測漏洞等；基于網(wǎng)絡(luò)入侵檢測技術(shù)以其自身存在的特點為依據(jù)，以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段，在第一時間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人，該技術(shù)具有較強的抗攻擊能力、能在短時間內(nèi)做出有效的檢測，但是，由于該技術(shù)能對網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進行監(jiān)控，在實際過程中會給加密技術(shù)帶來一定程度影響。入侵檢測技術(shù)在企業(yè)網(wǎng)的應(yīng)用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主，在實際檢測過程中，該檢測方法具有響應(yīng)速度快和誤警率低等特點，但是，該檢測技術(shù)需要較長的檢測時間為支撐，實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統(tǒng)非正常行為和正常行為情況，該檢測法誤警率較高，在實際檢測過程中必須對整個計算機系統(tǒng)進行全盤掃描，因此，必須有大量的檢測時間作支撐。

篇（7）

計算機網(wǎng)絡(luò)工程是由通信線路、通信設(shè)備、計算機相互連接而構(gòu)成的具有遠程通信與遠程數(shù)據(jù)傳輸?shù)裙δ艿臄?shù)據(jù)通信和資源共享系統(tǒng)。計算機網(wǎng)絡(luò)工程中無論是局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)或者是互聯(lián)網(wǎng)都與網(wǎng)絡(luò)工程硬件設(shè)備密不可分，其網(wǎng)絡(luò)連計算機網(wǎng)絡(luò)工程物理硬件設(shè)備安全問題涉及到兩個方面，一方面是硬件功能是否正常工作方面的安全問題，另一方面是物理攻擊方便的問題。在計算機網(wǎng)絡(luò)完成數(shù)據(jù)通信和資源共享時，由于自然因素或者是人為因素造成硬件設(shè)備出現(xiàn)故障所導(dǎo)致不能正常應(yīng)用的問題。物理攻擊是黑客通過計算機硬件漏洞進行攻擊，通過網(wǎng)絡(luò)TCP/IP等硬件接口漏洞控制計算機BIOS以至于導(dǎo)致計算機出現(xiàn)死機、藍屏、黑屏等問題。

1.2計算機網(wǎng)絡(luò)工程系統(tǒng)安全問題

目前，計算機系統(tǒng)并不安全，常見的計算機系統(tǒng)漏洞主要包括：RDP漏洞、VM漏洞和UPNP服務(wù)漏洞等，并且計算機系統(tǒng)漏洞不斷的被挖掘，這導(dǎo)致我們計算機應(yīng)用安全面臨著嚴重的威脅。

1.3網(wǎng)絡(luò)病毒安全問題

計算機病毒是由編程人員在軟件中或者是數(shù)據(jù)中插入破壞計算機系統(tǒng)及數(shù)據(jù)的代碼，這類代碼具有寄生性、隱藏性、傳染性和潛伏性，常見的計算機病毒包括引導(dǎo)區(qū)病毒、文件寄生病毒、宏病毒、腳本病毒、蠕蟲病毒、特洛伊木馬等。

1.4黑客攻擊安全問題

目前有一類專門針對于計算機網(wǎng)絡(luò)進行攻擊的犯罪人員，這類人可以分為兩種，一種是以攻擊和破壞他人網(wǎng)絡(luò)系統(tǒng)和計算機，竊取他人機密數(shù)據(jù)為盈利目的，另一種是以破壞網(wǎng)絡(luò)系統(tǒng)為樂趣，證明自身破壞能力，這兩種人被統(tǒng)稱為“黑客”。

2計算機網(wǎng)絡(luò)工程安全對策

以技術(shù)手段進行計算機網(wǎng)絡(luò)工程安全防范，首先需要建立計算機網(wǎng)絡(luò)工程安全評估機制，利用系統(tǒng)工具對計算機網(wǎng)絡(luò)工程漏洞進行掃描，計算機漏洞掃描一方面挖掘計算機網(wǎng)絡(luò)工程可能存在的漏洞，另一方面可發(fā)現(xiàn)系統(tǒng)中的薄弱環(huán)節(jié)。計算機網(wǎng)絡(luò)工程安全評估需要定期進行的，因為隨著計算機應(yīng)用的不斷發(fā)展，計算機網(wǎng)絡(luò)工程漏洞隨時會增加，一次安全評估只能代表某一時刻的評估結(jié)果，也許下一秒就會出現(xiàn)新的漏洞。計算機網(wǎng)絡(luò)工程安全評估機制建立。計算機網(wǎng)絡(luò)工程安全評估可以依據(jù)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞建立數(shù)據(jù)庫進行比對掃描分析，漏洞數(shù)據(jù)庫中包含了最新的已經(jīng)發(fā)現(xiàn)的計算機網(wǎng)絡(luò)工程漏洞，并且能夠通過漏洞的關(guān)聯(lián)性挖掘可能存在薄弱的環(huán)節(jié)，通過對漏洞的分析，作出相應(yīng)的修補方案，并通過反復(fù)的試驗最終修補漏洞，并重新做安全評估。于計算機用戶疏于安全應(yīng)用防范意識，導(dǎo)致個人信息被竊取或者是財產(chǎn)受到損失的事件時有發(fā)生，這主要是因為計算機用戶對計算機網(wǎng)絡(luò)的使用不夠了解，對計算機網(wǎng)絡(luò)漏洞認知度不夠，一些用戶認為計算機中安裝了殺毒軟件和防火墻就可以完全安全上網(wǎng)，對網(wǎng)絡(luò)上的資源不認真辨別就進行下載，甚至認為如果遇到病毒殺毒軟件和防火墻一定會替他攔截的，但是，一些高危的病毒和木馬往往偽裝成應(yīng)用程序或者是依附于下載資源，殺毒軟件和防火墻很難甄別，這就導(dǎo)致不法分子利用計算機的漏洞獲取到用戶的信息資源。因此，提高計算機用戶自我防范意識是計算機漏洞處置措施中的重要環(huán)節(jié)，用戶在下載或者安裝軟件過程中，要時刻警惕，安裝軟件過程中，一些選擇性安裝的插件如不需要無需勾選，如安裝軟件過程中發(fā)現(xiàn)問題，立即停止安裝。在網(wǎng)絡(luò)上下載資源時要到正規(guī)網(wǎng)站下載，如有提示“風(fēng)險”謹慎下載。

篇（8）

學(xué)校在建立自己的內(nèi)網(wǎng)時，由于意識薄弱與經(jīng)費投入不足等方面的原因，比如將原有的單機互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；機房設(shè)計不合理，溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施；網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等；以上情況都使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài)，沒有有效的安全預(yù)警手段和防范措施。

（二）學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善

學(xué)校師生對網(wǎng)絡(luò)安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質(zhì)隨意使用；學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識，不能安全地配置和管理網(wǎng)絡(luò)；學(xué)校機房的登記管理制度不健全，允許不應(yīng)進入的人進入機房；學(xué)校師生上網(wǎng)身份無法唯一識別，不能有效的規(guī)范和約束師生的非法訪問行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計算機安裝還原卡或使用還原軟件，關(guān)機后啟動即恢復(fù)到初始狀態(tài)，這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。

（三）學(xué)校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作，在網(wǎng)絡(luò)上運行時，這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。

（四）計算機病毒、網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，重要數(shù)據(jù)丟失

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進而在整個網(wǎng)絡(luò)上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。它的破壞性是巨大的，一旦學(xué)校網(wǎng)絡(luò)中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡(luò)，只要網(wǎng)絡(luò)中有幾臺電腦中毒，就會堵塞出口，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴重時會造成網(wǎng)絡(luò)癱瘓?！秴⒖枷ⅰ?989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。

綜上所述，學(xué)校校園網(wǎng)絡(luò)的安全形勢非常嚴峻，在這種情況下，學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題，文章提出以下校園網(wǎng)絡(luò)安全防范措施。

二、校園網(wǎng)絡(luò)的主要防范措施

（一）服務(wù)器

學(xué)校在建校園網(wǎng)絡(luò)之時配置一臺服務(wù)器，它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介，在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序，對服務(wù)器進行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器，服務(wù)器會檢查用戶的訪問請求是否符合規(guī)定，才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣，既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計算機信息，整個校園網(wǎng)絡(luò)只有服務(wù)器是可見的，從而大大增強了校園網(wǎng)絡(luò)的安全性。（二）防火墻

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合，通常被用來進行網(wǎng)絡(luò)安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān)，對網(wǎng)絡(luò)數(shù)據(jù)進行過濾（允許/拒絕），控制數(shù)據(jù)包的進出，封堵某些禁止行為，提供網(wǎng)絡(luò)使用狀況（網(wǎng)絡(luò)數(shù)據(jù)的實時/事后分析及處理，網(wǎng)絡(luò)數(shù)據(jù)流動情況的監(jiān)控分析，通過日志分析，獲取時間、地址、協(xié)議和流量，網(wǎng)絡(luò)是否受到監(jiān)視和攻擊），對網(wǎng)絡(luò)攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統(tǒng)的破壞，可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。（三）防治網(wǎng)絡(luò)病毒

校園網(wǎng)絡(luò)的安全必須在整個校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段，在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，對病毒進行定時的掃描檢測及漏洞修復(fù)，定時升級文件并查毒殺毒，使整個校園網(wǎng)絡(luò)有防病毒能力。

（四）口令加密和訪問控制

校園網(wǎng)絡(luò)管理員通過對校園師生用戶設(shè)置用戶名和口令加密驗證，加強對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機、防火墻、服務(wù)器的配置均設(shè)有口令加密保護，賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施，用戶只能在其權(quán)限內(nèi)進行操作，合理設(shè)置網(wǎng)絡(luò)共享文件，對各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機登錄日志、交換機及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護網(wǎng)絡(luò)安全。

（五）VLAN(虛擬局域網(wǎng))技術(shù)

VLAN(虛擬局域網(wǎng))技術(shù)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，網(wǎng)絡(luò)管理員借助VLAN技

術(shù)管理整個網(wǎng)絡(luò)，通過設(shè)置命令，對每個子網(wǎng)進行單獨管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡(luò)病毒、木馬程序，從而在整個網(wǎng)絡(luò)環(huán)境下，計算機能安全運行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難，對網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理，定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案，對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要手段。

（七）入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，是對防火墻有益的補充。當(dāng)有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時，IDS能檢測和發(fā)現(xiàn)入侵行為并報警，通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊，IDS收集入侵攻擊的相關(guān)信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，大大提高了網(wǎng)絡(luò)的安全性。

（八）增強網(wǎng)絡(luò)安全意識、健全學(xué)校統(tǒng)一規(guī)范管理制度

根據(jù)學(xué)校實際情況，對師生進行網(wǎng)絡(luò)安全防范意識教育，使他們具備基本的網(wǎng)絡(luò)安全知識。制定相關(guān)的網(wǎng)絡(luò)安全管理制度（網(wǎng)絡(luò)操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等）。安排專人負責(zé)校園網(wǎng)絡(luò)的安全保護管理工作，對學(xué)校專業(yè)技術(shù)人員定期進行安全教育和培訓(xùn)，提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性，并安排專業(yè)技術(shù)人員定期對校園網(wǎng)進行維護。

三、結(jié)論

校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，提高校園網(wǎng)絡(luò)的安全防范能力。

摘要：隨著“校校通”工程的深入實施，校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)負著學(xué)校教學(xué)、教研、管理和對外交流等許多重要任務(wù)。校園網(wǎng)的安全問題，直接影響著學(xué)校的教學(xué)活動。文章結(jié)合十幾年來校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗，對如何加強校園網(wǎng)絡(luò)安全作了分析和探討。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防范措施；防火墻；VLAN技術(shù)

校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計算機和各種終端設(shè)備有機地集成在一起，用于教學(xué)、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運行。隨著“校校通”工程的深入實施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患，建立一套切實可行的校園網(wǎng)絡(luò)防范措施，已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。

參考文獻：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.

3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計算機網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.

5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等專科學(xué)校學(xué)報,2002(8).

篇（9）

一、無線網(wǎng)絡(luò)安全問題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ)，這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡(luò)掃描器，如Netstumbler等工具?？梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設(shè)備嗅探出無線網(wǎng)絡(luò)，這種活動稱為“wardriving”；走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)，這稱為“warwalking”。

1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開已安裝的安全手段，創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害，但它卻可以構(gòu)造出一個無保護措施的網(wǎng)絡(luò)，并進而充當(dāng)了入侵者進入企業(yè)網(wǎng)絡(luò)的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計算機。

1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，即使他們沒有什么惡意企圖，但仍會占用大量的網(wǎng)絡(luò)帶寬，嚴重影響網(wǎng)絡(luò)性能。而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會產(chǎn)生一些法律問題。

1.6對無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣，劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況，一是無線數(shù)據(jù)包分析，即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶，并劫持用戶會話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴于集線器，所以很少見。

二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡稱，讓無線客戶端對不同無線網(wǎng)絡(luò)的識別，類似我們的手機識別不同的移動運營商的機制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點廣播出去的，客戶端只有收到這個參數(shù)或者手動設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個廣播禁止，一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是，如果黑客利用其他手段獲取相應(yīng)參數(shù)，仍可接入目標網(wǎng)絡(luò)，因此，隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡單口令安全方式。

2.2MAC地址過濾顧名思義，這種方式就是通過對AP的設(shè)定，將指定的無線網(wǎng)卡的物理地址（MAC地址）輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷，只有符合設(shè)定標準的才能被轉(zhuǎn)發(fā)，否則將會被丟棄。這種方式比較麻煩，而且不能支持大量的移動客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò)，一般SOHO，小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱，所有經(jīng)過WIFI認證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設(shè)備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊，一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN，將所有的無線客戶端設(shè)備完全隔離，使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對酒店和機場等公共熱點HotSpot的架設(shè)，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。作為擴展認證協(xié)議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認證機制，從而提供更高級別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡稱，下一代無線規(guī)格802.11i之前的過渡方案，也是該標準內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP（TemporalKeyIntegrityProtocol），這項技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求，該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級的AES加密，能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動客戶端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補丁，但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。

篇（10）

數(shù)據(jù)安全和隱私數(shù)據(jù)是用戶考慮是否采用云計算模式的一個重要因素。安全保護框架方面，最常見的數(shù)據(jù)安全保護體系是DSLC(DataSecurityLifeCycle)，通過為數(shù)據(jù)安全生命周期建立安全保護體制，確保數(shù)據(jù)在創(chuàng)建、存儲、使用、共享、歸檔和銷毀等六個生命周期的安全。Roy等人提出了一種基于MapReduce平臺的隱私保護系統(tǒng)Airavat，該平臺通過強化訪問控制和區(qū)分隱私技術(shù)，為處理關(guān)鍵數(shù)據(jù)提供安全和隱私保護。靜態(tài)存儲數(shù)據(jù)保護方面，Muntes-Mulero等人對K匿名、圖匿名以及數(shù)據(jù)預(yù)處理等現(xiàn)有的隱理技術(shù)進行了討論和總結(jié)，提出了一些可行的解決方案。動態(tài)存儲數(shù)據(jù)保護方面，基于沙箱模型原理，采用Linux自帶的chroot命令創(chuàng)建一個獨立的軟件系統(tǒng)的虛擬拷貝，保護進程不受到其他進程影響。

1.2虛擬化云安全技術(shù)

虛擬化技術(shù)是構(gòu)建云計算環(huán)境的關(guān)鍵。在云網(wǎng)絡(luò)中，終端用戶包括潛在的攻擊者都可以通過開放式的遠程訪問模式直接訪問云服務(wù)，虛擬機系統(tǒng)作為云的基礎(chǔ)設(shè)施平臺自然成為這些攻擊的主要目標。虛擬機安全管理方面：Garfinkel等人提出在Hypervisor和虛擬系統(tǒng)之間構(gòu)建虛擬層，用以實現(xiàn)對虛擬機器的安全管理。訪問控制方面：劉謙提出了Virt-BLP模型，這一模型實現(xiàn)了虛擬機間的強制訪問控制，并滿足了此場景下多級安全的需求。Revirt利用虛擬機監(jiān)控器進行入侵分析，它能收集虛擬機的信息并將其記錄在虛擬機監(jiān)控器中，實時監(jiān)控方面LKIM利用上下文檢查來進行內(nèi)核完整性檢驗。

1.3云安全用戶認證與信任研究

云網(wǎng)絡(luò)中存在云服務(wù)提供商對個人身份信息的介入管理、服務(wù)端無法解決身份認證的誤判，以及合法的惡意用戶對云的破壞等問題，身份認證機制在云網(wǎng)絡(luò)下面臨著諸多挑戰(zhàn)。Bertino提出了基于隱私保護的多因素身份屬性認證協(xié)議，采用零知識證明協(xié)議認證用戶且不向認證者泄露用戶的身份信息。陳亞睿等人用隨機Petri網(wǎng)對用戶行為認證進行建模分析，通過建立嚴格的終端用戶的認證機制以及分析不同認證子集對認證效果的影響，降低了系統(tǒng)對不可信行為的漏報率。林闖、田立勤等針對用戶行為可信進行了一系列深入的研究和分析，將用戶行為的信任分解成三層，在此基礎(chǔ)上進行用戶行為信任的評估、利用貝葉斯網(wǎng)絡(luò)對用戶的行為信任進行預(yù)測、基于行為信任預(yù)測的博弈控制等。

1.4安全態(tài)勢感知技術(shù)

自態(tài)勢感知研究鼻祖Endsley最早提出將態(tài)勢感知的信息出路過程劃分為察覺、理解、預(yù)測三個階段后，許多的研究學(xué)者和機構(gòu)在此基礎(chǔ)上開始進行網(wǎng)絡(luò)安全臺式感知，其中最著名的是TimBass提出的基于數(shù)據(jù)融合的入侵檢測模型，一共分為六層，包括數(shù)據(jù)預(yù)處理、對象提取、狀態(tài)提取、威脅提取、傳感控制、認知和干預(yù)，全面的將安全信息的處理的階段進行了歸納。網(wǎng)絡(luò)安全態(tài)勢感知框架模型方面：趙文濤等人針對大規(guī)模網(wǎng)絡(luò)環(huán)境提出用IDS設(shè)備和系統(tǒng)狀態(tài)監(jiān)測設(shè)備代替網(wǎng)絡(luò)安全態(tài)勢感知中的傳感器，用于收集網(wǎng)絡(luò)安全信息，并從設(shè)備告警和日志信息中還原攻擊手段和攻擊路徑，同時利用圖論基礎(chǔ)建立的認知模型。網(wǎng)絡(luò)安全態(tài)勢感知評估方面：陳秀真利用系統(tǒng)分解技術(shù)將網(wǎng)絡(luò)系統(tǒng)分解為網(wǎng)絡(luò)系統(tǒng)、主機、服務(wù)、脆弱點等四個層次，利用層次間的相關(guān)安全信息，建立層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢評估模型，綜合分析網(wǎng)絡(luò)安全威脅態(tài)勢。之后該架構(gòu)做出了改進，量化了攻擊所造成的風(fēng)險，同時考慮了弱點評估和安全服務(wù)評估兩種因素，加入了網(wǎng)絡(luò)復(fù)雜度的影響因素，該框架更加體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢真實情況。

2研究現(xiàn)狀中存在的不足

以上這些研究對全面推動云安全技術(shù)的迅猛發(fā)展具有重要的作用。但是目前的研究，對幾個領(lǐng)域還存在不足：（1）云網(wǎng)絡(luò)中虛擬機間因關(guān)聯(lián)而引起的安全威脅較為忽視；（2）云網(wǎng)絡(luò)中可信計算與虛擬化的結(jié)合研究不足；（3）云網(wǎng)絡(luò)環(huán)境下云/端動態(tài)博弈狀態(tài)下安全方案和策略研究較少；（4）云網(wǎng)絡(luò)下安全態(tài)勢感知鮮有研究。我們須知云網(wǎng)絡(luò)最大的安全問題在于不可信用戶利用云平臺強大的計算能力及其脆弱性發(fā)動極具破壞力的組合式或滲透式攻擊，而這種攻擊要比在局域網(wǎng)上的危害大得多，因此在這方面需要投入更多的關(guān)注，即：立足于某個特定的“云網(wǎng)絡(luò)”系統(tǒng)，剖析不可信用戶和網(wǎng)絡(luò)自身脆弱性所帶來的風(fēng)險，時刻預(yù)測網(wǎng)絡(luò)上的風(fēng)險動向。要做到這一點，就要對云網(wǎng)絡(luò)中終端用戶的訪問行為和云網(wǎng)絡(luò)的服務(wù)行為進行實時觀測，實時評估。