摘要：本文从计算机网络面临的各种安全威胁，系统地介绍网络安全技术，分析了高职高专院校网络系统的安全隐患，论述了保护网络系统核心资源的必要性，得出一套行之有效的校园网分层安全控制防御方案，进而解决校园网主要威胁和隐患。关键词：校园网；分层安全控制；数字化建设中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2013) 07-0000-02校园网安全是指校园网系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。近年来，随着现代教育技术飞速发展，校园网建设和网络教学不断普及，建立在Internet基础之上的网络安全问题变得尤为突出。防止校园网上的计算机被入侵，建立完善的网络安全方案、保护核心资源已迫在眉睫。1网络安全的主要威胁1.1操作系统漏洞。目前，校园网中被广泛使用的网络操作系统主要是WINDOWS，存在各种各样的安全问题，服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。1.2病毒感染。病毒一直是计算机系统安全最直接的威胁，网络更是为病毒提供了迅速传播的途径，从而破坏系统，甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。1.3来自网络外部的入侵、攻击等恶意破坏行为：指来自局域网外部的恶意攻击，如伪装为合法用户进入网络并占用大量资源；选择性破坏网络信息的有效性和完整性；修改网络数据、窃取、破译机密信息、破坏软件执行等。 1.4来自网络内部的攻击：在局域网内部，师生滥用合法口令登陆网站，攻击系统，干扰校园网的安全运行。1.5人为失误：如非法操作、丢失口令、管理员安全配置不当、资源访问控制不合理等，都会对网络系统造成极大的破坏。1.6隐私及机密资料的存储和传输：机密资料存储在网络系统内，当系统受到攻击时，如不采取措施，很容易被搜集而造成泄密。1.7网络硬件设备受损。校园网络涉及硬件的设备分布在整个校园内，管理起来有一定的难度，暴露在外面的设施，都有可能遭到有意或无意地损坏，这样可能会造成校园网络全部或部分瘫痪的严重后果。2分层安全控制方案传统的防护技术可能会导致系统安全的盲目性，这种盲目是对整个园区网校园网系统的某个或某些方面的安全采取了安全措施而对其它方面有所忽视。因而，可以采用外网、内网、内外之间三部分控制方案来保证校园网信息的安全，对各部分安全采取不同的技术措施。2.1外网传输控制层。外部网络简称外网，指校园网防火墙之外的公用网。为了保证安全，可以从3个方面采取措施：（1）一体化VPN技术：VPN需要用户必须安装特定的客户端软件，这需要专业技术人员进行操作。此外VPN不允许从公网计算机接入专网。VPN不需要安装任何客户端软件，用户只需输入SSL服务器的URL，然后再输入用户名及密码，即可完成远程登录的操作，最适合学校远程访问接入。VPN是在两个局域网之间通过Internet建立安全连接，保护的是点对点间的通讯，并不局限于web应用，还能构建局域网之间的虚拟专用网络，功能和应用的扩展更强。故Ipsec VPN适合校区间点对点连接。因此，这种集成的VPN解决方案充分发挥了优势，能更好的满足校园网的多种需求。（2）加密技术：加密技术是利用数学或物理手段，对数据在传输过程中和存储体内进行保护，以防止泄漏的技术，也是最常用的安全保护手段。加密技术包括两个元素：算法和密钥。算法是将普通的文本与一串数字的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。目前世界上数据加密的技术分为两类，即私人密钥加密和公开密钥加密。（3）身份认证技术：目前使用广泛的有：静态密码、安全证书、短信密码、动态口令、智能卡、数字签名、数字水印等技术，使通信安全得到保证。其中，动态认证系统主要由令牌、身份认证软件、API接口三部分组成。2.2内部访问控制层。在校园网内部，对程序的不合法篡改和非法用户的登录更加不容易检查出来，对信息安全造成更大的威胁，为保证安全，可采用３个方法进行防护。（1）用户身份认证：基于用户名和口令的用户入网访问控制可分为用户名的识别验证、用户口令的识别验证、用户账号的默认限制检查3个步骤。对网络用户的用户名和口令进行验证是防止非法访问的第一道关卡，服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在。口令最好是数字、字母和其他字符的组合，长度应不少于6个字符，必须经过加密。（2）安全检测：主要作用是漏洞检测及时检测修复可有效防止挂马、数据泄露和破坏等严重问题；云安全监控，查出网页挂马并及时处理；监控网页篡改情况。（3）权限控制：一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。在许多的实际应用中，要求不同类别的用户对资源有不同的操作权限。目前，权限管理系统也是重复开发率最高的模块之一，通常有菜单、页面元素、数据三个级别。2.3内外网之间访问控制层。（1）防火墙：将校园网和外部网络分开的方法，它实际上是一种隔离技术。它可以控制网络进出的信息流向，提供校园网使用状况和流量的审计、隐藏内部IP地址及园区网网络结构的细节。（2）防毒网关：是一种网络设备，用以保护网络内进出数据的安全。主要体现在病毒杀除、关键字过滤、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙的功能。对于校园网来说，一个安全系统的主要任务就是阻止病毒通过电子邮件与附件入侵。（3）代理服务及路由器：可以根据设置地址、服务、内容等要素来控制用户的访问，代理服务器及路由器起访问的中介作用，使校园网和外部网络间不能直接访问，从而保证内部关键信息的安全。（4）安全扫描：及时更新操作系统，安装各种补丁程序非常重要。一般用户需要借助安全扫描软件的帮助，及时发现安全漏洞并加以修复。目前有360安全卫士等多种软件可以对设备进行扫描。（5）网络地址转换技术：Internet网络应用中一项非常实用的技术，主要被应用在隐藏内部网络达到保密作用以及解决传统1P网络地址紧张的问题。（6）入侵检测：采用安全产品如360安全卫士对流动数据包进行监控及自检，识别可疑行为，进行防护。2.4操作系统及应用软件控制层。操作系统是管理和控制计算机硬件与软件资源的计算机程序，任何其他软件都必须在操作系统的支持下才能运行，是用户和计算机的接口，同时也是计算机硬件和其他软件的接口。操作系统的功能包括管理硬件、软件及数据资源，控制程序运行，改善人机界面，为应用软件提供支持等。安全防护措施主要包括：采用安全性较高的系统、操作系统防病毒、系统漏洞及入侵检测、对系统文件加密等。（1）过滤保护；分析所有针对受保护对象的访问，过滤恶意攻击以及可能带来不安全因素的非法访问。（2）安全检测保护；对所有用户的操作进行分析。阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作。（3）隔离保护；在支持多进程和多线程的操作系统中，必须保证同时运行的多个进程和线程之间是相互隔离的，即各个进程和线程分别调用不同的系统资源，且每一个进程和线程都无法判断是否还有其它的进程或线程在同时运行。2.5存储介质层：可以通过硬盘双工、磁盘镜像、双机容错等数据维护技术，再配合磁盘数据备份技术来保证存储介质安全。3总结校园网安全问题需从多方面加以考虑，加强基础工作，做好调研，弄清学校的真正需求，制订整体规划和信息规范，建立适当的安全策略、采用适当的安全技术、选择适用的软硬件工具，为高职高专院校数字化建设打下良好的基础。[作者简介]李果（1983-），女，重庆万州人，重庆三峡医药高等专科学校公共基础部计算机教研室，助教，在读硕士，研究方向：计算机应用技术。