1校園網(wǎng)安全測度分析及安全保障體系設(shè)計(jì)1. 校園網(wǎng)概述校園網(wǎng)的概念一般而言，校園網(wǎng)是指由計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)設(shè)備和軟件等構(gòu)成的，為學(xué)校教學(xué)科研、管理、后勤等服務(wù)的集成應(yīng)用系統(tǒng)，并可通過的互聯(lián)實(shí)現(xiàn)遠(yuǎn)距離

1

校園網(wǎng)安全測度分析

及安全保障體系設(shè)計(jì)

1. 校園網(wǎng)概述

校園網(wǎng)的概念

一般而言，校園網(wǎng)是指由計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)設(shè)備和軟件等構(gòu)成的，為學(xué)校教學(xué)科研、管理、后勤等服務(wù)的集成應(yīng)用系統(tǒng)，并可通過的互聯(lián)實(shí)現(xiàn)遠(yuǎn)距離信息交流和共享的局域網(wǎng)絡(luò)資源。

校園網(wǎng)作為學(xué)校師生和管理人員所依托的重要資源、學(xué)校辦學(xué)的重要基礎(chǔ)設(shè)施，為學(xué)校師生及科研人員提供著自動(dòng)化、計(jì)算機(jī)管理、計(jì)算機(jī)輔助教學(xué)、資源共享及信息交流等全方位服務(wù)。

校園網(wǎng)網(wǎng)絡(luò)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它通過有限或無線方式接入教育網(wǎng)絡(luò)或公用網(wǎng)絡(luò)，通過網(wǎng)路實(shí)現(xiàn)校園內(nèi)外教育資源共享。為廣大師生提供著多種應(yīng)用服務(wù)。這里我們將主要精力集中在探討復(fù)雜校園網(wǎng)系統(tǒng)中信息系統(tǒng)層面。

系統(tǒng)理論中，系統(tǒng)被定義為：具有對(duì)外部功能、自組織機(jī)能，開放耗散結(jié)構(gòu)，并由多元素組成的多層次、多剖面復(fù)雜動(dòng)態(tài)綜合的整體。由此定義可知校園網(wǎng)正是一個(gè)典型的系統(tǒng)，它具有著典型的系統(tǒng)特征并遵從系統(tǒng)運(yùn)動(dòng)規(guī)律。

校園網(wǎng)網(wǎng)絡(luò)安全的重要性

隨著高校信息化水平的提高，網(wǎng)絡(luò)在高校的辦公、教學(xué)、科研、學(xué)術(shù)交流等各個(gè)領(lǐng)域都發(fā)揮著不可或缺的重要作用，特別是Internet 的普及，為我們獲得信息、傳遞消息提供了一條最迅捷的途徑。隨著網(wǎng)上辦公系統(tǒng)、遠(yuǎn)程教育的使用，高校工作都越來越依賴于網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)的開放性與互聯(lián)性為我們帶來方便的同時(shí)，也引入很多不安全因素，例如計(jì)算機(jī)病毒、黑客入侵等等。這些不良信息嚴(yán)重影響到校園網(wǎng)的信息安全，甚至影響到校園網(wǎng)絡(luò)的正常使用。本文就X 校園網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀并結(jié)合《信息系統(tǒng)與安全對(duì)抗理論》一書，淺談該校園網(wǎng)不安全因素，并根據(jù)分析結(jié)果設(shè)計(jì)該校園網(wǎng)安全保障體系。

2

現(xiàn)給出X 大學(xué)校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如下所示：

圖1 X 大學(xué)校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D

2. 校園網(wǎng)系統(tǒng)安全問題占位分析

信息系統(tǒng)作為為人類服務(wù)的一種重要工具，除應(yīng)考慮其基本功能外，在設(shè)定指標(biāo)的體系中還要考慮安全因素及使用性能，并根據(jù)實(shí)際應(yīng)用環(huán)境加以三因素的系統(tǒng)綜合運(yùn)籌考慮。校園網(wǎng)作為一類典型的信息系統(tǒng)有其獨(dú)特的安全性能測度，以下表征進(jìn)行普通校園網(wǎng)安全問題占位分析。

基于安全性能等方面考慮，并為突出信息系統(tǒng)不同特征，可將信息系統(tǒng)概略地分為三類：

○1安全對(duì)抗性能是信息系統(tǒng)性能指標(biāo)中及重要的組成部分，應(yīng)優(yōu)先著重實(shí)現(xiàn)相應(yīng)的安全措施，以保證系統(tǒng)總性能總體符合要求；

○2安全對(duì)抗性能重要但不占?jí)旱剐缘匚?，?yīng)就重要性能指標(biāo)來綜合運(yùn)籌，使系統(tǒng)整體性能達(dá)到可接受程度；

○3安全對(duì)抗性能不占重要部分，不著重考慮其實(shí)現(xiàn)措施。

根據(jù)上述關(guān)于安全性能占位分析的定義并結(jié)合X 校園網(wǎng)實(shí)際情況，X 校園網(wǎng)

3

在安全問題的占位情況應(yīng)屬于第二類情況。校園網(wǎng)功能甚多，安全性能與其他性能需綜合考慮，校園網(wǎng)安全性能重要，但其他性能也不能考慮不夠而造成其他功能消弱甚至到不能接收程度。

將校園網(wǎng)安全問題置于整個(gè)系統(tǒng)頂層分析并根據(jù)其占位特殊性綜合統(tǒng)籌考慮有助于我們?cè)谕咨铺幚硇@網(wǎng)安全問題的同時(shí)，協(xié)調(diào)其他系統(tǒng)性能。

3. 校園網(wǎng)不安全因素 3.1 校園網(wǎng)安全問題產(chǎn)生根源

辯證哲學(xué)認(rèn)為，對(duì)立統(tǒng)一律認(rèn)定事物的存在是體現(xiàn)在不停運(yùn)動(dòng)之中，運(yùn)動(dòng)發(fā)展即是矛盾對(duì)立統(tǒng)一的運(yùn)動(dòng)，沒有矛盾就沒有發(fā)展。所以，信息安全問題的根源在于矛盾運(yùn)動(dòng)。

網(wǎng)絡(luò)技術(shù)、科技的不完善，社會(huì)、校園的多重矛盾，人在工作時(shí)的各種失誤都是造成校園網(wǎng)安全問題的直接因素。

3.2 校園網(wǎng)的具體功能

具體到本文分析的X 大學(xué)校園網(wǎng)，我們先給出該校園網(wǎng)的具體功能，也就是該信息系統(tǒng)的序。信息系統(tǒng)的自組織特性會(huì)形成多層次宏觀序，并且與環(huán)境共同進(jìn)化，由此可見校園網(wǎng)的功能特性也就是維持該系統(tǒng)正常運(yùn)行的序。

下圖所示為校園網(wǎng)系統(tǒng)的部分功能：

圖2 X 大學(xué)校園網(wǎng)系統(tǒng)的功能

4

3.3 校園網(wǎng)不安全因素

(1) 系統(tǒng)安全缺陷

校園網(wǎng)系統(tǒng)的安全缺陷定義為與系統(tǒng)相關(guān)的漏洞或脆弱性，缺陷可以導(dǎo)致系統(tǒng)抵御攻擊能力減弱，具體安全缺陷如下：

○1數(shù)據(jù)處理環(huán)節(jié)：數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)輸出、管理控制、軟件等都可能存在安全缺陷；

○2軟件安全缺陷：陷門、操作系統(tǒng)漏洞、數(shù)據(jù)庫安全漏洞、TCPIP協(xié)議安全漏洞。目前使用的操作系統(tǒng), 絕大多數(shù)是Windows ，存在安全缺陷, 如自身安全漏洞、瀏覽器的漏洞、IIS 的漏洞等, 例如有名的Windows DCOM 蠕蟲病毒就是利用Windows 漏洞進(jìn)行攻擊的；

○3硬件結(jié)構(gòu)隱患：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)本身就可能給網(wǎng)絡(luò)帶來各種安全問題，如圖1所示X 大學(xué)校園網(wǎng)為星型拓?fù)浣Y(jié)構(gòu)擴(kuò)展困難、對(duì)中央結(jié)點(diǎn)依賴性太強(qiáng)，中心結(jié)點(diǎn)一經(jīng)破壞可能造成正網(wǎng)癱瘓，影響嚴(yán)重。如，該校園中常出現(xiàn)DNS 域名解析系統(tǒng)損壞的情況，長時(shí)間內(nèi)都只能通過輸入IP 地址訪問網(wǎng)站，使用極為不方便，影響了廣大師生的正常工作、學(xué)習(xí)。

(2) 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒往往直接對(duì)校園網(wǎng)系統(tǒng)進(jìn)行破壞，其對(duì)個(gè)人和系統(tǒng)的危害嚴(yán)重。主要有：病毒激發(fā)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用、占用磁盤空間對(duì)信息的破壞、搶占系統(tǒng)資源、影響計(jì)算機(jī)運(yùn)行速度等。校園網(wǎng)接入Internet 的時(shí)候, 即使有防火墻和殺毒軟件的保護(hù), 還是不可避免的沾染病毒。個(gè)人手中的手機(jī)、PDA 、U 盤都可以成為病毒的傳播介質(zhì)，這極大地威脅著校園網(wǎng)整體安全。計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬、邏輯炸彈等常見病毒嚴(yán)重危害著計(jì)算機(jī)的安全性能。

(3) 垃圾郵件

垃圾郵件就是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件。垃圾郵件對(duì)使用該校園網(wǎng)的個(gè)人危害是巨大的, 主要表現(xiàn)在以下幾個(gè)方面:

○1占用網(wǎng)絡(luò)帶寬, 造成郵件服務(wù)器擁塞, 從而降低整個(gè)網(wǎng)絡(luò)的運(yùn)行效率； ○2侵犯收件人的隱私權(quán), 侵占信箱空間, 耗費(fèi)收件人的時(shí)間、精力；

○3被黑客利用, 造成被攻擊網(wǎng)站網(wǎng)路堵塞, 嚴(yán)重時(shí)會(huì)使校園網(wǎng)癱瘓；

○4妖言惑眾，騙人錢財(cái)，傳播色情等內(nèi)容的垃圾郵件。

5

(4) 人為因素 (使用者角度)

○1人為蓄意因素：

黑客攻擊，如入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、木馬程序攻擊、后門攻擊等；

網(wǎng)站流覽量過大，如在BBS 上爆吧影響人們正常使用，如69圣戰(zhàn)中WOWER 和SJER 互相爆吧，在水潭上亂發(fā)無用信息，一段時(shí)間內(nèi)相關(guān)網(wǎng)站損害嚴(yán)重、不能訪問。

○2人為不可避免因素：

由于網(wǎng)絡(luò)帶寬的限制，校園網(wǎng)訪問量不能過大，否則造成網(wǎng)絡(luò)阻塞現(xiàn)象。如果X 校園網(wǎng)內(nèi)學(xué)生選課系統(tǒng)經(jīng)常在重要時(shí)刻癱瘓，將會(huì)影響學(xué)生的正常使用。

(5) 人為因素 (管理者角度)

管理手段不到位、保密措施不嚴(yán)謹(jǐn)、師生法律意識(shí)淡薄使學(xué)校重要信息經(jīng)互聯(lián)網(wǎng)泄露。校園機(jī)密泄露案例不勝枚舉，前些時(shí)間網(wǎng)上就曾爆出某大學(xué)“非正常生源來源”，一時(shí)間給社會(huì)造成巨大震撼。

(6) 一卡通、圖書館系統(tǒng)不穩(wěn)定

一卡通、圖書館系統(tǒng)是廣大師生日常使用的重要部分，我們經(jīng)常遇到的問題有：一卡通不能正常付費(fèi)，圖書館館藏資料不能正常查詢。這是由于科技發(fā)展的不完善造成的，不精準(zhǔn)的系統(tǒng)在日常工作中使用頻繁出錯(cuò)。

(7) 自然因素

火災(zāi)、雷電、地震等自然災(zāi)害都會(huì)直接導(dǎo)致計(jì)算機(jī)硬件系統(tǒng)損毀，而硬件系統(tǒng)損毀造成的信息的損失將是非常嚴(yán)重。我們知道電是計(jì)算機(jī)正常工作的最基本的保障。但是計(jì)算機(jī)系統(tǒng)的內(nèi)存多數(shù)都是掉電易失的，一旦異常掉電，正在處理的信息將會(huì)全部丟失，導(dǎo)致信息不完整。信息不完整會(huì)污染正常的信息系統(tǒng)，這常常是致命的。我們對(duì)抗的主要目的是維護(hù)、保持個(gè)性信息，然而目的性與自然選擇性是矛盾的對(duì)立統(tǒng)一，系統(tǒng)的動(dòng)態(tài)發(fā)展不可避免的受自然選擇行限制，這是難以避免的。

4. 校園網(wǎng)安全保障體系設(shè)計(jì)

4.1校園網(wǎng)安全及防范信息攻擊的防范概念

6

校園網(wǎng)安全問題是社會(huì)、科技和信息系統(tǒng)發(fā)展的一個(gè)矛盾側(cè)面，它沒有終結(jié)只有隨著社會(huì)、技術(shù)的發(fā)展而發(fā)展，在發(fā)展中解決存在的問題，又會(huì)產(chǎn)生新的矛盾，再在發(fā)展中解決，性能良好的校園網(wǎng)應(yīng)該在這種自我調(diào)節(jié)中形成發(fā)展中的動(dòng)態(tài)平衡。

在信息攻擊方面具體的攻擊包括個(gè)性信息攻擊及個(gè)性關(guān)系攻擊，反攻擊實(shí)際上是將反個(gè)性信息及反個(gè)性關(guān)系整合在一起實(shí)施反攻擊。具體原理性方法有： ○1 在時(shí)間、空間維以“反其道而行之”為核心形成一系列技術(shù)方案性對(duì)抗方法； ○2 防止攻擊連續(xù)擴(kuò)大。

校園網(wǎng)系統(tǒng)及其服務(wù)群體作為一個(gè)整體，應(yīng)按其“特殊性”加以安全保護(hù)。系統(tǒng)層面上講復(fù)雜的校園網(wǎng)系統(tǒng)不同于其他任何一種系統(tǒng)其本身就具有特殊性，全面構(gòu)建安全保障體系不僅涉及技術(shù)方面還涉及管理方面、資源方面，而且校園網(wǎng)系統(tǒng)本身具有開放性特征，這更增加了管理保障、安全服務(wù)的困難，只有根據(jù)不同重點(diǎn)服務(wù)項(xiàng)所可能引發(fā)的安全威脅程度，結(jié)合技術(shù)進(jìn)行動(dòng)態(tài)考慮才可以。

4.2校園網(wǎng)安全保障體系設(shè)計(jì)

要保證信息與信息系統(tǒng)基本安全屬性的要求，需要信息系統(tǒng)具有如下基本能力：網(wǎng)絡(luò)與信息系統(tǒng)對(duì)信息安全事件的防御能力、發(fā)現(xiàn)能力、應(yīng)急能力和對(duì)抗能力。

○1 防御能力：指采取手段與措施，使得信息系統(tǒng)具有防范、抵御各種先進(jìn)的針對(duì)信息與信息系統(tǒng)攻擊的能力。

○2 發(fā)現(xiàn)能力：指采取手段與措施，使得信息系統(tǒng)具有檢測、發(fā)現(xiàn)各種已知或未知的、潛在與事實(shí)上的針對(duì)信息與信息系統(tǒng)攻擊的能力，這與制對(duì)抗信息權(quán)有關(guān)。 ○3 應(yīng)急能力：指采取手段與措施，使得信息系統(tǒng)針對(duì)各種突發(fā)事件，具備及時(shí)響應(yīng)、處置信息系統(tǒng)所遭受的攻擊，恢復(fù)信息系統(tǒng)基本服務(wù)功能。

○4 對(duì)抗能力：指采取手段與措施，反其道而行之，對(duì)抗信息系統(tǒng)攻擊，達(dá)到獲取信息、控制信息系統(tǒng)、終止信息系統(tǒng)服務(wù)、追蹤攻擊源頭的能力。

對(duì)于X 學(xué)校校園網(wǎng)來說，要使系統(tǒng)具有上述能力，就要綜合運(yùn)用管理方法、科學(xué)技術(shù)和信息、有關(guān)資源三個(gè)基本要素，通過合理配置各項(xiàng)資源，建立管理與技術(shù)相互協(xié)調(diào)的信息安全保障體系。

(1) 管理方面

7

實(shí)質(zhì)上安全風(fēng)險(xiǎn)源于不同社會(huì)主體所涉及的社會(huì)地位和不同的利益，需要有不同的法律來規(guī)范和調(diào)整，也需要由不同的校園內(nèi)職能部門來監(jiān)督和管理。 ○1 法律方面：

《中國互聯(lián)網(wǎng)白皮書》一文指出“中國依法管理互聯(lián)網(wǎng)。1994年以來，中國頒布了一系列與互聯(lián)網(wǎng)管理相關(guān)的法律法規(guī)，主要包括《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國電子簽名法》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》、《外商投資電信企業(yè)管理規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》等??”。

由此可以看出我國對(duì)于依法管理、科學(xué)管理和有效管理互聯(lián)網(wǎng)有著較為完善的互聯(lián)網(wǎng)管理體系。這些法律法規(guī)的制定同樣使用于校園網(wǎng)的使用，他們方便校園網(wǎng)的管理者依法治網(wǎng)，賦予管理者權(quán)利管理校園網(wǎng)域名、IP 地址等互聯(lián)網(wǎng)基礎(chǔ)資源的管理。而在校園網(wǎng)系統(tǒng)管理過程中，作為一個(gè)互聯(lián)網(wǎng)的子系統(tǒng)，政府在互聯(lián)網(wǎng)管理中發(fā)揮主導(dǎo)作用，提供著法律方面的保障。這說明任何系統(tǒng)必定蘊(yùn)含于更大的子系統(tǒng)，為其子系統(tǒng)。而子系統(tǒng)有著大系統(tǒng)的特征與規(guī)律。

○2 行政方面：

安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心，代表了安全防范體系中人的因素。系統(tǒng)里除了客觀存在的屬性外，還應(yīng)能夠與人結(jié)合、被人掌握、為人所以利用。人是萬物之靈，但在緊張的長期工作中，會(huì)因種種不可避免原因發(fā)生疏漏、錯(cuò)誤，其中部分會(huì)形成安全問題而對(duì)整個(gè)系統(tǒng)造成破壞。

建立校園網(wǎng)嚴(yán)格制度。制訂網(wǎng)絡(luò)建設(shè)方案、機(jī)房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、校園網(wǎng)安全指南、學(xué)生上網(wǎng)使用手冊(cè)、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護(hù)記錄一系列的制度保證校園網(wǎng)的核心部門高安全、高可靠地運(yùn)作。從內(nèi)到外，層層落實(shí)，動(dòng)態(tài)管理，適應(yīng)新的網(wǎng)絡(luò)需求，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，調(diào)整校園網(wǎng)絡(luò)的安全管理策略。

加強(qiáng)網(wǎng)絡(luò)技術(shù)的培訓(xùn)。網(wǎng)絡(luò)安全技術(shù)是一門綜合性的技術(shù)，網(wǎng)絡(luò)管理人員必須不斷地學(xué)習(xí)新的網(wǎng)絡(luò)知識(shí)，掌握新的網(wǎng)絡(luò)產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻

8

擊、分組竊聽、IP 欺騙、拒絕服務(wù)、端口攻擊等多樣化的攻擊手段，才能更好地管理好網(wǎng)絡(luò)。

加強(qiáng)用戶的安全意識(shí)。網(wǎng)絡(luò)安全最大的威脅不是來自設(shè)備，而是網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全知識(shí)的缺乏。網(wǎng)絡(luò)中心定期發(fā)布網(wǎng)絡(luò)安全上網(wǎng)FAQ ，提供電話咨詢，加強(qiáng)用戶的安全意識(shí)，引導(dǎo)用戶自覺安裝防病毒軟件，打補(bǔ)丁，自動(dòng)更新操作系統(tǒng)，對(duì)不熟悉的軟件不要輕易安裝。

(2) 技術(shù)方面

根據(jù)技術(shù)不同特點(diǎn)，某校園網(wǎng)系統(tǒng)及其服務(wù)群體的安全保護(hù)方法可以從不同角度加以綜合考慮，如可從物理安全、運(yùn)行安全、數(shù)據(jù)安全、內(nèi)容安全四個(gè)層面考慮，也可從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、計(jì)算環(huán)境幾個(gè)方面加以考慮。不同方面考慮側(cè)重點(diǎn)不同，但這里為了建立X 校園網(wǎng)系統(tǒng)層面的概念，將該系統(tǒng)根據(jù)不同安全需求劃分為不同的域和層次，再根據(jù)具體情況，制定針對(duì)性的安全措施保障。

在技術(shù)層面，構(gòu)建X 校園網(wǎng)安全保障體系涉及多項(xiàng)技術(shù)。如為了保護(hù)校內(nèi)計(jì)算機(jī)環(huán)境安全，可采取訪問控制、身份驗(yàn)證技術(shù)；為保護(hù)校園網(wǎng)邊界，可以采用加密解密技術(shù)，采用虛擬專用網(wǎng)技術(shù)；為防止外部攻擊，可以采用防火墻、網(wǎng)絡(luò)入侵檢測、蜜罐技術(shù)等；為防止病毒，可以采用殺毒軟件和操作系統(tǒng)加固技術(shù)等。每種安全措施在面對(duì)達(dá)“保障安全目的”實(shí)施的技術(shù)措施中，即由為達(dá)目的直接措施出發(fā)逐步落實(shí)效果，必然遵照從核心環(huán)節(jié)逐次轉(zhuǎn)移直至普通技術(shù)為止這一規(guī)律，從而形成串行結(jié)構(gòu)。為突出主要矛盾，下面簡單介紹防火墻、入侵檢測技術(shù)、虛擬專用網(wǎng)技術(shù)和IP 地址與MAC 地址綁定技術(shù)。

○1 防火墻

防火墻是一種邏輯隔離技術(shù)，通過對(duì)達(dá)到數(shù)據(jù)流量特性和行為進(jìn)行規(guī)劃性分析。根據(jù)分析結(jié)果給出是否允許數(shù)據(jù)流通過的判斷。防火墻技術(shù)包括:包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)、電路網(wǎng)管技術(shù)、地址翻譯技術(shù)、加密技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)、安全審校技術(shù)、身份認(rèn)證技術(shù)等。此處也體現(xiàn)，核心技術(shù)轉(zhuǎn)移形成串行結(jié)構(gòu)思想。

○2 入侵檢測技術(shù)

入侵檢測技術(shù)(IPS)是為了保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違

9

反安全策略行為的技術(shù)。如果建立簡單的“共道-逆道”對(duì)抗模型，入侵檢測技術(shù)的使用應(yīng)該屬于共道收集信息階段，這有助于展開隨后的反其道而行之逆道過程。

總體來說，提高警覺性是必要的，但還要和其他環(huán)節(jié)一起配合使用才能從根本上提高網(wǎng)絡(luò)安全性能。管理者應(yīng)該有這種制對(duì)抗信息權(quán)及建立快速響應(yīng)原理的概念，一經(jīng)非法入侵，在對(duì)抗環(huán)境下爭奪對(duì)抗信息為己用，利用優(yōu)勢，以便 “建立系統(tǒng)對(duì)策響應(yīng)”。

○3 虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)(VPN)是通過一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接、是通過一條穿過混亂的公用網(wǎng)絡(luò)安全、穩(wěn)定的隧道。VPN 具有：加密數(shù)據(jù)、信息認(rèn)證和身份認(rèn)證、提供訪問控制等功能。

如果X 校園再建立其他校區(qū)，可考慮使用虛擬專用網(wǎng)絡(luò)技術(shù)，但根據(jù)系統(tǒng) “得必有失” 公理，提高網(wǎng)絡(luò)安全性能的同時(shí)必定X 校園帶來硬件維護(hù)難、資金缺乏的困擾，因此要權(quán)衡成本及代價(jià)與實(shí)效，根據(jù)矛盾對(duì)立同一律中的“目的性與自然選擇性”修改網(wǎng)絡(luò)拓?fù)洹?/p>

○4 IP 地址與MAC 地址綁定

IP 地址基于邏輯，比較靈活，不受硬件限制，也容易記憶。MAC 地址在一定程度上與硬件一致，基于物理，能夠標(biāo)識(shí)具體。這兩種地址各有好處，使用時(shí)也因條件而采取不同的地址。

IP 地址與MAC 地址綁定技術(shù)適用于像校園網(wǎng)這樣的局域網(wǎng)，基本不會(huì)出現(xiàn)盜IP 的現(xiàn)象，即便出現(xiàn)的話，由于所盜取的IP 與本機(jī)MAC 不匹配，也不能進(jìn)行網(wǎng)絡(luò)連接，防止了ARP 欺騙。這樣可以很方便的對(duì)局域網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行管理。

(3) 資源方面

管理和技術(shù)的有效實(shí)施都最終依賴于各種必須的資源，包括人才、資金、基礎(chǔ)設(shè)施、場所等。人既可以是校園網(wǎng)管理規(guī)定的制定者與執(zhí)行者，也可以是管理規(guī)定的遵循者與制約者；資金既是建設(shè)管理體系的必要條件也是建設(shè)技術(shù)體系的必要條件；基礎(chǔ)設(shè)施既可以是技術(shù)成果的結(jié)晶，又可以是服務(wù)于管理及技術(shù)的資源；那些可以服務(wù)于信息安全成型的、固有的、客觀存在的規(guī)則、設(shè)施、機(jī)構(gòu)，

10

以及人才、資金、教育等，都可以看做是可調(diào)配的服務(wù)于信息安全保障體系的資源。

核心技術(shù)轉(zhuǎn)移到資源范疇上易產(chǎn)生脆弱性環(huán)節(jié)。因此，在校園網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。重要的設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等要集中管理。通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止無意損壞。此外，對(duì)于涉密信息，應(yīng)該建立專門的保密通信專用網(wǎng)并建立加密措施。

綜上所述，從校園網(wǎng)系統(tǒng)及其服務(wù)群體整體考慮，其安全保護(hù)方法要從管理、技術(shù)、資源三個(gè)方面入手，實(shí)現(xiàn)整個(gè)系統(tǒng)的防御、發(fā)現(xiàn)、應(yīng)急和對(duì)抗能力，從而保證校園網(wǎng)系統(tǒng)運(yùn)行的幾個(gè)基本安全屬性，即保護(hù)機(jī)密性、保護(hù)完整性、保護(hù)可用性、保護(hù)真實(shí)性、保護(hù)可控性等。

校園網(wǎng)中信息安全問題是個(gè)非常重要的問題，學(xué)校管理人員、師生應(yīng)十分重視。這里結(jié)合X 學(xué)校校園網(wǎng)占位分析，將安全問題融入整個(gè)系統(tǒng)，并利用系統(tǒng)理論和安全對(duì)抗系統(tǒng)層面、基礎(chǔ)層面的原理，將X 學(xué)校信息安全問題融入系統(tǒng)功能頂層綜合運(yùn)籌考慮，簡單地建立了系統(tǒng)安全保障體系。

5. 結(jié)語

本文結(jié)合X 校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D，分析了校園網(wǎng)的潛在安全問題，針對(duì)安全隱患提出了相應(yīng)的安全保障體系。

校園網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)，其生存根本原因在于校園網(wǎng)的“功能”、“結(jié)構(gòu)”、“環(huán)境”及其他系統(tǒng)間眾多相關(guān)關(guān)系的對(duì)立統(tǒng)一。有矛盾才有發(fā)展。校園網(wǎng)系統(tǒng)具有開放自組織結(jié)構(gòu)特征，作為更大的互聯(lián)網(wǎng)系統(tǒng)的子系統(tǒng)，校園網(wǎng)系統(tǒng)與環(huán)境共同進(jìn)化。

校園網(wǎng)系統(tǒng)的信息安全問題不可避免伴隨矛盾運(yùn)動(dòng)產(chǎn)生，校園網(wǎng)保障體系是一個(gè)不容忽視的防范攻擊措施，同時(shí)應(yīng)將校園網(wǎng)保障體系是融入整個(gè)系統(tǒng)中考慮，伴隨大系統(tǒng)共同進(jìn)化。