构建安全的校园网系统

构建安全的校园网系统（共10篇）

构建安全的校园网系统 篇1

1 引言

随着网络技术应用的推广普及，应用层次的不断深入，网络应用领域也正从传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际性和自由性在增加应用自由度的同时，也为网络安全增加了更多的风险，网络安全正日益成为影响网络效能的重要因素。如何建构一套完善可行的高校网络安全体系，也是校园网建设过程中所必须考虑的重要事情之一。

2 安全防护体系建设

信息安全系统由物理安全、信息安全、系统安全、终端安全等多部分构成。

物理安全主要是保障网络的物理环境、网络设备、数据介质及其它相关物理实体的安全。其主要目的是为各种应用系统提供一个安全的物理运行环境，提供可靠的物理保障。

网络安全主要是保证网络结构的安全，对网络设备进行安全配置、在网络层加强访问控制能力;加强对攻击的实时检测能力;加强网络病毒的防范能力。

接入安全是对为了防止网络遭受潜在的破坏性攻击(来自内部的有意或者无意的攻击)而设计，可以解决大部分内部网络安全问题，包括威胁防御、病毒防范、身份验证、访问授权和安全通信等。

系统安全是指保障应用系统的正常运行。它建立在物理安全和网络安全的基础之上，主要包括系统的终端安全、统一病毒防护管理、操作系统安全、数据库系统安全、应用服务安全几个方面。

终端安全是整个信息安全体系中最脆弱的部分，也是最易被利作的部分，因此需要对终端安全进行重点防护。终端安全包括终端用户、终端用户的补丁升级管理、终端资产管理、终端软件管理几个方面。

2.1 物理安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。对于校园网物理层的安全策略与解决方案主要考虑以下两个方面：

1)物理访问控制方面

校园网需建立基于网络系统的数字化视频监控系统，部分重点区域采用红外线报警系统。对主机房及重要信息存储系统，首先要保证重要地点的安全防范工作，如：非工莫入、出入记录、录像监控、门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用IC卡技术、指纹技术等来实现，可以做到实时记录，方便查询等优点。

2)物理安全方面

对主机房及重要信息存储等重要部门来说，一旦电源发生故障，就会造成信息的丢失，正常工作无法进行。通常，网络主机房内部会部署专用UPS等，因此需要考虑的是对UPS的合理监控与维护。

另外，电源质量对用电设备的使用寿命、安全等有重大影响。在电源系统中，存在尖峰、浪涌等情况，一旦发生会使用电设备处于危险境地，为避免因电源质量而造成不安全因素，可以采用电源净化系统。另外还需要考虑安全接地问题与防雷问题。

2.2 网络安全

网络安全是校园网安全的核心和灵魂，在这里需要考虑以下的安全策略与解决方案。

1)网络边界防护

对内部网络不同的安全区域有不同的安全需求，做不同的安全访问控制措施。

对于广域网的安全接入，要考虑使用防火墙的机制来完成访问控制。

对于Internet的安全接入,建议才用具有防火墙和IPS功能的UTM设备完成访问控制。

对于数据中心(服务器群)区域,通过采用服务器接入交换机，双链路上连核心交换机清晰划分出服务器安全域，同时通过防火墙技术对服务器区域进行安全防护。

2)入侵检测与防御

建立网络安全主动防御机制，采用入侵检测和入侵防御系统对校园网网络的重要网段提供主动性的安全保证措施。

3)网络设备安全加固

加强网络设备的自身安全就是保证网络基础设施的安全性。通过对校园网网络中所有的网络设备进行安全加固，提高网络设备自身的安全性。

4)网络设备和服务器的身份认证

为了保证校园网内部网络中重要的网络设备(路由交换)服务器和其它的网络设备的有序管理，校园网络通过802.1X进行集中式的身份认证。

2.3 系统安全

对于校园网网络安全的系统安全，在这里我们需要考虑以下的安全策略与解决方案：

1)建立完善的防病毒体系

在校园网网络中配备网络版的防病毒系统进行文件病毒的防护。将校园网现有的网络版防病毒系统升级到统一版本，并布署统一防病毒管理和监控平台。

2)邮件系统安全

校园网在建立安全邮件系统的同时，必须考虑对垃圾邮件的防御。

3)系统的加固

通过对校园网网络中各系统进行安全评估，根据评估报告，针对各系统的漏洞进行配置加固和完整。包括操作系统的配置加固、数据库系统的配置加固以及各应用系统的配置加固等。

2.4 终端安全

对于校园网网络来说，终端设备的安全建设主要从几个方面来进行：

终端资产的管理。包括：终端软、硬件、应用程序以及相关责任人，让管理员能够随时了解终端资产的状况;

终端安全策略的管理。包括：审计策略、帐户策略、密码策略、服务及端口开放策略、注册表安全策略等。通过建立一套安全策略基线，可以大大降低终端自身的脆弱性，提高抵御能力;

终端安全补丁的分发和管理。实现Windows补丁的及时更新，避免由于安全漏洞而引起的风险;

终端访问控制管理。包含两个方面的内容：a、通过个人防火墙或者其他设备，防止外部系统对终端主机的分发访问;b、限制终端主机对外部资源的非法访问，或者，作为一种对不遵守学校安全策略用户的惩罚性措施;

终端访问行为审计。对于用户的访问行为进行相关的记录，同时，能够集中的存储和统计、查询用户访问行为，保障出现问题的时候能够进行有效的审计和定位。

终端安全防护和管理。对于整个校园网的终端系统来讲，统一采用一个安全控制手段，统一的安全策略来保障终端系统自身的安全，提升整个的安全防护水平。并使得整个校园网的终端系统安全做到可控和可管理。

3 安全检测体系建设

3.1 漏洞扫描

由于入侵手段的日益复杂和常用系统出现的安全缺陷，分析网络系统对破坏的抵抗能力有助于保障安全。漏洞扫描分析系统当前的设置和防御，指出潜在的安全漏洞，以改进系统对入侵的防御能力。漏洞扫描技术主要是用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供安全性分析报告，为提高网络安全整体水平产生重要依据。

漏洞扫描系统安全检测涉及到网络中的防火墙、路由器、主机(MS Windows、LINUX、SUN Solaris、HPUX等)漏洞及开启的服务，文件的内容和配置以及系统安全补丁等问题。应用漏洞扫描系统可以提前警告网络系统中的弱点所在，防止黑客入侵和内部人员的误用，是维护网络系统信息安全的好帮手。

为了能对全网的安全水平有所了解，并且能及早发现网络上存在的问题，对全网的安全做比较全面评估，在校园网网络中配置布署一套漏洞扫描软件，对所管理的服务器、主机、网络设备、安全设备进行扫描，生成扫描评估报告，对不同的业务系统采取不同的扫描策略进行分析扫描，从网络的内部、外部对整个网络进行分析评估，生成分析报告，以供网络管理人员分析，以制定出针对全网的合理的安全防护策略。

3.2 安全评估

3.2.1 扫描评估

在安全评估服务中我们将借助先进的评估工具和科学的工程方法，对客户信息系统进行测试、扫描，发现已经存在或可能存在的信息系统安全威胁，并形成客户信息系统安全威胁评估报告。

扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用网络扫描和主机扫描。

基于网络的扫描工具是通过网络远程探测其他主机的安全风险与漏洞。

基于系统的扫描工具主要关注软件所在主机或网络设备上的风险与漏洞。

3.2.2 人工评估

为了弥补工具扫描的不足，通过人工的方式对系统的安全性各方面进行检查，主要的人工分析包括：

1)安全配置检查

系统管理和维护的正常配置，合理配置及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

2)安全机制检查

安全机制的使用和正常配置，合理配置及优化配置。例如日志及审计、备份和恢复，签名与校验，加密与通信，特殊授权及访问控制。

3)文档调查

相关文档包括系统开发的安全需求文档，应用开发文档，相关安全策略及安全管理制度等。

4)问卷调查及访谈

通过问卷调查及访谈的方式，明确关键资产的业务职能，现有的安全策略以及实际的安全需求，全面了解系统的安全现状及运行状况。

3.2.3 渗透测试

完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透性测试的目的是为了找到系统中隐藏的安全漏洞，能够直观的让管理人员知道自己网络所面临的问题。

渗透性测试涉及到以下内容：系统帐户检查、系统日志检查、后门进程检查、木马程序检查、本地溢出程序检查、信任主机检查、攻击来源检查。

4 校园网安全管理

“三分技术，七分管理”是网络安全领域的一句至理名言，在安全业界，安全重在管理的观念已被广泛接受，因此，对用户安全管理、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。国际上，以ISO17799/BS7799为基础的信息安全管理体系已经确立，并已被广泛采用。校园网应以此为标准进行网络信息系统的安全现状评估、安全策略与安全制度建立等。通过加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系发挥应有的作用。

4.1 网络设备的口令管理

校园网网络设备的口令可分为重要口令和普通口令。重要口令包括各级路由器的特权口令和各主机的超级用户口令。普通口令包括各级路由器的普通口令和各主机的普通帐号口令。

重要口令必须定期更换，重要口令应只限于必需的相关人员掌握。不得传递给任何其他人。各级口令不得以任何形式的明文存放在连入互连网的主机电子文档中。各级口令不得以明文形式在电子邮件、传真中传播。

工程施工、厂商技术支持完成后，相关的各级用户口令必须尽快修改。掌握口令的重要网络管理人员离开岗位后，有关的各级用户口令必须尽快修改。

4.2 配置数据备份

网络系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段，是安全工作的重中之中，必须高度重视。

网络所有路由器配置均应保留备份，一般应放置在安全的tftp server中，(tftp server平时关闭，用时方可打开)同时将路由器配置以txt文件复制放置在安全的电子文档中，若路由器路由配置有所变动，应待路由器运行稳定后将路由器配置重新备份。

4.3 网络攻击和入侵应急处理

对于一个完整的安全体系，还必须建立相关的应急机制。网络管理人员在发现可疑网络攻击和入侵迹象时，必须尽快处理并记录。情况严重时，必须尽快联系网络安全管理人员取得技术支持。

4.4 网络安全负责人与电子邮件通报制度

信息中心必须指定专门人员负责网络安全工作并备案。在其工作变动或者长期出差时，必须指定接替人员，并作好交接工作。

电子邮件和网络安全站点是各级领导、网络安全管理人员、网络管理人员、网络安全负责人等之间进行及时有效的交流沟通的重要手段，它们互为补充。

5 结束语

校园网安全建设是一项非常复杂的系统工程，不是纯粹的技术问题，也不是简单产品与技术的堆砌，而是策略、技术与管理的综合。安全策略是校园网安全最核心的问题，是整个校园网安全建设的依据;安全技术包含工具、产品和服务等，是实现校园网安全的有力保证;安全管理主要是人员、组织和流程的管理，是实现校园网安全策略和技术手段的得以成功应用的前提。另外值得我们注意的是，由于安全问题的日趋复杂,加之校园网自身的情况也在不断地发展变化，因此校园网安全防范没有一劳永逸的方法，只有每个人都参与并坚持不懈地努力才能确保它的有效性和先进性。

参考文献

[1]秦宗全,于咏梅,等.校园网络安全防范体系研究[J].计算机时代,2007(2):16-18.

[2]陈文冠,曹亮,陈兴华.高校校园网信息安全的研究[J].科技管理研究.2007(2):207-209.

[3]王达.网管员必读——网络安全[M].北京:电子工业出版社,2005.

构建安全的校园网系统 篇2

关键词：校园网 网络缓存 网络结构 教育网 流量

中图分类号：TP393.18 文献标识码：B 文章编号：1673-8454（2009）01-0036-03

一、概述

1.互联网访问存在的问题

近年来，随着许多高校校园网网络规模的迅速扩大，上网用户爆炸性增加，校园网网络带宽及Web服务器处理能力的增长速度永远处于巨大的压力下，这种供需双方的不平衡发展带来诸多的问题，出现了骨干链路拥塞、服务器过载以及响应时间过长等现象。用户普遍反映校园网网速慢，希望提高网络访问速度的要求越来越强烈。可以说，网络访问速度已经成为影响高校数字化建设的一项重要指标。

从整体上看，校园网用户得到的响应慢是由以下几个因素造成的：

（１）网站服务器的延时

当某个服务器收到多个并发HTTP请求时，会产生排队延时。由于响应一个HTTP请求，往往需要多次访问本地硬盘，所以即使是一台负载并不大的服务器，也可能产生几十或几百微秒的延时。

（２）由路由器、网关、防火墙引起的延时

通常在客户端和服务器之间的路径上会存在多个网络设备，如路由器、网关、防火墙等。它们对经过的IP包都要做存储/转发的操作，于是会引入排队延时和处理延时。在网络拥堵时，这些设备甚至会丢弃数据包，此时会寄希望于客户端和服务器通过端到端的协议来恢复通信。

（３）不同通信链路上的数据传输速度

在广域网中，从一个网络设备到另一个网络设备间的数据传输速度是决定往返时间的一个重要因素。但基本带宽所起的作用并不像人们想象的那么重要，一项测试表明，当网站采用T3速率接入Internet时，也仅有2%的网页或对象能以64kbps的速度提供给客户端。这显然表明，带宽在网络性能上不是最关键的因素。

（４）互联网上新业务发展带来的挑战

随着宽带平台的建设完成与互联网的发展，互联网上的新业务层出不穷，其中开展最好的主要有互动游戏与视频服务。网络游戏的运营不会对校园网络产生太大的影响。而视频服务作为目前校园网的主要业务之一，基于流媒体协议，具有时序性、连续性、低延时性的特点，同时在网络上传输的数据量较大，校园网络的延时往往会影响用户的访问质量。

2.网络缓存解决的问题

高校校园网正以迅猛的速度发展，在全国高校中，99%以上的高校有自己的Web地址，80%以上的高校已实现了校园网，并在公用Internet上存放图文并茂的数据。在未来的几年里，校园网用户数量将进一步增长。Web访问需求不可控制的增长将导致人们为满足带宽需求付出巨大的努力。

Web的流量是惊人的，但其中绝大部分是冗余的，即一个位置上的多个用户要访问大量相同的内容，这意味着在广域网上日复一日地传输大量相同的内容。消除这些大量的重复传输，就可以大大降低通信成本，从而为校园网管理部门和用户节约大量的费用。Web缓存实现了Web内容的本地存储，为校园网用户的访问提供了快捷的服务，而不用在广域网上重复传递访问请求和结果。

网络缓存技术正是基于这样一个事实：校园网用户访问Internet的数据中，有很大一部分是重复的。通过使用网络缓存技术，可以在缓存设备中缓存用户访问过的对象，这样对相同对象的访问就无需再占用服务器处理能力或者主干的出口带宽。同时，由于校园网用户对服务器的请求可以由校内的缓存设备立即响应，因此可以极大地提高校园网用户访问的响应速度，减少互联网延时对校园网用户的影响。

二、用户需求

高校校园网用户在使用中国教育和科研计算机网（CERNET，以下简称教育网）的过程中，发现访问网站页面速度比较慢。这主要是由于教育网的出口在清华大学，校园网用户访问网站页面时需要绕到清华大学出口，用户的数据包绕经多台网络设备，每台设备都需要对IP包进行排队转发，造成了较大的网络延迟。为了减少IP包在网络中的延迟时间，提高用户打开网页的速度，各高校校园网管理者希望通过网络缓存系统解决目前的问题。

各高校由于没有自身的Internet网络出口，为了向其用户提供上网服务，需要使用教育网的线路。教育网与其他网络运营商之间的互联互通会引起网络的较大时延，直接导致用户的访问效果不佳，而更为重要的是：对于国际流量各高校需要按照网络流量向教育网支付相关的费用。通过建立网络缓存系统，能够有效地节约各高校的国际访问流量，降低系统运行费用，同时改善用户的访问效果。

1.未部署网络缓存系统前的网络拓扑结构

我校未部署网络缓存系统前的网络拓扑结构如图1所示。

我校的校园网网络采用双核心结构，通过在两个校区设置的核心交换机来承载全校的数据流量，并通过各自连接的一条千兆光纤接入教育网。核心节点之间采用双链路连接，两个核心之间互为冗余。校内各楼宇通过交换机分别连接两个核心节点，流量在两条链路上实现负载分担和冗余。

2.缓存系统建设要求

缓存系统的建设既要符合对当前系统应用的考虑，又要面向未来数字化校园发展的需求。其建设原则主要有以下几点：

（１）实用性和先进性

采用成熟的技术满足当前的业务需求，采用先进的网络技术以适应更高的数据、多媒体信息的传输需要，整个系统在一段时期内能保持技术的先进，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。

（２）灵活性与可扩展性

随着业务量的发展，能够通过对缓存设备的扩容、分散部署，扩大网络容量，提高网络各层次节点的功能。缓存系统应具备支持多种通信媒体的能力，提供技术升级、设备更新的灵活性，从而适应数据业务的迅速发展。

（３）可管理性

采用智能化、可管理的缓存设备，能够实现监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载，可以迅速确定网络故障等。

本期工程主要是对校内用户进行Web加速，需要在校园网出口处布置网络缓存（Cache）设备。Cache设备的部署采用透明代理的方式，即Cache设备对用户是透明的，避免用户端改动配置。考虑到用户需求增长得很快，为了满足今后的扩容及Cache资源的最大化利用，布置Cache设备时需要考虑到流量在多台Cache设备间的负载均衡及灵活方便地增加Cache设备数量。

三、方案建议与实施

在当前的网络结构中，推荐采用四层交换设备部署网络缓存系统。该方式是在校园网的出口处外挂四层交换机。通过核心路由器和四层交换机配合完成用户数据的重定向，四层交换机实现对Cache设备的负载均衡和健康检测。

1.方案部署结构

部署网络缓存系统后的网络拓扑结构如图2所示。

如图2所示，在本方案中两台核心交换机各采用一条链路连接到一台四层交换机，该四层交换机再通过以太网接口下连Cache设备。四层交换机可以布置在核心机房，通过光纤同时连接到两台核心交换机上。

在核心交换机上配置策略路由，将端口号是80（HTTP）、21（FTP）、554（RTSP）、1755（MMS）的数据包转发到四层交换机上。四层交换机对Cache设备进行健康检测，并将两台核心交换机转发来的数据包在多台Cache设备上进行负载均衡。

2.数据访问流程

下面，我们以核心交换机1为例，说明校园网用户进行HTTP数据访问的具体流程：

（１）校内用户的HTTP请求到达核心交换机1后，其按照在连接校内用户的端口上所作的基于TCP 80端口的策略路由，将用户请求重定向到四层交换机；

（２）四层交换机根据数据包的目的地址，把HTTP请求重定向到某台Cache设备中；

（３）如果Cache设备中已经存储了用户请求的相关内容，Cache设备将直接响应用户请求，Cache通过四层交换机与核心交换机1的互连端口将回应数据包转发到核心交换机1，由核心交换机1将数据转发到用户端；

（４）如果Cache设备中没有保存用户所请求的内容，Cache会代替用户向Web服务器发起HTTP请求，数据包通过四层交换机转发到核心交换机1，再由核心交换机1发送到Web服务器上获取相关数据，并返回到Cache设备保留备份。同时Cache利用保存的内容响应用户的请求。

如果某台Cache设备发生了宕机，会被四层交换机的健康检测及时发现。宕机的Cache设备将不会再被分发数据包，四层交换机会将后继的数据包转发到其他可用的Cache设备上。如果所有的Cache设备都宕机了，四层交换机会把核心交换机1转发来的用户请求再转发回核心交换机1，核心交换机1再把请求发送到Web服务器，由Web服务器直接响应用户请求。这样就避免了由于Cache设备不可用造成的用户Web服务中断。

另外，四层交换机还可以根据Cache设备的性能，在Cache设备间按比例分布流量，实现每台Cache设备资源的最大化利用。对于今后的扩容，管理员可以方便地将新的Cache设备挂接到四层交换机下，稍做配置即可实现容量的扩容。

核心交换机1也有一定的健康检测功能，可以对四层交换机进行健康检测。若连接四层交换机的链路断掉或交换机宕机，都可以被核心交换机1检测到，并取消向四层交换机路由的重定向，数据包被直接转发到Web服务器，从而保证了用户可以正常上网。

核心交换机1的路由重定向可以根据TCP端口进行转发，并能限定数据包源IP地址、目的IP地址和进出路由器方向。根据这些特性，我们在核心交换机1上只对校园网内部节点的用户进入核心交换机1的数据包进行路由重定向（如根据源IP地址）。来自校园网外、Cache设备、其它地点和流出核心交换机1的数据包，核心交换机1不进行路由重定向，因此不会形成数据环路。

3.优化的流量

Cache设备接入到我校的校园网后，优化了带宽的流量有以下几种：HTTP、FTP、Streaming（RTSP、MMS）。

根据部署前后所做的对比测试，对HTTP流量，达到30%的带宽节省效果，通过策略对一些Web对象进行优化后，最高可达40%以上的带宽节省效果。

对FTP流量，所有匿名FTP的访问，Cache设备都能对其进行缓存，具体节省带宽的大小取决于当前校园网网络中FTP流量的总量。增加Cache设备对FTP Data通道的流量进行缓存，时间稍长后，节省的带宽将有明显改善。

RTSP、MMS直播/点播流量在校园网呈上升趋势，仅CCTV就有11个网上频道有直播和点播。例如：在进行十七大网上直播的高峰时段，CCTV在我校网络缓存设备节点上650Mbps的直播流量中，服务器端流量仅不到10Mbps；没有直播时，该节点上点播流量达155Mbps，服务器端流量仅不到5Mbps。

RTSP、MMS流媒体流量的带宽节省取决于实际的流量总量。但从比例上讲，视频点播（静态流媒体文件）业务经过一段时间运行后，带宽节省率应在该项总量的60%左右，直播业务带宽节省率应该在该项总量的90%左右。

这里需要说明的是，PPLive/QQLive/PPStream的播放虽然基于WMS（Windows Media Services），但其采用P2P方式获取数据，且没有使用RTSP或MMS来建立Client与Server之间的控制通道，因此Cache设备无法对这些流量进行标准流媒体的分流（Streaming Splitting）。

四、结束语

通过网络缓存系统的部署，有效地优化了我校校园网几种主要业务的网络带宽，减少了校园网出口的流量，节省了网络运营开销，成功地改善了我校校园网网络拥塞的状况，得到了广大校园网用户的认可。

参考文献：

[1]郭琳,李欣,陈志军,苏群,程懋泰,赵宇明.网络缓存技术[J].计算机系统应用,2002 (8).

[2]乐德广,郭东辉,吴伯僖. 网络缓存技术及应用的研究[J].计算机系统应用, 2003 (5).

[3]黄慧,李建华. 网络缓存性能的研究[J].信息安全与通信保密,2004(11).

[4]王昭,郭成城,晏蒲柳.一个面向站点的Web缓存系统[J].计算机工程, 2005 (7).

[5]赵玉伟.WWW中缓存机制的应用研究[D].武汉:武汉理工大学,2006.

校园网安全访问控制体系的构建 篇3

校园网的安全是网络管理员面临的最为迫切的问题,由于各种因素导致的校园网数据丢失、被修改或系统瘫痪时有发生。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定高效地运转,发挥其应有的作用,成为各学校越来越重视的问题。

1 校园网拓扑图

构建一个安全的访问控制体系,需要对校园网架构有充分的认识和了解,分析各种各样存在的问题或是可能出现的问题,以便迅速找到解决问题的途径和方法。

从校园网络的典型拓扑来了解架构,如图1所示。

从拓扑图可以看出将整个网络细分为桌面应用区、交换区、服务群区、路由区、广域网区等,每个部分发挥着不同的作用,这样区分的好处就是方便管理。例如服务器区块主要针对的是各种服务器的安全性、稳定性等。当然不同的校园网略有区别,虽然网络结构看上去比较复杂,实质上都离不开网络的模型,构建一个安全的访问控制体系需要将各个部分的安全威胁降到最低。

2 网络的层次模型

现代校园网基本上是基于TCP/IP协议作为模型。TCP/IP的模型从下向上各层名称依次是:网络接口层(物理层、数据链路层)、网络互连层、传输层、应用层。

3 校园网面临的安全威胁

了解了常用的校园网攻击手段,才可有的放矢。而且随着网络技术的发展,新的攻击手段也是层出不穷,在这里介绍一些常见的校园网的安全隐患,以便管理员及时查漏补缺。

3.1 物理层

保证计算机信息系统各种设备的物理安全是整个计算机系统安全的前提。最底层安全最薄弱,一旦受到威胁和破坏,那么在此层之上的其他网络层次都将受到影响,它是网络安全的基础。

物理层主要考虑的是线路的安全、物理设备的安全、机房的安全等。

3.2 数据链路层

数据链路层对应的网络设备主要是交换机,而且要防范校园网内部的整体安全,最好的方式是在交换机上进行控制。

(1) MAC 地址欺骗

将合法的MAC 地址修改成不存在的MAC 地址或其他计算机的MAC 地址,从而隐藏自己真实的MAC,来达到一些不可告人的目的,这就是MAC 地址欺骗。

前段时间非常流利的ARP攻击就是基于这个原理,造成了网络内部数据包的大量拥堵,非常多的用户反映网络很慢,经常掉线,大部分原因就是它所造成。

(2) STP攻击

STP(Spanning Tree Protocle,生成树协议)是交换机的正常运转必不可少的协议,因此也成为被攻击的一个重点。

(3) 接入点缺乏管理

随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取相关的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。

3.3 网络互连层

工作在这一层最主要的设备是路由器和三层交换机,因此大部分的攻击及防御可以在此种设备上完成。

(1) IP地址欺骗、盗用

IP欺骗:盗用合法用户的IP地址,隐藏自己的真正身份。IP欺骗和MAC欺骗相结合,伪装成其他人进行网络访问。

比如常见到的IP地址冲突就很有可能是这种攻击造成的,造成网络中其他主机不能正常上网或是占用大量的资源,影响带宽。

(2) IP扫描攻击

目前发现的扫描攻击有两种:

目的IP地址变化的扫描,称为“scan dest ip attack”。这种扫描最危害网络,消耗网络带宽,增加交换机负担;目的IP地址不存在,却不断地发送大量报文,称为“same des tip attack”。

3.4 传输层

传输层主要是面向连接和非面向连接的攻击。网络需要通信,通信必须要占用某个端口,而传输层主要是进行端到端的通信。

DoS/DDoS(拒绝服务攻击/分布式拒绝服务攻击):它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。

3.5 应用层

该层次的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、FTP等,此外还包括病毒对系统的威胁。

(1) 病毒攻击

通过网络传播的计算机病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。目前最流行的蠕虫病毒,通过电子邮件、网络共享或主动扫描等方式从客户端感染校园网的Web服务器,改变网页的目录以繁衍自身,并通过发送垃圾邮件和扫描网络,导致网络的“拒绝服务”,严重时会造成网络瘫痪。

(2) 操作系统和应用软件的漏洞

大学网络服务器安装的操作系统大多是Windows NT/Windows 2000,Unix,Linux等,这些系统安全风险级别不同。Windows NT/Windows 2000的普遍性和可操作性使得它成为最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性易导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等,这些都对原有网络安全构成威胁。

(3) 垃圾邮件

垃圾邮件虽然不像病毒感染一样是一种明显的威胁,但它可以极快地淹没用户的收件箱,这就使得用户难于查看合法的电子邮件。垃圾邮件问题已经相当严重,以至于用户会放弃某个由垃圾邮件摧毁的电子邮件账户。垃圾邮件还是钓鱼者和病毒制造者喜欢的传播媒介。

(4) 内部隐患

由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

4 校园网的安全防御

针对前面提到的安全威胁,寻找与制定好的安全手段,提升校园网的安全性。

4.1 物理层

为了最大限度降低安全风险,提高意外情况下的恢复能力,需要完善规范的网络管理制度,而且随着环境的变化做相应的整改,以适应网络发展的需要。

4.2 数据链路层

在交换机上划分VLAN,做好各种安全配置。如果可能,可将MAC地址与端口绑定,可以有效避免或是减少ARP病毒的攻击及MAC地址欺骗等。

4.3 网络互联层

在路由器配置各种安全策略,如ACL一类,现在很多网络在与外网相连的接口上启用NAT一类的技术,也可起到安全的效果。禁PING,TRACERT之类的命令或HTTP服务等。

4.4 传输层

安全套接层(Secure Sockets Layer,SSL)及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

4.5 应用层

(1) Windows自动更新服务

下载Windows操作系统安全和稳定性补丁,在校园网上搭建一个专门的补丁服务器。Window系统补丁本地更新,不产生国际流量和相应的流量费用,校园网用户享受免费的、高质量的Window系统补丁更新服务。

(2) 网络防病毒系统

Symantec等防病毒系统是现在校园网或是企业网络中比较常见的,使用户桌面计算机安全得到保障。

(3) 邮件服务器

校园网邮件服务器安装邮件网关,可以有效抵抗邮件攻击,防垃圾邮件,过滤病毒和非法内容邮件等。

(4) 服务监控

实时了解服务器主机工作是否正常,实时了解关键服务是否运行正常,关键服务使用情况统计,监控WWW服务、FTP服务,及前面的补丁服务器、邮件服务器等。

(5) 身份验证

身份验证技术用于判断对象身份的真实性,是校园网上信息安全的第一道屏障。除校园卡外,校园网上的身份验证技术主要是口令机制:如各种开机口令、登陆口令、共享权限口令等。对这些口令的保护除建立严格的保密以外,口令的设置方法也非常重要。

尽管Internet网络上存在众多口令攻击器,可能将口令破译出来,但是一个合理的口令机制可使自己遭受黑客攻击的风险降到一定限度以内。

(6) 设置防火墙

防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵。

(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。

(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。

(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。

(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。

(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

(6) 入侵检测系统部署IDS(Intrusion Detection System)。

入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据。

(7) 用户管理

结合IP网关技术,避免一部分网络攻击,对访问外网做到严格审查。

(8) 网络管理

网络流量监测系统能直观地显示网络健康状况、实施预警,实现定制的网络拓扑图,与已有的流量监控系统无缝集成,并将Top N主机/端口排名等,还有相应的在线用户统计、超大流量IP报警、用户IP日流量统计。

(9) 安全管理

“三分技术,七分管理”,安全管理是保证网络安全的基础, 安全技术是配合安全管理的辅助措施。建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。

5 结 语

校园网络访问控制体系策略的制定要针对网络的实际情况(被保护信息的价值,被攻击的危险性,可投入的资金等),具体地对各种安全措施进行取舍。可以说,这是在一定条件下的成本和效率的平衡,其目标是使系统的性能比达到一个合理的水平。

摘要：构建完善实用的校园网安全访问控制体系是防止黑客入侵以及网络病毒攻击,保证校园网安全、高效运行的前提和基础。该方案结合TCP/IP模型,从下向上依层次对校园网及其应用系统进行了分析研究,找出可能遇到的各种风险,通过制定身份验证、设置防火墙等有效的相应防御措施,打造出一个安全的校园网架构,有效防止与避免了由于各种原因导致的校园网数据丢失、被修改甚至系统瘫痪等事故的发生。近年来的实践证明,该方案设计合理,能有效满足校园网的安全需求。

关键词：校园网,网络安全,访问控制体系,TCP/IP

参考文献

[1]王湘渝,陈立.基于多层防护的校园网安全体系研究[J].计算机安全,2009(8):73-74,78.

[2]张立朝,于江,苏锦海.一种新的内部网安全传输方案设计与实现[J].现代电子技术,2010,33(5):92-94.

[3]王伟,袁胜忠.校园网安全架构解析[J].中国教育网络,2009(1):75-77.

[4]侯振兴.高校校园网安全性建设浅析[J].内江科技,2008,29(3):86.

[5]牛合利,黄娜娜.浅议校园网安全与防范[J].中国科教创新导刊,2008(5):214-215.

[6]蒋萍.浅谈校园网的建设和管理[J].科技信息,2009(18):186.

[7]吴婷.高校校园网的安全与管理维护[J].中国新技术新产品,2009(15):239.

[8]伍光喜.中小型校园网的安全解决方案[J].中国培训,2010(2):53-54.

[9]赵耀,孙晋,何晓燕.高校校园网安全问题分析及整体解决体系的研究[J].华北煤炭医学院学报2009,11(4):597-598.

构建安全防护网络 维护校园安全 篇4

一、高度重视，勤宣传

我深知安全工作在学校整个工作中有着举足轻重的作用，因此特别重视。如果一所学校发生一起重、特大安全事故的话，那就要耗费大量的物力、财力、人力，秩序混乱，人心惶惶。校誉扫地，质量何提？可以说，一脉不和，周身不遂。

二、安全隐患善观察

安全事故虽发生在意料之外，但却在我们防范之中。只要我们勤观察、善观察，防患未然、防微杜渐，是能够避免一些不必要的安全事故发生的。我们由于刚刚搬入楼房，所以首先进行了安全演习。加强对防止践踏的安全教育。风闻学生有打架斗殴现象，立即与班主任联系。学生爱在爬杆、单杠、双杠上嬉戏，立即召开学生大会，进行安全知识讲座。只有这样，及时发现问题，解决问题，防患未然，安全工作才会事半功倍。对于不能排除的安全隐患及时上报。

三、伸张正义树尊严

平时我们也难免会遇到一些纠纷的解决、摩擦的平息，这就需要做大量的工作，既要大事化小、小事化了，又要使雙方较为满意，同时也要维护学校的尊严和声誉。这的确是一道难题。解决问题，需要讲求实事求是，不偏不依。公开、公正、无私。发现问题，及时解决。但对于社会上的不三不四的人，故意寻衅滋事者，为维护学校正常的教学秩序和声誉、尊严，一身正气，大义凛然，绝不容许校外人员在校内混闹胡闹。为学校稳定的秩序、正常的发展，做出应作的贡献。

四、形成校园安全管理社会网络

校园安全说到底是一个社会、学校、家庭的系统工程。校园安全工作当作常规工作来抓，不能只靠一两次突击检查、出现问题靠责任追究弥补；要像呵护自己的孩子一样关心爱护我们的下一代，保障校园安全，还需要法律来护航。国家应尽早制定校园安全法，使校园安全管理有执法依据和执法队伍，走上依法治校的轨道。

五、加强校园内部安全管理

1建立责任机制，切实实行校园安全一把手负责制。作为一校之长，校长首当其冲的责任就是保障学生的生命安全。把校园工作真正纳入学校工作议事日程，分管领导要集中精力抓，切实负起责任。安全无小事，具体工作要从细处着手，细微处见管理。

2校园安全管理是一个系统工程，关键要发挥学校条条块块的管理功能和每一个教职工的作用，要分解管理的任务和责任，任务和责任要覆盖校园安全的方方面面，形成事事有人管、人人有事管的局面。每个部门和个人带着明确的任务和责任去工作总是会事半功倍的，其中校领导的检查和督促又是工作完成好坏的决定性因素。

3是把安全教育与教师评优、文明班评比、教师师德考核等结合起来，强化教师对安全工作的责任感。在安全制度落实上突出一个“严”字，即，严格要求，严格责任，严格考核。在制度落实、明确责任的基础上，达到长效管理，着重采取“点”、“面”结合和静态与动态结合的两种考核方法。工作实施上狠抓一个“实”字，即，工作安排讲实在，实施操作求实效，工作结果看实绩。使之全校上下同心协力，拧成一股绳，全力做好安全教育工作，确保做到安全工作万无一失。

构建安全的校园网系统 篇5

一、中职学校校园网的安全现状

1. 来自Internet的威胁

校园网接入Internet以后, 用户通过校园网进入Internet。校园网与Internet相连, 教师和学生在享受Internet方便快捷的同时, 也面临着来自Internet的各种威胁。如在出现各种不良网站链接时, 学生会不自觉的去点击;另外, 用户经常会遇到需要安装各种不同的软件, 这时他们就会选择到网站上去下载并安装, 这时电脑就有可能中病毒, 存在安全隐患;还有收发电子邮件、接收QQ里好友发送的各种信息都有可能使电脑存在安全隐患。

2. 来自校园网内部的威胁

中职学校校园网内部也存在很大的安全隐患, 主要来自两个方面。一方面中职学生有很大一部分比较熟悉网络操作并对网络攻击及黑客一类的东西比较感兴趣, 一有机会他们就会在校园网内部来尝试这些所谓的高水平的操作, 以显示在计算机方面的“聪明才智”。另一方面校园网内部的管理人员有可能会无意中把内部网络结构、管理员用户名及口令以等一些重要信息传播出去有会带来信息的泄漏。因此来自内部的安全威胁也很难应付。

3. 来自各种操作系统以及应用软件自身的漏洞的威胁

中职学校校园网的用户群比较大, 不管使用的是哪一种操作系统, 都存在着安全隐患。因为目前的操作系统无论是Windows系列的还是UNIX, 其开发厂商都必然留有“后门”, 而且系统本身也存在安全漏洞。这些“后门”或安全漏洞都将使电脑存在重大安全隐患。操作系统如果没有采用相应的安全配置, 将会是漏洞百出, 掌握一般黑客技术的人都可能轻易得手。而且随着校园内计算机应用的大范围普及, 接入校园网节点增多, 很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

4. 来自各种盗版资源的威胁

很多用户由于缺乏版权意识, 他们在需要安装操作系统或某个应用软件的时候经常采用上网下载的方式。一般来说, 现在计算机上所需要的操作系统软件和应用软件都可以在网络上找到免费下载的资源。这就使得盗版操作系统、盗版应用软件、影视资源等在中职学校校园网中广泛使用, 这些盗版资源的传播一方面占用了大量的网络带宽, 另一方面也给网络安全带来了一定的隐患。盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面从网络上随意下载的软件中可能隐藏木马、后门等恶意代码, 许多系统因此被攻击者侵入和利用。

针对目前中等职业学校校园网存在的各种安全隐患, 采用积极有效的措施构建完善、健全的校园网网络安全体系显得十分的重要和迫切。

二、构建完善的网络安全体系

1. 安装杀毒软件和定时升级病毒库, 降低网络病毒的危害

网络病毒是通过网络进行传播的, 它比一般的病毒传染能力更强、破坏力更强。它一般通过电子邮件的附件、免费下载程序、QQ、文件共享等方式进行传播。为了有效的防范网络病毒的危害, 用户首先需要的就是安装正版的杀毒软件并进行及时的更新和升级。另外还需要针对网络病毒的传播特点做好相对应的防范。对于电子邮件的附件, 在打开邮件之前对附件进行预扫描, 确定安全以后才能打开, 而对于一些扩展名为EXE、VBS、SHS和PIF之类的程序文件, 千万不要随便去打开并运行。且不能转发。有些网络病毒会通过已经打开的系统漏洞攻击Web服务器。所以需要特别注意微软网站提供的补丁, 很多网络病毒可以通过下载和安装补丁文件或安装升级版本来消除阻止它们。但是要注意最好从信任度高的网站下载补丁。

2. 绑定IP和MAC地址, 防止非法用户接入

校园网可能存在着IP、MAC地址被盗用的情况。如果校园网采用静态IP地址方案, 而缺乏有效的IP、MAC地址管理手段, 用户可以随意的更改IP地址和MAC地址。更改IP、MAC地址后, 会引起多方冲突。大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源。对此可以采用将IP地址和MAC地址绑定的方法以防止IP、MAC地址的被盗用而引起网络不能正常使用的问题。另外还可以通过对每一个ARP报文进行深度的检测, 这样可有效防止安全端口上的ARP欺骗, 防止非法信息点冒充网络关键设备的IP。还可以通过部署IP、MAC、端口绑定和IP+MAC绑定, 并实现端口反查功能, 追查源IP、MAC访问, 追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击, 进一步增强网络的安全性。

3. 采取网络监控手段, 实时监控用户上网行为

为了能使校园网能够正常的运行就要能准确的定位到用户。中职学校学生计算机的操作能力相对都比较强, 而对于一些非法的活动总有想去尝试的想法, 如果校园网不能准确定位到用户的话, 有些学生会在网络中肆无忌弹进行一些非法的活动, 如果相应的部门要查的时候就不能很好的找到相应的人。采取网络监控手段, 实时监控用户上网行为也可以对学生进行一定的制约。

4. 通过设置用户分级访问权限, 实现用户网络权限的控制

在校园网中, 不同用户的访问权限应该是不一样的, 因此需要对用户网络权限进行严格的控制。对于每一个需要访问网络的用户, 我们需要对其身份进行验证, 身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间, 通过以上信息的绑定, 可以指定用户的身份及个人信息被盗用。也能在需要时快速定位到个人。只有经过网络中心授权的用户才能够访问校园网, 防止非法用户的非法接入, 这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。

5. 采用多种防护方法, 有效屏蔽网络攻击

由于接入到Internet中, 校园网时刻面临着来自各方面的网络攻击。常见的网络攻击有ARP攻击、DOS攻击等, 这些攻击的存在, 会扰乱网络的正常运行, 降低了校园网的效率。针对这种ARP攻击或更严重ARP攻击均可采用“双向绑定”的方法来轻松应对。DOS攻击则是从发出大量网络包, 占用内网带宽或是路由器运算能力来进行攻击, 针对这种网络攻击, 则可以采用“动态智能带宽管理”以来防范。

总之, 中等职业学校的校园网安全隐患无时不在、无处不有, 网络病毒的种类和网络攻击的手段层出不穷。所以, 对于校园网中的每一个用户来说树立网络安全防范意识、提高网络安全防范技能非常重要。同时还要杜绝各种对校园网安全有害的网络行为, 做好各方面的防范工作, 以保证校园网能为教育教学工作提供更为有利、可靠的服务。

摘要：校园网已成为现代教育中不可缺少的平台。本文主要从目前中职学校校园网的安全现状出发, 分析了校园网存在的各种安全隐患和安全威胁, 结合当前的网络技术, 着重就如何构建更加完善的中职学校校园网安全体系作了初步的探讨。

关键词：中职学校,校园网,安全体系

参考文献

[1]钟甜.中学校园网安全防护体系的设计与实现.《计算机安全》2010年第3期

基于校园网的网络安全体系的构建 篇6

随着Internet的不断发展, 很多高校建设了自己的校园网, 通过校园网提供的良好网络环境, 可以实现信息共享, 进行网上教学等。但各种病毒也在网络上不停的泛滥, 各种无组织性的黑客活动使得网络安全变的越来越复杂, 网上信息的安全和保密成为一个至关重要的问题。因此需要建立一套完善的防御体系, 保证校园网网络的安全。

1. 校园网的安全问题

在校园网内, 常见的安全问题主要有如下几种类型:

(1) 拒绝服务攻击:这是一种严重的网络攻击形式, 能够拒绝用户的正常访问, 在这种典型的攻击下, 会使网络带宽资源耗尽, 导致网络资源无法访问或影响正常用户的使用。

(2) 端口漏洞攻击:这种攻击通过扫描系统、网络应用层的不同端口, 找出某些易受攻击的漏洞, 通过这些漏洞, 攻击者可以发动其他形式的攻击。

(3) IP地址欺骗:攻击者可以修改自己主机的IP地址, 冒充某个可信节点的IP地址, 对校园网中的服务或Intranet发起攻击。

(4) ARP欺骗:主要通过工具或病毒发起攻击, 导致客户端计算机不能正常上网, 对校园网造成很大的破坏。

(5) 计算机网络病毒:新一代病毒从互联网进入, 主要通过邮件、网页浏览、网络服务等网络途径传播, 传播速度极快、发生频度也更高。对网络的破坏程度大, 往往会导致网络资源耗尽, 使网络无法正常访问。

(6) 应用系统众多:校园网需要提供给教职工全面的校园网应用服务, 例如WEB, EMAIL, DATABASE, FTP等, 校园网内的服务器数量多, 分布广, 提供的各种应用服务种类复杂, 内容繁多, 存在的安全漏洞和隐患相应较多, 也容易被攻击者利用。

2. 网络安全体系的构建

2.1 网络访问控制

(1) 防火墙的建立

在建立访问控制过程中, 防火墙作为第一道安全防线, 起着非常重要的作用。防火墙是一种综合技术, 涉及到计算机网络技术、密码技术、安全技术、软件技术、等多方面。它通常是一种软件和硬件的组合体, 用于加强网络间的访问控制。

在防火墙上建立网络访问控制的过程其实就是建立策略, 一个可靠安全的防火墙是非常关键的一步。通过部署Netscreen2000千兆防火墙, 可以使校园网受攻击的可能性降低到最小限度, 可以限定被授权的外部主机可以访问内部网络的有限IP地址, 保证外部网络只能访问内部网络中的必要资源, 与业务无关的操作将被拒绝。

所有访问都要经过防火墙, 所以防火墙可以监视外部网络对内部网络的访问活动, 并记录详细的日志信息, 通过分析可以得出可疑的攻击行为。同时防火墙可以进行地址转换工作, 使外部网络用户不能看到内部网络的结构, 使外部攻击者失去目标。

建立DMZ可以有效地将内部网络或外部网络与要保护的服务器群分离开来, 为网络层提供更深一层的防御。通过防火墙上的策略和访问控制可以限制Internet或校园网通过DMZ的全部通信数据。DMZ的主要作用是减少为不信任客户提供服务时引发的危险, DMZ可以为服务器提供网络级的保护。在校园网内通常把一些敏感的数据和服务器放置在DMZ中, 校园内部的用户访问园区内的服务也必须通过防火墙来进行访问。

(2) 在交换机上建立访问控制列表

在校园网内部, 还可以在三层交换机上建立访问控制列表进行相应端口和IP的限制。校园网一般是通过划分不同的VLAN信息进行管理。将服务器群和其他信息分开, 单独划分一个VLAN。VLAN (Virtual Local Area Network) 的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段, VLAN内部的广播和单播流量都不会转发到其他VLAN中, 有助于控制流量、简化网络管理、提高网络的安全性。

在不同VLAN之间建立相应的访问控制列表, 管理内部不同管理单元之间的信息互访。通过访问控制列表, 可以限定端口访问或者IP访问, 增加了网络中不同部门之间的安全性。一个简单的访问控制列表如下所示, 所使用的三层交换机为Cisco的6509系列。

access-list 101 deny ip host 211.30.196.200 any

access-list 101 deny tcp any 206.121.76.0 0.0.0.255 eq 445

access-list 101 deny tcp any any eq 3389

access-list 101 permit tcp any any

access-list 101 permit ip any any

如果校园网骨干采用的是路由模式, 需要在区域汇聚交换机中将访问控制列表应用在不同的VLAN之间, 这样可以将安全防护从核心层下移到各区域中, 可以得到更好的效果。

2.2 入侵检测技术 (IDS)

因为入侵者可能寻找到防火墙背后敞开的后门或入侵者可能就在防火墙内, 并且由于性能的限制, 防火墙通常不能提供实时的入侵检测能力。入侵检测系统是安全技术的核心, 是防火墙的重要补充, 使用入侵检测系统 (IDS) 可以做到对网络边界点的数据进行实时的检测, 对访问服务器的数据流进行检测, 有效的发现拒绝服务攻击 (DDos) 等各种攻击行为, 防止入侵者的破坏。同时可以查找非法用户和合法用户的越权操作, 对用户的非正常活动进行统计分析, 发现入侵行为的规律, 实时的对检测到的入侵行为进行报警、阻断。

入侵检测系统能够对网络中的信息进行快速分析或在主机上对用户行为进行审计分析, 通过集中控制台来管理、监测。它通过实时侦听网络数据流, 寻找网络违规模式和未授权的网络访问行为, 根据系统安全策略作出反应, 包括实时报警、事件登录或执行用户自定义的安全策略, 提供实时的入侵检测记录证据用于跟踪和恢复、断开网络连接等。入侵检测系统能够主动地去了解入侵者的行为及目的, 及早发现来自外部、内部和主机的可疑信息或攻击信号, 在系统受到危害前发出警告, 并将警告信息记录下来并作出一定的响应。入侵检测系统能够和防火墙进行联动, 一旦发现外部发起的攻击行为, 则向防火墙发送通知报文, 由防火墙来阻断连接, 实现动态的安全体系。

如今, 很多防火墙本身具有IDS模块, 例如Juniper公司的Netscreen2000系列。通过部署防火墙就可以提供很好的安全审计和防护作用。

2.3 用户认证和安全审计

在各个学校的校园网中, 网络覆盖区域广, 涵盖了教学办公区、家属区以及学生宿舍等。

同时接入的用户众多, 而且为了方便管理, 基本上采用的实名管理。在接入的用户中, 有收费和免费用户区分。在多种机制存在的校园网中, 常常会出现盗用IP, IP欺骗等问题。通过有效的用户认证系统, 可以避免IP盗用和欺骗现象, 同时通过网络监控模块发现异常流量的客户机并强行令其下线, 在最快时间内发现源头并处理。

在学生宿舍区域, 采用802.1X协议认证方式, 结合终端交换机进行认证, 这样可以最大程度的对IP盗用、病毒、APR欺骗等进行防护。而在办公区域, 则可以采用Dr.com认证网关模式, 通过Web认证方式进行认证, 这样可以节省资金, 也能够达到安全防护的作用。

对于整个安全防护体系来讲, 安全审计是非常重要的一环。安全审计是保证系统安全审查能力的重要技术支持因素, 主要是对网络系统中发生的所有网络事件进行审查, 并分析出哪些事件是正常事件, 哪些是安全事件。在安全事件中根据威胁程度的不同再进行细分, 并提供解决建议, 最后生成一个审计报表提供给网络安全管理员。这需要管理员利用校园网络中的防火墙、IDS以及用户认证系统记录的日志进行分析、比对。

通过部署防火墙、访问控制列表、IDS和用户认证, 可以构建出一个相对安全的网络拓扑环境, 如图1所示。

3. 系统防护

系统安全防护共分物理安全加固、网络设备加固、主机加固、PC机加固、防病毒系统、反垃圾邮件系统等。从安全评估和安全策略得出的结果, 采取硬件措施和软件措施, 加固整个网络的安全防护体系。

服务器作为网络结构中的一个重要组成部分, 它自身安装的操作系统、应用系统的缺陷也是需要引起注意的部分。服务器采用的操作系统平台大部分是Linux、Solaris、Windows Server, 这些系统平台早已被发现存在大量的安全隐患, 若没有针对这些隐患作相应的处理, 会带来许多安全问题。除了及时的给系统升级外, 还需要从其他方面进行处理, 例如关闭不需要的端口、严格控制账号、调整目录和文件的权限等。并且定期检查, 根据情况进行相应的调整, 对重要的系统文件进行双机备份和监控。

网络中的垃圾邮件和病毒也是网络中一个重要的安全隐患。针对垃圾邮件, 可以使用Iron Port等反垃圾邮件网关。通过贝叶斯分析、病毒检查、垃圾邮件指纹检查和用户自定义规则等多层过滤, 保护用户免于垃圾邮件及病毒邮件的袭击。

同时病毒很可能会随着垃圾邮件、来路不明的软件或网络进入到个人计算机上, 防火墙没有办法阻止通过正常的端口进入到校园网的病毒, 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样, 需要构建Trend Micro校园网络防病毒系统, 通过集中式的管理, 可以进行全方位、多层次的防毒系统配置, 使网络没有薄弱环节成为病毒入侵的缺口。

校园网中存在着多种重要的应用, 在运行过程中, 需要考虑数据的灾难恢复问题。在资金允许的条件下可以部署网络存储设备, 通过网络进行备份。当发生断电、火灾等各种意外事故, 能够对重要的计算机系统, 采用灾难恢复技术给予保护。

4. 网络安全管理

在确定了网络安全策略方案后, 必须通过规范的管理来实施安全工作, 将安全组织、安全策略和安全技术有机地结合起来, 最终实现安全工作的目标。

网络安全管理应注意以下原则:

(1) 整体考虑, 统一规划。网络安全管理的时候要考虑到所有局部, 从大处着手, 各个部分相互协调, 因为其中最薄弱的部分往往会给整体网络带来致命的问题。所以需要从整个体系来建立网络安全架构, 整体考虑, 全面防护。

(2) 以防为主, 防治结合。网络安全受尽量考虑到各种可能出现的问题而采取相应的措施, 从根源上防治问题的出现, 如若出现问题, 再进行针对性解决。

(3) 集中管理, 重点防护。统一设计安全总体架构, 建立规范、有序的安管理流程, 集中管理各系统的安全问题, 避免安全"孤岛"的出现。

(4) 三分设备, 七分管理。管理是网络安全的核心, 技术是安全管理的保征。没有切实可行的安全保障体系和制度, 网络安全就变成空谈。除了建立起一套严格的安全管理制度外, 还必须培养一支具有安全管理意识的网络管理队伍。

5. 结束语

在校园网中利用多种方式相结合可以提高提高网络的安全和可靠性, 达到安全防御的效果。在具体的实施过程中由于资金投入有限等各方面因素, 全部实施难度较大, 只能逐步实现, 将各种技术综合部署, 形成互动的整体。

摘要：网络安全是互联网领域中非常重要的问题, 文中对校园网中存在的安全隐患作了一些有益的探讨, 并提供了一个构建防御体系的方法。

关键词：网络安全,防火墙,DMZ,入侵检测

参考文献

[1]. (美) 布兰顿 (Brenton, C.) 著;王军等译.Cisco路由器从入门到精通 (第二版) [M].北京:电子工业出版社, 2003.1.

构建安全的校园网系统 篇7

近年来, 随着我国与世界的联系不断地加强, 我国的科技与经济发展水平获得了快速的提高, 与之相对应地, 校园网络化、教育信息化已经成为现阶段我国教育发展的主要方向。目前在各大高校中校园网已经成为教师与学生在日常教学、生活、管理以及科研等活动中不可或缺的工具与方法, 也在高校的运转中发挥出日益重要的作用。对于各大高校来说, 校园网能否得到畅通、安全以及可靠的运行, 对各大高校日常的学习与生活有着直接的影响。因此, 对校园网络的安全防护体系的构建工作就显得十分重要。在当下, 如何构建出合理的网络安全防护体系是各大高校急需解决的重要问题。

2 校园网络中安全防御体系的构建

随着网络技术的不断发展, 网络中的安全隐患也在不断地增加, 由于各种各样的防毒软件以及防火墙等安全产品都是独立的, 因此, 使用这些软件所建立起来的防护措施会存在一定的漏洞, 从而致使网络极易受到攻击。面对这种情况, 各大高校可以使用智能化、全局化的网络安全体系来取代旧有的安全防护措施。

由于各大院校的技术能力以及机构设置上存在着一定的差异, 每所学校在实际操作过程中所实施的具体安全管理方案也存在一定的区别, 但是校园网的结构特点是大同小异的, 所面临的问题相差也不大, 根据这样的情况, 可以将对于校园网的安全问题分为两方面:一方面主要以与网络安全相关的设备问题为主;另一方面与网络的管理员以及网络的用户为主。网络安全设备主要由防火墙、系统漏洞扫描、流量监测管理、数据备份、入侵检测、防病毒以及认证系统等几个方面构成。在网络的管理员以及网络的用户上, 主要由安全管理平台的日常运营、安全管理体制的构建以及对于用户和管理员的安全意识的培养等几个方面构成。

3 对于校园网络安全体系的具体实施

3.1 在系统层面上的安全

关于系统层面的安全问题, 主要包括网络的硬件系统以及软件系统的安全问题。

关于硬件系统的安全问题主要包括线路、设备以及环境的安全问题。如果想要建立起完备的网络安全管理制度, 就离不开重要的设备, 比如路由器、各种服务器以及主干交换机等, 对于这些设备要尽量实施集中管理, 同时, 还要避免网络设备的通信链路以及硬件实体等受到人为 (破坏或盗窃) 、自然灾害 (雷电或是地震等现象) 以及搭线攻击;在进行建设时要注意, 要对各种通信线路做到尽量深埋、架空或是穿管, 同时对这些线路做好明显的标记, 避免线路受到无意的损坏。在建设线路的时候, 高校的机房或是系统中心要严格按照国家或是本行业中的相关操作规范来进行设计以及施工工作。

对于软件系统来说, 它的安全问题主要涉及到由于相关产品、操作系统以及数据库中带有的安全漏洞对网络造成的威胁。

(1) 面对软件系统中的安全问题可以通过以下技术手段进行解决:

1) 利用网络系统本身自带的更新以及检查机制或是其它的可信任软件, 对网络系统进行定期或是不定期的查缺补漏, 如打补丁或是升级等。

2) 将那些常见的、容易被木马或是病毒攻击的端口关闭, 对最新的病毒资讯及其进展进行密切的关注, 以便及时跟进并更新。

(2) 对于网络安全的设置问题也不可忽视。由于校园网中存在大量的局域网, 根据用户的不同需要, 不同的网络之间会进行相互连接。由于网络之间的互联而出现的问题需要各大高校引起足够的重视, 面对这一问题, 可以从以下几个方面做好相应的工作:

1) 要加强网络边界的控制访问。对于那些存在较大的安全等级差别的边界可以使用防火墙来进行控制, 例如校园外网以及校园内网和Internet之间, 可以利用防火墙对内容进行过滤、对访问进行控制, 从而将需求中所涉及的各种威胁进行有效的解决, 在各个用户终端上也可以安装安全软件产品的个人版。

2) 进行网络规划。如果在同一局域网中存在不同等级的安全区域, 就可以通过对子网进行规划、对VLAN进行划分以及对ACL的设置方法进行控制等对网络进行规划。对学校的办公网络以及学生的机房之间可以划分子网来对网络进行控制, 不许学生机房中的机器访问学校的办公网络。

3) 避免受到内外网的攻击威胁, 管理员可以在每一个安全域中或是多个安全域之间安装IDS (入侵检测系统) , 防止校园网受到来自网络内外的各种攻击。

4) 建设网络防病毒的相关系统。管理员可以在校园网上安装适合的防毒系统, 对服务器与终端中的病毒进行集中的管理、控制以及查杀, 确保校园网不受到病毒的侵害。

5) 对校园网络进行定期的安全性检测, 确保可以实现持续的安全。学校可以组织相关部门定期对校园网络系统进行安全性评估, 如发现安全隐患要及时进行修补, 从而实现校园网络的持续的相对的安全。

3.2 在应用层面上的安全

实现校园网络在应用层面上的安全可以从以下问题入手:

(1) 设置身份认证系统, 校内用户和校外用户所使用的校园网络的资源不尽相同, 对校内用户和校外用户要采取不同的认证手段来对这二者加以认证。只用拥有授权的用户才可以进入校园网络, 这样做可以使校园网络的安全得到有效的保障。

(2) 设置安全审计系统。管理员可以借助日志信息以及认证资料来建立起相关的审计系统, 这样得出的审计结果具有一定的权威性, 还可以通过多种形式的报表将结果进行实时呈报, 使管理员在实际应用过程中可以做到有据可查。

(3) 设置数据备份系统。对于网络安全来说, 备份系统是它可以依靠的最后一道屏障, 如果出现意外, 就可以在最短时间内把丢失的网络信息还原, 从而将损失降到最低。

3.3 在管理层面上的安全

实现校园网在管理层的安全要注意以下问题:

(1) 建立和健全校园网络的安全管理体制。由于校园网络的安全管理工作存在一定的复杂性, 在实际的工作过程中会涉及到各个院系以及部门中的人员与业务, 所以必须要使校园网络的安全管理体制得到建立和健全, 也使管理员在面对各种问题时可以做到有章可循。

(2) 使全员的安全意识得到提高。对于高校校园网的安全工作来说, 培养使用者的安全意识是十分关键的。相关统计结果显示, 68%以上的网络攻击都来自于网络内部, 因此, 高校应加强对于用户以及管理员的管理工作, 使用户和管理员的安全意识得到增强。

4 结束语

高校校园网络的安全问题是比较复杂、系统的问题。在实际操作中, 没有一劳永逸的办法将安全问题完全解决, 我们需要对各种措施和技术进行综合的应用, 为高校师生建立一个可信、安全的网络环境。

摘要：校园网络化、教育信息化已经成为现阶段我国教育发展的主要方向。目前在各大高校中校园网已经成为教师与学生在日常教学、生活、管理以及科研等活动中不可或缺的工具与方法, 也在高校的运转中发挥出日益重要的作用。本文从校园网络中安全防御体系的构建、对于校园网络安全体系的具体实施、在应用层面上的安全以及在管理层面上的安全等问题出发, 对高校校园网安全防御体系的构建与实施进行探究。

关键词：高校校园网,安全防御体系,构建与实施

参考文献

[1]李春霞.高校校园网安全防御体系的构建与实施[D].兰州大学, 2013.

[2]王岩.校园网安全防御体系的构建探析[J].电脑编程技巧与维护, 2014, 16:133-134, 136.

构建校园网安全控制体系 篇8

1 校园网的功能与特点

校园网作为互联网的重要组成部分，是高校信息化进程中最主要的基础设施，担负着学校教学、科研、管理和对外宣传与交流等多种角色，从校园网基础设施建设、管理信息系统开发、网络教学及远程教育应用发展到目前的数字化校园建设，为高校提高办学水平，管理决策水平等方面起到了决定性的作用。

目前一般的校园网络系统都具备如下的功能：

1)建立校园内部INTRANET，具有WWW、E-MAIL、FTP、DNS、VOD、数据库和安全等功能，为校内所有上网用户提供教学、科研、招生、图书等信息服务;

2)对外界实现资源共享和数据交换，使计算机网络成为该校对外交流的重要窗口;

3)办公自动化，建立日常办公、公文管理、多媒体教学与管理系统。

校园网从结构层次看，可以分成核心、汇聚和接入3个层次;从网络的功能组成看包括教学子网、办公子网、宿舍子网、生活服务子网等部分;其接入方式非常多：包括拨号上网、宽带接入、无线上联等，用户类型也很复杂，有学生、教职工以及校内商业机构的办公人员等。

为了能够更好的完成这些功能，也就决定了校园网应具有如下的特点：

1)开放的网络环境。由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面较企业网络来说更宽松一些。在校园网环境下，不可能像企业网络一样实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。这样就会留下一些安全隐患;

2)活跃的用户群。在高校中，学生通常是最活跃的网络用户，而且数量非常庞大，他们对网络新技术充满好奇，敢于尝试。一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏;

3)用户计算机系统无法实施统一管理。高校校园网用户构成较复杂，数量庞大，用户的计算机一般是由自己维护的，由于用户水平参差不齐，一些计算机水平较低的学生和老师无法进行基础的安全防范如更新系统、安装和升级防病毒软件等。另外，用户大多数是使用盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例如留有后门、携带病毒、嵌入有恶意软件等，这些都会影响计算机系统的正常运行。在这些情况下要求统一对所有计算机进行管理需要付出很大的财力、人力、物力，并且实施起来相当困难。分析完上述的特点，也就可以发现正是它有了这样的特点才造成了校园网更容易成为攻击源的主要原因，同时也造成校园网成为最容易攻击的目标。

2 目前校园网所面临的主要安全威胁

在广大教育工作者和学生们享受校园网带来方便的同时，校园网的信息安全问题也日益突出，随着应用的深入，校园网上各种数据急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行。一方面，计算机病毒及黑客攻击手段越来越智能，影响范围越来越广、破坏力也越来越大;另一方面，校园网内部也存在突出的安全隐患，很多学生，特别是理工科学生的计算机技术水平非常高，精力旺盛而且具有强烈的好奇心和实践欲望，他们时常有意无意地破坏校园网系统，干扰校园网安全正常运行，种种因素导致了目前的校园网存在严重的安全隐患。

2.1 网络协议漏洞造成的威胁

TCP/IP协议簇是互联网使用的网络协议，也是多数高校校园网采用的网络协议。TCP/IP协议簇具有开放性和通用性等特点，并且在因特网最初的设计中基本没有考虑安全问题，存在着很大的安全隐患，缺乏强健的安全机制，同时，任何组织或个人都可以研究、分析及使用，因此，TCP/IP协议的任何安全漏洞都可能被利用。主要存在的安全问题有：

1)数据窃听(Packet Sniff);2)源地址欺骗(Source Address Spoofing);3)源路由选择欺骗(Source Routing Spoofing);4)ARP欺骗(Address Resolution Protocol Spoofing);5)鉴别攻击(Authentication Attacks);6)TCP序列号欺骗;7)ICMP攻击(ICMP Attacks);8)拒绝服务((DoS)攻击;9)IP栈攻击(IP Stack Attack)。

2.2 利用软件的漏洞和“后门”进行病毒和恶意攻击

操作系统和应用软件不可能是百分之百的无缺陷和无漏洞，然而，这些缺陷和漏洞恰恰是进行攻击的首选目标。此外，盗版软件也是传播病毒及木马程序的途径之一。另外，软件的“后门”都是软件公司的编程设计人员为了自便而设置的，一般不为外人所知，一旦“后门”洞开，其造成的后果将不堪设想。近几年来，利用漏洞开发的计算机病毒在互联网上泛滥成灾，频频掀起发作狂潮，并且随着网络带宽和计算机数量的增加，病毒的传播速度越来越快。以“求职信”、“红色代码”、“尼姆达”和“2003蠕虫王”为代表的蠕虫病毒，通过Internet在全球范围内迅速蔓延，造成严重的网络灾害。还有通过邮件或资料下载，病毒或木马程序被下载到本地机器上，从而给用户造成不可预期的损失。

2.3 来自校园网外部的安全威胁

校园网与互连网相连每天都会有入侵者试图闯入网络节点很多行政和教学单元的电脑中存有涉及机密的文件。比如学生成绩等。在DoS攻击在互联网上活动猖獗的时候，大部分攻击都是利用校园网的主机进行的。黑客利用这些主机在管理上的松懈来达到发动攻击的目的，同时也隐藏了自己。

2.4 来自校园网内部的安全威胁

来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强，影响更广、威胁更大。美国教育界和企业80%的数据破坏是由防火墙内的人造成的，入侵检测系统或抗病毒软件对此却无能为力。

内部安全危害分为三大类：操作失误、存心捣乱及用户无知。1)操作失误包括用户不经意获得了不应该拥有的权限。新设用户账户、改动账户及进行其他日常维护任务时，管理员偶尔会把管理权限授给不合适的用户。虽然自己没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限并纠正破坏。但基于查询的分析却无法显示谁拥有引发问题的权限，也无法显示是谁授予了这些权限。2)以学生和老师的蓄意破坏为例，可能存在的漏洞包括他们离开学校后设立特洛伊木马以获得访问权，而对用户和用户组权限管理不善常常会导致他们离开后很长时间内仍能访问极重要的内容。3)因学生的无知引起的安全漏洞会造成极为严重的代价。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。

3 校园网安全控制体系

一般来讲，构筑校园网络安全控制体系，要从两方面着手：一是采用一定的技术;二是不断改进管理方法。针对高校的具体情况和上述威胁，作者认为应采取如下的安全策略：1)划分安全子网。目前学校使用的网络交换机一般都具备第三层路由交换的功能，可以通过划分子网和VLAN的方式对局域网内不同子网的访问进行控制，例如教学网与办公网隔离，相互不能访问。目前，三层CrossKey系列交换机大多数型号都支持该功能。

2)对内外网的访问控制，以及内部服务器的保护，可以使用三层SecureKey 3000防火墙系统，防火墙提供动态检测技术，能够对出入的数据进行分析，阻止有攻击行为的活动，保护内部网络和服务器，是重要的网络安全设备，对网络安全起着不可替代的作用。

3)利用漏洞扫描系统，及时发现和修补系统漏洞，并密切注意各种系统安全漏洞的最新警示，及时升级操作系统。

4)利用防火墙提供的应用代理和内容过滤等功能，限制用户对非法资源的访问。

5)建立完善的网络防病毒系统，尤其注意对邮件病毒等网络传播病毒的查杀，对重点的机器和区域重点保护。

6)对应用系统的安全，建立CA证书认证管理系统或其他的身份认证系统，保证用户的合法性。

7)建立安全的网络管理系统，加大网络管理的力度，严格执行安全管理制度，是每一项规定都落实到位，只用这样才能保证整个校园网络的安全性。

针对以上的安全策略，我们可以总结概括出完整的物理层和应用层的校园网络安全控制体系：

3.1 物理层

1)不间断电源要满足主机房8小时的断电运行。

2)主干网络在现有基础上采用“星网+环网”的以太网结构，建立冗余链路。

3)核心交换设备做到双机备份，关键数据进行异地双机备份。

3.2 应用层

1)防火墙支持基于状态检测的报文过滤(ASPF)。基于访问控制列表的包过滤可在网络层和传输层检测数据包，防止非法入侵，ASPF能够检测应用层协议的信息，并对应用的流量进行监控。

2)通过防火墙定制安全区域，实施有效的安全访问控制;入侵检测，多路VPN支持。

3)防火墙日志功能。记录连接的时间、源地址、目的地址、使用的端口和字节数等。

4)防范IP地址欺骗、Dos的检测和防范、SYN Flood、ICMP和UDP FLOOD、地址扫描和端口扫描攻击以及其他各种网络病毒的攻击。

5)实时流量分析。针对用户某一个端口或者网段进行实时流量监控，发现异常流量及时告警。

6)HTTP访问控制。屏蔽非法网站，净化校园网络环境;对大流量访问进行控制，防止不合理的带宽使用。

7)对BT等消耗带宽比较严重的服务予以封堵。

8)SMTP邮件安全。基于主题、内容的垃圾邮件过滤。

9)防病毒体系。在网关、主服务器群、用户端部署防病毒系统，有效控制病毒的传播与危害。

4 结束语

综上所述，网络安全技术在校园网系统中的运用是必须和非常重要的，对广大合法用户而言，INTRANET系统越安全越好，但是我们也必需清楚地认识到，没有绝对安全的网络系统，要保证一个复杂网络系统绝对安全是不可能的。我们能做的是认清网络的脆弱性和潜在威胁，制定出合理的安全管理目标，选择合适的产品，从技术手段、行政管理上采取多种防护措施，协同处理，相互加强，整合出一套完整、可行的校园网系统安全控制体系，最大程度的保护网络，阻止大部分非安全事件的发生，以便校园网能发挥出最大的功效。

参考文献

[1]钟平.浅谈当前高校校园网面临的安全威胁[J].电脑知识与技术,2007(10):76-78.

[2]王东方,苗军民,魏建行.浅谈校园网面临的安全威胁与管理措施[J].网络安全技术与应用,2006(08):56-57.

校园网安全系统的设计与实现 篇9

【关键词】校园网安全，防火墙，防病毒系统，认证和审计，虚拟局域网

【中图分类号】TP393.18【文献标识码】A【文章编号】1672-5158（2013）02-0166-02

一、校园网常见的安全威胁

威胁校园网安全运行的因素很多，主要包含计算机本身的系统漏洞、各类网络攻击和病毒的威胁、内部人员的非授权访问和资源滥用、不良信息泛滥等。其中，来自内、外网络的各类蓄意攻击行为最为普遍，常见的形式有：

1、拒绝服务攻击（DoS）

拒绝服务攻击就是一种发起大量访问请求使目标服务器停止工作甚至崩溃的攻击行为，其具体攻击原理大致如下：第一，通过制造大量的垃圾信息和流量冲击网络，使被攻击服务器网络阻塞从而无法及时接收用户请求并处理；第二，利用服务传输协议漏洞制造大量的非法连接请求不断消耗操作系统资源，让操作系统无法正常处理合法用户的请求；第三，反复发送巨量畸形攻击数据，让服务器的有限资源被大量占据，最终导致服务器挂起甚至不断死机。拒绝服务攻击的具体攻击方式主要包括：S Y N Foold、IP欺骗DoS、Ping of Death、UDP洪水以及电邮炸弹等。

2、利用型攻击

利用型攻击是一种以试图直接控制目标主机为目的的网络攻击行为，其主要通过对目标主机的密码猜测或破解、木马植种以及缓冲区溢出三种方法实现。密码猜测和破解就是攻击者通过猜测或破解的方式非法获取主机网络输入输出系统（NetBIOS）、Telnet以及NFS等系统账号密码，最终获取目标主机控制权。木马种植就是将木马程序安装到目标机器的系统中并激活，从而获取对方账号和密码，最终控制目标主机。缓冲区溢出是指利用目标主机系统本身的漏洞，造成对方运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，取得系统特权，进而进行各种非法操作。

3、信息收集型攻击

信息收集攻击主要是对目标计算机进行的一些信息扫描以及体系结构探测等行为。信息扫描包含对目标的地址和端口扫描、主机存在与否的反响映射以及对目标及其的操作系统结构探测等。信息收集型攻击本身并不会对目标主机造成危害，但其在运用的过程中能获取大量主机信息，能为进一步入侵主机提供很多有效信息，因此很多黑客在进行最终网络攻击前都会运用这种方式，让自身的攻击目标更准确攻击结果更有效。其具体方式有：DNS转换获取主机名及IP、Finger服务、LDAP服务以及Sniffer等。

4、信息欺骗攻击

主要通过利用网络协议中本身的缺陷以及攻击目标的配置漏洞，发送一些伪造的数据信息以达到窃取服务器信息、改变用户或让服务器拒绝服务的目的，主要包括DNS缓存污染以及伪造电邮等两种方式。DNS服务器在与其他服务器进行信息交换时不会身份校验，这种漏洞就使攻击者很容易将错误信息渗入并将用户引向自己主机。网络邮件的发送并不会进行身份认定，很多攻击者谎称用户认识的人或者单位发送邮件给用户，在邮件中附带一些木马病毒，一旦客户运行邮件机器就会中毒，很多账户以及密码信息都会处于攻击者的监控之下。

二、校园网安全解决方案

要解决校园网所面临的常见安全问题，必须在网络系统中的各个环节采取必要的防范措施，使用防范技术，完善管理体系，才能有效保障校园网的安全。

1、应用防火墙技术实现对网络的访问控制

防火墙是最基本的一种网络安全防范技术。它被设置在内部网络和外部网络之间，根据既定的安全策略对流经的数据包进行安全检查和筛选，可有效监控网络之间的通信活动，阻断非授权访问，还可以有效的避免拒绝服务攻击、非法信息刺探和收集、信息欺骗等攻击，保证内部网络的安全。

在校园网的实际应用中，可根据网络拓扑结构和校园网安全的实际需求，在以下区域部署防火墙：校园网内部与外部网络之间；校园网不同区域之间；重要主机和服务器（如WWW服务器、邮件服务器等）的接入层。为了保证网络安全策略的统一，提高网络管理效率，可选择采用分布式防火墙进行统一部署。

要使防火墙充分发挥作用，管理者应根据实际需求，制定合理的安全策略，启用各类防护功能，在允许必要网络通信类型的同时，对其他网络通信严格甄别筛选，从而尽可能保证内部网络的安全运行。

随着技术的发展，防火墙的功能也在不断的扩充和完善，新一代的防火墙在实现传统数据包筛选功能的同时，还增加了VPN、IDS、网络审计等系统的部分功能，从而使得其应用更加灵活和高效。

2、应用入侵检测技术（IDS）保护信息网络和重要主机的安全

防火墙一般只能鉴别相对较简单的网络攻击类型，为了进一步保护校园网的安全，可采用入侵检测技术，对较复杂的网络入侵行为进行检测和阻止。

在校园网的重要网段安装基于网络的入侵检测系统，实时监视网络中传输的各种数据包，对可疑数据包进行特征分析。如果数据包与入侵检测中的某些规则吻合，则入侵检测系统就会及时发出警报或直接切断网络连接。

在校园网重要主机（如WWW服务器、邮件服务器等）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果发现异常行为，入侵检测系统就会及时采取相应措施。

入侵检测系统的灵活运用，可帮助管理员及时发现校园网面临的各种入侵行为，从而避免校园网遭受实质性的破坏和损失。

3、应用分布式网络杀毒系统解决网络病毒入侵问题

为保护校园网主机免受计算机病毒的侵害，建立一个统一、高效的病毒防控机制，需要在校园网上应用基于网络的病毒防控技术。该技术可在网络的各个环节上实现对计算机病毒和防范，包括网关、服务器和用户桌面主机，结合在校园网中设置的中央控制台，可对网络中所有主机进行集中防控配置，并实现对系统进行统一的升级和管理，从而大大提高了整个网络对病毒的防控能力。

4、应用漏洞扫描技术对系统进行安全评估

借助漏洞扫描技术，网络管理者可及时发现校园网潜在的安全隐患，并加以必要的修补，从而减小网络被攻击的可能。漏洞扫描技术可帮助网络管理者准确掌握网络的安全现状，及时发现安全漏洞，并提出具体的解决办法和建议。

具体可在校园网合适位置设立专门的安全分析工作站，定期从各个角度对校园网进行全方位的漏洞分析扫描，找出问题并且给出安全性建议，以便系统管理者及时堵住系统安全漏洞。另外，为避免补丁程序更新不及时或其它意外因素，对重大的漏洞补丁程序，以传统的网络公告方式发布并提供直接下载，可有效地避免恶性安全事件的大范围发生。

5、应用虚拟局域网（VLAN）技术解决敏感资源保护问题

虚拟局域网使网络管理者可根据实际应用需求，把处在同一物理局域网中的不同用户按照某种方法划分到不同的逻辑区域中，就如他们身处不同的物理网络一样。

采用虚拟局域网技术可突破物理网段的限制，灵活建立不同部门或类型的网络，对彼此间的网络通信进行隔离，在提高网络通讯效率的同时，大大提高了网络整体安全性，并简化了网络管理，便于网络的调整和扩展。

通过虚拟局域网技术，可将对安全性要求较高的部门，如财务部门和专业教学和管理部门划分到不同的VLAN中，各部门内部所有的服务器和用户主机都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换方式实现，而VLAN间的连接则采用路由器或三层交换机实现，并可通过访问控制列表（ACL）对网间连接进行监控，从而提升整个校园网安全性能。

为了解决地址盗用和基于MAC地址的攻击问题，可以采用IP地址、MAC地址及交换机端口等多重绑定方法，最大限度保证VLAN网络的安全。

6、应用双机热备份技术解决备份与恢复问题

对于整个网络来说，无论单独一台网络服务器如何可靠，依然存在单点故障，只要它有失效的可能性，那么该网络仍然是一个不可靠的网络。要提高网络的可靠性，不但要提高单台服务器的可靠性，还应采用服务器容错技术，来消除网络至少是主干网络上的单点故障。

校园网中心服务器存储着大量教学课件、学生数据、电子图书和学校办公信息等重要数据，对内提供数据库、WEB、Email等综合办公教学服务，对外发布公开信息服务，因而其安全稳定性要得到确保。可采用双机热备份技术，对网络中心服务器等需要具体高可用性的节点，同时准备两台机器进行双机热备份。当其中一台发生故障时，另一台能够快速地接替故障机的工作，从而保障校园网的正常运行。

三、校园网安全系统的设计与实现

基于对当前网络安全问题的分析，在某中型职业类院校的网络安全系统中，主要进行了如下的设计和实施：

1、防火墙与入侵检测

在网络攻击防范方面，该方案采用神州数码公司的DCFW-1800E硬件防火墙，将其部署于校园网的出口位置。在实际应用中，DCFW-1800E能很好的实现校园网与外部网络的隔离。它支持状态检测包过滤、数据包内容过滤、双向透明代理、双向地址转换、端口映射等功能，通过合理的配置，可有效的对出入校园网的数据包进行检查、过滤和转换；在抵御网络攻击方面，它提供了抵御DoS和DDoS、ARP欺骗、SYN Flood等多种常见的网络攻击类型的能力；此外，它还内置了IDS、VPN、上网行为监测和Qos等功能，为网络安全系统的灵活运用提供了基础和保障。

2、网络防病毒系统

在校园网病毒防控方面，该方案选择了瑞星网络杀毒软件企业版。该系统可通过瑞星管理控制台对网络上所有服务器和客户主机的防病毒系统进行远程安装、设置、管理和维护，并可实现对全网的各类本地存储器、网络共享文件夹、邮件系统和各类压缩文件进行统一的病毒扫描、监控和查杀，做到统一部署，统一行动，不留死角。

3、防止校园网内部攻击

由于校园网内部的用户可以直接访问内部网络，并拥有相对较多的权限，因此需要对内部网络进行适当的划分，并对用户的访问权限进行限制，以提高内部网络的安全性。

（1） 通过划分虚拟局域网（VLAN），限制不同区域之间的访问。例如，可在该校行政区域的汇聚层交换机上，通过划分VLAN，实现各部分之间的隔离，以财务部门为例，配置命令为：

Switch（config）#vlan 100

Switch（config-vlan）#name caiwu

Switch（config）#interface range fastEthernet 0/1-8

Switch（config-if-range）#switchport access vlan 100

（2） 应用访问控制列表，在汇聚层交换机或路由器上应用访问控制列表，限制用户对一些敏感主机的访问。

例如：在汇聚层交换机上配置以下命令：

Switch （config）#ip access-list extended denystudentwww

Switch （config-ext-nacl）#deny tcp 192.168.50.0 0.0.0.255 211.69.16.0 0.0.0.255 eq www

Switch （config-ext-nacl）#permit ip any any

Switch （config）#int vlan 50

Switch （config-if）#ip access-group denystudentwww in

可以实现拒绝192.168.50.0/24 网段上的终端用户访问211.69.16. 0/24 网段上的Web 服务。

（3） 对于一个使用DHCP功能来自动分配IP地址的校园网，防范用户随意变更自身IP地址和私设DHCP服务器也是一个网络安全、稳定运行的保证，在这方面，可使用交换机的 DHCP Snooping 和 IP Source Guard功能。使用DHCP Snooping功能，可以防止用户在网络中私设DHCP服务器；使用 IP Source Guard功能，可保证只有经过绑定的主机才能正常使用网络资源。

相关配置如下：

第一步，开启DHCP Snooping功能。

Switch （config）#ip dhcp snooping

第二步，将上链口设置为DHCP SNOOPING信任口。

Switch （config）#interface gigabitEthernet 0/1

Switch （config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

第三步，在直连用户机的端口上开启IP Source Guard功能

Switch（config）#interface range gigabitEthernet 0/2-3

Switch（config-if-range）#ip verify source port-security

第四步，配置静态绑定用户

Switch （config）#ip source binding 0000.0000.0001 vlan 1 192.168.50.4 interface gigabitEthernet 0/2

4、安全认证和审计系统

为了实现对校园网用户的安全认证和审计，可在校园网各级交换机上启用802.1x访问控制和认证协议，结合安全管理平台如锐捷网络公司的RG-SMP，实现对用户的安全认证，并可对内网安全进行审计。如果在校园网出口位置架设上网行为管理设备，还能对内部用户出入外网的网络行为进行审计过滤，并使用网页或短信形式及时向管理员发送安全通告。

四、校园网安全系统应用效果

通过应用实践表明，对校园网安全系统合理的设计和部署，是保障校园网平稳、可靠运行的基础和保障：

（1） 防火墙、入侵检测系统等的应用，可以预防和阻止大部分网络攻击行为的发生；

（2） 网络化的病毒防护系统可有效控制病毒在校园网上的传播；

（3） 虚拟局域网技术可控制跨部门、跨区域的网络访问，提升了网络整体安全性，也提高了整个网络的运行效率，方便对网络进行管理和维护；

（4） 认证和审计系统能确认校园网的使用人群，并通过对用户上网行为的查询、分析及统计，清晰地反映校园网的实际使用情况，为网络管理和优化提供了参考和依据；

（5） 通过双机热备份技术，可以有效提升校园网关键服务的可靠性，保障校园网各类服务的持续、稳定运行。

参考文献

[1] 夏栋梁，刘玉坤.校园网安全系统的设计与实现[J].网络安全技术与应用，2011，（9）：17-19

[2] 李海军.校园网络体系中核心网的安全系统设计与实施[J].自动化与仪器仪表，2012，（6）：197-198

[3] 冀鑫.校园网安全威胁及安全系统构建探讨[J].计算机光盘软件与应用，2012，（19）

构建安全的校园网系统 篇10

构建和谐校园是全面建设社会主义和谐社会的重要组成部分, 是落实党的十七大精神和科学发展观的必然要求, 也是现代大学孜孜以求的理想。在深入学习实践科学发展观活动中, 认真研究构建和谐社会特别是结合高校实际研究和谐校园建设问题, 显得十分迫切和重要。

高校校园的安全稳定是师生学习、生活和工作的基本前提, 是学校改革和发展的基础, 是创建和谐校园的内在要求和重要保证。高校校园的安全稳定和构建和谐校园在一定意义上有着内在的联系, 探究二者的关系在当前形势下具有十分重要的现实意义。

二、校园安全稳定、和谐校园相关概念界定

(一) 校园安全稳定的概念界定

“安全”的字面意义较为明确, 各类词典通常是指平安、稳定、保护以及无危险、不受威胁、不出事故的这样一种工作和生活状态。所谓“安全”, 是指事物的主体在客观上不存在威胁, 在主观上不存在恐惧的一种状态。安全是一个综合的概念, 有着动态性的特点, 表现在, 随着形势和条件的变化, 对安全的威胁和维护安全的手段与方式也发生变化。

稳定是相对于动荡而言的, 即平稳、安定。首先, 稳定不是仅指校园某一方面、某一领域的稳定, 而是指高校的整体稳定, 包括政治稳定、教学稳定、校园生活秩序稳定、人心稳定等;其次, 稳定不是静态的、凝滞不动的稳定, 它不是指一般意义上的僵滞不变的状态, 而是指其结构在运动中保持某一固定形式和基本一致的适应方式。

高校稳定工作是维护社会稳定的有力支持, 是高等教育事业改革发展的重要保障。保持高校的安全、稳定, 为高校教育育人、科学研究及其成果转化创造良好的校园氛围, 同时也为社会的发展、稳定做出应有的贡献。

大学校园本是一个开放的系统, 时刻和周围的世界发生着信息、人员、物质等交流。无论是外界的还是内部的种种变化都会引起大学校园的不稳定, 大学生也处在一个心理不稳定期, 因此, 大学校园的不稳定因素不仅始终存在, 而且较复杂。影响大学校园安全稳定的因素很多, 涉及大学生自身因素造成的不稳定, 主要有大学生违法犯罪、心理障碍、不良习惯以及其他的违纪现象等。

(二) 和谐校园的概念界定

和谐校园是一种动态的平衡, 是因为其涵盖的内容和标准不断变化, 是在社会主义和谐社会理论的指导下, 以当前校园文化建设以及学生的全面发展为出发点, 以具有和谐的校园文化、和谐的人际关系、大学生全面和谐发展为主要特征, 建设和谐校园是一个不断发展的过程, 是一个需要随着个体、社会、学校的发展而不断推进的过程。其主要特征为:

1. 和谐的人际关系是和谐校园的动力源

建设和谐校园, 必然要有和谐的人际关系。人际关系主要有师生关系和同学关系。师生关系是学校教学、生活中最基本的人际关系, 师生和谐是学生获取知识的前提和教育教学获得成功的保证, 也是构建和谐校园的根本。

和谐的同学关系即, 同学之间相互关心, 互相帮助, 相处融洽, 共同感受和谐校园的氛围。学校也要不断完善教育设施, 开发教育资源, 为学生搭建展现风采、相互交流的舞台。

2. 和谐的校园文化是和谐校园的重要部分

校园文化是指在高校校园内, 以学校广大师生为主体, 在教育教学、管理服务、学习生活、实践锻炼等一系列的活动中共同创造而形成的关于物质的和精神的所有活动方式和活动结果的总和。它包括了广大师生的世界观、人生观、价值观、精神境界, 思维方式和行为准则, 教风与学风, 学校的传统与习惯, 各种文化设施及活动以及学校的环境布局、绿化美化等方面。校园文化也可以分为物质文化、精神文化、行为文化、制度文化等等。校园文化以其潜在的、独具特色的方式熏陶感染、影响着师生的思想观念和行为方式, 渗透到了校园生活的各个方面。使广大师生置身于这种文化氛围中接受各种校园文化的滋养, 从而使其在智力、情感、身心、道德等方面都得到全面发展。

因此, 建设和谐开放的校园文化是和谐校园建设的重要环节。

3. 大学生全面和谐的发展是和谐校园建设的灵魂

高校教育的目的是培养全面和谐发展的人。大学生全面和谐的发展, 就是德、智、体、美的全面协调发展, 能力与需求的协调, 以及个性的充分发展等。和谐的教育体系是指教育的各个构成要素相互协调、有机统一。大学教育不仅要培养有科学知识、有文化素养的大学生, 更重要的是使大学生具有正确的世界观、人生观、价值观, 从而进一步提高其思想道德素质和综合素质。

三、校园安全稳定与和谐校园的相关关系分析

(一) 灰色关联研究方法

灰色系统理论是在信息不完备或缺损的情况下, 对系统进行量化处理, 弥补信息的不足, 可以得到较精确的分析结果, 灰色关联分析是灰色系统分析的主要内容之一。客观事物是普遍联系着的, 它们受着各种相互关联, 相互作用的复杂因素的影响, 关联度是事物之间、因素之间关联性大小的度量, 它定量地描述了事物或因素之间相对变化的情况。

1. 灰色关联度的计算

首先, 给出原始数据列的参考序列X0和比较序列

其次, 采用初值法对原始数据进行无量纲化处理, 求出参考序列和比较序列之间的差序列后依据空间理论这一数学基础, 按照规范性、偶对称性、整体性和接近性这4条原则, 灰色系统理论确立了参考数列x0与若干比较数列xm间的关联系数:

ζ为分辨系数, 且ζε (0, 1) , 这里ζ取0.5。

再次, 把关联系数这一分散的信息集中起来, 再做平均处理, 变得比较曲线 (数列) xm对参考曲线 (数列) x0的关联度:

最后, 比较关联度的强弱, 若ra>rb, 则称影响因素Xa的关联度优于Xb。

2. 灰色关联矩阵的计算

一个研究系统中, 如果母序列 (参考序列) 不止一个, 子序列 (被比较序列) 也不止一个, 这时就可以在这两个序列 (在有些情况下, 母序列与子序列可以互换, 即原来的母序列可以作为子序列来处理, 子序列可以作为母序列来处理) 之间构造关联矩阵, 通过关联矩阵中各关联度之间的关系, 可以分析哪些因素是主要的, 哪些因素是次要的。下面是一个由母序列为y1, y2, …, ym子序列为x1, x2, …, xn所构造的关联矩阵:

矩阵中的元素rij表示因素yi与xj之间的关联度, 关联度大则表示这两个因素间联系紧密, 关联度小则表示两个因素间联系不强。

还可以对矩阵的行元素、列元素求和, 得:

对行或列的关联度求和之后得到的数据, 所反映的是综合关联效应, 如对行元素求和, 反映的就是母序列中的各因素对子序列总体的综合关联效应。

(二) 校园安全稳定与和谐校园的灰色关联分析

根据调查问卷的结果, 现进行校园安全稳定和和谐校园的灰色关联分析, 运用matlab软件进行分析, 其具体的分析过程如下:

第一步:评指标权重的确定

本文采用权值因子判断表法, 专家组共有12人:具体人员有学生工作部门4人, 学校公共事务管理人员2人, 学生代表2人, 思想政治研究专家4人。专家组采用4分制打分, 得到结果如下:

第二步:对二级指标的灰色评价权。每位评价者的评分是一个灰数。

为了调查校园安全稳定和和谐校园的灰色关联度, 针对和谐校园评价指标体系的各个因素, 要求被测对象对调查项目做出“非常符合、符合、基本符合、不符合、非常不符合”的单选回答。评分相应地设为五级评定 (见表二) 。得分越高, 表示校园安全稳定和和谐校园的和谐程度越大, 得分越低, 则显示和谐程度越小。

经过计算可得:

第三步:对一级指标的综合评价。

第四步:对评价目标进行综合评价。由上述的A1、A2和A3再乘上权向量, 就可以得到评价目标的评价权向量。

第五步:灰色综合满意度评价权向量A= (0.3462, 0.2376, , 0.1829, 0.1447, 0.1024) 反映了受评者属于每个评价灰类的程度。因此可以按最大权的原则确定受评者所属灰类等级, 即

则评定受评者为第一类:非常符合。

据此原则做出的判断有时有效, 有时会因信息丢失太多而使判断结果失效。为此将灰色综合评价权向量作进一步的处理, 使其单值化, 即计算受评者的灰色综合评价值W。

可见W属于第二个灰类的权最大, 故可认为校园安全稳定和和谐校园的和谐度为“符合”。

四、结论

本文在校园安全稳定和和谐校园概念界定的基础上, 建立和谐校园评价的指标体系, 建立调查问卷, 运过灰色关联分析方法, 借助matlab软件的运算可以看出, 校园安全稳定和和谐校园的综合评价值属于第二个灰类的权最大, 可知校园安全稳定和和谐校园存在一定的和谐性。校园安全稳定和校园和谐二者协调发展。

参考文献

[1]张根海.高校安全管理系统模式研究[J].中国市场, 2007, (1) :71-72.

[2]郑恒毅, 王健卉.高校群体性事件的成因及处置[J].重庆大学学报 (社会科学版) , 2005, (5) :84-86.

[3]田建国.关于构建和谐校园的思考[J].滨州职业学院学报, 2007, (2) :3-7.

[4]马举贤, 徐太秀.建设高校和谐校园的若干思考[J].四川文理学院学报 (社会科学) , 2007, (6) :36-37.

[5]王德勋, 韩同友.试论高校校园文化建设中的几个关系[J].黑龙江高教研究, 2008, (9) :106-208.