2.5造成校园网络安全问题的主要原因(1)网络安全维护的投入不足。网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。(2)网络管理员责任心不强。很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。(3)师生的网络安全意识和观念淡薄。很多学生包括部分教师对网络安全不够重视,法律意识也不是很强。通过网络,或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网系统,干扰校园网的安全运行。(4)盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,盗版安装的计算机系统今后会留下大量的安全漏洞。系统自动更新引起的电脑黑屏事件,就是因为Microsoft公司对盗版的XP操作系统的更新作了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。3.3校园网常用攻击手段以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下:(1)普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。(2)计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行。(3)外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器。(4)内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉。(5)校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用。(6)垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。(一)强化学生上网安全意识,制定网络安全管理规定加强学生的网络安全意识是确保校园网安全的关键环节。校园网使用对象主要是学生,他们正处于学习阶段,对网络知识掌握很少,安全意识不强,面对突发的网络安全问题,不能及时采取行之有效的补救措施。甚至有些学生使用网络的时候抱着不是自己的东西不用管的心理使用校园网。面对这种普遍现象就需要学校网络管理部门和网络安全课程相关任课教师对学生上网进行正确的引导。(三)谱安全“三部曲”,拒黑客于门外,提高教学网络安全系数由于软件自身不可避免的存在设计漏洞,加上互联网上泛滥的黑客攻击,教学网络管理人员必须采取安全“三部曲”方案最大限度提高校园网的安全系数。①制定网络安全部署方案。该方案中要对整个机房的拓扑结构进行设计,并根据安全的最大化需要选择适合本地的安全产品。安全产品是网络安全的基石,通过在网络中安装一定安全设备可以减低网络安全管理的难度,提高网络的安全性。这里的安全产品并不是指单纯的一个产品,它是一个全方位的技术体系,一般应具有异常检测、漏洞检测、模式匹配、端口控制、IP封堵、口令认证等功能;②制定网络安全维护方案。该方案是在上述设计阶段之后在教学网络正常运行和维护阶段而制定的。校园网要正常运转使用必须得到及时维护,这一阶段是网络生命周期中较长的阶段,因而网络安全维护方案要制定的详细而全面。具体包括网络操作系统安全管理,网络杀毒软件的维护、网络防火墙的设置、安全设备的定期检查等等;⑧制定网络安全应急方案。网络的安全性是相对的,没有天衣无缝的安全网络。校园网一旦中毒或被黑客攻克一定要有一套全面的应急机制,以便尽快找到解决问题的办法恢复正常运行并将损失降低到最小程度。(四)弘扬积极健康网络文化,净化校园网络空间网络是当今的主要媒体,要利用网络宣传校园真理,弘扬校园正气,倡导和谐理念。要大力宣传积极健康的校园网络文化,让中华民族的传统美德在校园网络上生根发芽,发扬光大。因此,校园网络管理单位和广大学生网民要齐心协力,以网络相关法律规范为依托,自觉履行文明办网承诺,自觉开展文明上网行为,构建诚信为本、守信光荣的安全网络随着国内校园信息化建设的深入和发展,校园网已经成为校园信息化建设的基础。现今的校园网不仅应具有更高的带宽、更强大的性能以及保证校园网无中断运行的高可靠性,还必需能对不同数据流进行合理有效的管理,以便有效和充分的利用网络传输带宽。同时,伴随着校园网络应用的深入,现代校园网还必须要有一整套从用户接入控制、病毒报文识别到主动抑制的一系列安全控制手段,才能更有效地阻击病毒和黑客的攻击,有效的保证校园网稳定运行。为了应对网络规模日益扩大所带来的维护工作更加复杂的需要,现代校园网络还应具备更智能的网络管理解决方案,将网络管理人员从繁重的工作中解脱出来。因此,可以说今日的校园网建设有着比传统校园网建设更高的要求,采用整体的网络解决方案构建一个安全可靠、性能卓越、易于管理的校园网络也就成为必然。未来校园,网络为先河南师范大学的校园网自建立以来,基本形成了以1000M为核心的骨干网络,其在教学、科研中发挥了重要的作用。但由于该网络建设时期比较早,随着网络用户对应用的需求越来越多,经常使得核心设备负载过大,速度很慢、不稳定,并且面临许多网络安全问题,这给网络管理带来了很多头疼的问题。另一方面,河南师范大学的规模也在不断扩大,其网络用户数量将会增加到6万人以上,学生区、新校区、老校区新建楼宇等都需要接入校园网络。此外,在原有应用系统的基础上,河南师范大学校还希望以网络建设为平台,实现网上办公、远程教育、VOD课件、电子身份认证和信息服务等网络应用,而这些新的应用对网络传输的速率和质量都提出了更高的要求。为加快实施“数字化校园”工程,实现整个校园内的教学、科研和管理的网络化需要,进一步全面提升河南师范大学校园信息化建设的整体水平,河南师范大学校迫切需要对校园网进行改造、升级,将其构建成一个更为稳定、安全、可靠的校园高速网络平台,以适应目前及可预见的未来对网络应用的需求。河南师范大学对升级、改造后的校园网提出了较高的要求,主要在以下几个方面:高性能构建数字化校园网络的组网技术必须是高带宽的组网技术;骨干交换设备必须支持万兆、线速交换,以保证无阻塞的数据交换。另外从网络结构设计上,需要考虑到一些高流量多媒体应用的分布式部署,以降低跨骨干网的流量,提高网络的性能;关键业务服务质量保证由于有各种各样的应用业务数据流在数字化校园网络上,当网络流量处于高峰期时,必定会影响关键业务数据流的响应时间,因此需要有QoS服务质量保证;信息点可控性与一般企业网比较,数字化校园网络的信息点分布很广,网络用户的流动性大,比较难管理,为了保证网络资料的有效利用,一定要有对信息点的可控性。除了对访问带宽限制,还必须提供基于用户的接入认证、授权和计费;先进性所选的设备必须具有很好的扩展性,当网络规模或带宽需要扩展时,能够以最小的代价满足新的需求;可靠稳定性网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性,使应用业务系统的实施和推广得到充分的保障;安全性数字化校园网络平台的安全,除了要保障网络平台的安全性,还需要保障应用业务系统和其它网络资源的安全。网络平台需要从设备本身的访问安全、内部网之间资源访问安全、路由系统的安全、互联网访问安全等几个方面保证校园网的安全。在经过对多家厂商所提方案的仔细论证后,国际著名网络设备和解决方案提供商D-Link的基于定制化设计思想的整体网络建设方案得到了河南师范大学的充分肯定,最终在众多方案中脱颖而出。D-Link的解决方案不仅完全满足了河南师范大学新的校园网建设的需要,并且具有许多独特的技术优势、完善的售后服务和优良的性价比。有着20多年网络领域成功发展的D-Link,在教育信息化方面有着丰富的经验和不凡的实力,为解决高校校园网运营管理的问题,D-Link就专门推出了身份认证管理“网盟”解决方案,为高校校园提供了一套不受厂家交换机约束、可融合现有交换机及未来扩容的交换机的运营管理解决方案全面提高,以用为本针对河南师范大学校园网的需要,D-Link在解决方案中采用了星型网络结构,将网络分成核心、汇聚和接入三个层次,实现了网络设备的强强联合和优化组网。在核心层,D-Link使用了其代理合作的Extreme最新一代核心交换机,以此构建成了一个高性能、高带宽的数据交换平台。而在汇聚层和接入层则分别采用了D-Link的DGS-3627全千兆三层交换机和D-Link定制化的运营级交换机DHS-3626。DGS-3627交换机使用1000M光纤与核心交换机相连,同时使用1000M端口与每个楼层的接入交换机DHS-3626相连。通过在核心层出口部署D-Link最新的全能策略流控系统DPF-6012E,实现了整个河南师范大学校园网的所有用户可以同时访问教育网与互联网,还一并集成了路由器、防火墙、IPS(入侵检测与防御系统)、流量控制系统等多个常用的高级功能,代表了业界安全领域的最高水平。由于宽带网络的身份认证管理和后期的运营已成为校园网的业务管理核心和运营核心,D-Link在方案中还特别采用了其最新的DSA-8000与DRS-5000相结合的“网盟”解决方作为认证计费网关。通过这样一个完整的校园网解决方案,将可以保证升级后的河南师范大学校园网完全能应对目前及可预见的未来对网络应用的需求,并使整个网络具有稳定的服务质量、出色的全网管理能力以及充分的安全性,为在校园网上进行种类丰富的网络应用提供了坚实的基础。高效网络,踏上新阶代表以太网未来发展方向的核心交换机河南师范大学校园网所采用的核心交换机提供了业内领先的容量和功能,以保证当前构建的以太网络能够经受住时间的考验,这代表了核心以太网的未来发展方向。通过提供业内所有交换机中最高密度的10Gb以太网和千兆位以太网端口,即使是在最苛刻的网络环境中,此款核心交换机也可以很容易地通过扩容和升级来满足当前和未来的需求。借助全新的技术设计,不仅可以确保实现任何可能的冗余功能,而且能够在不影响交换机业务运行的情况下升级任何的有源部件(包括软件)。由于采用业内最先进的分组检查引擎、CLEAR-Flow流量分析和128,000个硬件访问控制列表(ACL),可以对该交换机进行编程,使其智能化的识别恶意攻击,动态进行访问控制,在网络中断前切断攻击者,从而可以有效地补充防火墙的安全防护。最新的全能策略流控系统DPF-6012E为D-Link最新的全能策略流控系统,采用网络安全专用集成电路芯片组,拥有业界遥遥领先、最高可达到32Gbps的网络数据处理能力,确保了在提升网络整体安全的同时,不会成为降低网络应用性能的瓶颈。该系统支持多种网络协议和虚拟技术,具有透明和路由两种工作模式,可以无缝的融合到现有网络。DPF-6012E拥有强大的P2P/IM流量和会话管理控制、业务数据流带宽优化、动态QoS调度、负载均衡和系统自备份、网络流量过滤和监控统计、网络用户接入认证管理、访问授权等多种功能,同时内置有业界最高性能的防火墙,从而可实行完整易用的网络安全管理和维护,全面提升河南师范大学校校园网的可控性,构建起全网的实时流量管理和行为控制。由于DPF-6012E全部采用了硬件模块化的结构,用户可以根据实际需求选择适应的模块,或者在需要时进行相应的升级,从而保护了用户的投资。未来的校园网管理核心建立合理的计费管理系统是保障校园网正常稳定运营的关键,通过采用DSA-8000与DRS-5000相结合的D-Link“网盟”解决方案,河南师范大学校园网建立起了一个认证、计费及管理运营平台,该平台可与支持Radius协议的不同厂家的设备进行有效结合,彻底解决了不同时期所采购的不同品牌交换机不能统一认证管理的问题,从而实现了灵活的控制与管理。D-Lin