重視校園網(wǎng)網(wǎng)絡(luò)安全營造良好的育才環(huán)境

魏波+呂中秋

摘 要：隨著電子科技技術(shù)的發(fā)展和快速應(yīng)用，校園網(wǎng)絡(luò)建設(shè)也在不斷進(jìn)展。校園網(wǎng)絡(luò)的建設(shè)對(duì)學(xué)校發(fā)展意義重大，它關(guān)系著師生網(wǎng)上活動(dòng)的正常進(jìn)行，必須對(duì)校園網(wǎng)絡(luò)安全予以足夠的重視。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；設(shè)計(jì)方案；實(shí)踐工程

網(wǎng)絡(luò)安全對(duì)學(xué)校教學(xué)工作的正常進(jìn)行，學(xué)生的網(wǎng)上學(xué)習(xí)活動(dòng)意義重大，我們必須對(duì)校園網(wǎng)網(wǎng)絡(luò)安全予以足夠重視。

一、校園網(wǎng)的安全特征

校園網(wǎng)絡(luò)關(guān)系到師生的正常使用以及教學(xué)工作的正常進(jìn)行，網(wǎng)絡(luò)安全關(guān)系到學(xué)校正常教學(xué)活動(dòng)的進(jìn)行和學(xué)生的網(wǎng)上學(xué)習(xí)和網(wǎng)絡(luò)交流。網(wǎng)絡(luò)安全涉及到人工智能、計(jì)算機(jī)科學(xué)、密碼技術(shù)、網(wǎng)絡(luò)技術(shù)、信息論、安全技術(shù)等多學(xué)科。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴性越來越強(qiáng)，網(wǎng)絡(luò)安全也變得越來越重要。由于校園網(wǎng)絡(luò)用戶的特殊性，安全問題成為了校園用戶最關(guān)注的問題。學(xué)生對(duì)校園網(wǎng)絡(luò)的依賴性很強(qiáng)，尤其是隨著現(xiàn)代化的發(fā)展，學(xué)生應(yīng)用網(wǎng)絡(luò)的比例越來越大，在網(wǎng)上進(jìn)行的活動(dòng)也越來越多，學(xué)習(xí)、交友、娛樂、購物等活動(dòng)都在網(wǎng)上進(jìn)行，校園網(wǎng)的安全性變得越來越重要。校園網(wǎng)安全問題主要存在如下幾方面。

（1）MAC 地址的盜用。有的人通過盜用他人的MAC地址來影響他人上網(wǎng)，或者通過MAC地址的盜用來進(jìn)行違法犯罪活動(dòng)，使得網(wǎng)監(jiān)無法發(fā)現(xiàn)MAC的真正身份，對(duì)網(wǎng)絡(luò)安全造成很大的威脅。

（2）IP地址的盜用。IP地址盜用帶來的危害非常大，首先用戶篡改IP地址更加容易，盜用現(xiàn)象也更加多。很多人盜用IP地址使得正常的IP地址分配混亂，導(dǎo)致用戶沒有辦法正常上網(wǎng)，使得校園網(wǎng)的IP地址混亂無常。很多人通過IP地址的盜用來躲避監(jiān)察，進(jìn)行非法網(wǎng)絡(luò)攻擊。

（3）端口非常不穩(wěn)定。很多非法分子通過不穩(wěn)定的端口來進(jìn)行網(wǎng)絡(luò)攻擊，進(jìn)行網(wǎng)絡(luò)非法操作，使得對(duì)犯罪分子的查找和定位變得非常困難。

（4）盜用賬號(hào)。有的人通過盜用賬號(hào)的方式來實(shí)現(xiàn)網(wǎng)絡(luò)共享，使得網(wǎng)絡(luò)沒有辦法更好、更充分地利用，造成網(wǎng)絡(luò)資源的浪費(fèi)。

二、綁定技術(shù)在校園網(wǎng)管理的實(shí)踐

基于以上網(wǎng)絡(luò)問題的存在，我們對(duì)于網(wǎng)絡(luò)安全提出了新的保障策略。我們認(rèn)為用戶只有通過采用分配給自己的 IP 地址、設(shè)置自己的獨(dú)特密碼、通過固定的物理端口進(jìn)行接入。同時(shí)，限制用戶只能用自己的賬號(hào)、采用自己的主機(jī)方式進(jìn)行上網(wǎng)，這樣就能夠?qū)W(wǎng)絡(luò)用戶實(shí)施落實(shí)到人的管理，實(shí)現(xiàn)校園網(wǎng)絡(luò)用戶的安全。這就是我們講的多元素綁定技術(shù)。

（1）通過AAA 服務(wù)器綁定實(shí)現(xiàn)網(wǎng)絡(luò)安全。我們之所以通過AAA服務(wù)器來進(jìn)行綁定是因?yàn)锳AA服務(wù)器能夠記錄每一個(gè)用戶的基本信息，能夠?qū)崿F(xiàn)用戶信息跟服務(wù)器信息的一致。在我們通常的使用過程中，認(rèn)證要先通過AAA服務(wù)器，一旦發(fā)現(xiàn)用戶信息跟所存儲(chǔ)的用戶信息不同就會(huì)通過禁止接入的方式來阻止用戶訪問。一旦出現(xiàn)用戶私自篡改IP的情況，就會(huì)通過強(qiáng)制下線的方式來阻止用戶訪問，從而實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的控制。

（2）通過接入交換機(jī)對(duì)服務(wù)器進(jìn)行綁定的方式開展多種元素的綁定。并非所有的AAA服務(wù)器都能夠?qū)崿F(xiàn)此種綁定，在能夠?qū)崿F(xiàn)這種綁定的AAA服務(wù)器上，也需要交換機(jī)的兼容才能夠完成。因而通過接入交換機(jī)對(duì)服務(wù)器進(jìn)行綁定往往使用在新建的學(xué)校之中，這些學(xué)校一般設(shè)備較新，能夠?qū)崿F(xiàn)二者的完美兼容。不僅AAA服務(wù)器能夠?qū)崿F(xiàn)用戶的多元素綁定，直接通過交換機(jī)也能夠?qū)崿F(xiàn)綁定。因此，很多情況下我們通過接入交換機(jī)來實(shí)現(xiàn)多元素綁定。

（3）通過靜態(tài)技術(shù)進(jìn)行綁定。靜態(tài)綁定在綁定技術(shù)當(dāng)中最為簡單。網(wǎng)絡(luò)管理人員只需要將對(duì)應(yīng)交換機(jī)下的接入用戶相關(guān)元素進(jìn)行搜集，并在該交換機(jī)上進(jìn)行配置就能夠?qū)崿F(xiàn)對(duì)每個(gè)用戶的控制。

我們在校園網(wǎng)使用過程中遇到的問題可以通過綁定釋放靜態(tài)以及自動(dòng)綁定來實(shí)現(xiàn)，但是這種綁定技術(shù)給我們平常的上網(wǎng)行為造成了很大的麻煩，所以我們認(rèn)為應(yīng)該通過釋放技術(shù)與自動(dòng)綁定相結(jié)合來實(shí)現(xiàn)用戶上網(wǎng)管理，保障用戶的上網(wǎng)活動(dòng)安全。這種技術(shù)既能夠有效阻止用戶在上網(wǎng)期間隨意篡改網(wǎng)址帶來的管理混亂，又能夠防止用戶被網(wǎng)絡(luò)非法攻擊，是一種非常理想的實(shí)現(xiàn)校園網(wǎng)工程的技術(shù)。認(rèn)證程序是這樣的，在用戶 X進(jìn)行認(rèn)證的過程中，AAA服務(wù)器會(huì)對(duì)X、Y 用戶的VLAN、IP、賬號(hào)、MAC端口、密碼等信息進(jìn)行確認(rèn)。通過對(duì)比其是否同服務(wù)器內(nèi)保存的信息一致，來進(jìn)行用戶合法身份的認(rèn)證。在用戶通過了認(rèn)證后，由于接入交換機(jī)啟用了自動(dòng)綁定技術(shù)，這樣在 X、Y 用戶對(duì)應(yīng)的端口將會(huì)產(chǎn)生各自的綁定元素，也就是IP+端口+MAC 元素的綁定。這樣用戶就沒有辦法進(jìn)行IP地址以及其他元素的更改，如果用戶強(qiáng)行更改，就會(huì)被迫下線。同時(shí)這種網(wǎng)絡(luò)安全方案還能夠有效地防止 Dos 攻擊。一旦用戶將自己發(fā)出報(bào)文的IP 地址進(jìn)行重新設(shè)置，其報(bào)文就沒有辦法跟交換機(jī)中實(shí)現(xiàn)存儲(chǔ)的一致，在交換機(jī)對(duì)信息進(jìn)行查詢時(shí)就會(huì)將其默認(rèn)為垃圾信息或者非法信息，自動(dòng)丟棄，從而保障整個(gè)校園網(wǎng)的安全與穩(wěn)定。

綜上所述，我們認(rèn)為通過釋放技術(shù)與自動(dòng)綁定相結(jié)合來對(duì)用戶的上網(wǎng)活動(dòng)進(jìn)行管理是最好的校園網(wǎng)管理方式。所以我們說，AAA是用戶進(jìn)行合法性認(rèn)證時(shí)的必要設(shè)備。而接入交換機(jī)則負(fù)責(zé)對(duì)通過認(rèn)證之后的用戶進(jìn)行監(jiān)控，對(duì)認(rèn)證后的用戶的不合法行為進(jìn)行處理。這兩者結(jié)合能夠充分保障用戶上網(wǎng)的安全，方便管理，減輕網(wǎng)管人員的工作負(fù)擔(dān)，能夠使網(wǎng)絡(luò)的維護(hù)質(zhì)量大幅提高。我們認(rèn)為這種校園網(wǎng)網(wǎng)絡(luò)安全方案操作性很強(qiáng)，能夠在實(shí)踐中充分發(fā)揮作用，可以大范圍進(jìn)行推廣。

參考文獻(xiàn)：

[1]彭錚良.網(wǎng)絡(luò)安全技術(shù)與黑客攻擊威脅[EB/OL].http：//www.is

base.com/日 nqu 自 nmode1. phpnid=1675，2010-09-20.

[2]中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R]. http：//WWW.cnnIc.net.

cn/deveist/cnnic200007， 2010-10-15.

[3]何全勝，姚國祥.網(wǎng)絡(luò)安全需求分析及安全策略研究[J].計(jì)算

機(jī)工程，2000（6）.

（鄭州華信學(xué)院現(xiàn)代教育技術(shù)中心）