中学校园网络安全防护及对策初探.doc

《中学校园网络安全防护及对策初探.doc》由会员分享，可在线阅读，更多相关《中学校园网络安全防护及对策初探.doc（25页珍藏版）》请在三一办公上搜索。

1、昌吉学院 论文（设计）分类号：TP393本科毕业论文（设计）密级：无中学校园网络安全防护及对策初探-以昌吉市一中校园网络为例系 院 物 理 系 学科门类 理 学 专 业 教育技术学 学 号 0925812004 姓 名 李 树 霞 指导教师 孙 杰 教师职称 讲 师 2013年5月10日毕业论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果或作品。本人完全意识到本声明的法律后果由本人承担。 作者签名： 年 月 日 毕业论文版权使用授权书本毕业论文作者完全了解学院有关保存、

2、使用毕业论文的规定，同意学院保留并向有关毕业论文管理部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权本学院及以上级别优秀毕业毕业论文评选机构将本毕业论文的全部或部分内容编入有关数据库以资检索，可以采用复印、缩印或扫描等复制手段保存和汇编本毕业论文。声明人签名： 导师签名： 年 月 日 年 月 日 摘 要 随着信息时代的高速发展，校园网络的应用越来越广泛，而随着网络重要性的提高及校园网络规模的扩大，在计算机使用过程中，校园网络安全也存在着硬件设备及网络技术等方面的隐患。本文主要针对常见的校园网络安全隐患做一分析，构建具有主动防御能力的校园网络安全模型，并在该模型的指导下，利用网

3、络安全防范的相关技术，建立适用于校园网安全模型，从根本上解决来自网络内外部对网络安全造成的各种威胁，使得昌吉市一中校园网络安全稳定运行。关键词：网络安全 校园网络 防范措施 网络安全模型目 录摘 要I引 言11 中学校园网络存在的安全隐患21.1 计算机病毒入侵21.2 网络软件的漏洞21.3 网络协议漏洞造成的威胁21.3.1 数据窃听 (Packet Sniff）21.3.2 Arp欺骗(Address Resolution protocol Spoofing)31.3.3 拒绝服务(DOS)攻击:31.4 网络拥塞31.5 人为因素32 中学校园网络安全的技术策略52.1 病毒防护策略5

4、2.2 网络安全漏洞扫描技术52.3 网络协议漏洞安全技术52.3.1 防火墙技术52.3.2 信息加密技术62.3.3 入侵检测技术(IDS)62.4 预防网络拥塞的措施72.4.1 流量控制72.4.2 访问控制技术72.4.3 VLAN技术72.5 完善网络安全管理制度73 校园网络安全模型94 校园网络安全改进方案104.1 昌吉市一中校园网络拓扑图结构分析104.2 昌吉市一中网络存在主要问题114.2.1 IP地址欺骗、盗用114.2.2 网络拥塞114.2.3 防御系统较为简单114.2.4 管理制度的不严格114.3 基于校园网络安全模型的改进方案114.4 昌吉市一中网络安全

5、改进后效果125 总结与展望13参 考 文 献14致 谢15引 言 随着信息技术的迅猛发展和Internet的快速普及，数字化校园网络得到了蓬勃的发展。校园网作为数字化校园的重要基础，担当着学校教学、科研、管理和对外交流等重要任务，为学校的教育、教学、生活提供了极大的方便1。校园网络具有开放性和互联性的特点，正是由于网络这些特性，使得网络难于管理、敏感信息易泄漏、数据遭到破坏、信息被篡改、计算机病毒发作等问题，因而，网络安全就显得尤为重要。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。校园网

6、络安全就是把上述的网络特定为校园网络，主要包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等；逻辑安全包含网络信息的保密性、完整性、网络服务的可用性、可控性和可审查性。校园网络安全涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的问题，必须要综合考虑2。加强校园网络安全管理建设，一方面关系到学校的整体形象。随着计算机网络的发展，校园网已成为每个学校走向信息化时代的必然发展趋势，使教育管理向智能化发展。网络安全对外关系到学校整体形象和长远发展，对内关系到学生的全面成长和成才。另一方面关系到学校的整体利益。目前在各类学校的网络中都存储着大量

7、的信息资料，许多方面的工作也越来越依赖网络，一旦网络安全方面出现问题，造成信息的丢失或不能及时流通，或者被篡改、增删、破坏、窃用，都将带来难以弥补的损失。所以在校园网络建设的同时，我们更应该重视网络系统在运行时的安全管理问题3。通过笔者在昌吉市一中担任信息技术教师并参与网络管理的实习经历，结合文献、走访等，发现昌吉市一中校园网络和大多数中学校园网络一样，存在着对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的网络安全隐患，在中学校园网络中，如果对这些存在的安全隐患不加以控制和防护，会造成各种问题，例如阻塞网络流量、降低网络速度、网络瘫痪等，更加严重的是校园网络上的一些不健康的或者

8、反动的娱乐、暴力及色情内容，会对学生的身心健康发展及成长造成巨大的危害。因此，综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行尤为重要。1 中学校园网络存在的安全隐患网络用户在享受网络带来的巨大便利的同时，网络安全也正受到前所未有的考验。从网络本质而言，校园网络系统的安全隐患大部分都是利用其网络系统本身存在的弱点，而安全系统在管理、使用过程中的失误和疏漏更是加剧问题的严重性。概括起来，影响计算机网络安全的因素主要表现在以下几个方面:1.1 计算机病毒入侵计算机病毒是能自我复制的一组计算机指令或者程序代码，从而破坏计算机功能或者窃取数据信息，严重影响了计算机的正常工作。计算机病毒

9、的入侵是以系统漏洞为切入点进行病毒的传播4。计算机病毒一般潜藏在网络游戏、垃圾邮件、网页、应用软件中，用户在浏览不正常网页，查看邮件或打开一些应用软件都可能感染病毒。最近几年，伴随着网络技术高速发展，使得病毒获得了更迅捷的传播途径，庞大数量的新病毒在网络上蔓延。一些基于网络漏洞的病毒，通过系统漏洞进行传播和破坏，造成了巨大损失。校园网中也常会出现一些不明的网址，包括 QQ 等通讯软件，使用者警惕性不高都可以随意传播病毒。病毒的攻击危害极大，它常盗取用户账号密码等重要信息。如果校园网管理员信息被盗，那么给学校带来的后果和损失将不堪设想5。1.2 网络软件的漏洞 网络软件的漏洞是指用户在使用过程中

10、，下载的一些软件，被不法分子或黑客利用，将病毒植入计算机内部，从而破坏校园网络。应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过木马植入、感染病毒等不同的方式来攻击或操控整个电脑，从而窃取到存储在电脑里的资料和信息，甚至破坏整个的操作系统。网络软件不可能没有一点的缺陷或者漏洞，然而，这些存在的缺陷和漏洞就正好成为了所有黑客攻击的第一目标6。1.3 网络协议漏洞造成的威胁 网络系统内运行着很多种不同的网络协议(TCP/IP，UDP，BGP等)，而这些不同的网络协议自身并不是专为安全通讯所设计的，所以网络本身存在着巨大的安全威胁。而大多

11、数的校园网络是基于TCPIP协议7。TCP/IP协议簇具有开放性和通用性等特点，并且在因特网最初的设计中基本没有考虑网络的安全问题，因此存在着很大的安全隐患，缺乏强健的安全机制，任何组织或个人都可以研究、分析及使用网络，因此，TCP/IP协议的任何漏洞都可能被利用。TCP/IP协议主要存在的安全问题有:1.3.1 数据窃听 (Packet Sniff） 由于TCP/IP协议传输数据流的方式为明文传输，因此攻击者利用捕获工具，捕获网络上传输的数据包，从而获取有价值的信息，如用户账号、口令及其它机密信息等，从而达到数据窃听的攻击目的。因此TCP/IP协议传输的数据信息非常容易被窃听、篡改和伪造。1

12、.3.2 Arp欺骗(Address Resolution protocol Spoofing) ARP(地址解析)就是在主机发送帧前将目标IP地址转换成目标MAC地址的过程。在装有TCP/IP协议的主机系统中都有IP地址与MAC地址的相对应转换表，主机在发送数据帧前会查询转换表，将目标MAC地址更改为目标IP所对应的MAC地址。然而ARP欺骗就是向被攻击的主机发送虚假的IPMAC对应信息，从而达到欺骗的目的。1.3.3 拒绝服务(DOS)攻击:拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。它可以针对任何加密系统进行攻击，由于加密和验证运算都需要消耗大量的资源(包

13、括占用CPU的时间)。如果攻击者组织大量数据同时访问被攻击者主机，使得该主机在验证数据合法性的同时，做大量不相干的事，完全可能使该主机陷入瘫痪，而无法响应正常的数据访问。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接8。1.4 网络拥塞 拥塞的发生是一种网络数据持续过载的网络状态，此时用户对网络资源(包括网络带宽、网络存储空间和处理器能力等)的需求超过了网络所固有的容量。就Internet的体系而言，网络拥塞的发生是其固有的属性。因为在没有任何协商和请求许可机制的资源共享网络中，

14、不同的IP分组数据流同时到达路由器网关，同时期望经同一个输出端口同一时间进行转发的要求是存在的，显然，并不是所有的分组数据都可以同时接受处理，必须经过服务顺序，传输节点上的缓存为所有等候服务的分组数据提供了一定保护作用。然而，假如这种状况存在持续性时，所有的缓存空间都被消耗殆尽时，路由器只有丢弃某些分组数据。这种网络过载的状态发生时，网络性能就会陡然直线下降。1.5 人为因素中学校园内计算机网络用户并不能都对网络技术有所了解，这种特定的人为因素增加了网络安全隐患，加上使用校园网络最多的人群是学生和教师，学生对于网络这样的新鲜事物非常感兴趣，可能会下载一些黑客软件或带有病毒的软件，从而破坏校园网

15、络系统，同时学生不懂得爱惜，对于暴露在外界的网络设备造成一定破坏，据统计，80%的校园网络的攻击都来自于校园网内部9。最主要原因是，校园网络的用户，网络安全意识不强，对网络攻击和防范了解又很少，往往在使用中疏于防范，在不知不觉中就遭到了安全攻击。综上所述，校园网络存在着诸多安全隐患，这些隐患对网络的安全运行，保障用户资料数据的隐私性有着极大的危害，因而在开放式网络环境下保护网络安全性显得尤为重要。2 中学校园网络安全的技术策略2.1 病毒防护策略针对计算机病毒极大的危害性，建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。(1)安装统一的网络杀毒软件对网络进行监管；(2)对邮件

16、服务器实施统一管理和病毒扫描，杜绝病毒通过邮件传播； (3)通过文件监控、网页监控、邮件监控、注册表监控、引导区监控、漏洞攻击监控对网络系统内的各个服务器、客户机进行全面病毒监控防范，监视病毒可能的来源；(4)集中病毒报警和报告，包括感染节点的主机名、地址、病毒名称、清除情况、被感染文件的路径等报告导入数据库，方便管理员统计和查询，有针对性的制定防毒和杀毒的策略。(5)制定客户端强制保护，设密码保护，防止内部用户修改防毒策略或删除杀毒客户端程序，影响网络的整体防护；(6)统一集中更新最新系统补丁，减少病毒通过计算机漏洞感染计算机的机会。然而，计算机病毒总是不断地更新，常常使用户措手不及，无法及

17、时应对病毒的危害。2.2 网络安全漏洞扫描技术针对网络软件的诸多漏洞。网络安全扫描技术是通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性10。安全扫描技术主要分为两类：主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令，以及针对其它同安全规则抵触的对象进行检查等；而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。随着网络的发展和内核的进一步修改，新的端口扫描技术及对入侵性的端口

18、扫描的新防御技术还会诞生，而到目前为止还没有一种完全成熟、高效的端口扫描防御技术；同时，漏洞扫描面向的漏洞包罗万象，而且漏洞的数目也在继续的增加；自动化的漏洞扫描无法得以完全实现，而且新的难题也将不断涌现。因此网络安全扫描技术仍有待更进一步的研究和完善。2.3 网络协议漏洞安全技术针对网络最常用的TCP/IP协议造成的漏洞，主要由防火墙技术、入侵检测技术、密码技术等技术相结合。2.3.1 防火墙技术防火墙是一种网络安全部件，是国际互连网(Internet)和局域网之间的一道安全屏障，如图2-1所示，能够阻止用户对信息资源的非法访问。它是用一个或者一组网络硬件设备将两个网络连接在一起，用于检测和

19、控制两个网络之间的通信流，根据对流经的信息包的合法性判断，实现对重要信息资源的访问控制，达到保护信息系统安全的目的。因此，防火墙不仅能够保护内部网络资源不受外网非法用户的入侵，而且对从内网向外传输的非法信息也可以进行有效的拦截。防火墙的作用是防止不希望的、未经授权的信息进出被保护的内部网络，通过边界控制强化内部网络的安全性，对两者之间的通信进行全面管理，以保障内部和外部网络之间安全、通畅的信息交换。防火墙保护的内部网络被认为是安全和可信赖的，因此，防火墙无法防范内部网络用户的攻击。防火墙可以很好地防止外部用户获得敏感数据，但是它无法防止内部用户偷窃数据、破坏硬件设备和软件等恶意行为。防火墙技术

20、不是解决所有网络安全问题的万能药方，而只是防护网络安全的策略之一，它的应用是为网络通信或者数据传输提供了更有效地保障。图2-1 防火墙示意图2.3.2 信息加密技术一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。加密技术是由加密算法来具体实施数据加密是为了保障数据在传输过程中的安全性，数据传送之前对信息进行重新编码，让截获者无法获取信息的真正内容。数据加密技术是计算机网络中基本的安全技术，为数据的安全传输提供了保障。受保护的原始信息称为明文，加密后的信息称为密文。数据加密就是对那些明文进行加密，并产生密文或密码的形式;解密就是将密文还原回去11。2.3

21、.3 入侵检测技术(IDS)入侵检测技术是继“防火墙技术”、“信息加密技术”等传统安全防护方法之后的新一代安全保障技术。入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时监控和保护，在网络系统受到危害之前进行拦截和响应等入侵行为。它所提供的数据不仅能发现用户滥用特权，还能在一定程度上提供追究入侵者法律责任的有效证据。强大的、完整的入侵检测体系可以弥补防火墙静态防御的不足12。然而，入侵检测系统同样存在很多漏洞，一方面入侵检测系统

22、的误报漏报情况较多，相对于防火墙良好的实时性来说，IDS 的效率要低得多，这给网络管理员带来许多不便。另一方面入侵检测系统的检测速度难以适应网络通信的要求，入侵检测系统通常以并联方式接入网络的，但其检测速度跟不上网络数据的传输速度，检测系统就会漏掉其中的部分数据包，从而导致漏报而影响系统的准确性和有效性。2.4 预防网络拥塞的措施2.4.1 流量控制流量监测作为安全管理系统中一个功能部分，流量监控可以控制端口的流量的大小，进行合理的分配，可以实现对网络上监测结点流量的监测并可以通过图表方式展现，有效的帮助网络管理员进行性能管理、计费管理、故障管理等网络管理的内容，并做出相宜的决策，防止网络因用

23、户访问过度造成阻塞。2.4.2 访问控制技术访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。通过对特定的网段和服务建立有效的访问控制体系，可在大多数的攻击到达之前进行阻止，从而达到限制非法访问的目的。利用访问控制技术可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。所以说访问控制技术是维护网络系统安全、保护网络资源的重要手段之一。2.4.3 VLAN技术VLAN即虚拟局域网，是目前计算机网络应用比较广泛的技术，它可以忽略主机所处的实际位置，可以根据实际需求任意加入到一个逻辑子网。整个的物理网络由交换机链接，可以通过VLAN技术将他们

24、划分成很多个小的子网，此时，一个站点发出的广播数据包，只有在同一个虚拟网中的站点才能接受和转发。交换机不会把信息发送到其他局域网端口上，这样就控制了广播风暴，在一个逻辑区域内，隔离了广播，缩小了广播的范围。虚拟局域网技术使得网络拓扑结构变得非常灵活，位于不同地理位置的站点可以随意加入到任意一个虚拟局域网中13。然而，VLAN技术也有不完善的一方面，譬如，对于基于端口的VLAN，当用户位置改变时，相应地要对网线进行迁移，或者在交换机重新配置。对于动态VLAN，VLAN建立初期，需要的工作量大。2.5 完善网络安全管理制度针对人为因素造成安全隐患，制定有效的安全管理制度尤为重要。一个良好的系统管理

25、有助于增强系统的安全性，及时发现系统安全的漏洞，审查系统安全体系，加强对使用人员的安全知识教育，建立完善的系统管理制度。制定一个切实可行又能满足其校园网络安全的管理办法。可从以下几个方面着手： 对网络安全信息知识教育结合到各学科的日常教学活动中； 对学校学生、教师以及其它可能接触到校园网络的人员进行文明上网的安全知识普及； 根据校园网络目前情况完善内部相关的各项网络信息安全规定，成立一个独具权威的管理机构进行系统化管理。通过对常见校园网络安全技术的阐述，充分说明了没有任何一种网络安全技术是可以提供所有安全服务，抵挡任何攻击，需要综合利用不同的网络安全技术进行网络安全的建设。同时，要重视管理在整

26、个系统中所发挥的重要作用，完善管理制度，加强安全教育，做到技术、管理两手一起抓，才能确保建立完善、高效的网络安全体系。3 校园网络安全模型针对常见的校园网络安全存在的隐患及问题，不仅要网络安全技术策略的维护，更需要有适用校园网络安全的模型来防范。通过笔者阅读大量的文献，参照由美国ISS公司提出的动态网络安全体系的代表P2DR模型14，提出了适用于中学网络的安全模型。如图3-1所示，该模型中防护、监测、响应和恢复组成了一个完整的、动态的安全模型。图3-1 校园网络安全模型(1)策略：策略是模型的核心，所有的防护、检测、响应和恢复都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策

27、略两个部分组成。(2)防护：防护是根据系统可能出现的安全问题而采取的预防措施，这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、流量控制和虚拟局域网技术、防火墙、安全扫描和数据备份等。(3)检测：当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。检测是动态响应的依据。(4)响应：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。(5)恢复：在系统响应之后，恢复系统就发挥功能，与响应系统相辅相成，进行系统恢复和信息恢复。同时网络管理员根据检测和响应过程，来进行恢复。在以上五个模块的支持下，笔者认为网络安全策略处于中心地位，防护、检测、响应、

28、恢复形成环形结构，在制定策略以前，需要全面考虑局域网络中如何在网络层实现安全性，并确定相应的防护手段和实施办法。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。实际上，安全问题牵涉面广，除了涉及到防护、检测、响应和恢复，系统本身安全的“免疫力”的增强、系统和整个网络的优化等问题都无法面面俱到，因此，网络安全问题无法从根本上解决，只能做到及时的防护。安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决。网络安全理论和技术还将随着网络技术、应用技术的发展而发展15。4 校园网络安全改进方案通过笔者在昌吉市一中实习信息技术的过程中

29、，对昌吉市一中校园网络的规划及建设较为清晰，市一中校园网络在中学网络的规划及维护方面具有典型的代表性，但市一中的校园网络还是存在很大的隐患，在分析校园网络的规划的基础上，将网络安全模型运用在昌吉市一中的校园网络，改进校园网络安全现状。4.1 昌吉市一中校园网络拓扑图结构分析 图4-1 昌吉市一中校园网络拓扑图昌吉市一中校园网络作为服务于全校教育科研和行政管理的计算机信息网络，实现了校园内局域网互通并通过交换机与互联网相联，如图4-1所示。但仍有很多问题，首先，校园内建筑物之间的连接选用五类及超五类双绞线，且校园网络由核心层、汇聚层和接入层构成星型百兆以太网络构成，造成校园网络的传输速率降低、带

30、宽太低；其次，由于建设校园网络初期资金方面的原因，学校网络建设经费投入严重不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施，只是在内部网与互联网之间放一个防火墙；此外，校园网络的核心层上连入的是路由器设备，由于路由器转发采用最长匹配的方式，实现复杂，通常使用软件来实现，因此转发效率较低；最后，校园网络缺少专门的网络安全服务器，对于网络安全隐患无法第一时间检测到。通过校园拓扑图分析，可以发现很多问题，因此还需不断改进校园网络现状。4.2 昌吉市一中网络存在主要问题4.2.1 IP地址欺骗、盗用市一中

31、校园网络如同大多数校园网络一样，采用TCP/IP协议，但是，TCP/IP协议本身就存在很多问题，TCP/IP协议是采用物理地址来为网络节点的唯一标识，但是由于市一中校园网络的IP地址是采用动态分配，而IP地址与MAC地址没有形成一一映射的关系，且网络采用的DHCP是服务器技术节点的地址是不固定的，是一个公共数据。因此攻击者可以直接修改节点的地址，冒充某个可信节点的地址进行攻击。4.2.2 网络拥塞由于昌吉市一中校园网络目前主干网络仍然采用双绞线连接的方式，传输速率较低，而校园网络用户经常下载课件或娱乐软件，造成网络带宽严重不足，影响正常教育科研和行政管理活动的进行。4.2.3 防御系统较为简单

32、应对较为复杂的病毒、Arp欺骗、网络软件的漏洞等安全隐患，市一中的校园网络防御系统较为简单，无法有效的进行防护。市一中的校园网络防御系统只是有简单的防火墙硬件组成，应对动态的校园网络，远远不足。因此不断完善校园网络系统，才能使得校园网络稳定、安全的运行。4.2.4 管理制度的不严格昌吉市一中校园网络内部的用户规模大、不定性因素多，面对如此活跃的网络用户，没有规范的网络安全管理制度和缺乏必要的安全管理人员已成为影响我国中学校园网络安全建设的一个重要因素。4.3 基于校园网络安全模型的改进方案 基于中学校园网安全模型，结合现行昌吉市一中校园网络使用的实际情况，在系统安全方案的设计过程中充分考虑到适

33、合昌吉市一中校园网络动态的安全需求。依次从校园网络防护、监测、响应和恢复四个部分进行改进：(1) 防护：网络管理员在用户进行访问时，应对网络访问的用户进行身份认证，对于校园网络信息采取加密的状态，在校园网络带宽有限的情况下进行流量控制及在交换机端口设置访问控制技术，限定访问用户的数量，并在防火墙技术的支持下，采用软硬件的结合，将防火墙技术不仅运用于静态网络维护。制定校园网络安全管理制度，对学校学生、教师以及其它可能接触到校园网络的人员进行文明上网的安全知识普及等方法来防护校园网络。(2) 检测：网络管理员通过运用入侵检测软件、网络安全漏洞扫描技术、杀毒软件的安装，进行网络安全的扫描实时的检测校

34、园网络的安全状态，实时跟踪，与防护系统形成互补，有效地防御网络安全隐患。对校园网络用户在实施网络安全管理制度的同时，实时的监督防范，保证校园网络安全的实时监督及检测。(3)响应：系统在检测到入侵后，入侵检测软件进行扫描拒绝非法用户的非法行为、防查杀病毒软件进行扫描响应过程都等的事件处理，来响应检测系统的进行。同时，对网络用户的使用进行适当的限制，例如，禁止学生机使用U盘等，来响应病毒的入侵等。(4)恢复：在系统响应之后，恢复系统就发挥功能，在网络扫描技术、网络安全漏洞扫描技术、杀毒软件的使用等技术进行网络的恢复。并将网络管理制度进行完善。4.4 昌吉市一中网络安全改进后效果笔者将上述网络安全设

35、计方案形成文稿后，送往昌吉市一中信息中心，网管中心的负责人和相关教师进行了认真的讨论和审阅，认为笔者的方案基本可行，同意对市一中的校园网络按照该方案进行改进，经过一学期的试运行，笔者回访了校园网络的相关用户，并对校园机房进行实地考察，发现校园网络病毒的感染率明显下降，降低了很多不必要的损失和重复劳动；有害信息和不健康的网络内容大大减少；网络环境变得简单易操作；非法访问和入侵的成功率降低很多；大部分安全问题都能够被及时发现和处理，己经成功的阻挡了多次黑客攻击行为，校园网安全得到了有利保障。安全性能总体有了较大提升，确实提高了校园的网络安全性。总体来说，本论文所研究的中学网络安全模型能够很好保障市

36、一中的校园网络安全，为昌吉市一中校园网络安全提供多层次的、全方位的立体保护。5 总结与展望本论文分析了常见的校园网络安全隐患和应对这些网络问题的相关技术做了相应的研究，并以动态P2DR安全模型为理论指导，提出了具有主动防御能力的校园网络安全模型，并将其应用于校园网络的维护中，并取得了很好的成效。 校园网络安全问题是一个复杂的系统工程, 还没有哪一种技术、产品, 能够完全解决网络的安全问题。信息对抗与安全永无止境, 校园网络安全也不可能绝对一劳永逸, 因此, 加强校园网络的安全管理是当前非常迫切、充满挑战性的任务。校园网的安全威胁来自所有的网络的用户的不恰当地使用，只有将技术和管理都重视起来,

37、才能构筑一个安全的校园网, 使校园网朝着健康的方向发展16。参 考 文 献1谢喜仁.计算机网络（第五版）M.北京：电子工业出版社，2010，4：17.2张栋毅.校园网络安全分析与安全体系方案设计D.西安：西安政治学院，2011，12:13钟平.构建基于主动防御的动态校园网络安全模型D.广东：韩山师范学院网络与教育技术中心，2008,11:434李盘荣、王浩、李文坚.校园网络安全研究与应用D.江苏：无锡市广播电视大学，2009:25杜鹏飞.校园网络安全管理探析D.山东：东营职业学院，2007,1:26王先国.校园网络安全系统的研究与设计D.南京：南京理工学院，2009,11:37敖卓缅.网络安全

38、技术及策略在校园网中的应用研究D.重庆.重庆大学计算机学院,2007,4:10-168纪楠楠.浅析校园网络安全D.黑龙江.黑龙江商业职业学院，2007,9:29朱方闻.浅析校园网络安全防范.天津市.天津市河东区职工大学,2012,5:3-410汪安娜、赵玲.浅析校园网络安全控制策略.D.鞍山.鞍山广播电视大学,2008,4:2-311丁吉安.常用网络安全技术在校园网中的应用研究D.山东,山东大学,2011,4:3-412段海新.CERNET校园网安全问题分析与对策J.中国教育网络，2005.0313袁修春.校园网安全防范体系.D.西北师范大学.计算机应用技术.2005,514董钰.基于校园网的

39、网络安全体系结构研究与设计D.山东.计算机软件与理论.2005,5:11-1215谭耀远.新世纪中国信息安全问题研究.D.大连.大连海事大学.2011,6:7-816王先国.校园网络安全系统的研究与设计.D.南京.计算机技术.2009.12:4致 谢衷心感谢我的导师孙老师。在撰写本科论文期间，孙老师对我的论文倾注了大量的精力，给予了我莫大的帮助和悉心指导。导师多次对我的论文进行审稿，并提出有针对性的修改意见，使我最后完成了学位论文的撰写。在学习和课题研究过程中，孙老师广博的学识，实事求是的科学态度，一丝不苟、孜孜不倦的教学作风和高度的热情给我留下了深刻的印象，使我铭记在心，受益终身。在此谨向尊敬的导师致以衷心的感谢！同时，感谢在网络所学习期间，给予我关心和帮助的教育技术学专业教研室的所有老师、院网络中心的王远老师、昌吉市一中网络中心的刘亮老师等诸位老师和同学们。正是得益于大家的帮助，我才顺利地完成了毕业论文。最后，再次感谢昌吉学院，在大学四年，我学到了终生受用的东西。这一段美好的学习生活，将永远铭记在我的心里。