1校園網(wǎng)安全測度分析及安全保障體系設(shè)計1. 校園網(wǎng)概述校園網(wǎng)的概念一般而言，校園網(wǎng)是指由計算機、網(wǎng)絡(luò)技術(shù)設(shè)備和軟件等構(gòu)成的，為學(xué)校教學(xué)科研、管理、后勤等服務(wù)的集成應(yīng)用系統(tǒng)，并可通過的互聯(lián)實現(xiàn)遠距離

1

校園網(wǎng)安全測度分析

及安全保障體系設(shè)計

1. 校園網(wǎng)概述

校園網(wǎng)的概念

一般而言，校園網(wǎng)是指由計算機、網(wǎng)絡(luò)技術(shù)設(shè)備和軟件等構(gòu)成的，為學(xué)校教學(xué)科研、管理、后勤等服務(wù)的集成應(yīng)用系統(tǒng)，并可通過的互聯(lián)實現(xiàn)遠距離信息交流和共享的局域網(wǎng)絡(luò)資源。

校園網(wǎng)作為學(xué)校師生和管理人員所依托的重要資源、學(xué)校辦學(xué)的重要基礎(chǔ)設(shè)施，為學(xué)校師生及科研人員提供著自動化、計算機管理、計算機輔助教學(xué)、資源共享及信息交流等全方位服務(wù)。

校園網(wǎng)網(wǎng)絡(luò)是一個非常龐大而復(fù)雜的系統(tǒng)，它通過有限或無線方式接入教育網(wǎng)絡(luò)或公用網(wǎng)絡(luò)，通過網(wǎng)路實現(xiàn)校園內(nèi)外教育資源共享。為廣大師生提供著多種應(yīng)用服務(wù)。這里我們將主要精力集中在探討復(fù)雜校園網(wǎng)系統(tǒng)中信息系統(tǒng)層面。

系統(tǒng)理論中，系統(tǒng)被定義為：具有對外部功能、自組織機能，開放耗散結(jié)構(gòu)，并由多元素組成的多層次、多剖面復(fù)雜動態(tài)綜合的整體。由此定義可知校園網(wǎng)正是一個典型的系統(tǒng)，它具有著典型的系統(tǒng)特征并遵從系統(tǒng)運動規(guī)律。

校園網(wǎng)網(wǎng)絡(luò)安全的重要性

隨著高校信息化水平的提高，網(wǎng)絡(luò)在高校的辦公、教學(xué)、科研、學(xué)術(shù)交流等各個領(lǐng)域都發(fā)揮著不可或缺的重要作用，特別是Internet 的普及，為我們獲得信息、傳遞消息提供了一條最迅捷的途徑。隨著網(wǎng)上辦公系統(tǒng)、遠程教育的使用，高校工作都越來越依賴于網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)的開放性與互聯(lián)性為我們帶來方便的同時，也引入很多不安全因素，例如計算機病毒、黑客入侵等等。這些不良信息嚴(yán)重影響到校園網(wǎng)的信息安全，甚至影響到校園網(wǎng)絡(luò)的正常使用。本文就X 校園網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀并結(jié)合《信息系統(tǒng)與安全對抗理論》一書，淺談該校園網(wǎng)不安全因素，并根據(jù)分析結(jié)果設(shè)計該校園網(wǎng)安全保障體系。

2

現(xiàn)給出X 大學(xué)校園網(wǎng)網(wǎng)絡(luò)拓撲圖如下所示：

圖1 X 大學(xué)校園網(wǎng)網(wǎng)絡(luò)拓撲圖

2. 校園網(wǎng)系統(tǒng)安全問題占位分析

信息系統(tǒng)作為為人類服務(wù)的一種重要工具，除應(yīng)考慮其基本功能外，在設(shè)定指標(biāo)的體系中還要考慮安全因素及使用性能，并根據(jù)實際應(yīng)用環(huán)境加以三因素的系統(tǒng)綜合運籌考慮。校園網(wǎng)作為一類典型的信息系統(tǒng)有其獨特的安全性能測度，以下表征進行普通校園網(wǎng)安全問題占位分析。

基于安全性能等方面考慮，并為突出信息系統(tǒng)不同特征，可將信息系統(tǒng)概略地分為三類：

○1安全對抗性能是信息系統(tǒng)性能指標(biāo)中及重要的組成部分，應(yīng)優(yōu)先著重實現(xiàn)相應(yīng)的安全措施，以保證系統(tǒng)總性能總體符合要求；

○2安全對抗性能重要但不占壓倒性地位，應(yīng)就重要性能指標(biāo)來綜合運籌，使系統(tǒng)整體性能達到可接受程度；

○3安全對抗性能不占重要部分，不著重考慮其實現(xiàn)措施。

根據(jù)上述關(guān)于安全性能占位分析的定義并結(jié)合X 校園網(wǎng)實際情況，X 校園網(wǎng)

3

在安全問題的占位情況應(yīng)屬于第二類情況。校園網(wǎng)功能甚多，安全性能與其他性能需綜合考慮，校園網(wǎng)安全性能重要，但其他性能也不能考慮不夠而造成其他功能消弱甚至到不能接收程度。

將校園網(wǎng)安全問題置于整個系統(tǒng)頂層分析并根據(jù)其占位特殊性綜合統(tǒng)籌考慮有助于我們在妥善處理校園網(wǎng)安全問題的同時，協(xié)調(diào)其他系統(tǒng)性能。

3. 校園網(wǎng)不安全因素 3.1 校園網(wǎng)安全問題產(chǎn)生根源

辯證哲學(xué)認為，對立統(tǒng)一律認定事物的存在是體現(xiàn)在不停運動之中，運動發(fā)展即是矛盾對立統(tǒng)一的運動，沒有矛盾就沒有發(fā)展。所以，信息安全問題的根源在于矛盾運動。

網(wǎng)絡(luò)技術(shù)、科技的不完善，社會、校園的多重矛盾，人在工作時的各種失誤都是造成校園網(wǎng)安全問題的直接因素。

3.2 校園網(wǎng)的具體功能

具體到本文分析的X 大學(xué)校園網(wǎng)，我們先給出該校園網(wǎng)的具體功能，也就是該信息系統(tǒng)的序。信息系統(tǒng)的自組織特性會形成多層次宏觀序，并且與環(huán)境共同進化，由此可見校園網(wǎng)的功能特性也就是維持該系統(tǒng)正常運行的序。

下圖所示為校園網(wǎng)系統(tǒng)的部分功能：

圖2 X 大學(xué)校園網(wǎng)系統(tǒng)的功能

4

3.3 校園網(wǎng)不安全因素

(1) 系統(tǒng)安全缺陷

校園網(wǎng)系統(tǒng)的安全缺陷定義為與系統(tǒng)相關(guān)的漏洞或脆弱性，缺陷可以導(dǎo)致系統(tǒng)抵御攻擊能力減弱，具體安全缺陷如下：

○1數(shù)據(jù)處理環(huán)節(jié)：數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)輸出、管理控制、軟件等都可能存在安全缺陷；

○2軟件安全缺陷：陷門、操作系統(tǒng)漏洞、數(shù)據(jù)庫安全漏洞、TCPIP協(xié)議安全漏洞。目前使用的操作系統(tǒng), 絕大多數(shù)是Windows ，存在安全缺陷, 如自身安全漏洞、瀏覽器的漏洞、IIS 的漏洞等, 例如有名的Windows DCOM 蠕蟲病毒就是利用Windows 漏洞進行攻擊的；

○3硬件結(jié)構(gòu)隱患：網(wǎng)絡(luò)拓撲結(jié)構(gòu)本身就可能給網(wǎng)絡(luò)帶來各種安全問題，如圖1所示X 大學(xué)校園網(wǎng)為星型拓撲結(jié)構(gòu)擴展困難、對中央結(jié)點依賴性太強，中心結(jié)點一經(jīng)破壞可能造成正網(wǎng)癱瘓，影響嚴(yán)重。如，該校園中常出現(xiàn)DNS 域名解析系統(tǒng)損壞的情況，長時間內(nèi)都只能通過輸入IP 地址訪問網(wǎng)站，使用極為不方便，影響了廣大師生的正常工作、學(xué)習(xí)。

(2) 計算機病毒

計算機病毒往往直接對校園網(wǎng)系統(tǒng)進行破壞，其對個人和系統(tǒng)的危害嚴(yán)重。主要有：病毒激發(fā)計算機數(shù)據(jù)信息的直接破壞作用、占用磁盤空間對信息的破壞、搶占系統(tǒng)資源、影響計算機運行速度等。校園網(wǎng)接入Internet 的時候, 即使有防火墻和殺毒軟件的保護, 還是不可避免的沾染病毒。個人手中的手機、PDA 、U 盤都可以成為病毒的傳播介質(zhì)，這極大地威脅著校園網(wǎng)整體安全。計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈等常見病毒嚴(yán)重危害著計算機的安全性能。

(3) 垃圾郵件

垃圾郵件就是未經(jīng)用戶許可就強行發(fā)送到用戶的郵箱中的任何電子郵件。垃圾郵件對使用該校園網(wǎng)的個人危害是巨大的, 主要表現(xiàn)在以下幾個方面:

○1占用網(wǎng)絡(luò)帶寬, 造成郵件服務(wù)器擁塞, 從而降低整個網(wǎng)絡(luò)的運行效率； ○2侵犯收件人的隱私權(quán), 侵占信箱空間, 耗費收件人的時間、精力；

○3被黑客利用, 造成被攻擊網(wǎng)站網(wǎng)路堵塞, 嚴(yán)重時會使校園網(wǎng)癱瘓；

○4妖言惑眾，騙人錢財，傳播色情等內(nèi)容的垃圾郵件。

5

(4) 人為因素 (使用者角度)

○1人為蓄意因素：

黑客攻擊，如入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等；

網(wǎng)站流覽量過大，如在BBS 上爆吧影響人們正常使用，如69圣戰(zhàn)中WOWER 和SJER 互相爆吧，在水潭上亂發(fā)無用信息，一段時間內(nèi)相關(guān)網(wǎng)站損害嚴(yán)重、不能訪問。

○2人為不可避免因素：

由于網(wǎng)絡(luò)帶寬的限制，校園網(wǎng)訪問量不能過大，否則造成網(wǎng)絡(luò)阻塞現(xiàn)象。如果X 校園網(wǎng)內(nèi)學(xué)生選課系統(tǒng)經(jīng)常在重要時刻癱瘓，將會影響學(xué)生的正常使用。

(5) 人為因素 (管理者角度)

管理手段不到位、保密措施不嚴(yán)謹(jǐn)、師生法律意識淡薄使學(xué)校重要信息經(jīng)互聯(lián)網(wǎng)泄露。校園機密泄露案例不勝枚舉，前些時間網(wǎng)上就曾爆出某大學(xué)“非正常生源來源”，一時間給社會造成巨大震撼。

(6) 一卡通、圖書館系統(tǒng)不穩(wěn)定

一卡通、圖書館系統(tǒng)是廣大師生日常使用的重要部分，我們經(jīng)常遇到的問題有：一卡通不能正常付費，圖書館館藏資料不能正常查詢。這是由于科技發(fā)展的不完善造成的，不精準(zhǔn)的系統(tǒng)在日常工作中使用頻繁出錯。

(7) 自然因素

火災(zāi)、雷電、地震等自然災(zāi)害都會直接導(dǎo)致計算機硬件系統(tǒng)損毀，而硬件系統(tǒng)損毀造成的信息的損失將是非常嚴(yán)重。我們知道電是計算機正常工作的最基本的保障。但是計算機系統(tǒng)的內(nèi)存多數(shù)都是掉電易失的，一旦異常掉電，正在處理的信息將會全部丟失，導(dǎo)致信息不完整。信息不完整會污染正常的信息系統(tǒng)，這常常是致命的。我們對抗的主要目的是維護、保持個性信息，然而目的性與自然選擇性是矛盾的對立統(tǒng)一，系統(tǒng)的動態(tài)發(fā)展不可避免的受自然選擇行限制，這是難以避免的。

4. 校園網(wǎng)安全保障體系設(shè)計

4.1校園網(wǎng)安全及防范信息攻擊的防范概念

6

校園網(wǎng)安全問題是社會、科技和信息系統(tǒng)發(fā)展的一個矛盾側(cè)面，它沒有終結(jié)只有隨著社會、技術(shù)的發(fā)展而發(fā)展，在發(fā)展中解決存在的問題，又會產(chǎn)生新的矛盾，再在發(fā)展中解決，性能良好的校園網(wǎng)應(yīng)該在這種自我調(diào)節(jié)中形成發(fā)展中的動態(tài)平衡。

在信息攻擊方面具體的攻擊包括個性信息攻擊及個性關(guān)系攻擊，反攻擊實際上是將反個性信息及反個性關(guān)系整合在一起實施反攻擊。具體原理性方法有： ○1 在時間、空間維以“反其道而行之”為核心形成一系列技術(shù)方案性對抗方法； ○2 防止攻擊連續(xù)擴大。

校園網(wǎng)系統(tǒng)及其服務(wù)群體作為一個整體，應(yīng)按其“特殊性”加以安全保護。系統(tǒng)層面上講復(fù)雜的校園網(wǎng)系統(tǒng)不同于其他任何一種系統(tǒng)其本身就具有特殊性，全面構(gòu)建安全保障體系不僅涉及技術(shù)方面還涉及管理方面、資源方面，而且校園網(wǎng)系統(tǒng)本身具有開放性特征，這更增加了管理保障、安全服務(wù)的困難，只有根據(jù)不同重點服務(wù)項所可能引發(fā)的安全威脅程度，結(jié)合技術(shù)進行動態(tài)考慮才可以。

4.2校園網(wǎng)安全保障體系設(shè)計

要保證信息與信息系統(tǒng)基本安全屬性的要求，需要信息系統(tǒng)具有如下基本能力：網(wǎng)絡(luò)與信息系統(tǒng)對信息安全事件的防御能力、發(fā)現(xiàn)能力、應(yīng)急能力和對抗能力。

○1 防御能力：指采取手段與措施，使得信息系統(tǒng)具有防范、抵御各種先進的針對信息與信息系統(tǒng)攻擊的能力。

○2 發(fā)現(xiàn)能力：指采取手段與措施，使得信息系統(tǒng)具有檢測、發(fā)現(xiàn)各種已知或未知的、潛在與事實上的針對信息與信息系統(tǒng)攻擊的能力，這與制對抗信息權(quán)有關(guān)。 ○3 應(yīng)急能力：指采取手段與措施，使得信息系統(tǒng)針對各種突發(fā)事件，具備及時響應(yīng)、處置信息系統(tǒng)所遭受的攻擊，恢復(fù)信息系統(tǒng)基本服務(wù)功能。

○4 對抗能力：指采取手段與措施，反其道而行之，對抗信息系統(tǒng)攻擊，達到獲取信息、控制信息系統(tǒng)、終止信息系統(tǒng)服務(wù)、追蹤攻擊源頭的能力。

對于X 學(xué)校校園網(wǎng)來說，要使系統(tǒng)具有上述能力，就要綜合運用管理方法、科學(xué)技術(shù)和信息、有關(guān)資源三個基本要素，通過合理配置各項資源，建立管理與技術(shù)相互協(xié)調(diào)的信息安全保障體系。

(1) 管理方面

7

實質(zhì)上安全風(fēng)險源于不同社會主體所涉及的社會地位和不同的利益，需要有不同的法律來規(guī)范和調(diào)整，也需要由不同的校園內(nèi)職能部門來監(jiān)督和管理。 ○1 法律方面：

《中國互聯(lián)網(wǎng)白皮書》一文指出“中國依法管理互聯(lián)網(wǎng)。1994年以來，中國頒布了一系列與互聯(lián)網(wǎng)管理相關(guān)的法律法規(guī)，主要包括《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國電子簽名法》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息網(wǎng)絡(luò)傳播權(quán)保護條例》、《外商投資電信企業(yè)管理規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》等??”。

由此可以看出我國對于依法管理、科學(xué)管理和有效管理互聯(lián)網(wǎng)有著較為完善的互聯(lián)網(wǎng)管理體系。這些法律法規(guī)的制定同樣使用于校園網(wǎng)的使用，他們方便校園網(wǎng)的管理者依法治網(wǎng)，賦予管理者權(quán)利管理校園網(wǎng)域名、IP 地址等互聯(lián)網(wǎng)基礎(chǔ)資源的管理。而在校園網(wǎng)系統(tǒng)管理過程中，作為一個互聯(lián)網(wǎng)的子系統(tǒng)，政府在互聯(lián)網(wǎng)管理中發(fā)揮主導(dǎo)作用，提供著法律方面的保障。這說明任何系統(tǒng)必定蘊含于更大的子系統(tǒng)，為其子系統(tǒng)。而子系統(tǒng)有著大系統(tǒng)的特征與規(guī)律。

○2 行政方面：

安全管理貫穿整個安全防范體系，是安全防范體系的核心，代表了安全防范體系中人的因素。系統(tǒng)里除了客觀存在的屬性外，還應(yīng)能夠與人結(jié)合、被人掌握、為人所以利用。人是萬物之靈，但在緊張的長期工作中，會因種種不可避免原因發(fā)生疏漏、錯誤，其中部分會形成安全問題而對整個系統(tǒng)造成破壞。

建立校園網(wǎng)嚴(yán)格制度。制訂網(wǎng)絡(luò)建設(shè)方案、機房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、校園網(wǎng)安全指南、學(xué)生上網(wǎng)使用手冊、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護記錄一系列的制度保證校園網(wǎng)的核心部門高安全、高可靠地運作。從內(nèi)到外，層層落實，動態(tài)管理，適應(yīng)新的網(wǎng)絡(luò)需求，如網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，調(diào)整校園網(wǎng)絡(luò)的安全管理策略。

加強網(wǎng)絡(luò)技術(shù)的培訓(xùn)。網(wǎng)絡(luò)安全技術(shù)是一門綜合性的技術(shù)，網(wǎng)絡(luò)管理人員必須不斷地學(xué)習(xí)新的網(wǎng)絡(luò)知識，掌握新的網(wǎng)絡(luò)產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻

8

擊、分組竊聽、IP 欺騙、拒絕服務(wù)、端口攻擊等多樣化的攻擊手段，才能更好地管理好網(wǎng)絡(luò)。

加強用戶的安全意識。網(wǎng)絡(luò)安全最大的威脅不是來自設(shè)備，而是網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全知識的缺乏。網(wǎng)絡(luò)中心定期發(fā)布網(wǎng)絡(luò)安全上網(wǎng)FAQ ，提供電話咨詢，加強用戶的安全意識，引導(dǎo)用戶自覺安裝防病毒軟件，打補丁，自動更新操作系統(tǒng)，對不熟悉的軟件不要輕易安裝。

(2) 技術(shù)方面

根據(jù)技術(shù)不同特點，某校園網(wǎng)系統(tǒng)及其服務(wù)群體的安全保護方法可以從不同角度加以綜合考慮，如可從物理安全、運行安全、數(shù)據(jù)安全、內(nèi)容安全四個層面考慮，也可從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、計算環(huán)境幾個方面加以考慮。不同方面考慮側(cè)重點不同，但這里為了建立X 校園網(wǎng)系統(tǒng)層面的概念，將該系統(tǒng)根據(jù)不同安全需求劃分為不同的域和層次，再根據(jù)具體情況，制定針對性的安全措施保障。

在技術(shù)層面，構(gòu)建X 校園網(wǎng)安全保障體系涉及多項技術(shù)。如為了保護校內(nèi)計算機環(huán)境安全，可采取訪問控制、身份驗證技術(shù)；為保護校園網(wǎng)邊界，可以采用加密解密技術(shù)，采用虛擬專用網(wǎng)技術(shù)；為防止外部攻擊，可以采用防火墻、網(wǎng)絡(luò)入侵檢測、蜜罐技術(shù)等；為防止病毒，可以采用殺毒軟件和操作系統(tǒng)加固技術(shù)等。每種安全措施在面對達“保障安全目的”實施的技術(shù)措施中，即由為達目的直接措施出發(fā)逐步落實效果，必然遵照從核心環(huán)節(jié)逐次轉(zhuǎn)移直至普通技術(shù)為止這一規(guī)律，從而形成串行結(jié)構(gòu)。為突出主要矛盾，下面簡單介紹防火墻、入侵檢測技術(shù)、虛擬專用網(wǎng)技術(shù)和IP 地址與MAC 地址綁定技術(shù)。

○1 防火墻

防火墻是一種邏輯隔離技術(shù)，通過對達到數(shù)據(jù)流量特性和行為進行規(guī)劃性分析。根據(jù)分析結(jié)果給出是否允許數(shù)據(jù)流通過的判斷。防火墻技術(shù)包括:包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)、電路網(wǎng)管技術(shù)、地址翻譯技術(shù)、加密技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)、安全審校技術(shù)、身份認證技術(shù)等。此處也體現(xiàn)，核心技術(shù)轉(zhuǎn)移形成串行結(jié)構(gòu)思想。

○2 入侵檢測技術(shù)

入侵檢測技術(shù)(IPS)是為了保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，一種用于檢測計算機網(wǎng)絡(luò)中違

9

反安全策略行為的技術(shù)。如果建立簡單的“共道-逆道”對抗模型，入侵檢測技術(shù)的使用應(yīng)該屬于共道收集信息階段，這有助于展開隨后的反其道而行之逆道過程。

總體來說，提高警覺性是必要的，但還要和其他環(huán)節(jié)一起配合使用才能從根本上提高網(wǎng)絡(luò)安全性能。管理者應(yīng)該有這種制對抗信息權(quán)及建立快速響應(yīng)原理的概念，一經(jīng)非法入侵，在對抗環(huán)境下爭奪對抗信息為己用，利用優(yōu)勢，以便 “建立系統(tǒng)對策響應(yīng)”。

○3 虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)(VPN)是通過一個公共網(wǎng)絡(luò)建立一個臨時的、安全的連接、是通過一條穿過混亂的公用網(wǎng)絡(luò)安全、穩(wěn)定的隧道。VPN 具有：加密數(shù)據(jù)、信息認證和身份認證、提供訪問控制等功能。

如果X 校園再建立其他校區(qū)，可考慮使用虛擬專用網(wǎng)絡(luò)技術(shù)，但根據(jù)系統(tǒng) “得必有失” 公理，提高網(wǎng)絡(luò)安全性能的同時必定X 校園帶來硬件維護難、資金缺乏的困擾，因此要權(quán)衡成本及代價與實效，根據(jù)矛盾對立同一律中的“目的性與自然選擇性”修改網(wǎng)絡(luò)拓撲。

○4 IP 地址與MAC 地址綁定

IP 地址基于邏輯，比較靈活，不受硬件限制，也容易記憶。MAC 地址在一定程度上與硬件一致，基于物理，能夠標(biāo)識具體。這兩種地址各有好處，使用時也因條件而采取不同的地址。

IP 地址與MAC 地址綁定技術(shù)適用于像校園網(wǎng)這樣的局域網(wǎng)，基本不會出現(xiàn)盜IP 的現(xiàn)象，即便出現(xiàn)的話，由于所盜取的IP 與本機MAC 不匹配，也不能進行網(wǎng)絡(luò)連接，防止了ARP 欺騙。這樣可以很方便的對局域網(wǎng)內(nèi)的計算機進行管理。

(3) 資源方面

管理和技術(shù)的有效實施都最終依賴于各種必須的資源，包括人才、資金、基礎(chǔ)設(shè)施、場所等。人既可以是校園網(wǎng)管理規(guī)定的制定者與執(zhí)行者，也可以是管理規(guī)定的遵循者與制約者；資金既是建設(shè)管理體系的必要條件也是建設(shè)技術(shù)體系的必要條件；基礎(chǔ)設(shè)施既可以是技術(shù)成果的結(jié)晶，又可以是服務(wù)于管理及技術(shù)的資源；那些可以服務(wù)于信息安全成型的、固有的、客觀存在的規(guī)則、設(shè)施、機構(gòu)，

10

以及人才、資金、教育等，都可以看做是可調(diào)配的服務(wù)于信息安全保障體系的資源。

核心技術(shù)轉(zhuǎn)移到資源范疇上易產(chǎn)生脆弱性環(huán)節(jié)。因此，在校園網(wǎng)規(guī)劃設(shè)計階段就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。重要的設(shè)備，如各種服務(wù)器、主干交換機、路由器等要集中管理。通信線路盡量實行深埋、穿線或架空，并有明顯標(biāo)記，防止無意損壞。此外，對于涉密信息，應(yīng)該建立專門的保密通信專用網(wǎng)并建立加密措施。

綜上所述，從校園網(wǎng)系統(tǒng)及其服務(wù)群體整體考慮，其安全保護方法要從管理、技術(shù)、資源三個方面入手，實現(xiàn)整個系統(tǒng)的防御、發(fā)現(xiàn)、應(yīng)急和對抗能力，從而保證校園網(wǎng)系統(tǒng)運行的幾個基本安全屬性，即保護機密性、保護完整性、保護可用性、保護真實性、保護可控性等。

校園網(wǎng)中信息安全問題是個非常重要的問題，學(xué)校管理人員、師生應(yīng)十分重視。這里結(jié)合X 學(xué)校校園網(wǎng)占位分析，將安全問題融入整個系統(tǒng)，并利用系統(tǒng)理論和安全對抗系統(tǒng)層面、基礎(chǔ)層面的原理，將X 學(xué)校信息安全問題融入系統(tǒng)功能頂層綜合運籌考慮，簡單地建立了系統(tǒng)安全保障體系。

5. 結(jié)語

本文結(jié)合X 校園網(wǎng)網(wǎng)絡(luò)拓撲圖，分析了校園網(wǎng)的潛在安全問題，針對安全隱患提出了相應(yīng)的安全保障體系。

校園網(wǎng)是一個復(fù)雜的系統(tǒng)，其生存根本原因在于校園網(wǎng)的“功能”、“結(jié)構(gòu)”、“環(huán)境”及其他系統(tǒng)間眾多相關(guān)關(guān)系的對立統(tǒng)一。有矛盾才有發(fā)展。校園網(wǎng)系統(tǒng)具有開放自組織結(jié)構(gòu)特征，作為更大的互聯(lián)網(wǎng)系統(tǒng)的子系統(tǒng)，校園網(wǎng)系統(tǒng)與環(huán)境共同進化。

校園網(wǎng)系統(tǒng)的信息安全問題不可避免伴隨矛盾運動產(chǎn)生，校園網(wǎng)保障體系是一個不容忽視的防范攻擊措施，同時應(yīng)將校園網(wǎng)保障體系是融入整個系統(tǒng)中考慮，伴隨大系統(tǒng)共同進化。