構(gòu)建安全的校園網(wǎng)絡(luò)體系

1、構(gòu)建安全的校園網(wǎng)絡(luò)體系摘要：建設(shè)校園網(wǎng)時，如果缺乏安全意識、安全管理，整個校園網(wǎng)的安全將會面臨極大的威脅。因此，使用相關(guān)的安全技術(shù)去構(gòu)建一個安全、可靠的校園網(wǎng)絡(luò)成了當(dāng)前急需考慮的問題。關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防范技術(shù)因為院校教育信息化的不斷發(fā)展，信息網(wǎng)絡(luò)在學(xué)校的教學(xué)、科研及管理中起到了不可或缺的重要作用。使得高等院校的核心資產(chǎn)變成了信息網(wǎng)絡(luò)?？墒蔷W(wǎng)絡(luò)的開放性特點（尤其是Internet的全球性），使得網(wǎng)絡(luò)面臨著巨大的安全性風(fēng)險。首先諸如病毒、網(wǎng)絡(luò)漏洞、拒絕服務(wù)、網(wǎng)絡(luò)破壞性攻擊等網(wǎng)絡(luò)威脅的存在；其次不完善的網(wǎng)絡(luò)協(xié)議、各種軟件；還有網(wǎng)絡(luò)管理人員的錯誤，最終使風(fēng)險成為實際的災(zāi)難。不斷發(fā)生的網(wǎng)絡(luò)入侵

2、事件，令校園網(wǎng)絡(luò)的安全和正常使用都受到了嚴重的威脅。如網(wǎng)絡(luò)中斷，數(shù)據(jù)被盜用、暴露或篡改，更甚者使學(xué)校與外部的聯(lián)系中斷，從而使得學(xué)校正常的教學(xué)及科研工作不能夠順利開展。 造成這種狀況，初步分析原因主要有： 1不合理的投入比例 只有增大校園網(wǎng)硬件設(shè)施的投入，才能獲得校園網(wǎng)的速度和規(guī)模，相應(yīng)的校園網(wǎng)的用戶群體也得到提高。恰恰正由于高寬帶和用戶量大這兩個特點，網(wǎng)絡(luò)安全問題才顯得比較嚴重。數(shù)千臺計算機的安全只能靠少數(shù)工作人員來維護，投入明顯不足。 2校園網(wǎng)中的計算機系統(tǒng)管理難度大 由于很難在所有的端系統(tǒng)實施統(tǒng)一的安全政策，這樣便使得“入侵者”有機可乘，病毒泛濫。 3濫用盜版 一方面由于操作系統(tǒng)本身存在的

3、網(wǎng)絡(luò)安全漏洞，如NT服務(wù)器及Windows桌面PC，會給網(wǎng)絡(luò)安全帶來了一定的隱患。如：安裝盜版的計算機系統(tǒng)存在大量的安全漏洞。另一方面，如果從網(wǎng)絡(luò)上隨意下載軟件，這些軟件中可能隱藏著木馬、后門等惡意代碼，因此而成為攻擊者侵入和利用的突破口。 4、活躍的用戶群體 校園網(wǎng)中最大的用戶群體是大學(xué)生，他們好奇心強、求知欲旺，勇于嘗試，但是缺乏法律意識，自控能力相對也比較差。在這種情況下，他們完全出于好奇的會對校園網(wǎng)發(fā)起非惡意攻擊，這也是對校園網(wǎng)絡(luò)安全性的一種極大考驗。 5不健全的機制 首先校園網(wǎng)中沒有對用戶實行有效的身份認證機制，其次網(wǎng)絡(luò)系統(tǒng)的安全性缺乏有效的手段進行監(jiān)視、評估，還有就是不能采取有效的

4、入侵檢測辦法，同時針對入侵采取主動式的防御措施。 6網(wǎng)絡(luò)的開放性 由于校圓網(wǎng)擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多重要角色，為保持學(xué)術(shù)氣氛活躍和應(yīng)用便利，通常不能實施過多的限制。也就決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也比較寬松。 7網(wǎng)絡(luò)不可信 沒有有效的整合各種安全技術(shù)及措施，并使它們協(xié)同工作，形成不了一個安全可信的體系結(jié)構(gòu)。 8.P2P下載 校園網(wǎng)提供的迅雷、BT、電驢及Flashget等下載軟件服務(wù)，使得用戶利用這些軟件下載音樂、視屏?xí)r，占用了網(wǎng)絡(luò)大量帶寬。這嚴重影響校園網(wǎng)的運行。 9.垃圾郵件 校園網(wǎng)的電子郵件服務(wù)器缺乏有效的郵件過濾機制和限制郵件轉(zhuǎn)發(fā)機制，從而使其成為大量垃圾郵件

5、的中轉(zhuǎn)站、垃圾郵件的攻擊對象。這樣不僅會造成郵件服務(wù)器阻塞，還會增大校園網(wǎng)的網(wǎng)絡(luò)流量，更有甚者導(dǎo)致郵件服務(wù)器崩潰。 雖然有關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)，也制定了網(wǎng)絡(luò)安全機制，但是由于各種各樣的原因，并沒有得到很好的貫徹和落實。相反，黑客卻經(jīng)常利用網(wǎng)絡(luò)這個平臺進行技術(shù)交流活動。由此可見，構(gòu)建一個合理的、主動的、系統(tǒng)的校園網(wǎng)安全體系顯得至關(guān)重要。 由上分析可知，校園網(wǎng)絡(luò)安全存在的主要問題就是如何對病毒進行預(yù)防、對訪問進行控制、對身份進行驗證和加密技術(shù)、修補系統(tǒng)安全漏洞等。一個網(wǎng)絡(luò)，既要從網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用等多方面考慮網(wǎng)絡(luò)內(nèi)部的安全性，又要考慮本網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互聯(lián)時的安全

6、性。 一、防火墻技術(shù) 目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)就是防火墻技術(shù)。 防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Intemet)相對分開的方法，說到底其實就是一種隔離技術(shù)。當(dāng)兩個網(wǎng)絡(luò)進行通信時，防火墻作為一種訪問控制尺度，它既可以使用戶“同意”的人和數(shù)據(jù)進入自己的網(wǎng)絡(luò)，也可以使那些未經(jīng)用戶認可的訪問者和數(shù)據(jù)禁止通行。通過這個方式，黑客便不能隨意入侵網(wǎng)絡(luò)更改、拷貝和破壞用戶的信息。防火墻主要有三種類型：包過濾型、代理服務(wù)器型、全狀態(tài)包過濾型。 二、入侵檢測技術(shù) 僅僅靠防火墻技術(shù)的應(yīng)用往往不足以保證網(wǎng)絡(luò)的安全，尤其是不能抵御來自防火墻內(nèi)側(cè)的入侵。入侵檢測系統(tǒng)是以智能和動態(tài)分析為基礎(chǔ)，在當(dāng)今

7、的網(wǎng)絡(luò)的作用越來越強大，它不僅可以實時檢測來自外部的入侵行為，還可以實時檢測到來自內(nèi)部的未授權(quán)活動。同時能夠及時采取相應(yīng)的記錄證據(jù)、跟蹤入侵、恢復(fù)或斷開網(wǎng)絡(luò)連接等防護手段。入侵檢測實行的是以攻為守的策略，它不僅能夠發(fā)現(xiàn)合法用戶濫用特權(quán)，還能成為追究入侵者法律責(zé)任的有效證據(jù)，從而有效的彌補了防火墻相對靜態(tài)防御的不足。 三、身份驗證技術(shù) 校園網(wǎng)上運行著教學(xué)管理系統(tǒng)、財務(wù)管理系統(tǒng)和各種對外服務(wù)如Web，F(xiàn)TP服務(wù)等數(shù)據(jù)庫系統(tǒng)。如果安全措施不到位，這些數(shù)據(jù)就會有被非法取出、被復(fù)制，從而造成信息的泄露，更甚者數(shù)據(jù)被非法刪改。目前校園網(wǎng)絡(luò)是以Windows為主的操作系統(tǒng)平臺，對應(yīng)的主要安全技術(shù)有操作系統(tǒng)安

8、全策略、安全管理策略、數(shù)據(jù)安全等方面【2】： 1.操作系統(tǒng)安全策略用于配置本地計算機的安全設(shè)置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派等安全選項。 2.安全管理策略是指網(wǎng)絡(luò)管理員對系統(tǒng)實施安全管理所采取的方法及策略。 四、訪問控制技術(shù)和內(nèi)容審計技術(shù) 訪問控制也叫接入控制。當(dāng)非授權(quán)用戶進入網(wǎng)絡(luò)、訪問計算機資源和通信資源時能夠得到及時禁止。訪問控制可以根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限。從而當(dāng)用戶發(fā)起訪問時，可以根據(jù)規(guī)則判斷主體對客體的訪問是否合法。判斷的方法主要有口令、用戶分組控制和文件權(quán)限控制。內(nèi)容審計的內(nèi)容有:發(fā)郵件的審計、WEB網(wǎng)頁審計、TELNET審計、FTP審計和

9、即時聊天工具審計等。 五、VPN技術(shù) VPN(Virtual Private Network)虛擬專用網(wǎng)是指通過公共網(wǎng)絡(luò)將物理上分布在不同地點的網(wǎng)絡(luò)連接成邏輯上的虛擬子網(wǎng)，并采用一些在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)，比如認證、訪問控制、機密性、數(shù)據(jù)完整性等，使得數(shù)據(jù)能夠很安全的通過“加密管道”在公用網(wǎng)絡(luò)中傳播。VPN技術(shù)利用在廣闊的廣域網(wǎng)中拉專線的方法，使得內(nèi)部信息能夠在公共信息網(wǎng)中進行傳遞。 六、漏洞掃描技術(shù) 漏洞掃描可以實現(xiàn)自動檢測遠端或本地主機安全弱點。它在查詢TCPIP端口的同時記錄目標(biāo)的響應(yīng)，并收集正在進行的服務(wù)、擁有這些服務(wù)的用戶是否支持匿名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等信息。通

10、過安全掃描，便能在很短的時間內(nèi)收集到安全弱點，并解決這些問題。 七、加密技術(shù) 加密是指只有收發(fā)雙方才能夠通過對信息的重新組合，從而還原信息的技術(shù)。數(shù)據(jù)加密技術(shù)使得網(wǎng)絡(luò)上的信息系統(tǒng)及數(shù)據(jù)的安全性和保密性得到提高，從而有效防止秘密數(shù)據(jù)被破壞。它是許多安全措施的基本保證。加密后的數(shù)據(jù)在傳輸、使用和轉(zhuǎn)換時將不能被第三方知曉內(nèi)容。基于該特點，使用數(shù)據(jù)加密技術(shù)是確保校園網(wǎng)絡(luò)中傳送信息安全的重要保證。 實際建設(shè)管理網(wǎng)站經(jīng)驗表明，只有用以上技術(shù)保證了校園網(wǎng)站的安全運行，才能為學(xué)校的教學(xué)、行政管理、信息交流等提供一個安全的網(wǎng)絡(luò)平臺。 參考文獻： 【1】 韓東海，王超，李群入侵檢測系統(tǒng)實例剖析北京清華大學(xué)出版社，2002 【2】 李明，王柏盛虛擬專用網(wǎng)J(VPN)技術(shù)【J】電腦知