【文章內(nèi)容簡介】 危害，因而在開放式網(wǎng)絡環(huán)境下保護網(wǎng)絡安全性顯得尤為重要。2 中學校園網(wǎng)絡安全的技術策略 病毒防護策略針對計算機病毒極大的危害性，建立統(tǒng)一的整體網(wǎng)絡病毒防范體系是對校園網(wǎng)絡整體有效防護的解決辦法。(1)安裝統(tǒng)一的網(wǎng)絡殺毒軟件對網(wǎng)絡進行監(jiān)管；(2)對郵件服務器實施統(tǒng)一管理和病毒掃描，杜絕病毒通過郵件傳播； (3)通過文件監(jiān)控、網(wǎng)頁監(jiān)控、郵件監(jiān)控、注冊表監(jiān)控、引導區(qū)監(jiān)控、漏洞攻擊監(jiān)控對網(wǎng)絡系統(tǒng)內(nèi)的各個服務器、客戶機進行全面病毒監(jiān)控防范，監(jiān)視病毒可能的來源；(4)集中病毒報警和報告，包括感染節(jié)點的主機名、地址、病毒名稱、清除情況、被感染文件的路徑等報告導入數(shù)據(jù)庫，方便管理員統(tǒng)計和查詢，有針對性的制定防毒和殺毒的策略。(5)制定客戶端強制保護，設密碼保護，防止內(nèi)部用戶修改防毒策略或刪除殺毒客戶端程序，影響網(wǎng)絡的整體防護；(6)統(tǒng)一集中更新最新系統(tǒng)補丁，減少病毒通過計算機漏洞感染計算機的機會。然而，計算機病毒總是不斷地更新，常常使用戶措手不及，無法及時應對病毒的危害。 網(wǎng)絡安全漏洞掃描技術針對網(wǎng)絡軟件的諸多漏洞。網(wǎng)絡安全掃描技術是通過對網(wǎng)絡的掃描，網(wǎng)絡管理員可以了解網(wǎng)絡的安全配置和運行的應用服務，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡風險等級。安全掃描技術與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡的安全性[10]。安全掃描技術主要分為兩類：主機安全掃描技術和網(wǎng)絡安全掃描技術。網(wǎng)絡安全掃描技術主要針對系統(tǒng)中不合適的設置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等；而主機安全掃描技術則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。隨著網(wǎng)絡的發(fā)展和內(nèi)核的進一步修改，新的端口掃描技術及對入侵性的端口掃描的新防御技術還會誕生，而到目前為止還沒有一種完全成熟、高效的端口掃描防御技術；同時，漏洞掃描面向的漏洞包羅萬象，而且漏洞的數(shù)目也在繼續(xù)的增加；自動化的漏洞掃描無法得以完全實現(xiàn)，而且新的難題也將不斷涌現(xiàn)。因此網(wǎng)絡安全掃描技術仍有待更進一步的研究和完善。 網(wǎng)絡協(xié)議漏洞安全技術針對網(wǎng)絡最常用的TCP/IP協(xié)議造成的漏洞，主要由防火墻技術、入侵檢測技術、密碼技術等技術相結合。 防火墻技術防火墻是一種網(wǎng)絡安全部件，是國際互連網(wǎng)(Internet)和局域網(wǎng)之間的一道安全屏障，如圖21所示，能夠阻止用戶對信息資源的非法訪問。它是用一個或者一組網(wǎng)絡硬件設備將兩個網(wǎng)絡連接在一起，用于檢測和控制兩個網(wǎng)絡之間的通信流，根據(jù)對流經(jīng)的信息包的合法性判斷，實現(xiàn)對重要信息資源的訪問控制，達到保護信息系統(tǒng)安全的目的。因此，防火墻不僅能夠保護內(nèi)部網(wǎng)絡資源不受外網(wǎng)非法用戶的入侵，而且對從內(nèi)網(wǎng)向外傳輸?shù)姆欠ㄐ畔⒁部梢赃M行有效的攔截。防火墻的作用是防止不希望的、未經(jīng)授權的信息進出被保護的內(nèi)部網(wǎng)絡，通過邊界控制強化內(nèi)部網(wǎng)絡的安全性，對兩者之間的通信進行全面管理，以保障內(nèi)部和外部網(wǎng)絡之間安全、通暢的信息交換。防火墻保護的內(nèi)部網(wǎng)絡被認為是安全和可信賴的，因此，防火墻無法防范內(nèi)部網(wǎng)絡用戶的攻擊。防火墻可以很好地防止外部用戶獲得敏感數(shù)據(jù)，但是它無法防止內(nèi)部用戶偷竊數(shù)據(jù)、破壞硬件設備和軟件等惡意行為。防火墻技術不是解決所有網(wǎng)絡安全問題的萬能藥方，而只是防護網(wǎng)絡安全的策略之一，它的應用是為網(wǎng)絡通信或者數(shù)據(jù)傳輸提供了更有效地保障。圖21 防火墻示意圖 信息加密技術一個加密網(wǎng)絡，不但可以防止非授權用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。加密技術是由加密算法來具體實施數(shù)據(jù)加密是為了保障數(shù)據(jù)在傳輸過程中的安全性，數(shù)據(jù)傳送之前對信息進行重新編碼，讓截獲者無法獲取信息的真正內(nèi)容。數(shù)據(jù)加密技術是計算機網(wǎng)絡中基本的安全技術，為數(shù)據(jù)的安全傳輸提供了保障。受保護的原始信息稱為明文，加密后的信息稱為密文。數(shù)據(jù)加密就是對那些明文進行加密，并產(chǎn)生密文或密碼的形式。解密就是將密文還原回去[11]。 入侵檢測技術(IDS)入侵檢測技術是繼“防火墻技術”、“信息加密技術”等傳統(tǒng)安全防護方法之后的新一代安全保障技術。入侵檢測是通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控和保護，在網(wǎng)絡系統(tǒng)受到危害之前進行攔截和響應等入侵行為。它所提供的數(shù)據(jù)不僅能發(fā)現(xiàn)用戶濫用特權，還能在一定程度上提供追究入侵者法律責任的有效證據(jù)。強大的、完整的入侵檢測體系可以彌補防火墻靜態(tài)防御的不足[12]。然而，入侵檢測系統(tǒng)同樣存在很多漏洞，一方面入侵檢測系統(tǒng)的誤報漏報情況較多，相對于防火墻良好的實時性來說，IDS 的效率要低得多，這給網(wǎng)絡管理員帶來許多不便。另一方面入侵檢測系統(tǒng)的檢測速度難以適應網(wǎng)絡通信的要求，入侵檢測系統(tǒng)通常以并聯(lián)方式接入網(wǎng)絡的，但其檢測速度跟不上網(wǎng)絡數(shù)據(jù)的傳輸速度，檢測系統(tǒng)就會漏掉其中的部分數(shù)據(jù)包，從而導致漏報而影響系統(tǒng)的準確性和有效性。 預防網(wǎng)絡擁塞的措施 流量控制流量監(jiān)測作為安全管理系統(tǒng)中一個功能部分，流量監(jiān)控可以控制端口的流量的大小，進行合理的分配，可以實現(xiàn)對網(wǎng)絡上監(jiān)測結點流量的監(jiān)測并可以通過圖表方式展現(xiàn)，有效的幫助網(wǎng)絡管理員進行性能管理、計費管理、故障管理等網(wǎng)絡管理的內(nèi)容，并做出相宜的決策，防止網(wǎng)絡因用戶訪問過度造成阻塞。 訪問控制技術訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。通過對特定的網(wǎng)段和服務建立有效的訪問控制體系，可在大多數(shù)的攻擊到達之前進行阻止，從而達到限制非法訪問的目的。利用訪問控制技術可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡中的活動，及時發(fā)現(xiàn)并拒絕“黑客”的入侵。所以說訪問控制技術是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重