【導讀】校園網(wǎng)，它己經(jīng)成為高校信息化的重要組成部分。但隨著黑客入侵的增多及網(wǎng)絡。校園網(wǎng)的安全性已經(jīng)成為十分迫切的問題。本文系統(tǒng)地介紹了網(wǎng)絡安全的概念、討論了校園網(wǎng)目前面臨的各種安全威脅。數(shù)據(jù)加密，入侵檢測，物理專用隔離網(wǎng)等等。最后本文分析了實際相關(guān)案例，使技。術(shù)與實際應用相結(jié)合，說明基于校園網(wǎng)網(wǎng)絡信息安全的運行模式和過程。

　　

【正文】 校園網(wǎng)網(wǎng)絡安全對策分析 15 圖 31 典型防火墻結(jié)構(gòu) 網(wǎng)絡防火墻用以保護企業(yè)網(wǎng)絡等較大的復雜網(wǎng)絡，以處理更多的用戶。軟件防火 墻和硬件防火墻是個相對概念，基本上，所有的防火墻都需要軟件的 處理部分。硬件防火墻指的是將防火墻軟件和特定硬件平臺集成在一起的應用。軟件防火墻則是指對底層硬件沒有特殊要求，可以安裝在 Windows、 Unix 系統(tǒng)直接使用的防火墻。 根據(jù)防火墻的工作原理所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應用處理和數(shù)據(jù)傳輸三大部分。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實現(xiàn)的。其中，硬件部分一般是防火墻設備的網(wǎng)絡接口設備 。數(shù)據(jù)獲取的軟件部分是負責將硬件獲取的網(wǎng)絡通訊信息從網(wǎng)絡接口設備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取 相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作 系統(tǒng)緩沖區(qū)中傳送到相應的網(wǎng)絡接口設備并傳送出去。防火墻將接收到的數(shù)據(jù)包 傳送給應用功能模塊，進行相應的處理。不同的防火墻可能具有不同的應用功能， 這些功能可能是包過濾、狀態(tài)檢測、內(nèi)容過濾、加密、 NAT、 IDS、 VPN、 各種代理服務等等。 虛擬專用網(wǎng) (VPN) 虛擬專用網(wǎng)不是真的專用網(wǎng)絡，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)指的是依靠 ISP(Inter 服務提供商 )和其它 NSP(網(wǎng)絡服務提供商 )，在公用網(wǎng)絡中建立專用 的數(shù)據(jù)通信網(wǎng)絡的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒 校園網(wǎng)網(wǎng)絡安全對策分析 16 有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 VPN 分為三種類型 :遠程訪問虛擬網(wǎng) (Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng) (Intra VPN)和企業(yè)擴展虛擬網(wǎng) (Extra VPN)，這三種類型的 VPN 分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的 Intra 以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra相對應。 入侵檢測 (IDS) 為進一步保護網(wǎng)絡的安全性，需應用入侵檢測技術(shù)，對網(wǎng)絡入侵進 行實時檢 測，即對網(wǎng)絡活動和系統(tǒng)事件進行實時監(jiān)控。實時入侵檢測強調(diào)時間性，是連續(xù)、不間斷地監(jiān)控、檢測、響應、防護循環(huán)過程，實時入侵檢測必須實時執(zhí)行。 計算機信息網(wǎng)絡設置了防火墻后可以解決多數(shù)網(wǎng)絡安全問題，但是防火墻不是萬能的，不能提供實時的入侵檢測能力。有些攻擊行為僅僅依靠防火墻是不能防范的，比如如果攻擊行為從內(nèi)部網(wǎng)絡上發(fā)起，那么對主機的訪問就不需要通過防火墻，防火墻也就不能對主機進行保護了。一個簡單的入侵檢測系統(tǒng)，如圖 32 所示。 圖 32 簡單 IDS 系統(tǒng) 入侵監(jiān)測的功能通過執(zhí) 行以下任務來實現(xiàn) :監(jiān)視、分析用戶及系統(tǒng)活動 。系統(tǒng)構(gòu)造和弱點的審計 。識別反映已知進攻的活動模式并向相關(guān)人士報警 。異常行為模式的統(tǒng)計分析 。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 。操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 防火墻與入侵檢測這兩種技術(shù)具有較強的互補性。目前，實現(xiàn)入侵檢測和防 火墻之間的聯(lián)動有兩種方式可以實現(xiàn)，一種是實現(xiàn)緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來 自 于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的 數(shù)據(jù) 包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測，判斷 是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產(chǎn)品合成一體。但是，由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度、合成后的性能等方面都會因此受到很大影響。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認，各個安全產(chǎn)品的緊密結(jié)合是一種趨勢。第二種方式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通訊、警報和傳輸。目前開放協(xié)議的常見形式有 :安全廠 校園網(wǎng)網(wǎng)絡安全對策分析 17 家提供 IDS 的開放接口， 為 各個防火墻廠商使用，以實現(xiàn)互動。這種方式比較靈活，不影響防 火墻和入侵檢測系統(tǒng)的性能。 計算機病毒防御 計算機病毒是指編制或者在計算程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能夠自我復制或者在計算程序中插入的破壞計算機功能 或者毀壞數(shù)據(jù)，影響計算機使用，并能夠自我復制的一組計算機指令或者程序代 碼，隨著因特網(wǎng)技術(shù)的發(fā)展，這一計算機病毒的定義也在進一步擴大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計算機病毒的范疇。 從發(fā)展的角度來看，計算機病毒屬于惡意代碼的一種，惡意代碼 (malicious code)是 一種程序，它可以表述為人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞數(shù)據(jù)的計算機程序或指令集合都認為是惡意代碼。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意軟件的傳染結(jié)果包括浪費資源、破壞系統(tǒng)、破壞一致性，數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。 按傳播方式分類，惡意代碼可以分成幾類 :病毒，木馬，蠕蟲，間諜軟件 及 移動代碼等。多種復合攻擊技術(shù)的使用已經(jīng)使得安全防護不僅僅是針對 互聯(lián)網(wǎng)早期某種病毒防護那么簡單。而計算機病毒的防御是一個系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補丁升級、以及合理的安全管理規(guī)范等方面。 漏洞掃描 計算機漏洞是系統(tǒng)的一組特性，惡意的主體 (攻擊者或者攻擊程序能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。這里的漏洞既包括單個計算機系統(tǒng)的脆弱性，也包括計算機網(wǎng)絡系統(tǒng)的漏洞。當系統(tǒng)的某個漏洞被入侵者滲透 (exploit)而造成泄密時，其結(jié)果就稱為一次安全事件(Security Incident)。 漏洞掃描其基本原 理是采用模擬黑客攻擊的方式對目標可能存在的己知漏洞進行逐項檢測，以便對工作站、服務器等各種對象進行安全漏洞檢測。網(wǎng)絡漏洞掃描在保障網(wǎng)絡安全方面起到越來越重要的作用。借助網(wǎng)絡漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡和主機存在的對外開放的端口、提供的服務某些系統(tǒng)信息、錯誤的配置、已知的安全漏洞等。面對互聯(lián)網(wǎng)入侵，如果根據(jù)具體的應用環(huán)境，盡可能早地通過網(wǎng)絡掃描來發(fā)現(xiàn)安全漏洞，并及時采取適當?shù)奶幚泶胧┻M行修補，就可以有效地阻止入侵事件的發(fā)生。 校園網(wǎng)網(wǎng)絡安全對策分析 18 備份與恢復 建立完整的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)必須實現(xiàn)以下內(nèi)容：計算機網(wǎng) 絡數(shù)據(jù)備份的自動化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化，科學化；網(wǎng)絡安全技術(shù)及其在校園網(wǎng)中的應用與研究；對介質(zhì)管理的有效化，防止讀寫操作的錯誤；對數(shù)據(jù)形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細致、科學；自動介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務器形成備份中心，對各種平臺的應用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理，集中管理的特點；維護人員可以容易地恢復損壞的整個文件系統(tǒng)和各類數(shù)據(jù)。備份系統(tǒng)還應考慮網(wǎng)絡帶寬對備份性能的 影響，備份服務器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴展性等因素 網(wǎng)絡管理的安全 安全管理是保證網(wǎng)絡安全的基礎，安全技術(shù)是配合安全管理的輔助措施。我建立了一套校園網(wǎng)絡安全管理模式，制定了詳細的安全管理制度，如機房管理 制度、病毒防范制度等，并采取切實有效的措施，保證了制度的執(zhí)行 。 19 結(jié)束語 校園網(wǎng)面臨著一系列的安全問題受到來自外部和內(nèi)部的攻擊 (如病毒困擾，非授權(quán)訪問等 )。目前國內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問題。計算機網(wǎng)絡安全取決于安全技 術(shù)與網(wǎng)絡管理兩大方面。從技術(shù)角度來講，計算機網(wǎng)絡安全又取決于網(wǎng)絡設備的硬件與軟件兩個方面，網(wǎng)絡設備的軟件和硬件互相配合才能較好地實現(xiàn)網(wǎng)絡安全。 本文盡管對校園網(wǎng)絡安全進行了較深入的研究，也提出了網(wǎng)絡安全的解決辦法，但是，計算機網(wǎng)絡安全的問題是一個永久的課題，它將隨著計算機技術(shù)、計算機網(wǎng)絡的發(fā)展而一直存在、一直發(fā)展。計算機網(wǎng)絡的威脅與計算機網(wǎng)絡的安全防護的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒有無堅不摧的矛、也沒有無法攻破的盾。 參考文獻 20 參考文獻 [1] 張國祥．校園網(wǎng)網(wǎng)絡層安全技術(shù)研究．湖北師范學院學報，第 21 卷 第 3 期 [2] 校園網(wǎng)設計方案 . 杭州應用工程技術(shù)學院 2020 年 [3] 劉建培 .校園網(wǎng)信息安全探討 .網(wǎng)絡安全技術(shù)與應用 .2020， 10 期 [4] 王峰．如何制定網(wǎng)絡安全策略．網(wǎng)絡通訊與安全， 2020 年第 9 期 [5] 建榕基．入侵檢測與漏洞掃描．計算機安全， 2020 年第 9 期 [6] Sadat Malik． Network Security Principles and Practices．人民郵電出版社 ,2020 [7] 楊波 .網(wǎng)絡安全理論與應用．北京 :電子工業(yè)出版社， 2020 年 [9] 李頻 ，唐家益 .虛擬專用網(wǎng)分類和比較研究．計算機工程， 2020 年 [11] 張堯?qū)W、王曉春、趙艷標 .《計算機網(wǎng)絡與 Inter 教程》 .清華大學出版社， 1999 年 [12] 王睿、林海波編著 .《網(wǎng)絡安全與防火墻技術(shù)》 .清華大學出版社， 2020 年 [13] John , Digital munications: principles and practice ,McGrawHill’ 2020 [14] David Lee, Campus Network Design 。電子工業(yè)出版社， 2020 [13] ： // [14] [15]