李躍明

1校園網(wǎng)絡(luò)一般采用的安全技術(shù)類型

1.1物理隔離網(wǎng)絡(luò)

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。實現(xiàn)物理隔離的方法有：(1)一人雙機：在資金充足的情況下，給需要的人員配備2臺電腦，1臺接入互聯(lián)網(wǎng)，1臺只接入內(nèi)部網(wǎng)。(2)網(wǎng)絡(luò)安全隔離卡：在電腦上加裝1塊網(wǎng)絡(luò)安全隔離卡，并再配備l塊硬盤，隨時根據(jù)使用者的要求，在內(nèi)外網(wǎng)之間進行切換。

1.2防火墻技術(shù)

目前，常見的防火墻主要有三類：(1)分組過濾型防火墻：數(shù)據(jù)分組過濾或包過濾，包過濾原理和技術(shù)可以認(rèn)為是各種網(wǎng)絡(luò)防火墻的基礎(chǔ)構(gòu)件。(2)應(yīng)用代理型防火墻：應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。(3)復(fù)合型防火墻：復(fù)合型防火墻將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用。

目前出現(xiàn)的新技術(shù)類型主要有監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢。

1.3抗攻擊網(wǎng)關(guān)

抗攻擊網(wǎng)關(guān)可以避免拒絕服務(wù)攻擊(DoS)和連接耗盡攻擊等網(wǎng)絡(luò)攻擊帶來的問題，用戶只需將抗攻擊網(wǎng)關(guān)架設(shè)在路由器之前就可以使用，通過獨立的監(jiān)控系統(tǒng)就可以實時監(jiān)控和報警，并可以給出安全事件報告。目前，抗攻擊網(wǎng)關(guān)的類型主要有入侵檢測、指紋識別、免疫型等。入侵檢測和指紋識別需要大量消耗CPU和內(nèi)存才能計算識別出攻擊，然后，給出過濾規(guī)則，這種機制本身就容易遭受拒絕服務(wù)攻擊，因此，免疫型抗攻擊網(wǎng)關(guān)是今后發(fā)展的趨勢。

1.4防病毒網(wǎng)關(guān)

防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)病毒時，可能已經(jīng)感染了很多計算機，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，同時具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時，管理員只要將防病毒網(wǎng)關(guān)升級就可以抵御新病毒的攻擊。

1.5認(rèn)證

目前，常用的身份識別技術(shù)主要是基于RADIUS的鑒別、授權(quán)和管理(AAA)系統(tǒng)。RADIUS(remote authcntica2tion diaI inuser service)是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶或服務(wù)器模式。它包含有關(guān)用戶的專門簡檔，如：用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費和審查的得到接受的標(biāo)準(zhǔn)。

1.6虛擬專用網(wǎng)

VPN(virtualp rivatenetwork)即虛擬專用網(wǎng)建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接，使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時，能夠和在本地訪問一樣的資源，同時，不用擔(dān)心泄密的問題。

1.7入侵檢測和集中網(wǎng)管

入侵檢測(intrusiondetecfion)是對入侵行為的發(fā)覺，是一種增強系統(tǒng)安全的有效方法，能檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。集中網(wǎng)管主要體現(xiàn)在對網(wǎng)絡(luò)管理的集中上，網(wǎng)管集中的實現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實現(xiàn)對不同廠商網(wǎng)管系統(tǒng)的集中管控。

2各種安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用

(1)物理隔離網(wǎng)絡(luò)技術(shù)的應(yīng)用。學(xué)校的財務(wù)信息數(shù)據(jù)和辦公機密文件及檔案應(yīng)是對網(wǎng)絡(luò)安全方面要求級別最高的，并且按照國家的相關(guān)規(guī)定，對此類數(shù)據(jù)系統(tǒng)互聯(lián)網(wǎng)絡(luò)是有嚴(yán)格要求的，在考慮它們的網(wǎng)絡(luò)信息安全技術(shù)上應(yīng)當(dāng)采取物理隔離網(wǎng)絡(luò)，使之與接入互聯(lián)網(wǎng)的校園網(wǎng)絡(luò)完全分開。

(2)防火墻技術(shù)的應(yīng)用。主要設(shè)置在校園網(wǎng)絡(luò)入口處，防范來自校園網(wǎng)絡(luò)外部的威脅，如黑客的攻擊，利用校園網(wǎng)絡(luò)傳播病毒等，同時對學(xué)校的WEB網(wǎng)站提供安全保障。

(3)抗攻擊網(wǎng)關(guān)的應(yīng)用。由于DOS和DDOS攻擊，或紅色代碼和尼姆達病毒引發(fā)的復(fù)合型攻擊導(dǎo)致校園骨干網(wǎng)的路由器、交換機等設(shè)備，無法正常工作，甚至是全網(wǎng)癱瘓，則可在校園網(wǎng)絡(luò)內(nèi)部路由器的前面應(yīng)用抗攻擊網(wǎng)關(guān)來解決。也可在校園網(wǎng)絡(luò)入口設(shè)置抗攻擊網(wǎng)關(guān)，保護校園網(wǎng)絡(luò)內(nèi)部的網(wǎng)站，服務(wù)器和主機不受攻擊。

(4)防病毒網(wǎng)關(guān)的應(yīng)用。校園網(wǎng)絡(luò)中電腦數(shù)量多，應(yīng)用復(fù)雜，很難統(tǒng)一安裝防病毒軟件，導(dǎo)致網(wǎng)絡(luò)安全管理的難度很大，為此可在校園網(wǎng)絡(luò)入口安置防病毒網(wǎng)關(guān)，保障了校園網(wǎng)的邊界安全。同時也可把防病毒網(wǎng)關(guān)部署在校園網(wǎng)服務(wù)器區(qū)前這個關(guān)鍵位置，保障校園網(wǎng)服務(wù)器的安全。

(5)認(rèn)證技術(shù)的應(yīng)用。校園網(wǎng)絡(luò)中的用戶類別可分為多種，不同的用戶在身份驗證、授權(quán)、是否記費上的要求不一樣，為此可用RADIUS來進行認(rèn)證，如學(xué)生用戶在宿舍上網(wǎng)接入是需要記費的，就可采用以太網(wǎng)中的虛擬寬帶拔號，通過RADIUS服務(wù)來認(rèn)證記費。

(6)虛擬專用網(wǎng)的應(yīng)用。為了校園網(wǎng)的安全，學(xué)校在校園網(wǎng)建設(shè)時，通常是將公網(wǎng)與私網(wǎng)進行物理隔離或設(shè)置防火墻阻隔，使外網(wǎng)無法訪問內(nèi)網(wǎng)資源。這樣勢必導(dǎo)致分校區(qū)及住在校外的教師和學(xué)生在家中無法使用校園網(wǎng)內(nèi)部資源。要解決這種問題，虛擬專用網(wǎng)就是一種安全、低廉的解決方案。

(7)入侵檢測的應(yīng)用。入侵檢測技術(shù)IDS作為防火墻的合理補充，能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，它一般安置在防火墻之后，是校園網(wǎng)絡(luò)入口的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，可以防止或減輕網(wǎng)絡(luò)威脅。

3結(jié)束語

總之，校園網(wǎng)絡(luò)的信息安全的保障是各種網(wǎng)絡(luò)安全技術(shù)的綜合合理應(yīng)用，在有了各種網(wǎng)絡(luò)安全技術(shù)應(yīng)用的情況下，要想能充分地對信息數(shù)據(jù)進行安全保護，還需要學(xué)校有針對性出臺相對應(yīng)的信息安全保障制度和成立信息安全事件處理組織機構(gòu)。通過技術(shù)、制度、組織機構(gòu)結(jié)合來全面應(yīng)對校園網(wǎng)絡(luò)中出現(xiàn)的各種網(wǎng)絡(luò)安全威脅。