施維

【摘 要】校園網(wǎng)絡(luò)也會(huì)面臨同樣的威脅，所以我們?cè)谥谰W(wǎng)絡(luò)功防基礎(chǔ)上應(yīng)該構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用一定的技術(shù)；二是改進(jìn)管理方法。從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認(rèn)證、訪問控制、安全路由等，這些技術(shù)對(duì)防止非法入侵系統(tǒng)起到了一定的防御作用。防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運(yùn)用于校園網(wǎng)安全建設(shè)中。

【關(guān)鍵詞】校園網(wǎng)；網(wǎng)絡(luò)安全；安全策略

【中圖分類號(hào)】TN915.08【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0329-02

1 校園網(wǎng)絡(luò)安全規(guī)范

校園的網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)措施，對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實(shí)施保護(hù)，使其不會(huì)因?yàn)橐恍┎焕蛩囟獾狡茐?，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全、可靠地運(yùn)行。

學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行管理，信息中心負(fù)責(zé)網(wǎng)絡(luò)資源，系統(tǒng)管理員口令絕對(duì)保密，根據(jù)用戶需求嚴(yán)格控制，合理分配用戶權(quán)限，向?qū)W生開放的教學(xué)實(shí)驗(yàn)室應(yīng)禁止使用軟驅(qū)和光驅(qū)，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網(wǎng)絡(luò)狀況分析

（1）資源分布和應(yīng)用服務(wù)體系

校園網(wǎng)絡(luò)可向網(wǎng)絡(luò)用戶提供：域名服務(wù)（DNS），電子郵件服務(wù)（Email），遠(yuǎn)程登錄（telnet），文件傳輸服務(wù)（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲(chǔ)，交換，檢索等服務(wù)。

（2）網(wǎng)絡(luò)結(jié)構(gòu)的劃分

整個(gè)網(wǎng)絡(luò)是由各網(wǎng)絡(luò)中心，和園區(qū)內(nèi)部網(wǎng)絡(luò)通過各種通信方式互聯(lián)而成，所有網(wǎng)絡(luò)可歸納為由連接子網(wǎng)、公共子網(wǎng)、服務(wù)子網(wǎng)、內(nèi)部網(wǎng)四個(gè)部分組成。這四部分組成一個(gè)獨(dú)立單位的局域網(wǎng)，然后通過廣域連接與其他網(wǎng)絡(luò)連接。

2.2 網(wǎng)絡(luò)安全目標(biāo)

為了增加網(wǎng)絡(luò)安全性，必須對(duì)信息資源加以保護(hù)，對(duì)服務(wù)資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內(nèi)部信息；即需要身份驗(yàn)證以及根據(jù)根據(jù)身份進(jìn)行訪問控制。

C：敏感信息；即需要驗(yàn)證身份和傳輸加密。

（2）服務(wù)資源包括：內(nèi)部服務(wù)資源、公眾服務(wù)資源

內(nèi)部服務(wù)資源：面向已知客戶，管理和控制內(nèi)部用戶對(duì)信息資源的訪問。

公眾服務(wù)資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

3.1 建立網(wǎng)絡(luò)安全模型

通信雙方在網(wǎng)絡(luò)上傳輸信息時(shí)，需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對(duì)信息提供安全機(jī)制和安全服務(wù)。

為了信息的安全傳輸，通常需要一個(gè)可信任的第三方。第三方的作用是負(fù)責(zé)向通信雙方秘密信息，并在雙方發(fā)生爭(zhēng)議時(shí)進(jìn)行仲裁。設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全方案時(shí)，需要完成以下四個(gè)基本任務(wù)：

（1）設(shè)計(jì)一個(gè)算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發(fā)與共享的方法；

（4）設(shè)定兩個(gè)責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)。

3.2 數(shù)據(jù)備份方法

數(shù)據(jù)備份有多種實(shí)現(xiàn)形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個(gè)文件都由不同的邏輯塊組成，每個(gè)邏輯塊存儲(chǔ)在連續(xù)的物理磁盤塊上，備份系統(tǒng)能識(shí)別文件結(jié)構(gòu)，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設(shè)備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時(shí)忽略文件結(jié)構(gòu)，從而提高備份的性能。因?yàn)樵趫?zhí)行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個(gè)系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進(jìn)行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問題，可以使用備份文件快速地恢復(fù)數(shù)據(jù)。

（4）增量備份

為了解決完全備份的兩個(gè)缺點(diǎn)，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對(duì)于上次備份操作更新過的數(shù)據(jù)。因?yàn)樵谔囟ǖ臅r(shí)間段內(nèi)只有少量的文件發(fā)生改變，既節(jié)省空間，又縮短了備份的時(shí)間。因而這種備份方法比較經(jīng)濟(jì)，可以頻繁地進(jìn)行。

（5）差異備份

差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復(fù)時(shí)涉及到備份記錄數(shù)量限制在兩個(gè)，以簡(jiǎn)化恢復(fù)的復(fù)雜性。

3.3 防火墻技術(shù)

防火墻是在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護(hù)網(wǎng)絡(luò)的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。

防火墻是一個(gè)由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護(hù)目的不同，防火墻系統(tǒng)的配置與實(shí)現(xiàn)方式也有很大的區(qū)別。簡(jiǎn)單的一個(gè)包過濾路由器或應(yīng)用網(wǎng)關(guān)、應(yīng)用代理服務(wù)器都可以作為防火墻使用。

3.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)。它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部的非法授權(quán)行為，并采取相應(yīng)的防護(hù)手段。它的基本功能包括：

（1）監(jiān)控、分析用戶和系統(tǒng)的行為。

（2）檢查系統(tǒng)的配置和漏洞。

（3）評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。

（4）對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類型，并向網(wǎng)絡(luò)管理人員報(bào)警。

（5）對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。

4 校園網(wǎng)主動(dòng)防御體系

校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的。在設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時(shí)，首先要了解學(xué)校的需要和目標(biāo)，制定安全策略。因此網(wǎng)絡(luò)安全防范體系應(yīng)該是動(dòng)態(tài)變化的，必須不斷適應(yīng)安全環(huán)境的變化，以保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保它的有效性和先進(jìn)性。

安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心。網(wǎng)絡(luò)系統(tǒng)的安全性不只是技術(shù)方面的問題，一個(gè)有效的安全防范體系應(yīng)該是以安全策略為核心，以安全技術(shù)為支撐，以安全管理為落實(shí)，安全管理主要是對(duì)安全技術(shù)和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術(shù)是輔助安全管理的措施。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或其它安全威脅時(shí)，無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，也無法提供黑客攻擊的追蹤線索，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求網(wǎng)絡(luò)管理員經(jīng)常通過網(wǎng)絡(luò)攻擊掃描器提前識(shí)別弱點(diǎn)區(qū)域，入侵系統(tǒng)監(jiān)控和響應(yīng)安全事件，必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵。

結(jié)論

通過上述分析，我提出如下校園網(wǎng)絡(luò)安全防范策略：

（1）利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

（2）利用防火墻建立網(wǎng)絡(luò)的安全保護(hù)措施，保證系統(tǒng)安全；

（3）利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問被拒絕；利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將訪問權(quán)限控制在最低限度內(nèi)；

（4）在Internet出口處，使用NetHawk監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控；

（5）在本校區(qū)部署RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，及時(shí)彌補(bǔ)出現(xiàn)的漏洞；

（6）加強(qiáng)網(wǎng)絡(luò)安全管理，提高全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。

[1] 馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2001，3

[2] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國(guó)水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M].北京：希望電子出版社，2006.2：42-43

[4] 宋勁松.網(wǎng)絡(luò)入侵檢測(cè)：分析、發(fā)現(xiàn)和報(bào)告攻擊[M]. 國(guó)防工業(yè)出版社，2004.9：26-28

[5] 王宇，盧昱.計(jì)算機(jī)網(wǎng)絡(luò)安全與控制技術(shù)[M].北京：科學(xué)出版社，2005.6：19-20