孫立志

摘要：校園網(wǎng)絡(luò)也會面臨同樣的威脅，所以我們在知道網(wǎng)絡(luò)功防基礎(chǔ)上應(yīng)該構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個方面著手：一是采用一定的技術(shù)；二是改進管理方法。從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認證、訪問控制、安全路由等，這些技術(shù)對防止非法入侵系統(tǒng)起到了一定的防御作用。防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運用于校園網(wǎng)安全建設(shè)中。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；安全策略 中圖分類號：G633.67文獻標(biāo)識碼：B文章編號：1672-1578（2014）18-0157-011.校園網(wǎng)絡(luò)面臨的潛在風(fēng)險

1.1系統(tǒng)自身漏洞。計算機普遍存在系統(tǒng)漏洞，通過系統(tǒng)漏洞電腦不法者或黑客，通過網(wǎng)絡(luò)植入木馬等方式來攻擊或控制您的電腦，獲取你的重要信息，甚至讓你系統(tǒng)奔潰。漏洞影響到的范圍非常大，包括系統(tǒng)本身、服務(wù)器、TCP/IP協(xié)議、網(wǎng)絡(luò)結(jié)構(gòu)、安全防火墻等。而且隨著時間的推移，新的系統(tǒng)漏洞會不斷出現(xiàn)，系統(tǒng)漏洞問題也將長期存在，這是校園網(wǎng)絡(luò)安全不得不面對的問題之一。

1.2外部的破壞行為。

1.2.1網(wǎng)絡(luò)中的計算機病毒破壞。計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為："編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼"。計算機感染病毒后一般有如下癥狀：經(jīng)常死機、系統(tǒng)運行變慢、數(shù)據(jù)丟失、信息泄露、系統(tǒng)奔潰、網(wǎng)絡(luò)癱瘓等。當(dāng)前計算機病毒傳播途徑有網(wǎng)絡(luò)傳播和硬件設(shè)備傳播，但主要源頭是網(wǎng)絡(luò)。當(dāng)用戶瀏覽不健康的網(wǎng)站或誤點一些非法站點或打開不明郵件，點擊其中某些鏈接或下載某些軟件，病毒便會自動安裝在你的電腦里。由于工作需要，校園網(wǎng)用戶間經(jīng)常互傳數(shù)據(jù)，這就會導(dǎo)致校園網(wǎng)中一旦有計算機感染到病毒，整個校園網(wǎng)上所有用戶都會感染到病毒。這將給我們工作和生活帶來極大的不便。

1.2.2網(wǎng)絡(luò)黑客惡意攻擊。黑客最早源自英文hacker，早期帶有褒義，而如今已被用于泛指那些專門入侵他人系統(tǒng)進行不法行為的計算機高手。黑客可通過瀏覽器、硬盤共享、端口、網(wǎng)頁瀏覽等方式攻擊你計算機，獲取或破壞你電腦數(shù)據(jù)。比如瀏覽器中的cookie包含你每次登陸網(wǎng)站的名稱、瀏覽時間甚至登陸密碼，黑客可以用專門軟件來查看cookie，獲取你的信息，攻擊你的計算機。又如黑客通過網(wǎng)絡(luò)精靈（NetSpy）軟件可以神不知鬼不覺地在目標(biāo)機器上的下傳和上載任意文件，獲取其需要信息。

2.校園網(wǎng)絡(luò)安全體系的建構(gòu)

2.1建立網(wǎng)絡(luò)安全模型。通信雙方在網(wǎng)絡(luò)上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對信息提供安全機制和安全服務(wù)。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責(zé)向通信雙方秘密信息，并在雙方發(fā)生爭議時進行仲裁。設(shè)計一個網(wǎng)絡(luò)安全方案時，需要完成以下四個基本任務(wù)：

2.1.1設(shè)計一個算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換；

2.1.2生成該算法的秘密信息；

2.1.3研制秘密信息的分發(fā)與共享的方法；

2.1.4設(shè)定兩個責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)。

2.2數(shù)據(jù)備份方法 。數(shù)據(jù)備份有多種實現(xiàn)形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

2.2.1邏輯備份。邏輯備份也稱作"基于文件的備份"。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續(xù)的物理磁盤塊上，備份系統(tǒng)能識別文件結(jié)構(gòu)，并拷貝所有文件和目錄到備份資源上。

2.2.2物理備份。物理又稱"基于塊的備份"或"基于設(shè)備的備份"，其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結(jié)構(gòu)，從而提高備份的性能。因為在執(zhí)行過程中，花在搜索操作上的開銷很少。

2.2.3完全備份。完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問題，可以使用備份文件快速地恢復(fù)數(shù)據(jù)。

2.3防火墻技術(shù)。防火墻是在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護網(wǎng)絡(luò)的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。防火墻是一個由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護目的不同，防火墻系統(tǒng)的配置與實現(xiàn)方式也有很大的區(qū)別。簡單的一個包過濾路由器或應(yīng)用網(wǎng)關(guān)、應(yīng)用代理服務(wù)器都可以作為防火墻使用。

2.4入侵檢測技術(shù)。入侵檢測系統(tǒng)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)。它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部的非法授權(quán)行為，并采取相應(yīng)的防護手段。它的基本功能包括：

2.4.1監(jiān)控、分析用戶和系統(tǒng)的行為。

2.4.2檢查系統(tǒng)的配置和漏洞。

2.4.3評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。

2.4.4對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警。

2.4.5對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。

3.校園網(wǎng)主動防御體系

校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的。在設(shè)計校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時，首先要了解學(xué)校的需要和目標(biāo)，制定安全策略。因此網(wǎng)絡(luò)安全防范體系應(yīng)該是動態(tài)變化的，必須不斷適應(yīng)安全環(huán)境的變化，以保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保它的有效性和先進性。

結(jié)論

通過上述分析，我提出如下校園網(wǎng)絡(luò)安全防范策略：

（1）利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

（2）利用防火墻建立網(wǎng)絡(luò)的安全保護措施，保證系統(tǒng)安全；

（3）利用防火墻對網(wǎng)上服務(wù)請求內(nèi)容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將訪問權(quán)限控制在最低限度內(nèi)；

（4）在Internet出口處，使用NetHawk監(jiān)控系統(tǒng)進行網(wǎng)絡(luò)活動實時監(jiān)控；

（5）在本校區(qū)部署RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對整個網(wǎng)絡(luò)的安全狀況進行評估，及時彌補出現(xiàn)的漏洞；

（6）加強網(wǎng)絡(luò)安全管理，提高全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。