校園網(wǎng)信息系統(tǒng)安全評(píng)估關(guān)鍵技術(shù)研究和分析

張長華

河北建材職業(yè)技術(shù)學(xué)院

一、校園網(wǎng)信息系統(tǒng)安全威脅分類

1、計(jì)算機(jī)病毒和木馬程序的存在范圍較廣

在當(dāng)前的校園網(wǎng)絡(luò)管理中，遇到最多的威脅就是計(jì)算機(jī)病毒和木馬程序的存在，還有一些計(jì)算機(jī)蠕蟲等。計(jì)算機(jī)病毒是一種人為性的病毒程序。它的特點(diǎn)是傳播速度快，隱蔽性較好，具有較強(qiáng)的破壞性。如果校園中有一臺(tái)電腦被感染，那么其他的電腦很快也會(huì)被感染，甚至擴(kuò)散到整個(gè)的校園網(wǎng)絡(luò)，導(dǎo)致整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的癱瘓，直接影響用戶的使用和信息的安全。

2、校園網(wǎng)系統(tǒng)本身存在漏洞和后門

在校園的網(wǎng)絡(luò)系統(tǒng)中，各種主機(jī)和終端的操作系統(tǒng)自身存在著各種安全漏洞和后門。在黑客入侵電腦系統(tǒng)時(shí)，都是通過系統(tǒng)的漏洞和后門進(jìn)入的。另外，在很多學(xué)校中，在網(wǎng)絡(luò)系統(tǒng)中使用的軟件都不是正版的，同時(shí)由于管理員的不規(guī)范操作，加大了外界對(duì)校園網(wǎng)入侵的可能性，使校園網(wǎng)絡(luò)系統(tǒng)存在著安全威脅。

3、黑客入侵方法繁多

當(dāng)黑客對(duì)校園網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，一般分為兩種類型。一種是以擾亂校園系統(tǒng)正常運(yùn)行為目的，對(duì)校園系統(tǒng)資料沒有實(shí)質(zhì)性的威脅。而黑客通過拒絕服務(wù)或者信息炸彈等方法入侵校園網(wǎng)絡(luò)。而另一種是破壞性攻擊。黑客利用后門程序或者網(wǎng)絡(luò)監(jiān)聽等手段直接入侵到校園網(wǎng)絡(luò)系統(tǒng)中，破壞校園網(wǎng)絡(luò)系統(tǒng)，同時(shí)竊取系統(tǒng)的保密信息和文件。

二、校園網(wǎng)信息系統(tǒng)安全評(píng)估技術(shù)

1、VLAN技術(shù)

VLAN技術(shù)是英文Virtual Local Area Network的縮寫，意思是虛擬局域網(wǎng)，是應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。它把局域網(wǎng)內(nèi)的設(shè)備分為N個(gè)網(wǎng)段，然后形成虛擬工作組進(jìn)行工作，使網(wǎng)絡(luò)工作結(jié)構(gòu)更加靈活和方便。VLAN技術(shù)是根據(jù)網(wǎng)絡(luò)用戶的需求進(jìn)行分段，與網(wǎng)絡(luò)用戶的物理位置沒有關(guān)系。VLAN技術(shù)可以根據(jù)用戶的需求，位置和部門所使用的應(yīng)用程序進(jìn)行分組，實(shí)現(xiàn)管理員對(duì)VLAN管理程序進(jìn)行集中，然后把用戶和交換端口分配格這些組，進(jìn)行安全等級(jí)的設(shè)置。VLAN技術(shù)通過冗余鏈路負(fù)載分組網(wǎng)絡(luò)流量，實(shí)現(xiàn)對(duì)流量和VLAN使用的網(wǎng)絡(luò)帶寬的監(jiān)控，這種方法大大提高了網(wǎng)絡(luò)管理的監(jiān)測功能，使其使用起來更加靈活，同時(shí)減少了網(wǎng)絡(luò)的管理成本。

VLAN技術(shù)可以通過路由器，交換機(jī)等方式實(shí)現(xiàn)VLAN間的通信。利用路由器進(jìn)行通信，是把計(jì)算機(jī)不同的物理接口與交換機(jī)上的每個(gè)VLAN進(jìn)行分別連接。這種方式比較簡單，但是每個(gè)VLAN都需要消耗路由器的端口。由于路由器的接口數(shù)量有限，會(huì)給連接帶來一定的困難。如果增加路由器的端口和重新布線，都會(huì)增加一定的成本，給校園的網(wǎng)絡(luò)發(fā)展增加一定的難度。而用交換機(jī)代替路由器來實(shí)現(xiàn)通信，是校園網(wǎng)中運(yùn)用比較多的方式之一。利用交換機(jī)的路由功能或者是高端交換機(jī)支持的專用VLAN功能來實(shí)現(xiàn)通信，使各個(gè)端口之間既可以相互通信，也可以相互隔離，保證了信息傳輸?shù)陌踩?，降低了校園的管理成本。

2、防火墻技術(shù)

防火墻技術(shù)是目前校園中使用比較廣泛的技術(shù)之一，在校園網(wǎng)絡(luò)信息安全保護(hù)中發(fā)揮著重要的作用。防火墻的英文名為“Firewall”，是對(duì)網(wǎng)絡(luò)之間訪問控制組件的集合，往往位于兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)之間，可以通過一個(gè)路由器、主機(jī)或者可以提供網(wǎng)絡(luò)安全的設(shè)備進(jìn)行信息傳播，使硬件和軟件進(jìn)行結(jié)合來防御沒有經(jīng)過授權(quán)的訪問，從而保證網(wǎng)絡(luò)信息的安全。防火墻可以把局域網(wǎng)和廣域網(wǎng)進(jìn)行分離，能夠?qū)Ρ槐Ｗo(hù)的內(nèi)網(wǎng)和外網(wǎng)之間的信息存取和交換操作進(jìn)行限制，可以根據(jù)企業(yè)的網(wǎng)絡(luò)安全策略對(duì)出入網(wǎng)絡(luò)的信息流進(jìn)行控制，是保證信息安全服務(wù)的基礎(chǔ)設(shè)施。

防火墻的關(guān)鍵技術(shù)主要包括包過濾技術(shù)、應(yīng)用代理技術(shù)。包過濾型防火墻軟件是根據(jù)IP包的類型對(duì)外部發(fā)出的連接請求進(jìn)行屏蔽，以達(dá)到保護(hù)內(nèi)網(wǎng)安全的目的。數(shù)據(jù)包過濾系統(tǒng)對(duì)包中的用戶信息和文件信息不進(jìn)行識(shí)別，但是可以通過對(duì)一臺(tái)機(jī)器的操作來實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全保護(hù)。包過濾技術(shù)是一種相對(duì)來說比較通用和廉價(jià)的安全技術(shù)，具有比較特殊的網(wǎng)絡(luò)處理方式，相對(duì)來說，技術(shù)比較成熟，能夠滿足企事業(yè)單位對(duì)網(wǎng)絡(luò)安全技術(shù)的整體要求，運(yùn)用比較廣泛。在某校校園網(wǎng)的內(nèi)網(wǎng)和Internet之間安置了一臺(tái)銳捷RG一WALL 1600M防火墻(即聯(lián)想網(wǎng)御2000防火墻)，而WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即非軍事區(qū)），與內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行隔離。內(nèi)網(wǎng)口與校園網(wǎng)內(nèi)網(wǎng)交換機(jī)相連，外網(wǎng)口與Internet連接。在這種情況下，利用Internet進(jìn)行訪問的外網(wǎng)用戶只能訪問到一些對(duì)外公開的服務(wù)，既防止了內(nèi)網(wǎng)資源被非法訪問，也使內(nèi)部用戶不能使用外部的不良資源，及時(shí)的對(duì)網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤，在內(nèi)外網(wǎng)之間建立了一道安全屏障。而應(yīng)用代理型防火墻是針對(duì)不同種類的應(yīng)用協(xié)議提供相應(yīng)的代理服務(wù)，經(jīng)過代理服務(wù)器實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)和外網(wǎng)的訪問，并把訪問結(jié)果返回給代理客戶端。在HTTP協(xié)議的代理服務(wù)中，客戶端的瀏覽器中要配置相應(yīng)的IP地址，實(shí)現(xiàn)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通過網(wǎng)絡(luò)層進(jìn)行應(yīng)用通信。

結(jié)語：

總之，在信息化高速發(fā)展的今天，校園網(wǎng)信息系統(tǒng)安全評(píng)估技術(shù)是校園信息安全的重要保障。學(xué)校應(yīng)當(dāng)加大校園網(wǎng)絡(luò)建設(shè)的投資力度，對(duì)校園網(wǎng)絡(luò)進(jìn)行不斷的完善，防止任何不利因素給學(xué)校帶來安全隱患，從而保證學(xué)校的信息安全。

[1]張思宜、李尚臣.《校園網(wǎng)絡(luò)信息安全防御對(duì)策與體系設(shè)計(jì)》[J].中國電化教育，2012（09）

[2]侯文霞、劉建華等.《電信網(wǎng)風(fēng)險(xiǎn)評(píng)估方法研究》[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（08）.