校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)研究概述

王翔明　張?jiān)佘姟⑽暮?/p>

摘要：本文結(jié)合網(wǎng)絡(luò)安全技術(shù)及現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品，從校園基本安全需求、上網(wǎng)行為監(jiān)管、統(tǒng)一安全管理等方面深入分析了校園網(wǎng)網(wǎng)絡(luò)安全需求，闡述了校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則及思路。提出了綜合性、整體性、平衡性、可用性、分步實(shí)施性、可動(dòng)態(tài)管理等方面的設(shè)計(jì)原則，從安全區(qū)域劃分角度從各區(qū)域各層面及對(duì)校園上網(wǎng)行為監(jiān)管和統(tǒng)一安全管理等方面，闡述了校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)的思路。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻

一、網(wǎng)絡(luò)安全概念

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。但網(wǎng)絡(luò)安全具體的含義會(huì)因?yàn)椴煌瑢?duì)象而產(chǎn)生不同的理解，對(duì)于網(wǎng)絡(luò)的使用者來(lái)說(shuō)，他們希望商業(yè)秘密、個(gè)人隱私、個(gè)人安全等相關(guān)信息能真實(shí)、完整、保密在網(wǎng)絡(luò)上進(jìn)行傳輸和存儲(chǔ)，且避免非法人員利用各種手段對(duì)信息進(jìn)行竊取、篡改，損害使用者的利益；但對(duì)網(wǎng)絡(luò)具體的管理者和維護(hù)人員來(lái)說(shuō)，他們希望網(wǎng)絡(luò)不受病毒感染、遭受攻擊、網(wǎng)絡(luò)資源受到非法占用和控制，保證網(wǎng)絡(luò)及網(wǎng)絡(luò)中的信息能正常訪問(wèn)和操作。

二、網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

1.防火墻技術(shù)

防火墻（FireWall）技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問(wèn)的最有效手段之一，也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。所謂防火墻就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。

防火墻分為兩種類型，即標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包含一個(gè)UNIX工作站，該工作站的兩端各接一個(gè)路由器進(jìn)行緩沖。其中一個(gè)路由器的接口是外部網(wǎng)絡(luò)，即internet網(wǎng)；另一個(gè)接口連接內(nèi)部私有網(wǎng)絡(luò)。標(biāo)準(zhǔn)防火墻使用專門的軟件，在信息傳輸上因需進(jìn)行轉(zhuǎn)換有一定的延遲。雙家網(wǎng)關(guān)（Dual Home Gateway）則是標(biāo)準(zhǔn)防火墻的擴(kuò)充，又稱堡全主機(jī)（Bation Host）或應(yīng)用層網(wǎng)關(guān)（Applications LayerGateway），它是一個(gè)單個(gè)的系統(tǒng)。雙家網(wǎng)關(guān)的優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。

2.虛擬專用網(wǎng)（VPN）技術(shù)

虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的險(xiǎn)道，虛擬專用網(wǎng)（VPN）是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展虛擬專用網(wǎng)VPN可以幫助遠(yuǎn)程接入用戶、分支機(jī)構(gòu)、合作伙伴等同總部的內(nèi)部網(wǎng)建立安全連接，并保證數(shù)據(jù)的安全保密傳輸。數(shù)據(jù)流通過(guò)低成本的公網(wǎng)絡(luò)進(jìn)行傳輸，這將極大地減少網(wǎng)絡(luò)組建的費(fèi)用，同時(shí)還簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，也便于靈活接入。

VPN中采用的關(guān)鍵技術(shù)主要包括隧道技術(shù)、用戶身份認(rèn)證技術(shù)、加密技術(shù)和訪問(wèn)控制技術(shù)。VPN采用的技術(shù)中最為核心的技術(shù)就是隧道技術(shù)，隧道技術(shù)是一種通過(guò)互聯(lián)網(wǎng)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)的一種技術(shù)。對(duì)所傳輸?shù)臄?shù)據(jù)在傳送之前被封裝在相應(yīng)的險(xiǎn)道協(xié)議里，當(dāng)?shù)竭_(dá)另一端時(shí)被解虬被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳送時(shí)所經(jīng)過(guò)的通道是一條虛擬的邏輯通道。險(xiǎn)道協(xié)議分為第2層險(xiǎn)道協(xié)議和第3層險(xiǎn)道協(xié)議及傳輸層安全險(xiǎn)道協(xié)議，第2層隧道協(xié)議主要有PPTP、L2TP等，第3層隧道協(xié)議主要有GRE以及IPSec等，傳輸層安全協(xié)議主要有ssl、tls等。L2TP和IPSec是目前應(yīng)用最廣泛的兩種協(xié)議。VPN險(xiǎn)道主要有兩種隨道，一種是端到端的隧道，另一種是節(jié)點(diǎn)到節(jié)點(diǎn)的隧道。

3.計(jì)算機(jī)病毒防護(hù)技術(shù)

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒是一和普通應(yīng)用或系統(tǒng)程序不一樣的特殊計(jì)算機(jī)程序，可以在瞬間損壞應(yīng)用軟件或系統(tǒng)文件使應(yīng)用程序或系統(tǒng)陷入癱疾，導(dǎo)致數(shù)據(jù)被修改及丟失。計(jì)算機(jī)病毒的目標(biāo)就是毀壞數(shù)據(jù)、強(qiáng)占資源、影響計(jì)算機(jī)的正常運(yùn)行。在一般情況下病毒程序并不是單獨(dú)存在于計(jì)算機(jī)中的，而是依附在其他的計(jì)算機(jī)程序及文件中，通過(guò)激活的方式運(yùn)行病毒程序，對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生破壞。計(jì)算機(jī)病毒具有寄生性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等特點(diǎn)。

計(jì)算機(jī)應(yīng)該是以預(yù)防為本，軟件查殺作為輔助的防治策略。盡量不使用安全性不明的移動(dòng)存儲(chǔ)設(shè)備，不瀏覽不良網(wǎng)站、不閱讀來(lái)歷不明的郵件，定期進(jìn)行系統(tǒng)備份。給計(jì)算機(jī)安裝殺毒軟件，并定期進(jìn)行病毒庫(kù)升級(jí)。目前殺毒軟件有Norton系列、360殺毒、瑞星、金山毒霸等等。目前的殺毒軟件一般由查毒、殺毒及病毒防火墻二部分組成。當(dāng)然殺毒軟件具有其被動(dòng)性，殺毒軟件只能查殺已知的病毒或是已知病毒的變種，對(duì)未知病毒現(xiàn)殺毒軟件還不能查殺，且單一殺毒軟件還不能查殺所有病毒。