李璨

摘? 要：學校網(wǎng)絡規(guī)模不斷擴大，信息化的需求不斷增加，高校信息化領域的應用也日益增多，這讓學校的教育、科學研究和管理水平顯著提高。信息化水平的提高考驗了學校網(wǎng)絡和系統(tǒng)信息安全應用的安全性。這就需要學校網(wǎng)絡網(wǎng)絡安全監(jiān)控系統(tǒng)來確保學校網(wǎng)絡的安全。本文探討了校園網(wǎng)絡的現(xiàn)狀及校園網(wǎng)絡安全措施的內(nèi)容，希望可以為有關人士提供此領域研究的幫助。

關鍵詞：校園網(wǎng);網(wǎng)絡安全監(jiān)測;控制系統(tǒng)設計

隨著信息技術(shù)的發(fā)展。人們對網(wǎng)絡的需求不斷增加，各種信息化應用不斷出現(xiàn)，讓網(wǎng)絡安全管理面臨著重大的挑戰(zhàn)。雖然很多高校都部署了網(wǎng)絡安全監(jiān)控系統(tǒng)，但目前很多高校校園網(wǎng)網(wǎng)絡安全監(jiān)控系統(tǒng)總體上還不完善，鑒于這種校園網(wǎng)的網(wǎng)絡安全問題顯然是校園的一項重大困難，導致了很多安全問題的出現(xiàn)。

一、校園網(wǎng)的安全現(xiàn)狀分析

1.1用戶故意破壞

一些用戶擁有特定的網(wǎng)絡技術(shù)，并試圖用其他攻擊技術(shù)攻擊學校網(wǎng)絡，滿足自身的好奇心或滿足感，擾亂學校網(wǎng)絡的正常運行。

1.2缺乏網(wǎng)絡安全設備

網(wǎng)絡安全設備價格昂貴，私立學校通常不愿意購買功能強大的設備，并且在網(wǎng)絡監(jiān)控和安全方面容易出現(xiàn)缺陷[1]。

1.3校園網(wǎng)管理人員經(jīng)驗少

由于學校網(wǎng)絡管理員人數(shù)有限，管理人員還可能存在缺乏管理經(jīng)驗的情況，如果出現(xiàn)網(wǎng)絡安全問題，無法及時處理。

1.4用戶安全意識薄弱

教師和學生對計算機網(wǎng)絡沒有深入的了解，安全意識薄弱，甚至都注意不到計算機中毒的情況。

二、校園網(wǎng)安全技術(shù)分析

2.1上網(wǎng)行為的數(shù)據(jù)采集分析技術(shù)

由于學校網(wǎng)絡的用戶群龐大，學校網(wǎng)絡和服務器被攻擊是不可避免的。作為學校網(wǎng)絡，有必要跟蹤人們訪問學校網(wǎng)絡的記錄，以便為追蹤網(wǎng)絡安全事件打下基礎。目前，收集上網(wǎng)行為數(shù)據(jù)的主要有被動式數(shù)據(jù)采集技術(shù)。這種技術(shù)通過直接訪問客戶端與數(shù)據(jù)庫系統(tǒng)進行數(shù)據(jù)交換，以各種信息的形式收集上網(wǎng)行為的相關數(shù)據(jù)，即數(shù)據(jù)可以進行結(jié)構(gòu)化轉(zhuǎn)換，將其輸入到數(shù)據(jù)庫當中，最后從一組數(shù)據(jù)展開具體情況的分析。它具有實時數(shù)據(jù)采集、實時周期短、效率高等特點。

2.2防火墻技術(shù)

學校網(wǎng)絡的穩(wěn)定性和安全性經(jīng)常受網(wǎng)絡攻擊的影響。防火墻技術(shù)可以從應用層防止部分網(wǎng)絡攻擊，有效阻止非法連接和非法入侵，可以保證學校網(wǎng)絡的安全。采用反向代理模式，可以在服務器上降低負載，也可以阻止惡意請求和非法攻擊，并隱藏真實的服務器地址以確保服務器安全。

2.3訪問控制技術(shù)

訪問控制技術(shù)意味著防止未經(jīng)授權(quán)訪問資源。這個過程是，學校網(wǎng)絡的用戶必須在獲得認證后訪問服務器，才能訪問與學校相關的資源或服務。目前主要是角色訪問控制，不同的用戶身份有不同的權(quán)限訪問不同的內(nèi)容[2]。

2.4網(wǎng)絡監(jiān)測技術(shù)

校園網(wǎng)是典型的校園專用網(wǎng)，具有明確的時空規(guī)律和高度集中的網(wǎng)絡需求。網(wǎng)絡流量監(jiān)測是分析學校網(wǎng)絡網(wǎng)絡性能的基礎。但是，學校依靠Ping等指揮工具來監(jiān)測學校網(wǎng)絡的活動，不足以監(jiān)控學校網(wǎng)絡。目前，學校網(wǎng)絡主要使用基于SNMP的技術(shù)來監(jiān)控流量。使用基于SNMP的流量監(jiān)控技術(shù)，不局限于網(wǎng)絡速度、單鏈路，它是基于TCP/IP協(xié)議的。管理員可以用SNMP技術(shù)請求有關設備的信息，可以查詢其變化值和網(wǎng)絡狀態(tài)。再就是，格式簡單，易于分析，比較容易實現(xiàn)。

三、網(wǎng)絡安全監(jiān)測與控制系統(tǒng)的設計

3.1上網(wǎng)行為分析模塊

用戶可以使用http請求服務器訪問資源，系統(tǒng)通過設置的規(guī)則攔截部分請求，如果數(shù)據(jù)包被判定為惡意訪問，數(shù)據(jù)包就會被丟棄。收集信息后，獲得訪客的IP地址，并通過查閱數(shù)據(jù)庫信息表中的用戶數(shù)據(jù)，并使用用戶的IP數(shù)據(jù)計算當前1分鐘時間的數(shù)據(jù)，來評估是否超過了訪問次數(shù)。通常，只有惡意用戶才能以每秒數(shù)千次的高速來訪問服務器。為此，必須攔截這種消耗服務器資源的訪問。本系統(tǒng)可以根據(jù)實際情況設置每分鐘的惡意訪問次數(shù)，如果超出設定時間的訪問次數(shù)被視為惡意攻擊，則表示拒絕網(wǎng)絡服務。

3.2防火墻模塊

當防火墻實現(xiàn)客戶端向服務器發(fā)送數(shù)據(jù)請求時，Web應用程序防火墻應根據(jù)相關的攻擊檢測規(guī)則檢查服務器接收的數(shù)據(jù)，以評估請求的數(shù)據(jù)是否包含非法請求或攻擊。最后，在規(guī)則配置文件中配置規(guī)則，以便對各種惡意攻擊進行檢測，設置檢測攻擊、攔截特定字段、上載文件和傳輸數(shù)據(jù)的規(guī)則，并記錄有關訪問的信息。在策略方面，主要是對非法字符和非法IP地址的控制。網(wǎng)絡病毒在計算機網(wǎng)絡環(huán)境中有很多形式，主要是一些混亂的字符串，借助防火墻，可以實現(xiàn)對非法字符的控制，保護各種數(shù)據(jù)，限制和攔截某些域名可以減少計算機上某些病毒的入侵，從而保護計算機。控制非法IP地址，為網(wǎng)絡系統(tǒng)安全發(fā)揮保護作用。當一些惡意IP地址連接到網(wǎng)絡時，很可能會將惡意軟件或數(shù)據(jù)包發(fā)送到計算機。管理員可以立即進行分析和處理，以確保網(wǎng)絡正常運行。

3.3上網(wǎng)行為數(shù)據(jù)分析的驗證

旁路模式將所有網(wǎng)絡數(shù)據(jù)流量鏡像到服務器，由服務器對獲取到校園網(wǎng)絡訪問數(shù)據(jù)。系統(tǒng)記錄用戶的所有相關信息，如源地址、目的地址、訪問路徑、訪問內(nèi)容、訪問持續(xù)時間等。

3.4防火墻功能的驗證

要檢查防火墻是否能有效阻止惡意攻擊，請在不啟動防火墻模塊的情況下進行實驗，模擬各種攻擊、惡意上傳大文件展開測試。測試均顯示成功，這意味著系統(tǒng)不會對惡意攻擊進行攔截。通過查看有限的錯誤日志可以看出，觸犯了設定的策略而被限制，達到阻止惡意攻擊的目的。

3.5訪問控制模塊

客戶端需要請求帳號和密碼以及登錄的信息，并且通常以消息的形式發(fā)送給服務器，數(shù)據(jù)庫服務器會比較相關數(shù)據(jù)并請求登錄數(shù)據(jù)，并評估其是否合法，以及訪問這些資源的權(quán)限角色是否合法，確保這些資源的被正確使用，并防止在線資源的非法濫用。管理員將合法用戶的信息存儲在身份驗證系統(tǒng)中。當用戶的客戶端可以訪問源時，用戶必須首先通過身份驗證來確定自己的身份，身份驗證成功后，通過訪問控制列表訪問用戶身份。

四、結(jié)語

總的來說，對學校網(wǎng)絡面臨的網(wǎng)絡安全問題進行分析和研究，制定相關安全解決方案，并完善系統(tǒng)的功能實現(xiàn)，可以實現(xiàn)校園網(wǎng)絡智能化的控制和管理。

參考文獻：

[1]李業(yè)謙.基于校園網(wǎng)的網(wǎng)絡安全監(jiān)測與控制系統(tǒng)的設計[J].信息記錄材料，2020，21（06）：231-233.DOI：10.16009/j.cnki.cn13-1295/tq.2020.06.140.

[2]劉珊珊.高校校園網(wǎng)網(wǎng)絡監(jiān)控體系設計與解決方案[D].華南理工大學，2013.