◆白濤

網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用

◆白濤

（太原學(xué)院 山西 237016）

自20世紀(jì)七十、八十年代改革開放，中國打開國門面向世界開始，在輸出與引進(jìn)中，計算機(jī)文化在中國得到普及和發(fā)展，短短幾十年間互聯(lián)網(wǎng)如同蛛絲一般遍布中國各行各業(yè)各個領(lǐng)域。網(wǎng)絡(luò)信息技術(shù)也相應(yīng)生根發(fā)芽，不斷發(fā)展，同時也加快了傳統(tǒng)教育向數(shù)字化教育演變的進(jìn)程，校園網(wǎng)絡(luò)在學(xué)校教育、科研發(fā)展和管理等領(lǐng)域中發(fā)揮著越來越重要的作用，并且許多學(xué)校都在抓住機(jī)會創(chuàng)建自己的校園網(wǎng)絡(luò)。但隨著網(wǎng)絡(luò)的擴(kuò)展和用戶的增多，校園網(wǎng)絡(luò)的安全問題也在增加，并且是個不容忽視的問題。因此，如何選擇相對適合的網(wǎng)絡(luò)安全技術(shù)來解決校園網(wǎng)絡(luò)的安全隱患是本文要解決的一個重要問題。本文就網(wǎng)絡(luò)安全的概念、目標(biāo)和存在的安全隱患問題，常用的網(wǎng)絡(luò)安全技術(shù)的幾種類別以及校園網(wǎng)絡(luò)為何需要網(wǎng)絡(luò)安全技術(shù)這幾個方面進(jìn)行分析，從中提出適應(yīng)我國校園網(wǎng)的幾種網(wǎng)絡(luò)安全技術(shù)，以求達(dá)到維護(hù)校園網(wǎng)絡(luò)安全的效果。

網(wǎng)絡(luò)安全技術(shù)；校園網(wǎng)；安全隱患

自我國20世紀(jì)進(jìn)入信息時代以來，不到百年的時間，計算機(jī)的使用率覆蓋各行各業(yè)。其中教育行業(yè)也相應(yīng)從傳統(tǒng)教育走向“教育+互聯(lián)網(wǎng)”轉(zhuǎn)變，但人們對互聯(lián)網(wǎng)安全的認(rèn)識還僅限于使用流行的防病毒軟件來維護(hù)網(wǎng)絡(luò)安全。因此，當(dāng)網(wǎng)絡(luò)中存在安全漏洞時，黑客和病毒會利用這種情況對我們進(jìn)行攻擊。隨著全球計算機(jī)化速度的提高，網(wǎng)絡(luò)安全的重要性不言而喻。另一方面，校園網(wǎng)絡(luò)提供了學(xué)校范圍內(nèi)的學(xué)習(xí)、工作、娛樂和交流等內(nèi)容。隨著在線教育的發(fā)展，將校園網(wǎng)絡(luò)用于教育活動和管理也成為近年來的新趨勢，所以，校園網(wǎng)絡(luò)對教育的發(fā)展和教育活動具有重要的意義。而網(wǎng)絡(luò)安全技術(shù)作為一種避免網(wǎng)絡(luò)相關(guān)風(fēng)險的重要技術(shù)，在保證校園網(wǎng)絡(luò)安全方面發(fā)揮著重要作用。在這些情況下，我們就需要找到有針對性的網(wǎng)絡(luò)安全技術(shù)來保證校園網(wǎng)絡(luò)的安全。

1 常用的網(wǎng)絡(luò)安全技術(shù)

1.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是一種基于符號的移動和數(shù)據(jù)的置換的轉(zhuǎn)換算法。加碼和解密通常是采用相同的密鑰來進(jìn)行的。數(shù)據(jù)加密技術(shù)非常靈活，適用于開放網(wǎng)絡(luò)，尤其是在保護(hù)動態(tài)信息方面效果很好所以我們可以使用數(shù)據(jù)加密技術(shù)來防止未知的被動攻擊。數(shù)據(jù)加密技術(shù)可以分為對稱密鑰技術(shù)和非對稱密鑰技術(shù)兩類。

1.2 防火墻技術(shù)

防火墻技術(shù)可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的邊界處建立過濾和阻止機(jī)制來實現(xiàn)它的防護(hù)，是一種能夠有效實現(xiàn)網(wǎng)絡(luò)安全策略的技術(shù)。它避免被未授權(quán)用戶訪問信息資源的方法是在局域網(wǎng)和互聯(lián)網(wǎng)中設(shè)置一道保護(hù)屏障，它把一個或者一組網(wǎng)絡(luò)設(shè)備與兩個網(wǎng)絡(luò)相互連接，從中能夠發(fā)現(xiàn)并控制兩個網(wǎng)絡(luò)之間的通信流，再根據(jù)已經(jīng)通過的信息包的合法性來控制對重要信息資源的訪問，從而保護(hù)信息系統(tǒng)的安全。

1.2.1 防火墻種類

防火墻技術(shù)大致可以分為數(shù)據(jù)包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和代理型防火墻這三類。

（1）數(shù)據(jù)包過濾防火墻

首先數(shù)據(jù)包在網(wǎng)絡(luò)層中被進(jìn)行選擇性傳遞，接著來自數(shù)據(jù)流中的每個數(shù)據(jù)包都會被系統(tǒng)根據(jù)預(yù)定義的過濾邏輯進(jìn)行檢查，數(shù)據(jù)包的源地址、目標(biāo)地址和它所使用的端口決定了這類型的數(shù)據(jù)包能否通過。因為它的速度很快，容易維護(hù)，所以網(wǎng)絡(luò)防護(hù)的第一道防線就是數(shù)據(jù)包過濾防火墻。

（2）應(yīng)用網(wǎng)關(guān)防火墻

網(wǎng)絡(luò)相關(guān)應(yīng)用的數(shù)據(jù)過濾和封包協(xié)議傳輸是通過應(yīng)用網(wǎng)關(guān)防火墻來實現(xiàn)的，它的數(shù)據(jù)過濾邏輯采用了特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，在過濾過程中，它會對相關(guān)數(shù)據(jù)包執(zhí)行必要的數(shù)據(jù)分析、記錄和統(tǒng)計，最后生成專屬的一個報告。在一些專用的工作站上都會安裝應(yīng)用網(wǎng)關(guān)防火墻。

（3）代理型防火墻

代理型防火墻，也被稱作鏈路級網(wǎng)關(guān)，它能解決數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)的缺點，它把所有通過防火墻的網(wǎng)絡(luò)通信鏈接分為兩部分，隔離了防火墻內(nèi)外部的系統(tǒng)，起到一個保護(hù)作用。

1.2.2 防火墻主要技術(shù)

（1）包過濾技術(shù)

網(wǎng)絡(luò)層中數(shù)據(jù)包的包頭信息被選擇性授權(quán)或阻止是由包過濾技術(shù)來完成的，它的中心安全策略是設(shè)計過濾規(guī)則。

（2）應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)技術(shù)是對每個應(yīng)用程序采用專屬于它自己的處理方法，而不是使用通用機(jī)制來允許不同類型的通信。它在應(yīng)用層上構(gòu)建一個協(xié)議篩選器，該篩選器針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，可以分析數(shù)據(jù)包并生成相關(guān)報告。在專用的工作站上一般都會安裝應(yīng)用網(wǎng)關(guān)防火墻。

（3）狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)實現(xiàn)防火墻的功能是在網(wǎng)絡(luò)層中進(jìn)行的，它先使用檢測引擎在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略，然后檢測引擎在不影響正常工作的基礎(chǔ)上，把網(wǎng)絡(luò)狀態(tài)信息從網(wǎng)絡(luò)通信層中提取出來，再實施監(jiān)測。所以狀態(tài)檢測型防火墻是一種很受青睞的網(wǎng)絡(luò)安全技術(shù)。

1.3 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是說當(dāng)用戶訪問網(wǎng)絡(luò)時，他們必須先驗證自己的身份，在獲得授權(quán)后才能夠訪問網(wǎng)絡(luò)。在校園網(wǎng)絡(luò)中，每個校內(nèi)用戶都會有一個對應(yīng)的、專屬于他自己的標(biāo)識符，并且通常以賬戶和密碼的形式來完成操作，就好像我們登陸教務(wù)系統(tǒng)時使用自己的學(xué)號和密碼那樣。當(dāng)連接到網(wǎng)絡(luò)時，用戶需要輸入正確的賬號和密碼，只有在成功進(jìn)行身份檢查之后，他們才能訪問網(wǎng)絡(luò)數(shù)據(jù)和下載資料。這種身份認(rèn)證技術(shù)可以很好地防止來自網(wǎng)絡(luò)黑客的惡意攻擊，有助于構(gòu)建校園網(wǎng)絡(luò)的高級識別系統(tǒng)，并且確保信息不會被他人泄露或者更改。

1.3.1 數(shù)字簽名

數(shù)字簽名技術(shù)是指其他人不能偽造數(shù)字符串，只有實際的發(fā)送者使用公共密鑰算法的關(guān)鍵技術(shù)才能完成。它的步驟是發(fā)送者先使用自己的私鑰加密數(shù)據(jù)，然后把它發(fā)送給接收者，接著接收者可以使用發(fā)送者的公鑰來解鎖數(shù)據(jù)，再標(biāo)識郵件的發(fā)件人，這是對發(fā)件人發(fā)送的信息的真實性的一個驗證。數(shù)字簽名技術(shù)是確保交易安全的基本技術(shù)之一。

1.3.2 數(shù)字證書

數(shù)字證書也稱為“數(shù)字標(biāo)識符”或“網(wǎng)絡(luò)標(biāo)識符”，首先認(rèn)證中心（CA）頒發(fā)了數(shù)字證書，接著認(rèn)證中心再對它進(jìn)行數(shù)字簽名，這個數(shù)字證書中會包含一個電子文件，公鑰的所有者和有關(guān)公鑰的信息都在電子文件中，證書持有者可以用它來證明自己的身份是真實有效的。數(shù)字證書采用的是公共密鑰系統(tǒng)，用相應(yīng)的密鑰來進(jìn)行加密和解密，被廣泛用于電子商務(wù)交易中。

1.4 入侵檢測技術(shù)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)安全設(shè)備的一種，它能實時監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的傳輸，當(dāng)檢測到可疑傳輸時，會發(fā)送警報再主動采取措施，所以它是一種主動的安全保護(hù)技術(shù)，用于許多大中型企業(yè)和政府機(jī)構(gòu)。它可以用這樣一個比喻來表示：如果防火墻是一棟大廈的門鎖，那么IDS就是大廈的監(jiān)視系統(tǒng)。當(dāng)小偷闖入或內(nèi)部人員有越界行為時，只有IDS才能檢測到，然后發(fā)出警告。實時入侵檢測功能一方面可以管理來自內(nèi)部網(wǎng)絡(luò)的攻擊，另一方面可以減少黑客入侵所需的時間，這一點是很重要的。

1.5 病毒防護(hù)技術(shù)

計算機(jī)病毒（包括木馬和惡意軟件）一直是信息系統(tǒng)安全中的主要問題之一?；ヂ?lián)網(wǎng)的普及加速了病毒的傳播。

1.5.1 病毒的傳播方式

（1）從移動存儲設(shè)備，如U盤、CD和移動硬盤中感染。

（2）通過網(wǎng)絡(luò)傳播：網(wǎng)站、電子郵件、即時消息等等。

（3）利用和傳播計算機(jī)系統(tǒng)和應(yīng)用軟件中的漏洞。

1.5.2 主要的防病毒技術(shù)

（1）避免病毒傳播方法：在防火墻、代理服務(wù)器上安裝病毒過濾軟件，在計算機(jī)和移動設(shè)備上安裝防病毒軟件。

（2）掃描和清除病毒：使用防病毒軟件對病毒進(jìn)行掃描和清除。

（3）更新病毒數(shù)據(jù)庫：不斷更新病毒數(shù)據(jù)庫，并把它發(fā)送到桌面系統(tǒng)。

（4）在防火墻、代理服務(wù)器和計算機(jī)上安裝掃描軟件，防止未經(jīng)授權(quán)的下載。

2 校園網(wǎng)網(wǎng)絡(luò)安全隱患

2.1 網(wǎng)絡(luò)系統(tǒng)程序的安全風(fēng)險

由于設(shè)計人員在校園網(wǎng)絡(luò)系統(tǒng)的開發(fā)和實施過程中的疏忽，系統(tǒng)程序會存在一些安全漏洞和隱患。校園網(wǎng)的操作協(xié)議是針對大多數(shù)師生的，其特點是交流和開放。運營網(wǎng)絡(luò)平臺中不可避免地存在風(fēng)險和漏洞，安全工程師只能修復(fù)和糾正這些故障，但不能完全消除它們。所以在首次設(shè)計和使用校園區(qū)網(wǎng)絡(luò)系統(tǒng)時，從一開始就要進(jìn)行仔細(xì)檢查和測試，從源頭上杜絕安全漏洞。

2.2 網(wǎng)絡(luò)對外開放性強(qiáng)，外部連接IP容易進(jìn)入

因為大多數(shù)校園建立網(wǎng)絡(luò)安全性的投資不足，并且網(wǎng)絡(luò)安全系統(tǒng)沒有足夠的設(shè)備，大多數(shù)高校都沒有創(chuàng)建校園網(wǎng)絡(luò)的資源，有限的資金主要用于投資網(wǎng)絡(luò)設(shè)備，沒有足夠的資金來加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性。因此許多學(xué)校的校園網(wǎng)絡(luò)基本上是開放的，并且缺乏安全預(yù)警方法和預(yù)防措施。

2.3 計算機(jī)病毒泛濫

網(wǎng)絡(luò)病毒的數(shù)量隨著網(wǎng)絡(luò)技術(shù)的發(fā)展也在一同增加，當(dāng)網(wǎng)絡(luò)病毒和黑客軟件結(jié)合使用時，大型的網(wǎng)絡(luò)病毒就出現(xiàn)了，給用戶的計算機(jī)帶來很大的危害，有時還會導(dǎo)致拒絕服務(wù)攻擊，消耗大量網(wǎng)絡(luò)資源，引起網(wǎng)絡(luò)擁塞并給網(wǎng)絡(luò)用戶帶來重大問題。因此，需要防范校園網(wǎng)絡(luò)中的網(wǎng)絡(luò)病毒。但是目前許多大學(xué)的防病毒措施僅限于單機(jī)，所以建立具有集中管理、監(jiān)控和升級的校園網(wǎng)絡(luò)防病毒系統(tǒng)是很有必要的。

2.4 缺乏完善的網(wǎng)絡(luò)安全管理制度

校園網(wǎng)絡(luò)存在被外來網(wǎng)絡(luò)入侵、攻擊，如被未經(jīng)授權(quán)的賬戶檢索、騷擾和發(fā)送垃圾郵件等情況。但校園網(wǎng)絡(luò)內(nèi)的用戶沒有足夠的網(wǎng)絡(luò)安全防患意識，收到垃圾郵件也不了了之，這反而會讓“黑客”們更加猖獗。而且許多高校也沒有足夠重視這個問題，進(jìn)而去完善相關(guān)的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度。

3 網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用

3.1 設(shè)置防火墻

防火墻的作用是防止來自互聯(lián)網(wǎng)的病毒進(jìn)入內(nèi)網(wǎng)，防止用戶通過校園網(wǎng)絡(luò)訪問非法網(wǎng)站。防火墻在互聯(lián)網(wǎng)和校園網(wǎng)絡(luò)之間運行，主要攔截來自外部的有害連接，屏蔽不安全的網(wǎng)站，確保校園網(wǎng)絡(luò)的安全運行。此外，校園網(wǎng)還可以監(jiān)視用戶的網(wǎng)絡(luò)記錄，存儲監(jiān)視信息，然后分析存儲的內(nèi)容，從而確定用戶訪問是否受到威脅，當(dāng)檢測到安全問題時，會彈出安全窗口提醒用戶，保證校園網(wǎng)絡(luò)的安全性。通過同時使用NAT和防火墻，校園網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)可以被隱藏起來，從而提高安全性能，解決IP下的分配問題，并改善校園網(wǎng)絡(luò)的使用。如果校園網(wǎng)絡(luò)發(fā)生故障，防火墻會立即將校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分開，防止事故蔓延。因此，防火墻在安全使用校園網(wǎng)絡(luò)中起著重要作用。

3.2 網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)及備份技術(shù)

網(wǎng)絡(luò)安全的最重要的是要保證網(wǎng)絡(luò)信息的完整性和機(jī)密性。網(wǎng)絡(luò)病毒感染和黑客攻擊的行為等都是在數(shù)據(jù)信息的基礎(chǔ)上進(jìn)行的，因此，我們就要使用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)把校園網(wǎng)絡(luò)中的敏感數(shù)據(jù)保護(hù)好。網(wǎng)絡(luò)備份設(shè)備可以把重要的網(wǎng)絡(luò)信息資源做一個集中的管理，再進(jìn)行實時的監(jiān)視備份操作，還能夠把常見的網(wǎng)絡(luò)操作問題歸類，為它們量身打造專屬的網(wǎng)絡(luò)備份策略，這樣就能提高系統(tǒng)備份的效率。網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)資源是校園網(wǎng)絡(luò)最為重要的一部分，校內(nèi)用戶想要備份數(shù)據(jù)時，可以在線進(jìn)行網(wǎng)絡(luò)索引。它還可以根據(jù)用戶的需要隨時恢復(fù)數(shù)據(jù)文件，這樣就能保障數(shù)據(jù)的安全性。除了這些方面之外，管理校園網(wǎng)絡(luò)檔案也可以采用這個技術(shù)，并且它內(nèi)置的備份和存儲格式是可以長時間保護(hù)網(wǎng)絡(luò)信息和數(shù)據(jù)的。

3.3 VPN技術(shù)

VPN代表虛擬專用網(wǎng)，是將校園局域網(wǎng)連接到外部網(wǎng)絡(luò)的重要方式，我們可以通過設(shè)置VPN服務(wù)器來有效地保護(hù)校園網(wǎng)絡(luò)。使用VPN技術(shù)后，校園網(wǎng)絡(luò)里的用戶只有在通過服務(wù)器身份驗證后才能訪問某些網(wǎng)絡(luò)信息。對于校園網(wǎng)絡(luò)的用戶而言，此設(shè)置是最安全的。此外，VPN技術(shù)還可以加密校園網(wǎng)絡(luò)數(shù)據(jù)，確保只有某些授權(quán)用戶才能成功訪問信息，從而進(jìn)一步保證信息和數(shù)據(jù)的安全性。在校園網(wǎng)絡(luò)上使用VPN時，我們要了解協(xié)議設(shè)置的合理性，并根據(jù)學(xué)校的實際需求選擇適當(dāng)?shù)耐ㄐ欧椒?。通常情況下，學(xué)校的VPN應(yīng)用是可以選擇不安裝VPN客戶端設(shè)備的，這樣可以節(jié)省一些網(wǎng)絡(luò)安全的成本。

3.4 身份認(rèn)證技術(shù)

采用身份認(rèn)證技術(shù)的第一步是，先通過統(tǒng)一的身份認(rèn)證進(jìn)行確認(rèn)，確認(rèn)合格才能使用校園網(wǎng)絡(luò)，上網(wǎng)時需要辦理上機(jī)卡，非合法用戶不能使用校園網(wǎng)絡(luò)。第二步，要對合法用戶的上網(wǎng)行為進(jìn)行統(tǒng)一監(jiān)控，再把校內(nèi)用戶的上網(wǎng)日志保存在各機(jī)房的主監(jiān)控服務(wù)器上。這樣可以備查至少三個月以上的上網(wǎng)日志，也方便了機(jī)房的管理。因為上網(wǎng)日志會被發(fā)送到各機(jī)房的主監(jiān)控服務(wù)器上，所以它能夠保證上網(wǎng)日志記錄的準(zhǔn)確性和嚴(yán)密性，從而保證了校園網(wǎng)絡(luò)的安全。

3.5 完善電子郵件系統(tǒng)

許多校園網(wǎng)絡(luò)都使用免費或低成本的電子郵件系統(tǒng)這樣的一種情況還是很普遍的，但是這樣低成本的功能是不能滿足電子郵件用戶和網(wǎng)絡(luò)安全的需求的，因為它很難有效地執(zhí)行監(jiān)控，提供相關(guān)日志并過濾掉有害信息，校內(nèi)用戶還是經(jīng)常會收到刷單、黃暴等類型的垃圾郵件。從校園網(wǎng)絡(luò)安全的角度來看，電子系統(tǒng)需要盡快完成，完善了電子郵件系統(tǒng)，校園網(wǎng)絡(luò)的安全管理和監(jiān)控功能能得到很大的提高。

4 總結(jié)

校園網(wǎng)絡(luò)在校園生活中占有非常重要的地位，我們可以使用合適的網(wǎng)絡(luò)安全技術(shù)來構(gòu)建整個學(xué)校網(wǎng)絡(luò)，維護(hù)校園網(wǎng)絡(luò)和師生信息的安全。在校園網(wǎng)中應(yīng)用適合的網(wǎng)絡(luò)安全技術(shù)時，不僅要分析校園網(wǎng)絡(luò)的結(jié)構(gòu)，還要了解學(xué)校的特殊需求，進(jìn)而選擇高質(zhì)量的網(wǎng)絡(luò)安全技術(shù)，這樣才能有效地保證校園網(wǎng)絡(luò)的安全。

[1]高冰. 網(wǎng)絡(luò)安全措施探討[J]. 東北財經(jīng)大學(xué)學(xué)報，2014（04）：15-16.

[2]林濤.淺析校園網(wǎng)絡(luò)安全防范[J]. 科技信息，2013（02）：80-81.

[3]劉勇. 淺析高校校園網(wǎng)絡(luò)安全技術(shù)及其防范措施[J]. 信息系統(tǒng)工程，2016（03）：67-69.

[4]高衛(wèi)衛(wèi). 網(wǎng)絡(luò)型病毒分析與計算機(jī)網(wǎng)絡(luò)安全技術(shù)[J]. 信息與電腦（理論版），2013（06）：79-80.

[5]高永強(qiáng)，郭世澤，等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M]. 北京：人民郵電出版社，2003：23-27.

[6]史曉龍.防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J]. 公安大學(xué)學(xué)報（自然科學(xué)版），2001（03）.

[7]Chris Hare，Karanjit Siyan.Internet防火墻和網(wǎng)絡(luò)安全（中文版第二版）[M]. Prentice Hal1，1998：11-13.