網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的進(jìn)一步應(yīng)用與分析

[摘要]在網(wǎng)絡(luò)高速發(fā)展的同時(shí)，校園網(wǎng)已經(jīng)成為教師和學(xué)生不可缺少的學(xué)習(xí)和交流工具，網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用網(wǎng)人數(shù)的增加，必然帶來(lái)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。應(yīng)在原有網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)上引入新技術(shù)，使校園網(wǎng)絡(luò)安全系統(tǒng)從被動(dòng)應(yīng)戰(zhàn)向主動(dòng)防御轉(zhuǎn)變。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；校園網(wǎng)；IDS；IPS；UTM

[作者簡(jiǎn)介]陳智慧，北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院計(jì)算機(jī)技術(shù)專業(yè)研究生，研究方向：網(wǎng)絡(luò)安全，北京，100124；河北理工大學(xué)輕工學(xué)院助教，河北唐山，063000

[中圖分類號(hào)]TP393.18[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1007-7723(2009)01-0180-0002

一、引言

近年來(lái)，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模越來(lái)越大，網(wǎng)絡(luò)用戶飛速增長(zhǎng)，使得網(wǎng)絡(luò)安全問(wèn)題成為計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的一個(gè)重要分支。在我國(guó)，各高校分別建立了自己的校園網(wǎng)，校園網(wǎng)的建成，使學(xué)校實(shí)現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，極大地?cái)U(kuò)展了學(xué)校的業(yè)務(wù)，提高了學(xué)校的競(jìng)爭(zhēng)力。校園網(wǎng)已經(jīng)成為教師和學(xué)生不可缺少的學(xué)習(xí)和交流工具。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用網(wǎng)人數(shù)的增加，各高校的網(wǎng)絡(luò)基本都受到過(guò)各種各樣的威脅。因此，加強(qiáng)校園網(wǎng)的安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)。采取有效的手段來(lái)降低因網(wǎng)絡(luò)安全而造成的校園網(wǎng)絡(luò)危害成為目前一個(gè)非常重要的問(wèn)題。

二、校園網(wǎng)建設(shè)及安全現(xiàn)狀

由于校園網(wǎng)絡(luò)的安全問(wèn)題日漸突出，直接影響了學(xué)校的教學(xué)、管理、科研等各項(xiàng)工作的正常運(yùn)行。在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理應(yīng)用網(wǎng)絡(luò)安全技術(shù)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。當(dāng)前，校園網(wǎng)網(wǎng)絡(luò)普遍存在的安全隱患有以下幾種。

(一)校園網(wǎng)安全管理有缺陷

校園網(wǎng)的用戶群體一般都比較大，少則數(shù)千人、多則數(shù)萬(wàn)人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽(tīng)音樂(lè)，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒(méi)有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

(二)校園網(wǎng)內(nèi)部的攻擊

由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，很多學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)充滿好奇，他們有意無(wú)意地攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運(yùn)行。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是，不僅要注意防止外部網(wǎng)絡(luò)對(duì)校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。

(三)Internet的威脅

校園網(wǎng)與Internet相連，在享受Intenet方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。各種病毒就是通過(guò)Internet傳播的，并導(dǎo)致網(wǎng)絡(luò)性能下降。而且黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊校園網(wǎng)的服務(wù)器，以竊取一些重要信息。

(四)資金投入嚴(yán)重不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施

大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足，有限的經(jīng)費(fèi)也主要投在網(wǎng)絡(luò)設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒(méi)有比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個(gè)開(kāi)放的狀態(tài)，缺乏安全預(yù)警手段和防范措施。

在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)運(yùn)行的情況下，我們不能夠去保障校園網(wǎng)絕對(duì)的安全，但要盡量從多個(gè)方面進(jìn)行防范，把校園網(wǎng)不安全因素降到最少。

三、網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用與分析

從技術(shù)層面來(lái)看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過(guò)程中面臨的主要問(wèn)題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問(wèn)題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問(wèn)題。安全防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護(hù)問(wèn)題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語(yǔ)義范疇，越來(lái)越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

(一)入侵檢測(cè)系統(tǒng)(IDS)

FIREWALI一般被部署在內(nèi)網(wǎng)和外網(wǎng)的連接處。作為內(nèi)網(wǎng)安全的第一道大門(mén)，以此來(lái)保證內(nèi)網(wǎng)的安全，但是由于FIREWALL本身只具有一些簡(jiǎn)單的攻擊檢測(cè)功能，更多的攻擊是很難通過(guò)它來(lái)進(jìn)行檢測(cè)的；同時(shí)，由于所有流量都從防火墻中通過(guò)，對(duì)流量有過(guò)多的檢查會(huì)形成網(wǎng)絡(luò)瓶頸現(xiàn)象，而IDS是旁路設(shè)備，正常情況下不會(huì)對(duì)網(wǎng)絡(luò)流量形成影響。

入侵檢測(cè)系統(tǒng)(IDS)是專門(mén)進(jìn)行入侵攻擊檢測(cè)的設(shè)備，它應(yīng)該對(duì)網(wǎng)絡(luò)中存在的所有攻擊行為進(jìn)行檢測(cè)?？焖侔l(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。但是IDS只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅直接進(jìn)行相應(yīng)的處理，阻止在網(wǎng)絡(luò)之外。

(二)入侵防御系統(tǒng)(IPS)

旁路部署的IDS可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補(bǔ)充，但很可惜的是無(wú)法實(shí)時(shí)地阻斷，使得IDS與防火墻聯(lián)動(dòng)在實(shí)際應(yīng)用中的效果受到一定影響。

因此，可以配置入侵防御系統(tǒng)(IPS)，它可以主動(dòng)、積極地防范、阻止系統(tǒng)入侵。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)檢測(cè)到攻擊企圖后，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無(wú)法到達(dá)目標(biāo)，從而可以從根本上避免攻擊，很好地彌補(bǔ)了IDS系統(tǒng)的不足。

但是，不能單純地認(rèn)為IPS是IDS的替代品，因?yàn)槎叩膫?cè)重點(diǎn)不同，IDS是一種側(cè)重于風(fēng)險(xiǎn)管理的安全產(chǎn)品，而IPS是一種側(cè)重于風(fēng)險(xiǎn)控制的安全產(chǎn)品。因此二者不是取代與互斥的關(guān)系，而是相互協(xié)作的：沒(méi)有部署IDS的時(shí)候，只能是憑感覺(jué)判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過(guò)IDS的廣泛部署，了解網(wǎng)絡(luò)的當(dāng)前實(shí)時(shí)狀況，據(jù)此狀況可進(jìn)，一步判斷應(yīng)該在何處部署何類安全產(chǎn)品(JPS等)。

(三)統(tǒng)一威脅管理(UTM)

在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢(shì)將得到越來(lái)越多的體現(xiàn)，統(tǒng)一威脅管理(UTM)技術(shù)應(yīng)運(yùn)而生。

UTM將防火墻、入侵檢測(cè)和防病毒等功能結(jié)合于一體，提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護(hù)。針對(duì)快速增長(zhǎng)的混合型攻擊(基于互聯(lián)網(wǎng)的病毒已經(jīng)開(kāi)在應(yīng)用層發(fā)起攻擊)，需要一種靈活的、整合各種功能的UTM設(shè)備來(lái)防止這種攻擊的快速蔓延。

UTM是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門(mén)用途的設(shè)備，它提供多項(xiàng)安全功能(如IDS、VPN、防病毒和防垃圾郵件等)，將多種安全特性集成在一個(gè)硬件設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。這和單純地在防火墻中整合其他安全功能不同，因?yàn)閁TM更注重的是“對(duì)設(shè)備和對(duì)威脅的管理”，它致力于將各種各樣的網(wǎng)絡(luò)安全威脅消弭于無(wú)形之中，以達(dá)到防患于未然的終極目標(biāo)。它對(duì)于終端普通消費(fèi)者來(lái)說(shuō)是透明的，而這也正是目前我們所期望的。

四、總結(jié)

網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題，更是信息化校園的焦點(diǎn)問(wèn)題。目前校園網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)是“多兵種協(xié)同作戰(zhàn)”，校園網(wǎng)絡(luò)中所有的基礎(chǔ)網(wǎng)絡(luò)設(shè)備共同去發(fā)現(xiàn)、預(yù)防、處理各種安全問(wèn)題，以達(dá)到建設(shè)一個(gè)安全可靠、性能卓越、易于管理的校園網(wǎng)絡(luò)的目的。