試論校園網(wǎng)絡(luò)安全技術(shù)

鄭茂華

中圖分類號(hào)：TP393TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1673-0992（2009）05-045-02

摘要：在校園網(wǎng)的初期建設(shè)中，由于安全意識(shí)、安全管理等多方面的原因，網(wǎng)絡(luò)安全沒(méi)有引起足夠的重視，造成網(wǎng)絡(luò)安全事故不斷發(fā)生，校園網(wǎng)運(yùn)行和管理所面臨的安全問(wèn)題也就愈發(fā)突出。因此, 建設(shè)健全校園網(wǎng)絡(luò)安全體系已經(jīng)成為數(shù)字化校園建設(shè)過(guò)程中不可忽視的重要組成部分。

關(guān)鍵詞：校園；網(wǎng)絡(luò)；隱患；安全技術(shù)

校園網(wǎng)絡(luò)的發(fā)展改善了教育技術(shù)和網(wǎng)絡(luò)教育應(yīng)用的環(huán)境，革新了現(xiàn)有的教學(xué)手段、教學(xué)方法和教學(xué)模式，推動(dòng)了信息技術(shù)和現(xiàn)代遠(yuǎn)程教育的發(fā)展。校園網(wǎng)絡(luò)的普及和廣泛應(yīng)用，提升了學(xué)校的信息化、數(shù)字化水平；如何保證校園網(wǎng)絡(luò)安全、有效地運(yùn)行，已成為目前許多學(xué)校面臨的重要課題。

一、校園網(wǎng)絡(luò)安全概述

1.校園網(wǎng)絡(luò)安全的定義

校園網(wǎng)是指基于互聯(lián)網(wǎng)應(yīng)用的，提供以學(xué)習(xí)活動(dòng)為核心的，兼顧教學(xué)與學(xué)校管理的網(wǎng)絡(luò)媒體教學(xué)環(huán)境。校園網(wǎng)網(wǎng)絡(luò)安全是指校園網(wǎng)信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。廣義的校園網(wǎng)網(wǎng)絡(luò)安全包括實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全、軟件安全和通信安全等。其中，實(shí)體安全主要是指校園網(wǎng)硬件設(shè)備和通信線路的安全，其威脅來(lái)自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全，其威脅主要來(lái)自信息破壞和信息泄漏。狹義的校園網(wǎng)網(wǎng)絡(luò)安全是指校園網(wǎng)網(wǎng)絡(luò)的信息安全，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性、可控性的相關(guān)技術(shù)和理論。

2.校園網(wǎng)絡(luò)安全的特點(diǎn)

第一，開(kāi)放性。由于學(xué)校具有教學(xué)和科研的特點(diǎn)，所以要求校園網(wǎng)絡(luò)的環(huán)境是開(kāi)放的，而且在管理方面較企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)更寬松一些，這樣就會(huì)留下一些安全隱患。第二，活躍性。在學(xué)校中，在校學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，而且數(shù)量非常龐大，他們對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。尤其是一些學(xué)生會(huì)嘗試使用從網(wǎng)上學(xué)到的或者是自己研究的一些攻擊技術(shù)，而這些行為可能對(duì)校園網(wǎng)絡(luò)造成一定的影響和破壞。第三，復(fù)雜性。大多數(shù)用戶基本上使用的是盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件，這些軟件存在很多的問(wèn)題，例如留有后門、攜帶病毒等，這些將會(huì)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。

二、校園網(wǎng)絡(luò)安全隱患

1.網(wǎng)絡(luò)連接安全隱患

幾乎所有校園網(wǎng)都與Internet鏈接，這對(duì)宣傳學(xué)校、擴(kuò)大學(xué)校的影響和知名度很有好處。但是，在帶來(lái)方便的同時(shí)也帶來(lái)安全風(fēng)險(xiǎn)。對(duì)于校園網(wǎng)的安全來(lái)說(shuō)所有的Internet用戶都屬于不信任的，無(wú)法保證不發(fā)生攻擊行為，需要特別注意防范。瀏覽網(wǎng)頁(yè)是絕大多數(shù)上網(wǎng)者的事情，令人遺憾的是，過(guò)去一直被認(rèn)為瀏覽網(wǎng)頁(yè)是安全的觀念現(xiàn)在已經(jīng)被徹底打破，大量事實(shí)表明僅僅是閱讀了某些網(wǎng)頁(yè)，就完全有可能在瀏覽者的機(jī)器上運(yùn)行任何程序，比如格式化硬盤，安裝木馬，肆意篡改瀏覽器，限制某些功能等等。

2.系統(tǒng)漏洞安全隱患

系統(tǒng)的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前校園網(wǎng)上所使用的操作系統(tǒng)主要有Unix，Linus，Windows系列，而且以Windows系列操作系統(tǒng)最多。不管哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，國(guó)際上一些安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，有一些漏洞則可以被用來(lái)實(shí)施拒絕服務(wù)攻擊，一些漏洞則成為病毒攻擊的對(duì)象。近幾年來(lái)，利用漏洞開(kāi)發(fā)的計(jì)算機(jī)病毒在互聯(lián)網(wǎng)上泛濫成災(zāi)，頻頻掀起發(fā)作狂潮，并且隨著網(wǎng)絡(luò)帶寬和計(jì)算機(jī)數(shù)量的增加，病毒的傳播速度越來(lái)越快。

3.網(wǎng)絡(luò)病毒侵襲隱患

計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒以計(jì)算機(jī)為載體，利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊，是一種通過(guò)網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它不僅具有傳播性，隱蔽性，破壞性等特性，同時(shí)還具有不利用文件寄生(有的只存在于內(nèi)存中)，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等特征。在產(chǎn)生的破壞性上，計(jì)算機(jī)病毒可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。

4.管理制度安全隱患

管理制度是保障信息化建設(shè)安全的重要組成部分，許多學(xué)校都存在著重建設(shè)輕管理的傾向。實(shí)踐證明，安全管理制度不完善是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要來(lái)源之一。比如，網(wǎng)絡(luò)管理員配備不當(dāng)、用戶安全意識(shí)不強(qiáng)、用戶口令設(shè)置不合理、管理制度不健全等，都會(huì)給信息安全帶來(lái)嚴(yán)重威脅。IP地址的盜用、混用問(wèn)題，校園網(wǎng)內(nèi)部連接的計(jì)算機(jī)有的是得到合法的IP地址，有的沒(méi)有申請(qǐng)過(guò)IP地址，如果沒(méi)有IP地址的用戶冒用合法用戶的IP地址上網(wǎng)，這就是IP地址的盜用；IP地址的混用是指用戶由于某些原因，人為地修改了機(jī)器的靜態(tài)的IP地址。這兩種情況都能造成局域網(wǎng)內(nèi)部地址的沖突，嚴(yán)重影響著網(wǎng)絡(luò)的正常使用。

另外，地震、水災(zāi)、火災(zāi)等環(huán)境事故，電源故障，人為操作失誤或錯(cuò)誤等網(wǎng)絡(luò)的外部環(huán)境安全隱患也是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。

三、校園網(wǎng)絡(luò)安全技術(shù)運(yùn)用

1.網(wǎng)絡(luò)防火墻技術(shù) 防火墻是網(wǎng)絡(luò)安全的屏障，它能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。因此要在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺(tái)防火墻，構(gòu)筑內(nèi)外網(wǎng)之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。那么，通過(guò)Inter-net進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)(如WWW、MAIL、FTP、DNS等)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

2.網(wǎng)絡(luò)入侵監(jiān)測(cè)技術(shù)

對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)，單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn)，有些攻擊方式可以繞過(guò)防火墻，直接侵入到內(nèi)部網(wǎng)絡(luò)，使得網(wǎng)絡(luò)安全受到威脅。入侵檢測(cè)系統(tǒng)(IDS)是近年來(lái)出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，IDS能夠?qū)崟r(shí)分析內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)通訊信息，分辨入侵企圖，在網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出警報(bào)，并且及時(shí)對(duì)網(wǎng)絡(luò)入侵采取相應(yīng)對(duì)策，最大限度保護(hù)網(wǎng)絡(luò)的安全。它可以彌補(bǔ)防火墻的不足，作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了一種對(duì)外部攻擊、內(nèi)部攻擊以及誤操作的實(shí)時(shí)保護(hù)，最大限度的降低可能的入侵危害。由于它與防火墻有很強(qiáng)的互補(bǔ)性，所以在網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)過(guò)程中，入侵檢測(cè)系統(tǒng)經(jīng)常與防火墻實(shí)現(xiàn)聯(lián)動(dòng)。

3.數(shù)據(jù)加密技術(shù) 加密是通過(guò)對(duì)信息的重新組合，使得只有收發(fā)雙方才能解碼還原信息。數(shù)據(jù)加密技術(shù)是為提高網(wǎng)絡(luò)上的信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一。數(shù)據(jù)加密技術(shù)作為主動(dòng)網(wǎng)絡(luò)安全技術(shù)，是提供網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、防止秘密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段，是許多安全措施的基本保證。加密后的數(shù)據(jù)能保證在傳輸、使用和轉(zhuǎn)換時(shí)不被第三方獲取數(shù)據(jù)。基于數(shù)據(jù)加密技術(shù)以上特點(diǎn)，在校園網(wǎng)絡(luò)中傳送重要信息時(shí)要使用數(shù)據(jù)加密技術(shù)來(lái)保證信息的安全。

4.防網(wǎng)絡(luò)病毒技術(shù)

在網(wǎng)絡(luò)環(huán)境下，病毒傳播速度很快，大量的數(shù)據(jù)包經(jīng)常使網(wǎng)絡(luò)癱瘓，僅用單機(jī)版的殺病毒軟件已經(jīng)難以清除網(wǎng)絡(luò)病毒，必須使用網(wǎng)絡(luò)版的殺病毒產(chǎn)品，并在網(wǎng)絡(luò)設(shè)備上進(jìn)行相應(yīng)的設(shè)置，阻斷病毒的傳播，從病毒的源頭和傳播途徑兩方面解決問(wèn)題。在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒，并自動(dòng)對(duì)網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。 安全防范體系的建立不是一勞永逸的，必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問(wèn)題，不斷對(duì)此體系進(jìn)行及時(shí)的維護(hù)和更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展。

參考文獻(xiàn)：

[1]凌捷.計(jì)算機(jī)數(shù)據(jù)安全技術(shù)[M].北京:科學(xué)出版社.2004

[2]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用「M].北京:科學(xué)出版社.2003

[3]高文蓮.高校校園網(wǎng)安全設(shè)計(jì)與實(shí)現(xiàn).長(zhǎng)治學(xué)院學(xué)報(bào).2005.4

[4]文光斌.主動(dòng)防御網(wǎng)絡(luò)安全研究[J].計(jì)算機(jī)安全，2006.8