網(wǎng)絡(luò)安全技術(shù)策略在校園網(wǎng)中的應(yīng)用研究

天津工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與軟件學(xué)院 魏愛華

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，在高校中運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行教學(xué)科研等各項(xiàng)工作更加深入和普及，通過(guò)校園網(wǎng)絡(luò)向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務(wù)，沖破了人與人之間在時(shí)間和空間分隔的制約，越來(lái)越被更多的人們所接受和喜愛。在人們享受網(wǎng)絡(luò)帶來(lái)的巨大便利的同時(shí)，網(wǎng)絡(luò)安全也正受到前所未有的考驗(yàn)。

1.校園網(wǎng)的安全隱患

1.1 網(wǎng)絡(luò)部件的不安全因素

網(wǎng)絡(luò)的脆弱性：系統(tǒng)的易欺騙性和易被監(jiān)控性，加上薄弱的認(rèn)證環(huán)節(jié)以及局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機(jī)的復(fù)雜設(shè)置與控制，使得計(jì)算機(jī)網(wǎng)絡(luò)容易遭受威脅和攻擊。電磁泄露：網(wǎng)絡(luò)端口、傳輸線路和處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露，目前大多數(shù)機(jī)房屏蔽和防輻射設(shè)施都不健全，通信線路也同樣容易出現(xiàn)信息泄露。搭線竊聽：隨著信息傳遞量的不斷增加，傳遞數(shù)據(jù)的密級(jí)也不斷提高，犯罪分子為了獲取大量情報(bào)，采用監(jiān)聽通信線路的手段，非法接收信息。非法終端：有可能在現(xiàn)有終端上并接一個(gè)終端，或合法用戶從網(wǎng)上斷開時(shí)，非法用戶乘機(jī)接入并操縱該計(jì)算機(jī)，或由于某種原因使信息傳到非法終端上。非法入侵：非法分子通過(guò)技術(shù)滲透或利用電話線侵入網(wǎng)絡(luò)，非法使用、破壞或獲取數(shù)據(jù)及系統(tǒng)資源，目前的網(wǎng)絡(luò)系統(tǒng)大都采用口令來(lái)防止非法訪問(wèn)，一旦口令被竊，很容易打入網(wǎng)絡(luò)。注人非法信息：通過(guò)電話線有預(yù)謀地截獲所傳信息，再刪除原有信息或注入非法信息后再發(fā)送，使接收者收到錯(cuò)誤信息。

1.2 軟件的不安全因素

網(wǎng)絡(luò)軟件的漏洞及缺陷被利用，能對(duì)網(wǎng)絡(luò)進(jìn)行入侵和損壞。如網(wǎng)絡(luò)軟件安全功能不健全；應(yīng)加以安全措施的軟件未予標(biāo)識(shí)和保護(hù)，要害的程序沒有安全措施；錯(cuò)誤地進(jìn)行路由選擇，為一個(gè)用戶與另一個(gè)用戶之間通信選擇不合適的路徑；拒絕服務(wù)、中斷或妨礙通信，延誤對(duì)時(shí)間要求較高的操作和信息重播。包括人為地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行破壞；處理中斷過(guò)程中，通信方式留在內(nèi)存中未被保護(hù)的信息段或通信方式意外弄錯(cuò)而傳到別的終端上。計(jì)算機(jī)病毒可以多種方式侵入網(wǎng)絡(luò)并不斷繁殖，然后擴(kuò)展到網(wǎng)上的計(jì)算機(jī)來(lái)破壞系統(tǒng)。黑客采用種種手段，對(duì)網(wǎng)絡(luò)及其計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，侵占系統(tǒng)資源或?qū)W(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備進(jìn)行破壞、竊取或破壞數(shù)據(jù)和信息等。

1.3 校園網(wǎng)內(nèi)部的安全隱患

高校學(xué)生(特別是計(jì)算機(jī)專業(yè)的大學(xué)生)是一個(gè)不安分、好奇心強(qiáng)的群體，他們會(huì)一方面把學(xué)校的網(wǎng)絡(luò)當(dāng)作一個(gè)實(shí)驗(yàn)環(huán)境，測(cè)試各種網(wǎng)絡(luò)功能；另一方面，他們也在不斷地尋找方法擺脫學(xué)校對(duì)學(xué)生網(wǎng)絡(luò)資源使用的控制。

1.4 來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)

幾乎所有校園網(wǎng)絡(luò)都是利用Internet技術(shù)構(gòu)建的，同時(shí)又與Internet相連。網(wǎng)絡(luò)用戶可以直接訪問(wèn)互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問(wèn)校園網(wǎng)的資源，給校園網(wǎng)帶來(lái)安全風(fēng)險(xiǎn)。

1.5 校園網(wǎng)絡(luò)構(gòu)架缺乏安全策略

多數(shù)校園網(wǎng)普遍采用基于IP技術(shù)且采用開放的網(wǎng)絡(luò)架構(gòu)，其本身就不具備必要的安全策略。且大多數(shù)校園網(wǎng)管還是采用一種單一、被動(dòng)、缺乏主動(dòng)性、靈活性的基于網(wǎng)絡(luò)設(shè)備做集中式的安全策略，根本無(wú)法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范。此外，也是最重要的一條，即沒有對(duì)網(wǎng)絡(luò)安全引起足夠的重視，沒有采取得力的措施，以致造成各種重大事故。

2.校園網(wǎng)絡(luò)安全解決策略

校園網(wǎng)絡(luò)安全的形勢(shì)非常嚴(yán)峻，學(xué)校領(lǐng)導(dǎo)和具體管理者、相對(duì)應(yīng)的責(zé)任人應(yīng)該要給予充分的重視和支持。為能徹底解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點(diǎn)和現(xiàn)今網(wǎng)絡(luò)安全的典型解決方案和技術(shù)，提出了以下校園網(wǎng)絡(luò)安全解決策略。

2.1 建立良好的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和合理地劃分VLAN

校園網(wǎng)絡(luò)至少要采用兩級(jí)結(jié)構(gòu)：主干網(wǎng)和子網(wǎng)。校園網(wǎng)的主干采用成熟的1000M快速以太網(wǎng)，在校園網(wǎng)絡(luò)中心機(jī)房設(shè)有一個(gè)總的出口（代理服務(wù)器）訪問(wèn)互聯(lián)網(wǎng)，提供認(rèn)證系統(tǒng)，所有進(jìn)出校園網(wǎng)的數(shù)據(jù)都需要通過(guò)此出口檢測(cè)過(guò)濾。由網(wǎng)絡(luò)中心用光纖連到各座大樓的分節(jié)點(diǎn)，再經(jīng)分節(jié)點(diǎn)的交換機(jī)聯(lián)接到大樓的各個(gè)用戶。這種配置結(jié)構(gòu)既保證了主干網(wǎng)信息可靠、高速、無(wú)瓶頸地傳輸，又為用戶計(jì)算機(jī)接入提供了靈活、方便的手段。同時(shí)將校園網(wǎng)劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)可不受設(shè)備物理位置的限制，靈活性較大。校園網(wǎng)按網(wǎng)絡(luò)功能劃分為：接入網(wǎng)部分和內(nèi)部局域網(wǎng)部分。內(nèi)部局域網(wǎng)又按數(shù)據(jù)交換能力分為：核心層、匯聚層和接入層。將各種主要服務(wù)器（WEB、MAIL、FTP服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等）放在一個(gè)虛擬網(wǎng)內(nèi)，這樣便于管理、維護(hù)，同時(shí)也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性。另外劃分一個(gè)教學(xué)管理子網(wǎng)，方便教師進(jìn)行管理和教學(xué)；其余虛擬子網(wǎng)可按教師信息管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、圖書館系統(tǒng)、學(xué)生信息管理系統(tǒng)、多媒體網(wǎng)上教學(xué)系統(tǒng)等劃分。

2.2 重視網(wǎng)絡(luò)安全規(guī)劃建設(shè)

校園網(wǎng)的建設(shè)是一項(xiàng)龐大的技術(shù)性很強(qiáng)的綜合工程，一般需要經(jīng)過(guò)：網(wǎng)絡(luò)調(diào)研，系統(tǒng)設(shè)計(jì)，可行性分析，設(shè)備選型和工程招標(biāo)，硬件施工，軟件環(huán)境的建立，人員培訓(xùn)，聯(lián)調(diào)測(cè)試，系統(tǒng)驗(yàn)收等九個(gè)階段。所完成的工程應(yīng)與用戶的網(wǎng)絡(luò)方案相結(jié)合，應(yīng)考慮系統(tǒng)的容錯(cuò)設(shè)計(jì)，滿足用戶的各種需求，有完善的標(biāo)簽和文檔，便于管理和維護(hù)。用戶在驗(yàn)收時(shí)，應(yīng)進(jìn)行相應(yīng)的抽檢，以驗(yàn)證工程質(zhì)量。在工程完工后，可一次驗(yàn)收，也可分階段驗(yàn)收。

2.3 制定網(wǎng)絡(luò)中心配套設(shè)施配備方案

校園計(jì)算機(jī)網(wǎng)絡(luò)是學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施，是提高教學(xué)科研及管理水平不可缺少的支撐條件。而網(wǎng)絡(luò)中心是校園網(wǎng)的核心，為加快校園網(wǎng)的建設(shè)和確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定運(yùn)行，促進(jìn)校園網(wǎng)的健康發(fā)展，為學(xué)校信息化管理、教學(xué)、科研提供可靠的保障，應(yīng)制定網(wǎng)絡(luò)中心配套設(shè)施配備方案。

2.4 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置

對(duì)系統(tǒng)和網(wǎng)絡(luò)設(shè)備使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒就是通過(guò)猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的，因此使用復(fù)雜的密碼，將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)(特別是管理員Administrator密碼)；經(jīng)常升級(jí)安全補(bǔ)丁，以防范未然；不在同一個(gè)服務(wù)器開多種服務(wù)，因?yàn)榉?wù)器上服務(wù)越多，安全漏洞就越多；關(guān)閉不需要的功能，遵守簡(jiǎn)單就是穩(wěn)定，簡(jiǎn)單就是安全的原則；加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)；使用訪問(wèn)控制列表限制訪問(wèn)和使用訪問(wèn)控制表限制數(shù)據(jù)包類型等等。

3.結(jié)束語(yǔ)

隨著校園網(wǎng)絡(luò)應(yīng)用的深入，由于主觀意識(shí)和技術(shù)水平等因素，或者是客觀上Internet固有的開放性，與互聯(lián)網(wǎng)一樣，校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸突出，直接影響著學(xué)校的教學(xué)、管理、科研等活動(dòng)。校園網(wǎng)安全問(wèn)題越來(lái)越突出，數(shù)據(jù)的安全性和學(xué)校自身的利益受到了嚴(yán)重的威脅。因此，能否保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為校園網(wǎng)絡(luò)管理所面臨的一個(gè)重要的問(wèn)題。

[1]劉勇.試析高校校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及其防范措施[J].信息系統(tǒng)工程,2012(02).

[2]高衛(wèi)衛(wèi).網(wǎng)絡(luò)型病毒分析與計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].信息與電腦(理論版),2012(06).

[3]李東生,王震.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].中國(guó)科技信息,2009(04).