校園網(wǎng)絡(luò)安全防范體系的建立分析

天津工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與軟件學(xué)院 王顯德

隨著信息技術(shù)的快速發(fā)展和高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，資源整合、應(yīng)用系統(tǒng)和校園信息化平臺(tái)建設(shè)已經(jīng)成為校園信息化的主要任務(wù)。高校用戶在享受信息化成果所帶來(lái)的工作高效和便利的同時(shí)，也面臨著來(lái)自校園網(wǎng)內(nèi)部和外部帶來(lái)的各種安全威脅和挑戰(zhàn)。因此，有必要建立一套高效、安全、動(dòng)態(tài)網(wǎng)絡(luò)安全防范體系，來(lái)加強(qiáng)校園網(wǎng)絡(luò)安全防護(hù)和監(jiān)控，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)基礎(chǔ)。

1.校園網(wǎng)絡(luò)安全組成

校園網(wǎng)絡(luò)的安全由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全。

1.1 物理安全

物理安全策略主要指網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備的安全以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理安全直接關(guān)系到網(wǎng)絡(luò)的安全，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，那么他直接對(duì)設(shè)備進(jìn)行破壞要比通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。

1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測(cè)、審計(jì)分析網(wǎng)絡(luò)運(yùn)行安全、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)安全、訪問(wèn)控制（防火墻）、網(wǎng)絡(luò)安全檢測(cè)、入侵檢測(cè)。

1.3 信息安全

信息安全主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲(chǔ)安全、數(shù)據(jù)庫(kù)安全、終端安全、信息的防泄密、信息內(nèi)容審計(jì)、用戶授權(quán)。

2.校園網(wǎng)安全防護(hù)的解決方案計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)分層次

的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施，即一個(gè)完整的網(wǎng)絡(luò)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。

2.1 物理層安全

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。

2.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全主要包括：限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。

2.2.1 合理劃分VLAN

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需要的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個(gè)VLAN內(nèi)部的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。

以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全是好處是顯而易見(jiàn)的：第一，信息只有到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。第二，通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。

2.2.2 防火墻與IDS

安裝防火墻進(jìn)行安全保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實(shí)施的信息安全防范系統(tǒng)技術(shù)，通過(guò)檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵采取任何的防御措施。

2.2.3 路由器訪問(wèn)控制列表

路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對(duì)網(wǎng)絡(luò)的安全具有舉足輕重的作用，路由器本身就可以對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和有效地防止外部用戶對(duì)校園網(wǎng)的安全訪問(wèn)，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問(wèn)只能通過(guò)路由器或路由模塊來(lái)完成，因此路由設(shè)備可以作為控制VLAN之間訪問(wèn)的初級(jí)屏障，因此，我們可以利用路由器來(lái)提高網(wǎng)絡(luò)的安全性。

2.3 系統(tǒng)層安全

操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心和基礎(chǔ)工具，因此操作系統(tǒng)的漏洞往往成為危害計(jì)算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全，對(duì)于網(wǎng)絡(luò)的安全尤為重要。

2.4 應(yīng)用層安全

2.4.1 網(wǎng)絡(luò)防病毒技術(shù)

網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問(wèn)題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害，同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)可以防范病毒的感染，同時(shí)通過(guò)這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以建立一個(gè)集中有效的防病毒控制機(jī)制，從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。

2.4.2 應(yīng)用系統(tǒng)防護(hù)策略

對(duì)于應(yīng)用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù)，是非常關(guān)鍵和重要的，因此要應(yīng)用系統(tǒng)具有很強(qiáng)大的安全防護(hù)能力就必須做到以下三點(diǎn)：一是建立統(tǒng)一的用戶和目錄管理機(jī)制；二是建立認(rèn)證授權(quán)機(jī)制；三是建立備份和恢復(fù)機(jī)制。

2.5 注重安全管理，完善規(guī)章制度

實(shí)踐經(jīng)驗(yàn)告訴我們僅有安全技術(shù)和安全設(shè)備防范，而無(wú)良好安全管理體系相配套，是很難保障網(wǎng)絡(luò)信息安全的。構(gòu)建網(wǎng)絡(luò)安全防范體系，必須制訂一系列安全管理制度和安全管理規(guī)范，對(duì)安全技術(shù)和安全設(shè)施進(jìn)行規(guī)范管理，建立行之有效的信息安全管理制度和流程，實(shí)現(xiàn)嚴(yán)密、多層次的安全控制，保證各級(jí)系統(tǒng)的安全穩(wěn)定運(yùn)行，保證數(shù)據(jù)安全可靠，實(shí)現(xiàn)數(shù)字校園網(wǎng)絡(luò)環(huán)境的可控、可信、可查。

3.結(jié)束語(yǔ)

隨著校園網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源的大量增加，以及各種系統(tǒng)漏洞的大量存在和不斷發(fā)現(xiàn)，使得校園網(wǎng)絡(luò)安全問(wèn)題變得更加錯(cuò)綜復(fù)雜。加之網(wǎng)絡(luò)攻擊行為日趨復(fù)雜，各種方法相互融合，使得網(wǎng)絡(luò)安全防御更加困難。因此，只有從校園網(wǎng)的物理級(jí)、網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)、應(yīng)用級(jí)和管理級(jí)等五個(gè)層面逐步完善和健全防范體系，才能有效地應(yīng)對(duì)各種網(wǎng)絡(luò)安全事件。

[1]黃開(kāi)枝,孫巖.網(wǎng)絡(luò)防御與安全對(duì)策[M].北京:清華大學(xué)出版社,2004.

[2]胡道元.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[3]朱曉曦.局域網(wǎng)安全問(wèn)題淺析[J].科協(xié)論壇(下半月),2010(08).

[4]尚建楠.計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題初探[J].黑龍江科技信息,2010(16).