基于校園網(wǎng)的網(wǎng)絡(luò)安全策略分析

摘 要：當(dāng)今校園網(wǎng)正逐漸發(fā)展和改善，且被廣泛應(yīng)用。與此同時(shí)，出現(xiàn)的網(wǎng)絡(luò)安全問題也越來越頻繁。校園網(wǎng)是以教育為最終目的，基于科研和服務(wù)的網(wǎng)絡(luò)。校園網(wǎng)的特點(diǎn)是：多樣性的聯(lián)結(jié)形式、終端分布較自以及開放性。因此為提高校園網(wǎng)的安全，必須采取一些措施，文中針對校園網(wǎng)的安全隱患提出了一些安全策略，尤其是加強(qiáng)防火墻與網(wǎng)絡(luò)入侵檢測系統(tǒng)相結(jié)合以及一些訪問權(quán)限設(shè)置等。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻；入侵檢測

中圖分類號：TP393.18

如今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展，校園網(wǎng)也不斷發(fā)展。校園網(wǎng)對學(xué)校的一些教學(xué)活動(dòng)、學(xué)生學(xué)習(xí)、教育管理等各個(gè)方面都發(fā)揮著重要的作用。因此，維護(hù)、保證校園網(wǎng)的安全成為一項(xiàng)重要的任務(wù)。校園網(wǎng)絡(luò)一直存在著安全隱患，出現(xiàn)各種安全問題層出不窮，最常見的是病毒入侵、黑客攻擊等，導(dǎo)致數(shù)據(jù)丟失和個(gè)人隱私泄露，給學(xué)校、學(xué)生與教師帶來巨大損失。校園網(wǎng)作為學(xué)校最基礎(chǔ)也是最重要的設(shè)備，更要全面分析這些安全策略，來抵御任何網(wǎng)絡(luò)攻擊與威脅，使校園網(wǎng)穩(wěn)定有效地運(yùn)行下去。

1 校園網(wǎng)安全問題分析

校園網(wǎng)絡(luò)系統(tǒng)是為儲(chǔ)存學(xué)生數(shù)據(jù)資料、為學(xué)生和教師提供服務(wù)并收集信息、為整個(gè)校園提供網(wǎng)絡(luò)教育的一個(gè)平臺(tái)。因此，校園網(wǎng)絡(luò)安全策略的目的是防止人們?yōu)E用甚至竊取所有校園數(shù)據(jù)資源，并抵御網(wǎng)絡(luò)黑客和各種病毒、木馬程序的攻擊。應(yīng)保證校園網(wǎng)絡(luò)系統(tǒng)安全有效的運(yùn)行，保證教學(xué)完善進(jìn)行。

1.1 校園網(wǎng)出現(xiàn)安全隱患的原因。首先，由于網(wǎng)絡(luò)管理員在設(shè)置上造成的一些失誤，例如對校園網(wǎng)的操作系統(tǒng)、硬件設(shè)備以及相關(guān)軟件進(jìn)行的配置不當(dāng)所造成的一些安全漏洞問題，所導(dǎo)致的未安全設(shè)置路由器IP、用戶的訪問權(quán)限過大以及過多打開服務(wù)器端口等。這些情況都會(huì)給校園網(wǎng)安全帶來巨大的隱患。其次，一些人利用網(wǎng)絡(luò)安全漏洞，對校園網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行惡意破壞，他們可能會(huì)攻擊學(xué)校的Web服務(wù)器，破壞學(xué)校主頁、竊取學(xué)校機(jī)密文件、向?qū)W校服務(wù)器發(fā)送大量信息而導(dǎo)致校園網(wǎng)絡(luò)癱瘓等。

1.2 校園網(wǎng)絡(luò)安全隱患的后果。校園網(wǎng)存在的網(wǎng)絡(luò)隱患包括：使用病毒、木馬程序、惡意代碼等進(jìn)行郵件發(fā)送和接收、遠(yuǎn)程管理等一些手段進(jìn)行傳播，其傳播速度越來越快，并且破壞性極大。并且各種病毒、木馬程序等被不斷更新，更加智能化。這些安全隱患問題所造成的損失巨大。學(xué)校的數(shù)據(jù)可能被破壞或篡改，甚至?xí)G失；一些加密文檔、數(shù)據(jù)被竊取或盜用、一些不良信息被傳播、學(xué)校教師或?qū)W生的個(gè)人隱私被泄露。

2 校園網(wǎng)絡(luò)的安全防護(hù)技術(shù)

我國的校園網(wǎng)通常以防火墻和入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。各種攻擊工具與手段層出不窮，變化多種多樣，各種抵御設(shè)備也需要不斷地進(jìn)行改進(jìn)，各種殺毒軟件也需不斷進(jìn)行升級，且防御意識也要不斷加強(qiáng)。不經(jīng)意的疏忽都有可能給學(xué)校造成很大損失。

2.1 防護(hù)墻技術(shù)。一般網(wǎng)絡(luò)安全的第一道防線是處于外網(wǎng)與校內(nèi)網(wǎng)相連位置的防火墻。防火墻最主要的任務(wù)是：根據(jù)規(guī)則對請求進(jìn)出的所有網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審查，只有滿足規(guī)則的數(shù)據(jù)才會(huì)被允許通過網(wǎng)絡(luò)；反之則被拒絕。其缺點(diǎn)是：因?yàn)榉阑饓夹g(shù)屬于被動(dòng)的網(wǎng)絡(luò)防護(hù)技術(shù)，所以它無法將病毒性的數(shù)據(jù)檢測出來；由于校園網(wǎng)內(nèi)部用戶網(wǎng)絡(luò)流量未經(jīng)過防火墻，因此它不能防御校園網(wǎng)內(nèi)部一些用戶發(fā)起對FTP服務(wù)器、web服務(wù)器、DNS服務(wù)器以及MAIL服務(wù)器等的攻擊。另一方面，如果這些服務(wù)器安裝在防火墻后面，那么就得使用IPtables端口或反向NAT服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，導(dǎo)致其靈活性下降且功能特性較差；對于抵御外網(wǎng)的攻擊和入侵比較困難，甚至對一些警報(bào)有時(shí)無法作出及時(shí)的響應(yīng)；系統(tǒng)管理員只有時(shí)刻仔細(xì)監(jiān)視防火墻，才可能會(huì)注意到黑客的攻擊，這樣非常不方便；另外探測與測試防火墻的配置較困難。

2.2 入侵檢測系統(tǒng)。首先，入侵檢測系統(tǒng)（IDS）是指任何有能力進(jìn)行檢測或改變網(wǎng)絡(luò)狀態(tài)的系統(tǒng)，或者是系統(tǒng)的集合。之后IDS能夠發(fā)送警報(bào)或是采取設(shè)定的行動(dòng)來維護(hù)網(wǎng)絡(luò)安全。IDS的一些主要功能：對系統(tǒng)活動(dòng)和用戶進(jìn)行分析并監(jiān)測，可以對一些重要的資料、文獻(xiàn)、數(shù)據(jù)等進(jìn)行評估，判斷它們的完整性；負(fù)責(zé)系統(tǒng)日志的管理工作，對已知攻擊行為和違反安全策略的用戶活動(dòng)能夠識別出來；可以對系統(tǒng)的配置進(jìn)行檢測，并能夠找出漏洞。

IDS在結(jié)構(gòu)上分為基于主機(jī)的IDS即HIDS與基于網(wǎng)絡(luò)的IDS即NIDS。最特別的HIDS是PortSentry軟件，通常HIDS的數(shù)據(jù)源為系統(tǒng)日志和應(yīng)用程序日志等，分析從主機(jī)獲取的信息，將其作為監(jiān)控程序來運(yùn)行，一般其保護(hù)的是自身所在的整個(gè)系統(tǒng)。而NIDS工作于OSI-RM網(wǎng)絡(luò)層，以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源并對其進(jìn)行分析。通常在部署NIDS時(shí)會(huì)將主機(jī)的網(wǎng)卡設(shè)置成混雜模式，以監(jiān)聽、分析所有本網(wǎng)段內(nèi)的數(shù)據(jù)包。

3 校園網(wǎng)的安全策略分析

3.1 登錄控制。登錄控制主要保證網(wǎng)絡(luò)資源被非法使用或訪問，是一種較為有效的網(wǎng)絡(luò)安全防范和保護(hù)措施。登錄控制能夠有效監(jiān)測校園網(wǎng)絡(luò)的用戶登錄到服務(wù)器和路由器等網(wǎng)絡(luò)設(shè)備來獲取信息資源，可控制監(jiān)測用戶進(jìn)入網(wǎng)絡(luò)的時(shí)間及地點(diǎn)。一般用戶訪問網(wǎng)絡(luò)控制有以下三個(gè)步驟：識別和驗(yàn)證用戶名、用戶口令以及用戶賬號的缺省限制檢查。其中只要有任何一項(xiàng)未通過，此用戶都不能進(jìn)入網(wǎng)絡(luò)。所以，通過登錄控制能夠進(jìn)一步保證校園網(wǎng)絡(luò)安全。

3.2 權(quán)限控制。針對網(wǎng)絡(luò)的非法操作提出了權(quán)限控制，它賦予訪問用戶與用戶組一定的權(quán)限，以限制其對資料、目錄、文件以及其他共享資源的訪問，對打印機(jī)等共享設(shè)備的操作。也是一種保護(hù)校園網(wǎng)絡(luò)安全的策略。

3.3 定制IP安全策略。在Windows 2000中最新提供了一種基于點(diǎn)到點(diǎn)安全模型的IP安全策略，它可以更好的保證網(wǎng)絡(luò)數(shù)據(jù)的安全。為防止一些惡意病毒程序?qū)Ρ镜貦C(jī)器的訪問，在工作時(shí)可關(guān)閉服務(wù)為空的端口。IP安全策略能夠安全有效地將計(jì)算機(jī)的數(shù)據(jù)傳送到終端計(jì)算機(jī)。

3.4 虛擬網(wǎng)絡(luò)的控制。如果校園網(wǎng)絡(luò)是由交換式局域網(wǎng)技術(shù)組建的， 那么通過擬網(wǎng)絡(luò)技術(shù)可以加強(qiáng)其內(nèi)部網(wǎng)絡(luò)管理。虛擬網(wǎng)絡(luò)技術(shù)的核心是網(wǎng)絡(luò)分段，它按不同的部分和安全機(jī)制來隔離網(wǎng)絡(luò)，來避免用戶非法進(jìn)入系統(tǒng)。網(wǎng)絡(luò)分段有物理和邏輯兩種分段方式。在物理層和數(shù)據(jù)鏈路層進(jìn)行網(wǎng)絡(luò)分段的為物理分段；在網(wǎng)絡(luò)層進(jìn)行整個(gè)系統(tǒng)分段的為邏輯層。分開的各網(wǎng)段之間無法直接通信。一般情況下將物理分段與邏輯分段相結(jié)合來進(jìn)行實(shí)際應(yīng)用。

3.5 將防火墻與入侵檢測系統(tǒng)結(jié)合。防火墻是最基本保證網(wǎng)絡(luò)安全的措施，它可按照需要來阻斷或允許網(wǎng)絡(luò)進(jìn)入。IDS是對防火墻進(jìn)行的重要修補(bǔ)，其基本作用是監(jiān)測內(nèi)部網(wǎng)絡(luò)流量，并對所識別到的攻擊進(jìn)行報(bào)警。防火墻是最有效的減小掃描威脅的方式。而IDS可探測與阻礙主機(jī)的掃描，不能作為以防火墻的作用來維護(hù)網(wǎng)絡(luò)安全。因?yàn)椴捎梅阑饓εcIDS相結(jié)合不僅可以保護(hù)到校園網(wǎng)絡(luò)受外界攻擊，還能夠檢測校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)通信進(jìn)行和流量，并采取響應(yīng)措施如報(bào)警或抵抗行為。所以這是最好的一種網(wǎng)絡(luò)安全策略。

3.6 安裝防毒殺毒軟件。最常用的一種網(wǎng)絡(luò)安全防范手段就是安裝防毒殺毒軟件。防毒殺毒軟件可根據(jù)病毒庫來對收到的郵件和信息、下載的信息數(shù)據(jù)、U盤等移動(dòng)設(shè)備來進(jìn)行殺毒，是對防火墻與入侵系統(tǒng)強(qiáng)有力的補(bǔ)充。但是病毒軟件也存在弊端，因?yàn)樗歉鶕?jù)病毒特征庫進(jìn)行查毒和殺毒，只能對病毒特征庫中存在的病毒進(jìn)行檢測和查殺，所以它不能夠有效欄截最新出現(xiàn)的一些病毒。由此看來，仍要加強(qiáng)對我國校園網(wǎng)的安全策略的完善。

4 結(jié)束語

保護(hù)校園網(wǎng)絡(luò)的安全是一項(xiàng)任重而道遠(yuǎn)的任務(wù)，遇到的問題越來越復(fù)雜。但隨著網(wǎng)絡(luò)技術(shù)的不斷更新發(fā)展，對各種安全隱患問題的研究與探索，可以有效地保護(hù)校園網(wǎng)絡(luò)的發(fā)展。通過采用防火墻技術(shù)與入侵檢測系統(tǒng)相結(jié)合，對校園網(wǎng)絡(luò)進(jìn)行權(quán)限設(shè)置等，可以有效地提高校園網(wǎng)絡(luò)的安全系數(shù)。

參考文獻(xiàn)：

[1]黃彬.淺析高校網(wǎng)絡(luò)安全存在的問題及對策[J].信息安全與技術(shù)，2011（02）：78-79.

[2]張莉.淺談校園網(wǎng)的安全隱患及防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（01）：102-103.

作者簡介：李麗娜（1983-），女，廣東陽江人，教師，主要研究技工學(xué)校計(jì)算機(jī)基礎(chǔ)課程。

作者單位：陽江市高級技工學(xué)校，廣東陽江 529500