校園網(wǎng)安全體系研究

朱子正

(黃岡職業(yè)技術學院建筑學院，湖北黃岡438002)

信息安全問題已成為互聯(lián)網(wǎng)時代大家普遍關注的問題，而信息資源的安全防范需要網(wǎng)絡系統(tǒng)的硬件和軟件共同支持，需要通過系統(tǒng)的保障措施使存在于網(wǎng)絡系統(tǒng)中的數(shù)據(jù)信息得到必要的保護，特別是在校園網(wǎng)安全體系中。本文以此為基礎，對校園網(wǎng)安全問題進行系統(tǒng)的闡述，同時也分析了關系到網(wǎng)絡安全中的關鍵技術及措施。

1 校園網(wǎng)安全體系研究的背景和意義

1.1 Internet在國內外的發(fā)展

Internet的前身是1969年美國國防部高級研究計劃局(ARPA)為軍事實驗用而建立的網(wǎng)絡，名為ARPAnet，1982年ARPA和美國國防部通信局研制成功用于異構網(wǎng)絡的TCP/IP協(xié)議并投入使用;1986年在美國國會科學基金會(NSF)的支持下，用高速通信線路把分布在各地的一些超級計算機連接起來，以NFSNET接替ARPANET;進而又經(jīng)過十幾年的發(fā)展形成 Internet［1］。1995年4月30日，NSFnet正式宣布停止運作。而此時Internet的骨干網(wǎng)已經(jīng)覆蓋了全球91個國家，主機已超過400萬臺。在最近幾年，因特網(wǎng)更以驚人的速度向前發(fā)展，很快就達到了今天的規(guī)模。

圖1是中國互聯(lián)網(wǎng)絡信息中心(CNNIC)統(tǒng)計的近年來互聯(lián)網(wǎng)網(wǎng)民人數(shù)。

圖1 近年來互聯(lián)網(wǎng)網(wǎng)民人數(shù)統(tǒng)計

1.2 日益嚴重的網(wǎng)絡安全問題

隨著計算機信息化建設的飛速發(fā)展，計算機已普遍應用到日常工作、生活的每一個領域。但隨之而來的，計算機網(wǎng)絡安全也受到前所未有的威脅，計算機病毒無處不在，黑客的猖獗，防不勝防，攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息;還可以篡改數(shù)據(jù)庫內容，偽造用戶身份，否認自己的簽名［2］。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。致使數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地應對各種網(wǎng)絡運行中的不同網(wǎng)絡攻擊。

1.3 校園網(wǎng)安全現(xiàn)狀

隨著計算機的不斷飛速發(fā)展，計算機網(wǎng)絡在各個領域的應用越來越廣泛，特別是在教育領域。各高校都在積極建設“數(shù)字化校園”工程，使得校園網(wǎng)在高校的地位越來越重要。校園網(wǎng)絡成為教育、科研、學術探討、辦公應用的重要工具。但網(wǎng)絡本身的共享性，開放性等也使得校園網(wǎng)引出了一系列令人擔憂的安全信息問題，給學校辦公與管理帶來了很大的威脅。校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡信息的竊取和對網(wǎng)絡設備的損害。主要造成網(wǎng)絡不安全的因素包括:非授權訪問、冒充合法用戶、破壞數(shù)據(jù)的完整性、干擾系統(tǒng)正常運行、病毒的傳播和泛濫、病毒與惡意攻擊、線路竊聽、IP盜用和 IP 沖突等［3］。

2 校園網(wǎng)安全體系關鍵技術及保護措施

2.1 虛擬局域網(wǎng)技術

VLAN(Virtual Local Area Network)又可以稱為虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，利用智能交換機將網(wǎng)絡劃分為不同的獨立網(wǎng)段。一個VLAN組成一個邏輯子網(wǎng)，還根據(jù)不同的需要利用不同的方式來劃分VLAN［4］。

虛擬局域網(wǎng)技術是在局域網(wǎng)內將工作站邏輯地劃分成許多網(wǎng)段從而實現(xiàn)了虛擬工作組的技術。它并非一種新型的網(wǎng)絡，是包含一組端站點的邏輯上的LAN，其中的站點好像被同一網(wǎng)線連接在一起，而實際上可能出于LAN的不同物理網(wǎng)段。是一組邏輯上的設備或用戶，它們就好像處于同一個物理LAN中一樣相互通信，不受物理位置的限制。

通過ACL和VLAN技術的控制，整個網(wǎng)絡的安全得到了有效的控制。

2.2 防火墻技術

防火墻技術作為內網(wǎng)與外網(wǎng)之間的一種安全保護措施，為內部網(wǎng)絡不收到外部網(wǎng)絡用戶的攻擊起到了一種天然的屏障，它是我們網(wǎng)絡安全中一種必不可少的設備。

防火墻的種類防火墻總體上分為應用級網(wǎng)關、數(shù)據(jù)包過濾和代理服務器三大類型。

1)應用網(wǎng)關防火墻

2)包過濾防火墻

3)代理型防火墻

防火墻中的關鍵技術

1)代理技術

2)包過濾技術

3)地址轉換技術

4)狀態(tài)檢查技術

2.3 數(shù)據(jù)加密與認證

數(shù)據(jù)加密技術

數(shù)據(jù)加密主要用于對動態(tài)信息的保護。在網(wǎng)絡中進行信息的傳輸采用HTTP協(xié)議，而該協(xié)議是采用明文傳輸?shù)姆绞剑瑸榱吮ＷC重要數(shù)據(jù)傳輸?shù)陌踩?，一般采用的就是?shù)據(jù)加密技術。數(shù)據(jù)加密是通過相關的算法將發(fā)送端的數(shù)據(jù)進行變換轉換成另外一種數(shù)據(jù)進行傳輸?shù)囊环N網(wǎng)絡數(shù)據(jù)安全傳輸機制。密碼體制有對稱密鑰密碼技術和非對稱密鑰密碼技術。

身份認證技術

身份認證技術是計算機網(wǎng)絡中確認用戶身份的一種方式。是為了保證用戶身份的惟一性，分辯出用戶身份的真?zhèn)?，避免偽裝攻擊［5］。

2.4 計算機防病毒技術

目前在預防病毒工具中采用的技術主要有:

1)不使用盜版或來歷不明的軟件，特別不能使用盜版的殺毒軟件。

2)所有的系統(tǒng)盤要寫保護。

3)安裝真正有效的防毒軟件，并經(jīng)常進行升級。

4)新購買的電腦在使用之前首先進行病毒檢查，以免機器帶毒。

5)對外來程序要使用查毒軟件進行檢查，未經(jīng)檢查的可執(zhí)行文件不能拷入硬盤，更不能使用。

6)將硬盤引導區(qū)和主引導扇區(qū)備份下來，并經(jīng)常對重要數(shù)據(jù)進行備份。

2.5 數(shù)據(jù)備份技術

數(shù)據(jù)備份技術是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合并從應用主機的硬盤或陣列復制到其它的存儲介質的過程

當前主流的備份技術:

1)磁軌備份，也被稱為物理級的數(shù)據(jù)備份。它是專業(yè)的數(shù)據(jù)存儲備份管理軟件結合相應的硬件和存儲設備來實現(xiàn)的，此備份技術的優(yōu)點是很精確，因為是磁盤內直接記錄的磁軌變化，所以不可能出錯。

2)數(shù)據(jù)備份:數(shù)據(jù)備份的定義就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定條件下，重新加以利用的一個過程。在日常生活中，我們經(jīng)常需要為自己家的房門多配幾把鑰匙，為自己的愛車準備一個備胎，這些都是備份思想的根本體現(xiàn)。

2.6 入侵檢測技術

入侵檢測技術是通過對計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，是防火墻技術的有效補充。

2.7 IP地址綁定技術

在網(wǎng)絡管理中，IP地址經(jīng)常會出現(xiàn)沖突和被盜的情況，這樣就會使一些用戶不能正常訪問網(wǎng)絡。有沒有什么措施能最大限度地避免此類現(xiàn)象的發(fā)生呢?

綁定MAC地址與IP地址就是防止內部IP盜用的一個常用的、簡單的、有效的措施。對于動態(tài)分配IP，做一個DHCP服務器來綁定用戶網(wǎng)卡MAC地址和IP地址，然后再根據(jù)不同IP設定權限;對于靜態(tài)IP，如果用三層交換機的話，可以在交換機的每個端口上做IP地址的限定，如果有人更改了自己的IP地址，那么他的網(wǎng)絡就不通了。

網(wǎng)絡拓撲結構的安全設計要素即網(wǎng)絡安全保護措施:

(1)所有的管網(wǎng)應全部入地;(2)傳輸線路應遠離各種強輻射源，以免數(shù)據(jù)由于干擾而出錯;(3)所有的主干網(wǎng)網(wǎng)絡連接采用交聯(lián)箱;(4)定期檢查校園網(wǎng)絡中的各種網(wǎng)絡設備與線路;(5)IP地址與網(wǎng)卡地址實行綁定;(6)安全的網(wǎng)絡拓撲結構設計和網(wǎng)絡協(xié)議選用。

3 總結與展望

隨著計算機網(wǎng)絡的不斷發(fā)展，特別是最近十年，計算機網(wǎng)絡得到了空前的發(fā)展，隨之而來的就是網(wǎng)絡安全受到了更大的挑戰(zhàn)。人們也越來越重視網(wǎng)絡的安全，對網(wǎng)絡安全領域的研究也在不斷的深入。

一個安全的計算機網(wǎng)絡主要是建立在防范與重視的基礎上，要認識到網(wǎng)絡中各種不安全因素的發(fā)生情況，只有這樣才能更加有效地構建一個相對安全的網(wǎng)絡。

本文針對計算機網(wǎng)絡實際應用中出現(xiàn)的各種網(wǎng)絡威脅，研究了相關的網(wǎng)絡安全領域中的一些技術。但是，隨著計算機網(wǎng)絡的不斷發(fā)展，網(wǎng)絡安全技術要適應網(wǎng)絡安全環(huán)境的需要，就要不斷地探索與研究，在實際中總結經(jīng)驗，為我們的網(wǎng)絡提供一個清潔的環(huán)境。除了網(wǎng)絡安全技術，更要強調網(wǎng)絡安全策略和管理手段的重要性?？傊嬎銠C網(wǎng)絡安全體系的構建是一個持久的研究課題。

［1］謝希仁.計算機網(wǎng)絡(第二版)［M］.北京:電子工業(yè)出版社，1999.

［2］石淑華.計算機網(wǎng)絡安全［M］.北京:人民郵電出版社，2005:10－30.

［3］張小斌，嚴望佳.黑客分析與防范技術［M］.北京:清華大學出版社，1999:7－16.

［4］史密斯(Smith.M)虛擬局域網(wǎng)［M］.黃錫偉，王濤譯.北京:清華大學出版社，2003.

［5］喻鏑.計算機網(wǎng)絡的安全與保密技術［M］.北京:現(xiàn)代計算機，2000.