基于多層防護(hù)的校園網(wǎng)安全體系研究

◆孟建東

（山東醫(yī)學(xué)高等?？茖W(xué)校計算機(jī)教研室 山東 276000）

基于多層防護(hù)的校園網(wǎng)安全體系研究

◆孟建東

（山東醫(yī)學(xué)高等?？茖W(xué)校計算機(jī)教研室 山東 276000）

校園網(wǎng)本身具有開放性和多樣性的特性，僅僅在單方面采取相關(guān)的安全防護(hù)措施無法有效保證校園網(wǎng)的安全。目前，需要構(gòu)建一個更加全面、多層次的信息安全防護(hù)體系。本文主要對高校校園網(wǎng)需要面對的安全威脅進(jìn)行了相關(guān)的分析和研究，并提出了建立多層防護(hù)校園網(wǎng)的安全體系。

校園網(wǎng)；多層防護(hù)；安全體系；網(wǎng)絡(luò)安全

0 引言

伴隨著國內(nèi)教育信息化的不斷發(fā)展，各高校都逐漸建立起自己的校園網(wǎng)絡(luò)，并且校園網(wǎng)的建立對學(xué)生間的學(xué)術(shù)交流與高校的教學(xué)管理都有著非常重要的作用。學(xué)校是研究和開發(fā)新技術(shù)的聚集地，其保存著大量的科技研發(fā)成果和一些相關(guān)的技術(shù)資料，同時校內(nèi)的師生富有活躍的思維和創(chuàng)造能力，樂于將先進(jìn)的科學(xué)技術(shù)應(yīng)用到生活當(dāng)中，而且有著強(qiáng)烈好奇心的他們?nèi)菀自囼?yàn)各種黑客技術(shù)和工具，威脅著學(xué)校校園網(wǎng)絡(luò)的安全。因此，構(gòu)建一個安全、實(shí)用的安全防護(hù)體系是迫切需要的。

1 校園網(wǎng)所面臨的安全威脅

校園網(wǎng)絡(luò)不但需要提供開放的網(wǎng)絡(luò)資源和上網(wǎng)需求，而且需要確保整個校園網(wǎng)絡(luò)系統(tǒng)的安全性。校園網(wǎng)絡(luò)遭受的攻擊主要來源于兩個方面，第一個是來源于外部公網(wǎng)的攻擊，第二個是來源于校園網(wǎng)內(nèi)部的攻擊[1]。由于校園網(wǎng)的用戶較多，遭受內(nèi)部的攻擊或者是操控內(nèi)部主機(jī)對外進(jìn)行攻擊的情況占多數(shù)，這些行為所引起的破壞已遠(yuǎn)遠(yuǎn)大于外部攻擊。校園網(wǎng)絡(luò)主要面臨的安全威脅分為以下幾點(diǎn)。

1.1 網(wǎng)絡(luò)物理造成的安全威脅

學(xué)校內(nèi)應(yīng)用的路由器、交換機(jī)、工作站以及各類網(wǎng)絡(luò)服務(wù)器等硬件設(shè)備和通信設(shè)備容易受到自然災(zāi)害和人為破壞，甚至是搭線監(jiān)聽等攻擊[2]。

1.2 人為失誤造成的安全威脅

由于學(xué)校網(wǎng)絡(luò)管理人員的一些無心操作所造成的安全威脅主要包括以下幾方面：第一，打開了網(wǎng)絡(luò)設(shè)備中沒有應(yīng)用的端口或是應(yīng)用了系統(tǒng)默認(rèn)的配置，使攻擊者能夠通過端口掃描技術(shù)獲取相應(yīng)的端口信息，進(jìn)而進(jìn)行非法訪問；第二，學(xué)校網(wǎng)絡(luò)管理人員沒有較強(qiáng)的安全意識，一些非管理人員隨便進(jìn)出學(xué)校中心機(jī)房；第三，對全部網(wǎng)絡(luò)設(shè)備設(shè)置了相同的密碼，或者是設(shè)置的密碼過于簡單。

1.3 人為惡意攻擊造成的安全威脅

（1）計算機(jī)病毒：是指一種可執(zhí)行的程序代碼，它能夠?qū)⒆陨砀街诟鞣N類型的文件上，隨著文件傳送到另一用戶上。它具有傳播性、感染性、隱藏性和破壞性等特點(diǎn)。計算機(jī)病毒的傳染是從網(wǎng)絡(luò)上進(jìn)行的，其傳播的方式主要是在軟件下載、發(fā)送郵件等過程中病毒附著在文件進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而后對網(wǎng)絡(luò)開始進(jìn)行攻擊。

（2）特洛伊木馬：是指設(shè)計者根據(jù)系統(tǒng)中存在的某些缺陷而有意創(chuàng)造出來的，是一種對用戶系統(tǒng)進(jìn)行攻擊，任意盜取、毀壞被攻擊者文件的工具。使用特洛伊木馬能夠遠(yuǎn)程操控被攻擊者的系統(tǒng)，對學(xué)校網(wǎng)絡(luò)信息的安全性和完整性造成一定的影響。完整的特洛伊木馬套裝程序包括著兩部分：服務(wù)器部分和客戶端部分。攻擊者首先將服務(wù)器植入受害者的電腦中系統(tǒng)中，再通過客戶端進(jìn)入到已經(jīng)運(yùn)行服務(wù)器的電腦，進(jìn)而能夠遠(yuǎn)程操控受害者電腦，來獲取受害者信息。

（3）惡意程序代碼：惡意程序代碼是一種帶有危險性的代碼。一些攻擊者利用惡意程序代碼來尋找網(wǎng)絡(luò)系統(tǒng)中存在的漏洞，通過發(fā)現(xiàn)的漏洞對受害者進(jìn)行攻擊和侵入，并且將成功入侵的電腦當(dāng)做根據(jù)地，再對網(wǎng)絡(luò)內(nèi)其他的電腦進(jìn)行攻擊，從而引起網(wǎng)絡(luò)系統(tǒng)全部癱瘓或者是損失較多的數(shù)據(jù)。

1.4 系統(tǒng)漏洞造成的隱患威脅

校園網(wǎng)絡(luò)中涵蓋著大量的服務(wù)器和終端設(shè)備，在這些服務(wù)器和終端設(shè)備上運(yùn)行的操作系統(tǒng)、管理軟件和應(yīng)用軟件等都有著一定程度上的漏洞，而這些漏洞就成為了黑客攻擊的對象。以往發(fā)生的黑客攻入網(wǎng)絡(luò)內(nèi)部的情況，大多數(shù)是網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件存在漏洞而造成的。

1.5 機(jī)密文件存儲和傳送過程中的隱患

假如計算機(jī)系統(tǒng)遭受到黑客攻擊時，在計算機(jī)中存儲的機(jī)密文件沒有采取適當(dāng)?shù)募用艽胧?，很可能會?dǎo)致文件被盜取。同時，在傳送機(jī)密文件過程中，需要通過多個節(jié)點(diǎn),很容易造成被黑客監(jiān)聽。所以,機(jī)密文件的存儲和傳送對網(wǎng)絡(luò)安全也具有一定的威脅。

2 分層防護(hù)體系的建立

通過對校園網(wǎng)內(nèi)面臨的安全威脅的相關(guān)分析，能夠了解到校園網(wǎng)內(nèi)存在著較多不安全成分，如果只從一面安全威脅采取相應(yīng)的對策不能滿足對安全的要求，需要利用多種技術(shù)來確保信息的安全。根據(jù)上述情況，結(jié)合學(xué)校自身情況建立多層防護(hù)體系，并采用不同的技術(shù)來確保整個校園網(wǎng)絡(luò)的安全。

2.1 外部網(wǎng)絡(luò)

外部網(wǎng)絡(luò)層主要表示是校園網(wǎng)路由器和防火墻之外的公共用網(wǎng)，當(dāng)前國內(nèi)高校接入公網(wǎng)的方式主要包含中國教育網(wǎng)和中國公用計算機(jī)互聯(lián)網(wǎng)等接入。為有效保證數(shù)據(jù)在公網(wǎng)傳送時不被監(jiān)聽，可采取以下兩種防范措施：

（1）虛擬專網(wǎng)（VPN）技術(shù)：這是為外部網(wǎng)絡(luò)用戶可以通過公網(wǎng)安全訪問到校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的一種連接方式。它可以通過利用特殊的加密通訊協(xié)議讓連接在Internet上的不同校區(qū)之間架起一條特有的通訊線路，就如同建立起一條專線，從而有效防止數(shù)據(jù)在公網(wǎng)傳送時被監(jiān)聽[3]。

（2）加密技術(shù)：在外部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳送，例如發(fā)送電子郵件，采取密碼技術(shù)是有效保證信息安全的常用方法。當(dāng)前被普遍應(yīng)用的加密算法為對稱算法和非對稱算法，結(jié)合應(yīng)用兩種方法，再采用數(shù)字簽名、數(shù)字證書以及數(shù)字水印等技術(shù)，進(jìn)而保證了通信的安全性。

2.2 內(nèi)部網(wǎng)絡(luò)

內(nèi)部網(wǎng)絡(luò)主要表示是校園內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器和各類終端設(shè)備，其主要應(yīng)用到教學(xué)、科研、管理、信息資源共享等方面，并且由校內(nèi)網(wǎng)絡(luò)管理員對計算機(jī)局域網(wǎng)系統(tǒng)進(jìn)行維護(hù)。為有效保證內(nèi)部網(wǎng)絡(luò)的安全性，主要采取以下幾種措施進(jìn)行防護(hù)：

（1）建立防火墻系統(tǒng)：防火墻是由硬件和軟件組合而成的，它在內(nèi)部網(wǎng)和外部網(wǎng)間構(gòu)建起一個安全網(wǎng)關(guān)卡，篩選經(jīng)過的各種數(shù)據(jù)包，并決定是否將這些數(shù)據(jù)包輸送到目的地[4]。它還可以控制著信息進(jìn)出的流向，提供網(wǎng)絡(luò)使用情況和流量的審查等細(xì)節(jié)。

通過設(shè)置防火墻能夠有效防止遭受到多數(shù)的外網(wǎng)絡(luò)攻擊。防火墻可以依照具體的功能設(shè)置，作為網(wǎng)絡(luò)總出入關(guān)口，必須要設(shè)置具備高性能的硬件防火墻，在內(nèi)部網(wǎng)絡(luò)中可以根據(jù)各院系實(shí)際情況來設(shè)置防火墻軟件，比如ISA Server 2004。除此之外，無線網(wǎng)絡(luò)接入方式的快速發(fā)展，使一些終端用戶逐漸應(yīng)用到該上網(wǎng)方式。無線上網(wǎng)沒有通過校園網(wǎng)的防火墻而是直接連接外部網(wǎng)絡(luò)，對此形成了較大的安全隱患，所以需要教導(dǎo)運(yùn)用無線網(wǎng)的用戶應(yīng)用個人防火墻。

（2）防范病毒：防范病毒主要是將集中式病毒防殺和單機(jī)病毒防殺有效結(jié)合到一起。近些年出現(xiàn)了大批的網(wǎng)絡(luò)病毒，而且這些病毒都具有非常強(qiáng)的感染能力，僅僅校園網(wǎng)中一臺電腦受到病毒感染，該病毒就會自動查找其他電腦中存在的漏洞，一經(jīng)發(fā)現(xiàn)就侵入到該電腦，同時它還可以占用大量網(wǎng)絡(luò)寬帶，進(jìn)而導(dǎo)致網(wǎng)絡(luò)出口堵塞，影響網(wǎng)絡(luò)正常運(yùn)行。

實(shí)時更新的單機(jī)病毒防殺系統(tǒng)能夠有效避免個人計算機(jī)遭受大部分的病毒侵?jǐn)_，可是如果校園網(wǎng)內(nèi)其他用戶計算機(jī)感染病毒，就會導(dǎo)致網(wǎng)絡(luò)性能降低，也是會影響到其他沒有被感染的計算機(jī)正常使用，因此，防范網(wǎng)絡(luò)病毒的傳播也需要利用集中式病毒防殺措施，在校園網(wǎng)中建立病毒防殺中心。集中式的網(wǎng)絡(luò)防殺系統(tǒng)不但能夠管理多臺聯(lián)網(wǎng)計算機(jī)，統(tǒng)一清理聯(lián)網(wǎng)計算機(jī)的病毒，還能夠公布病毒防殺信息，自動更新和升級病毒庫，具有較好的預(yù)警能力。

（3）入侵檢測：校園網(wǎng)絡(luò)管理員可以利用一些安全軟件檢查網(wǎng)絡(luò)上流動的數(shù)據(jù)包，辨別非法入侵和其他一些可疑行為，能夠及時進(jìn)行有效的防護(hù)。

2.3 應(yīng)用系統(tǒng)

應(yīng)用系統(tǒng)是網(wǎng)絡(luò)服務(wù)最為核心的部分，但也一定程度的缺陷：其一，系統(tǒng)設(shè)計和開發(fā)的延時性而造成漏洞的形成；其二，應(yīng)用系統(tǒng)的服務(wù)配置也具有一些不安全的問題。針對這些系統(tǒng)存在的漏洞，必須要采取有效措施來彌補(bǔ)漏洞，及時安裝補(bǔ)丁程序；然而針對應(yīng)用程序安全配置的問題，一定要在服務(wù)系統(tǒng)建立時對應(yīng)用系統(tǒng)配置文件進(jìn)行相關(guān)的研究，并按照實(shí)際應(yīng)用情況對配置進(jìn)行優(yōu)化，進(jìn)而減少應(yīng)用服務(wù)上的漏洞，同時適當(dāng)關(guān)閉不應(yīng)用的服務(wù)和端口。網(wǎng)絡(luò)管理員需要定期檢查終端設(shè)備、服務(wù)器和交換機(jī)的漏洞，發(fā)現(xiàn)漏洞后及時采取補(bǔ)救措施。

3 結(jié)束語

校園網(wǎng)很容易受到攻擊，所以需要建立多層防護(hù)體系，在每層都設(shè)置安全措施，從而有效全面防范受到攻擊。網(wǎng)絡(luò)安全問題需要受到引起各高校的重視，威脅網(wǎng)絡(luò)安全的方式會不斷更新，因此，這就需要不斷去完善網(wǎng)絡(luò)安全體系。

[1]呂紅飛.淺析高職學(xué)院網(wǎng)絡(luò)信息安全.科技信息，2010.

[2]袁文光.面向職業(yè)院校的校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[D].湖南：湖南大學(xué)，2014.

[3]李軍.VPN技術(shù)在校園網(wǎng)中的應(yīng)用[J].赤峰學(xué)院學(xué)報（自然科學(xué)版)，2012.

[4]邵澤云，曹來成.網(wǎng)絡(luò)防火墻新技術(shù)的發(fā)展與應(yīng)用研究[J].信息安全與技術(shù)，2015.