高校計算機網絡安全技術及其應用

王洪亮

摘 要：隨著計算機互聯(lián)網技術的飛速發(fā)展，校園網絡建設已經成為高校教育信息化建設的關鍵。網絡在教育事業(yè)中具有非常重要的作用，隨著網絡在教育中的應用不斷加深，網絡的安全問題也開始逐漸凸顯。因為互聯(lián)網具有開發(fā)性、共享性，所以安全威脅十分嚴重?；诖?，如何保證高校校園安全，成了高校網絡發(fā)展的重點。文章對高校的計算機網絡安全所面臨的威脅進行了分析，研究了網絡安全技術的應用。

關鍵詞：校園網;高校;網絡安全;數據挖掘;入侵檢測

0? ? 引言

高校構建信息安全防護體系成為解決網絡安全問題的關鍵，在高校中利用技術手段，構建完整的網絡信息安全解決方案，建立入侵檢測系統(tǒng)的網絡安全防護體系等，可以有效地提高高校網絡安全性[1]。

1? ? 高校校園網絡安全問題

1.1? 高校校園網網絡安全建設現狀

校園網絡基礎設施建設非常重要，所以必須加大校園網絡建設方面的投入，用于實現基礎設施改造、主干帶寬提升等。目前，校園網中的主干帶寬通常可以實現100 M光纖桌面以及1 000 M光纖樓宇，校園網主要以千兆以太網為組網方式，網絡拓撲層可以分為網絡接入層、網絡匯聚層以及網絡核心層。另外，通過網絡技術和光纖能夠實現教學科研、師生校園生活數字化以及教學行政管理信息化[2]。

1.2? 高校校園網絡安全OSI模型安全技術分析

網絡OSI模型安全技術包括實體安全、應用安全以及網絡信息安全3個部分。其中，實體安全為內部機房的物理設備、線路安全等;應用安全主要包括應用軟件、應用系統(tǒng)以及數據庫安全;網絡信息安全包括網絡信息的準確性與安全性。

1.2.1? 物理安全

物理安全包括設備和環(huán)境安全，是整個網絡系統(tǒng)安全的關鍵，并且網絡安全和網絡系統(tǒng)的數據資源之間存在影響，需要做好防火、防水以及防盜等工作。另外，物理安全對環(huán)境有較高的要求，電源故障同樣會導致服務器發(fā)生數據丟失、設備損害等嚴重后果。

1.2.2? 鏈路層

在OSI體系結構的鏈路層涉及兩個危險因素，分別為ARP協(xié)議欺騙與內部嗅探。其中，ARP協(xié)議欺騙是利用ARP欺騙協(xié)議偽造數據包，從而對局域網通信造成影響，甚至會導致局域網癱瘓。而內部嗅探則是攻擊者通過內部嗅探，利用網卡竊取在局域網中傳輸的明文數據，經過數據還原、解析的方式獲取數據信息。

1.2.3? 應用層安全

面向客戶，網絡應用層體現在服務器提供信息服務這一方面，而校園網絡服務器包括數據庫服務器、WWW服務器以及FTP服務器等，攻擊者利用服務器漏洞發(fā)動攻擊，甚至還會篡改服務器數據，嚴重威脅網絡數據信息的安全。

1.2.4? 網絡層

網絡層的協(xié)議是TCP/IP協(xié)議，網絡基本協(xié)議是TCP/IP 協(xié)議，但是由于TCP/IP 協(xié)議自身的缺陷、漏洞，網絡層受到攻擊的可能性非常大。所以，網絡層的安全問題還包括地址欺騙、路由欺騙以及端口掃描威脅等。

2? ? 高校校園網絡安全技術及應用

2.1? 入侵檢測技術

入侵是指對目標系統(tǒng)資源進行破壞的一種活動。入侵檢測系統(tǒng)是為了檢測系統(tǒng)內部資源、系統(tǒng)外部是否存在非授權訪問、受到破壞等現象。入侵檢測是一種主動防御的防護措施，通過采集網絡資源中的信息對可能出現的入侵攻擊行為進行分析，從而及時采取防范措施。入侵檢測技術的發(fā)展分為基于網絡的入侵檢測技術、基于主機的入侵檢測技術、基于分布式入侵檢測技術等各個階段[3]。

P2DR模型可以對網絡外部、內部發(fā)出的攻擊起到一定的防范，是一種綜合立體的防護體系模型。該模型的系統(tǒng)保護能夠分為檢測、響應、防護以及安全策略等，構成了一個完整體系。但隨著信息平臺的發(fā)展，需利用信息保障體系保障信息平臺的安全、數據安全和服務安全。安全策略是P2DR模型的重要組成，通過制定行之有效的安全策略，可以提高網絡安全運行的穩(wěn)定性。除此之外，防護是采用相關技術制定安全保護方案，利用傳統(tǒng)的安全技術開展安全防護。而傳統(tǒng)安全技術主要包括訪問控制技術、加密解密技術、防火墻技術、數字認證技術等。

檢測技術是通過入侵檢測技術和漏洞掃描技術檢測系統(tǒng)，同時建立資源數據庫，24 h的檢測和監(jiān)控網絡能夠及時發(fā)現系統(tǒng)中潛在的威脅，網絡安全需要面對時時刻刻、無處不在的風險，而安全風險檢測能夠檢測到外部威脅以及內部系統(tǒng)的脆弱性，可以在遇到突發(fā)情況時及時做出應對，避免突發(fā)事件對系統(tǒng)產生較大威脅。例如，在服務器受到攻擊的情況下，需要立即關閉服務器，調整安全措施。入侵檢測系統(tǒng)是P2DR模型中的一個關鍵組成。

如圖1所示為CIDF入侵檢測模型。在這一模型中，事件是入侵檢測系統(tǒng)分析的數據，而事件既可以是數據包，也可以是日志信息。CIDF為公共系統(tǒng)檢測框架，是入侵檢測系統(tǒng)通用的模型之一，將該系統(tǒng)分為事件產生器、事件分析器、響應單元以及事件數據庫4個部分。其中，事件產生器則是在計算機網絡中獲取信息，或是在審計日志中得到響應信息。事件分析器是分析時間產生器獲取的數據包或其他的日志信息，并進行總結。響應單元則是對事件分析器結果進行報警響應，以此來避免系統(tǒng)受到破壞。而事件數據庫則能夠儲存經過事件產生器和事件分析器處理的數據或是未經處理的數據，并且還擁有檢索功能，不僅可以是一個數據庫，也能夠成為文件形式。

2.2? 防護墻技術

防火墻是放置在不同網絡的通道，可以用來控制數據，不同網絡主要包括可信任網絡和不可信任網絡。防火墻系統(tǒng)可以分為代理型防火墻、包過濾型防火墻等，其中代理型防火墻是利用TCP/IP協(xié)議，使用戶可以享受到互聯(lián)網服務，但代理服務器型防火墻在建立新應用方面還存在一定的不足。包過濾型防火墻重新定義了包過濾規(guī)則，具有價格經濟實惠、設置方便簡單的優(yōu)勢，但是建立包過濾規(guī)則的復雜程度較高。作為保護網絡安全的一道屏障，防火墻應用協(xié)議需要慎重選擇、設置，基于此提高并保障網絡環(huán)境的安全。在網絡安全檢測中，高校一般情況下使用硬件防火墻，因為專業(yè)網絡設備具有良好的性能與效率，并且安全獨立性較高。防火墻在配置過程中，需詳細設置服務器端口，Windows服務器系統(tǒng)開啟端口數量較多，因此需及時關閉不使用的端口或存在威脅的端口。而DMZ可以為外界網絡提供服務，外網在訪問DMZ時，需要對內部服務器地址和DMZ 外部地址進行轉換，并且在進行轉換時，通過防火墻實現設置目的。防火墻基于入侵檢測系統(tǒng)，能夠有效地防范高校網絡的外部風險，保護節(jié)點的網絡入口。而入侵檢測系統(tǒng)則是檢測內部網絡，監(jiān)視上網行為。

3? ? 結語

綜上所述，我國現階段各行各業(yè)都依賴于計算機網絡管理數據，離不開計算機的智能和強大的記錄、運算等功能，高校校園也不例外。也正是因為各行各業(yè)對計算機網絡的需求和依賴過高，才讓很多不法分子有機可圖。由于許多因素都會對高校的網絡環(huán)境產生安全威脅，阻礙高校教學活動，所以，高校教育信息化建設需要一套完整的網絡安全體系作為保障，而入侵檢測技術與防火墻技術能夠避免出現計算機系統(tǒng)漏洞，確保使用者的操作規(guī)范，解決了高校網絡安全問題。

[參考文獻]

[1]郭可.高校校園網絡安全技術及應用[J].電腦知識與技術，2016（14）：19-21.

[2]楊瑜.計算機網絡技術的計算機網絡信息安全及其防護策略[J].數碼世界，2020（9）：193-194.

[3]紀漢杰，李嘯林，張帆，等.基于計算機網絡技術的計算機網絡信息安全及其防護策略[J].計算機科學與應用，2019（9）：1703-1707.

（編輯 王雪芬）