校園網絡安全體系建設

施維

【摘 要】校園網絡也會面臨同樣的威脅，所以我們在知道網絡功防基礎上應該構筑校園網絡安全體系，要從兩個方面著手：一是采用一定的技術；二是改進管理方法。從技術角度看，目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由等，這些技術對防止非法入侵系統起到了一定的防御作用。防火墻作為一種將內外網隔離的技術，普遍運用于校園網安全建設中。

【關鍵詞】校園網；網絡安全；安全策略

【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158（2013）07-0329-02

1 校園網絡安全規范

校園的網絡安全是指利用各種網絡監控和管理技術措施，對網絡系統的硬件、軟件及系統中的數據資源實施保護，使其不會因為一些不利因素而遭到破壞，從而保證網絡系統連續、安全、可靠地運行。

學校網絡中心負責網絡設備的運行管理，信息中心負責網絡資源，系統管理員口令絕對保密，根據用戶需求嚴格控制，合理分配用戶權限，向學生開放的教學實驗室應禁止使用軟驅和光驅，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網絡狀況分析

（1）資源分布和應用服務體系

校園網絡可向網絡用戶提供：域名服務（DNS），電子郵件服務（Email），遠程登錄（telnet），文件傳輸服務（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲，交換，檢索等服務。

（2）網絡結構的劃分

整個網絡是由各網絡中心，和園區內部網絡通過各種通信方式互聯而成，所有網絡可歸納為由連接子網、公共子網、服務子網、內部網四個部分組成。這四部分組成一個獨立單位的局域網，然后通過廣域連接與其他網絡連接。

2.2 網絡安全目標

為了增加網絡安全性，必須對信息資源加以保護，對服務資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內部信息；即需要身份驗證以及根據根據身份進行訪問控制。

C：敏感信息；即需要驗證身份和傳輸加密。

（2）服務資源包括：內部服務資源、公眾服務資源

內部服務資源：面向已知客戶，管理和控制內部用戶對信息資源的訪問。

公眾服務資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網絡安全技術的應用

3.1 建立網絡安全模型

通信雙方在網絡上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網絡環境中安全地傳輸信息，需要對信息提供安全機制和安全服務。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息，并在雙方發生爭議時進行仲裁。設計一個網絡安全方案時，需要完成以下四個基本任務：

（1）設計一個算法，執行安全相關的轉換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發與共享的方法；

（4）設定兩個責任者使用的協議，利用算法和秘密信息取得安全服務。

3.2 數據備份方法

數據備份有多種實現形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續的物理磁盤塊上，備份系統能識別文件結構，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設備的備份”，其在拷貝磁盤塊到備份介質上時忽略文件結構，從而提高備份的性能。因為在執行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個系統或用戶指定的所有文件數據進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現數據丟失等問題，可以使用備份文件快速地恢復數據。

（4）增量備份

為了解決完全備份的兩個缺點，出現了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數據。因為在特定的時間段內只有少量的文件發生改變，既節省空間，又縮短了備份的時間。因而這種備份方法比較經濟，可以頻繁地進行。

（5）差異備份

差異備份即備份上一次完全備份后產生和更新的所有新的數據。它的主要目的是將完全恢復時涉及到備份記錄數量限制在兩個，以簡化恢復的復雜性。

3.3 防火墻技術

防火墻是在網絡之間通過執行控制策略來保護網絡的系統，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用。

防火墻是一個由軟件與硬件組成的系統。由于不同內部網的安全策略與防護目的不同，防火墻系統的配置與實現方式也有很大的區別。簡單的一個包過濾路由器或應用網關、應用代理服務器都可以作為防火墻使用。

3.4 入侵檢測技術

入侵檢測系統是對計算機和網絡資源的惡意使用行為進行識別的系統。它的目的是監測和發現可能存在的攻擊行為，包括來自系統外部的入侵行為和來自內部的非法授權行為，并采取相應的防護手段。它的基本功能包括：

（1）監控、分析用戶和系統的行為。

（2）檢查系統的配置和漏洞。

（3）評估重要的系統和數據文件的完整性。

（4）對異常行為的統計分析，識別攻擊類型，并向網絡管理人員報警。

（5）對操作系統進行審計、跟蹤管理，識別違反授權的用戶活動。

4 校園網主動防御體系

校園網的安全威脅既有來自校內的，也有來自校外的。在設計校園網網絡安全系統時，首先要了解學校的需要和目標，制定安全策略。因此網絡安全防范體系應該是動態變化的，必須不斷適應安全環境的變化，以保證網絡安全防范體系的良性發展，確保它的有效性和先進性。

安全管理貫穿整個安全防范體系，是安全防范體系的核心。網絡系統的安全性不只是技術方面的問題，一個有效的安全防范體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實，安全管理主要是對安全技術和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術是輔助安全管理的措施。當網絡出現攻擊行為或其它安全威脅時，無法進行實時的檢測、監控、報告與預警。同時，也無法提供黑客攻擊的追蹤線索，即缺乏對網絡的可控性與可審查性。這就要求網絡管理員經常通過網絡攻擊掃描器提前識別弱點區域，入侵系統監控和響應安全事件，必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵。

結論

通過上述分析，我提出如下校園網絡安全防范策略：

（1）利用防火墻將內網和外網進行有效隔離，避免與外部網絡直接通信；

（2）利用防火墻建立網絡的安全保護措施，保證系統安全；

（3）利用防火墻對網上服務請求內容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將訪問權限控制在最低限度內；

（4）在Internet出口處，使用NetHawk監控系統進行網絡活動實時監控；

（5）在本校區部署RJ-iTop網絡隱患掃描系統，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；

（6）加強網絡安全管理，提高全體人員的網絡安全意識和防范技術。

[1] 馮登國.計算機通信網絡安全[M].北京：清華大學出版社，2001，3

[2] 蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計算機網絡與信息安全[M].北京：希望電子出版社，2006.2：42-43

[4] 宋勁松.網絡入侵檢測：分析、發現和報告攻擊[M]. 國防工業出版社，2004.9：26-28

[5] 王宇，盧昱.計算機網絡安全與控制技術[M].北京：科學出版社，2005.6：19-20