周仙祥 李國彬

（撫州職業(yè)技術(shù)學院，江西 撫州 344000）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，學院校園網(wǎng)網(wǎng)上信息服務(wù)的日漸增多，網(wǎng)絡(luò)安全已成為學院校園網(wǎng)網(wǎng)上技術(shù)維護一個越來越突出的問題。作為現(xiàn)代化的學院校園網(wǎng)，需要采取相關(guān)措施，用以提高網(wǎng)絡(luò)安全。但沒有哪一種網(wǎng)絡(luò)安全防御技術(shù)能保證學院校園網(wǎng)網(wǎng)上信息服務(wù)100%的安全，安全總是相對的，這就需要多種安全防御技術(shù)在各個層次上加以部署，延長攻擊者侵入所花費的時間、增加成本和所需要的資源，從而卓有成效地降低學院校園網(wǎng)網(wǎng)絡(luò)被攻擊的危險，達到安全防護的目標。目前學院校園網(wǎng)常用的網(wǎng)絡(luò)安全防御技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、訪問控制技術(shù)等。本文將就此作出一些探討。

1 防火墻技術(shù)

學院校園網(wǎng)網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)就是防火墻技術(shù)，對于其網(wǎng)絡(luò)用戶來說，如果決定使用防火墻，那么首先需要由專家領(lǐng)導(dǎo)和網(wǎng)絡(luò)系統(tǒng)管理員共同設(shè)定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過防火墻。防火墻的職責就是根據(jù)本館的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進行檢查，符合的予以放行，不符合的拒之門外。

1.1 該技術(shù)主要完成以下具體任務(wù)

1.1.1 通過源地址過濾，拒絕外部非法IP 地址，有效的避免了與本館信息服務(wù)無關(guān)的外部網(wǎng)絡(luò)主機越權(quán)訪問。

1.1.2 防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降到最低限度，使黑客無機可乘。

1.1.3 同樣，防火墻可以制定訪問策略，只有被授權(quán)的外部主機才可以訪問內(nèi)部網(wǎng)絡(luò)上的有限IP 地址，從而保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，使得與本館信息服務(wù)無關(guān)的操作將被拒絕。

1.1.4 由于外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的所有訪問都要經(jīng)過防火墻，所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進行詳細的記錄，通過分析可以得出可疑的攻擊行為。

1.1.5 另外，由于安裝了防火墻后，網(wǎng)絡(luò)的安全策略由防火墻集中管理，因此，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權(quán)限的目的，而直接攻擊防火墻幾乎是不可能的。

1.1.6 防火墻可以進行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客失去攻擊目標。

1.2 雖然防火墻技術(shù)是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的最佳選擇，但也存在一定的局限性

1.2.1 不能完全防范外部刻意的人為攻擊。

1.2.2 不能防范內(nèi)部用戶攻擊。

1.2.3 不能防止內(nèi)部用戶因誤操作而造成口令失密受到的攻擊。

1.2.4 很難防止病毒或者受病毒感染的文件的傳輸。

2 入侵檢測技術(shù)(IDS)

如果說防火墻技術(shù)是靜態(tài)安全防御技術(shù)，那么IDS 就是一種動態(tài)安全技術(shù)。IDS 包括基于主機的入侵檢測技術(shù)和基于網(wǎng)絡(luò)的入侵檢測技術(shù)兩種。該技術(shù)用于保護應(yīng)用網(wǎng)絡(luò)連接的主要服務(wù)器，實時監(jiān)視可疑的連接和非法訪問的闖入，并對各種入侵行為立即作出反應(yīng)，如斷開網(wǎng)絡(luò)連接等。[2]

3 網(wǎng)絡(luò)防病毒技術(shù)

當今世界上每天有13 種到50 種新病毒出現(xiàn)，而60%的病毒均通過Internet 傳播，病毒發(fā)展有日益跨越疆界的趨勢，存在著不可估量的威脅性和破壞力。沖擊波病毒及震蕩波病毒就足以證明如果不重視計算機網(wǎng)絡(luò)防病毒工作，那就有可能給社會造成災(zāi)難性的后果，因此計算機病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測病毒和消除病毒等3種技術(shù)：

3.1 預(yù)防病毒技術(shù)，它是通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。技術(shù)手段包括：加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制等。

3.2 檢測病毒技術(shù)，它是通過對計算機病毒的特征來進行判斷的偵測技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。病毒檢測一直是病毒防護的支柱，然而隨著病毒的數(shù)目和可能切入點的大量增加，識別古怪代碼串的進程變得越來越復(fù)雜，而且容易產(chǎn)生錯誤和疏忽。因此，最新的防病毒技術(shù)應(yīng)將病毒檢測、多層數(shù)據(jù)保護和集中式管理等多種功能集成起來，形成多層次防御體系，既具有穩(wěn)健的病毒檢測功能，又具有客戶機/服務(wù)器數(shù)據(jù)保護能力。

3.3 消除病毒技術(shù)，它是通過對計算機病毒的分析，開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。大量的病毒針對網(wǎng)上資源和應(yīng)用程序進行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因而要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)入口實時殺毒。對于內(nèi)部病毒，如客戶機感染的病毒，通過服務(wù)器防病毒功能，在病毒從客戶機向服務(wù)器轉(zhuǎn)移的過程中殺掉，把病毒感染的區(qū)域限制在最小范圍內(nèi)。[1]網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的工作著手，通過網(wǎng)絡(luò)環(huán)境管理網(wǎng)絡(luò)上的所有機器，如利用網(wǎng)絡(luò)喚醒功能，在夜間對全館在線網(wǎng)絡(luò)的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都能及時知道，并作出相應(yīng)的對策。

4 訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)，它的主要任務(wù)是保證學院校園網(wǎng)網(wǎng)絡(luò)資源不被非法使用和非法訪問。

4.1 入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合。網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。用戶帳號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對學院校園網(wǎng)交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的帳號加以限制，用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計。如果在設(shè)定的次數(shù)內(nèi)輸入口令不正確，則認為是非法用戶的入侵，應(yīng)給出報警信息并鎖定帳戶禁止登錄。

4.2網(wǎng)絡(luò)的權(quán)限控制

網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：a.特殊用戶（即系統(tǒng)管理員）；b.一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；c.審計用戶，負責網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。

4.3 目錄級安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限（File Scan）、存取控制權(quán)限（Access Control）。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當為用戶指定適當?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問 ，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。

4.4 屬性安全控制

當用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

4.5 網(wǎng)絡(luò)服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

4.6 學院校園網(wǎng)網(wǎng)絡(luò)監(jiān)測和鎖定控制

網(wǎng)絡(luò)管理員應(yīng)對學院校園網(wǎng)網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形、文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果非法用戶試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，一旦非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。

5 學院校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢

未來的學院校園網(wǎng)網(wǎng)絡(luò)安全將會面對越來越多的威脅與損害，網(wǎng)絡(luò)管理員必須以加強對反病毒軟件的整合、強化服務(wù)器安全、及時下載補丁程序并更新系統(tǒng)軟件作為網(wǎng)絡(luò)安全管理的主要任務(wù)。另一方面，在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，而沒有對網(wǎng)絡(luò)安全的深刻認識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全技術(shù)也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防病毒、入侵監(jiān)測、防火墻、防問控制等技術(shù)的簡單堆砌，而應(yīng)該從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)等各方面進行有機地結(jié)合，形成一套比較完善的學院校園網(wǎng)網(wǎng)絡(luò)安全防御體系。

[1]賈宏.高校學院校園網(wǎng)網(wǎng)絡(luò)安全體系的構(gòu)建.學院校園網(wǎng)學研究,2003,(4):25-27,31

[2]張鋒等.基于Agent 的分層協(xié)作IDS 系統(tǒng).信息網(wǎng)絡(luò)安全,2003,(3):25-28