[摘 要]隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，更多的教學(xué)、日常工作都是在校園網(wǎng)中完成的。因此，校園網(wǎng)絡(luò)信息安全已經(jīng)越來越影響師生的正常教學(xué)、學(xué)習(xí)。如何解決校園網(wǎng)絡(luò)信息安全已經(jīng)是在各校園網(wǎng)絡(luò)建設(shè)中必須要考慮的問題。

[關(guān)鍵詞]校園網(wǎng)絡(luò)；信息安全；計算機(jī)病毒；防火墻；防護(hù)策略

一、校園網(wǎng)絡(luò)信息安全現(xiàn)狀

校園網(wǎng)絡(luò)一般分為內(nèi)網(wǎng)和外網(wǎng)兩部分，其中校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與ISP的接入等。校園內(nèi)網(wǎng)主要提供教學(xué)、辦公自動化等內(nèi)容。因此，校園網(wǎng)絡(luò)面臨的潛在攻擊類型可能包括：

（一）修改傳輸中的數(shù)據(jù)

電子郵件、實時報文傳輸、文件傳輸?shù)倪^程中都容易收到截取和修改。

（二）插入并利用Trojan木馬、后門、病毒與蠕蟲等惡意代碼

攻擊者能進(jìn)入用戶系統(tǒng)并執(zhí)行命令。通過先前發(fā)現(xiàn)的脆弱性并使用該訪問來達(dá)到其攻擊目的。包括植入基于未來事件而發(fā)作的軟件。

（三）利用協(xié)議或基礎(chǔ)設(shè)施的BUG

利用協(xié)議中的缺陷來欺騙用戶或重定向通信量。這種攻擊有哄騙域名服務(wù)器進(jìn)行未授權(quán)遠(yuǎn)程登陸；使用ICMP炸彈使某個機(jī)器離線；使用源路由偽裝成信任主機(jī)；TCP序列號猜測獲得訪問權(quán)；未截獲合法連接而進(jìn)行的TCP組合等。

（四）建立非授權(quán)的網(wǎng)絡(luò)連接

對高密級網(wǎng)絡(luò)具有物理訪問能力的用戶未授權(quán)連接到一個低密級或敏感網(wǎng)絡(luò)中，這違背了安全策略或用戶流程。

（五）偽裝成合法用戶

利用可信實體的標(biāo)識，通過電子郵件、實時報文或請求文件傳輸?shù)靡赃M(jìn)入通信信道，實現(xiàn)惡意目的。

（六）地址欺騙

一個主體可能假冒成另一個主體獲得對特定信息的訪問。例如，外部網(wǎng)上的一個用戶可能利用假地址偽裝成內(nèi)部網(wǎng)上的用戶訪問內(nèi)部資源。

（七）監(jiān)視純文本報文

純文本報文是那些沒有被加密的報文，一旦被攔截，純文本報文就很容易被讀出。

（八）拒絕服務(wù)攻擊

包括炸彈、洪水攻擊等DoS攻擊以及DDoS攻擊，造成網(wǎng)絡(luò)宕機(jī)或服務(wù)停止，形成業(yè)務(wù)中斷。

這些已存在或潛在的網(wǎng)絡(luò)威脅，多數(shù)是由于校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識薄弱或本身校園網(wǎng)絡(luò)的安全防護(hù)措施設(shè)置不高造成的。為了更好地安全使用網(wǎng)絡(luò)，我們有必要對校園網(wǎng)采取一些安全防護(hù)措施。

二、防止病毒流入內(nèi)網(wǎng)

（一）采用防火墻實施邊界保護(hù)機(jī)制

防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

1.對源、目的和服務(wù)做出限制，并阻斷危險的協(xié)議，比如ICMP協(xié)議。進(jìn)出邊界的通信都需要進(jìn)行控制；

2.限制可執(zhí)行代碼的服務(wù)和下載能力；

3.使用訪問控制列表；

4.使用身份驗證機(jī)制；

5.使用網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制隱藏內(nèi)部網(wǎng)絡(luò)（地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)）防止?jié)撛诠粽撸?/p>

6.記錄和分析源路徑和其他信息包，并對攻擊做出反應(yīng)和進(jìn)行限制；

7.掃描惡毒軟件；

8.操作者能夠方便正確的配置邊界保護(hù)機(jī)制，如采取友好圖形用戶界面（GUI）；

9.自監(jiān)控并且有產(chǎn)生告警的能力。

（二）采用新型入侵防御系統(tǒng)（IPS）

邊界防護(hù)技術(shù)提供周邊的訪問控制，被“授權(quán)”的內(nèi)部和遠(yuǎn)程用戶可以在邊界內(nèi)嘗試窺探、濫用以及執(zhí)行惡意行為。防火墻并不會監(jiān)測被授權(quán)用戶的行為，它的側(cè)重點也不是內(nèi)部威脅。防火墻被允許一定程度的訪問，則有可能為來自外部的漏洞窺探和潛在的攻擊打開了大門。網(wǎng)絡(luò)入侵者越來越多地利用開放的服務(wù)端口（如HTTP、SMTP、POP3、DNS等）發(fā)起攻擊，且手段隱蔽，破壞性卻非常大。IPS是一種部署在網(wǎng)關(guān)位置的安全設(shè)備，利用攻擊的知識對網(wǎng)絡(luò)數(shù)據(jù)和行為進(jìn)行深層檢查，從而更有效地抵御應(yīng)用層攻擊。IPS在線（Inline）的部署模式使它可以直接將有害的流量（探測、攻擊等）阻擋于所保護(hù)的網(wǎng)絡(luò)之外。

在網(wǎng)絡(luò)中心防火墻后部署一臺高性能的IPS，做為邊界防護(hù)的第二道防線。入侵防御系統(tǒng)具有內(nèi)置BYPASS功能，在設(shè)備出現(xiàn)硬件及電源故障時快速、自動切換到直通狀態(tài)，保障網(wǎng)絡(luò)可用性。此外不管是因為硬件或是軟件的因素，假設(shè)偵測引擎出現(xiàn)阻礙（blocking）死鎖的狀況，內(nèi)置BYPASS功能也會自動切換到直通狀態(tài)，無須擔(dān)心設(shè)備的可靠度。內(nèi)置BYPASS功能可通過遠(yuǎn)程管理實現(xiàn)啟動或關(guān)閉管理。

IPS將ASIC硬件檢查、深度內(nèi)容檢測、安全防護(hù)、上網(wǎng)行為管理等技術(shù)完美地結(jié)合在一起。配合實時更新的入侵攻擊特征庫，可檢測防護(hù)3000種以上的網(wǎng)絡(luò)攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網(wǎng)絡(luò)威脅，并具有豐富的上網(wǎng)行為管理，可對P2P、聊天、在線游戲、虛擬通道等內(nèi)網(wǎng)訪問實現(xiàn)細(xì)粒度管理控制。從而，很好地提供了動態(tài)、主動、深度的安全防御。

防火墻與IPS協(xié)同部署的安全方案能夠在網(wǎng)關(guān)位置構(gòu)建起多層次的信息安全防護(hù)體系，形成一道完整的保護(hù)關(guān)鍵服務(wù)器和內(nèi)網(wǎng)安全的防線。

（三）利用微軟系統(tǒng)中的用戶身份認(rèn)證對上網(wǎng)人員進(jìn)行訪問授權(quán)限制

認(rèn)證是指對主客體身份進(jìn)行確認(rèn)的過程。身份認(rèn)證是指網(wǎng)絡(luò)用戶在進(jìn)入系統(tǒng)或受限系統(tǒng)資源時，系統(tǒng)對用戶身份的鑒別過程。身份認(rèn)證的方式有：靜態(tài)密碼方式、動態(tài)密碼方式、USB Key認(rèn)證、生物識別技術(shù)、CA認(rèn)證。

（四）在計算機(jī)上安裝殺毒軟件

不管是老師還是學(xué)生，在校園網(wǎng)內(nèi)不可避免地要經(jīng)常使用U盤、移動硬盤，這些移動存儲設(shè)備在使用前應(yīng)進(jìn)行病毒的掃描和查殺，以避免計算機(jī)病毒、木馬等流入校園內(nèi)網(wǎng)。

（五）個人計算機(jī)的使用者盡量不要設(shè)置共享目錄，以減少感染病毒的機(jī)會

如果確實工作需要開共享目錄，則個人計算機(jī)共享目錄的訪問權(quán)限必須設(shè)置為滿足使用要求的最低訪問權(quán)限，并加上復(fù)雜密碼。對不再必要的共享目錄，必須及時取消其共享屬性。

三、防止內(nèi)網(wǎng)病毒流出外網(wǎng)

從網(wǎng)絡(luò)安全方面來說，我們不但應(yīng)該防止計算機(jī)病毒、木馬等不安全信息進(jìn)入校園網(wǎng)，還要防止校園網(wǎng)內(nèi)感染的計算機(jī)病毒、木馬等向外網(wǎng)傳染。防止內(nèi)網(wǎng)病毒向外網(wǎng)擴(kuò)散比較好的技術(shù)手段是采用防火墻技術(shù)。防火墻是一個內(nèi)網(wǎng)監(jiān)控系統(tǒng)，處于內(nèi)部網(wǎng)絡(luò)中，隨時監(jiān)控內(nèi)部主機(jī)的安全狀況。

它具有以下六大功能：信息泄漏防范，防止在內(nèi)部網(wǎng)主機(jī)上，通過網(wǎng)絡(luò)、存儲介質(zhì)、打印機(jī)等媒介，有意或無意地擴(kuò)散本地機(jī)密信息；系統(tǒng)用戶管理，記錄用戶登錄系統(tǒng)的信息，為日后的安全審計提供依據(jù)；系統(tǒng)資源安全管理，限制系統(tǒng)軟硬件的安裝、卸載，控制特定程序的運行，限制系統(tǒng)進(jìn)入安全模式，控制文件的重命名和刪除等操作；系統(tǒng)實時運行狀況監(jiān)控，通過實時抓取并記錄內(nèi)部網(wǎng)主機(jī)的屏幕，來監(jiān)視內(nèi)部人員的安全狀況，威懾懷有惡意的內(nèi)部人員，并在安全問題發(fā)生后，提供分析其來源的依據(jù)，在必要時，也可直接控制涉及安全問題的主機(jī)的I/O設(shè)備，如鍵盤、鼠標(biāo)等；信息安全審計，記錄內(nèi)網(wǎng)安全審計信息，并提供內(nèi)網(wǎng)主機(jī)使用狀況、安全事件分析等報告。

網(wǎng)絡(luò)完全防護(hù)是一項長期的工作，它不但涉及到各種安全防范技術(shù)，還涉及到用戶的網(wǎng)絡(luò)安全意識、網(wǎng)絡(luò)管理等許多方面，只有將各方面都做好才能建成一個安全的校園網(wǎng)。

[參考文獻(xiàn)]

[1]龔靜.計算機(jī)網(wǎng)絡(luò)安全策略的探討[J].福建電腦,2004,(5).

[2]斯特拉斯伯格.防火墻技術(shù)大全[M].機(jī)械工業(yè)出版社, 2003.

[3]張彩文.防火墻技術(shù)淺談[J].硅谷,2010,(20).

[作者簡介]譚英，廣西機(jī)電工程學(xué)校。