談 存 實(shí)

(蘭州職業(yè)技術(shù)學(xué)院，甘肅 蘭州 730070)

1 計(jì)算機(jī)網(wǎng)絡(luò)的安全問題

隨著計(jì)算機(jī)技術(shù)的深入發(fā)展，人們通過計(jì)算機(jī)處理業(yè)務(wù)已經(jīng)從基于單機(jī)的數(shù)學(xué)運(yùn)算和文件處理、利用簡單的內(nèi)部網(wǎng)絡(luò)連接處理內(nèi)部業(yè)務(wù)等，發(fā)展到現(xiàn)在基于全球互聯(lián)網(wǎng)的計(jì)算機(jī)處理系統(tǒng)進(jìn)行數(shù)據(jù)處理和資源共享。計(jì)算機(jī)網(wǎng)絡(luò)信息處理能力得到了提高，計(jì)算機(jī)系統(tǒng)的連結(jié)能力也在不斷地提高。但在連結(jié)能力提高的同時，計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也日益突出。主要表現(xiàn)在如下幾個方面：

1.1 開放性的網(wǎng)絡(luò)環(huán)境帶來的安全問題

計(jì)算機(jī)網(wǎng)絡(luò)的開放性等因素引起聯(lián)網(wǎng)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問題。即使在使用了各種安全工具和各項(xiàng)技術(shù)的情況下，計(jì)算機(jī)網(wǎng)絡(luò)仍存在很多安全隱患，這些安全隱患主要包括：(1)防火墻等安全機(jī)制在特定環(huán)境下不易發(fā)覺病毒入侵并很難防范。(2)人為因素的影響使得安全工具不能合理地利用。(3)系統(tǒng)的“后門”，防火墻不易發(fā)覺。例如眾所周知的ASP源碼問題，是IIS服務(wù)的設(shè)計(jì)者留下的一個“后門”。(4)BUG很難防范。黑客的攻擊手段在不斷地升級。

1.2 威脅計(jì)算機(jī)網(wǎng)絡(luò)的主要因素

(1)系統(tǒng)軟件存在漏洞。任何一個網(wǎng)絡(luò)軟件或者操作系統(tǒng)都存在缺陷，計(jì)算機(jī)一旦聯(lián)網(wǎng)，這些缺陷就會使得系統(tǒng)處于危險(xiǎn)的境地。(2)配置問題。系統(tǒng)安全配置不當(dāng)會導(dǎo)致安全漏洞，例如，防火墻軟件的配置不正確。(3)用戶的安全意識不強(qiáng)?？诹钤O(shè)置不當(dāng)、個人賬號隨意轉(zhuǎn)借等都會對網(wǎng)絡(luò)安全帶來威脅。(4)病毒。計(jì)算機(jī)安全的頭號大敵是計(jì)算機(jī)病毒，它影響到計(jì)算機(jī)軟件和硬件的正常運(yùn)行，具有傳染性、破壞性、觸發(fā)性、隱蔽性、寄生性等特點(diǎn)。(5)黑客入侵。

2 校園網(wǎng)絡(luò)安全體系

校園網(wǎng)絡(luò)同樣也會面臨安全威脅，對于校園網(wǎng)絡(luò)安全的防范需要構(gòu)筑校園網(wǎng)絡(luò)安全體系，主要從兩個方面著手：一是技術(shù)。常用的有加密技術(shù)、內(nèi)外網(wǎng)隔離技術(shù)、訪問控制、安全路由等對防止非法入侵系統(tǒng)起到一定的防御作用。二是提高和改進(jìn)管理方法。

2.1 校園網(wǎng)絡(luò)狀況分析

從需求方面講，校園網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)措施，對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實(shí)施保護(hù)，使其不會因?yàn)橐恍┎焕蛩囟獾狡茐?，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全、可靠地運(yùn)行。校園網(wǎng)從技術(shù)上使用虛擬網(wǎng)管理，分為內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)。普通用戶要使用互聯(lián)網(wǎng)，需要提出申請，由網(wǎng)絡(luò)管理中心批準(zhǔn)后分配IP地址，這樣才能與Internet相連接。

校園網(wǎng)絡(luò)能夠向用戶提供如下服務(wù)：(1)DNS(域名服務(wù))；(2)E-mail(電子郵件服務(wù))；(3)telnet(遠(yuǎn)程登錄)；(4)ftp(文件傳輸服務(wù))；(5)電子廣告牌；(6)WWW以及信息收集、存儲、交換、檢索等服務(wù)。

2.2 校園網(wǎng)絡(luò)存在的安全隱患

校園網(wǎng)絡(luò)主要存在的安全隱患有：(1)通過CERNET與Internet連接，能夠享受所提供服務(wù)的同時，同樣面臨著被攻擊的威脅。(2)由于校園內(nèi)部用戶對于本網(wǎng)絡(luò)比較熟悉，這樣受到內(nèi)部的威脅更大一些。(3)現(xiàn)行使用的網(wǎng)絡(luò)操作系統(tǒng)如Windows NT/Windows 2000、Unix、Linux等，系統(tǒng)本身存在安全漏洞，對校園網(wǎng)絡(luò)安全造成威脅。(4)因校園內(nèi)計(jì)算機(jī)應(yīng)用范圍的廣泛普及，網(wǎng)絡(luò)節(jié)點(diǎn)逐漸增多，多數(shù)節(jié)點(diǎn)都沒有采取相應(yīng)的安全防護(hù)措施，存在容易被病毒感染、信息丟失、系統(tǒng)癱瘓和被攻擊等危險(xiǎn)。因此，需要構(gòu)建安全的信息防護(hù)體系，以保護(hù)校園網(wǎng)絡(luò)的安全。

2.3 校園網(wǎng)絡(luò)安全防護(hù)的目標(biāo)

要增強(qiáng)校園網(wǎng)絡(luò)的安全，需要保護(hù)信息資源，控制和管理服務(wù)資源。信息資源分為公眾信息(不需要訪問控制的信息)、內(nèi)部信息(需要身份驗(yàn)證，并且根據(jù)身份進(jìn)行訪問控制的信息)和敏感信息(需要身份驗(yàn)證，數(shù)據(jù)傳輸也需要加密的信息)。服務(wù)資源包括內(nèi)部服務(wù)資源(面向內(nèi)部用戶，管理并控制內(nèi)部用戶對信息資源的訪問)和公眾服務(wù)資源(針對匿名用戶，防止和抵御外來攻擊)。

3 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

校園網(wǎng)絡(luò)的安全威脅主要來自于互聯(lián)網(wǎng)絡(luò)，比如：針對提供某種服務(wù)的服務(wù)器發(fā)起攻擊，導(dǎo)致該服務(wù)器拒絕服務(wù)，使得網(wǎng)絡(luò)不能正常運(yùn)行；攻擊者針對網(wǎng)絡(luò)層協(xié)議進(jìn)行，對網(wǎng)絡(luò)的通信設(shè)備進(jìn)行攻擊，使得網(wǎng)路通信設(shè)備不正常運(yùn)行甚至癱瘓；網(wǎng)絡(luò)服務(wù)被未授權(quán)的用戶非法訪問等。

3.1 建立網(wǎng)絡(luò)安全模型

通信的接收方和發(fā)送方在網(wǎng)絡(luò)上傳輸信息時，需要建立一條通信的邏輯通道，作為可信任的第三方，為了信息的傳輸安全性，需要有安全機(jī)制和相應(yīng)的安全服務(wù)，如圖1所示。

這樣，通過可信任的第三方，對通信雙方所傳輸?shù)男畔⑦M(jìn)行加密，若雙方產(chǎn)生爭議可進(jìn)行仲裁。此網(wǎng)絡(luò)安全方案需要完成如下四個基本任務(wù)：通過特定算法，進(jìn)行數(shù)據(jù)的安全轉(zhuǎn)換；對該特定算法生成秘密信息；研究秘密信息共享和分發(fā)的方法；再設(shè)定網(wǎng)絡(luò)通信協(xié)議，利用特定算法和生成的秘密信息獲得安全服務(wù)。

3.2 構(gòu)建校園網(wǎng)絡(luò)安全防范體系

構(gòu)建校園網(wǎng)絡(luò)安全防范體系是以安全策略為核心，著手于安全管理和安全技術(shù)兩方面主要任務(wù)的完成，進(jìn)行威脅防護(hù)和檢測；對網(wǎng)絡(luò)用戶加強(qiáng)培訓(xùn)，增強(qiáng)安全意識。如圖2所示。

以上防御體系通過以下安全技術(shù)來實(shí)現(xiàn)：

(1)采用Virtual Local Area Network技術(shù)。

網(wǎng)絡(luò)管理部門將學(xué)校各部門按照不同的業(yè)務(wù)類型及級別，采用VLAN虛擬網(wǎng)絡(luò)技術(shù)，如對網(wǎng)絡(luò)進(jìn)行分段、隔離，實(shí)現(xiàn)訪問控制。

(2)對防火墻進(jìn)行安全配置。

提高校園網(wǎng)的安全系數(shù)首先要從入口上下手，也就是說在校園網(wǎng)的進(jìn)口處架設(shè)防火墻，通過入侵檢測技術(shù)將內(nèi)外網(wǎng)進(jìn)行隔離。防火墻實(shí)時對網(wǎng)絡(luò)進(jìn)行檢測和分析，并將檢測結(jié)果報(bào)告給網(wǎng)絡(luò)管理員，可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)使其免受攻擊。

(3)對代理服務(wù)器進(jìn)行配置。

在學(xué)生機(jī)房使用二級防火墻，設(shè)置安全訪問列表，對代理服務(wù)器合理地配置并安裝雙網(wǎng)卡，內(nèi)外網(wǎng)之間使用公網(wǎng)IP地址，內(nèi)部網(wǎng)絡(luò)之間使用私有地址，學(xué)生機(jī)使用虛擬IP地址，這樣可以控制Internet的訪問量。

(4)安裝殺毒軟件。

保護(hù)校園網(wǎng)的安全，安裝殺毒軟件十分必要。在所有可能被病毒感染和傳播的地方都要安裝適應(yīng)的殺毒軟件，網(wǎng)絡(luò)管理員要對殺毒軟件及時有效地升級并適時掃描系統(tǒng)。但是，殺毒軟件對一些未知的病毒不易察覺，而且存在誤報(bào)的缺點(diǎn)。因此，這些問題需要進(jìn)一步地研究和探討，不斷地完善安全防范體系。

(5)完善安全管理制度。

在校園網(wǎng)的安全防御體系中安全管理是核心，通過合理的日常管理制度，再使用限制的軟件技術(shù)和硬件設(shè)備，才能形成一個完整有效的安全防御系統(tǒng)。以技術(shù)為支撐，通過完善的管理制度落實(shí)，才能更好地抵御威脅。規(guī)定系統(tǒng)管理員要進(jìn)行日常的網(wǎng)絡(luò)安全管理，實(shí)時地、動態(tài)地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，每日必須檢查服務(wù)器的日志，對重要的數(shù)據(jù)服務(wù)器，每日必須進(jìn)行異地?cái)?shù)據(jù)備份。同時管理員的密碼必須達(dá)到一定的長度并且建議每周修改一次。管理員需及時對操作系統(tǒng)打補(bǔ)丁和防病毒軟件包的升級，不斷完善和優(yōu)化網(wǎng)絡(luò)安全防范體系。

參考文獻(xiàn)：

[1]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國水利水電出版社,2005：52～56.

[2]華師傅資訊.黑客攻防疑難解析與技巧800例[M].北京:中國鐵道出版社，2008：219.