王成記 孫 博

（河南司法警官職業(yè)學(xué)院，河南 鄭州 450002）

校園網(wǎng)承擔(dān)著教學(xué)、科研、管理和對(duì)外交流的主要角色，為確保校園網(wǎng)安全有效運(yùn)行管理，加大對(duì)網(wǎng)絡(luò)安全問題的分析和管理，并從網(wǎng)絡(luò)安全技術(shù)應(yīng)用中來解決具體問題就顯得尤為迫切。

1 對(duì)校園網(wǎng)絡(luò)建設(shè)及安全問題分析

1.1 校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)體系結(jié)構(gòu)特點(diǎn)

校園網(wǎng)建設(shè)是為推進(jìn)學(xué)校教學(xué)、科研以及管理等方面而提供的信息交流的平臺(tái)。從建設(shè)系統(tǒng)來看，內(nèi)部信息系統(tǒng)主要限于校園網(wǎng)內(nèi)部用戶的使用，而外部信息系統(tǒng)則是進(jìn)行對(duì)外宣傳，以及為教學(xué)提供海量數(shù)據(jù)資源。其結(jié)構(gòu)特點(diǎn)主要表現(xiàn)在：一是校園網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)復(fù)雜，在邏輯結(jié)構(gòu)上包含核心層、匯聚層和接入層；在功能劃分上滿足教學(xué)、辦公及學(xué)生上網(wǎng)需要；在接入方式上有寬帶、無線等模式；二是從用戶群體來看，類型復(fù)雜，校園網(wǎng)從建設(shè)伊始就面臨著內(nèi)外用戶的訪問需要，都給網(wǎng)絡(luò)管理帶來了難度。

1.2 校園網(wǎng)面臨的主要安全威脅分析

校園網(wǎng)在教育資源的共享、信息交流及協(xié)同辦公需求上，對(duì)高速、穩(wěn)定、可靠要求更高。校園網(wǎng)絡(luò)體系結(jié)構(gòu)存在的常見網(wǎng)絡(luò)安全威脅有以下幾點(diǎn)：一是系統(tǒng)漏洞的威脅，計(jì)算機(jī)系統(tǒng)發(fā)展至今，由于系統(tǒng)自身存在的、未經(jīng)授權(quán)情況而發(fā)生的訪問請(qǐng)求，如黑客攻擊、病毒感染等都給網(wǎng)絡(luò)安全帶來隱患；二是對(duì)計(jì)算機(jī)病毒防范不夠，病毒變種發(fā)作率日益嚴(yán)重，對(duì)用戶信息的泄漏，以及對(duì)信息資源的破壞給網(wǎng)絡(luò)管理帶來難度；三是對(duì)網(wǎng)絡(luò)資源的利用率不高，部分用戶私自占有大量帶寬，影響其他用戶的正常使用；四是垃圾郵件、不良信息的傳播加劇，不僅降低了網(wǎng)絡(luò)資源利用率，還給病毒傳播提供載體，也給校園網(wǎng)絡(luò)環(huán)境的凈化帶來阻礙。

2 常用網(wǎng)絡(luò)安全技術(shù)分析與應(yīng)用

2.1 網(wǎng)絡(luò)防火墻技術(shù)及應(yīng)用

防火墻是介于局域網(wǎng)和廣域網(wǎng)之間的安全屏障，其作用是能夠?qū)ν鈦碛脩舻脑L問請(qǐng)求進(jìn)行檢測(cè)和控制，對(duì)于非法訪問給予屏蔽，從而保護(hù)了信息傳輸?shù)陌踩?、合法性，提高了網(wǎng)絡(luò)系統(tǒng)的安全級(jí)。其功能主要表現(xiàn)在：一是作為屏障對(duì)訪問請(qǐng)求進(jìn)行有效過濾，如在面對(duì)源路由攻擊和基于ICMP重定向中的重定向攻擊時(shí)，防火墻能夠從防范來自路由的非法訪問；二是能夠?qū)υL問存取操作進(jìn)行記錄并監(jiān)控，利用日志記錄可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)使用情況的分析統(tǒng)計(jì)，并對(duì)可疑操作給予監(jiān)測(cè)和報(bào)警；三是防范內(nèi)部信息對(duì)外泄露，通過對(duì)流經(jīng)防火墻的數(shù)據(jù)和服務(wù)進(jìn)行監(jiān)控，特別是對(duì)于敏感信息的監(jiān)測(cè)，以防范內(nèi)部信息的泄漏。

2.2 入侵檢測(cè)系統(tǒng)(IDS)技術(shù)應(yīng)用

入侵檢測(cè)系統(tǒng)(IDS)是基于被動(dòng)防御為主的，對(duì)外來訪問進(jìn)行有效控制的技術(shù)，比防火墻更深入地主動(dòng)攔截惡意代碼，并能夠?qū)﹃P(guān)鍵信息進(jìn)行收集和分析，如異常檢測(cè)模型能夠在當(dāng)前主體的活動(dòng)與正常行為偏離時(shí)，降低漏報(bào)率；誤用檢測(cè)模型的應(yīng)用，可以從設(shè)定的入侵活動(dòng)特征對(duì)比中實(shí)現(xiàn)對(duì)當(dāng)前行為特征的檢測(cè)和匹配，從而降低誤報(bào)率。入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)是能夠?qū)θ肭中袨檫M(jìn)行主動(dòng)檢測(cè)和報(bào)警，但是檢測(cè)規(guī)則和統(tǒng)計(jì)方法限于特定網(wǎng)絡(luò)環(huán)境，適用性不夠。

2.3 防病毒技術(shù)的應(yīng)用

計(jì)算機(jī)病毒是困擾網(wǎng)絡(luò)安全的主要?dú)⑹?，也是校園網(wǎng)絡(luò)安全管理的重點(diǎn)。結(jié)合計(jì)算機(jī)病毒的破壞特征，可從其產(chǎn)生的目的、破壞目標(biāo)，以及對(duì)用戶和系統(tǒng)性能的危害上等特點(diǎn)制定相應(yīng)的防御對(duì)策。如通過建立行為規(guī)則來判定病毒的運(yùn)行特征，一旦與規(guī)則匹配則報(bào)警，并作出相應(yīng)處理。如依據(jù)病毒關(guān)鍵字、特征代碼以及病毒危害行為特征來編寫病毒特征庫，以提高檢驗(yàn)和監(jiān)測(cè)病毒的效率。病毒的清除技術(shù)是對(duì)檢測(cè)結(jié)果進(jìn)行的處理，它實(shí)現(xiàn)了對(duì)病毒感染的逆操作，如利用殺毒軟件對(duì)病毒特征庫的更新來追蹤病毒，以實(shí)現(xiàn)對(duì)病毒的有效清除。

2.4 虛擬局域網(wǎng)技術(shù)（VLAN）的應(yīng)用

虛擬局域網(wǎng)是借助于網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備邏輯地址的劃分，打破了傳統(tǒng)局域網(wǎng)的結(jié)構(gòu)特征，使其更加靈活和便捷。通過VLAN技術(shù)，使得數(shù)據(jù)從發(fā)送到接受都在同一個(gè)虛擬網(wǎng)絡(luò)中接受和轉(zhuǎn)發(fā)，以此來避免交換信息被其他子網(wǎng)所利用。特別是對(duì)于大型網(wǎng)絡(luò)，VLAN能夠從信息傳輸流量上減少廣播風(fēng)暴的影響，在降低網(wǎng)絡(luò)堵塞的同時(shí)提高信息傳輸?shù)男?；從網(wǎng)絡(luò)安全性上，利用路由器來進(jìn)行安全監(jiān)測(cè)和控制，提高網(wǎng)絡(luò)安全性。

2.5 其他網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

虛擬專用網(wǎng)（VPN）技術(shù)是通過對(duì)公用網(wǎng)絡(luò)建立臨時(shí)安全的鏈接，以滿足任意兩個(gè)節(jié)點(diǎn)進(jìn)行安全、穩(wěn)定的臨時(shí)性通信，具有較高的安全性；網(wǎng)絡(luò)安全掃描技術(shù)主要是針對(duì)網(wǎng)絡(luò)管理中可能存在的漏洞，通過資源掃描來獲取網(wǎng)絡(luò)安全信息，以防范可能出現(xiàn)的錯(cuò)誤配置；數(shù)據(jù)備份技術(shù)是面向?qū)嶋H應(yīng)用，為了減少人為誤操作，以及發(fā)生硬件故障而采取的一種數(shù)據(jù)完整性復(fù)制功能，用以挽救災(zāi)難恢復(fù)，在分布式網(wǎng)絡(luò)環(huán)境中的應(yīng)用更為廣泛和有效。

3 結(jié)語

本文對(duì)影響校園網(wǎng)安全的各類風(fēng)險(xiǎn)因素進(jìn)行分析，運(yùn)用網(wǎng)絡(luò)安全技術(shù)建立保障體系，并結(jié)合嚴(yán)格規(guī)范的管理制度與合適的解決方案，實(shí)現(xiàn)校園網(wǎng)的安全、可靠、高效運(yùn)行。

[1] 周建坤.校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全體系的研究[D].山東大學(xué)，2011.

[2] 蔡曉熙.基于風(fēng)險(xiǎn)分析的信息系統(tǒng)安全定級(jí)方法[D].南京郵電大學(xué)，2012.