李曉熙

【中圖分類號(hào)】TN918.91 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2014）04-0188-01

校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，從嚴(yán)格的意義上來講，沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)。在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)運(yùn)行的情況下，我們不能夠去保障校園網(wǎng)絕對(duì)的安全，只能說我們要盡一切可能去制止、減小一切非法的訪問和操作，把不安全的因素降到最少，要完善校園網(wǎng)管理制度，對(duì)相關(guān)的校園網(wǎng)管理人員進(jìn)行培訓(xùn)，對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)道德的教育，提高公德意識(shí)，安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補(bǔ)丁更新系統(tǒng)漏洞，對(duì)重要文件要進(jìn)行備份，從多個(gè)方面進(jìn)行防范，把校園網(wǎng)不安全因素降到最少。

一、物理安全

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全的前提。

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面：

環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；

設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等，通過嚴(yán)格管理及提高師生的整體安全意識(shí)來實(shí)現(xiàn)；

媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

二、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)結(jié)構(gòu)的安全和網(wǎng)絡(luò)系統(tǒng)的安全。網(wǎng)絡(luò)結(jié)構(gòu)安全涉及網(wǎng)絡(luò)結(jié)構(gòu)的合理性和可擴(kuò)展性，網(wǎng)絡(luò)系統(tǒng)的安全涉及到訪問控制、入侵檢測(cè)、病毒防護(hù)、數(shù)據(jù)的備份等。

1.網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮地域環(huán)境、現(xiàn)有線路狀況、設(shè)備配置與應(yīng)用情況、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和實(shí)用性，網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護(hù)管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。

在網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，主要考慮網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化、路由的優(yōu)化和可擴(kuò)展性。

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖现饕紤]冗余鏈路、冗余路由，動(dòng)態(tài)路由協(xié)議的安全認(rèn)證，專用網(wǎng)管鏈路等；

路由的優(yōu)化，主要涉及到以下幾個(gè)方面：防止單點(diǎn)失??；隔離路由波動(dòng)；消除循環(huán)路由；較小的時(shí)延；使用路由認(rèn)證，保證動(dòng)態(tài)路由的安全等；

可擴(kuò)展性，網(wǎng)絡(luò)發(fā)展極為迅速，我們的需求也在不斷提高，當(dāng)為擴(kuò)展業(yè)務(wù)范圍而增加設(shè)備時(shí)，能夠方便、有效地接入，不至于因網(wǎng)絡(luò)結(jié)構(gòu)的局限性，而重新調(diào)整整個(gè)網(wǎng)絡(luò)設(shè)備。

2.訪問控制

校園網(wǎng)絡(luò)系統(tǒng)的訪問控制可以通過配備訪問控制設(shè)備來實(shí)現(xiàn)。

對(duì)于內(nèi)部網(wǎng)絡(luò)，根據(jù)實(shí)際的業(yè)務(wù)數(shù)據(jù)流向，應(yīng)劃分不同強(qiáng)度的網(wǎng)絡(luò)安全域。通過配置安全的訪問控制策略可以過濾進(jìn)、出防火墻的數(shù)據(jù)包；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。

通過防火墻的規(guī)則設(shè)置，可以隔離數(shù)據(jù)庫(kù)安全域與其它安全域，實(shí)現(xiàn)保護(hù)關(guān)鍵業(yè)務(wù)的應(yīng)用、控制對(duì)服務(wù)器的訪問、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫(kù)安全域的全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略可以設(shè)置相應(yīng)的保護(hù)級(jí)別，以保證系統(tǒng)的安全。

過濾網(wǎng)絡(luò)中不必要傳輸?shù)臒o用數(shù)據(jù)。防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信，可以通過防火墻的添加規(guī)則策略保障，如果在防火墻上添加一些有關(guān)重要應(yīng)用的策略，就可以過濾掉部分無用的信息，只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù)，比如封閉目前常見的蠕蟲病毒使用的端口。

防火墻具有流量控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用。如：在網(wǎng)絡(luò)中，有數(shù)據(jù)庫(kù)調(diào)用應(yīng)用、域登陸應(yīng)用等等，可以在防火墻中直接加載控制策略，使數(shù)據(jù)庫(kù)調(diào)用應(yīng)用、域登陸應(yīng)用按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換，實(shí)現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能。

對(duì)于防火墻自身來說，日志的導(dǎo)出、日志服務(wù)器的安裝，可使得通過防火墻的數(shù)據(jù)訪問加以統(tǒng)計(jì)，為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù)，日志服務(wù)器可以完成，每個(gè)不同的源訪問的流量統(tǒng)計(jì)，可以了解到每個(gè)源的流量是否在正常范圍內(nèi)，等等。

3.入侵檢測(cè)

通過在數(shù)據(jù)庫(kù)安全域添加入侵檢測(cè)系統(tǒng)，保證入侵檢測(cè)系統(tǒng)與防火墻產(chǎn)生聯(lián)動(dòng)。當(dāng)網(wǎng)絡(luò)中發(fā)生攻擊時(shí)，向防火墻發(fā)送策略，將攻擊行為進(jìn)行過濾，使攻擊行為的數(shù)據(jù)無法到達(dá)目的主機(jī)，實(shí)際上是斬?cái)嗔斯舻穆窂?。如此往?fù)，可以提供大量時(shí)間來追測(cè)攻擊源，采取相應(yīng)措施。全面的聯(lián)動(dòng)延長(zhǎng)了安全管理的觸角，增加了安全管理的手段，加大了安全管理的強(qiáng)度。

防火墻的主要功能是對(duì)進(jìn)出防火墻的數(shù)據(jù)進(jìn)行訪問控制，防火墻無法阻止由于防火墻配置有誤或者繞過防火墻而進(jìn)入網(wǎng)絡(luò)的非法數(shù)據(jù)。數(shù)據(jù)一旦通過防火墻進(jìn)入網(wǎng)絡(luò)后，如果操作系統(tǒng)或者應(yīng)用系統(tǒng)本身存在漏洞，由于防火墻系統(tǒng)是一個(gè)靜態(tài)、被動(dòng)的設(shè)備，這時(shí)候就無能為力了，入侵檢測(cè)系統(tǒng)作為防火墻的一個(gè)有益補(bǔ)充,完全可以勝任此工作。入侵檢測(cè)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出各個(gè)安全域的所有操作進(jìn)行主動(dòng)的實(shí)時(shí)監(jiān)控、審查，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)，同時(shí)進(jìn)行日志記錄，并且入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)防御還能實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)和防火墻及其它特定網(wǎng)絡(luò)安全系統(tǒng)之間的互動(dòng)(如路由器)，動(dòng)態(tài)的保護(hù)網(wǎng)絡(luò)不受惡意的入侵及來自于內(nèi)部的攻擊。

4.病毒防護(hù)

校園網(wǎng)應(yīng)部署一套完整的防病毒解決系統(tǒng)，包括客戶端防病毒、服務(wù)器防病毒、群件系統(tǒng)防病毒、網(wǎng)關(guān)防病毒系統(tǒng)以及統(tǒng)一的升級(jí)、管理、監(jiān)控，但面對(duì)日益猖狂的病毒，特別是蠕蟲型的病毒，單靠一套完整的防病毒系統(tǒng)已經(jīng)難以解決問題。一套優(yōu)秀的防病毒解決方案不但要有一套完整的技術(shù)解決方案，還要有一個(gè)勤奮努力的網(wǎng)絡(luò)管理員和嚴(yán)格的管理制度。

5.數(shù)據(jù)備份與恢復(fù)

備份系統(tǒng)為一個(gè)目的而存在。存檔備份。當(dāng)需要時(shí)，盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場(chǎng)地內(nèi)高速、高容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；場(chǎng)地外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。

一般的數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過的文件，是最有效的備份方法；三是差量備份，備份上次全盤備份之后更改過的所有文件，其優(yōu)點(diǎn)是只需兩組磁帶就可恢復(fù)最后一次全盤備份的磁帶和最后一次差分備份的磁帶。

在進(jìn)行備份的過程中，常使用備份軟件，它一般應(yīng)具有以下功能：備份數(shù)據(jù)的完整性，并具有對(duì)備份介質(zhì)的管理能力；支持多種備份方式，可以定時(shí)自動(dòng)備份，還可設(shè)置備份自動(dòng)啟動(dòng)和停止日期；支持多種文件格式的備份；支持多種校驗(yàn)手段（如字節(jié)校驗(yàn)、CRC循環(huán)冗余校驗(yàn)、快速磁帶掃描），以保證備份的正確性；提供聯(lián)機(jī)數(shù)據(jù)備份功能；支持RAID容錯(cuò)技術(shù)和圖像備份功能。

校園網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)發(fā)展過程。隨著計(jì)算機(jī)技術(shù)的發(fā)展，新技術(shù)的不斷涌現(xiàn)和使用，新的安全問題也不斷涌現(xiàn)，對(duì)網(wǎng)絡(luò)安全的防范策略也要不斷改進(jìn)。加強(qiáng)校園網(wǎng)的安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)。在目前的情況下，應(yīng)當(dāng)全面考慮綜合運(yùn)用防毒軟件、防火墻、數(shù)據(jù)備份等多項(xiàng)措施，互相支持，加強(qiáng)管理，綜合提高校園網(wǎng)絡(luò)的安全性，從而建立起一套真正適合學(xué)校校園網(wǎng)絡(luò)的安全體系。