李珊珊 張潤(rùn)

摘要：隨著信息網(wǎng)的高速發(fā)展，每個(gè)高校都已經(jīng)擁有自己的校園網(wǎng)體系。它的覆蓋服務(wù)著學(xué)校師生的生活，學(xué)習(xí)，人事，教學(xué)，為了校園網(wǎng)的安全、本文將從安全技術(shù)的應(yīng)用與體系為校園網(wǎng)的防護(hù)提供參考。

關(guān)鍵詞：校園網(wǎng)體系;信息安全;安全體系;

引言

如今網(wǎng)絡(luò)攻擊的行為在我們的生活中無(wú)處不在，例如我們能頻繁的收到一些針對(duì)個(gè)人信息的垃圾郵件或者信息。而且一般具有計(jì)算機(jī)常識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊，所以導(dǎo)致的各種網(wǎng)絡(luò)病毒頻繁的爆發(fā)和泛濫?？上攵@網(wǎng)的信息系統(tǒng)安全面臨的局勢(shì)是十分嚴(yán)峻的，因此建立一個(gè)動(dòng)態(tài)的防御體系是十分重要的。

1.校園網(wǎng)研究背景及其意義

在國(guó)際上包括國(guó)內(nèi)，校園網(wǎng)其實(shí)至今都沒(méi)有一個(gè)十分準(zhǔn)確，權(quán)威的定義。而大部份專(zhuān)業(yè)人士解釋為校園網(wǎng)是利用現(xiàn)代網(wǎng)絡(luò)技術(shù)，多媒體技術(shù)以及Internet技術(shù)等基礎(chǔ)建立起來(lái)，可以連接學(xué)校內(nèi)部子網(wǎng)和分散于校園內(nèi)計(jì)算機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)。這個(gè)結(jié)構(gòu)可以為師生提供教學(xué)、科研、綜合信息并具有交互功能和專(zhuān)業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)就是校園網(wǎng)。^[2]在這個(gè)校園網(wǎng)系統(tǒng)中必須有實(shí)用的軟硬件，其中一部分保證這個(gè)系統(tǒng)能運(yùn)行，保證信息可以和外界進(jìn)行相互交流，一部分是作為防御，堪比是這個(gè)系統(tǒng)的保護(hù)膜，這個(gè)保護(hù)膜更像生物中的細(xì)胞膜，對(duì)于有益的信息它能進(jìn)行交換，對(duì)于病毒進(jìn)行排斥、消滅;甚至于可以產(chǎn)生抗體。^[1]

2.校園網(wǎng)中常見(jiàn)的安全問(wèn)題：

（1）非法授權(quán)訪問(wèn)：對(duì)一些網(wǎng)絡(luò)設(shè)備及其信息資源非法的進(jìn)行使用或者越權(quán)使用。

（2）非法使用：非法的用戶(hù)以未授權(quán)方式使用。例如攻擊者通過(guò)猜測(cè)帳號(hào)和密碼的組合冒充他人的合法身份，然后進(jìn)入計(jì)算機(jī)系統(tǒng)使用資源。還有就是盜用他人的信息獲取重要的數(shù)據(jù)或者信息。

（3）拒絕服務(wù)：服務(wù)器拒絕合法用戶(hù)正常訪問(wèn)信息或資源的請(qǐng)求。例如，攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器不斷發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)。

（4）數(shù)據(jù)篡改（破壞數(shù)據(jù)完整性）：攻擊者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行目的般的修改、刪除、延誤、重排序及插入虛假消息等操作，破壞數(shù)據(jù)的完整性，造成數(shù)據(jù)的不準(zhǔn)確。

（5）病毒的侵入與惡意攻擊：在進(jìn)行信息交流過(guò)程中，惡意的軟件或者文件攜帶了傳播病毒或者惡意代碼。

（6）干擾系統(tǒng)的正常運(yùn)行：指改變系統(tǒng)的正常運(yùn)行，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。

3.校園網(wǎng)的安全需求分析：

主要體現(xiàn)在以下幾個(gè)方面：

（1）攻擊防范的需求：網(wǎng)絡(luò)信息從誕生發(fā)展到現(xiàn)在，也相繼伴生出了一些協(xié)議，而TCP/IP協(xié)議（傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議）成為了當(dāng)今全世界“人與人之間的牽手協(xié)議”，而由于它開(kāi)放的特性，尤其是IPv4和IPv6的出現(xiàn)，缺少足夠的安全特性的考慮，因此帶來(lái)很大的安全風(fēng)險(xiǎn)，例如眾所周知的IP地址被竊取、假冒、網(wǎng)絡(luò)端口掃描和拒絕服務(wù)攻擊等?？梢?jiàn)必須提供對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施。

（2）安全管理與安全技術(shù)需求：要對(duì)于訪問(wèn)的內(nèi)部校園網(wǎng)進(jìn)行規(guī)范化，禁止非校園用戶(hù)未經(jīng)許可訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)，同時(shí)要完善QOS的技術(shù)（網(wǎng)絡(luò)能夠利用各種基礎(chǔ)技術(shù)，為指定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力），保證數(shù)據(jù)在安全的機(jī)制下更好的完成傳輸。同時(shí)要加強(qiáng)數(shù)據(jù)加密性的需求，通過(guò)網(wǎng)絡(luò)監(jiān)控與防范體系系統(tǒng)檢測(cè)數(shù)據(jù)泄密攻擊行為并及時(shí)的進(jìn)行阻斷。

（3）用戶(hù)管理的需求：當(dāng)校園網(wǎng)用戶(hù)接入內(nèi)部網(wǎng)絡(luò)時(shí)需要對(duì)這些用戶(hù)的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，并采取相應(yīng)的身份信息認(rèn)證步驟，確定是否是本人，同時(shí)還要對(duì)用戶(hù)的訪問(wèn)資源進(jìn)行限制，對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制等，避免出現(xiàn)用戶(hù)進(jìn)入高危的網(wǎng)絡(luò)頁(yè)面。同時(shí)進(jìn)入網(wǎng)絡(luò)頁(yè)面時(shí)可以插入相應(yīng)安全信息操作的提示。

4.校園網(wǎng)安全防護(hù)體系

（1）安全技術(shù)層：常見(jiàn)的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描、安全評(píng)估分析、入侵檢測(cè)與取證、網(wǎng)絡(luò)陷阱、備份恢復(fù)和病毒防御等。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全體系中直觀的部分，缺少任何一種都會(huì)有巨大的危險(xiǎn)，因?yàn)榫W(wǎng)絡(luò)安全防范是一個(gè)整體概念。這時(shí)就需要我們?cè)诎踩呗缘闹笇?dǎo)下，統(tǒng)一規(guī)劃、分步實(shí)施。在網(wǎng)絡(luò)安全體系中它們不能簡(jiǎn)單地堆砌，而是要合理部署，互聯(lián)互動(dòng)，形成一個(gè)有機(jī)的整體。

（2）安全管理：安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心。代表了安全防范體系中人的因素。安全不是簡(jiǎn)單的技術(shù)問(wèn)題，不落實(shí)到管理，再好的技術(shù)、設(shè)備也是徒勞的。一個(gè)有效的安全防范體系應(yīng)該是以安全策略為核心，以安全技術(shù)為支，以安全管理為落實(shí)。安全管理不僅包括行政意義上的安全管理，更主要的是對(duì)安全技術(shù)和安全策略的管理。通過(guò)安全制度的落實(shí)，獲得有效的網(wǎng)絡(luò)安全保障。

（3）用戶(hù)的培訓(xùn)與管理：最終用戶(hù)的安全意識(shí)是信息系統(tǒng)是否安全的決定因素，因此對(duì)校園網(wǎng)絡(luò)用戶(hù)的安全培訓(xùn)是整個(gè)安全體系中重要、不可或缺的一部分，通過(guò)網(wǎng)絡(luò)安全服務(wù)商，定期對(duì)貴州師范大學(xué)的網(wǎng)絡(luò)管理人員、安全管理制度、網(wǎng)絡(luò)設(shè)備進(jìn)行安全巡查、技術(shù)咨詢(xún)和技術(shù)檢測(cè)，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)解決。安全服務(wù)內(nèi)容包括系統(tǒng)級(jí)安全服務(wù)，應(yīng)用級(jí)安全服務(wù)，客戶(hù)級(jí)應(yīng)用安全服務(wù)。

5.校園網(wǎng)防火墻部署方案設(shè)計(jì)

防火墻分為三部分

（1）網(wǎng)絡(luò)防火墻（Network Firewall）：它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)邊界式防火墻相比，它多了一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。不過(guò)在功能上與傳統(tǒng)的邊界式防火墻類(lèi)似。

（2）主機(jī)防火墻（Host Firewall）：通常采用的是純軟件產(chǎn)品，用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。這也是傳統(tǒng)邊界式防火墻所不具有的，也算是對(duì)傳統(tǒng)邊界式防火墻在安全體系方面的一個(gè)完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護(hù)，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間?？梢哉f(shuō)達(dá)到了應(yīng)用層的安全防護(hù)，比起網(wǎng)絡(luò)層更加徹底。^[5]

6.總結(jié)

校園網(wǎng)信息安全是復(fù)雜 的系統(tǒng)工程，除了必要的硬件和技術(shù)作為有力支撐外，用戶(hù)的安全意識(shí) 不斷的提高是非 常重要的，同時(shí)建立信息安全評(píng)估和審計(jì)體系也是必要的。

參考文獻(xiàn)：

[1]? 袁修春.校園網(wǎng)安全防范體系.[D].西北師范大學(xué).計(jì)算機(jī)應(yīng)用技術(shù).2005，05

[2]? 鎖志海，任煒，劉宏磊，徐墨，羅軍鋒，西安交通大學(xué)：探索“多校區(qū)”業(yè)務(wù)服務(wù)新模式，[J]中國(guó)教育網(wǎng)絡(luò)，2019.09

[3]? 鄭先偉，CCERT月報(bào)：防范大數(shù)據(jù)平臺(tái)信息泄漏風(fēng)險(xiǎn)[J]. 中國(guó)教育網(wǎng)絡(luò)，2019.09

[4]? 張鵬，謝曉堯，劉志杰，景鳳宣：貴州師范大學(xué)花溪校區(qū)WLAN解決方案的研究與設(shè)計(jì)[J].通信技術(shù)，2013.11

[5]? 駱耀祖，葉宇風(fēng). 網(wǎng)絡(luò)管理技術(shù)[M]. 北京. 人民郵電出版社.? 2015.06

（作者單位：貴州師范大學(xué)）