李躍明

1校園網(wǎng)絡(luò)一般采用的安全技術(shù)類型

1.1物理隔離網(wǎng)絡(luò)

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。實(shí)現(xiàn)物理隔離的方法有：(1)一人雙機(jī)：在資金充足的情況下，給需要的人員配備2臺(tái)電腦，1臺(tái)接入互聯(lián)網(wǎng)，1臺(tái)只接入內(nèi)部網(wǎng)。(2)網(wǎng)絡(luò)安全隔離卡：在電腦上加裝1塊網(wǎng)絡(luò)安全隔離卡，并再配備l塊硬盤，隨時(shí)根據(jù)使用者的要求，在內(nèi)外網(wǎng)之間進(jìn)行切換。

1.2防火墻技術(shù)

目前，常見的防火墻主要有三類：(1)分組過濾型防火墻：數(shù)據(jù)分組過濾或包過濾，包過濾原理和技術(shù)可以認(rèn)為是各種網(wǎng)絡(luò)防火墻的基礎(chǔ)構(gòu)件。(2)應(yīng)用代理型防火墻：應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。(3)復(fù)合型防火墻：復(fù)合型防火墻將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用。

目前出現(xiàn)的新技術(shù)類型主要有監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測(cè)系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢(shì)。

1.3抗攻擊網(wǎng)關(guān)

抗攻擊網(wǎng)關(guān)可以避免拒絕服務(wù)攻擊(DoS)和連接耗盡攻擊等網(wǎng)絡(luò)攻擊帶來的問題，用戶只需將抗攻擊網(wǎng)關(guān)架設(shè)在路由器之前就可以使用，通過獨(dú)立的監(jiān)控系統(tǒng)就可以實(shí)時(shí)監(jiān)控和報(bào)警，并可以給出安全事件報(bào)告。目前，抗攻擊網(wǎng)關(guān)的類型主要有入侵檢測(cè)、指紋識(shí)別、免疫型等。入侵檢測(cè)和指紋識(shí)別需要大量消耗CPU和內(nèi)存才能計(jì)算識(shí)別出攻擊，然后，給出過濾規(guī)則，這種機(jī)制本身就容易遭受拒絕服務(wù)攻擊，因此，免疫型抗攻擊網(wǎng)關(guān)是今后發(fā)展的趨勢(shì)。

1.4防病毒網(wǎng)關(guān)

防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)病毒時(shí)，可能已經(jīng)感染了很多計(jì)算機(jī)，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí)，管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。

1.5認(rèn)證

目前，常用的身份識(shí)別技術(shù)主要是基于RADIUS的鑒別、授權(quán)和管理(AAA)系統(tǒng)。RADIUS(remote authcntica2tion diaI inuser service)是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶或服務(wù)器模式。它包含有關(guān)用戶的專門簡(jiǎn)檔，如：用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費(fèi)和審查的得到接受的標(biāo)準(zhǔn)。

1.6虛擬專用網(wǎng)

VPN(virtualp rivatenetwork)即虛擬專用網(wǎng)建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接，使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時(shí)，能夠和在本地訪問一樣的資源，同時(shí)，不用擔(dān)心泄密的問題。

1.7入侵檢測(cè)和集中網(wǎng)管

入侵檢測(cè)(intrusiondetecfion)是對(duì)入侵行為的發(fā)覺，是一種增強(qiáng)系統(tǒng)安全的有效方法，能檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。集中網(wǎng)管主要體現(xiàn)在對(duì)網(wǎng)絡(luò)管理的集中上，網(wǎng)管集中的實(shí)現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實(shí)現(xiàn)對(duì)不同廠商網(wǎng)管系統(tǒng)的集中管控。

2各種安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用

(1)物理隔離網(wǎng)絡(luò)技術(shù)的應(yīng)用。學(xué)校的財(cái)務(wù)信息數(shù)據(jù)和辦公機(jī)密文件及檔案應(yīng)是對(duì)網(wǎng)絡(luò)安全方面要求級(jí)別最高的，并且按照國家的相關(guān)規(guī)定，對(duì)此類數(shù)據(jù)系統(tǒng)互聯(lián)網(wǎng)絡(luò)是有嚴(yán)格要求的，在考慮它們的網(wǎng)絡(luò)信息安全技術(shù)上應(yīng)當(dāng)采取物理隔離網(wǎng)絡(luò)，使之與接入互聯(lián)網(wǎng)的校園網(wǎng)絡(luò)完全分開。

(2)防火墻技術(shù)的應(yīng)用。主要設(shè)置在校園網(wǎng)絡(luò)入口處，防范來自校園網(wǎng)絡(luò)外部的威脅，如黑客的攻擊，利用校園網(wǎng)絡(luò)傳播病毒等，同時(shí)對(duì)學(xué)校的WEB網(wǎng)站提供安全保障。

(3)抗攻擊網(wǎng)關(guān)的應(yīng)用。由于DOS和DDOS攻擊，或紅色代碼和尼姆達(dá)病毒引發(fā)的復(fù)合型攻擊導(dǎo)致校園骨干網(wǎng)的路由器、交換機(jī)等設(shè)備，無法正常工作，甚至是全網(wǎng)癱瘓，則可在校園網(wǎng)絡(luò)內(nèi)部路由器的前面應(yīng)用抗攻擊網(wǎng)關(guān)來解決。也可在校園網(wǎng)絡(luò)入口設(shè)置抗攻擊網(wǎng)關(guān)，保護(hù)校園網(wǎng)絡(luò)內(nèi)部的網(wǎng)站，服務(wù)器和主機(jī)不受攻擊。

(4)防病毒網(wǎng)關(guān)的應(yīng)用。校園網(wǎng)絡(luò)中電腦數(shù)量多，應(yīng)用復(fù)雜，很難統(tǒng)一安裝防病毒軟件，導(dǎo)致網(wǎng)絡(luò)安全管理的難度很大，為此可在校園網(wǎng)絡(luò)入口安置防病毒網(wǎng)關(guān)，保障了校園網(wǎng)的邊界安全。同時(shí)也可把防病毒網(wǎng)關(guān)部署在校園網(wǎng)服務(wù)器區(qū)前這個(gè)關(guān)鍵位置，保障校園網(wǎng)服務(wù)器的安全。

(5)認(rèn)證技術(shù)的應(yīng)用。校園網(wǎng)絡(luò)中的用戶類別可分為多種，不同的用戶在身份驗(yàn)證、授權(quán)、是否記費(fèi)上的要求不一樣，為此可用RADIUS來進(jìn)行認(rèn)證，如學(xué)生用戶在宿舍上網(wǎng)接入是需要記費(fèi)的，就可采用以太網(wǎng)中的虛擬寬帶拔號(hào)，通過RADIUS服務(wù)來認(rèn)證記費(fèi)。

(6)虛擬專用網(wǎng)的應(yīng)用。為了校園網(wǎng)的安全，學(xué)校在校園網(wǎng)建設(shè)時(shí)，通常是將公網(wǎng)與私網(wǎng)進(jìn)行物理隔離或設(shè)置防火墻阻隔，使外網(wǎng)無法訪問內(nèi)網(wǎng)資源。這樣勢(shì)必導(dǎo)致分校區(qū)及住在校外的教師和學(xué)生在家中無法使用校園網(wǎng)內(nèi)部資源。要解決這種問題，虛擬專用網(wǎng)就是一種安全、低廉的解決方案。

(7)入侵檢測(cè)的應(yīng)用。入侵檢測(cè)技術(shù)IDS作為防火墻的合理補(bǔ)充，能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，它一般安置在防火墻之后，是校園網(wǎng)絡(luò)入口的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，可以防止或減輕網(wǎng)絡(luò)威脅。

3結(jié)束語

總之，校園網(wǎng)絡(luò)的信息安全的保障是各種網(wǎng)絡(luò)安全技術(shù)的綜合合理應(yīng)用，在有了各種網(wǎng)絡(luò)安全技術(shù)應(yīng)用的情況下，要想能充分地對(duì)信息數(shù)據(jù)進(jìn)行安全保護(hù)，還需要學(xué)校有針對(duì)性出臺(tái)相對(duì)應(yīng)的信息安全保障制度和成立信息安全事件處理組織機(jī)構(gòu)。通過技術(shù)、制度、組織機(jī)構(gòu)結(jié)合來全面應(yīng)對(duì)校園網(wǎng)絡(luò)中出現(xiàn)的各種網(wǎng)絡(luò)安全威脅。