張 磊

[摘要] 隨著計(jì)算機(jī)的普及和計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,校園網(wǎng)絡(luò)在學(xué)校管理、教學(xué)、科研等方面已經(jīng)占有舉足輕重的地位,隨之而來的網(wǎng)絡(luò)安全與防護(hù)問題也被大家日益重視。本文結(jié)合無錫工藝職業(yè)技術(shù)學(xué)院校園網(wǎng)組建實(shí)例,著重闡述校園網(wǎng)絡(luò)安全防護(hù)技術(shù),并針對(duì)當(dāng)前主要的網(wǎng)絡(luò)攻擊方式,提出應(yīng)對(duì)的策略。

[關(guān)鍵詞] 校園網(wǎng) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊

一、引言

計(jì)算機(jī)在當(dāng)今的社會(huì)已經(jīng)不再是個(gè)新鮮的名詞,隨著計(jì)算機(jī)硬件價(jià)格的一再下調(diào),性能的不斷提升,以及計(jì)算機(jī)網(wǎng)絡(luò)的普及,它已成為工作、生活、娛樂不可或缺的一部分,但計(jì)算機(jī)網(wǎng)絡(luò)安全問題也成為最令人頭疼的事。由于計(jì)算機(jī)網(wǎng)絡(luò)本身具有的開放性、多樣性的特點(diǎn),使得計(jì)算機(jī)網(wǎng)絡(luò)容易受黑客、病毒等惡意軟件和手段的攻擊,給計(jì)算機(jī)網(wǎng)絡(luò)安全管理帶來一定的難度。

二、校園網(wǎng)絡(luò)面臨的重大問題

校園網(wǎng)一般由兩大部分構(gòu)成,一部分是內(nèi)網(wǎng),包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)和辦公自動(dòng)化局域網(wǎng)等構(gòu)成。另一部分是外網(wǎng),包括一些外網(wǎng)服務(wù)器,主要負(fù)責(zé)與教育科研網(wǎng)、互聯(lián)網(wǎng)的連接以及遠(yuǎn)程移動(dòng)辦公用戶等的接入。為了確保信息安全。校園網(wǎng)必須采取技術(shù)手段,實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離,并根據(jù)學(xué)校的實(shí)際情況將校園網(wǎng)劃分出不同的區(qū)域。并制定不同級(jí)別的安全策略。

校園網(wǎng)絡(luò)對(duì)核心部分的設(shè)備要實(shí)施嚴(yán)密的安全防護(hù),統(tǒng)一安裝相應(yīng)級(jí)別的防病毒產(chǎn)品,接受統(tǒng)一管理。統(tǒng)一更新,定期執(zhí)行統(tǒng)一的病毒掃描,杜絕病毒在核心部分設(shè)備上藏匿。邊界問題是針對(duì)于校園內(nèi)部的辦公計(jì)算機(jī);機(jī)房或電子閱覽室的公用計(jì)算機(jī)以及學(xué)生的私人計(jì)算機(jī),這部分的結(jié)點(diǎn)數(shù)量將是非常龐大,這也給網(wǎng)絡(luò)管理帶來了非常大的麻煩。

三、校園網(wǎng)絡(luò)安全管理措施

1.物理安全

(1)VLAN技術(shù)

采用交換式局域網(wǎng)技術(shù)(ATM或以太交換)的校園網(wǎng)絡(luò),可以用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段,根據(jù)不同的地理區(qū)域及邏輯部門的特殊作用,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互間的訪問控制,可以達(dá)到限制用戶非法訪問的目的。

(2)防火墻的設(shè)置

在此,我們采用的端點(diǎn)式防火墻是將防火墻安裝到端點(diǎn)(主機(jī))上,與邊界防火墻共同保障網(wǎng)絡(luò)安全的一種設(shè)計(jì)思想,包括邊界防火墻、端點(diǎn)防火墻和管理中心三部分。它由一個(gè)中心來指定策略,并將策略分發(fā)到端點(diǎn)上執(zhí)行。它可以使用一種策略語言來指定策略,并編譯成內(nèi)部形式存儲(chǔ)于策略數(shù)據(jù)庫中,系統(tǒng)管理軟件將策略分發(fā)到被保護(hù)的主機(jī)上,而主機(jī)根據(jù)安全策略和加密證書來決定包的接受或丟棄,從而對(duì)主機(jī)實(shí)施保護(hù)。

(3)訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的重要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。

①防范非法用戶非法訪問。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。對(duì)于用戶名及口令的保護(hù)方式,對(duì)有攻擊目的的人根本就不是一種障礙。他們可以通過對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽或猜測,得到用戶名及口令。因此,要采取一定的訪問控制手段,防范來自非法用戶的攻擊,只有合法用戶才能訪問合法資源。

②防范合法用戶非授權(quán)訪問。合法用戶的非授權(quán)訪問,是指合法用戶在沒有得到許可的情況下訪問了不該訪問的資源。一般來說,每個(gè)成員的主機(jī)系統(tǒng)中,有一部分信息可以對(duì)外開放,而有些信息則要求保密或具有一定的隱私性。因此,必須對(duì)服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制。

③防范假冒合法用戶非法訪問。從管理以及實(shí)際需求上,是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源,那么,入侵者便會(huì)在用戶下班或關(guān)機(jī)的情況下。假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問。因此,必須從訪問控制上做到防止假冒而進(jìn)行的非法訪問。

2.系統(tǒng)安全

系統(tǒng)安全,是指為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和,包括物理安全和邏輯安全。

(1)物理安全

物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信計(jì)算機(jī)設(shè)備以及相關(guān)設(shè)備的物理保護(hù),免予破壞、丟失等。從物理上講,校園網(wǎng)絡(luò)的安全是脆弱的,任何安置在不能上鎖的地方的設(shè)施,包括通信光纜、電纜、電話線、局域網(wǎng)、遠(yuǎn)程網(wǎng)等都有可能遭到破壞,從而引起校園網(wǎng)絡(luò)的癱瘓,影響正常教學(xué)業(yè)務(wù)的進(jìn)行。

(2)邏輯安全

邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經(jīng)授權(quán)的人,完整性是指計(jì)算機(jī)系統(tǒng)能夠修改和刪除數(shù)據(jù)和程序,可用性是指系統(tǒng)能夠防止非法獨(dú)占計(jì)算機(jī)資源和數(shù)據(jù),合法用戶的正常請求能及時(shí)、正確、安全的得到服務(wù)或回應(yīng)。

3.計(jì)算機(jī)病毒防范

(1)計(jì)算機(jī)病毒的危害

計(jì)算機(jī)病毒是指編制的或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

(2)計(jì)算機(jī)病毒的分類

計(jì)算機(jī)病毒的分類方法有好幾種,按照病毒的傳播方式,可分為5類。

①引導(dǎo)型病毒。引導(dǎo)型病毒在ROM BIOS系統(tǒng)引導(dǎo)時(shí),即取得對(duì)操作系統(tǒng)的控制權(quán),它常駐內(nèi)存,伺機(jī)傳染和破壞。引導(dǎo)型病毒可以感染磁盤的引導(dǎo)扇區(qū),也可以改寫硬盤的分區(qū)表,因此其破壞性極強(qiáng),有時(shí)會(huì)造成整個(gè)硬盤數(shù)據(jù)的丟失。

②文件型病毒。文件型病毒是較為常見的病毒,文件型病毒感染的主要是擴(kuò)展名為COM、EXE、OVL的文件,病毒將自身附著在系統(tǒng)的文件中,當(dāng)文件被執(zhí)行時(shí),病毒也同時(shí)被裝入內(nèi)存。

③混合型病毒?；旌闲筒《揪C合了引導(dǎo)型和文件型病毒的特點(diǎn),它通過感染引導(dǎo)區(qū)和文件,增加了傳染和查殺難度,因此其破壞力比強(qiáng)兩者更強(qiáng)。

④宏病毒。宏病毒是微軟Office出現(xiàn)以后才出現(xiàn)的病毒,它利用Office提供的宏功能,通過DOC文檔及DOT模板進(jìn)行自我復(fù)制及傳播。

⑤蠕蟲病毒。蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等。網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在很短時(shí)間內(nèi)蔓延到大范圍網(wǎng)絡(luò),造成網(wǎng)絡(luò)癱瘓。

(3)計(jì)算機(jī)病毒的防范

對(duì)于計(jì)算機(jī)病毒日益猖獗的這個(gè)現(xiàn)象,我們主要通過以下兩種方法來遏制它的危害性。

①建立防毒安全體系。從網(wǎng)絡(luò)管理和病毒監(jiān)控的角度來說,一是校園網(wǎng)宜選用網(wǎng)絡(luò)版防毒軟件,因?yàn)榫W(wǎng)絡(luò)版防毒軟件的管理功能更強(qiáng)大。二是校園網(wǎng)應(yīng)采用網(wǎng)關(guān)防病毒、服務(wù)器防病毒和客戶端防病毒的層次化防病毒體系,實(shí)現(xiàn)對(duì)病毒的全面防范。

②定期建立備份。在內(nèi)網(wǎng)中要對(duì)重要數(shù)據(jù)進(jìn)行備份。用戶的一次錯(cuò)誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對(duì)性的災(zāi)難,可能對(duì)用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護(hù)內(nèi)網(wǎng)的安全,必須建立完備的備份系統(tǒng)和備份策略,對(duì)重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。

四、結(jié)束語

隨著校園計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,使我們不得不面對(duì)其帶來的種種問題,在保證網(wǎng)絡(luò)性能不下降的前提下,使我們的網(wǎng)絡(luò)向著健康、穩(wěn)定、積極向上的方向發(fā)展。

參考文獻(xiàn):

[1]王雷.網(wǎng)絡(luò)安全問題初探[J].河南職工醫(yī)學(xué)院學(xué)報(bào),2004.

[2]高文蓮.高校校園網(wǎng)安全設(shè)計(jì)與實(shí)現(xiàn)[J].長治學(xué)院學(xué)報(bào),2005.

[3]張相鋒,孫玉芳.入侵檢測系統(tǒng)發(fā)展的研究綜述[J].計(jì)算機(jī)科學(xué),2003.