王書(shū)珣

[摘要]隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。校園網(wǎng)絡(luò)作為信息化建設(shè)的主要載體，校園網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題?；诋?dāng)前高校網(wǎng)絡(luò)安全的現(xiàn)狀及特點(diǎn)，提出相應(yīng)的控制策略。

[關(guān)鍵詞]網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪(fǎng)問(wèn)

中圖分類(lèi)號(hào)：G43文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520051－01

一、引言

隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展，教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。隨著各高校網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶(hù)的快速增長(zhǎng)，校園網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。

二、網(wǎng)絡(luò)系統(tǒng)的安全威脅

由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP，IPX/SPX，NETBEUA），而這些網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)。所以，網(wǎng)絡(luò)系統(tǒng)可能存在的安全威脅來(lái)自以下方面：（1）操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC；（2）防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)；（3）來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性；（4）采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；（5）未能對(duì)來(lái)自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制；（6）應(yīng)用服務(wù)的安全。許多應(yīng)用服務(wù)系統(tǒng)在訪(fǎng)問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。

三、校園網(wǎng)絡(luò)安全策略

安全策略是指一個(gè)特定環(huán)境中，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當(dāng)?shù)臐M(mǎn)足需求的策略方案，然后才考慮技術(shù)上如何實(shí)施。

１．物理安全策略。保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web 服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線(xiàn)攻擊等。它主要包括兩個(gè)方面：（1）環(huán)境安全。對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；（2）設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。

２．訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。（1）入網(wǎng)訪(fǎng)問(wèn)控制。入網(wǎng)訪(fǎng)問(wèn)控制為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供了第一層訪(fǎng)問(wèn)控制，它控制哪些用戶(hù)能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源；控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。（2）網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶(hù)和用戶(hù)組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶(hù)和用戶(hù)組可以訪(fǎng)問(wèn)哪些目錄、子目錄、文件和其他資源； 可以指定用戶(hù)對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。（3）目錄級(jí)安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶(hù)對(duì)目錄、文件、設(shè)備的訪(fǎng)問(wèn)。用戶(hù)在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶(hù)還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。（4）屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪(fǎng)問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。（5）網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶(hù)使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶(hù)修改、刪除重要信息或破壞數(shù)據(jù)； 可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪(fǎng)問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。（6）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪(fǎng)問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，如果非法訪(fǎng)問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶(hù)將被自動(dòng)鎖定。（7）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。端口是虛擬的“門(mén)戶(hù)”，信息通過(guò)它進(jìn)入和駐留于計(jì)算機(jī)中，網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶(hù)。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶(hù)端采取控制，用戶(hù)必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證之后，才允許用戶(hù)進(jìn)入用戶(hù)端。然后，用戶(hù)端和服務(wù)器端再進(jìn)行相互驗(yàn)證。

３．防火墻控制策略。防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪(fǎng)問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)（可能是軟件或硬件或者是兩者并用），用來(lái)限制外部非法（未經(jīng)許可）用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源，通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入，防止偷竊或起破壞作用的惡意攻擊。

４．信息加密策略。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密是對(duì)源端用戶(hù)到目的端用戶(hù)的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。信息加密過(guò)程是由各種加密算法來(lái)具體實(shí)施。多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。

５．網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。入侵檢測(cè)（IntrusionDeteetion）的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。入侵檢測(cè)應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來(lái)發(fā)現(xiàn)合法用戶(hù)濫用特權(quán)，還可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

６．備份和鏡像技術(shù)。用備份和鏡像技術(shù)提高完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施，它是指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份，一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作，若其中一個(gè)出現(xiàn)故障，另一個(gè)仍可以繼續(xù)工作。

７．有害信息的過(guò)濾。對(duì)于校園網(wǎng)絡(luò)，由于使用人群的特定性，必須要對(duì)網(wǎng)絡(luò)的有害信息加以過(guò)濾，防止一些色情、暴力和反動(dòng)信息危害學(xué)生的身心健康，必須采用一套完整的網(wǎng)絡(luò)管理和信息過(guò)濾相結(jié)合的系統(tǒng)。實(shí)現(xiàn)對(duì)校園內(nèi)電腦訪(fǎng)問(wèn)互聯(lián)網(wǎng)進(jìn)行有害信息過(guò)濾管理。

８．網(wǎng)絡(luò)安全管理規(guī)范。網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴(lài)安全管理規(guī)范的支持，在網(wǎng)絡(luò)安全中，除采用技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)的規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度； 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

四、結(jié)語(yǔ)

本論文描述了校園網(wǎng)絡(luò)安全的控制策略，目的在于為用戶(hù)提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞?？梢允棺x者有對(duì)校園網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。