樓曉峰 夏玲軍

[摘要]在歸納現(xiàn)有網(wǎng)絡信息安全技術的基礎上,把校園網(wǎng)絡信息安全措施分為以防火墻技術、入侵檢測技術等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施,在校園網(wǎng)上實現(xiàn)以防火墻技術為核心的硬件級保護和以防病毒技術為核心的軟件級保護相結合的軍校校園網(wǎng)絡信息安全防護體系。

[關鍵詞]校園網(wǎng)網(wǎng)絡信息安全信息安全信息安全措施

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1120037-01

一、引言

網(wǎng)絡信息安全是當今信息安全的核心研究領域,其涉及的基本技術主要有:防火墻技術、入侵檢測技術、訪問控制技術、網(wǎng)絡安全漏洞掃描技術、網(wǎng)絡防病毒技術、信息加密技術、信息確認技術等。目前,企業(yè)網(wǎng)絡信息安全由于電子商務的需要已經(jīng)有了較深入研究,而校園網(wǎng)絡信息安全研究則不夠深入?？紤]到學校信息資源中既有需要保密的人事財務信息、教學科研信息、檔案信息,也有具備一定透明度的可查詢信息和共享信息,校園網(wǎng)絡信息安全可簡化層級、強化重點,其技術措施可按硬件級措施和軟件級措施架構。茲探討如下:

二、校園網(wǎng)安全隱患

校園網(wǎng)絡作為學校重要的基礎設施,擔當著學校教學、科研、管理和對外交流等許多角色。校園網(wǎng)安全狀況直接影響著學校的教學活動。在網(wǎng)絡建成的初期,安全問題可能還不突出,隨著應用的深入,校園網(wǎng)上各種數(shù)據(jù)會急劇增加,各種各樣的安全問題開始困擾網(wǎng)絡管理人員。

(一)安全的表現(xiàn)形式

由于學校是以教學活動為中心的場所,網(wǎng)絡的安全問題也有自己的特點。主要表現(xiàn)在:1.不良信息的傳播,目前Internet上各種信息良莠不齊,有關色情、暴力、反動內(nèi)容的網(wǎng)站泛濫;2.病毒的危害,計算機病毒是校園網(wǎng)安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網(wǎng)絡傳播的病毒,其傳播速度、影響面、清除難度、破壞力等都不是單機病毒所能比擬的,這是目前校園網(wǎng)安全問題主要的困擾;3.非法訪問,校園網(wǎng)在接入Internet后,便面臨著內(nèi)部和外部黑客雙重攻擊的危險,而尤以內(nèi)部攻擊為甚;4.惡意破壞;5.口令入侵。

(二)威脅安全的因素

威脅校園網(wǎng)安全的因素主要有以下幾個方面:1.物理因素,主要是指硬件本身及其外圍環(huán)境影響;2.技術因素,校園網(wǎng)技術涉及到網(wǎng)絡技術、防火墻、病毒防護、數(shù)據(jù)恢復與備份等多種技術;3.管理因素,正確規(guī)范管理是保證校園網(wǎng)安全的重要措施;4.使用者因素,盡量避免使用者不合理操作帶來的不安全隱患;5.宣傳教育因素。

三、安全防范技術

校園網(wǎng)具有訪問方式多樣、用戶群龐大、網(wǎng)絡行為突發(fā)性較高等特點。網(wǎng)絡的安全問題需要從網(wǎng)絡規(guī)劃設計階段就仔細考慮,并在實際運行中嚴格管理。為保證校園網(wǎng)絡的安全性,除了規(guī)劃網(wǎng)絡拓撲結構,構建校園內(nèi)部虛擬專用網(wǎng)(VPN),通過使用VPN技術,即附加的安全隧道、用戶認證和訪問控制等技術,可以使分布于不同地理位置上的校園網(wǎng)各節(jié)點之間進行數(shù)據(jù)交換,有效避免重要數(shù)據(jù)遭受惡意用戶竊取,從而實現(xiàn)對重要信息的安全傳輸,一般還采用以下一些防范技術。

(一)硬件級措施

在網(wǎng)絡信息安全技術中,防火墻技術、入侵防御技術、入侵檢測技術、訪問控制技術等可歸為硬件級措施。這些措施的特點是一般需要硬件支持并由建網(wǎng)單位統(tǒng)一實施,而不需要客戶端配合。在硬件級措施支持下,可實現(xiàn)校園網(wǎng)與公網(wǎng)之間的強制性隔斷,從而實現(xiàn)校園網(wǎng)絡信息相對安全,用防火墻硬件措施屏蔽了Internet公網(wǎng)上的有害信息和黑客入侵,這是校園常采用的必備防護設備。

入侵檢測從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息并分析這些信息,對有違反安全策略的行為和遭到襲擊的跡象進行報警,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)。其優(yōu)點是在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測保護。入侵檢測被認為是防火墻之后的第二道安全閘門?？捎糜趯σ恍┓掌?微機進行有害信息和黑客入侵的檢測、審計。入侵防役設備是串接在所保護的設備前端,對網(wǎng)絡行為進行檢測分析,對所保護的設備有害及可疑行為進行主動阻斷攔截,主要用于對重要服務器防止有害信息和黑客入侵的進行及時主動的防御,因而,保證了Intranet校園內(nèi)網(wǎng)的一定的安全。

校園網(wǎng)絡的硬件級較好的部署時在網(wǎng)絡出口處設置一防火墻,對網(wǎng)絡出口的邊界進行了安全隔離,制定相應的訪問控制策略,在重要的服務器前設置入侵防御,對重要服務器進行有害信息和黑客入侵的防御。但是這些措施無法發(fā)現(xiàn)夾雜在網(wǎng)絡正常訪問中的惡意流量,還會存在很大的安全隱患,這就需要網(wǎng)絡系統(tǒng)和每臺服務器/計算機利用軟件做好自身的防護,提升抗危害能力。

(二)軟件級措施

由于傳統(tǒng)的防火墻技術和攻擊檢測系統(tǒng)僅僅檢查數(shù)據(jù)包的特定部分,而當前的安全威脅來自網(wǎng)絡的各個層面,且不少來自網(wǎng)絡通信的數(shù)據(jù)部分,例如病毒常通過以下途徑感染和傳播:

1.訪問載有病毒的網(wǎng)頁:互聯(lián)網(wǎng)中的很多網(wǎng)頁都被嵌入木馬等病毒,一旦訪問載有病毒的網(wǎng)頁,病毒將通過網(wǎng)絡傳播的校園網(wǎng)內(nèi)部,輕則感染并破壞客戶機,重則感染網(wǎng)內(nèi)的其他機器乃至造成網(wǎng)絡癱瘓。

2.收發(fā)病毒郵件:電子郵件已成為日常生活中不可或缺的部分,但同時電子郵件頁成為病毒傳播的最大載體,大量的垃圾郵件以及欺騙郵件已嚴重影響入場工作和生活,如之前在網(wǎng)絡上大肆爆發(fā)的“熊貓燒香”病毒,給網(wǎng)絡安全造成嚴重的威脅。

因此,黑客可能了解網(wǎng)絡在數(shù)據(jù)層面的安全漏洞,采取通過病毒、蠕蟲或其他攻擊行為,對網(wǎng)絡資源造成不同程度的損害,尤其是通過病毒,蠕蟲(PE_LOOKED.KO)、特洛伊木馬(TROJ_Generic)、和后門程序(PE_LOOKED.JY)達到攻擊和破壞目的。

所以,在網(wǎng)絡安全技術中有必要采取病毒技術、信息加密技術、信息確認技術等軟件級措施,以配合硬件級測試構成完善的信息安全防護體系。軟件級措施的特點時一般不需要專門硬件支持但需要客戶端配合,通過在服務器端安裝網(wǎng)絡版的服務Server軟件,在客戶端安裝Client軟件實現(xiàn)S/C模式的安全操作,例如要實現(xiàn)網(wǎng)絡環(huán)境下的病毒防治,僅靠單機版的殺毒軟件是不可能的,必須安裝網(wǎng)絡版的殺毒軟件,這樣才能實現(xiàn)殺毒軟件的遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒的功能。在軟件級措施的支持下,可實現(xiàn)校園網(wǎng)與公網(wǎng)之間的交換信息排查,有效隔離帶病毒信息,身份不符用戶信息等,實現(xiàn)校園網(wǎng)絡信息安全。

還有統(tǒng)一的身份認證系統(tǒng)。身份認證技術是指向系統(tǒng)出示自己的身份證明,系統(tǒng)查明用戶是否具有所請求資源的存儲和使用權,用戶必須通過認證才能獲得權限之內(nèi)的訪問資源。建立了全網(wǎng)統(tǒng)一的身份認證系統(tǒng),不僅有效地防止了IP地址的盜用,而且有效的避免黑客攻擊,從而在整體上提高了用戶信息的安全性和可靠性,這也是實現(xiàn)數(shù)字化信息化校園的基礎。目前較

為可行的方式為分級授權,可以為不同的用戶開放不同權限,比如校管理層擁有網(wǎng)絡全部訪問權限。一般的教師擁有一定權限,這部分可以精確到個人,也就是實行實名精確到個人的授權,對于普通學生開放受限的GUEST帳戶,分級管理保障信息的安全。

同時,我們對不同的信息進行分類管理:對機密信息嚴格規(guī)定只能用于不聯(lián)網(wǎng)的計算機,決不上網(wǎng);專用內(nèi)部信息使用專網(wǎng)連接,與校網(wǎng)分離,有的還設置加密傳遞;校內(nèi)公開信息限校內(nèi)訪問,與Internet公眾網(wǎng)間設置防火墻隔離。開展定期檢查,以提高安全意識。

(三)網(wǎng)絡數(shù)據(jù)備份與恢復

數(shù)據(jù)是整個校園網(wǎng)信息安全的核心。設備可以替換,但數(shù)據(jù)被破壞或丟失,其損失無法計量。所以設計一套完整的數(shù)據(jù)備份和恢復系統(tǒng)是校園網(wǎng)迫切需要的。它要考慮多方面因素,如備份/恢復數(shù)據(jù)量大小、應用數(shù)據(jù)中心和備援數(shù)據(jù)中心之間的距離及數(shù)據(jù)傳輸方式、災難發(fā)生時所要求的恢復速度、備援中心的管理及投入資金等。

四、小結

綜上所述,現(xiàn)有網(wǎng)絡信息安全技術包括防火墻技術、入侵檢測技術、訪問控制技術、網(wǎng)絡安全漏洞掃描技術、網(wǎng)絡防病毒技術、信息加密技術、信息確認技術等,校園網(wǎng)絡信息安全措施可通過綜合以防火墻技術、入侵檢測技術等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施來實現(xiàn)。在學校的校園網(wǎng)上實踐的以防火墻技術為核心的硬件級保護和以防病毒技術為核心的軟件級保護相結合的校園網(wǎng)絡信息安全防護體系證明了這一點。

參考文獻:

[1]MichaelE.whitman等著,齊立博譯,信息安全原理(第二版),清華大學出版社,2006,3(1).

[2]馮登國,國內(nèi)外信息安全現(xiàn)狀及發(fā)展趨勢(摘編),信息網(wǎng)絡安全,20O7(1):9-11.

[3]熊心志,計算機網(wǎng)絡信息安全初探,計算機科學,2006,55(B12):60-62.

[4]李俊婷等,計算機網(wǎng)絡信息安全及其防護措施,計算機與網(wǎng)絡,2007(15):45-46.

[5]鄧志宏等,基于PKI的網(wǎng)絡信息安全模型的研究與設計,計算機工程與設計,2007,28(2):549-550,594.

[6]段友祥等,基于cA技術的網(wǎng)絡信息安全系統(tǒng)設計實踐,計算機工程與設計,2006,27(6):1014-101.

[7]沈吉鋒等,校園網(wǎng)安全防范策略,中國科教創(chuàng)新導刊,2009,2:165.