朱 震

（桂林電子科技大學(xué)信息科技學(xué)院，廣西 桂林 541004）

高校內(nèi)部網(wǎng)絡(luò)安全分析與解決策略

朱 震

（桂林電子科技大學(xué)信息科技學(xué)院，廣西 桂林 541004）

隨著電腦的廣泛應(yīng)用大多數(shù)高校都在推行數(shù)字化辦公，這使得每天所要處理的相關(guān)信息也在迅速地增加,為了提高辦公效率，各高校都在加強(qiáng)網(wǎng)絡(luò)信息平臺(tái)的建設(shè),尤其是高校內(nèi)部網(wǎng)絡(luò)的建設(shè),以此來(lái)管理數(shù)量龐大的信息。高校內(nèi)部網(wǎng)絡(luò)安全問(wèn)題也因此成為各高校在信息化建設(shè)中面臨的重大問(wèn)題之一。文章對(duì)高校內(nèi)部網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析指出硬件、軟件和網(wǎng)絡(luò)用戶等四個(gè)方面存在的安全隱患，并針對(duì)這些隱患進(jìn)行分析和評(píng)估并提出相應(yīng)的安全防護(hù)策略。

高校內(nèi)部網(wǎng)絡(luò)；安全分析；解決方案

1 高校內(nèi)部網(wǎng)絡(luò)安全隱患綜合分析

1.1 網(wǎng)絡(luò)設(shè)備的安全問(wèn)題

現(xiàn)在高校內(nèi)部網(wǎng)絡(luò)的規(guī)模在不斷擴(kuò)大需要大量高質(zhì)量網(wǎng)絡(luò)設(shè)備的支持,用戶撒布在校園的各個(gè)教學(xué)地點(diǎn)導(dǎo)致這些網(wǎng)絡(luò)設(shè)備也必須分布在各種不同的地方，管理困難。（其中任何環(huán)節(jié)上的失誤都有可能引起高校內(nèi)部網(wǎng)絡(luò)的癱瘓，如室外通信線路包括光纜、電纜等，可以說(shuō)分布在校園的各個(gè)角落，有的還裸露在地面或建筑物的外墻上不能封閉式管理；室內(nèi)設(shè)備包括交換機(jī)、路由器等也可能發(fā)生被盜、損壞等情況。以上就是物理層面的安全問(wèn)題，概括來(lái)說(shuō)就是指：由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力，使得網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等遭受意外事故或人為破壞，造成高校內(nèi)部網(wǎng)絡(luò)不能正常運(yùn)行。在制訂高校內(nèi)部網(wǎng)絡(luò)安全解決方案時(shí)首先應(yīng)考慮這方面的問(wèn)題。

1.2 系統(tǒng)和應(yīng)用軟件存在的漏洞

在高校內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)使用著各種各樣的操作系統(tǒng)和應(yīng)用軟件，這些軟件本身的漏洞就是威脅，還有一些網(wǎng)絡(luò)用戶使用沒(méi)有正式授權(quán)的軟件也會(huì)導(dǎo)致計(jì)算機(jī)可能成為黑客攻擊高校內(nèi)部網(wǎng)絡(luò)的后門(mén)。

1.3 計(jì)算機(jī)病毒和來(lái)自內(nèi)、外網(wǎng)絡(luò)惡意攻擊

計(jì)算機(jī)病毒是高校內(nèi)部網(wǎng)絡(luò)安全最大的威脅因素，有著巨大的破壞性。尤其是在網(wǎng)絡(luò)環(huán)境下病毒傳播速度快、影響面大、查殺病毒困難。高校內(nèi)部網(wǎng)絡(luò)一般都接入Internet，在一個(gè)完全開(kāi)放的環(huán)境下要面對(duì)各種惡意的攻擊危險(xiǎn)，由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會(huì)經(jīng)常的監(jiān)聽(tīng)或掃描學(xué)校網(wǎng)絡(luò)，因此來(lái)自內(nèi)部的不安全因素更具威脅性。

1.4 內(nèi)部用戶濫用網(wǎng)絡(luò)資源

高校內(nèi)部網(wǎng)絡(luò)內(nèi)部用戶對(duì)高校內(nèi)部網(wǎng)絡(luò)資源的濫用，有的高校內(nèi)部網(wǎng)絡(luò)用戶利用內(nèi)網(wǎng)資源提供視頻、音頻、軟件等資源下載，占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫用了大量的網(wǎng)絡(luò)帶寬，使得日常教學(xué)和辦公對(duì)網(wǎng)絡(luò)的正常需求受到極大的影響。

2 相應(yīng)的解決策略

2.1 硬件保護(hù)策略

硬件的安全是網(wǎng)絡(luò)安全最重要的部分,硬件是網(wǎng)絡(luò)通訊的基礎(chǔ)，所以要保證高校內(nèi)部網(wǎng)絡(luò)絡(luò)正常,首先要保證硬件能夠正常使用。常規(guī)可采取的措施主要有:減少火災(zāi)、水災(zāi)、地震等，對(duì)網(wǎng)絡(luò)組件、計(jì)算機(jī)硬件及軟件資源的破壞。減少高溫、潮濕、灰塵、供電系統(tǒng)、外界強(qiáng)電磁干擾等，對(duì)網(wǎng)絡(luò)組件運(yùn)行可靠性造成的不良影響。比如交換機(jī)、路由器要裝入防靜電箱子中并安裝在較高的地方，機(jī)房要鋪設(shè)防靜電地板，保持環(huán)境的清潔和干燥等等。

2.2 訪問(wèn)監(jiān)管和控制策略

訪問(wèn)控制方面的策略任務(wù)主要就是保證網(wǎng)絡(luò)資源不被未經(jīng)授權(quán)的用戶使用或訪問(wèn)。包括入侵監(jiān)測(cè)控制策略、服務(wù)器訪問(wèn)控制策略、防火墻控制策略等多個(gè)方面的內(nèi)容。

2.2.1 利用網(wǎng)絡(luò)防火墻和防毒墻技術(shù)

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與高校內(nèi)部之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，其中包過(guò)濾是重要策略之一，此策略在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)設(shè)定好的過(guò)濾原則，檢查數(shù)據(jù)流中的數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類(lèi)數(shù)據(jù)包通過(guò)。防火墻可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對(duì)從允許連接的電腦上發(fā)送過(guò)來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的，因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生，它是指位于網(wǎng)絡(luò)人口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過(guò)濾的網(wǎng)絡(luò)安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(chóng)和僵尸網(wǎng)絡(luò)的擴(kuò)散。此外，網(wǎng)絡(luò)管理者能夠設(shè)定分組的安全策略，以過(guò)濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類(lèi)型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址，以及TCP/UDP端口和協(xié)議。

2.2.2 入侵檢測(cè)控制策略

人侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。

根據(jù)采用的檢測(cè)技術(shù)，人侵檢測(cè)系統(tǒng)分為誤用檢測(cè)和異常檢測(cè)兩方面。誤用檢測(cè)根據(jù)事先定義的人侵模式庫(kù)，人侵模式描述了人侵行為的特征、條件、排列以及事件間關(guān)系，檢測(cè)時(shí)通過(guò)將收集到的信息與人侵模式進(jìn)行匹配來(lái)判斷是否有人侵行為。但它的是人侵檢測(cè)性能取決于模式庫(kù)的完整性。它不能檢測(cè)模式庫(kù)中沒(méi)有的新入侵行為或者變體，要保證模式庫(kù)德完整較為困難，所以漏報(bào)率較高。而異常檢測(cè)技術(shù)則是通過(guò)提取審計(jì)蹤跡，例如：網(wǎng)絡(luò)流量、日志文件等，對(duì)其的特征數(shù)據(jù)來(lái)描述用戶行為，建立典型網(wǎng)絡(luò)活動(dòng)的輪廓模型用于檢測(cè)。檢測(cè)時(shí)將當(dāng)前行為模式與輪廓模型相比較，如果兩者的偏離程度超過(guò)一個(gè)確定的閩值則判定為人侵。比較典型的異常檢測(cè)技術(shù)有統(tǒng)計(jì)分析技術(shù)、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)等。二者各有優(yōu)缺點(diǎn):誤用檢測(cè)技術(shù)一般能夠較準(zhǔn)確地檢測(cè)已知的攻擊行為并能確定具體的攻擊，具有低的誤報(bào)率，但面對(duì)新的攻擊行為確無(wú)能為力;而異常檢測(cè)技術(shù)具有發(fā)現(xiàn)新的攻擊行為的能力，漏報(bào)率低，但其以高的誤報(bào)率為代價(jià)并不能確定具體的攻擊行為。現(xiàn)在的人侵檢測(cè)技術(shù)朝著綜合化、協(xié)同式和分布式方向發(fā)展，如NIDES,EMER-ALD,Haystack都是誤用檢測(cè)與異常檢測(cè)的綜合系統(tǒng)，用誤用檢測(cè)技術(shù)在其中檢測(cè)已知的人侵行為，異常檢測(cè)系統(tǒng)+檢測(cè)未知的人侵行為，這一整個(gè)監(jiān)控系統(tǒng)就更加完善和效率了。

2.2.3 服務(wù)器訪問(wèn)控制策略

對(duì)于服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問(wèn),在所需要的網(wǎng)絡(luò)訪問(wèn)范圍外建立訪問(wèn)控制。另外對(duì)用戶的帳號(hào)進(jìn)行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫(kù)管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認(rèn)賬號(hào)不需要的權(quán)限，選擇合適的用戶賬號(hào)連接到數(shù)據(jù)庫(kù)。

2.3 病毒防護(hù)策略

病毒主要由數(shù)據(jù)破壞和刪除、后門(mén)攻擊、垃圾郵件傳播、不斷自我復(fù)制耗盡資源等幾種方式的在網(wǎng)絡(luò)進(jìn)行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損壞。那么建立的一套完整的網(wǎng)絡(luò)病毒防范體系是對(duì)高校內(nèi)部網(wǎng)絡(luò)整體病毒防護(hù)策略。具體包括：

1）未知病毒查殺技術(shù)：也就是主動(dòng)病毒防御技術(shù)，它通過(guò)虛擬技術(shù)和人工智能技術(shù)結(jié)合，解決了原先依賴(lài)病毒庫(kù)查詢病毒的缺點(diǎn)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。

2）智能引擎技術(shù)：智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn)，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。

3）壓縮智能還原技術(shù)：它可以對(duì)壓縮或打包文件在內(nèi)存中還原，從而使得病毒完全暴露出來(lái)。

4）病毒免疫技術(shù)：病毒免疫技術(shù)一直是反病毒專(zhuān)家研究的熱點(diǎn)，它通過(guò)加強(qiáng)自主訪問(wèn)控制和設(shè)置磁盤(pán)禁寫(xiě)保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。

2.4 不良信息的防護(hù)策略

Internet上存在大量的不良信息，高校內(nèi)部網(wǎng)絡(luò)因?yàn)榕cInternet連接，學(xué)生有可能接觸到這些信息而在高校內(nèi)部網(wǎng)絡(luò)上傳播，造成惡劣的影響?？梢园惭b非法信息過(guò)濾系統(tǒng),設(shè)置非法IP過(guò)濾和非法字段過(guò)濾有效屏蔽Internet上的不良信息。

2.5 建立安全評(píng)估策略

高校內(nèi)部網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù)，而需要仔細(xì)考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個(gè)高效、通用、安全的高校內(nèi)部網(wǎng)絡(luò)絡(luò)系統(tǒng)。建立專(zhuān)門(mén)的管理團(tuán)隊(duì)結(jié)合使用安全評(píng)估工具進(jìn)行安全評(píng)估,對(duì)各方面進(jìn)行檢測(cè)和反饋信息收集,制定對(duì)應(yīng)的網(wǎng)絡(luò)安全管理策略。

3 結(jié)束語(yǔ)

隨著高校內(nèi)部網(wǎng)絡(luò)功能和規(guī)模的擴(kuò)展，它的安全問(wèn)題越來(lái)越受到重視，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及計(jì)算機(jī)系統(tǒng)的脆弱性，決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻，而應(yīng)涉及到管理和技術(shù)等多方面的配合。需要仔細(xì)分析系統(tǒng)的安全需求，建立完善的管理制度，并將各種安全技術(shù)與管理手段綜合在一起，才能建立一個(gè)高效、通用、安全的高校內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

[1] 彭文波,等.網(wǎng)絡(luò)安全進(jìn)階筆記[M].北京:清華大學(xué)出版社,2011:19-215

[2] 李偉.網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程[M].北京:清華大學(xué)出版社,2006:154-210

[3] 張仕斌.網(wǎng)絡(luò)安全基礎(chǔ)教程[M]. 北京:人民郵電出版社,2009:149-290.

The Network Completely in Colleges or Universities and Solving Strategies

The majority of colleges and universities carries out the digital office with the wide application of computer. So every day to deal with related information increases rapidly. In order to improve office efficiency, every college is strengthening network information construction. Especially in the internal network platform construction. So they can administrate the huge number of information managemet. Now the university internal network security issues become one of the important problems in informatization construction.The article points out the hidden dangers in hardware, software and network user accroding to efficient internal network status in colleges.And it makes its analysises and assessments accroding to these hidden dangers. And it puts forward the corresponding security strateges.

Efficient internal network；safty analysis；solutions

TP393

A

1008-1151(2012)06-0021-02

2012-05-06

朱震（1976－），天津人，桂林電子科技大學(xué)信息科技學(xué)院助教。