摘 要:隨著網(wǎng)絡(luò)的發(fā)展與普及，校園網(wǎng)與內(nèi)部網(wǎng)連入Internet，通過這些網(wǎng)絡(luò)可以查閱資料討論問題、學(xué)習(xí)知識，而且學(xué)校也利用這些網(wǎng)路進行教學(xué)工作，提高教育教學(xué)質(zhì)量，于是計算機網(wǎng)絡(luò)在高校與教育系統(tǒng)中發(fā)揮著非常重要的作用。當(dāng)然也有很多網(wǎng)絡(luò)安全問題的存在，如何確保校園網(wǎng)絡(luò)不會遭到攻擊與破壞，保證校園網(wǎng)絡(luò)安全，是目前學(xué)校需要解決的大問題，同時也是校園網(wǎng)絡(luò)管理方面重要任務(wù)。本文針對高校校園網(wǎng)的安全系統(tǒng)的需求，提出了網(wǎng)絡(luò)安全策略在校園網(wǎng)上的應(yīng)用。

關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻 入侵檢測系統(tǒng) 校園網(wǎng)

中圖分類號:G710文獻標識碼:A文章編號:1674-098X(2012)03(a)-0034-02

1 網(wǎng)絡(luò)安全策略

隨著網(wǎng)絡(luò)的發(fā)展與普及，校園網(wǎng)與內(nèi)部網(wǎng)連入Internet，通過這些網(wǎng)絡(luò)可以查閱資料討論問題、學(xué)習(xí)知識，而且學(xué)校也利用這些網(wǎng)路進行教學(xué)工作，提高教育教學(xué)質(zhì)量，于是計算機網(wǎng)絡(luò)在高校與教育系統(tǒng)中發(fā)揮著非常重要的作用。當(dāng)然也有很多網(wǎng)絡(luò)安全問題的存在，如何確保校園網(wǎng)絡(luò)不會遭到攻擊與破壞，保證校園網(wǎng)絡(luò)安全，是目前學(xué)校需要解決的大問題，同時也是校園網(wǎng)絡(luò)管理方面重要任務(wù)。

本文所討論的校園網(wǎng)絡(luò)安全主要指:采取網(wǎng)絡(luò)管理控制技術(shù)措施，來確保網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性、機密性。保證網(wǎng)絡(luò)傳輸信息在傳輸過程中不出現(xiàn)改變或者非法讀取?？墒呛诳偷墓舴椒ㄔ诓粩嗟馗?，攻擊的手段變得也就更加高明，這樣就充分暴漏出網(wǎng)絡(luò)脆弱性的一面，造成校園網(wǎng)絡(luò)安全隱患，給校園網(wǎng)絡(luò)管理帶來了很大的困難。目前由于網(wǎng)絡(luò)安全管理范圍的擴大，這就給網(wǎng)絡(luò)安全管理帶來了不小得困難，不只是對于網(wǎng)絡(luò)建成后的保護，網(wǎng)絡(luò)的設(shè)計也會包括在內(nèi)，好的網(wǎng)絡(luò)設(shè)計應(yīng)該是在數(shù)據(jù)量很大的情況下，任然能夠保證服務(wù)質(zhì)量和穩(wěn)定性，確保網(wǎng)絡(luò)具有很好的彈性。

黑客攻擊手段越來越高明，新的攻擊方法也再不斷更新變化，這樣也造成影響校園網(wǎng)安全的因素也在不斷地變化。若想保證校園網(wǎng)絡(luò)安全就應(yīng)該采取有效的、安全的技術(shù)手段，根據(jù)目前的實際情況，采取積極的應(yīng)對措施，調(diào)整好安全策略，同時需要提高網(wǎng)絡(luò)安全管理意識，這樣才能使學(xué)校網(wǎng)絡(luò)更安全。目前校園網(wǎng)安全的現(xiàn)狀，主要是通過防火墻、防病毒軟件等防御體系下，具有防止校園網(wǎng)外攻擊的能力。校園網(wǎng)絡(luò)安全建設(shè)必備的策略如下。

(1)規(guī)范出口管理。為了能夠更好地實現(xiàn)校園網(wǎng)絡(luò)安全體系，對于出口需要規(guī)范的統(tǒng)一的管理，從而保障校園網(wǎng)的安全。

(2)安裝完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。為了更好地杜絕校園網(wǎng)絡(luò)遭到攻擊和破壞，需要在在網(wǎng)內(nèi)和網(wǎng)外接口處配置統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備。主要有:防火墻、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)等等。

(3)配置安全產(chǎn)品。配置安全產(chǎn)品能夠很好地阻斷非法訪問，對校園網(wǎng)絡(luò)起到了保護作用。

(4)解決用戶上網(wǎng)身份問題。校園網(wǎng)絡(luò)安全體系的基礎(chǔ)是身份認證系統(tǒng)，只有建立好完善的身份認證系統(tǒng)，才能真正解決用戶上網(wǎng)身份問題，保證各項應(yīng)用系統(tǒng)的安全。上網(wǎng)場所需要集中管理與監(jiān)控，形成規(guī)范化管理。上網(wǎng)用戶在經(jīng)過校級身份認證系統(tǒng)確認的同時，上網(wǎng)行為也會受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，使得記錄的準確性與法律性得到保證。

(5)嚴格按照相關(guān)部門要求，設(shè)有專門的安全管理人員進行管理，出臺完善的有效地網(wǎng)絡(luò)安全管理制度。網(wǎng)絡(luò)管理和安全技術(shù)將直接關(guān)系到計算機網(wǎng)絡(luò)的安全。通過技術(shù)角度來說，網(wǎng)絡(luò)設(shè)備軟件和硬件兩個方面決定了計算機網(wǎng)絡(luò)的安全?？墒怯捎诮j(luò)安全作為網(wǎng)絡(luò)信息提供的是增值服務(wù)，軟件處理的速度成為網(wǎng)絡(luò)的瓶頸，所以，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，提高安全處理速度是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。另外，在安全技術(shù)不斷更新的情況下，安全技術(shù)的應(yīng)用也要不斷加強。原因在于即便擁有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，卻沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，沒有一個對網(wǎng)絡(luò)安全的清醒的認識，網(wǎng)絡(luò)安全也同樣存在威脅。應(yīng)該正確的認識網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全不止是防火墻，也不是將身份認證系統(tǒng)、監(jiān)測、防病毒等產(chǎn)品來堆砌，他應(yīng)該是從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)等產(chǎn)品的有機結(jié)合。在強調(diào)網(wǎng)絡(luò)安全技術(shù)的同時，還要出臺完善的有效地網(wǎng)絡(luò)安全管理制度，它對于網(wǎng)絡(luò)安全也起著非常重要性的作用。只有對以上內(nèi)容加以綜合，才能更好地確保網(wǎng)絡(luò)的安全。

2 校園網(wǎng)面臨的安全問題及解決措施

威脅校園網(wǎng)絡(luò)安全的因素有來自校外的，也有來自校內(nèi)的，國內(nèi)高校校園網(wǎng)的安

全問題有其歷史原因:在以往的網(wǎng)絡(luò)發(fā)展過程中，由于意識與資金方面的原因，加之對技術(shù)的偏好和運營意識的不足，往往認為在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間有防火墻就能夠保證安全，有的學(xué)校更是將互聯(lián)網(wǎng)直接接入，結(jié)果就會給病毒、黑客提供了可乘之機，導(dǎo)致黑客攻擊、病毒泛濫、服務(wù)被拒絕等重大問題，這些問題一旦發(fā)生將是致命性的。所以高等學(xué)校構(gòu)筑安全穩(wěn)定的校園網(wǎng)絡(luò)安全體系是給長重要的。一般來說，需要通過下面兩個方面來構(gòu)筑校園網(wǎng)絡(luò)安全體系:一是采用先進的技術(shù);二是不斷改進管理方法。筆者對我校以前的校園網(wǎng)進行分析與研究，發(fā)現(xiàn)存在下面的安全隱患。

(1)校園網(wǎng)與Internet相連，這顯然是快捷方便了，但是這樣也帶來了外部網(wǎng)絡(luò)攻擊的安全風(fēng)險。

(2)校園網(wǎng)絡(luò)安全也會受到來自校內(nèi)網(wǎng)的威脅，來自校園網(wǎng)內(nèi)部的安全隱患很大，因為有些學(xué)生對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自安全隱患更為大一些。黑客攻擊工具在網(wǎng)上非常多，因個別學(xué)生的心理特點有可能利用這些黑客攻擊工具對校園網(wǎng)進行攻擊。

(3)學(xué)校使用的服務(wù)器系統(tǒng)軟件存在安全漏洞會威脅到網(wǎng)絡(luò)安。

(4)校內(nèi)計算機內(nèi)計算機應(yīng)用范圍擴大，節(jié)點增加，然而這些節(jié)點部分是沒有采取任何防護措施，在這種情況下，非常有可能造成病毒泛濫、網(wǎng)絡(luò)被攻擊，造成極其嚴重的網(wǎng)絡(luò)安全隱患。

鑒于以上我校校園網(wǎng)的安全隱患，構(gòu)建科學(xué)的、合理的網(wǎng)絡(luò)安全防護體系，建立一套有效的網(wǎng)絡(luò)安全機制就顯得尤其重要。所以提出以下解決方案。

我們可以配置一臺防火墻于校園網(wǎng)和Internet之間，成為內(nèi)外網(wǎng)之間的安全屏障。其中WWW、MAIL、FTP、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。那么，利用Internet進來的公眾用戶只能訪問到對外公開的一些服務(wù)，不僅能夠保護內(nèi)網(wǎng)資源被外部非授權(quán)用戶非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的濫用。提高防火墻網(wǎng)絡(luò)安全性能的原則是:

(1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址等項目，禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)非法的訪問。

(2)為了防范源地址假冒和源路由類型的攻擊。需要將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包;過濾掉以非法IP地址也可以來自內(nèi)部網(wǎng)絡(luò)的對外進行的攻擊。

(3)為了防止IP地址被盜用，可以采取在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表。

(4)要定期查看防火墻訪問日志，發(fā)現(xiàn)攻擊行為進行及時解決。

(5)允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性。防火墻系統(tǒng)是作為訪問控制設(shè)備，其作用是隔離安全網(wǎng)與不安全網(wǎng)絡(luò);隔離安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)，并對它們之間的訪問進行控制。鑒于防火墻本身的功能特點，決定它的配置位置是在兩個不同網(wǎng)絡(luò)或者安全域之間的連接處，使得防火墻成為兩個不同網(wǎng)絡(luò)之間訪問的唯一通道。從而讓防火墻進行檢查、過濾，發(fā)揮出防火墻的管理安全性。

3 結(jié)語

校園網(wǎng)在教育系統(tǒng)中發(fā)揮著非常重要的作用，同時也帶來了網(wǎng)絡(luò)安全問題。因此，為了確保校園網(wǎng)絡(luò)不會遭到攻擊與破壞，保證校園網(wǎng)絡(luò)安全，應(yīng)該在校園網(wǎng)上應(yīng)用網(wǎng)絡(luò)安全策略，為校園網(wǎng)安全建設(shè)提供保障。

參考文獻

[1]耿馳遠.網(wǎng)絡(luò)安全技術(shù)的比較及在校園網(wǎng)中的應(yīng)用.計算機世界，2002.6.

[2]查貴庭.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建.計算機應(yīng)用研究，2005，3.

[3]吳應(yīng)良.校園網(wǎng)網(wǎng)絡(luò)安全技術(shù).計算機網(wǎng)絡(luò)，2006，4.

[4]朱海虹.淺談網(wǎng)絡(luò)安全技術(shù)[J]．科技創(chuàng)新導(dǎo)報，2007，32：32.