【摘 要】校園網(wǎng)絡(luò)安全的主要問題是預(yù)防病毒、訪問控制、身份驗(yàn)證和加密技術(shù)、發(fā)現(xiàn)系統(tǒng)安全漏洞并解決等問題。作為一個(gè)網(wǎng)絡(luò)，一方面是網(wǎng)絡(luò)內(nèi)部的安全性，一方面是本網(wǎng)絡(luò)和外部信息網(wǎng)絡(luò)互聯(lián)時(shí)的安全性。其中內(nèi)部的安全性要從網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用等多方面考慮。本章結(jié)合自己的工作實(shí)際，研究如何應(yīng)用網(wǎng)絡(luò)安全技術(shù)解決校園網(wǎng)絡(luò)安全問題。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；安全技術(shù)；校園網(wǎng)；安全應(yīng)用

1.防火墻防范技術(shù)

防火墻是目前網(wǎng)絡(luò)安全的一個(gè)最常用的防護(hù)措施，也廣泛應(yīng)用于對校園網(wǎng)絡(luò)和系統(tǒng)的保護(hù)。根據(jù)校園網(wǎng)絡(luò)管理員的要求，可以監(jiān)控通過防火墻的數(shù)據(jù)，允許和禁止特定數(shù)據(jù)包的通過，并對所有事件進(jìn)行監(jiān)控和記錄，使內(nèi)部網(wǎng)絡(luò)既能對外正常提供Web訪問，F(xiàn)TP下載等服務(wù)，又能保護(hù)內(nèi)部網(wǎng)絡(luò)不被惡意者攻擊。

為更好地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全，可以采用雙宿主機(jī)網(wǎng)關(guān)或是屏蔽主機(jī)網(wǎng)關(guān)或是屏蔽子網(wǎng)的防火墻設(shè)置方案。為了提高防火墻安全性能，讓其具有很強(qiáng)的抗攻擊能力，最好采用的屏蔽子網(wǎng)體系結(jié)構(gòu)配置方案，具體配置方法為：

在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)緩沖地帶，兩個(gè)路由器一個(gè)控制Intranet數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW，F(xiàn)TP，Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。

2.網(wǎng)絡(luò)入侵檢測技術(shù)

入侵檢測不僅檢測來自外部的入侵行為，同時(shí)也檢測來自內(nèi)部用戶的未授權(quán)活動(dòng)入侵檢測應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。強(qiáng)大的、完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。

為了更有效地檢測校園網(wǎng)的外部攻擊和內(nèi)部攻擊，在每個(gè)需要受保護(hù)的網(wǎng)絡(luò)內(nèi)安裝相應(yīng)的IDS入侵檢測系統(tǒng)。通過專用響應(yīng)模式與防火墻進(jìn)行互操作，實(shí)現(xiàn)IDS與防火墻聯(lián)動(dòng)。IDS與防火墻聯(lián)動(dòng)可以更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。

在校園網(wǎng)中最好設(shè)立兩個(gè)檢測點(diǎn)，可以分別對外網(wǎng)和內(nèi)網(wǎng)進(jìn)行檢測，外網(wǎng)IDS與防火墻聯(lián)動(dòng)，當(dāng)有外部網(wǎng)絡(luò)攻擊時(shí)，IDS提供實(shí)時(shí)的入侵檢測，將信息交給防火墻，由防火墻對這些攻擊進(jìn)行控制、隔離、斷開；當(dāng)有內(nèi)部網(wǎng)絡(luò)攻擊時(shí)，IDS系統(tǒng)向網(wǎng)絡(luò)管理人員發(fā)出報(bào)警，讓網(wǎng)管人員及時(shí)做出反應(yīng)。

3.數(shù)據(jù)加密技術(shù)

加密是通過對信息的重新組合，使得只有收發(fā)雙方才能解碼還原信息。數(shù)據(jù)加密技術(shù)是為提高網(wǎng)絡(luò)上的信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一。

數(shù)據(jù)加密技術(shù)作為主動(dòng)網(wǎng)絡(luò)安全技術(shù)，是提供網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、防止秘密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段，是許多安全措施的基本保證。加密后的數(shù)據(jù)能保證在傳輸、使用和轉(zhuǎn)換時(shí)不被第三方獲取數(shù)據(jù)?；跀?shù)據(jù)加密技術(shù)以上特點(diǎn)，在校園網(wǎng)絡(luò)中傳送重要信息時(shí)要使用數(shù)據(jù)加密技術(shù)來保證信息的安全。

4.操作系統(tǒng)身份驗(yàn)證

校園網(wǎng)上運(yùn)行著各種數(shù)據(jù)庫系統(tǒng)，如教學(xué)管理系統(tǒng)，學(xué)生成績管理系統(tǒng)，以及各種對外服務(wù)如Web，F(xiàn)TP服務(wù)等。如果安全措施不當(dāng)，使這些數(shù)據(jù)庫的口令被泄露，數(shù)據(jù)被非法取出和復(fù)制，造成信息的泄露，嚴(yán)重時(shí)可導(dǎo)致數(shù)據(jù)被非法刪改。

4.1 校園網(wǎng)絡(luò)主要安全技術(shù)

目前校園網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)以Windows為主，對應(yīng)的主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。

①操作系統(tǒng)安全策略用于配置木地計(jì)算機(jī)的安全設(shè)置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派等安全選項(xiàng)。

②安全管理策略是指網(wǎng)絡(luò)管理員對系統(tǒng)實(shí)施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境需要采取的安全管理策略也不盡相同，其核心是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。

③數(shù)據(jù)安全主要體現(xiàn)在以下幾個(gè)方面：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份、數(shù)據(jù)存儲(chǔ)的安全性、數(shù)據(jù)傳輸?shù)陌踩缘取?/p>

對于校園網(wǎng)中常使用的Windows2000 Server服務(wù)器操作系統(tǒng)，由于被配置IIS用作Web，F(xiàn)TP服務(wù)器，且安裝了SQL Server 2000數(shù)據(jù)庫系統(tǒng)，它的安全就顯得更為重要。由于登陸帳號(hào)是進(jìn)入系統(tǒng)的第一道門檻，因此必須做好如下保密工作：

①把系統(tǒng)Administrator帳號(hào)改名

由于Administrator賬號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。

②使用安全密碼

一個(gè)好的密碼無論對于一個(gè)網(wǎng)絡(luò)還是一臺(tái)單機(jī)都是非常重要，所以為了系統(tǒng)安全，應(yīng)該使用合適的用戶密碼，應(yīng)該設(shè)置復(fù)雜、難以破解的密碼。當(dāng)然，還要注意經(jīng)常更改密碼。

③停用guest帳號(hào)

在計(jì)算機(jī)管理的用戶里而把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登陸系統(tǒng)。

④禁止系統(tǒng)顯示上次登陸的用戶名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對話框中會(huì)顯示上次登陸的用戶名，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測。

⑤打開審核策略

開啟安全審核是Windows2000系統(tǒng)最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行入侵（如嘗試用戶密碼，改變帳戶策略，未經(jīng)許可的文件訪問等等）的時(shí)候，都會(huì)被安全審核記錄下來。

⑥使用NTFS格式分區(qū)

NTFS文件系統(tǒng)可以對文件和目錄進(jìn)行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級的安全，而Windows2000的安全機(jī)制是建立在NTFS文件系統(tǒng)之上的。所以在安裝Windows2000時(shí)最好使用NTFS文件系統(tǒng)，否則將無法建立NT的安全機(jī)制。

事實(shí)證明，對Windows2000系統(tǒng)進(jìn)行以上安全設(shè)置之后，服務(wù)器的安全性有了很大提高。VPN讓用戶在互聯(lián)網(wǎng)上利用隧道、加密、認(rèn)證等技術(shù)來建立自己的專用網(wǎng)絡(luò)。它有效利用VPN的加密、認(rèn)證技術(shù)，可以保護(hù)校園網(wǎng)中的數(shù)據(jù)庫免受攻擊。

4.2 VPN技術(shù)

VPN讓用戶在互聯(lián)網(wǎng)上利用隧道、加密、認(rèn)證等技術(shù)來建立自己的專用網(wǎng)絡(luò)它有效利用VPN的加密、認(rèn)證技術(shù)，可以保護(hù)校園網(wǎng)中的數(shù)據(jù)庫免受攻擊。

4.3 IP地址綁定技術(shù)

為了防止MAC地址的盜用、IP地址的盜用、端口的不固定性、賬號(hào)的盜用等安全問題的產(chǎn)生。要利用IP地址自動(dòng)綁定、釋放技術(shù)解決這個(gè)問題。

自動(dòng)綁定、釋放技術(shù)主要是為了防止用戶在通過認(rèn)證后，在上網(wǎng)期間隨意更改自己的IP地址，同時(shí)也可防范DoS攻擊等多種非法用戶的攻擊。用戶在認(rèn)證通過后在交換機(jī)上會(huì)產(chǎn)生一條ACL策略將該用戶的IP，MAC，端門進(jìn)行捆綁，如果此時(shí)用戶隨意更改自己的IP地址，交換機(jī)將會(huì)強(qiáng)制用戶下線。用戶下線后，對應(yīng)端口的ACL策略會(huì)自動(dòng)釋放、刪除。

本學(xué)校使用IPRMS（IP資源管理系統(tǒng)）來進(jìn)行IP地址綁定。IPRMS是一個(gè)以IP地址及用戶名為中心的管理系統(tǒng)，是簡化IP地址和服務(wù)分配的有力工具。它實(shí)現(xiàn)動(dòng)態(tài)分配IP地址與用戶注冊、檢測模塊集成，確定IP地址與用戶的關(guān)系，并將此動(dòng)態(tài)實(shí)時(shí)的信息通知其它相關(guān)服務(wù)與應(yīng)用，以實(shí)現(xiàn)計(jì)費(fèi)、防火墻、認(rèn)證和審計(jì)等各種增值服務(wù)。IPRMS支持分布或集中的網(wǎng)絡(luò)管理結(jié)構(gòu)，核心服務(wù)器、地區(qū)服務(wù)器、服務(wù)代理、注冊服務(wù)器、DNS服務(wù)器、DHCP服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫既可以分布在不同的機(jī)器上，也可以分布在同一臺(tái)機(jī)器上。通過IPRMS系統(tǒng)友好的操作平臺(tái)，可簡便、有效地管理企業(yè)內(nèi)部DNS服務(wù)器、DHCP服務(wù)器、注冊服務(wù)器及檢測服務(wù)器，創(chuàng)建和維護(hù)公司整體地址架構(gòu)和完整的域名體系，進(jìn)而管理所有IP設(shè)備，并監(jiān)控其對應(yīng)IP地址的使用狀態(tài)。

5.結(jié)束語

網(wǎng)絡(luò)安全是保證Internet/Intranet健康發(fā)展的基礎(chǔ)，是保證企業(yè)信息系統(tǒng)正常運(yùn)行，保護(hù)國家信息基礎(chǔ)設(shè)施成功建設(shè)的關(guān)鍵。隨著信息網(wǎng)絡(luò)技術(shù)應(yīng)用的深入，各類業(yè)務(wù)工作對網(wǎng)絡(luò)和信息系統(tǒng)的依賴日益提高。如何有效的保障信息網(wǎng)絡(luò)的安全，已經(jīng)成為一個(gè)十分重要的課題。

在目前的情況下，應(yīng)當(dāng)全面考慮綜合運(yùn)用防毒軟件、防火墻、加密技術(shù)等多項(xiàng)措施，互相配合，加強(qiáng)管理，從中尋找到確保網(wǎng)絡(luò)安全與網(wǎng)絡(luò)效率的平衡點(diǎn)，綜合提高校園網(wǎng)絡(luò)的安全性，從而建立起一套真正適合學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的安全體系。

參考文獻(xiàn)：

[1]高永強(qiáng)，郭世澤等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）[M].北京：電子工業(yè)出版社，2003.

[3]Franklin Jr，Curtis.Detective Work.Network Computing，2004（7）.

[4]胡道元.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

[5]王群主編Windows網(wǎng)絡(luò)安全配置、管理和應(yīng)用實(shí)例[M].北京：清華大學(xué)出版社，2004.

[6]方東權(quán)，楊巋.校園網(wǎng)網(wǎng)絡(luò)安全與管理.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005（3）.

[7]Adrian Perrig，Dawn Song.A First Step on Automatic Generation.In：Proceedings of Networkand Distributed System Security 2000，2000（2）.

作者簡介：左?。?984—），湖北廣水人，大學(xué)本科，助理講師，研究方向：計(jì)算機(jī)技術(shù)應(yīng)用。