邱永強(qiáng)

新疆自治區(qū)黨校，新疆烏魯木齊 830000

1 校園網(wǎng)安全特性分析

通常來講，信息安全重點(diǎn)關(guān)注的是信息資源、通信資源以及計(jì)算機(jī)資源等被一些惡意的行為破壞，出現(xiàn)了信息泄露、被篡改、濫用的現(xiàn)象。信息網(wǎng)絡(luò)的安全特性主要有完整性、可用性、保密性以及未授權(quán)使用資源的安全威脅，這些安全特性也是校園網(wǎng)的安全特性。

目前，不少學(xué)校的校園網(wǎng)中使用的網(wǎng)絡(luò)沒有設(shè)置防護(hù)系統(tǒng)，也沒有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)別，可以說安全策略和安全措施的設(shè)置絲毫沒有受到學(xué)校的重視。

主要表現(xiàn)在網(wǎng)絡(luò)的應(yīng)用管理系統(tǒng)較為分散、沒有設(shè)置完善的防毒策略、沒有采取數(shù)據(jù)備份措施以及尚未建立集中的身份驗(yàn)證系統(tǒng)等等。

在教育信息化速度日益加快的今天，學(xué)校中的很多工作都需要通過網(wǎng)絡(luò)來完成，例如管理、科研方面的工作，除此之外，校內(nèi)的諸多業(yè)務(wù)系統(tǒng)都需要通過校園網(wǎng)來建立，如教務(wù)系統(tǒng)、人事系統(tǒng)、辦公系統(tǒng)以及財(cái)務(wù)系統(tǒng)等。如果校園網(wǎng)網(wǎng)絡(luò)信息的安全問題再得不到足夠的重視，將會(huì)給校園網(wǎng)埋下嚴(yán)重的安全隱患。

2 校園網(wǎng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

校園網(wǎng)具有網(wǎng)絡(luò)連接形式復(fù)雜、設(shè)備種類數(shù)量多以及操作系統(tǒng)平臺(tái)不一致的特點(diǎn)，這就給校園網(wǎng)的網(wǎng)絡(luò)信息的安全帶來了很多威脅，風(fēng)險(xiǎn)主要來自一些幾個(gè)方面。

2.1 互聯(lián)網(wǎng)導(dǎo)致的風(fēng)險(xiǎn)

校園網(wǎng)絡(luò)的構(gòu)建幾乎都需要用到Internet 技術(shù)，并且還需要連接到互聯(lián)網(wǎng)上。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。

這樣的網(wǎng)絡(luò)構(gòu)建方式對(duì)于提高學(xué)校的知名度、擴(kuò)大學(xué)校的影響力具有十分重要的作用。然而互聯(lián)網(wǎng)具有網(wǎng)絡(luò)信息的開放性和共享性，這就導(dǎo)致了網(wǎng)絡(luò)信息存在一定的安全隱患，學(xué)校在獲得知名度的同時(shí)，也會(huì)出現(xiàn)一些安全問題。

互聯(lián)網(wǎng)上的信息都不能完全信任，因?yàn)榫W(wǎng)絡(luò)信息的安全性無法保證，是否會(huì)出現(xiàn)網(wǎng)絡(luò)攻擊性行為更難以預(yù)料，這就需要學(xué)校在使用校園網(wǎng)時(shí)切實(shí)做好安全防范工作，預(yù)防和化解存在的安全風(fēng)險(xiǎn)。

2.2 內(nèi)部導(dǎo)致的風(fēng)險(xiǎn)

據(jù)相關(guān)統(tǒng)計(jì)顯示，有將近75%的網(wǎng)絡(luò)信息安全事件都是源于內(nèi)部?？梢?，內(nèi)部網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)十分嚴(yán)重。

因?yàn)閮?nèi)部人員比其他人員更熟悉內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，這就容易出現(xiàn)網(wǎng)絡(luò)內(nèi)部人員攻擊內(nèi)部網(wǎng)絡(luò)的事件，或者內(nèi)部人員與外部人員聯(lián)手攻擊網(wǎng)絡(luò)，亦或是內(nèi)部人員將網(wǎng)絡(luò)信息隨意泄露出去的行為，這都可能會(huì)給校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)帶來破壞性的打擊。

特別是近年來校園網(wǎng)絡(luò)的迅速發(fā)展，并且和一般性的局域網(wǎng)絡(luò)不同，校園網(wǎng)使用的用戶中網(wǎng)絡(luò)高手較多，更需要切實(shí)做好校園網(wǎng)的安全預(yù)防工作。

2.3 病毒導(dǎo)致的安全風(fēng)險(xiǎn)

病毒是一種非法程序，它是為了達(dá)到某種企圖而秘密編寫的，它的復(fù)制能力非常強(qiáng)。病毒能夠給計(jì)算機(jī)網(wǎng)絡(luò)帶來毀滅性的破壞。

尤其是目前互聯(lián)網(wǎng)的發(fā)展速度日新月異，使用電子郵件系統(tǒng)的用戶變得越來越多，致使網(wǎng)絡(luò)成為了病毒擴(kuò)散的重要載體，并且能夠借助計(jì)算機(jī)這一載體將病毒肆意地傳播開來。由此可見，校園網(wǎng)的網(wǎng)絡(luò)信息在病毒肆意蔓延的環(huán)境下存在著諸多安全隱患。

2.4 管理導(dǎo)致的安全風(fēng)險(xiǎn)

在網(wǎng)絡(luò)安全中，管理占據(jù)著十分重要的地位。不少學(xué)校都將學(xué)校的建設(shè)放在重要的位置，而不太重視學(xué)校的管理工作，尤其是網(wǎng)絡(luò)安全管理。

可見，出現(xiàn)網(wǎng)絡(luò)安全的一個(gè)重要原因就是學(xué)校沒有制定完善的安全管理制度。

如，校園網(wǎng)的網(wǎng)絡(luò)用戶沒有樹立較強(qiáng)的安全意識(shí)，校園網(wǎng)缺乏完善的管理制度，校園網(wǎng)絡(luò)管理員設(shè)置不合理以及用戶口令設(shè)置不恰當(dāng)?shù)鹊龋@些都給校園網(wǎng)帶來了嚴(yán)重的安全隱患。

2.5 系統(tǒng)導(dǎo)致的安全風(fēng)險(xiǎn)

由系統(tǒng)導(dǎo)致的安全風(fēng)險(xiǎn)主要來自于數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)。大多數(shù)校園網(wǎng)一般使用三種系列的操作系統(tǒng)，它們是Linux、Unix 以及Windows，使用程度最高的系列是最后一種。

不言而喻，每一種操作系統(tǒng)都不可能是完美的，或多或少都會(huì)存在一些未知和已知的安全問題，并且國家安全組織也對(duì)系統(tǒng)中存在的大量漏洞給予了披露。系統(tǒng)中存在的有些漏洞能夠使攻擊者暢通無阻地進(jìn)入到管理員的網(wǎng)絡(luò)系統(tǒng)中，進(jìn)而破壞網(wǎng)絡(luò)系統(tǒng)，還有些漏洞能夠?yàn)椴《镜娜肭痔峁┍憷臈l件等等。

總之，系統(tǒng)中存在的風(fēng)險(xiǎn)也嚴(yán)重威脅著校園網(wǎng)的網(wǎng)絡(luò)信息的安全。

3 保護(hù)校園網(wǎng)信息安全的對(duì)策

3.1 重視網(wǎng)絡(luò)安全規(guī)劃

注重對(duì)校園網(wǎng)實(shí)施安全規(guī)劃的目標(biāo)是為了從系統(tǒng)性的角度對(duì)網(wǎng)絡(luò)中的安全問題進(jìn)行全面性的思考。網(wǎng)絡(luò)安全規(guī)劃的內(nèi)容比較多，主要有病毒防御、加密技術(shù)、訪問攔截、認(rèn)證技術(shù)以及攻擊檢測(cè)技術(shù)等安全預(yù)防措施；安全服務(wù)；安全管理制度，如工作流程、網(wǎng)絡(luò)工作人員以及維護(hù)保障制度等；安全防范策略；應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)的分布情況、數(shù)據(jù)庫系統(tǒng)設(shè)置的位置；內(nèi)部網(wǎng)絡(luò)的邏輯劃分以及外部網(wǎng)絡(luò)的邏輯劃分；安全評(píng)估、數(shù)據(jù)備份與恢復(fù)措施、減災(zāi)措施以及實(shí)施計(jì)劃等。

在校園網(wǎng)建設(shè)規(guī)劃的同時(shí)，要同時(shí)做好校園網(wǎng)的信息規(guī)劃工作，并將其列入到校園網(wǎng)建設(shè)規(guī)劃中的重要事項(xiàng)當(dāng)中。

3.2 對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行科學(xué)合理地劃分

站在安全的角度考慮，校園網(wǎng)對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行科學(xué)合理地劃分是十分有必要的。在對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分時(shí)，需要充分考慮整體的安全規(guī)劃以及信息安全密級(jí)，運(yùn)用邏輯思維對(duì)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行劃分，劃分出安全區(qū)域（內(nèi)網(wǎng)區(qū)域）、不安全區(qū)域以及非軍事區(qū)（DMZ），然后還要考慮到學(xué)校對(duì)網(wǎng)絡(luò)的需求情況，對(duì)虛擬專用網(wǎng)（VLAN）進(jìn)行合理地劃分，如圖1 所示。

圖1 網(wǎng)絡(luò)區(qū)域的劃分

校園網(wǎng)的內(nèi)部網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域，這個(gè)區(qū)域是不允許外部用戶進(jìn)行訪問的，因?yàn)槠鋼碛休^高的安全等級(jí)。

該區(qū)域運(yùn)行的系統(tǒng)主要有OA 系統(tǒng)以及各種應(yīng)用系統(tǒng)，而這個(gè)區(qū)域應(yīng)該存放的服務(wù)器主要有數(shù)據(jù)庫服務(wù)器以及不同種類的內(nèi)部服務(wù)器。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶都可以對(duì)非軍事區(qū)進(jìn)行訪問。這個(gè)區(qū)域能夠?yàn)橥饨缣峁〧tp 服務(wù)、Web 服務(wù)以及Email 服務(wù)等多種服務(wù)。

因此，也需要為這個(gè)區(qū)域制定一些安全防護(hù)措施。校園網(wǎng)防火墻以外的網(wǎng)路接口處外部的區(qū)域被規(guī)定為了不安全區(qū)域。在認(rèn)真分析了校園網(wǎng)用戶的特征之后，總結(jié)出該結(jié)構(gòu)具有的特征如下：

1）通過校園網(wǎng)的入侵檢測(cè)系統(tǒng)和防火墻，校園網(wǎng)用戶都能對(duì)互聯(lián)網(wǎng)進(jìn)行訪問，使廣大校園網(wǎng)的用戶能夠方便地使用網(wǎng)絡(luò)；

2）DMZ(demilitarized zone)與外部區(qū)間之間設(shè)有防火墻，能夠?yàn)樾@網(wǎng)提供信息過濾以及訪問控制等防護(hù)措施。非軍事區(qū)域內(nèi)提供的所有網(wǎng)絡(luò)服務(wù)，內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶都能夠享受，即都能夠?qū)υ搮^(qū)域進(jìn)行訪問。

因此，需要在分析非軍事區(qū)域的特點(diǎn)，為其制定出行之有效的安全防護(hù)措施。在這些安全措施制定期間，要對(duì)內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶做出一些規(guī)定，對(duì)開放服務(wù)不設(shè)置權(quán)限，但是對(duì)內(nèi)網(wǎng)的各種服務(wù)需要暫時(shí)設(shè)置一些權(quán)限，不能允許內(nèi)外網(wǎng)用戶進(jìn)行訪問；

3）內(nèi)網(wǎng)區(qū)域具有較高的安全級(jí)別，在對(duì)其進(jìn)行設(shè)置安全防護(hù)措施時(shí)，可以同時(shí)利用入侵檢測(cè)系統(tǒng)和防火墻，使二者進(jìn)行相互配合，建立健全安全防御體系。

3.3 運(yùn)用行之有效的網(wǎng)絡(luò)安全防御技術(shù)

3.3.1 防火墻安全技術(shù)

防火墻這種網(wǎng)絡(luò)設(shè)備能夠?qū)W(wǎng)絡(luò)之間的訪問起到一定的控制作用，它主要是通過攔截認(rèn)證資格的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)、篩選不安全信息的方式，以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的，實(shí)質(zhì)上防火墻是一種位于內(nèi)外網(wǎng)之間的安全防御系統(tǒng)。然而防火墻這種安全技術(shù)無法控制內(nèi)部出現(xiàn)的沒有認(rèn)證授權(quán)

就進(jìn)行訪問的狀況。所以比較適合應(yīng)用于相對(duì)較為獨(dú)立的內(nèi)部網(wǎng)絡(luò)，并且和外網(wǎng)的連接的途徑受到一定的限制、網(wǎng)路服務(wù)種類比較集中的網(wǎng)絡(luò)。

在對(duì)外界入侵者進(jìn)行防御時(shí)，防火墻應(yīng)用的技術(shù)主要有應(yīng)用網(wǎng)關(guān)、數(shù)據(jù)包過濾以及代理服務(wù)等，以達(dá)到維護(hù)校園網(wǎng)絡(luò)安全的目的。

3.3.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)可以提高網(wǎng)絡(luò)數(shù)據(jù)的安全系數(shù)，避免出現(xiàn)重要數(shù)據(jù)信息被濫用、篡改以及泄露的現(xiàn)象，從而為網(wǎng)絡(luò)的安全運(yùn)行提供一個(gè)良好的環(huán)境。

而那些沒有運(yùn)用加密技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)容易在運(yùn)行時(shí)受到外界的阻攔，給信息使用者帶來極大的經(jīng)濟(jì)損失。數(shù)據(jù)加密技術(shù)主要有三大類：對(duì)稱型加密技術(shù)、不可逆加密技術(shù)以及不對(duì)稱型加密技術(shù)。

總之，在網(wǎng)絡(luò)上應(yīng)用這三大類加密技術(shù)可以為網(wǎng)絡(luò)運(yùn)行創(chuàng)造出一種安全可靠的環(huán)境。

3.3.3 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)入侵是指通過不合法的手段企圖使信息系統(tǒng)的完整性、機(jī)密性以及可信性受到嚴(yán)重破壞的任何網(wǎng)絡(luò)活動(dòng)，對(duì)網(wǎng)絡(luò)環(huán)境的安全性造成了嚴(yán)重的威脅。

而入侵檢測(cè)(Intrusion Detection)技術(shù)能夠?qū)W(wǎng)絡(luò)的外部環(huán)境進(jìn)行檢測(cè)，而且還能對(duì)網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動(dòng)進(jìn)行檢測(cè)，極大程度上提高了其安全性。網(wǎng)絡(luò)入侵技術(shù)通過利用新型的攻守結(jié)合戰(zhàn)略來對(duì)相關(guān)數(shù)據(jù)進(jìn)行檢測(cè)，并及時(shí)驗(yàn)證其是否具有合法利用特權(quán)，并且還能搜集相關(guān)證據(jù)，借此來追究入侵者的非法行為。

IDS 是入侵檢測(cè)技術(shù)中常用的一種能夠?yàn)楣芾碚咛峁┌踩煽啃畔⒌臋z測(cè)系統(tǒng)，它能夠及時(shí)地檢測(cè)到網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的可疑或不安全因素，然后將其真實(shí)地告訴網(wǎng)絡(luò)管理者，以便于采取有效的措施進(jìn)行防御。

市場(chǎng)上比較常見的IDS 產(chǎn)品綜合采

用三個(gè)基本方法來檢測(cè)網(wǎng)絡(luò)入侵：即為追蹤分析、網(wǎng)包分析及實(shí)時(shí)活動(dòng)監(jiān)控。

[1]鄧長春.淺談網(wǎng)絡(luò)信息安全面臨的問題和對(duì)策[J].電腦與電信，2007(3).

[2]陳文冠，曹亮，陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究，2007(2).

[3]王榮.校園網(wǎng)絡(luò)信息安全體系的構(gòu)建[J].天津科技，2007(1).

[4]張曉兵.加強(qiáng)校園網(wǎng)絡(luò)信息安全保障[J].信息網(wǎng)絡(luò)安全，2006(12).