王成記 孫 博
(河南司法警官職業(yè)學(xué)院,河南 鄭州 450002)
校園網(wǎng)承擔(dān)著教學(xué)、科研、管理和對外交流的主要角色,為確保校園網(wǎng)安全有效運(yùn)行管理,加大對網(wǎng)絡(luò)安全問題的分析和管理,并從網(wǎng)絡(luò)安全技術(shù)應(yīng)用中來解決具體問題就顯得尤為迫切。
校園網(wǎng)建設(shè)是為推進(jìn)學(xué)校教學(xué)、科研以及管理等方面而提供的信息交流的平臺。從建設(shè)系統(tǒng)來看,內(nèi)部信息系統(tǒng)主要限于校園網(wǎng)內(nèi)部用戶的使用,而外部信息系統(tǒng)則是進(jìn)行對外宣傳,以及為教學(xué)提供海量數(shù)據(jù)資源。其結(jié)構(gòu)特點主要表現(xiàn)在:一是校園網(wǎng)絡(luò)結(jié)構(gòu)相對復(fù)雜,在邏輯結(jié)構(gòu)上包含核心層、匯聚層和接入層;在功能劃分上滿足教學(xué)、辦公及學(xué)生上網(wǎng)需要;在接入方式上有寬帶、無線等模式;二是從用戶群體來看,類型復(fù)雜,校園網(wǎng)從建設(shè)伊始就面臨著內(nèi)外用戶的訪問需要,都給網(wǎng)絡(luò)管理帶來了難度。
校園網(wǎng)在教育資源的共享、信息交流及協(xié)同辦公需求上,對高速、穩(wěn)定、可靠要求更高。校園網(wǎng)絡(luò)體系結(jié)構(gòu)存在的常見網(wǎng)絡(luò)安全威脅有以下幾點:一是系統(tǒng)漏洞的威脅,計算機(jī)系統(tǒng)發(fā)展至今,由于系統(tǒng)自身存在的、未經(jīng)授權(quán)情況而發(fā)生的訪問請求,如黑客攻擊、病毒感染等都給網(wǎng)絡(luò)安全帶來隱患;二是對計算機(jī)病毒防范不夠,病毒變種發(fā)作率日益嚴(yán)重,對用戶信息的泄漏,以及對信息資源的破壞給網(wǎng)絡(luò)管理帶來難度;三是對網(wǎng)絡(luò)資源的利用率不高,部分用戶私自占有大量帶寬,影響其他用戶的正常使用;四是垃圾郵件、不良信息的傳播加劇,不僅降低了網(wǎng)絡(luò)資源利用率,還給病毒傳播提供載體,也給校園網(wǎng)絡(luò)環(huán)境的凈化帶來阻礙。
防火墻是介于局域網(wǎng)和廣域網(wǎng)之間的安全屏障,其作用是能夠?qū)ν鈦碛脩舻脑L問請求進(jìn)行檢測和控制,對于非法訪問給予屏蔽,從而保護(hù)了信息傳輸?shù)陌踩?、合法性,提高了網(wǎng)絡(luò)系統(tǒng)的安全級。其功能主要表現(xiàn)在:一是作為屏障對訪問請求進(jìn)行有效過濾,如在面對源路由攻擊和基于ICMP重定向中的重定向攻擊時,防火墻能夠從防范來自路由的非法訪問;二是能夠?qū)υL問存取操作進(jìn)行記錄并監(jiān)控,利用日志記錄可以實現(xiàn)對網(wǎng)絡(luò)使用情況的分析統(tǒng)計,并對可疑操作給予監(jiān)測和報警;三是防范內(nèi)部信息對外泄露,通過對流經(jīng)防火墻的數(shù)據(jù)和服務(wù)進(jìn)行監(jiān)控,特別是對于敏感信息的監(jiān)測,以防范內(nèi)部信息的泄漏。
入侵檢測系統(tǒng)(IDS)是基于被動防御為主的,對外來訪問進(jìn)行有效控制的技術(shù),比防火墻更深入地主動攔截惡意代碼,并能夠?qū)﹃P(guān)鍵信息進(jìn)行收集和分析,如異常檢測模型能夠在當(dāng)前主體的活動與正常行為偏離時,降低漏報率;誤用檢測模型的應(yīng)用,可以從設(shè)定的入侵活動特征對比中實現(xiàn)對當(dāng)前行為特征的檢測和匹配,從而降低誤報率。入侵檢測系統(tǒng)的優(yōu)勢是能夠?qū)θ肭中袨檫M(jìn)行主動檢測和報警,但是檢測規(guī)則和統(tǒng)計方法限于特定網(wǎng)絡(luò)環(huán)境,適用性不夠。
計算機(jī)病毒是困擾網(wǎng)絡(luò)安全的主要?dú)⑹?,也是校園網(wǎng)絡(luò)安全管理的重點。結(jié)合計算機(jī)病毒的破壞特征,可從其產(chǎn)生的目的、破壞目標(biāo),以及對用戶和系統(tǒng)性能的危害上等特點制定相應(yīng)的防御對策。如通過建立行為規(guī)則來判定病毒的運(yùn)行特征,一旦與規(guī)則匹配則報警,并作出相應(yīng)處理。如依據(jù)病毒關(guān)鍵字、特征代碼以及病毒危害行為特征來編寫病毒特征庫,以提高檢驗和監(jiān)測病毒的效率。病毒的清除技術(shù)是對檢測結(jié)果進(jìn)行的處理,它實現(xiàn)了對病毒感染的逆操作,如利用殺毒軟件對病毒特征庫的更新來追蹤病毒,以實現(xiàn)對病毒的有效清除。
虛擬局域網(wǎng)是借助于網(wǎng)絡(luò)技術(shù)實現(xiàn)對網(wǎng)絡(luò)設(shè)備邏輯地址的劃分,打破了傳統(tǒng)局域網(wǎng)的結(jié)構(gòu)特征,使其更加靈活和便捷。通過VLAN技術(shù),使得數(shù)據(jù)從發(fā)送到接受都在同一個虛擬網(wǎng)絡(luò)中接受和轉(zhuǎn)發(fā),以此來避免交換信息被其他子網(wǎng)所利用。特別是對于大型網(wǎng)絡(luò),VLAN能夠從信息傳輸流量上減少廣播風(fēng)暴的影響,在降低網(wǎng)絡(luò)堵塞的同時提高信息傳輸?shù)男?;從網(wǎng)絡(luò)安全性上,利用路由器來進(jìn)行安全監(jiān)測和控制,提高網(wǎng)絡(luò)安全性。
虛擬專用網(wǎng)(VPN)技術(shù)是通過對公用網(wǎng)絡(luò)建立臨時安全的鏈接,以滿足任意兩個節(jié)點進(jìn)行安全、穩(wěn)定的臨時性通信,具有較高的安全性;網(wǎng)絡(luò)安全掃描技術(shù)主要是針對網(wǎng)絡(luò)管理中可能存在的漏洞,通過資源掃描來獲取網(wǎng)絡(luò)安全信息,以防范可能出現(xiàn)的錯誤配置;數(shù)據(jù)備份技術(shù)是面向?qū)嶋H應(yīng)用,為了減少人為誤操作,以及發(fā)生硬件故障而采取的一種數(shù)據(jù)完整性復(fù)制功能,用以挽救災(zāi)難恢復(fù),在分布式網(wǎng)絡(luò)環(huán)境中的應(yīng)用更為廣泛和有效。
本文對影響校園網(wǎng)安全的各類風(fēng)險因素進(jìn)行分析,運(yùn)用網(wǎng)絡(luò)安全技術(shù)建立保障體系,并結(jié)合嚴(yán)格規(guī)范的管理制度與合適的解決方案,實現(xiàn)校園網(wǎng)的安全、可靠、高效運(yùn)行。
[1] 周建坤.校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全體系的研究[D].山東大學(xué),2011.
[2] 蔡曉熙.基于風(fēng)險分析的信息系統(tǒng)安全定級方法[D].南京郵電大學(xué),2012.