摘 要：隨著網(wǎng)絡(luò)應(yīng)用的深入發(fā)展，網(wǎng)絡(luò)在各種信息系統(tǒng)中的作用越來越重要，同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全受到嚴(yán)峻的考驗(yàn)，諸如利用系統(tǒng)漏銅進(jìn)行攻擊、非法獲取用戶信息與數(shù)據(jù)、傳輸釋放病毒等攻擊手段與方式層出不窮。如何更有效地保護(hù)重要的信息數(shù)據(jù)，提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個(gè)重要問題。

關(guān)鍵詞：校園網(wǎng)絡(luò)；漏洞；安全策略

中圖分類號(hào)：TP393.18

1 校園網(wǎng)絡(luò)造成安全問題

校園網(wǎng)絡(luò)自身的特點(diǎn)是網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍，是安全問題比較突出的地方。校園網(wǎng)的以下特點(diǎn)導(dǎo)致安全管理非常復(fù)雜：

1.1 網(wǎng)絡(luò)的速度快和規(guī)模大。目前普遍使用了百兆到桌面、千兆園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群體一般也比較大，教學(xué)，辦公，科研等無不用到網(wǎng)絡(luò)，用戶群也比較密集。正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問題蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。

1.2 網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜。校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)的購置和管理情況非常復(fù)雜，出現(xiàn)安全問題后通常無法分清責(zé)任。比較典型的現(xiàn)象是，用戶的計(jì)算機(jī)接入校園網(wǎng)后感染病毒，反過來這臺(tái)感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)的運(yùn)行。

1.3 開放的網(wǎng)絡(luò)環(huán)境。由于教學(xué)和科研的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也是較為寬松的。企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量，甚至限制外部發(fā)起的連接不允許進(jìn)入，可校園網(wǎng)是行不通的，否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。

1.4 校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用。有的校園網(wǎng)用戶利用免費(fèi)的校園網(wǎng)資源提供商業(yè)的或者免費(fèi)的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用；垃圾郵件、不良信息的傳播等。

2 校園網(wǎng)絡(luò)信息系統(tǒng)的漏洞帶來的安全問題

網(wǎng)絡(luò)系統(tǒng)的一個(gè)缺陷被利用來干“原本”不能去干的事，就被稱為安全漏洞，所以安全漏洞必然和系統(tǒng)漏洞的利用緊密聯(lián)系在一起，導(dǎo)致當(dāng)前校園網(wǎng)常見的風(fēng)險(xiǎn)。漏洞利用的類型：

2.1 數(shù)據(jù)方面。訪問本來不可訪問的數(shù)據(jù)，包括讀和寫。這一條通常是攻擊者的核心目的，而且可造成非常嚴(yán)重的災(zāi)難。

2.2 可用性。獲得對系統(tǒng)某些服務(wù)的控制權(quán)限，這可能導(dǎo)致某些重要服務(wù)被攻擊者停止而導(dǎo)致拒絕服務(wù)攻擊。

2.3 認(rèn)證繞過。通常利用認(rèn)證系統(tǒng)的漏洞而不用受權(quán)就能進(jìn)入系統(tǒng)。通常認(rèn)證繞過都是為權(quán)限提升或直接的數(shù)據(jù)訪問服務(wù)的。

2.4 代碼執(zhí)行。主要是讓程序?qū)⑤斎氲膬?nèi)容作為代碼來執(zhí)行，從而獲得遠(yuǎn)程系統(tǒng)的訪問權(quán)限或本地系統(tǒng)的更高權(quán)限。

3 網(wǎng)絡(luò)防護(hù)的安全策略

網(wǎng)絡(luò)防護(hù)技術(shù)是通過在網(wǎng)絡(luò)邊界處設(shè)置對流經(jīng)的信息利用各種設(shè)備進(jìn)行檢查，只有符合規(guī)定的信息才可以進(jìn)入網(wǎng)絡(luò)，從而達(dá)到阻止對網(wǎng)絡(luò)攻擊目的；或者量化信息單位，使信息分散在各個(gè)邏輯子網(wǎng)中。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

3.1 防火墻。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。它可以關(guān)閉不使用的網(wǎng)絡(luò)端口，能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性；而且還能禁止特定端口的流出通信，封鎖木馬病毒的侵入；它可以禁止特殊站點(diǎn)的主動(dòng)訪問，從而防止來自不明入侵者的所有通信?？梢詫⒎阑饓ε渲贸稍S多不同保護(hù)級(jí)別，適合自身網(wǎng)絡(luò)需要 。防火墻技術(shù)有包過濾技術(shù)、授權(quán)服務(wù)器、應(yīng)用網(wǎng)關(guān)技術(shù)等。

3.2 安全路由器。路由器可以作為監(jiān)控流量的工具，現(xiàn)在它還具備了健壯的防火墻功能，還有一些有用的IDS/IPS功能，QoS和流量管理工具等。在網(wǎng)絡(luò)安全設(shè)備使用上多了選擇。

3.3 VLAN劃分。網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后，確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法，利用路由器細(xì)致的將內(nèi)部網(wǎng)劃分成不同的網(wǎng)絡(luò)安全域，實(shí)施隔離及訪問控制。內(nèi)部網(wǎng)絡(luò)的網(wǎng)段之間的連接，通過路由器防止網(wǎng)段之間的問題穿過整個(gè)網(wǎng)絡(luò)而傳播。達(dá)到信息安全防護(hù)目的。

3.4 VPN。VPN（Virtual Private Network）虛擬專用網(wǎng)絡(luò)，它是通過使用公用線路臨時(shí)性的、安全的連接。將內(nèi)部網(wǎng)絡(luò)通過公用骨干網(wǎng)與由它擴(kuò)張的邏輯上相同的網(wǎng)絡(luò)連接，使區(qū)域分散的網(wǎng)絡(luò)之間與之信任連接，保證數(shù)據(jù)的傳輸安全。VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。

4 網(wǎng)絡(luò)內(nèi)部檢測分析

4.1 系統(tǒng)安全。系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施病毒防范、入侵檢測、審計(jì)分析等技術(shù)。

（1）反病毒技術(shù)。計(jì)算機(jī)病毒是破壞計(jì)算機(jī)系統(tǒng)、應(yīng)用軟件、計(jì)算機(jī)信息數(shù)據(jù)的主要因素，它是能夠自身傳染給其它程序，對網(wǎng)絡(luò)環(huán)境構(gòu)成威脅，有著巨大威脅性和破壞力。通常方法使用殺病毒軟件對計(jì)算機(jī)系統(tǒng)中的文件進(jìn)行周期掃描和監(jiān)測，還可以在終端安裝還原芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等；（2）網(wǎng)絡(luò)漏洞掃描技術(shù)。網(wǎng)絡(luò)攻擊者經(jīng)過踩點(diǎn)掃描入侵以后，總想留下后門，這樣網(wǎng)絡(luò)漏洞掃描系統(tǒng)能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患，防止被黑客所利用的漏洞，對系統(tǒng)中重要的數(shù)據(jù)，文件等進(jìn)行保護(hù)。漏洞掃描主要通過一下兩種方法檢測目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描；（3）審計(jì)監(jiān)控技術(shù)。審計(jì)會(huì)對用戶使用時(shí)間，使用的信息資源，以及如何使用進(jìn)行詳細(xì)的記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，處于操作系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠還原原來的進(jìn)程和問題，對于數(shù)據(jù)恢復(fù)和責(zé)任追查非常有必要。

4.2 內(nèi)部網(wǎng)絡(luò)安全策略。為了保證局域網(wǎng)安全，內(nèi)部網(wǎng)絡(luò)對外網(wǎng)訪問時(shí)進(jìn)行隔離，常用的方法是在內(nèi)網(wǎng)與外部網(wǎng)絡(luò)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測，以構(gòu)筑內(nèi)部網(wǎng)的安全性。

（1）訪問控制。是預(yù)設(shè)好規(guī)則，限制訪問主體對客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)合法的使用。防火墻是實(shí)現(xiàn)訪問控制機(jī)制的主要工具，它不允許敏感數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)流出，所有內(nèi)部數(shù)據(jù)被標(biāo)識(shí)為機(jī)密；并能提供下讀功能來阻止受限的外網(wǎng)對內(nèi)網(wǎng)不安全訪問，提供上寫功能來限制那些非由內(nèi)向外發(fā)出的連接信息進(jìn)入。用它對用戶訪問的資源進(jìn)行管理，對規(guī)則不允許的進(jìn)行限制，允許的才被訪問；（2）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）。路由器提供了一種掩飾內(nèi)部網(wǎng)絡(luò)本質(zhì)的方法，即NAT技術(shù)。把內(nèi)部私有IP地址轉(zhuǎn)換成合法地址，是一個(gè)局域網(wǎng)共用一個(gè)IP地址或少量合法地址上網(wǎng)，從而網(wǎng)絡(luò)之外沒人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)部的任何一臺(tái)特定的主機(jī)發(fā)起攻擊；（3）網(wǎng)絡(luò)安全檢測。它是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法，定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性網(wǎng)絡(luò)掃描，分析出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。提高內(nèi)部網(wǎng)絡(luò)安全防護(hù)性能，檢測評估已運(yùn)行網(wǎng)絡(luò)的安全性能。作為一種積極主動(dòng)的安全防護(hù)技術(shù)，可以對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前可以提供安全防護(hù)解決方案。

5 結(jié)束語

綜上所述，校園網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，還是管理的問題。對于校園網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京：人民郵電出版社，2009.

[2]潘號(hào)良.面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊，2008（03）：74-75.

[3]河南省職業(yè)教研室.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2013.

[4]何文生.企業(yè)網(wǎng)搭建及應(yīng)用[M].北京：電子工業(yè)出版社，2012.

作者單位：平頂山市工業(yè)學(xué)校，河南平頂山 467099