余 輝

（四川省水產(chǎn)學(xué)校 四川 611730）

0 引言

在詳細(xì)分析校園網(wǎng)絡(luò)的基礎(chǔ)上，設(shè)計了校園網(wǎng)絡(luò)安全體系的總體結(jié)構(gòu)，如圖1所示。網(wǎng)絡(luò)的各種安全因素都涵蓋在這一體系結(jié)構(gòu)之內(nèi)，尤其是重大的安全問題和安全隱患更是不會缺少的。從區(qū)域角度考慮，校園網(wǎng)絡(luò)安全體系被劃分成了公網(wǎng)區(qū)域、安全基礎(chǔ)設(shè)施區(qū)域、外單位區(qū)域以及專用區(qū)域四個域，公共安全區(qū)域包括的內(nèi)容主要有邊界訪問控制和入侵檢測系統(tǒng)，還有公共服務(wù)層、網(wǎng)頁保護(hù)、抗DOS以及防火墻等；安全基礎(chǔ)設(shè)施區(qū)域主要包含三大體系：應(yīng)急響應(yīng)和支援體系、基于PKI/PMI的認(rèn)證和授權(quán)管理體系以及網(wǎng)絡(luò)病毒防治服務(wù)體系；外單位區(qū)域主要有網(wǎng)絡(luò)隔離、信息交換層、邊界網(wǎng)絡(luò)控制以及VPN等；專網(wǎng)區(qū)域涵蓋的內(nèi)容是比較多的，主要有辦公業(yè)務(wù)層、多重認(rèn)證與授權(quán)及強(qiáng)審計、系統(tǒng)鏡像、防火墻、漏洞掃描以及入侵檢測等，共同組成了校園網(wǎng)絡(luò)安全體系，為校園網(wǎng)絡(luò)的安全性提供了可靠性的保障。

圖1 校園網(wǎng)絡(luò)安全體系子系統(tǒng)構(gòu)成示意圖

1 VPN網(wǎng)絡(luò)子系統(tǒng)功能

VPN網(wǎng)絡(luò)實現(xiàn)的載體是電信公司提供的地域網(wǎng)，校園網(wǎng)絡(luò)運(yùn)用的是獨(dú)立的VLAN。為了使各辦學(xué)點不同的業(yè)務(wù)能夠正常地進(jìn)行，既可以采用ACL訪問控制列表進(jìn)行業(yè)務(wù)的控制，也可以采用VLAN、MAC地址綁定的方法實現(xiàn)。辦公內(nèi)部網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)、學(xué)院業(yè)務(wù)系統(tǒng)的數(shù)據(jù)大都是通過 VPN隧道傳輸?shù)?，VPN隧道主要是由IPSec VPN技術(shù)從網(wǎng)點路由器到中心路由器建立的。VPN網(wǎng)絡(luò)子系統(tǒng)能夠?qū)Ω鬓k學(xué)點設(shè)備的安全以及辦學(xué)點到中心多業(yè)務(wù)數(shù)據(jù)的安全可靠傳輸進(jìn)行有效的控制，以確保安全傳輸?shù)陌踩?。VPN虛擬專用網(wǎng)是由IPSEC組建的。

2 安全檢測子系統(tǒng)功能

網(wǎng)絡(luò)安全檢測子系統(tǒng)主要應(yīng)用于校園網(wǎng)的Email服務(wù)器、校園網(wǎng)的WWW服務(wù)器等各種服務(wù)器，能夠?qū)崿F(xiàn)對互聯(lián)網(wǎng)的信息進(jìn)行實時地跟蹤和監(jiān)視，可以將互聯(lián)網(wǎng)上傳輸?shù)母鞣N類型的內(nèi)容進(jìn)行及時截獲，并將這些內(nèi)容還原成完整的Telnet、WWW、FTP以及Email等應(yīng)用內(nèi)容，建立相應(yīng)的數(shù)據(jù)庫并使這些記錄得到很好的保存。當(dāng)網(wǎng)絡(luò)上有非法的內(nèi)容進(jìn)行傳輸時，應(yīng)將這些內(nèi)容及時地告知給上級安全網(wǎng)絡(luò)中心，以便能夠及時采取措施使問題得到有效解決。在數(shù)據(jù)庫中保存的訪問日志利用專門的日志分析工具可以進(jìn)行統(tǒng)計并且繪制成統(tǒng)計圖，然后能夠認(rèn)真地分析訪問地址和流量，便能夠及時地了解到明顯的攻擊行為。

3 入侵檢測子系統(tǒng)功能

入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經(jīng)授權(quán)或異常現(xiàn)象的技術(shù)，能夠為計算機(jī)系統(tǒng)提供安全性的保障。入侵檢測系統(tǒng)能夠使各個安全區(qū)域的安全保障工作得到有效的解決。在校園網(wǎng)中最好從網(wǎng)絡(luò)的入侵檢測和主機(jī)的入侵檢測兩方面進(jìn)行檢測，即采用混合入侵檢測，以確保校園網(wǎng)絡(luò)的安全。入侵檢測系統(tǒng)主要分為探測引擎（也叫傳感器Sensor）和控制中心（可分級）兩大部分?？刂浦行囊话闶强刂票镜鼗蜻h(yuǎn)程網(wǎng)絡(luò)中的主機(jī)代理引擎、網(wǎng)絡(luò)探測引擎活動的管理系統(tǒng)。這一系統(tǒng)能夠代理引擎和各種探測引擎配置策略進(jìn)行警戒的、日志的管理?？刂浦行哪軌蛎鞔_地顯示出入侵者的源IP地址、目的端口、當(dāng)前用戶和進(jìn)程以及目的IP地址等入侵報警信息，同時還能夠?qū)κ录M(jìn)行阻斷、報警等多種響應(yīng)設(shè)置。探測引擎的重要組成策略驅(qū)動的分析系統(tǒng)和網(wǎng)絡(luò)監(jiān)聽系統(tǒng)。對物理網(wǎng)絡(luò)上的所有通信信息，探測引擎能夠進(jìn)行實時地監(jiān)聽和分析，還能夠及時地告知控制中心所分析的結(jié)果，同時需要認(rèn)真做好控制中心指令的接受和響應(yīng)工作。IDS部署的方式是采用網(wǎng)絡(luò)探測引擎且在相應(yīng)的交換機(jī)上開一個鏡像端口，然后利用旁路偵聽的方法對網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包進(jìn)行動態(tài)性地監(jiān)測。在探測器和控制中心相互作用以及探測引擎和控制中心都設(shè)置密保的情況下，不僅能夠避免被騙的問題，還能夠防止在策略、日志等在傳輸?shù)倪^程中被其他人私自修改。不僅如此，所有的端口和服務(wù)都已經(jīng)被關(guān)閉了，所以不僅讓IDS這一設(shè)備對于外界而言變得更加透明，并且也讓對IDS提供了安全性的保障。通過實踐應(yīng)用，能夠?qū)^濾和分析的范圍進(jìn)行合理地調(diào)整，以實現(xiàn)數(shù)據(jù)包數(shù)量減少的目的。

4 漏洞掃描子系統(tǒng)功能

網(wǎng)絡(luò)層安全問題的解決首先需要明確網(wǎng)絡(luò)中存在的各種安全隱患。由于大型網(wǎng)絡(luò)具有變化速度快、復(fù)雜程度較高等特點，在尋找安全漏洞、做風(fēng)險評估時單純地依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗是不能使問題得到有效解決的。比較有效的方法是尋找一種能夠檢查網(wǎng)絡(luò)漏洞、對網(wǎng)絡(luò)問題進(jìn)行評估以及提出修改意見的網(wǎng)絡(luò)安全掃描工具，在解決網(wǎng)絡(luò)最新的安全漏洞和去除安全隱患時，可以通過系統(tǒng)配置、打補(bǔ)丁等多種方法使出現(xiàn)的上述問題得到有效的解決。

5 WUSU子系統(tǒng)功能

WUSU補(bǔ)丁通過自動分發(fā)系統(tǒng)使內(nèi)網(wǎng)PC補(bǔ)丁得到了統(tǒng)一升級，使病毒得到有效地防范。當(dāng)WUSU服務(wù)器被配置在內(nèi)網(wǎng)之中，就可以被用作內(nèi)網(wǎng)的控制臺和升級服務(wù)器。升級數(shù)據(jù)是由獨(dú)立的外網(wǎng)的WSUS服務(wù)器升級后導(dǎo)出的，然后通過存儲介質(zhì)就可以數(shù)據(jù)文件導(dǎo)入到內(nèi)網(wǎng)的WUSU服務(wù)器上，從首實現(xiàn)服務(wù)器升級的目的。

6 管理制度子系統(tǒng)功能

在對每個安全層次進(jìn)行研究和分析之后，分別制訂了切實可行的規(guī)章制度，主要有《計算機(jī)安全組織及安全責(zé)任制》《運(yùn)行中心管理制度》《計算機(jī)文檔管理制度》《安全教育及培訓(xùn)制度》以及《計算機(jī)安全防范系統(tǒng)管理制度》等，不僅使各項安全措施真正落實到位，還使其自身的作用得到最大限度地發(fā)揮。

[1]江鐵.網(wǎng)絡(luò)安全綜述[J].電腦知識與技術(shù).2008（36）

[2]江鐵，匡慜.網(wǎng)絡(luò)安全現(xiàn)狀及對策[J].警官文苑.2010（04）

[3]周喆.計算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù).2009（05）