摘 要：隨著高等院校的擴(kuò)展，人數(shù)迅速增長，網(wǎng)絡(luò)用戶規(guī)模大幅增加。由于不同計(jì)算機(jī)技術(shù)水平的人員具有不同的網(wǎng)絡(luò)操作水平，導(dǎo)致校園網(wǎng)絡(luò)面臨的威脅越來越嚴(yán)重。本文詳細(xì)地分析了新時(shí)期校園網(wǎng)絡(luò)面臨的安全威脅，從應(yīng)用層、接入層、傳輸層等方面構(gòu)建了一個(gè)深度防御系統(tǒng)，保證校園網(wǎng)絡(luò)正常運(yùn)行。

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全威脅；病毒；防火墻

中圖分類號(hào)：TP393.08

隨著我國高校規(guī)模的迅速擴(kuò)張，校園網(wǎng)絡(luò)覆蓋范圍也越來越大，分布在不同區(qū)域的校園網(wǎng)絡(luò)用戶也迅速上升。由于學(xué)生、教師以及行政工作人員的計(jì)算機(jī)操作水平不盡相同，很多人不能夠熟練掌握正確的網(wǎng)絡(luò)訪問方法，導(dǎo)致校園網(wǎng)絡(luò)面臨巨大的安全威脅。尤其許多的學(xué)生用戶，網(wǎng)絡(luò)安全意識(shí)淡薄，獵奇心重，且安全防護(hù)的措施比較簡單，計(jì)算機(jī)更加容易被木馬感染，以此傳播于校園網(wǎng)中，對(duì)網(wǎng)絡(luò)造成影響，更是加劇了網(wǎng)絡(luò)運(yùn)行的風(fēng)險(xiǎn)。因此，加強(qiáng)校園網(wǎng)絡(luò)安全防御措施，規(guī)范用戶上網(wǎng)行為，已經(jīng)成為校園網(wǎng)絡(luò)管理的重要工作[1]。

1 新時(shí)期校園網(wǎng)絡(luò)面臨的安全威脅

校園網(wǎng)絡(luò)在使用和發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問題也日益凸顯，主要表現(xiàn)在形式多樣化的網(wǎng)絡(luò)威脅、居高不下的漏洞數(shù)量和多種多樣的病毒傳播方式等方面。

1.1 形式多樣化的網(wǎng)絡(luò)威脅

校園網(wǎng)安全主要的威脅來自黑客攻擊，它主要是經(jīng)過挖掘?qū)嶋H操作系統(tǒng)實(shí)現(xiàn)中潛在的技術(shù)漏洞，來訪問與處理最高權(quán)限的信息資源[2]。黑客還能夠經(jīng)過信息搜集與欺騙的方式，來對(duì)校園網(wǎng)的薄弱環(huán)節(jié)進(jìn)行攻擊，并以此來對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。黑客采用的攻擊手段主要有：采用網(wǎng)站和電子郵件實(shí)現(xiàn)詐騙、采用網(wǎng)絡(luò)銀行盜號(hào)木馬、木馬軟件等對(duì)網(wǎng)絡(luò)實(shí)施攻擊，同時(shí)在網(wǎng)絡(luò)上制作、散布惡意代碼，竊取敏感信息。原來，網(wǎng)絡(luò)黑客的攻擊只是來獲取經(jīng)濟(jì)方面的利益，目前，網(wǎng)絡(luò)黑客已經(jīng)發(fā)展到對(duì)特定目標(biāo)的網(wǎng)絡(luò)進(jìn)行攻擊。

1.2 居高不下的漏洞數(shù)量

網(wǎng)絡(luò)面臨最大的安全隱患就是針對(duì)漏洞發(fā)起的各種攻擊，尤其是計(jì)算機(jī)操作系統(tǒng)中隱含的安全漏洞。在高校校園網(wǎng)絡(luò)環(huán)境當(dāng)中，各個(gè)主機(jī)系統(tǒng)的安全性制約著網(wǎng)絡(luò)系統(tǒng)的安全性，因此校園網(wǎng)絡(luò)安全需要安全的操作系統(tǒng)來給予支持。Unix、WindowsServer、Linux等是當(dāng)前高校校園網(wǎng)中經(jīng)常使用的操作系統(tǒng)，它們都符合C2級(jí)安全級(jí)別，但是同樣也有很多的漏洞，如IIS漏洞、Unix的自身安全漏洞等[3]。

1.3 多種多樣的病毒傳播方式

和傳統(tǒng)單機(jī)病毒明顯不同，網(wǎng)絡(luò)病毒的傳播速度快、傳播途徑廣，也不需要普通用戶的參與，對(duì)網(wǎng)絡(luò)造成的危害特別大。網(wǎng)絡(luò)病毒包括FTP病毒、郵件病毒以及網(wǎng)頁病毒等，比如熊貓燒香病毒、震蕩波病毒、ARP病毒、AV終結(jié)者病毒等，都嚴(yán)重威脅著校園網(wǎng)的安全[4]。這些病毒通過入侵網(wǎng)站、隱藏在電子郵件中或通過移動(dòng)存儲(chǔ)介質(zhì)流轉(zhuǎn)等方式侵入校園網(wǎng)，自動(dòng)地探測(cè)計(jì)算機(jī)中所存在的漏洞，或者會(huì)自動(dòng)的對(duì)有用信息進(jìn)行收集，比如網(wǎng)絡(luò)中傳送的明文口令、郵件地址列表等。

2 校園網(wǎng)絡(luò)安全深度防御系統(tǒng)應(yīng)用構(gòu)建

2.1 應(yīng)用層安全防御措施

應(yīng)用層與網(wǎng)絡(luò)用戶直接接觸，因此，加強(qiáng)應(yīng)用層安全防御措施是保護(hù)網(wǎng)絡(luò)安全的第一道屏障，具有非常重要的意義。應(yīng)用層采取的措施有：加強(qiáng)用戶/組的管理，實(shí)行單一登陸及認(rèn)證。給每個(gè)用戶分配固定的標(biāo)識(shí)，根據(jù)用戶的信息對(duì)用戶的訪問權(quán)限進(jìn)行控制，并根據(jù)用戶的網(wǎng)絡(luò)行為對(duì)用戶的權(quán)限動(dòng)態(tài)調(diào)控。具體的：在多個(gè)用戶訪問服務(wù)器資源過程中，可以針對(duì)用戶設(shè)置不同的權(quán)限角色，不同的用戶角色在訪問系統(tǒng)資源的過程中，擁有不同的訪問權(quán)限。同時(shí)如果網(wǎng)絡(luò)用戶在訪問過程中，發(fā)現(xiàn)其存在更高的需求，可以為其設(shè)置更高的訪問權(quán)限，以便能夠保護(hù)系統(tǒng)的服務(wù)資源，確保用戶實(shí)現(xiàn)有效控制訪問[5]。

2.2 接入層安全防御措施

接入層根據(jù)不同的IP地址歸屬，采用不同的網(wǎng)絡(luò)存取控制和授權(quán)模式，同時(shí)加大遠(yuǎn)程接入的安全防范。由于學(xué)校學(xué)生用戶較多，不同的學(xué)生歸屬不同的院系，因此，為了能夠控制學(xué)生對(duì)網(wǎng)絡(luò)中分布的應(yīng)用服務(wù)器進(jìn)行存取控制，應(yīng)根據(jù)校園網(wǎng)絡(luò)使用的IP地址進(jìn)行分類，將IP地址與所屬于的VPN、VLAN和所屬于的子網(wǎng)、計(jì)算機(jī)的MAC地址、用戶名等信息實(shí)施映射，形成一一對(duì)應(yīng)的關(guān)系。這樣不但可以有效地控制網(wǎng)絡(luò)應(yīng)用的訪問和存取權(quán)限，同時(shí)也可以非常容易且方便地管理和監(jiān)測(cè)網(wǎng)絡(luò)中的所有用戶。同時(shí)采用ROST技術(shù)實(shí)施強(qiáng)制訪問控制，所有用戶（包括最高權(quán)限用戶）都無法訪問受保護(hù)的網(wǎng)絡(luò)資源。校園網(wǎng)絡(luò)用戶遠(yuǎn)程接入操作頻繁，經(jīng)常存在一個(gè)教師或校領(lǐng)導(dǎo)在家里操作學(xué)校的電腦，實(shí)施數(shù)據(jù)傳輸、日常辦公等，因此，遠(yuǎn)程接入時(shí)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸是一項(xiàng)非常重要的工作。為了能夠更加有效地支撐該類操作，采用遠(yuǎn)程接入技術(shù)主要是IPSec VPN和SSLVPN技術(shù)為數(shù)據(jù)傳輸過程進(jìn)行加密。

2.3 傳輸層防御措施

傳輸層可以采用嚴(yán)格的安全保護(hù)措施，比如構(gòu)建一個(gè)入侵檢測(cè)、審計(jì)分析和防火墻體系。在傳輸層可以使用病毒軟件、防火墻、ACL和虛擬局域網(wǎng)等手段進(jìn)行實(shí)現(xiàn)，主要為校園網(wǎng)絡(luò)用戶構(gòu)建一個(gè)網(wǎng)絡(luò)防火墻體系，以便能夠控制網(wǎng)絡(luò)用戶的認(rèn)證信息，保證網(wǎng)絡(luò)不受到病毒、黑客的侵襲，以便能夠正常地為用戶提供服務(wù)。

2.4 其他主動(dòng)防御措施

（1）網(wǎng)絡(luò)主動(dòng)預(yù)警。校園網(wǎng)絡(luò)運(yùn)行過程中，可以采用主動(dòng)預(yù)警技術(shù)，采用基于神經(jīng)網(wǎng)絡(luò)、遺傳算法等技術(shù)入侵檢測(cè)方案，檢測(cè)網(wǎng)絡(luò)是否存在非法的數(shù)據(jù)流，掃描網(wǎng)絡(luò)是否存在漏洞，以便能夠根據(jù)網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)知識(shí)，判斷網(wǎng)絡(luò)中信息流的內(nèi)容及特征，實(shí)施主動(dòng)預(yù)警。目前，主動(dòng)預(yù)警技術(shù)包括四種，分別是漏洞預(yù)警、行為預(yù)警、攻擊預(yù)警和情報(bào)收集分析預(yù)警。漏洞預(yù)警可以使用先進(jìn)的掃描技術(shù)掃描網(wǎng)絡(luò)操作系統(tǒng)、防火墻、服務(wù)器是否存在漏洞，以便能夠及時(shí)都發(fā)現(xiàn)漏洞，阻止網(wǎng)絡(luò)黑客通過漏洞攻擊；行為預(yù)警可以采用數(shù)據(jù)挖掘技術(shù)，抓取網(wǎng)絡(luò)攻擊行為數(shù)據(jù)流，分析數(shù)據(jù)流的特征，預(yù)知網(wǎng)絡(luò)受到的攻擊；攻擊預(yù)警可以根據(jù)當(dāng)前正在發(fā)生、已經(jīng)發(fā)生的攻擊行為判斷網(wǎng)絡(luò)未來是否存在攻擊行為，及時(shí)地予以阻止；情報(bào)收集分析預(yù)警可以通過從海量數(shù)據(jù)信息中抓取各類網(wǎng)絡(luò)信息，判斷網(wǎng)絡(luò)發(fā)生攻擊的行為，有效地進(jìn)行阻止。

（2）網(wǎng)絡(luò)主動(dòng)響應(yīng)。如果網(wǎng)絡(luò)預(yù)警攻擊即將發(fā)生或者網(wǎng)絡(luò)攻擊已經(jīng)發(fā)生，網(wǎng)絡(luò)主動(dòng)響應(yīng)技術(shù)可以及時(shí)做出攻擊防范，將攻擊給網(wǎng)絡(luò)帶來的危害降低到最小程度。網(wǎng)路主動(dòng)響應(yīng)技術(shù)能夠及時(shí)判斷攻擊源位置，搜集網(wǎng)絡(luò)攻擊數(shù)據(jù)，可以采用網(wǎng)絡(luò)僚機(jī)技術(shù)或網(wǎng)絡(luò)攻擊誘騙技術(shù)，將網(wǎng)絡(luò)攻擊引導(dǎo)到一個(gè)無用的主機(jī)上去，也可以使用網(wǎng)絡(luò)監(jiān)控系統(tǒng)和網(wǎng)絡(luò)深度防火墻將網(wǎng)絡(luò)攻擊阻斷，避免造成網(wǎng)絡(luò)癱瘓，無法使用。

3 結(jié)束語

校園網(wǎng)絡(luò)深度防御系統(tǒng)是一項(xiàng)非常復(fù)雜的、動(dòng)態(tài)的工程，其隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)安全技術(shù)的發(fā)展和進(jìn)步，將會(huì)得到不斷的完善。融合多種漏洞檢測(cè)、訪問控制、主動(dòng)預(yù)警等技術(shù)，建立一個(gè)全方位、多層次、多維度的深層防御系統(tǒng)，以保證校園網(wǎng)絡(luò)能夠正常運(yùn)行，為用戶提供良好的網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)：

[1]江小燕.學(xué)校辦公自動(dòng)化的網(wǎng)絡(luò)安全管理[J].信息與電腦（理論版），2010（05）.

[2]古玲聰.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)分析與設(shè)計(jì)[J].西南農(nóng)業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2011（07）.

[3]王希忠，黃俊強(qiáng).《網(wǎng)絡(luò)安全管理》標(biāo)準(zhǔn)介紹[J].信息技術(shù)與標(biāo)準(zhǔn)化，2010（10）.

[4]高澤毅.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全管理[J].信息與電腦（理論版），2010（12）.

[5]查日強(qiáng).入侵檢測(cè)系統(tǒng)NetDT配置[J].電腦知識(shí)與技術(shù)，2011（15）.

作者單位：達(dá)州市高級(jí)技工學(xué)校，四川達(dá)州 635000