王 召（西北民族大學(xué)電氣工程學(xué)院，蘭州 730000）

校園網(wǎng)網(wǎng)絡(luò)安全措施研究

王 召
（西北民族大學(xué)電氣工程學(xué)院，蘭州 730000）

通常的校園網(wǎng)網(wǎng)絡(luò)不能全面地監(jiān)控整個(gè)網(wǎng)絡(luò)和各種設(shè)備的運(yùn)行狀態(tài)并記錄和深入分析網(wǎng)絡(luò)流量，無(wú)法實(shí)時(shí)監(jiān)控教師行為，私設(shè)IP地址的行為時(shí)有發(fā)生，迅雷、flashget等多線程下載軟件搶占網(wǎng)絡(luò)帶寬的現(xiàn)象很突出。為了解決這些問(wèn)題，增加統(tǒng)一威脅管理網(wǎng)關(guān)，加強(qiáng)網(wǎng)絡(luò)安全管理，從而實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡、網(wǎng)絡(luò)防火墻過(guò)濾、帶寬管理、上網(wǎng)行為管理。是保證校園網(wǎng)絡(luò)安全的重要措施。

安全；策略；控制

保證校園網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提條件。為了保護(hù)設(shè)備免遭環(huán)境事故的影響，我們所采用的設(shè)備必須要安全可靠，可以防止火災(zāi)、水災(zāi)等破壞，也可以避免人為操作的錯(cuò)誤或失誤，從而更好地保護(hù)校園網(wǎng)絡(luò)系統(tǒng)和服務(wù)器。物理安全策略主要包括以下兩個(gè)方面:

（1）環(huán)境安全。能夠保護(hù)計(jì)算機(jī)系統(tǒng)的安全，使之工作在相對(duì)安全的工作狀態(tài)下，并能更好地創(chuàng)造電磁兼容的環(huán)境。

（2）設(shè)備安全。設(shè)備的防毀、防盜、防電磁信息輻射泄漏、電源保護(hù)及抗電磁干擾等，都是設(shè)備安全的主要方面。

1　訪問(wèn)控制策略

我們所采取的一些訪問(wèn)控制的措施是為了防止非法用戶對(duì)網(wǎng)絡(luò)資源使用和訪問(wèn)，網(wǎng)絡(luò)安全最重要的策略是訪問(wèn)控制策略。

（1）網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制可以控制非法操作，保護(hù)網(wǎng)絡(luò)安全。系統(tǒng)可以對(duì)用戶設(shè)定權(quán)限，也對(duì)用戶組限定了一些權(quán)限。只有這樣，才能有效的控制用戶的訪問(wèn)目錄，控制訪問(wèn)資源及訪問(wèn)文件以等，對(duì)于一些目錄的操作也對(duì)用戶設(shè)定了限制。

（2）入網(wǎng)訪問(wèn)控制。第一層訪問(wèn)控制是入網(wǎng)訪問(wèn)控制，它可以有效的控制不被允許的人登陸到網(wǎng)絡(luò)，從而獲取網(wǎng)絡(luò)資源，還可以控制用戶的登陸時(shí)間和登陸網(wǎng)站。

（3）屬性安全控制。如果用到目錄、文件和網(wǎng)絡(luò)設(shè)備時(shí)，校園網(wǎng)絡(luò)管理者應(yīng)該給目錄、文件等指定一些訪問(wèn)屬性。把給定的屬性與目錄、網(wǎng)絡(luò)服務(wù)器的文件和網(wǎng)絡(luò)設(shè)備連接在一起，這是屬性安全控制的任務(wù)。為了能保證更好的安全性，屬性安全是在權(quán)限安全的條件下進(jìn)行的。

（4）目錄級(jí)安全控制。用戶在指定的權(quán)限內(nèi)可以有效的訪問(wèn)目錄，同時(shí)也可以指定子目錄下的一些權(quán)。

（5）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。自動(dòng)鎖定賬戶是在進(jìn)入網(wǎng)絡(luò)的次數(shù)達(dá)到設(shè)定數(shù)值時(shí)進(jìn)行的，這樣可以限定非法訪問(wèn)用戶的次數(shù)。

（6）網(wǎng)絡(luò)服務(wù)器安全控制。服務(wù)器的控制臺(tái)上進(jìn)行的一系列操作是網(wǎng)絡(luò)允許的。網(wǎng)管應(yīng)該對(duì)校園網(wǎng)進(jìn)行監(jiān)控，用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)可以被服務(wù)器記錄下來(lái)。服務(wù)器應(yīng)該對(duì)非法的網(wǎng)絡(luò)訪問(wèn)以圖形或聲音或文字等一些方式報(bào)警，這樣就可以引起校園網(wǎng)絡(luò)管理者的注意。當(dāng)非法用戶試圖進(jìn)入校園網(wǎng)絡(luò)時(shí)，對(duì)控制臺(tái)模塊進(jìn)行裝載和卸載，非法刪除和安裝軟件等這些操作是會(huì)被網(wǎng)絡(luò)服務(wù)器自動(dòng)記錄下來(lái)的。為了防止非法用戶破壞數(shù)據(jù)或刪除、修改重要信息，可以對(duì)網(wǎng)絡(luò)服務(wù)器設(shè)定口令鎖定。同時(shí)也可以對(duì)服務(wù)器進(jìn)行登錄時(shí)間的控制、對(duì)非法訪問(wèn)者也可以進(jìn)行檢測(cè)，關(guān)閉其非法操作，也可以查到相應(yīng)的時(shí)間間隔。

2　防火墻控制策略

可以保護(hù)校園網(wǎng)絡(luò)安全的技術(shù)措施是防火墻技術(shù)，它是近期發(fā)展起來(lái)的一種技術(shù)?？梢宰柚购诳驮L問(wèn)網(wǎng)絡(luò)機(jī)構(gòu)，防火墻位于軟件或者硬件或兩種都有，它是一種可以控制網(wǎng)絡(luò)的系統(tǒng)，可以限制非法用戶訪問(wèn)網(wǎng)絡(luò)資源，監(jiān)控內(nèi)部和外部網(wǎng)絡(luò)系統(tǒng)，可以防止破壞和偷竊行為的惡意攻擊［1］。

3　信息加密策略

保護(hù)校園網(wǎng)內(nèi)的文件、數(shù)據(jù)、控制信息和口令，保護(hù)網(wǎng)絡(luò)傳送的數(shù)據(jù)是信息加密的主要目的。端點(diǎn)加密、鏈路加密和節(jié)點(diǎn)加密是網(wǎng)絡(luò)加密常采用的三種方法。鏈路加密是指保護(hù)校園網(wǎng)絡(luò)節(jié)點(diǎn)與節(jié)點(diǎn)之間的鏈路信息安全。對(duì)從起始端用戶到目的端用戶提供數(shù)據(jù)保護(hù)是端點(diǎn)加密技術(shù)。對(duì)從源節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的鏈路傳送進(jìn)行保護(hù)是節(jié)點(diǎn)加密技術(shù)。各種加密算法對(duì)信息加密過(guò)程進(jìn)行具體實(shí)施。在很多情況下，保證信息機(jī)密性的唯一方法是信息加密策略［2］。

4　網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

試圖破壞信息系統(tǒng)的機(jī)密性、完整性、可信性的所有網(wǎng)絡(luò)活動(dòng)都叫做網(wǎng)絡(luò)入侵。入侵檢測(cè)（IntrusionDeteetion）技術(shù)是指：能檢測(cè)針對(duì)網(wǎng)絡(luò)資源或計(jì)算機(jī)的惡意行為和企圖，并對(duì)這些行為和企圖做出相應(yīng)反應(yīng)的過(guò)程。該技術(shù)可以檢測(cè)出來(lái)自內(nèi)部用戶的未被授權(quán)的活動(dòng)，也可以查出來(lái)自外部的入侵行為。 這個(gè)技術(shù)采用了以攻為守的策略，它能提供出合法用戶亂用特權(quán)的數(shù)據(jù)，也有可能提供一些非法用戶入侵網(wǎng)絡(luò)的有效證據(jù)。

5　鏡像和備份技術(shù)

鏡像技術(shù)是指兩個(gè)設(shè)備同時(shí)運(yùn)行完全一樣的工作，如果其中一個(gè)設(shè)備發(fā)生故障，另一個(gè)設(shè)備還可以繼續(xù)工作。為了提高完整性，需要采用鏡像和備份技術(shù)。提高數(shù)據(jù)完整性最常用的措施是備份技術(shù)，對(duì)于需要保護(hù)的數(shù)據(jù)，在其他地方制作一個(gè)備份，如果原件丟失了，還能使用備份數(shù)據(jù)［3］。

6　網(wǎng)絡(luò)安全策略配置

（1）安全接入和配置。在接入網(wǎng)絡(luò)前，為了保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，要經(jīng)過(guò)授權(quán)和認(rèn)證限制。

（2）謝絕服務(wù)的防止。防止主要是防止出現(xiàn)Smurf攻擊、TCP SYN泛濫攻擊等是校園網(wǎng)絡(luò)的設(shè)備拒絕服務(wù)攻擊的的主要目的。配置網(wǎng)絡(luò)設(shè)備的TCP SYN臨界值，如果多于設(shè)定的臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包是網(wǎng)絡(luò)設(shè)備防止TCP SYN的主要方法。為了避免成為一個(gè)Smurf攻擊的受害者和轉(zhuǎn)發(fā)者，應(yīng)該防Smurf攻擊，使得配置網(wǎng)絡(luò)設(shè)備設(shè)置ICMP包臨界值和不轉(zhuǎn)發(fā)ICMP echo請(qǐng)求。

（3）訪問(wèn)控制。① 開(kāi)放全部端口并允許內(nèi)網(wǎng)訪問(wèn)Internet；② 從公網(wǎng)到隔離區(qū)的訪問(wèn)請(qǐng)求是允許的；③ 關(guān)閉全部端口并禁止公網(wǎng)到內(nèi)部區(qū)的訪問(wèn)請(qǐng)求；④ 開(kāi)放全部端口并允許內(nèi)網(wǎng)訪問(wèn)隔離區(qū)；⑤ 開(kāi)放全部端口并允許隔離區(qū)訪問(wèn)Internet；⑥ 關(guān)閉全部端口并禁止隔離區(qū)訪問(wèn)內(nèi)網(wǎng)。

［1］王英龍.Ad Hoc網(wǎng)絡(luò)路由協(xié)議安全性分析方法研究［J］.山東：山東大學(xué)，2005：17-20.

［2］宋慶大.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題和對(duì)策研究［J］.現(xiàn)代電子技術(shù)，2009（05）：15.

［3］張燕.網(wǎng)絡(luò)故障診斷關(guān)鍵技術(shù)［J］.電腦知識(shí)與技術(shù)，2009（11）：32.

10.16640/j.cnki.37-1222/t.2016.14.122

王召（1995-），女，湖北孝感人，本科在讀。