單守雪（亳州學(xué)院 電子與信息工程系，安徽 亳州 236800）

?

校園網(wǎng)絡(luò)安全技術(shù)及防范策略探討

單守雪
（亳州學(xué)院 電子與信息工程系，安徽 亳州 236800）

摘 要：互聯(lián)網(wǎng)貫穿于高校教師的日常辦公、教學(xué)授課、科研學(xué)術(shù)研討交流和學(xué)生的學(xué)習(xí)生活之中，是校園信息化建設(shè)的關(guān)鍵.為了保障校園網(wǎng)高效、穩(wěn)定、安全的運行，保證廣大師生正常使用網(wǎng)絡(luò)，避免因網(wǎng)絡(luò)安全問題帶來不必要的損失，本文針對校園網(wǎng)絡(luò)安全技術(shù)及防范策略進行分析討論，以期構(gòu)建一個安全的校園網(wǎng)絡(luò)系統(tǒng).

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全技術(shù)；防范策略

1 防火墻技術(shù)

1.1 防火墻的概念

防火墻是保護內(nèi)部網(wǎng)絡(luò)抵御黑客攻擊和越權(quán)使用的工具，類型主要有包過濾和應(yīng)用代理兩種.包過濾技術(shù)是關(guān)于數(shù)據(jù)包的過濾規(guī)則，這些規(guī)則確定哪些數(shù)據(jù)包可通過，哪些不能通過.應(yīng)用代理防火墻是對應(yīng)用層的應(yīng)用設(shè)定規(guī)則，對應(yīng)用層數(shù)據(jù)流進行管理［1］.

防火墻設(shè)置的策略：

1.1.1 只有明確允許通過的，才讓其通過，否則拒絕.

1.1.2 如果允許所有流量通過，那么拒絕的就要明確指出.端口一旦開放，要定期查看該端口有沒有不良記錄，以控制其不被利用.

1.1.3 碉堡往往是從內(nèi)部攻破的，防火墻對內(nèi)也要進行防護.1.1.4 防火墻對流量進行直接操作.入侵檢測對流量進行分析，作出判斷，兩者結(jié)合可形成合力，保護網(wǎng)絡(luò)安全.

2 入侵檢測技術(shù)

通過對數(shù)據(jù)流量的檢測、分析，發(fā)現(xiàn)系統(tǒng)中存在的攻擊、越權(quán)使用等行為，并形成報告上交系統(tǒng)的技術(shù)稱之為入侵檢測技術(shù)［2］.即通過對數(shù)據(jù)流量的關(guān)鍵信息進行分析，發(fā)現(xiàn)被黑客入侵的跡象或違反安全策略的行為.

NIDS主要是利用SNIFFE技術(shù)對數(shù)據(jù)進行入侵檢測，實時強，但缺乏對主機內(nèi)的檢測.基于主機的入侵檢測系統(tǒng)（HIDS）能對主機內(nèi)進行檢測，但實時性差，僅作為事后取證.入侵檢測系統(tǒng)圖如下：

圖1 簡單入侵檢測系統(tǒng)圖

3 虛擬專用網(wǎng)技術(shù)（VPN）

VPN解決了不同地區(qū)數(shù)據(jù)傳輸安全問題，給高校網(wǎng)絡(luò)互聯(lián)提供了安全保證［3］.

3.1 VPN的概念

虛擬專用網(wǎng)絡(luò)是在公用網(wǎng)絡(luò)的基礎(chǔ)上，將不同地方的用戶或子網(wǎng)通過采取加密、認證等手段與企業(yè)內(nèi)部網(wǎng)進行連接，形成一個邏輯上的內(nèi)部網(wǎng)，數(shù)據(jù)可以在這個網(wǎng)絡(luò)上安全的傳輸.

3.2 VPN的功能

被授權(quán)的外部用戶可以通過VPN，連接企業(yè)內(nèi)部網(wǎng)，進行數(shù)據(jù)傳輸，數(shù)據(jù)被加密，不會被竊取、截獲、復(fù)制篡改.

3.3 VPN的安全性

VPN是一種擴展公司網(wǎng)絡(luò)和增加網(wǎng)絡(luò)用戶功能的極好途徑.許多網(wǎng)絡(luò)管理員都未能意識到與這個擴展網(wǎng)絡(luò)相關(guān)的許多重要的安全問題.由于允許遠程用戶進入公司網(wǎng)絡(luò)的核心部分，許多限制都沒有了，因此應(yīng)該采取一些措施確保遠程用戶訪問網(wǎng)絡(luò)時不會出現(xiàn)安全漏洞.

4 數(shù)據(jù)加密技術(shù)

針對動態(tài)數(shù)據(jù)的被動攻擊的保護，最有效的是數(shù)據(jù)加密技術(shù).有了數(shù)據(jù)加密技術(shù)，數(shù)據(jù)即使被黑客截獲了，也不用擔(dān)心其被非法利用.

數(shù)據(jù)的加密、解密是在密鑰的控制下，通過加密算法、解決算法來完成的.加解密算法稱為密碼體制，包括對稱密鑰、非對稱密鑰兩種技術(shù).

4.1 對稱密鑰密碼技術(shù)

對稱密鑰密碼技術(shù)的加密密鑰和解密密鑰相同，或從一個很容易推出另一個.所以信息在加密傳輸過程中，要嚴格保管加密密鑰和解密密鑰.對稱密鑰密碼技術(shù)安全、算法高效.

4.2 非對稱加密/公開密鑰加密

美國斯坦福大學(xué)兩名學(xué)者W.Diffie和M.Hellman 1976年在IEEE Trans.on Information刊物上發(fā)表了“New Direction in Cryptography”文章，提出了“公開密鑰密碼體制”的概念，開創(chuàng)了密碼學(xué)研究的新方向.公開密鑰公開的是加密密鑰，但由公開密鑰推不出解密密鑰.用公鑰加密，用私鑰解密，有效的解決了加密密鑰在傳輸中的保管問題.當前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)的密碼算法是RSA.

5 訪問控制技術(shù)

訪問控制技術(shù)規(guī)定了哪些用戶可以訪問網(wǎng)絡(luò)資源，對訪問的用戶進行身份驗證和確認.訪問控制業(yè)務(wù)的目標是防止對任何資源的非法訪問.就目前而言、訪問控制技術(shù)常用的是密碼設(shè)置，對訪問對象分組授予不同的訪問權(quán)限.各組的用戶用自己的密碼就可以進行權(quán)限內(nèi)的訪問.對外部用戶可以使用防火墻技術(shù)實現(xiàn)訪問控制.通過安全策略，設(shè)定用戶訪問權(quán)限，實現(xiàn)對外部用戶的訪問控制.

6 數(shù)據(jù)備份和恢復(fù)技術(shù)

數(shù)據(jù)備份技術(shù)是通過專業(yè)的數(shù)據(jù)存儲管理軟件對全網(wǎng)數(shù)據(jù)進行備份，在系統(tǒng)遭到攻擊或數(shù)據(jù)丟失時，可通過備份進行恢復(fù).當現(xiàn)有系統(tǒng)或數(shù)據(jù)遭到破壞，可使用數(shù)據(jù)恢復(fù)技術(shù)將現(xiàn)在的系統(tǒng)或數(shù)據(jù)恢復(fù)到歷史一個時間點.

當系統(tǒng)數(shù)據(jù)崩潰時，數(shù)據(jù)恢復(fù)就是從數(shù)據(jù)備份中恢復(fù)數(shù)據(jù)，使系統(tǒng)能正常運行.數(shù)據(jù)恢復(fù)建立在數(shù)據(jù)備份基礎(chǔ)上，是用備份數(shù)據(jù)進行恢復(fù)的.當受到黑客攻擊或故障，系統(tǒng)不能正常使用時，使用數(shù)據(jù)恢復(fù)和備份技術(shù)是最直接、最有效、最經(jīng)濟的辦法.

7 防病毒技術(shù)

計算機病毒是指編制或者在計算機程序中插入的危害計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼［4］.計算機病毒傳播速度快、病毒種類多、破環(huán)程度廣、是目前網(wǎng)絡(luò)安全主要的安全威脅.計算機病毒危害有輕度的，有重度的，輕度的可能是個惡作劇、重度的可能破壞數(shù)據(jù)文件、有些可能導(dǎo)致系統(tǒng)癱瘓.

病毒最初是單機的，就在傳輸介質(zhì)連接的電腦之間傳播，后來隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)的開放性、共享性給病毒的傳播提供了溫床.大量病毒開始在互聯(lián)網(wǎng)上大肆傳播.

網(wǎng)絡(luò)病毒利用網(wǎng)絡(luò)傳播，使廣大網(wǎng)絡(luò)使用者深受其害，雖然也安裝了各種殺毒軟件，但也避免不了網(wǎng)絡(luò)病毒的侵害.

7.1 網(wǎng)絡(luò)病毒的預(yù)防

由于網(wǎng)絡(luò)病毒傳播速度快、傳播范圍廣、破壞程度大，我們要做好網(wǎng)絡(luò)病毒的防御措施.在校園網(wǎng)上整體部署網(wǎng)絡(luò)防病毒軟件，及時更新病毒庫，將先進的網(wǎng)絡(luò)安全技術(shù)引入到校園網(wǎng)安全防御系統(tǒng)中來.同時對網(wǎng)絡(luò)管理人員進行不定期的安全培訓(xùn)，從技術(shù)和人員管理兩方面做好網(wǎng)絡(luò)病毒的預(yù)防工作.

網(wǎng)絡(luò)管理人員和操作人員要有防病毒意識，以預(yù)防為主.從管理措施和技術(shù)措施兩方面入手進行防范病毒的工作.

7.1.1 嚴格的管理

制定嚴格的管理制度、操作規(guī)程和行為規(guī)章等.如計算機網(wǎng)絡(luò)系統(tǒng)和計算機機房制定嚴格的管理制度，未經(jīng)允許不得下載安裝來歷不明的軟件，接受郵件和文件要使用專門的終端，建立安全管理制度可有效的避免因認為失誤帶來的計算機病毒的入侵.

7.1.2 成熟的技術(shù)

將先進的、成熟的網(wǎng)絡(luò)安全技術(shù)引入校園網(wǎng)安全防范體系中來，及時更新病毒庫，從技術(shù)手段上做好對病毒的預(yù)防和清理工作.

7.1.3 有效的預(yù)防措施

對新硬盤進行檢測或進行低級格式化.安裝計算機應(yīng)用軟件前，要對計算機進行檢測、殺毒.設(shè)置PC機從硬盤直接啟動.

7.1.4 定期與不定期進行磁盤文件備份工作

用Bootsafe等實用程序或用Debug工具提取分區(qū)表等方法備份分區(qū)表、DOS引導(dǎo)扇區(qū)等，在進行系統(tǒng)維護和修復(fù)工作時可作為參考.對多人共用一臺計算機的環(huán)境，應(yīng)建立登記上機制度，做到有問題能盡早發(fā)現(xiàn)，有病毒能及時追查、清除，不擴散.

7.1.5 網(wǎng)絡(luò)病毒的清除

系統(tǒng)感染病毒后可采取以下措施進行緊急處理：

隔離：及時將中病毒的機器進行隔離，如果是某一節(jié)點中病毒，就將該節(jié)點隔離，避免病毒擴散到整個網(wǎng)絡(luò).

報警：發(fā)現(xiàn)病毒感染點后，立即進行隔離，并向網(wǎng)絡(luò)管理部門報警.

查毒源：系統(tǒng)安全管理人員接到報警后，可使用相應(yīng)防病毒系統(tǒng)鑒別受感染的機器和用戶，檢查那些經(jīng)常引起病毒感染的節(jié)點和用戶，并查找病毒的來源.

采取應(yīng)對方法和對策.網(wǎng)絡(luò)系統(tǒng)安全管理人員要對病毒的破壞程度進行分析檢查，并根據(jù)需要決定采取有效的病毒清除方法和對策.感染不嚴重的可采用重裝系統(tǒng)的方法來清除病毒，如果感染嚴重，特別是一些關(guān)鍵的系統(tǒng)文件，可請防病毒專家來幫助進行病毒清除和數(shù)據(jù)恢復(fù).

修復(fù)前備份數(shù)據(jù).在使用防病毒軟件進行清除病毒的時候要對重要的數(shù)據(jù)進行備份，避免殺毒軟件把重要的文件誤刪.

清除病毒：將重要的數(shù)據(jù)備份，運行查殺病毒軟件，并對相關(guān)系統(tǒng)進行掃描.發(fā)現(xiàn)有病毒，立即清除，病毒被清除后，重新啟動計算機，再次用防病毒軟件檢測系統(tǒng)是否還有病毒，并將被破壞的數(shù)據(jù)進行恢復(fù).

校園網(wǎng)要安裝網(wǎng)絡(luò)殺毒軟件，在全局上進行網(wǎng)絡(luò)殺毒，同時在校園網(wǎng)內(nèi)所有機器上安裝客戶端，制定安全策略，統(tǒng)一殺毒，并及時更新病毒庫.

8 結(jié)束語

目前，為了解決校園網(wǎng)日益增加的網(wǎng)絡(luò)使用和應(yīng)用軟件的使用所帶來的安全隱患，保障校園網(wǎng)高效、穩(wěn)定、安全的運行，本文基于網(wǎng)絡(luò)安全技術(shù)及防范策略進行研究分析，以期為校園網(wǎng)絡(luò)安全體系的構(gòu)建起到借鑒作用.

參考文獻：

〔1〕鄒勇，白躍彬，趙銀亮.增強型包過濾防火墻規(guī)則的形式化及推理機的設(shè)計與實現(xiàn)［J］.計算機研究與發(fā)展，2000，37 （12）：1471～1476.

〔2〕蘇雪，高文知.入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用研究［J］.科技創(chuàng)業(yè)月刊，2008（12）：198～199.

〔3〕黃衛(wèi)強.校區(qū)網(wǎng)絡(luò)互聯(lián)模式研究［J］.科技資訊，2009（10）：29～30.

〔4〕趙杰，楊玉新.計算機病毒［J］.云南大學(xué)學(xué)報（自然科學(xué)版），2006（28）（SI）.

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1673-260X（2016）06-0018-02

收稿日期：2016-03-20

基金項目：安徽省2015年質(zhì)量工程項目——計算機應(yīng)用技術(shù)專業(yè)綜合改革試點（省級）項目成果.（2015zy078）