吳琳琳

[摘要]隨著我國信息化建設不斷推進，大部分校園已經(jīng)開始信息化管理。教學和管理都已經(jīng)離不開校園網(wǎng)，由此看見保障校園網(wǎng)的安全性至關(guān)重要。但是目前經(jīng)常會出現(xiàn)一些惡意病毒對于校園網(wǎng)的安全運行造成極大的威脅。這就要求技術(shù)人員建立起有效的安全防御措施。為了提升校園網(wǎng)的安全性，本文首先論述了目前我國校園網(wǎng)的運行現(xiàn)狀、隱患和面臨的威脅，最后提出了校園信息網(wǎng)絡安全防御系統(tǒng)的設計和實現(xiàn)方法。

[關(guān)鍵詞]校園網(wǎng)絡;網(wǎng)絡安全;防御系統(tǒng)

[中圖分類號]G202

[文獻標識碼]A

[文章編號]1671-5918（2019）08-0128-03

doi：10.3969/j.issn.1671-5918.2019.08.056

[本刊網(wǎng)址]http：//www.hbxb.net

一、引言

我國大部分校園網(wǎng)絡在運行過程中采用的安全防御策略為殺毒軟件和系統(tǒng)防火墻。其中系統(tǒng)防火墻是外部互聯(lián)網(wǎng)相關(guān)信息數(shù)據(jù)進入校園內(nèi)部網(wǎng)絡安全屏障。它通過檢查傳入數(shù)據(jù)，并且制定良好的規(guī)則阻止違反數(shù)據(jù)規(guī)則的流動。對網(wǎng)絡層的安全性來說它在網(wǎng)絡連接中具有一定的影響，但在應用層的高層不能有效進行保護。黑客技術(shù)隨著網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡攻擊工具也在不斷完善，防火墻的滲透方法越來越多，應對網(wǎng)絡攻擊僅僅使用防火墻是不夠的，敏感數(shù)據(jù)的安全不能有效得到保證。

二、校園網(wǎng)絡防護的現(xiàn)狀

許多專家學者對校園網(wǎng)的安全威脅和防范措施進行了廣泛的研究，研究成果主要集中在以下幾個方面：

（一）校園網(wǎng)惡意代碼傳播研究。經(jīng)過大量研究發(fā)現(xiàn)，在校園網(wǎng)中出現(xiàn)惡意代碼現(xiàn)象非常罕見，這可能是由于編碼者為了有效地避免代碼被殺毒軟件識別和查殺，有意將惡意代碼派生出變體代碼，從而使惡意代碼進化升機，達到了檢測殺毒軟件的能力。利用瀏覽器中的漏洞特洛伊木馬進行傳播，它幾乎不需要與用戶交互，在通信和操作過程中隱蔽性很強。

（二）目前預防各種病毒在校園網(wǎng)中保證網(wǎng)絡安全的目的無法達到。病毒防御措施目前主要針對突發(fā)性病毒，目前采用的殺毒軟件通過獲得病毒樣本，從而實現(xiàn)對病毒的識別和查殺。但是病毒的進化速度過快，殺毒軟件無法對新型的病毒進行有效識別和查殺，因此采用殺毒軟件安全防御效果非常有限。

（三）校園網(wǎng)絡安全系統(tǒng)建設的研究正在蓬勃開展。隨著計算機技術(shù)不斷發(fā)展，對于網(wǎng)絡安全防御技術(shù)也越來越完善，為了提升校園網(wǎng)安全性，目前已經(jīng)開始使用多維立體防御技術(shù)預防病毒攻擊。

三校園網(wǎng)絡存在的隱患和面臨的威脅

近年來，對中國互聯(lián)網(wǎng)的攻擊和竊取信息和利用網(wǎng)絡攻擊有價值的信息情況屢見不鮮。這些大多與安全管理有關(guān)的網(wǎng)絡信息泄漏。隨著網(wǎng)絡應用的普及，使用計算機進行信息犯罪的概率將增加，我們必須關(guān)注這個情況。隨著校園信息技術(shù)和網(wǎng)絡的發(fā)展，校園網(wǎng)絡安全威脅日益突出，其規(guī)模大、層次多、比較致命。

（一）校園網(wǎng)絡安全需求

采用正確的安全防御技術(shù)，首先需要對校園安全網(wǎng)絡的需求進行分析。目前校園網(wǎng)絡安全主要包括以下幾方面：

1.用戶安全要求

除了用戶的身份，系統(tǒng)還應建立起指紋、臉部等識別技術(shù)。為了提升校園網(wǎng)絡數(shù)據(jù)信息傳輸?shù)陌踩裕瑧爰用芗夹g(shù)。要求用戶不僅提供用戶名和密碼，對重要數(shù)據(jù)和位置的訪問還要求用戶提供硬件驗證設備諸如電子證書之類的。具有識別虛假訪問者的能力，該系統(tǒng)還應該利用數(shù)據(jù)統(tǒng)計和分析算法相關(guān)技術(shù)對于每個用戶的使用情況進行分析和研究。為了發(fā)現(xiàn)校園網(wǎng)的入侵者，要求網(wǎng)絡具備入侵檢測的功能。

2.網(wǎng)絡平臺的安全需求分析

網(wǎng)絡平臺的安全性通過鏈路層應該能夠應對發(fā)起的攻擊。安全系統(tǒng)應該能夠?qū)τ趦?nèi)容可尋址存儲表的失敗，交換機使用端口安全可配置來防止MAC地址進行通信在找到無效地址之后。安全系統(tǒng)為了防范網(wǎng)絡風險，與外部Internet之間應建立校園網(wǎng)數(shù)據(jù)包的進出口控制策略，對于有害的控制和訪問控制和隔離。將源地址采用該策略的接入Internet和校園網(wǎng)中的目的地址。對有害控制的早期識別通過對接入分組進行分析。3.應用環(huán)境的安全需求分析

在網(wǎng)絡層中應用環(huán)境應該能夠加密傳輸?shù)男畔?。對?shù)據(jù)的加密由于TCP/IP協(xié)議不提供，對于重要數(shù)據(jù)，首先加密數(shù)據(jù)安全系統(tǒng)能夠并通過網(wǎng)絡層傳輸數(shù)據(jù)，例如用戶的賬戶、密碼等。網(wǎng)絡中的所有終端操作系統(tǒng)在安全體系結(jié)構(gòu)中應該能夠監(jiān)控和管理服務器端。

（二）校園網(wǎng)絡安全方案的系統(tǒng)結(jié)構(gòu)

通過對服務使用者對校園網(wǎng)安全需求的分析和清晰有效的分工，從兩方面考慮網(wǎng)絡安全平臺和安全校園網(wǎng)絡環(huán)境。內(nèi)部網(wǎng)絡的安全必須保證;企業(yè)的安全運行也需要保證。本文在分析校園網(wǎng)安全需求的基礎上，采用入侵檢測系統(tǒng)、防火墻系統(tǒng)、漏洞評估系統(tǒng)、邊界安全認證系統(tǒng)、網(wǎng)絡控制系統(tǒng)。通過登錄到服務器普通用戶進行信息訪問，對信息的訪問使用此方法可以實現(xiàn)分配權(quán)限來控制用戶。校園網(wǎng)可以分為：外聯(lián)網(wǎng)、內(nèi)網(wǎng)、外部接入?yún)^(qū)和數(shù)據(jù)交換區(qū)。

1.外部網(wǎng)絡是一個非常不安全的公共檢查區(qū)域，建立了專用網(wǎng)絡。這里建立了防火墻、漏洞檢測服務器、入侵檢測、反病毒服務器，可以防止惡意入侵和攻擊和病毒傳播。

2.校園網(wǎng)在數(shù)據(jù)庫服務中、最終用戶在服務器包含大量的業(yè)務和財務數(shù)據(jù)，其安全性是必須保證的。

3.外部接入?yún)^(qū)域是指通過專用連接，區(qū)域內(nèi)的VPN等線路，無線網(wǎng)關(guān)、通過第三層交換區(qū)、防火墻來進行網(wǎng)絡接入。

4.系統(tǒng)最重要的區(qū)域是對于數(shù)據(jù)交換區(qū)域的訪問。系統(tǒng)中的審計服務器對于統(tǒng)一的監(jiān)控服務器，必須認證和訪問授權(quán)服務器，有效保證和防止數(shù)據(jù)完整性的信息被損壞。

由于校園網(wǎng)的功能是實現(xiàn)各個子系統(tǒng)之間的交互，以及對外部網(wǎng)絡訪問。由于病毒主要來自外部網(wǎng)絡，因此，建立起防火墻對于校園網(wǎng)絡的安全具有非常重要作用。防火墻技術(shù)采用包過濾技術(shù)和代理服務器技術(shù)。通過外部網(wǎng)絡的訪問限制對內(nèi)部網(wǎng)絡，需要進行包過濾，以及數(shù)據(jù)包過濾非法網(wǎng)絡訪問。代理服務器技術(shù)是許多不安全的服務，如telnet、FTP，服務器使得它成為與防火墻類似的情況，并響應外部請求。代理服務器技術(shù)對于每個服務不需要被編程。在外聯(lián)網(wǎng)中受保護的Intra-net用戶進行訪問，需要用戶登錄防火墻，防火墻的安全性在外部網(wǎng)絡中只能看到一部分，能夠?qū)?nèi)部訪問請求進行隱藏，只有通過訪問控制策略才能有效提升校園網(wǎng)絡安全。訪問控制策略主要是對未經(jīng)允許的訪問和使用網(wǎng)絡資源現(xiàn)象進行控制。

網(wǎng)絡安全系統(tǒng)通過安全測試進行記錄，入侵檢測系統(tǒng)對詳細日志使用網(wǎng)絡管理軟件進行處理和分析。由于以太網(wǎng)是廣播網(wǎng)絡，對于主機入侵檢測，網(wǎng)絡適配器需要設置為混合模式，在網(wǎng)絡上主機入侵檢測接收傳輸每個分組?？梢杂脕碓诒O(jiān)控模式下，通過建立網(wǎng)絡接口來實現(xiàn)。網(wǎng)絡中大量的信息可以通過嗅探器進行攔截和傳輸，然后進行分析，處理系統(tǒng)的安全審計日志需要定期來執(zhí)行。

四校園信息安全網(wǎng)絡防御系統(tǒng)的實現(xiàn)

（一）物理防護的實現(xiàn)

保護網(wǎng)絡中的計算機中物理網(wǎng)絡安全是主要目的，通過網(wǎng)絡連接設備和服務器，使其不會受到人為因素、自然災害、電磁輻射、系統(tǒng)崩潰等各種意外因素影響。

交換機、服務器等設備是校園網(wǎng)絡系統(tǒng)非常重要的設備，對于校園網(wǎng)絡的安全性也是至關(guān)重要的，因此需要實施集中管理，特別負責人負責。此外，線路是校園網(wǎng)正常運行的基礎，所以對于網(wǎng)絡傳輸線路的保護工作也非常重要。

隨著技術(shù)不斷發(fā)展，電子設備數(shù)量日益增加，而電子設備在使用過程中會產(chǎn)生電磁輻射，會對周圍的設備產(chǎn)生一定影響。校園網(wǎng)在數(shù)據(jù)信息傳輸過程中，如果收到電磁輻射的干擾，則接收到的數(shù)據(jù)包含大量噪聲，導致數(shù)據(jù)的信息特性和工作時的頻率被淹沒，這也降低了數(shù)據(jù)傳輸安全性。因此，減少校園網(wǎng)絡的電磁輻射是非常有必要的?？梢酝ㄟ^采用電磁屏蔽材料來降低電磁輻射對校園網(wǎng)的影響。

（二）入侵檢測系統(tǒng)的實現(xiàn)

根據(jù)校園網(wǎng)絡的特點，本文設計了多層次、可擴展的入侵檢測系統(tǒng)。

本文提出了入侵檢測系統(tǒng)以動態(tài)信息安全理論為基礎，進行了融合分析，對于各類安全技術(shù)實現(xiàn)響應和報警安全事件。對單個網(wǎng)段入侵檢測系統(tǒng)通常只能實現(xiàn)安全布控，融合分析全網(wǎng)段的信息不能進行，本文采用了入侵檢測系統(tǒng)分布式的設計方法，分段部署在全網(wǎng)段上，信息能夠進行搜集，通過構(gòu)建動態(tài)的安全防御體系進行判斷，強調(diào)縱深的在進行統(tǒng)一分析后。

在結(jié)構(gòu)上分布式入侵檢測系統(tǒng)分為主機網(wǎng)絡檢測引擎、檢測代理、管理中心，每部分在系統(tǒng)中都存在多個實例。他們之間的互相通訊由安全通訊代理實現(xiàn)，根據(jù)特定的通信協(xié)議進行通訊在各部分之間?；幽K用防火墻來實現(xiàn)在動態(tài)靜態(tài)防御互補優(yōu)化，系統(tǒng)的重要組成部分還包括了黑客追蹤子系統(tǒng)，屬于入侵檢測系統(tǒng)的擴展部分。

（三）邊界安全防護的實現(xiàn)

本文提出的防御檢測系統(tǒng)可以對校園網(wǎng)各個子系統(tǒng)實現(xiàn)邊界安全防護，對用戶的訪問行為進行審查和檢測，可以對網(wǎng)絡的攻擊行為提出告警。同時可以禁止危險訪問行為，外部用戶非法使用能夠防止對于內(nèi)網(wǎng)的資源進行破壞和竊取，實現(xiàn)訪問控制在不同安全域間，從內(nèi)部網(wǎng)絡防止敏感數(shù)據(jù)被竊取，實現(xiàn)資源保護在內(nèi)部網(wǎng)絡中。

為了最大限度地提升邊界安全的防護，本文將數(shù)據(jù)流安全標記綁定和組的策略管理兩種技術(shù)融合在一起。在系統(tǒng)建設過程中，網(wǎng)絡邊界安全防護體系的框架應該是抽象和通用化。為了有限實現(xiàn)邊界安全防護功能，本文采用5個鉤子函數(shù)，同時網(wǎng)絡通信協(xié)議是基于TCP/IP的IPv4協(xié)議。在網(wǎng)絡邊界安全防護體系運行時，數(shù)據(jù)包從系統(tǒng)的左邊進入后，首先安全防護系統(tǒng)會對進入的數(shù)據(jù)包的完整性進行全面檢測，若數(shù)據(jù)包完整，則進入下一步驟，路由將采用NF_.IP_PREROUTING函數(shù)（1）進行本地處理，從而決定數(shù)據(jù)包是否進行轉(zhuǎn)發(fā)，若不進行轉(zhuǎn)發(fā)，則對數(shù)據(jù)包對其判斷是否采用鉤子函數(shù)NF_IP_LOCAL_In經(jīng)過上層協(xié)議處理（2），從而對數(shù)據(jù)包進行分組處理;如果函數(shù)NF_IP_FORWARD產(chǎn)生的數(shù)據(jù)包將被轉(zhuǎn)發(fā)到（3），那么子函數(shù)NF_IP_POST_ROUTING用于處理跨鉤（4）進行處理，并發(fā)送到網(wǎng)絡上;處理后的數(shù)據(jù)包通過鉤函數(shù)NF_.IP._LOCAL_OUT數(shù)據(jù)包產(chǎn)生的本地路由后的數(shù)據(jù)（5）通過函數(shù)NF_IP_POSTROUT_ING進行處理（6）傳輸?shù)骄W(wǎng)絡上在處理數(shù)據(jù)包之后。

（四）身份認證系統(tǒng)的實現(xiàn)

身份認證系統(tǒng)的邏輯結(jié)構(gòu)。本系統(tǒng)包括身份認證服務器、注冊機構(gòu)RA、數(shù)據(jù)庫服務器和安全服務器等。

面向普通用戶的安全服務器，證書撤銷列表用于提供證書的申請、包括下載和瀏覽服務。與用戶的通信的安全服務器采取SSL方式的安全通信方式，安全服務器的證書用戶首先得到，然后進行通信在所有服務器之間，包括瀏覽器生成的公鑰，用戶填寫的申請信息，同時數(shù)據(jù)加密傳輸以安全服務器作為公鑰。

利用自己的私鑰解密安全服務器才能得到明文，其他人通過竊聽得到明文，這樣可以防止并保證了傳輸過程和證書申請中的信息安全性?；贖TTPS的LDAP服務，以及Web服務在具體實現(xiàn)可以選用。

注冊機構(gòu)RA可以進行證書的申請和撤銷，當證書的申請和撤銷需求提至注冊機構(gòu)RA時，管理人員可以對需求信息進行核對，如果信息核對完成后，通過數(shù)字簽名確認后，需求申請將會發(fā)送至身份認證服務器。

身份認證服務器收到注冊機構(gòu)RA傳輸過來的簽名申請和撤銷需求申請后，將會對申請中的內(nèi)容進行校驗分析，一旦內(nèi)容通過審核，則即可實現(xiàn)對證書的生成和撤銷操作。身份認證服務器是對負責申請信息審核的核心，是證書簽發(fā)和撤銷的最為關(guān)鍵的子系統(tǒng)，同時還是生成數(shù)字證書在注冊機構(gòu)服務器，為安全服務器發(fā)行證書文件對于存在CA的私鑰。作為用戶證書生成和撤銷的最為關(guān)鍵機構(gòu)，為了提升其工作安全性，將身份認證服務器與身份認證系統(tǒng)其他結(jié)構(gòu)相互隔離，確保各個結(jié)構(gòu)與其通信安全性。

數(shù)據(jù)庫服務器主要是對生成的證書進行管理和儲存，以及生成證書撤銷列表。數(shù)據(jù)庫中儲存有大量的數(shù)據(jù)信息，其安全性非常重要。因此需要采用多種安全防御措施保障數(shù)據(jù)的安全。為了充分提升數(shù)據(jù)庫服務器運行安全性，本文采用了數(shù)據(jù)庫系統(tǒng)應采用多處理器、雙機備份、磁盤陣列等多種方法，保證數(shù)據(jù)庫服務器安全穩(wěn)定的運行。

五、結(jié)論

根據(jù)校園信息網(wǎng)絡的特點，本文提出了校園網(wǎng)絡安全防御系統(tǒng)結(jié)構(gòu)，適當?shù)恼{(diào)整網(wǎng)絡配置根據(jù)成本控制要求來合理規(guī)劃系統(tǒng)結(jié)構(gòu)，系統(tǒng)安全管理實現(xiàn)使整個校園網(wǎng)絡的聯(lián)動，使得校園網(wǎng)絡能夠有效實施網(wǎng)絡安全防御系統(tǒng)。本文所提出的網(wǎng)絡安全防御系統(tǒng)的設計方案實現(xiàn)了安全防御的一種比較高效校園信息網(wǎng)絡技術(shù)方案，具有一定現(xiàn)實意義和應用市場。

參考文獻：

[1]楊智君.入侵檢測技術(shù)研究綜述[J].計算機工程與設計，2006，27（12）：2120-2124.

[2]張彩萊.身份認證與網(wǎng)絡安全[J].安防科技，2003（6）：60-62.

[3]孫偉，汪厚祥，劉霞.軍用網(wǎng)絡入侵檢測系統(tǒng)的研究[J].艦船電子工程，2003（2）：21-25.