王洪亮

摘 要：隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，校園網(wǎng)絡建設(shè)已經(jīng)成為高校教育信息化建設(shè)的關(guān)鍵。網(wǎng)絡在教育事業(yè)中具有非常重要的作用，隨著網(wǎng)絡在教育中的應用不斷加深，網(wǎng)絡的安全問題也開始逐漸凸顯。因為互聯(lián)網(wǎng)具有開發(fā)性、共享性，所以安全威脅十分嚴重。基于此，如何保證高校校園安全，成了高校網(wǎng)絡發(fā)展的重點。文章對高校的計算機網(wǎng)絡安全所面臨的威脅進行了分析，研究了網(wǎng)絡安全技術(shù)的應用。

關(guān)鍵詞：校園網(wǎng);高校;網(wǎng)絡安全;數(shù)據(jù)挖掘;入侵檢測

0? ? 引言

高校構(gòu)建信息安全防護體系成為解決網(wǎng)絡安全問題的關(guān)鍵，在高校中利用技術(shù)手段，構(gòu)建完整的網(wǎng)絡信息安全解決方案，建立入侵檢測系統(tǒng)的網(wǎng)絡安全防護體系等，可以有效地提高高校網(wǎng)絡安全性[1]。

1? ? 高校校園網(wǎng)絡安全問題

1.1? 高校校園網(wǎng)網(wǎng)絡安全建設(shè)現(xiàn)狀

校園網(wǎng)絡基礎(chǔ)設(shè)施建設(shè)非常重要，所以必須加大校園網(wǎng)絡建設(shè)方面的投入，用于實現(xiàn)基礎(chǔ)設(shè)施改造、主干帶寬提升等。目前，校園網(wǎng)中的主干帶寬通常可以實現(xiàn)100 M光纖桌面以及1 000 M光纖樓宇，校園網(wǎng)主要以千兆以太網(wǎng)為組網(wǎng)方式，網(wǎng)絡拓撲層可以分為網(wǎng)絡接入層、網(wǎng)絡匯聚層以及網(wǎng)絡核心層。另外，通過網(wǎng)絡技術(shù)和光纖能夠?qū)崿F(xiàn)教學科研、師生校園生活數(shù)字化以及教學行政管理信息化[2]。

1.2? 高校校園網(wǎng)絡安全OSI模型安全技術(shù)分析

網(wǎng)絡OSI模型安全技術(shù)包括實體安全、應用安全以及網(wǎng)絡信息安全3個部分。其中，實體安全為內(nèi)部機房的物理設(shè)備、線路安全等;應用安全主要包括應用軟件、應用系統(tǒng)以及數(shù)據(jù)庫安全;網(wǎng)絡信息安全包括網(wǎng)絡信息的準確性與安全性。

1.2.1? 物理安全

物理安全包括設(shè)備和環(huán)境安全，是整個網(wǎng)絡系統(tǒng)安全的關(guān)鍵，并且網(wǎng)絡安全和網(wǎng)絡系統(tǒng)的數(shù)據(jù)資源之間存在影響，需要做好防火、防水以及防盜等工作。另外，物理安全對環(huán)境有較高的要求，電源故障同樣會導致服務器發(fā)生數(shù)據(jù)丟失、設(shè)備損害等嚴重后果。

1.2.2? 鏈路層

在OSI體系結(jié)構(gòu)的鏈路層涉及兩個危險因素，分別為ARP協(xié)議欺騙與內(nèi)部嗅探。其中，ARP協(xié)議欺騙是利用ARP欺騙協(xié)議偽造數(shù)據(jù)包，從而對局域網(wǎng)通信造成影響，甚至會導致局域網(wǎng)癱瘓。而內(nèi)部嗅探則是攻擊者通過內(nèi)部嗅探，利用網(wǎng)卡竊取在局域網(wǎng)中傳輸?shù)拿魑臄?shù)據(jù)，經(jīng)過數(shù)據(jù)還原、解析的方式獲取數(shù)據(jù)信息。

1.2.3? 應用層安全

面向客戶，網(wǎng)絡應用層體現(xiàn)在服務器提供信息服務這一方面，而校園網(wǎng)絡服務器包括數(shù)據(jù)庫服務器、WWW服務器以及FTP服務器等，攻擊者利用服務器漏洞發(fā)動攻擊，甚至還會篡改服務器數(shù)據(jù)，嚴重威脅網(wǎng)絡數(shù)據(jù)信息的安全。

1.2.4? 網(wǎng)絡層

網(wǎng)絡層的協(xié)議是TCP/IP協(xié)議，網(wǎng)絡基本協(xié)議是TCP/IP 協(xié)議，但是由于TCP/IP 協(xié)議自身的缺陷、漏洞，網(wǎng)絡層受到攻擊的可能性非常大。所以，網(wǎng)絡層的安全問題還包括地址欺騙、路由欺騙以及端口掃描威脅等。

2? ? 高校校園網(wǎng)絡安全技術(shù)及應用

2.1? 入侵檢測技術(shù)

入侵是指對目標系統(tǒng)資源進行破壞的一種活動。入侵檢測系統(tǒng)是為了檢測系統(tǒng)內(nèi)部資源、系統(tǒng)外部是否存在非授權(quán)訪問、受到破壞等現(xiàn)象。入侵檢測是一種主動防御的防護措施，通過采集網(wǎng)絡資源中的信息對可能出現(xiàn)的入侵攻擊行為進行分析，從而及時采取防范措施。入侵檢測技術(shù)的發(fā)展分為基于網(wǎng)絡的入侵檢測技術(shù)、基于主機的入侵檢測技術(shù)、基于分布式入侵檢測技術(shù)等各個階段[3]。

P2DR模型可以對網(wǎng)絡外部、內(nèi)部發(fā)出的攻擊起到一定的防范，是一種綜合立體的防護體系模型。該模型的系統(tǒng)保護能夠分為檢測、響應、防護以及安全策略等，構(gòu)成了一個完整體系。但隨著信息平臺的發(fā)展，需利用信息保障體系保障信息平臺的安全、數(shù)據(jù)安全和服務安全。安全策略是P2DR模型的重要組成，通過制定行之有效的安全策略，可以提高網(wǎng)絡安全運行的穩(wěn)定性。除此之外，防護是采用相關(guān)技術(shù)制定安全保護方案，利用傳統(tǒng)的安全技術(shù)開展安全防護。而傳統(tǒng)安全技術(shù)主要包括訪問控制技術(shù)、加密解密技術(shù)、防火墻技術(shù)、數(shù)字認證技術(shù)等。

檢測技術(shù)是通過入侵檢測技術(shù)和漏洞掃描技術(shù)檢測系統(tǒng)，同時建立資源數(shù)據(jù)庫，24 h的檢測和監(jiān)控網(wǎng)絡能夠及時發(fā)現(xiàn)系統(tǒng)中潛在的威脅，網(wǎng)絡安全需要面對時時刻刻、無處不在的風險，而安全風險檢測能夠檢測到外部威脅以及內(nèi)部系統(tǒng)的脆弱性，可以在遇到突發(fā)情況時及時做出應對，避免突發(fā)事件對系統(tǒng)產(chǎn)生較大威脅。例如，在服務器受到攻擊的情況下，需要立即關(guān)閉服務器，調(diào)整安全措施。入侵檢測系統(tǒng)是P2DR模型中的一個關(guān)鍵組成。

如圖1所示為CIDF入侵檢測模型。在這一模型中，事件是入侵檢測系統(tǒng)分析的數(shù)據(jù)，而事件既可以是數(shù)據(jù)包，也可以是日志信息。CIDF為公共系統(tǒng)檢測框架，是入侵檢測系統(tǒng)通用的模型之一，將該系統(tǒng)分為事件產(chǎn)生器、事件分析器、響應單元以及事件數(shù)據(jù)庫4個部分。其中，事件產(chǎn)生器則是在計算機網(wǎng)絡中獲取信息，或是在審計日志中得到響應信息。事件分析器是分析時間產(chǎn)生器獲取的數(shù)據(jù)包或其他的日志信息，并進行總結(jié)。響應單元則是對事件分析器結(jié)果進行報警響應，以此來避免系統(tǒng)受到破壞。而事件數(shù)據(jù)庫則能夠儲存經(jīng)過事件產(chǎn)生器和事件分析器處理的數(shù)據(jù)或是未經(jīng)處理的數(shù)據(jù)，并且還擁有檢索功能，不僅可以是一個數(shù)據(jù)庫，也能夠成為文件形式。

2.2? 防護墻技術(shù)

防火墻是放置在不同網(wǎng)絡的通道，可以用來控制數(shù)據(jù)，不同網(wǎng)絡主要包括可信任網(wǎng)絡和不可信任網(wǎng)絡。防火墻系統(tǒng)可以分為代理型防火墻、包過濾型防火墻等，其中代理型防火墻是利用TCP/IP協(xié)議，使用戶可以享受到互聯(lián)網(wǎng)服務，但代理服務器型防火墻在建立新應用方面還存在一定的不足。包過濾型防火墻重新定義了包過濾規(guī)則，具有價格經(jīng)濟實惠、設(shè)置方便簡單的優(yōu)勢，但是建立包過濾規(guī)則的復雜程度較高。作為保護網(wǎng)絡安全的一道屏障，防火墻應用協(xié)議需要慎重選擇、設(shè)置，基于此提高并保障網(wǎng)絡環(huán)境的安全。在網(wǎng)絡安全檢測中，高校一般情況下使用硬件防火墻，因為專業(yè)網(wǎng)絡設(shè)備具有良好的性能與效率，并且安全獨立性較高。防火墻在配置過程中，需詳細設(shè)置服務器端口，Windows服務器系統(tǒng)開啟端口數(shù)量較多，因此需及時關(guān)閉不使用的端口或存在威脅的端口。而DMZ可以為外界網(wǎng)絡提供服務，外網(wǎng)在訪問DMZ時，需要對內(nèi)部服務器地址和DMZ 外部地址進行轉(zhuǎn)換，并且在進行轉(zhuǎn)換時，通過防火墻實現(xiàn)設(shè)置目的。防火墻基于入侵檢測系統(tǒng)，能夠有效地防范高校網(wǎng)絡的外部風險，保護節(jié)點的網(wǎng)絡入口。而入侵檢測系統(tǒng)則是檢測內(nèi)部網(wǎng)絡，監(jiān)視上網(wǎng)行為。

3? ? 結(jié)語

綜上所述，我國現(xiàn)階段各行各業(yè)都依賴于計算機網(wǎng)絡管理數(shù)據(jù)，離不開計算機的智能和強大的記錄、運算等功能，高校校園也不例外。也正是因為各行各業(yè)對計算機網(wǎng)絡的需求和依賴過高，才讓很多不法分子有機可圖。由于許多因素都會對高校的網(wǎng)絡環(huán)境產(chǎn)生安全威脅，阻礙高校教學活動，所以，高校教育信息化建設(shè)需要一套完整的網(wǎng)絡安全體系作為保障，而入侵檢測技術(shù)與防火墻技術(shù)能夠避免出現(xiàn)計算機系統(tǒng)漏洞，確保使用者的操作規(guī)范，解決了高校網(wǎng)絡安全問題。

[參考文獻]

[1]郭可.高校校園網(wǎng)絡安全技術(shù)及應用[J].電腦知識與技術(shù)，2016（14）：19-21.

[2]楊瑜.計算機網(wǎng)絡技術(shù)的計算機網(wǎng)絡信息安全及其防護策略[J].數(shù)碼世界，2020（9）：193-194.

[3]紀漢杰，李嘯林，張帆，等.基于計算機網(wǎng)絡技術(shù)的計算機網(wǎng)絡信息安全及其防護策略[J].計算機科學與應用，2019（9）：1703-1707.

（編輯 王雪芬）