淺析校園網絡信息安全技術

1校園網絡一般采用的安全技術類型

1.1物理隔離網絡

所謂“物理隔離”是指內部網不直接或間接地連接公共網。實現物理隔離的方法有：(1)一人雙機：在資金充足的情況下，給需要的人員配備2臺電腦，1臺接入互聯網，1臺只接入內部網。(2)網絡安全隔離卡：在電腦上加裝1塊網絡安全隔離卡，并再配備l塊硬盤，隨時根據使用者的要求，在內外網之間進行切換。

1.2防火墻技術

目前，常見的防火墻主要有三類：(1)分組過濾型防火墻：數據分組過濾或包過濾，包過濾原理和技術可以認為是各種網絡防火墻的基礎構件。(2)應用代理型防火墻：應用代理型防火墻是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作用。(3)復合型防火墻：復合型防火墻將數據包過濾和代理服務結合在一起使用。

目前出現的新技術類型主要有監視技術、安全操作系統、自適應代理技術、實時侵入檢測系統等。混合使用數據包過濾技術、代理服務技術和其他一些新技術是未來防火墻的趨勢。

1.3抗攻擊網關

抗攻擊網關可以避免拒絕服務攻擊(DoS)和連接耗盡攻擊等網絡攻擊帶來的問題，用戶只需將抗攻擊網關架設在路由器之前就可以使用，通過獨立的監控系統就可以實時監控和報警，并可以給出安全事件報告。目前，抗攻擊網關的類型主要有入侵檢測、指紋識別、免疫型等。入侵檢測和指紋識別需要大量消耗CPU和內存才能計算識別出攻擊，然后，給出過濾規則，這種機制本身就容易遭受拒絕服務攻擊，因此，免疫型抗攻擊網關是今后發展的趨勢。

1.4防病毒網關

防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡內發現病毒時，可能已經感染了很多計算機，防病毒網關可以將大部分病毒隔離在外部，同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時，管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。

1.5認證

目前，常用的身份識別技術主要是基于RADIUS的鑒別、授權和管理(AAA)系統。RADIUS(remote authcntica2tion diaI inuser service)是網絡遠程接入設備的客戶和包含用戶認證與配置信息的服務器之間信息交換的標準客戶或服務器模式。它包含有關用戶的專門簡檔，如：用戶名、接入口令、接入權限等。這是保持遠程接入網絡的集中認證、授權、記費和審查的得到接受的標準。

1.6虛擬專用網

VPN(virtualp rivatenetwork)即虛擬專用網建立一條通過公眾網絡的邏輯上的專用連接，使得用戶在異地訪問內部網絡時，能夠和在本地訪問一樣的資源，同時，不用擔心泄密的問題。

1.7入侵檢測和集中網管

入侵檢測(intrusiondetecfion)是對入侵行為的發覺，是一種增強系統安全的有效方法，能檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。集中網管主要體現在對網絡管理的集中上，網管集中的實現方式主要包括存放網管系統的物理平面集中和通過綜合集中網管實現對不同廠商網管系統的集中管控。

2各種安全技術在校園網絡中的應用

(1)物理隔離網絡技術的應用。學校的財務信息數據和辦公機密文件及檔案應是對網絡安全方面要求級別最高的，并且按照國家的相關規定，對此類數據系統互聯網絡是有嚴格要求的，在考慮它們的網絡信息安全技術上應當采取物理隔離網絡，使之與接入互聯網的校園網絡完全分開。

(2)防火墻技術的應用。主要設置在校園網絡入口處，防范來自校園網絡外部的威脅，如黑客的攻擊，利用校園網絡傳播病毒等，同時對學校的WEB網站提供安全保障。

(3)抗攻擊網關的應用。由于DOS和DDOS攻擊，或紅色代碼和尼姆達病毒引發的復合型攻擊導致校園骨干網的路由器、交換機等設備，無法正常工作，甚至是全網癱瘓，則可在校園網絡內部路由器的前面應用抗攻擊網關來解決。也可在校園網絡入口設置抗攻擊網關，保護校園網絡內部的網站，服務器和主機不受攻擊。

(4)防病毒網關的應用。校園網絡中電腦數量多，應用復雜，很難統一安裝防病毒軟件，導致網絡安全管理的難度很大，為此可在校園網絡入口安置防病毒網關，保障了校園網的邊界安全。同時也可把防病毒網關部署在校園網服務器區前這個關鍵位置，保障校園網服務器的安全。

(5)認證技術的應用。校園網絡中的用戶類別可分為多種，不同的用戶在身份驗證、授權、是否記費上的要求不一樣，為此可用RADIUS來進行認證，如學生用戶在宿舍上網接入是需要記費的，就可采用以太網中的虛擬寬帶拔號，通過RADIUS服務來認證記費。

(6)虛擬專用網的應用。為了校園網的安全，學校在校園網建設時，通常是將公網與私網進行物理隔離或設置防火墻阻隔，使外網無法訪問內網資源。這樣勢必導致分校區及住在校外的教師和學生在家中無法使用校園網內部資源。要解決這種問題，虛擬專用網就是一種安全、低廉的解決方案。

(7)入侵檢測的應用。入侵檢測技術IDS作為防火墻的合理補充，能夠幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力，它一般安置在防火墻之后，是校園網絡入口的第二道安全閘門，在不影響網絡性能的情況下對網絡進行監測，可以防止或減輕網絡威脅。

3結束語

總之，校園網絡的信息安全的保障是各種網絡安全技術的綜合合理應用，在有了各種網絡安全技術應用的情況下，要想能充分地對信息數據進行安全保護，還需要學校有針對性出臺相對應的信息安全保障制度和成立信息安全事件處理組織機構。通過技術、制度、組織機構結合來全面應對校園網絡中出現的各種網絡安全威脅。