基于校園網絡安全防護的研究

張 磊

[摘要] 隨著計算機的普及和計算機網絡的廣泛應用,校園網絡在學校管理、教學、科研等方面已經占有舉足輕重的地位,隨之而來的網絡安全與防護問題也被大家日益重視。本文結合無錫工藝職業技術學院校園網組建實例,著重闡述校園網絡安全防護技術,并針對當前主要的網絡攻擊方式,提出應對的策略。

[關鍵詞] 校園網 網絡安全 網絡攻擊

一、引言

計算機在當今的社會已經不再是個新鮮的名詞,隨著計算機硬件價格的一再下調,性能的不斷提升,以及計算機網絡的普及,它已成為工作、生活、娛樂不可或缺的一部分,但計算機網絡安全問題也成為最令人頭疼的事。由于計算機網絡本身具有的開放性、多樣性的特點,使得計算機網絡容易受黑客、病毒等惡意軟件和手段的攻擊,給計算機網絡安全管理帶來一定的難度。

二、校園網絡面臨的重大問題

校園網一般由兩大部分構成,一部分是內網,包括教學局域網、圖書館局域網和辦公自動化局域網等構成。另一部分是外網,包括一些外網服務器,主要負責與教育科研網、互聯網的連接以及遠程移動辦公用戶等的接入。為了確保信息安全。校園網必須采取技術手段,實現內外網的隔離,并根據學校的實際情況將校園網劃分出不同的區域。并制定不同級別的安全策略。

校園網絡對核心部分的設備要實施嚴密的安全防護,統一安裝相應級別的防病毒產品,接受統一管理。統一更新,定期執行統一的病毒掃描,杜絕病毒在核心部分設備上藏匿。邊界問題是針對于校園內部的辦公計算機;機房或電子閱覽室的公用計算機以及學生的私人計算機,這部分的結點數量將是非常龐大,這也給網絡管理帶來了非常大的麻煩。

三、校園網絡安全管理措施

1.物理安全

(1)VLAN技術

采用交換式局域網技術(ATM或以太交換)的校園網絡,可以用VLAN技術來加強內部網絡管理。VLAN技術的核心是網絡分段,根據不同的地理區域及邏輯部門的特殊作用,將網絡分段并進行隔離,實現相互間的訪問控制,可以達到限制用戶非法訪問的目的。

(2)防火墻的設置

在此,我們采用的端點式防火墻是將防火墻安裝到端點(主機)上,與邊界防火墻共同保障網絡安全的一種設計思想,包括邊界防火墻、端點防火墻和管理中心三部分。它由一個中心來指定策略,并將策略分發到端點上執行。它可以使用一種策略語言來指定策略,并編譯成內部形式存儲于策略數據庫中,系統管理軟件將策略分發到被保護的主機上,而主機根據安全策略和加密證書來決定包的接受或丟棄,從而對主機實施保護。

(3)訪問控制

訪問控制是網絡安全防范和保護的重要策略,它的主要任務是保證網絡資源不被非法使用和非正常訪問。

①防范非法用戶非法訪問。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。對于用戶名及口令的保護方式,對有攻擊目的的人根本就不是一種障礙。他們可以通過對網絡上信息的監聽或猜測,得到用戶名及口令。因此,要采取一定的訪問控制手段,防范來自非法用戶的攻擊,只有合法用戶才能訪問合法資源。

②防范合法用戶非授權訪問。合法用戶的非授權訪問,是指合法用戶在沒有得到許可的情況下訪問了不該訪問的資源。一般來說,每個成員的主機系統中,有一部分信息可以對外開放,而有些信息則要求保密或具有一定的隱私性。因此,必須對服務及訪問權限進行嚴格控制。

③防范假冒合法用戶非法訪問。從管理以及實際需求上,是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源,那么,入侵者便會在用戶下班或關機的情況下。假冒合法用戶的IP地址或用戶名等資源進行非法訪問。因此,必須從訪問控制上做到防止假冒而進行的非法訪問。

2.系統安全

系統安全,是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和,包括物理安全和邏輯安全。

(1)物理安全

物理安全指網絡系統中各通信計算機設備以及相關設備的物理保護,免予破壞、丟失等。從物理上講,校園網絡的安全是脆弱的,任何安置在不能上鎖的地方的設施,包括通信光纜、電纜、電話線、局域網、遠程網等都有可能遭到破壞,從而引起校園網絡的癱瘓,影響正常教學業務的進行。

(2)邏輯安全

邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經授權的人,完整性是指計算機系統能夠修改和刪除數據和程序,可用性是指系統能夠防止非法獨占計算機資源和數據,合法用戶的正常請求能及時、正確、安全的得到服務或回應。

3.計算機病毒防范

(1)計算機病毒的危害

計算機病毒是指編制的或者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用并能自我復制的一組計算機指令或者程序代碼。

(2)計算機病毒的分類

計算機病毒的分類方法有好幾種,按照病毒的傳播方式,可分為5類。

①引導型病毒。引導型病毒在ROM BIOS系統引導時,即取得對操作系統的控制權,它常駐內存,伺機傳染和破壞。引導型病毒可以感染磁盤的引導扇區,也可以改寫硬盤的分區表,因此其破壞性極強,有時會造成整個硬盤數據的丟失。

②文件型病毒。文件型病毒是較為常見的病毒,文件型病毒感染的主要是擴展名為COM、EXE、OVL的文件,病毒將自身附著在系統的文件中,當文件被執行時,病毒也同時被裝入內存。

③混合型病毒。混合型病毒綜合了引導型和文件型病毒的特點,它通過感染引導區和文件,增加了傳染和查殺難度,因此其破壞力比強兩者更強。

④宏病毒。宏病毒是微軟Office出現以后才出現的病毒,它利用Office提供的宏功能,通過DOC文檔及DOT模板進行自我復制及傳播。

⑤蠕蟲病毒。蠕蟲病毒是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等。網絡的發展使得蠕蟲可以在很短時間內蔓延到大范圍網絡,造成網絡癱瘓。

(3)計算機病毒的防范

對于計算機病毒日益猖獗的這個現象,我們主要通過以下兩種方法來遏制它的危害性。

①建立防毒安全體系。從網絡管理和病毒監控的角度來說,一是校園網宜選用網絡版防毒軟件,因為網絡版防毒軟件的管理功能更強大。二是校園網應采用網關防病毒、服務器防病毒和客戶端防病毒的層次化防病毒體系,實現對病毒的全面防范。

②定期建立備份。在內網中要對重要數據進行備份。用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難,可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護內網的安全,必須建立完備的備份系統和備份策略,對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。

四、結束語

隨著校園計算機網絡的不斷發展,使我們不得不面對其帶來的種種問題,在保證網絡性能不下降的前提下,使我們的網絡向著健康、穩定、積極向上的方向發展。

參考文獻:

[1]王雷.網絡安全問題初探[J].河南職工醫學院學報,2004.

[2]高文蓮.高校校園網安全設計與實現[J].長治學院學報,2005.

[3]張相鋒,孫玉芳.入侵檢測系統發展的研究綜述[J].計算機科學,2003.