基于網絡安全防御技術在校園網絡中的應用

周仙祥 李國彬

（撫州職業技術學院，江西 撫州 344000）

隨著網絡技術的快速發展，學院校園網網上信息服務的日漸增多，網絡安全已成為學院校園網網上技術維護一個越來越突出的問題。作為現代化的學院校園網，需要采取相關措施，用以提高網絡安全。但沒有哪一種網絡安全防御技術能保證學院校園網網上信息服務100%的安全，安全總是相對的，這就需要多種安全防御技術在各個層次上加以部署，延長攻擊者侵入所花費的時間、增加成本和所需要的資源，從而卓有成效地降低學院校園網網絡被攻擊的危險，達到安全防護的目標。目前學院校園網常用的網絡安全防御技術有防火墻技術、入侵檢測技術、網絡防病毒技術、訪問控制技術等。本文將就此作出一些探討。

1 防火墻技術

學院校園網網絡安全中使用最廣泛的技術就是防火墻技術，對于其網絡用戶來說，如果決定使用防火墻，那么首先需要由專家領導和網絡系統管理員共同設定本網絡的安全策略，即確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過防火墻。防火墻的職責就是根據本館的安全策略，對外部網絡與內部網絡之間交流的數據進行檢查，符合的予以放行，不符合的拒之門外。

1.1 該技術主要完成以下具體任務

1.1.1 通過源地址過濾，拒絕外部非法IP 地址，有效的避免了與本館信息服務無關的外部網絡主機越權訪問。

1.1.2 防火墻可以只保留有用的服務，將其他不需要的服務關閉，這樣做可以將系統受攻擊的可能性降到最低限度，使黑客無機可乘。

1.1.3 同樣，防火墻可以制定訪問策略，只有被授權的外部主機才可以訪問內部網絡上的有限IP 地址，從而保證外部網絡只能訪問內部網絡中的必要資源，使得與本館信息服務無關的操作將被拒絕。

1.1.4 由于外部網絡對內部網絡的所有訪問都要經過防火墻，所以防火墻可以全面監視外部網絡對內部網絡的訪問活動，并進行詳細的記錄，通過分析可以得出可疑的攻擊行為。

1.1.5 另外，由于安裝了防火墻后，網絡的安全策略由防火墻集中管理，因此，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的，而直接攻擊防火墻幾乎是不可能的。

1.1.6 防火墻可以進行地址轉換工作，使外部網絡用戶不能看到內部網絡的結構，使黑客失去攻擊目標。

1.2 雖然防火墻技術是在內部網與外部網之間實施安全防范的最佳選擇，但也存在一定的局限性

1.2.1 不能完全防范外部刻意的人為攻擊。

1.2.2 不能防范內部用戶攻擊。

1.2.3 不能防止內部用戶因誤操作而造成口令失密受到的攻擊。

1.2.4 很難防止病毒或者受病毒感染的文件的傳輸。

2 入侵檢測技術(IDS)

如果說防火墻技術是靜態安全防御技術，那么IDS 就是一種動態安全技術。IDS 包括基于主機的入侵檢測技術和基于網絡的入侵檢測技術兩種。該技術用于保護應用網絡連接的主要服務器，實時監視可疑的連接和非法訪問的闖入，并對各種入侵行為立即作出反應，如斷開網絡連接等。[2]

3 網絡防病毒技術

當今世界上每天有13 種到50 種新病毒出現，而60%的病毒均通過Internet 傳播，病毒發展有日益跨越疆界的趨勢，存在著不可估量的威脅性和破壞力。沖擊波病毒及震蕩波病毒就足以證明如果不重視計算機網絡防病毒工作，那就有可能給社會造成災難性的后果，因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術包括預防病毒、檢測病毒和消除病毒等3種技術：

3.1 預防病毒技術，它是通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。技術手段包括：加密可執行程序、引導區保護、系統監控與讀寫控制等。

3.2 檢測病毒技術，它是通過對計算機病毒的特征來進行判斷的偵測技術，如自身校驗、關鍵字、文件長度的變化等。病毒檢測一直是病毒防護的支柱，然而隨著病毒的數目和可能切入點的大量增加，識別古怪代碼串的進程變得越來越復雜，而且容易產生錯誤和疏忽。因此，最新的防病毒技術應將病毒檢測、多層數據保護和集中式管理等多種功能集成起來，形成多層次防御體系，既具有穩健的病毒檢測功能，又具有客戶機/服務器數據保護能力。

3.3 消除病毒技術，它是通過對計算機病毒的分析，開發出具有殺除病毒程序并恢復原文件的軟件。大量的病毒針對網上資源和應用程序進行攻擊，這樣的病毒存在于信息共享的網絡介質上，因而要在網關上設防，在網絡入口實時殺毒。對于內部病毒，如客戶機感染的病毒，通過服務器防病毒功能，在病毒從客戶機向服務器轉移的過程中殺掉，把病毒感染的區域限制在最小范圍內。[1]網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮，從方便管理人員的工作著手，通過網絡環境管理網絡上的所有機器，如利用網絡喚醒功能，在夜間對全館在線網絡的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網絡上每一臺機器出現故障、病毒侵入時，網絡管理人員都能及時知道，并作出相應的對策。

4 訪問控制技術

訪問控制是網絡安全防范和保護的主要技術，它的主要任務是保證學院校園網網絡資源不被非法使用和非法訪問。

4.1 入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合。網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對學院校園網交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果在設定的次數內輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息并鎖定帳戶禁止登錄。

4.2網絡的權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類：a.特殊用戶（即系統管理員）；b.一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；c.審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

4.3 目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限（Supervisor）、讀權限（Read）、寫權限（Write）、創建權限（Create）、刪除權限（Erase）、修改權限（Modify）、文件查找權限（File Scan）、存取控制權限（Access Control）。一個網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。

4.4 屬性安全控制

當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

4.5 網絡服務器安全控制

網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

4.6 學院校園網網絡監測和鎖定控制

網絡管理員應對學院校園網網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形、文字或聲音等形式報警，以引起網絡管理員的注意。如果非法用戶試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，一旦非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

5 學院校園網網絡安全技術的發展趨勢

未來的學院校園網網絡安全將會面對越來越多的威脅與損害，網絡管理員必須以加強對反病毒軟件的整合、強化服務器安全、及時下載補丁程序并更新系統軟件作為網絡安全管理的主要任務。另一方面，在安全技術不斷發展的同時，全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎，而沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中，那么談再多的網絡安全技術也是無用的。同時，網絡安全不僅僅是防病毒、入侵監測、防火墻、防問控制等技術的簡單堆砌，而應該從系統到應用、從設備到服務等各方面進行有機地結合，形成一套比較完善的學院校園網網絡安全防御體系。

[1]賈宏.高校學院校園網網絡安全體系的構建.學院校園網學研究,2003,(4):25-27,31

[2]張鋒等.基于Agent 的分層協作IDS 系統.信息網絡安全,2003,(3):25-28