校園網(wǎng)絡(luò)安全技術(shù)淺談

摘 要: 網(wǎng)絡(luò)平安越來越受到人們重視。本文對校園網(wǎng)的平安性談了一些看法，供大家參考。

關(guān)鍵詞: 校園網(wǎng)絡(luò)平安 系統(tǒng)平安 網(wǎng)絡(luò)運行平安 內(nèi)部網(wǎng)絡(luò)平安 防火墻

許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享都起到了無法估量的作用。但校園網(wǎng)用戶在使用校園網(wǎng)絡(luò)的同時卻忽略了網(wǎng)絡(luò)安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計算機系統(tǒng)的癱瘓，嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化，實現(xiàn)資源共享的同時，校園網(wǎng)用戶都應(yīng)加強對校園網(wǎng)絡(luò)安全的重視。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡(luò)安全，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。

高校網(wǎng)絡(luò)管理員肩負著校園網(wǎng)絡(luò)的維護和管理責任，同時也承擔維護系統(tǒng)安全、網(wǎng)絡(luò)運行安全和內(nèi)部網(wǎng)絡(luò)安全的責任。維護好網(wǎng)絡(luò)安全，我們可從以下幾個方面著手。

一、系統(tǒng)安全

主要措施有反病毒、入侵檢測、審計分析等技術(shù)。系統(tǒng)安全包括主機和服務(wù)器運行安全。我們可采用以下措施來保護系統(tǒng)的安全。

1.反病毒技術(shù)。計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的主要原因之一。特別是在網(wǎng)絡(luò)環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務(wù)器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，

2.入侵檢測。入侵檢測指對入侵行為的發(fā)現(xiàn)。通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它進行分析，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞，統(tǒng)計分析異常行為，等等。

發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員的主要任務(wù)。當然，從目前來看，系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題。從系統(tǒng)中發(fā)現(xiàn)漏洞不是一般網(wǎng)絡(luò)管理人員所能做到的，但是，及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對于已使用的軟件和服務(wù)，應(yīng)該密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。許多網(wǎng)絡(luò)管理員對此認識不夠，以致于過了幾年，還能掃描到機器存在許多漏洞。校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)存在的漏洞也就越多，也就有更多的危險。因此從安全角度考慮，網(wǎng)絡(luò)管理員應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供所需的基本的服務(wù)。最典型的校園網(wǎng)服務(wù)器中對公眾通常只提供Web服務(wù)功能，而沒有必要向公眾提供FTP功能，這樣，服務(wù)器的服務(wù)配置中，只開放Web服務(wù)，而將FTP服務(wù)禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么通過運行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。

3.審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程。它還能指出系統(tǒng)正被怎樣地使用。在確定是否有網(wǎng)絡(luò)攻擊的情況時，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處置的重要依據(jù)。另外，通過對安全事件的不時收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能發(fā)生的破壞性行為。除使用一般的網(wǎng)管軟件系統(tǒng)、監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備，以便對進出各級局域網(wǎng)的罕見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。

二、網(wǎng)絡(luò)運行安全

要保證網(wǎng)絡(luò)運行安全，除采用各種安全檢測和控制技術(shù)來防止各種安全隱患外，我們還應(yīng)該具備盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)的功能，即將所有文件寫入備份介質(zhì)。一般數(shù)據(jù)備份操作有兩種:一是全盤備份，只備份那些上次備份之后更改過的文件，這種備份是最有效的備份方法。二是差分備份，備份上次全盤備份之后更改過的所有文件，有“冷備份”和“熱備份”兩種方案。“熱備份”指下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中，根據(jù)備份的存儲媒介不同，只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點。“冷備份”將下載的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，系統(tǒng)恢復(fù)時重新安裝。其特點是便于保管，用以彌補“熱備份”的一些不足。進行備份的過程中常使用備份軟件，如GHOST等。

三、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離。常用的措施是內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡(luò)安全檢測，以增強機構(gòu)內(nèi)部網(wǎng)的安全性。

采用防火墻技術(shù)是目前維護內(nèi)部網(wǎng)安全的最主要的同時也是最在效和最經(jīng)濟的措施之一。防火墻不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，防火墻在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，能根據(jù)平安政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有:過濾進出的數(shù)據(jù)，管理進出網(wǎng)絡(luò)的訪問行為，封堵某些禁止的業(yè)務(wù)等。應(yīng)該強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全維護融合到系統(tǒng)的整體安全戰(zhàn)略中，才能實現(xiàn)真正的平安。

保證網(wǎng)絡(luò)系統(tǒng)安全最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性評估分析，檢查系統(tǒng)存在弱點和漏洞，采取彌補措施和安全策略，達到增強網(wǎng)絡(luò)安全性的目的。

參考文獻:

[1]局域網(wǎng)組建與維護DIY.人民郵電出版社.

[2]黃偉.電腦上網(wǎng)從入門到精通.航空工業(yè)出版社.