高校內部網絡安全分析與解決策略

朱 震

（桂林電子科技大學信息科技學院，廣西 桂林 541004）

高校內部網絡安全分析與解決策略

朱 震

（桂林電子科技大學信息科技學院，廣西 桂林 541004）

隨著電腦的廣泛應用大多數高校都在推行數字化辦公，這使得每天所要處理的相關信息也在迅速地增加,為了提高辦公效率，各高校都在加強網絡信息平臺的建設,尤其是高校內部網絡的建設,以此來管理數量龐大的信息。高校內部網絡安全問題也因此成為各高校在信息化建設中面臨的重大問題之一。文章對高校內部網絡現狀進行分析指出硬件、軟件和網絡用戶等四個方面存在的安全隱患，并針對這些隱患進行分析和評估并提出相應的安全防護策略。

高校內部網絡；安全分析；解決方案

1 高校內部網絡安全隱患綜合分析

1.1 網絡設備的安全問題

現在高校內部網絡的規模在不斷擴大需要大量高質量網絡設備的支持,用戶撒布在校園的各個教學地點導致這些網絡設備也必須分布在各種不同的地方，管理困難。（其中任何環節上的失誤都有可能引起高校內部網絡的癱瘓，如室外通信線路包括光纜、電纜等，可以說分布在校園的各個角落，有的還裸露在地面或建筑物的外墻上不能封閉式管理；室內設備包括交換機、路由器等也可能發生被盜、損壞等情況。以上就是物理層面的安全問題，概括來說就是指：由于網絡設備的放置不合適或者防范措施不得力，使得網絡設備，光纜和雙絞線等遭受意外事故或人為破壞，造成高校內部網絡不能正常運行。在制訂高校內部網絡安全解決方案時首先應考慮這方面的問題。

1.2 系統和應用軟件存在的漏洞

在高校內部網絡中的計算機使用著各種各樣的操作系統和應用軟件，這些軟件本身的漏洞就是威脅，還有一些網絡用戶使用沒有正式授權的軟件也會導致計算機可能成為黑客攻擊高校內部網絡的后門。

1.3 計算機病毒和來自內、外網絡惡意攻擊

計算機病毒是高校內部網絡安全最大的威脅因素，有著巨大的破壞性。尤其是在網絡環境下病毒傳播速度快、影響面大、查殺病毒困難。高校內部網絡一般都接入Internet，在一個完全開放的環境下要面對各種惡意的攻擊危險，由于內部用戶對網絡的結構和應用模式都比較了解，特別是在校學生，學校不能有效的規范和約束學生的上網行為，學生會經常的監聽或掃描學校網絡，因此來自內部的不安全因素更具威脅性。

1.4 內部用戶濫用網絡資源

高校內部網絡內部用戶對高校內部網絡資源的濫用，有的高校內部網絡用戶利用內網資源提供視頻、音頻、軟件等資源下載，占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫用了大量的網絡帶寬，使得日常教學和辦公對網絡的正常需求受到極大的影響。

2 相應的解決策略

2.1 硬件保護策略

硬件的安全是網絡安全最重要的部分,硬件是網絡通訊的基礎，所以要保證高校內部網絡絡正常,首先要保證硬件能夠正常使用。常規可采取的措施主要有:減少火災、水災、地震等，對網絡組件、計算機硬件及軟件資源的破壞。減少高溫、潮濕、灰塵、供電系統、外界強電磁干擾等，對網絡組件運行可靠性造成的不良影響。比如交換機、路由器要裝入防靜電箱子中并安裝在較高的地方，機房要鋪設防靜電地板，保持環境的清潔和干燥等等。

2.2 訪問監管和控制策略

訪問控制方面的策略任務主要就是保證網絡資源不被未經授權的用戶使用或訪問。包括入侵監測控制策略、服務器訪問控制策略、防火墻控制策略等多個方面的內容。

2.2.1 利用網絡防火墻和防毒墻技術

防火墻是在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與高校內部之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，其中包過濾是重要策略之一，此策略在網絡層中對數據包實施有選擇的通過，依據系統設定好的過濾原則，檢查數據流中的數據包，根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過。防火墻可以對網絡數據流連接的合法性進行分析，但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的，因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生，它是指位于網絡人口處，用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防毒墻使用簽名技術在網關處進行查毒工作，阻止網絡蠕蟲和僵尸網絡的擴散。此外，網絡管理者能夠設定分組的安全策略，以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址，以及TCP/UDP端口和協議。

2.2.2 入侵檢測控制策略

人侵檢測技術對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統。

根據采用的檢測技術，人侵檢測系統分為誤用檢測和異常檢測兩方面。誤用檢測根據事先定義的人侵模式庫，人侵模式描述了人侵行為的特征、條件、排列以及事件間關系，檢測時通過將收集到的信息與人侵模式進行匹配來判斷是否有人侵行為。但它的是人侵檢測性能取決于模式庫的完整性。它不能檢測模式庫中沒有的新入侵行為或者變體，要保證模式庫德完整較為困難，所以漏報率較高。而異常檢測技術則是通過提取審計蹤跡，例如：網絡流量、日志文件等，對其的特征數據來描述用戶行為，建立典型網絡活動的輪廓模型用于檢測。檢測時將當前行為模式與輪廓模型相比較，如果兩者的偏離程度超過一個確定的閩值則判定為人侵。比較典型的異常檢測技術有統計分析技術、機器學習和數據挖掘技術等。二者各有優缺點:誤用檢測技術一般能夠較準確地檢測已知的攻擊行為并能確定具體的攻擊，具有低的誤報率，但面對新的攻擊行為確無能為力;而異常檢測技術具有發現新的攻擊行為的能力，漏報率低，但其以高的誤報率為代價并不能確定具體的攻擊行為?，F在的人侵檢測技術朝著綜合化、協同式和分布式方向發展，如NIDES,EMER-ALD,Haystack都是誤用檢測與異常檢測的綜合系統，用誤用檢測技術在其中檢測已知的人侵行為，異常檢測系統+檢測未知的人侵行為，這一整個監控系統就更加完善和效率了。

2.2.3 服務器訪問控制策略

對于服務器和路由器這樣的網絡基礎設備,避免非法入侵的有效方法是去掉不必要的網絡訪問,在所需要的網絡訪問范圍外建立訪問控制。另外對用戶的帳號進行必要的權限設置。一是要限制數據庫管理員用戶的數量和給用戶授予其所需要的最小權限。二是取消默認賬號不需要的權限，選擇合適的用戶賬號連接到數據庫。

2.3 病毒防護策略

病毒主要由數據破壞和刪除、后門攻擊、垃圾郵件傳播、不斷自我復制耗盡資源等幾種方式的在網絡進行傳播和破壞,照成線路堵塞和數據丟失損壞。那么建立的一套完整的網絡病毒防范體系是對高校內部網絡整體病毒防護策略。具體包括：

1）未知病毒查殺技術：也就是主動病毒防御技術，它通過虛擬技術和人工智能技術結合，解決了原先依賴病毒庫查詢病毒的缺點，實現了對未知病毒的準確查殺。

2）智能引擎技術：智能引擎技術發展了特征碼掃描法的優點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。

3）壓縮智能還原技術：它可以對壓縮或打包文件在內存中還原，從而使得病毒完全暴露出來。

4）病毒免疫技術：病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區來實現病毒免疫的基本構想。

2.4 不良信息的防護策略

Internet上存在大量的不良信息，高校內部網絡因為與Internet連接，學生有可能接觸到這些信息而在高校內部網絡上傳播，造成惡劣的影響?？梢园惭b非法信息過濾系統,設置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。

2.5 建立安全評估策略

高校內部網絡安全不能僅僅依靠防火墻和其他網絡安全技術，而需要仔細考慮系統的安全需求，建立相應的管理制度,并將各種安全技術與管理手段結合在一起，才能生成一個高效、通用、安全的高校內部網絡絡系統。建立專門的管理團隊結合使用安全評估工具進行安全評估,對各方面進行檢測和反饋信息收集,制定對應的網絡安全管理策略。

3 結束語

隨著高校內部網絡功能和規模的擴展，它的安全問題越來越受到重視，網絡環境的復雜性、多變性，以及計算機系統的脆弱性，決定了高校校園的網絡不能僅僅依靠防火墻，而應涉及到管理和技術等多方面的配合。需要仔細分析系統的安全需求，建立完善的管理制度，并將各種安全技術與管理手段綜合在一起，才能建立一個高效、通用、安全的高校內部網絡系統。

[1] 彭文波,等.網絡安全進階筆記[M].北京:清華大學出版社,2011:19-215

[2] 李偉.網絡安全實用技術標準教程[M].北京:清華大學出版社,2006:154-210

[3] 張仕斌.網絡安全基礎教程[M]. 北京:人民郵電出版社,2009:149-290.

The Network Completely in Colleges or Universities and Solving Strategies

The majority of colleges and universities carries out the digital office with the wide application of computer. So every day to deal with related information increases rapidly. In order to improve office efficiency, every college is strengthening network information construction. Especially in the internal network platform construction. So they can administrate the huge number of information managemet. Now the university internal network security issues become one of the important problems in informatization construction.The article points out the hidden dangers in hardware, software and network user accroding to efficient internal network status in colleges.And it makes its analysises and assessments accroding to these hidden dangers. And it puts forward the corresponding security strateges.

Efficient internal network；safty analysis；solutions

TP393

A

1008-1151(2012)06-0021-02

2012-05-06

朱震（1976－），天津人，桂林電子科技大學信息科技學院助教。