校園網(wǎng)網(wǎng)絡安全技術(shù)及解決方案分析

李春曉

（西安外事學院，710077)

伴隨著我國教育事業(yè)信息化的發(fā)展，網(wǎng)絡在校園辦公、教學以及科研、學術(shù)交流中發(fā)揮著越來越重要的作用。尤其是隨著因特網(wǎng)的普及，網(wǎng)絡為我們提供了一個信息高速化和開放性的平臺。網(wǎng)絡在帶給我們極大的便利的同時也給校園引入了諸多不安全的因素，例如黑客攻擊、計算機網(wǎng)絡病毒、不健康網(wǎng)絡信息等都會影響校園網(wǎng)絡的安全運行。從中小學到高校都在進行網(wǎng)絡建設，如何規(guī)避網(wǎng)絡風險便是我們需要解決的首要問題。

1 校園網(wǎng)的特點

隨著信息技術(shù)以及互聯(lián)網(wǎng)的飛速發(fā)展，我國校園網(wǎng)的建設得到了飛快的發(fā)展，校園網(wǎng)的建設規(guī)模也逐漸增大，這在一定程度上為學校教學工作的開展提供了更多的便利。校園網(wǎng)作為學校建設的重要設施，在教學、科研以及教學工作管理和學校的對外宣傳方面都發(fā)揮著重要作用，因此校園網(wǎng)絡的安全程度也將直接影響學校的教學活動。計算機技術(shù)革新的同時，各種網(wǎng)絡威脅也隨之而來，尤其是在網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡的復雜性日益突出的背景之下，用戶對網(wǎng)絡性能的要求也在上升，這就使得校園網(wǎng)絡安全維護工作顯得尤其重要，具體來說當前校園網(wǎng)絡建設進程中面臨的問題主要體現(xiàn)在以下幾點：

1）日常管理維護難，隨著網(wǎng)絡在校園中的應用范圍逐漸增大，課堂教學的網(wǎng)絡化、在線學習等都會給網(wǎng)絡維護工作帶來諸多挑戰(zhàn)，長時間的業(yè)務積壓極容易造成網(wǎng)絡故障。

2）濫用網(wǎng)絡資源。在大多數(shù)校園內(nèi)存在著用戶濫用網(wǎng)絡資源的情況，主要表現(xiàn)在私自開設代理服務器非法獲取網(wǎng)絡服務或是非法下載和上載以及存在不按學校規(guī)定進行網(wǎng)絡服務的，大量占用校園網(wǎng)絡，影響校園其他應用的正常運行。

3）由于校園內(nèi)部的網(wǎng)絡體系較為復雜，在安全認證以及授權(quán)方面面臨的挑戰(zhàn)較大，這就使得網(wǎng)絡安全得不到保障，計費運營等缺乏系統(tǒng)的規(guī)范。

4）互聯(lián)網(wǎng)本身內(nèi)容的豐富性和多元化也給校園網(wǎng)絡帶來了威脅，互聯(lián)網(wǎng)上的非法內(nèi)容對于在校生而言具有極大的危害性，暴力、黃色、血腥等不良內(nèi)容都會影響學生身心的健康成長。因此校園網(wǎng)需要采取一定的措施對校園網(wǎng)絡的信息進行過濾和處理，為學生提供一個綠色的網(wǎng)絡環(huán)境，如果不加以過濾和識別不僅會給學生帶來不利影響，還會占用過多的流量資源，造成網(wǎng)絡流量的堵塞，影響上網(wǎng)速度。

2 校園網(wǎng)網(wǎng)絡安全問題

2.1 網(wǎng)絡開放性下的安全問題

正是因為互聯(lián)網(wǎng)的開放性使得計算機面臨著諸多威脅，為了創(chuàng)造安全的網(wǎng)絡環(huán)境，需要設置各種安全機制和策略，并且要通過安全管理技術(shù)來提升網(wǎng)絡的安全性能，但即使是在這樣的環(huán)境下，安全機制并不能保證網(wǎng)絡萬無一失，例如防火墻設置在內(nèi)部網(wǎng)絡之間的訪問難以發(fā)揮作用，對于內(nèi)部網(wǎng)絡之間的非法入侵行為不能作為，而一些安全工具的使用也可能會因為認為操作的影響，一旦設置不當都會直接影響校園網(wǎng)絡的安全性能。

2.2 校園網(wǎng)網(wǎng)絡面臨的主要威脅

校園網(wǎng)網(wǎng)絡安全面臨的威脅因素主要有以下幾個方面：首先從系統(tǒng)本身來看，由于系統(tǒng)設計過程中的失誤都可能會直接影響網(wǎng)絡的穩(wěn)定性以及運作，如網(wǎng)卡設置不當?shù)榷伎赡軙苯訉е戮W(wǎng)絡的不穩(wěn)定，形成網(wǎng)絡障礙。其次網(wǎng)絡軟件自身的問題，在校園網(wǎng)使用過程中，一些非法軟件或是一些設計不成熟的軟件，因為自身的漏洞給黑客、病毒的入侵創(chuàng)造了條件，從而使得校園網(wǎng)“后門大開”給校園網(wǎng)帶來災難性的影響。再次目前大多數(shù)計算機用戶談毒色變的網(wǎng)絡病毒也是威脅校園網(wǎng)網(wǎng)絡安全的重要因素，因為網(wǎng)絡病毒的高傳播性以及傳播的廣泛性都使得計算機網(wǎng)絡面臨著嚴重威脅，隨著網(wǎng)絡多元化和復雜化的發(fā)展，病毒的種類也越來越多。此外黑客攻擊也是校園網(wǎng)網(wǎng)絡安全的重要攻擊者，黑客通過找到校園網(wǎng)絡的網(wǎng)絡漏洞入侵系統(tǒng)從而破壞計算機內(nèi)部系統(tǒng)，損壞計算機系統(tǒng)信息的完整性和有效性，入侵計算機竊取校園網(wǎng)絡的重要信息，黑客攻擊帶給校園網(wǎng)的破壞性是極大的。

3 校園內(nèi)部網(wǎng)絡安全技術(shù)

3.1 防火墻技術(shù)

防火墻的設置是做好病毒防范工作的重要一步，防火墻的設置對于保護內(nèi)部網(wǎng)絡安全具有重要意義，對內(nèi)部起到保護作用，對外網(wǎng)用戶的訪問設置權(quán)限，同時通過防火墻記錄外網(wǎng)用戶的網(wǎng)絡行為，避免外網(wǎng)用戶的非法入侵并且及時采取措施。防火墻設置的優(yōu)勢在于能夠在網(wǎng)絡通信時執(zhí)行控制尺度，防止外網(wǎng)用戶隨意訪問內(nèi)部網(wǎng)站，隨意更改和刪除網(wǎng)絡上的重要信息。設置防火墻是當前網(wǎng)絡安全維護的關鍵技術(shù)并且運行廣泛的安全機制，防火墻的設置又分為硬件防火墻和軟件防火墻。

3.1.1 硬件防火墻

硬件防火墻主要是應用于保護網(wǎng)絡數(shù)據(jù)訪問，通過對數(shù)據(jù)訪問的范圍進行限制，從而避免了不安全的數(shù)據(jù)訪問和服務，例如限制外網(wǎng)用戶訪問校園內(nèi)部網(wǎng)絡。傳統(tǒng)的硬件防火墻采用分組過濾或是包過濾技術(shù)，伴隨著計算機網(wǎng)絡技術(shù)的革新，目前防火墻設置已經(jīng)可以進行應用層的策略部署，使得防火墻設置更加人性化，適應性也更強。利用硬件防火墻，能夠?qū)崿F(xiàn)內(nèi)網(wǎng)的DMZ劃分以及NA地址轉(zhuǎn)換。按照防火墻實現(xiàn)架構(gòu)的方式來分，可以將防火墻的設置分為以下幾類：一是基于通用處理器的工控機架構(gòu)PC防火墻，二是基于NP技術(shù)的硬件防火墻以及基于ASIC芯片的硬件防火墻。

3.1.2 軟件防火墻

軟件防火墻相對于硬件防火墻來說需要的投資較小，操作更為編輯，能夠滿足單個計算機網(wǎng)絡安全的防護，但對于龐大的校園網(wǎng)絡來說，要實現(xiàn)更好的防火墻配置效果，就應該要將軟件防火墻設置和硬件防火墻設置結(jié)合起來，進一步提高網(wǎng)絡安全性能，避免黑客攻擊以及病毒入侵等。

3.2 防毒技術(shù)

網(wǎng)絡的開放性和交互性為網(wǎng)絡病毒提供了可趁之機，網(wǎng)絡環(huán)境下，病毒傳播的速度是極其迅速的，局部防毒的方式對于校園網(wǎng)絡來說很難抵御大規(guī)模病毒的入侵，因此就需要從校園內(nèi)部網(wǎng)絡進行全方位的防毒，強化計算機網(wǎng)絡的安全性能。計算機網(wǎng)絡病毒的種類是多元化的，要做好反病毒技術(shù)，首先需要從本質(zhì)上提升計算機自身系統(tǒng)的安全性和穩(wěn)定性，并且對網(wǎng)絡設置進行規(guī)范化的處理，避免因為計算機自身的缺陷讓病毒入侵，破壞整個系統(tǒng)的穩(wěn)定性及安全性。病毒傳播常常會在不經(jīng)意間發(fā)生，因此要嚴格設置好計算機的網(wǎng)絡防護墻，選擇良好的防毒軟件，及時更新本地病毒庫，發(fā)現(xiàn)潛在病毒并且及時殺除病毒，盡可能降低計算機病毒在本地蔓延的可能，降低危害。目前在網(wǎng)絡安全防范技術(shù)中常用的防病毒主要有以下幾種，分別是特征碼掃描技術(shù)、虛擬執(zhí)行技術(shù)、文件監(jiān)控技術(shù)以及防病毒技術(shù)和病毒免疫技術(shù)等。

3.3 入侵檢測技術(shù)

入侵檢測技術(shù)主要適用于非法入侵的防范，所謂入侵行為就是指未經(jīng)過合理途徑對校園網(wǎng)絡的系統(tǒng)資源進行非授權(quán)使用，這可能會直接造成系統(tǒng)數(shù)據(jù)的丟失、破壞以及系統(tǒng)對合法用戶的限制等。入侵檢測系統(tǒng)是保障計算機網(wǎng)絡使用安全，保護內(nèi)部網(wǎng)絡資源的關鍵技術(shù)。入侵檢測系統(tǒng)的目標在于當系統(tǒng)即將遭到非法入侵時，利用報警及防護系統(tǒng)將非法入侵者驅(qū)逐出校園網(wǎng)，盡可能提早發(fā)現(xiàn)系統(tǒng)中的不安全隱患，并且及時獲取和收集入侵攻擊的相關信息，最終達到降低損失的目的。入侵檢測的方法主要有特征檢測、統(tǒng)計檢測以及專家系統(tǒng)檢測。特征檢測主要是對一些已知的入侵方式進行匹配，當檢測到某些特征屬于非法入侵時則立即發(fā)出警報，這種入侵檢測技術(shù)是建立在對被考察事件的入侵模式的認知上，一旦出現(xiàn)缺乏經(jīng)驗存儲的入侵行為，系統(tǒng)將難以做出準確的判斷。專家系統(tǒng)對入侵的檢測與特征檢測類似都需要依賴于完備的知識庫，對入侵行為和方式有多遠的儲備。要使用專家系統(tǒng)來檢測非法入侵，就需要做好記錄工作，保障知識庫的完備性和實時性。

3.4 數(shù)據(jù)維護技術(shù)

數(shù)據(jù)的維護是保障校園網(wǎng)網(wǎng)絡安全的關鍵技術(shù)，通過數(shù)據(jù)備份能夠彌補因為數(shù)據(jù)丟失和破壞帶來的損失。數(shù)據(jù)備份技術(shù)下分為數(shù)據(jù)備份和災難恢復，二者的分類關鍵在于容災級別的大小。全面的系統(tǒng)化的校園網(wǎng)容災解決方案應該包括了數(shù)據(jù)復制、以及遠離容災地區(qū)的數(shù)據(jù)備份中心，備份中心需要配有完善的服務器以及磁盤等硬件設施，軟件方面還需要提供數(shù)據(jù)復制的軟件以及遠程切換和集群架構(gòu)等措施，從而能夠確保當校園網(wǎng)數(shù)據(jù)遭到破壞之后能夠在最短的時間內(nèi)回復系統(tǒng)的正常運行，減輕損失。數(shù)據(jù)的維護工作并不僅僅局限在數(shù)據(jù)備份環(huán)境，數(shù)據(jù)備份的目的在于后期遭到破壞之后的及時恢復，而從數(shù)據(jù)管理的角度來說，還應該制定一份詳盡的數(shù)據(jù)備份和恢復系統(tǒng)的管理計劃，即要提高網(wǎng)絡安全的管理水平，防范于未然，保護好校園網(wǎng)系統(tǒng)數(shù)據(jù)。

3.5 安全管理

漏洞修復主要針對的是系統(tǒng)及網(wǎng)絡本身的缺陷，在校園網(wǎng)絡系統(tǒng)運行的過程中，不僅要對校園網(wǎng)用戶進行不同類別的劃分，明確用戶的權(quán)限，另一方面還需要對網(wǎng)絡資源進行維護，對不同的資源性質(zhì)進行管理，將資源劃分為不同的共享級別。同時要定期給用戶分配不同的賬戶和密碼，規(guī)范密碼使用的有效期限，從而保障密碼動態(tài)有效，在防火墻設置時對于一些不良IP網(wǎng)址進行過濾，從而確保網(wǎng)絡的安全性。作為校園網(wǎng)絡的網(wǎng)絡安全管理人員需要提高自身的工作責任心，在面臨龐當?shù)男@網(wǎng)系統(tǒng)時，要增強信息，從小處做起，各部門之間相互協(xié)調(diào)，做好校園網(wǎng)網(wǎng)絡安全的管理工作。

4 結(jié)語

綜上所述，校園網(wǎng)網(wǎng)絡安全的架構(gòu)是一個系統(tǒng)化和整體化的工程，通過系統(tǒng)防御能夠增強校園網(wǎng)的網(wǎng)絡安全性能，形成自我防御能力較強的安全機制，能夠?qū)W(wǎng)絡安全威脅做出及時的反應，為學校師生提供綠色化的網(wǎng)絡環(huán)境，提升網(wǎng)絡運行的穩(wěn)定性和安全性。

[1]張治元,肖如良;基于加密技術(shù)的校園網(wǎng)認證體系的研究與實現(xiàn)[J];長沙通信職業(yè)技術(shù)學院學報;2005年03期

[2]褚建立;;構(gòu)建多層次的校園網(wǎng)安全體系[J];計算機與信息技術(shù);2006年Z1期

[3]靳攀;;互聯(lián)網(wǎng)的網(wǎng)絡安全管理與防護策略分析[J];北京工業(yè)職業(yè)技術(shù)學院學報;2008年03期

[4]楊晴;;關于構(gòu)建高效安全的校園網(wǎng)絡系統(tǒng)的思考[J];重慶職業(yè)技術(shù)學院學報;2006年05期

[5]蔣東興,史宗愷,陳懷楚,劉啟新,沈培華,王映雪;大學資源計劃的方案研究[J];清華大學學報(自然科學版);2004年04期