現代網絡安全技術及其在校園網絡中的研究與應用

談 存 實

(蘭州職業技術學院，甘肅 蘭州 730070)

1 計算機網絡的安全問題

隨著計算機技術的深入發展，人們通過計算機處理業務已經從基于單機的數學運算和文件處理、利用簡單的內部網絡連接處理內部業務等，發展到現在基于全球互聯網的計算機處理系統進行數據處理和資源共享。計算機網絡信息處理能力得到了提高，計算機系統的連結能力也在不斷地提高。但在連結能力提高的同時，計算機網絡的安全問題也日益突出。主要表現在如下幾個方面：

1.1 開放性的網絡環境帶來的安全問題

計算機網絡的開放性等因素引起聯網環境下的計算機系統存在很多安全問題。即使在使用了各種安全工具和各項技術的情況下，計算機網絡仍存在很多安全隱患，這些安全隱患主要包括：(1)防火墻等安全機制在特定環境下不易發覺病毒入侵并很難防范。(2)人為因素的影響使得安全工具不能合理地利用。(3)系統的“后門”，防火墻不易發覺。例如眾所周知的ASP源碼問題，是IIS服務的設計者留下的一個“后門”。(4)BUG很難防范。黑客的攻擊手段在不斷地升級。

1.2 威脅計算機網絡的主要因素

(1)系統軟件存在漏洞。任何一個網絡軟件或者操作系統都存在缺陷，計算機一旦聯網，這些缺陷就會使得系統處于危險的境地。(2)配置問題。系統安全配置不當會導致安全漏洞，例如，防火墻軟件的配置不正確。(3)用戶的安全意識不強?？诹钤O置不當、個人賬號隨意轉借等都會對網絡安全帶來威脅。(4)病毒。計算機安全的頭號大敵是計算機病毒，它影響到計算機軟件和硬件的正常運行，具有傳染性、破壞性、觸發性、隱蔽性、寄生性等特點。(5)黑客入侵。

2 校園網絡安全體系

校園網絡同樣也會面臨安全威脅，對于校園網絡安全的防范需要構筑校園網絡安全體系，主要從兩個方面著手：一是技術。常用的有加密技術、內外網隔離技術、訪問控制、安全路由等對防止非法入侵系統起到一定的防御作用。二是提高和改進管理方法。

2.1 校園網絡狀況分析

從需求方面講，校園網絡安全是指利用各種網絡監控和管理技術措施，對網絡系統的硬件、軟件及系統中的數據資源實施保護，使其不會因為一些不利因素而遭到破壞，從而保證網絡系統連續、安全、可靠地運行。校園網從技術上使用虛擬網管理，分為內部網絡和互聯網絡。普通用戶要使用互聯網，需要提出申請，由網絡管理中心批準后分配IP地址，這樣才能與Internet相連接。

校園網絡能夠向用戶提供如下服務：(1)DNS(域名服務)；(2)E-mail(電子郵件服務)；(3)telnet(遠程登錄)；(4)ftp(文件傳輸服務)；(5)電子廣告牌；(6)WWW以及信息收集、存儲、交換、檢索等服務。

2.2 校園網絡存在的安全隱患

校園網絡主要存在的安全隱患有：(1)通過CERNET與Internet連接，能夠享受所提供服務的同時，同樣面臨著被攻擊的威脅。(2)由于校園內部用戶對于本網絡比較熟悉，這樣受到內部的威脅更大一些。(3)現行使用的網絡操作系統如Windows NT/Windows 2000、Unix、Linux等，系統本身存在安全漏洞，對校園網絡安全造成威脅。(4)因校園內計算機應用范圍的廣泛普及，網絡節點逐漸增多，多數節點都沒有采取相應的安全防護措施，存在容易被病毒感染、信息丟失、系統癱瘓和被攻擊等危險。因此，需要構建安全的信息防護體系，以保護校園網絡的安全。

2.3 校園網絡安全防護的目標

要增強校園網絡的安全，需要保護信息資源，控制和管理服務資源。信息資源分為公眾信息(不需要訪問控制的信息)、內部信息(需要身份驗證，并且根據身份進行訪問控制的信息)和敏感信息(需要身份驗證，數據傳輸也需要加密的信息)。服務資源包括內部服務資源(面向內部用戶，管理并控制內部用戶對信息資源的訪問)和公眾服務資源(針對匿名用戶，防止和抵御外來攻擊)。

3 校園網絡安全技術的應用

校園網絡的安全威脅主要來自于互聯網絡，比如：針對提供某種服務的服務器發起攻擊，導致該服務器拒絕服務，使得網絡不能正常運行；攻擊者針對網絡層協議進行，對網絡的通信設備進行攻擊，使得網路通信設備不正常運行甚至癱瘓；網絡服務被未授權的用戶非法訪問等。

3.1 建立網絡安全模型

通信的接收方和發送方在網絡上傳輸信息時，需要建立一條通信的邏輯通道，作為可信任的第三方，為了信息的傳輸安全性，需要有安全機制和相應的安全服務，如圖1所示。

這樣，通過可信任的第三方，對通信雙方所傳輸的信息進行加密，若雙方產生爭議可進行仲裁。此網絡安全方案需要完成如下四個基本任務：通過特定算法，進行數據的安全轉換；對該特定算法生成秘密信息；研究秘密信息共享和分發的方法；再設定網絡通信協議，利用特定算法和生成的秘密信息獲得安全服務。

3.2 構建校園網絡安全防范體系

構建校園網絡安全防范體系是以安全策略為核心，著手于安全管理和安全技術兩方面主要任務的完成，進行威脅防護和檢測；對網絡用戶加強培訓，增強安全意識。如圖2所示。

以上防御體系通過以下安全技術來實現：

(1)采用Virtual Local Area Network技術。

網絡管理部門將學校各部門按照不同的業務類型及級別，采用VLAN虛擬網絡技術，如對網絡進行分段、隔離，實現訪問控制。

(2)對防火墻進行安全配置。

提高校園網的安全系數首先要從入口上下手，也就是說在校園網的進口處架設防火墻，通過入侵檢測技術將內外網進行隔離。防火墻實時對網絡進行檢測和分析，并將檢測結果報告給網絡管理員，可以有效地保護內部網絡使其免受攻擊。

(3)對代理服務器進行配置。

在學生機房使用二級防火墻，設置安全訪問列表，對代理服務器合理地配置并安裝雙網卡，內外網之間使用公網IP地址，內部網絡之間使用私有地址，學生機使用虛擬IP地址，這樣可以控制Internet的訪問量。

(4)安裝殺毒軟件。

保護校園網的安全，安裝殺毒軟件十分必要。在所有可能被病毒感染和傳播的地方都要安裝適應的殺毒軟件，網絡管理員要對殺毒軟件及時有效地升級并適時掃描系統。但是，殺毒軟件對一些未知的病毒不易察覺，而且存在誤報的缺點。因此，這些問題需要進一步地研究和探討，不斷地完善安全防范體系。

(5)完善安全管理制度。

在校園網的安全防御體系中安全管理是核心，通過合理的日常管理制度，再使用限制的軟件技術和硬件設備，才能形成一個完整有效的安全防御系統。以技術為支撐，通過完善的管理制度落實，才能更好地抵御威脅。規定系統管理員要進行日常的網絡安全管理，實時地、動態地監控網絡運行情況，每日必須檢查服務器的日志，對重要的數據服務器，每日必須進行異地數據備份。同時管理員的密碼必須達到一定的長度并且建議每周修改一次。管理員需及時對操作系統打補丁和防病毒軟件包的升級，不斷完善和優化網絡安全防范體系。

參考文獻：

[1]蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社,2005：52～56.

[2]華師傅資訊.黑客攻防疑難解析與技巧800例[M].北京:中國鐵道出版社，2008：219.