校園網網絡安全措施研究

王 召（西北民族大學電氣工程學院，蘭州 730000）

校園網網絡安全措施研究

王 召
（西北民族大學電氣工程學院，蘭州 730000）

通常的校園網網絡不能全面地監控整個網絡和各種設備的運行狀態并記錄和深入分析網絡流量，無法實時監控教師行為，私設IP地址的行為時有發生，迅雷、flashget等多線程下載軟件搶占網絡帶寬的現象很突出。為了解決這些問題，增加統一威脅管理網關，加強網絡安全管理，從而實現網絡負載均衡、網絡防火墻過濾、帶寬管理、上網行為管理。是保證校園網絡安全的重要措施。

安全；策略；控制

保證校園網絡系統各種設備的物理安全是整個網絡安全的前提條件。為了保護設備免遭環境事故的影響，我們所采用的設備必須要安全可靠，可以防止火災、水災等破壞，也可以避免人為操作的錯誤或失誤，從而更好地保護校園網絡系統和服務器。物理安全策略主要包括以下兩個方面:

（1）環境安全。能夠保護計算機系統的安全，使之工作在相對安全的工作狀態下，并能更好地創造電磁兼容的環境。

（2）設備安全。設備的防毀、防盜、防電磁信息輻射泄漏、電源保護及抗電磁干擾等，都是設備安全的主要方面。

1　訪問控制策略

我們所采取的一些訪問控制的措施是為了防止非法用戶對網絡資源使用和訪問，網絡安全最重要的策略是訪問控制策略。

（1）網絡的權限控制。網絡的權限控制可以控制非法操作，保護網絡安全。系統可以對用戶設定權限，也對用戶組限定了一些權限。只有這樣，才能有效的控制用戶的訪問目錄，控制訪問資源及訪問文件以等，對于一些目錄的操作也對用戶設定了限制。

（2）入網訪問控制。第一層訪問控制是入網訪問控制，它可以有效的控制不被允許的人登陸到網絡，從而獲取網絡資源，還可以控制用戶的登陸時間和登陸網站。

（3）屬性安全控制。如果用到目錄、文件和網絡設備時，校園網絡管理者應該給目錄、文件等指定一些訪問屬性。把給定的屬性與目錄、網絡服務器的文件和網絡設備連接在一起，這是屬性安全控制的任務。為了能保證更好的安全性，屬性安全是在權限安全的條件下進行的。

（4）目錄級安全控制。用戶在指定的權限內可以有效的訪問目錄，同時也可以指定子目錄下的一些權。

（5）網絡監測和鎖定控制。自動鎖定賬戶是在進入網絡的次數達到設定數值時進行的，這樣可以限定非法訪問用戶的次數。

（6）網絡服務器安全控制。服務器的控制臺上進行的一系列操作是網絡允許的。網管應該對校園網進行監控，用戶對網絡資源的訪問可以被服務器記錄下來。服務器應該對非法的網絡訪問以圖形或聲音或文字等一些方式報警，這樣就可以引起校園網絡管理者的注意。當非法用戶試圖進入校園網絡時，對控制臺模塊進行裝載和卸載，非法刪除和安裝軟件等這些操作是會被網絡服務器自動記錄下來的。為了防止非法用戶破壞數據或刪除、修改重要信息，可以對網絡服務器設定口令鎖定。同時也可以對服務器進行登錄時間的控制、對非法訪問者也可以進行檢測，關閉其非法操作，也可以查到相應的時間間隔。

2　防火墻控制策略

可以保護校園網絡安全的技術措施是防火墻技術，它是近期發展起來的一種技術。可以阻止黑客訪問網絡機構，防火墻位于軟件或者硬件或兩種都有，它是一種可以控制網絡的系統，可以限制非法用戶訪問網絡資源，監控內部和外部網絡系統，可以防止破壞和偷竊行為的惡意攻擊［1］。

3　信息加密策略

保護校園網內的文件、數據、控制信息和口令，保護網絡傳送的數據是信息加密的主要目的。端點加密、鏈路加密和節點加密是網絡加密常采用的三種方法。鏈路加密是指保護校園網絡節點與節點之間的鏈路信息安全。對從起始端用戶到目的端用戶提供數據保護是端點加密技術。對從源節點到目標節點的鏈路傳送進行保護是節點加密技術。各種加密算法對信息加密過程進行具體實施。在很多情況下，保證信息機密性的唯一方法是信息加密策略［2］。

4　網絡入侵檢測技術

試圖破壞信息系統的機密性、完整性、可信性的所有網絡活動都叫做網絡入侵。入侵檢測（IntrusionDeteetion）技術是指：能檢測針對網絡資源或計算機的惡意行為和企圖，并對這些行為和企圖做出相應反應的過程。該技術可以檢測出來自內部用戶的未被授權的活動，也可以查出來自外部的入侵行為。 這個技術采用了以攻為守的策略，它能提供出合法用戶亂用特權的數據，也有可能提供一些非法用戶入侵網絡的有效證據。

5　鏡像和備份技術

鏡像技術是指兩個設備同時運行完全一樣的工作，如果其中一個設備發生故障，另一個設備還可以繼續工作。為了提高完整性，需要采用鏡像和備份技術。提高數據完整性最常用的措施是備份技術，對于需要保護的數據，在其他地方制作一個備份，如果原件丟失了，還能使用備份數據［3］。

6　網絡安全策略配置

（1）安全接入和配置。在接入網絡前，為了保證網絡基礎設施的安全性，要經過授權和認證限制。

（2）謝絕服務的防止。防止主要是防止出現Smurf攻擊、TCP SYN泛濫攻擊等是校園網絡的設備拒絕服務攻擊的的主要目的。配置網絡設備的TCP SYN臨界值，如果多于設定的臨界值，則丟棄多余的TCP SYN數據包是網絡設備防止TCP SYN的主要方法。為了避免成為一個Smurf攻擊的受害者和轉發者，應該防Smurf攻擊，使得配置網絡設備設置ICMP包臨界值和不轉發ICMP echo請求。

（3）訪問控制。① 開放全部端口并允許內網訪問Internet；② 從公網到隔離區的訪問請求是允許的；③ 關閉全部端口并禁止公網到內部區的訪問請求；④ 開放全部端口并允許內網訪問隔離區；⑤ 開放全部端口并允許隔離區訪問Internet；⑥ 關閉全部端口并禁止隔離區訪問內網。

［1］王英龍.Ad Hoc網絡路由協議安全性分析方法研究［J］.山東：山東大學，2005：17-20.

［2］宋慶大.計算機網絡安全問題和對策研究［J］.現代電子技術，2009（05）：15.

［3］張燕.網絡故障診斷關鍵技術［J］.電腦知識與技術，2009（11）：32.

10.16640/j.cnki.37-1222/t.2016.14.122

王召（1995-），女，湖北孝感人，本科在讀。