校園網絡安全防御的研究

吳琳琳

[摘要]隨著我國信息化建設不斷推進，大部分校園已經開始信息化管理。教學和管理都已經離不開校園網，由此看見保障校園網的安全性至關重要。但是目前經常會出現一些惡意病毒對于校園網的安全運行造成極大的威脅。這就要求技術人員建立起有效的安全防御措施。為了提升校園網的安全性，本文首先論述了目前我國校園網的運行現狀、隱患和面臨的威脅，最后提出了校園信息網絡安全防御系統的設計和實現方法。

[關鍵詞]校園網絡;網絡安全;防御系統

[中圖分類號]G202

[文獻標識碼]A

[文章編號]1671-5918（2019）08-0128-03

doi：10.3969/j.issn.1671-5918.2019.08.056

[本刊網址]http：//www.hbxb.net

一、引言

我國大部分校園網絡在運行過程中采用的安全防御策略為殺毒軟件和系統防火墻。其中系統防火墻是外部互聯網相關信息數據進入校園內部網絡安全屏障。它通過檢查傳入數據，并且制定良好的規則阻止違反數據規則的流動。對網絡層的安全性來說它在網絡連接中具有一定的影響，但在應用層的高層不能有效進行保護。黑客技術隨著網絡技術的發展，網絡攻擊工具也在不斷完善，防火墻的滲透方法越來越多，應對網絡攻擊僅僅使用防火墻是不夠的，敏感數據的安全不能有效得到保證。

二、校園網絡防護的現狀

許多專家學者對校園網的安全威脅和防范措施進行了廣泛的研究，研究成果主要集中在以下幾個方面：

（一）校園網惡意代碼傳播研究。經過大量研究發現，在校園網中出現惡意代碼現象非常罕見，這可能是由于編碼者為了有效地避免代碼被殺毒軟件識別和查殺，有意將惡意代碼派生出變體代碼，從而使惡意代碼進化升機，達到了檢測殺毒軟件的能力。利用瀏覽器中的漏洞特洛伊木馬進行傳播，它幾乎不需要與用戶交互，在通信和操作過程中隱蔽性很強。

（二）目前預防各種病毒在校園網中保證網絡安全的目的無法達到。病毒防御措施目前主要針對突發性病毒，目前采用的殺毒軟件通過獲得病毒樣本，從而實現對病毒的識別和查殺。但是病毒的進化速度過快，殺毒軟件無法對新型的病毒進行有效識別和查殺，因此采用殺毒軟件安全防御效果非常有限。

（三）校園網絡安全系統建設的研究正在蓬勃開展。隨著計算機技術不斷發展，對于網絡安全防御技術也越來越完善，為了提升校園網安全性，目前已經開始使用多維立體防御技術預防病毒攻擊。

三校園網絡存在的隱患和面臨的威脅

近年來，對中國互聯網的攻擊和竊取信息和利用網絡攻擊有價值的信息情況屢見不鮮。這些大多與安全管理有關的網絡信息泄漏。隨著網絡應用的普及，使用計算機進行信息犯罪的概率將增加，我們必須關注這個情況。隨著校園信息技術和網絡的發展，校園網絡安全威脅日益突出，其規模大、層次多、比較致命。

（一）校園網絡安全需求

采用正確的安全防御技術，首先需要對校園安全網絡的需求進行分析。目前校園網絡安全主要包括以下幾方面：

1.用戶安全要求

除了用戶的身份，系統還應建立起指紋、臉部等識別技術。為了提升校園網絡數據信息傳輸的安全性，應引入加密技術。要求用戶不僅提供用戶名和密碼，對重要數據和位置的訪問還要求用戶提供硬件驗證設備諸如電子證書之類的。具有識別虛假訪問者的能力，該系統還應該利用數據統計和分析算法相關技術對于每個用戶的使用情況進行分析和研究。為了發現校園網的入侵者，要求網絡具備入侵檢測的功能。

2.網絡平臺的安全需求分析

網絡平臺的安全性通過鏈路層應該能夠應對發起的攻擊。安全系統應該能夠對于內容可尋址存儲表的失敗，交換機使用端口安全可配置來防止MAC地址進行通信在找到無效地址之后。安全系統為了防范網絡風險，與外部Internet之間應建立校園網數據包的進出口控制策略，對于有害的控制和訪問控制和隔離。將源地址采用該策略的接入Internet和校園網中的目的地址。對有害控制的早期識別通過對接入分組進行分析。3.應用環境的安全需求分析

在網絡層中應用環境應該能夠加密傳輸的信息。對數據的加密由于TCP/IP協議不提供，對于重要數據，首先加密數據安全系統能夠并通過網絡層傳輸數據，例如用戶的賬戶、密碼等。網絡中的所有終端操作系統在安全體系結構中應該能夠監控和管理服務器端。

（二）校園網絡安全方案的系統結構

通過對服務使用者對校園網安全需求的分析和清晰有效的分工，從兩方面考慮網絡安全平臺和安全校園網絡環境。內部網絡的安全必須保證;企業的安全運行也需要保證。本文在分析校園網安全需求的基礎上，采用入侵檢測系統、防火墻系統、漏洞評估系統、邊界安全認證系統、網絡控制系統。通過登錄到服務器普通用戶進行信息訪問，對信息的訪問使用此方法可以實現分配權限來控制用戶。校園網可以分為：外聯網、內網、外部接入區和數據交換區。

1.外部網絡是一個非常不安全的公共檢查區域，建立了專用網絡。這里建立了防火墻、漏洞檢測服務器、入侵檢測、反病毒服務器，可以防止惡意入侵和攻擊和病毒傳播。

2.校園網在數據庫服務中、最終用戶在服務器包含大量的業務和財務數據，其安全性是必須保證的。

3.外部接入區域是指通過專用連接，區域內的VPN等線路，無線網關、通過第三層交換區、防火墻來進行網絡接入。

4.系統最重要的區域是對于數據交換區域的訪問。系統中的審計服務器對于統一的監控服務器，必須認證和訪問授權服務器，有效保證和防止數據完整性的信息被損壞。

由于校園網的功能是實現各個子系統之間的交互，以及對外部網絡訪問。由于病毒主要來自外部網絡，因此，建立起防火墻對于校園網絡的安全具有非常重要作用。防火墻技術采用包過濾技術和代理服務器技術。通過外部網絡的訪問限制對內部網絡，需要進行包過濾，以及數據包過濾非法網絡訪問。代理服務器技術是許多不安全的服務，如telnet、FTP，服務器使得它成為與防火墻類似的情況，并響應外部請求。代理服務器技術對于每個服務不需要被編程。在外聯網中受保護的Intra-net用戶進行訪問，需要用戶登錄防火墻，防火墻的安全性在外部網絡中只能看到一部分，能夠將內部訪問請求進行隱藏，只有通過訪問控制策略才能有效提升校園網絡安全。訪問控制策略主要是對未經允許的訪問和使用網絡資源現象進行控制。

網絡安全系統通過安全測試進行記錄，入侵檢測系統對詳細日志使用網絡管理軟件進行處理和分析。由于以太網是廣播網絡，對于主機入侵檢測，網絡適配器需要設置為混合模式，在網絡上主機入侵檢測接收傳輸每個分組。可以用來在監控模式下，通過建立網絡接口來實現。網絡中大量的信息可以通過嗅探器進行攔截和傳輸，然后進行分析，處理系統的安全審計日志需要定期來執行。

四校園信息安全網絡防御系統的實現

（一）物理防護的實現

保護網絡中的計算機中物理網絡安全是主要目的，通過網絡連接設備和服務器，使其不會受到人為因素、自然災害、電磁輻射、系統崩潰等各種意外因素影響。

交換機、服務器等設備是校園網絡系統非常重要的設備，對于校園網絡的安全性也是至關重要的，因此需要實施集中管理，特別負責人負責。此外，線路是校園網正常運行的基礎，所以對于網絡傳輸線路的保護工作也非常重要。

隨著技術不斷發展，電子設備數量日益增加，而電子設備在使用過程中會產生電磁輻射，會對周圍的設備產生一定影響。校園網在數據信息傳輸過程中，如果收到電磁輻射的干擾，則接收到的數據包含大量噪聲，導致數據的信息特性和工作時的頻率被淹沒，這也降低了數據傳輸安全性。因此，減少校園網絡的電磁輻射是非常有必要的。可以通過采用電磁屏蔽材料來降低電磁輻射對校園網的影響。

（二）入侵檢測系統的實現

根據校園網絡的特點，本文設計了多層次、可擴展的入侵檢測系統。

本文提出了入侵檢測系統以動態信息安全理論為基礎，進行了融合分析，對于各類安全技術實現響應和報警安全事件。對單個網段入侵檢測系統通常只能實現安全布控，融合分析全網段的信息不能進行，本文采用了入侵檢測系統分布式的設計方法，分段部署在全網段上，信息能夠進行搜集，通過構建動態的安全防御體系進行判斷，強調縱深的在進行統一分析后。

在結構上分布式入侵檢測系統分為主機網絡檢測引擎、檢測代理、管理中心，每部分在系統中都存在多個實例。他們之間的互相通訊由安全通訊代理實現，根據特定的通信協議進行通訊在各部分之間。互動模塊用防火墻來實現在動態靜態防御互補優化，系統的重要組成部分還包括了黑客追蹤子系統，屬于入侵檢測系統的擴展部分。

（三）邊界安全防護的實現

本文提出的防御檢測系統可以對校園網各個子系統實現邊界安全防護，對用戶的訪問行為進行審查和檢測，可以對網絡的攻擊行為提出告警。同時可以禁止危險訪問行為，外部用戶非法使用能夠防止對于內網的資源進行破壞和竊取，實現訪問控制在不同安全域間，從內部網絡防止敏感數據被竊取，實現資源保護在內部網絡中。

為了最大限度地提升邊界安全的防護，本文將數據流安全標記綁定和組的策略管理兩種技術融合在一起。在系統建設過程中，網絡邊界安全防護體系的框架應該是抽象和通用化。為了有限實現邊界安全防護功能，本文采用5個鉤子函數，同時網絡通信協議是基于TCP/IP的IPv4協議。在網絡邊界安全防護體系運行時，數據包從系統的左邊進入后，首先安全防護系統會對進入的數據包的完整性進行全面檢測，若數據包完整，則進入下一步驟，路由將采用NF_.IP_PREROUTING函數（1）進行本地處理，從而決定數據包是否進行轉發，若不進行轉發，則對數據包對其判斷是否采用鉤子函數NF_IP_LOCAL_In經過上層協議處理（2），從而對數據包進行分組處理;如果函數NF_IP_FORWARD產生的數據包將被轉發到（3），那么子函數NF_IP_POST_ROUTING用于處理跨鉤（4）進行處理，并發送到網絡上;處理后的數據包通過鉤函數NF_.IP._LOCAL_OUT數據包產生的本地路由后的數據（5）通過函數NF_IP_POSTROUT_ING進行處理（6）傳輸到網絡上在處理數據包之后。

（四）身份認證系統的實現

身份認證系統的邏輯結構。本系統包括身份認證服務器、注冊機構RA、數據庫服務器和安全服務器等。

面向普通用戶的安全服務器，證書撤銷列表用于提供證書的申請、包括下載和瀏覽服務。與用戶的通信的安全服務器采取SSL方式的安全通信方式，安全服務器的證書用戶首先得到，然后進行通信在所有服務器之間，包括瀏覽器生成的公鑰，用戶填寫的申請信息，同時數據加密傳輸以安全服務器作為公鑰。

利用自己的私鑰解密安全服務器才能得到明文，其他人通過竊聽得到明文，這樣可以防止并保證了傳輸過程和證書申請中的信息安全性。基于HTTPS的LDAP服務，以及Web服務在具體實現可以選用。

注冊機構RA可以進行證書的申請和撤銷，當證書的申請和撤銷需求提至注冊機構RA時，管理人員可以對需求信息進行核對，如果信息核對完成后，通過數字簽名確認后，需求申請將會發送至身份認證服務器。

身份認證服務器收到注冊機構RA傳輸過來的簽名申請和撤銷需求申請后，將會對申請中的內容進行校驗分析，一旦內容通過審核，則即可實現對證書的生成和撤銷操作。身份認證服務器是對負責申請信息審核的核心，是證書簽發和撤銷的最為關鍵的子系統，同時還是生成數字證書在注冊機構服務器，為安全服務器發行證書文件對于存在CA的私鑰。作為用戶證書生成和撤銷的最為關鍵機構，為了提升其工作安全性，將身份認證服務器與身份認證系統其他結構相互隔離，確保各個結構與其通信安全性。

數據庫服務器主要是對生成的證書進行管理和儲存，以及生成證書撤銷列表。數據庫中儲存有大量的數據信息，其安全性非常重要。因此需要采用多種安全防御措施保障數據的安全。為了充分提升數據庫服務器運行安全性，本文采用了數據庫系統應采用多處理器、雙機備份、磁盤陣列等多種方法，保證數據庫服務器安全穩定的運行。

五、結論

根據校園信息網絡的特點，本文提出了校園網絡安全防御系統結構，適當的調整網絡配置根據成本控制要求來合理規劃系統結構，系統安全管理實現使整個校園網絡的聯動，使得校園網絡能夠有效實施網絡安全防御系統。本文所提出的網絡安全防御系統的設計方案實現了安全防御的一種比較高效校園信息網絡技術方案，具有一定現實意義和應用市場。

參考文獻：

[1]楊智君.入侵檢測技術研究綜述[J].計算機工程與設計，2006，27（12）：2120-2124.

[2]張彩萊.身份認證與網絡安全[J].安防科技，2003（6）：60-62.

[3]孫偉，汪厚祥，劉霞.軍用網絡入侵檢測系統的研究[J].艦船電子工程，2003（2）：21-25.