基于校園網的網絡安全監測與控制系統的設計

李璨

摘? 要：學校網絡規模不斷擴大，信息化的需求不斷增加，高校信息化領域的應用也日益增多，這讓學校的教育、科學研究和管理水平顯著提高。信息化水平的提高考驗了學校網絡和系統信息安全應用的安全性。這就需要學校網絡網絡安全監控系統來確保學校網絡的安全。本文探討了校園網絡的現狀及校園網絡安全措施的內容，希望可以為有關人士提供此領域研究的幫助。

關鍵詞：校園網;網絡安全監測;控制系統設計

隨著信息技術的發展。人們對網絡的需求不斷增加，各種信息化應用不斷出現，讓網絡安全管理面臨著重大的挑戰。雖然很多高校都部署了網絡安全監控系統，但目前很多高校校園網網絡安全監控系統總體上還不完善，鑒于這種校園網的網絡安全問題顯然是校園的一項重大困難，導致了很多安全問題的出現。

一、校園網的安全現狀分析

1.1用戶故意破壞

一些用戶擁有特定的網絡技術，并試圖用其他攻擊技術攻擊學校網絡，滿足自身的好奇心或滿足感，擾亂學校網絡的正常運行。

1.2缺乏網絡安全設備

網絡安全設備價格昂貴，私立學校通常不愿意購買功能強大的設備，并且在網絡監控和安全方面容易出現缺陷[1]。

1.3校園網管理人員經驗少

由于學校網絡管理員人數有限，管理人員還可能存在缺乏管理經驗的情況，如果出現網絡安全問題，無法及時處理。

1.4用戶安全意識薄弱

教師和學生對計算機網絡沒有深入的了解，安全意識薄弱，甚至都注意不到計算機中毒的情況。

二、校園網安全技術分析

2.1上網行為的數據采集分析技術

由于學校網絡的用戶群龐大，學校網絡和服務器被攻擊是不可避免的。作為學校網絡，有必要跟蹤人們訪問學校網絡的記錄，以便為追蹤網絡安全事件打下基礎。目前，收集上網行為數據的主要有被動式數據采集技術。這種技術通過直接訪問客戶端與數據庫系統進行數據交換，以各種信息的形式收集上網行為的相關數據，即數據可以進行結構化轉換，將其輸入到數據庫當中，最后從一組數據展開具體情況的分析。它具有實時數據采集、實時周期短、效率高等特點。

2.2防火墻技術

學校網絡的穩定性和安全性經常受網絡攻擊的影響。防火墻技術可以從應用層防止部分網絡攻擊，有效阻止非法連接和非法入侵，可以保證學校網絡的安全。采用反向代理模式，可以在服務器上降低負載，也可以阻止惡意請求和非法攻擊，并隱藏真實的服務器地址以確保服務器安全。

2.3訪問控制技術

訪問控制技術意味著防止未經授權訪問資源。這個過程是，學校網絡的用戶必須在獲得認證后訪問服務器，才能訪問與學校相關的資源或服務。目前主要是角色訪問控制，不同的用戶身份有不同的權限訪問不同的內容[2]。

2.4網絡監測技術

校園網是典型的校園專用網，具有明確的時空規律和高度集中的網絡需求。網絡流量監測是分析學校網絡網絡性能的基礎。但是，學校依靠Ping等指揮工具來監測學校網絡的活動，不足以監控學校網絡。目前，學校網絡主要使用基于SNMP的技術來監控流量。使用基于SNMP的流量監控技術，不局限于網絡速度、單鏈路，它是基于TCP/IP協議的。管理員可以用SNMP技術請求有關設備的信息，可以查詢其變化值和網絡狀態。再就是，格式簡單，易于分析，比較容易實現。

三、網絡安全監測與控制系統的設計

3.1上網行為分析模塊

用戶可以使用http請求服務器訪問資源，系統通過設置的規則攔截部分請求，如果數據包被判定為惡意訪問，數據包就會被丟棄。收集信息后，獲得訪客的IP地址，并通過查閱數據庫信息表中的用戶數據，并使用用戶的IP數據計算當前1分鐘時間的數據，來評估是否超過了訪問次數。通常，只有惡意用戶才能以每秒數千次的高速來訪問服務器。為此，必須攔截這種消耗服務器資源的訪問。本系統可以根據實際情況設置每分鐘的惡意訪問次數，如果超出設定時間的訪問次數被視為惡意攻擊，則表示拒絕網絡服務。

3.2防火墻模塊

當防火墻實現客戶端向服務器發送數據請求時，Web應用程序防火墻應根據相關的攻擊檢測規則檢查服務器接收的數據，以評估請求的數據是否包含非法請求或攻擊。最后，在規則配置文件中配置規則，以便對各種惡意攻擊進行檢測，設置檢測攻擊、攔截特定字段、上載文件和傳輸數據的規則，并記錄有關訪問的信息。在策略方面，主要是對非法字符和非法IP地址的控制。網絡病毒在計算機網絡環境中有很多形式，主要是一些混亂的字符串，借助防火墻，可以實現對非法字符的控制，保護各種數據，限制和攔截某些域名可以減少計算機上某些病毒的入侵，從而保護計算機。控制非法IP地址，為網絡系統安全發揮保護作用。當一些惡意IP地址連接到網絡時，很可能會將惡意軟件或數據包發送到計算機。管理員可以立即進行分析和處理，以確保網絡正常運行。

3.3上網行為數據分析的驗證

旁路模式將所有網絡數據流量鏡像到服務器，由服務器對獲取到校園網絡訪問數據。系統記錄用戶的所有相關信息，如源地址、目的地址、訪問路徑、訪問內容、訪問持續時間等。

3.4防火墻功能的驗證

要檢查防火墻是否能有效阻止惡意攻擊，請在不啟動防火墻模塊的情況下進行實驗，模擬各種攻擊、惡意上傳大文件展開測試。測試均顯示成功，這意味著系統不會對惡意攻擊進行攔截。通過查看有限的錯誤日志可以看出，觸犯了設定的策略而被限制，達到阻止惡意攻擊的目的。

3.5訪問控制模塊

客戶端需要請求帳號和密碼以及登錄的信息，并且通常以消息的形式發送給服務器，數據庫服務器會比較相關數據并請求登錄數據，并評估其是否合法，以及訪問這些資源的權限角色是否合法，確保這些資源的被正確使用，并防止在線資源的非法濫用。管理員將合法用戶的信息存儲在身份驗證系統中。當用戶的客戶端可以訪問源時，用戶必須首先通過身份驗證來確定自己的身份，身份驗證成功后，通過訪問控制列表訪問用戶身份。

四、結語

總的來說，對學校網絡面臨的網絡安全問題進行分析和研究，制定相關安全解決方案，并完善系統的功能實現，可以實現校園網絡智能化的控制和管理。

參考文獻：

[1]李業謙.基于校園網的網絡安全監測與控制系統的設計[J].信息記錄材料，2020，21（06）：231-233.DOI：10.16009/j.cnki.cn13-1295/tq.2020.06.140.

[2]劉珊珊.高校校園網網絡監控體系設計與解決方案[D].華南理工大學，2013.