淺談校園網(wǎng)安全控制策略

王書珣

[摘要]隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。校園網(wǎng)絡作為信息化建設的主要載體，校園網(wǎng)絡安全已經(jīng)成為當前各高校網(wǎng)絡建設中不可忽視的首要問題?；诋斍案咝＞W(wǎng)絡安全的現(xiàn)狀及特點，提出相應的控制策略。

[關(guān)鍵詞]網(wǎng)絡 安全策略 數(shù)據(jù) 訪問

中圖分類號：G43文獻標識碼：A文章編號：1671－7597（2009）0520051－01

一、引言

隨著我國經(jīng)濟與科技的不斷發(fā)展，教育信息化、校園網(wǎng)絡化作為網(wǎng)絡時代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。隨著各高校網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，校園網(wǎng)安全問題已經(jīng)成為當前各高校網(wǎng)絡建設中不可忽視的首要問題。

二、網(wǎng)絡系統(tǒng)的安全威脅

由于大型網(wǎng)絡系統(tǒng)內(nèi)運行多種網(wǎng)絡協(xié)議（TCP/IP，IPX/SPX，NETBEUA），而這些網(wǎng)絡協(xié)議并非專為安全通訊而設計。所以，網(wǎng)絡系統(tǒng)可能存在的安全威脅來自以下方面：（1）操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC；（2）防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設置錯誤，需要經(jīng)過檢驗；（3）來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)的安全性；（4）采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；（5）未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制；（6）應用服務的安全。許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。

三、校園網(wǎng)絡安全策略

安全策略是指一個特定環(huán)境中，為保證提供一定級別的安全保護所必須遵守的規(guī)則。安全策略包括嚴格的管理、先進的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來保證網(wǎng)絡系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當?shù)臐M足需求的策略方案，然后才考慮技術(shù)上如何實施。

１．物理安全策略。保證計算機網(wǎng)絡系統(tǒng)各種設備的物理安全是整個網(wǎng)絡安全的前提。物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統(tǒng)、web 服務器、打印機等硬件實體和通信鏈路層網(wǎng)絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面：（1）環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護，確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；（2）設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。

２．訪問控制策略。訪問控制的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全最重要的核心策略之一。（1）入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源；控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。（2）網(wǎng)絡的權(quán)限控制。網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源； 可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。（3）目錄級安全控制。網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。（4）屬性安全控制。當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。（5）網(wǎng)絡服務器安全控制。網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)； 可以設定服務器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。（6）網(wǎng)絡監(jiān)測和鎖定控制。網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。（7）網(wǎng)絡端口和節(jié)點的安全控制。端口是虛擬的“門戶”，信息通過它進入和駐留于計算機中，網(wǎng)絡中服務器的端口往往使用自動回呼設備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶。網(wǎng)絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證。

３．防火墻控制策略。防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構(gòu)網(wǎng)絡的屏障。它是位于兩個網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)（可能是軟件或硬件或者是兩者并用），用來限制外部非法（未經(jīng)許可）用戶訪問內(nèi)部網(wǎng)絡資源，通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，以阻擋外部網(wǎng)絡的侵入，防止偷竊或起破壞作用的惡意攻擊。

４．信息加密策略。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端點加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。信息加密過程是由各種加密算法來具體實施。多數(shù)情況下，信息加密是保證信息機密性的唯一方法。

５．網(wǎng)絡入侵檢測技術(shù)。入侵檢測（IntrusionDeteetion）的定義為：識別針對計算機或網(wǎng)絡資源的惡意企圖和行為，并對此做出反應的過程。入侵檢測應用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還可能在一定程度上提供追究入侵者法律責任的有效證據(jù)。

６．備份和鏡像技術(shù)。用備份和鏡像技術(shù)提高完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施，它是指對需要保護的數(shù)據(jù)在另一個地方制作一個備份，一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個設備執(zhí)行完全相同的工作，若其中一個出現(xiàn)故障，另一個仍可以繼續(xù)工作。

７．有害信息的過濾。對于校園網(wǎng)絡，由于使用人群的特定性，必須要對網(wǎng)絡的有害信息加以過濾，防止一些色情、暴力和反動信息危害學生的身心健康，必須采用一套完整的網(wǎng)絡管理和信息過濾相結(jié)合的系統(tǒng)。實現(xiàn)對校園內(nèi)電腦訪問互聯(lián)網(wǎng)進行有害信息過濾管理。

８．網(wǎng)絡安全管理規(guī)范。網(wǎng)絡安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持，在網(wǎng)絡安全中，除采用技術(shù)措施之外，加強網(wǎng)絡的安全管理，制定有關(guān)的規(guī)章制度，對于確保網(wǎng)絡安全、可靠地運行將起到十分有效的作用。網(wǎng)絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度； 制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

四、結(jié)語

本論文描述了校園網(wǎng)絡安全的控制策略，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞?？梢允棺x者有對校園網(wǎng)絡安全技術(shù)的更深刻的了解。