校園網(wǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)與安全策略

曹利萍

（烏蘭察布職業(yè)學(xué)院 內(nèi)蒙古 012000）

0 引言

校園網(wǎng)絡(luò)，是學(xué)校管理的重要設(shè)施，擔(dān)負(fù)著教學(xué)、科研、管理和對外服務(wù)交流的工作。但是日漸加劇的計(jì)算機(jī)犯罪頻發(fā)、網(wǎng)絡(luò)安全問題，給個(gè)人、學(xué)校甚至國家?guī)順O大損害。因此有必要加強(qiáng)校園網(wǎng)安全的防范，為師生們提供一個(gè)安全的網(wǎng)絡(luò)空間。

1 校園網(wǎng)面臨的風(fēng)險(xiǎn)

校園網(wǎng)安全就是校園網(wǎng)信息的安全。校園網(wǎng)由多種設(shè)備、設(shè)施構(gòu)成，因?yàn)榉N種原因，其面臨的威脅很多。即：

一是硬件安全，主要有硬件設(shè)備的損壞，如上網(wǎng)場所管理較混亂，電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段。

二是校園網(wǎng)軟件的內(nèi)在缺陷。例如微軟的操作系統(tǒng)，一些病毒、木馬也是利用其破綻而進(jìn)行攻擊的。

三是人為的惡意攻擊。這是校園網(wǎng)所面臨的最大威脅，對方的攻擊和計(jì)算機(jī)犯罪就屬于這一類。如：不良信息的傳播，網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。

四是人為的使用不當(dāng)。如系統(tǒng)管理員安全配置不當(dāng)，用戶安全意識不強(qiáng)等等。校園網(wǎng)絡(luò)上的用戶安全意識淡薄，大量的非正常訪問導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)也為網(wǎng)絡(luò)的安全帶來了極大的安全隱患。

五是自然災(zāi)害。雷電、火災(zāi)、水災(zāi)等各種自然災(zāi)害破壞，對校園網(wǎng)影響也很大。

綜上所述，校園網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻，為解決以上安全隱患和漏洞，提出了以下校園網(wǎng)絡(luò)安全解決方案。

2 對校園網(wǎng)的安全對策分析

2.1 對物理安全策略探究

校園網(wǎng)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)的前提。防護(hù)措施主要指的是各種硬件設(shè)施不受破壞，如校園網(wǎng)系統(tǒng)、服務(wù)器及通信線路等硬件設(shè)施，這種破壞有時(shí)又來自惡劣的自然環(huán)境與人為的破壞行為。用戶在使用網(wǎng)絡(luò)時(shí)要進(jìn)行身份驗(yàn)證，防止非本人同意的情況下越權(quán)操作。此外，校園網(wǎng)系統(tǒng)的工作環(huán)境要不斷的得到加強(qiáng)與完善。

2.2 常用的網(wǎng)絡(luò)安全防護(hù)技術(shù)

2.2.1 防火墻技術(shù)

防火墻技術(shù)是安全網(wǎng)絡(luò)體系的基本組件，通過計(jì)算機(jī)硬件和軟件的組合來建立起一個(gè)安全網(wǎng)關(guān)，實(shí)現(xiàn)了被保護(hù)對象和外部系統(tǒng)之間的邏輯隔離。防火墻的組成可以表示為：防火墻= 過濾器+安全策略+網(wǎng)關(guān)，它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)之一。根據(jù)部署可分為邊界防火墻、內(nèi)部防火墻和重要數(shù)據(jù)和應(yīng)用服務(wù)器防火墻。在 Internet 上，通過它來隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不防礙人們對風(fēng)險(xiǎn)區(qū)域的訪問。

（1）包過濾防火墻

防火墻的最簡單的形式是包過濾防火墻。一個(gè)包過濾防火墻通常是一臺有能力過濾數(shù)據(jù)包某些內(nèi)容的路由器。技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過濾。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會包含一些特定信息。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾表中的規(guī)則時(shí)，則允許數(shù)據(jù)包通過，否則禁止通過。但包過濾防火墻的有缺點(diǎn)：一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及 IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。且包過濾防火墻速度慢。

（2）代理型防火墻。代理型防火墻即應(yīng)用層網(wǎng)關(guān)級防火墻，它的構(gòu)造是由代理服務(wù)器與過濾路由器兩部分構(gòu)成，它的工作原理是將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器通過連接網(wǎng)絡(luò)，嚴(yán)格的篩選出需要的數(shù)據(jù)，進(jìn)而通過網(wǎng)絡(luò)終端傳輸?shù)酱矸?wù)器。因此能夠?qū)诟邔訁f(xié)議的攻擊進(jìn)行攔截，安全系統(tǒng)相對很高。缺點(diǎn)是處理速度比較慢，能夠處理的并發(fā)數(shù)比較少。

（3）監(jiān)測型防火墻。監(jiān)測型防火墻是動(dòng)態(tài)包過濾防火墻?？偟膩碚f，具有：高安全性，高效性，可伸縮性和易擴(kuò)展性。

總之，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，它是網(wǎng)絡(luò)中重要的第一防線。包過濾防火墻，它只對IP包的源地址、目標(biāo)地址及相應(yīng)端口進(jìn)行處理，因此速度比較快，能夠處理的并發(fā)連接比較多，缺點(diǎn)是對應(yīng)用層的攻擊無能為力。代理型防火墻只允許被代理的協(xié)議通過，并且將數(shù)據(jù)重新打包。而狀態(tài)檢測型只檢查數(shù)據(jù)包是否被允許通過，不影響網(wǎng)絡(luò)性能。不管什么樣的防火墻，都不是萬能的。只有加密了，才能多一份保護(hù)。

2.2.2 網(wǎng)絡(luò)加密技術(shù)分析

網(wǎng)絡(luò)加密技術(shù)的優(yōu)勢是防止非授權(quán)用戶竊聽或者入網(wǎng)，能夠有效避免惡意軟件的攻擊。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)；節(jié)點(diǎn)加密的目的是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。不管那種加密，均為數(shù)字加密和數(shù)字簽名。

2.2.3 身份驗(yàn)證技術(shù)

身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。用戶通過用戶名和密碼是防止非法訪問的第一道防線。用戶注冊時(shí)先輸入用戶名和密碼，服務(wù)器驗(yàn)證用戶名是否合法。如果合法，繼續(xù)輸入密碼，否則，將被拒之網(wǎng)絡(luò)之外。用戶的密碼是用戶入網(wǎng)的關(guān)鍵所在。為保證密碼的安全性，用戶密碼不顯示在顯示屏上，并加密。經(jīng)加密后，即使是系統(tǒng)管理員也難以得到它。

2.2.4 網(wǎng)絡(luò)監(jiān)控技術(shù)

網(wǎng)絡(luò)管理員對校園網(wǎng)實(shí)施監(jiān)控，服務(wù)器記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法網(wǎng)絡(luò)的訪問，服務(wù)器要以圖形或文字或聲音等形式報(bào)警，以便引起網(wǎng)絡(luò)管理員的注意。如果黑客試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器會自動(dòng)記錄嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。

2.2.5 網(wǎng)絡(luò)病毒防治技術(shù)

在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。大量的CIH 等病毒就足以給網(wǎng)絡(luò)社會造成災(zāi)難性的后果。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等，或安裝殺毒軟件等。

3 網(wǎng)絡(luò)安全管理策略

校園網(wǎng)安全維護(hù)策略多種多樣，物理安全策略和網(wǎng)絡(luò)技術(shù)安全防護(hù)只是其中的兩種，安全科學(xué)的對校園網(wǎng)進(jìn)行管理，建立健全完善安全管理制度，對于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行也是至關(guān)重要的。校園網(wǎng)安全管理策略包括：明確安全管理等級和安全管理范圍；嚴(yán)格執(zhí)行有關(guān)網(wǎng)絡(luò)操作使用規(guī)程與人員出入機(jī)房管理制度；健全網(wǎng)絡(luò)系統(tǒng)的維護(hù)方案與應(yīng)急對策等。

一是必須拒絕不明服務(wù)攻擊。通過以上分析，對不明服務(wù)要提高警惕，黑客攻擊的主要目標(biāo)是校園網(wǎng)安全意識不夠的客戶，目的是讓你的計(jì)算機(jī)及網(wǎng)絡(luò)無法提供正常的使用。它基本上可以破壞校園網(wǎng)使用的硬件設(shè)備，消耗計(jì)算機(jī)及網(wǎng)絡(luò)中不可再生的資源等，讓計(jì)算機(jī)處于癱瘓狀態(tài)。

二是堅(jiān)決拒絕欺騙攻擊。黑客會利用TCP/IP協(xié)議本身的缺陷進(jìn)行網(wǎng)絡(luò)攻擊，或者進(jìn)行DNS設(shè)置進(jìn)行欺騙和Web頁面進(jìn)行欺騙，打破常規(guī)預(yù)防措施，提高警惕，以免上當(dāng)受騙。

三是監(jiān)測功能對移動(dòng)設(shè)備的攻擊。日前，通過手機(jī)、PDA及其他無線設(shè)備感染惡意軟件的數(shù)量在不斷增加，破壞移動(dòng)設(shè)備的正常使用，達(dá)到其不法傳播的目的，提高使用者的安全防范迫在眉睫。

4 結(jié)束語

利用網(wǎng)絡(luò)進(jìn)行信息交流，實(shí)現(xiàn)資源共享，將會給我們的生活帶來無盡的好處，而網(wǎng)絡(luò)的安全可以說保證了計(jì)算機(jī)技術(shù)造福于人類社會。網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等多方面內(nèi)容，既包括校園網(wǎng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因而，對于網(wǎng)絡(luò)安全的技術(shù)問題進(jìn)行有系統(tǒng)的研究，無疑是具有深遠(yuǎn)的意義！因此只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

校園網(wǎng)安全機(jī)制建設(shè)是一項(xiàng)長期、艱苦，細(xì)致、技術(shù)含量高且投資比較大的工作，需要每代人堅(jiān)持不懈的努力。因?yàn)?，我們和黑客及病毒制造者打的是一場沒有硝煙的持久戰(zhàn)。其戰(zhàn)爭的長期性、高技術(shù)和情報(bào)的不確定性，給贏得勝利帶來了很大困難。舊的安全隱患消除了，新的隱患又層出不窮。即便是反應(yīng)最快的入侵檢測和病毒查殺防黑工具，也是在最新的黑客攻擊和病毒在網(wǎng)上發(fā)生之后，才能推出解決方案。所以說，校園網(wǎng)安全實(shí)施是一個(gè)動(dòng)態(tài)的、不斷推進(jìn)的、周而復(fù)始的過程。

[1]閆坤豪.網(wǎng)絡(luò)安全教程 北京：《電腦知識與技術(shù)：學(xué)術(shù)交流》，2008.第3卷第9期第1409-1411頁。