[摘要]在網(wǎng)絡(luò)高速發(fā)展的同時，校園網(wǎng)已經(jīng)成為教師和學(xué)生不可缺少的學(xué)習(xí)和交流工具，網(wǎng)絡(luò)規(guī)模的擴大和用網(wǎng)人數(shù)的增加，必然帶來網(wǎng)絡(luò)安全的風(fēng)險。應(yīng)在原有網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)上引入新技術(shù)，使校園網(wǎng)絡(luò)安全系統(tǒng)從被動應(yīng)戰(zhàn)向主動防御轉(zhuǎn)變。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；校園網(wǎng)；IDS；IPS；UTM

[作者簡介]陳智慧，北京工業(yè)大學(xué)計算機學(xué)院計算機技術(shù)專業(yè)研究生，研究方向：網(wǎng)絡(luò)安全，北京，100124；河北理工大學(xué)輕工學(xué)院助教，河北唐山，063000

[中圖分類號]TP393.18[文獻標識碼]A[文章編號]1007-7723(2009)01-0180-0002

一、引言

近年來，隨著計算機技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)的規(guī)模越來越大，網(wǎng)絡(luò)用戶飛速增長，使得網(wǎng)絡(luò)安全問題成為計算機網(wǎng)絡(luò)發(fā)展的一個重要分支。在我國，各高校分別建立了自己的校園網(wǎng)，校園網(wǎng)的建成，使學(xué)校實現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，極大地擴展了學(xué)校的業(yè)務(wù)，提高了學(xué)校的競爭力。校園網(wǎng)已經(jīng)成為教師和學(xué)生不可缺少的學(xué)習(xí)和交流工具。隨著網(wǎng)絡(luò)規(guī)模的擴大和用網(wǎng)人數(shù)的增加，各高校的網(wǎng)絡(luò)基本都受到過各種各樣的威脅。因此，加強校園網(wǎng)的安全管理是當前非常迫切、充滿挑戰(zhàn)的任務(wù)。采取有效的手段來降低因網(wǎng)絡(luò)安全而造成的校園網(wǎng)絡(luò)危害成為目前一個非常重要的問題。

二、校園網(wǎng)建設(shè)及安全現(xiàn)狀

由于校園網(wǎng)絡(luò)的安全問題日漸突出，直接影響了學(xué)校的教學(xué)、管理、科研等各項工作的正常運行。在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理應(yīng)用網(wǎng)絡(luò)安全技術(shù)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。當前，校園網(wǎng)網(wǎng)絡(luò)普遍存在的安全隱患有以下幾種。

(一)校園網(wǎng)安全管理有缺陷

校園網(wǎng)的用戶群體一般都比較大，少則數(shù)千人、多則數(shù)萬人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果。

(二)校園網(wǎng)內(nèi)部的攻擊

由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，很多學(xué)生對網(wǎng)絡(luò)技術(shù)充滿好奇，他們有意無意地攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運行。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是，不僅要注意防止外部網(wǎng)絡(luò)對校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。

(三)Internet的威脅

校園網(wǎng)與Internet相連，在享受Intenet方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。各種病毒就是通過Internet傳播的，并導(dǎo)致網(wǎng)絡(luò)性能下降。而且黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊校園網(wǎng)的服務(wù)器，以竊取一些重要信息。

(四)資金投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施

大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費嚴重不足，有限的經(jīng)費也主要投在網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個開放的狀態(tài)，缺乏安全預(yù)警手段和防范措施。

在網(wǎng)絡(luò)安全日益影響到校園網(wǎng)運行的情況下，我們不能夠去保障校園網(wǎng)絕對的安全，但要盡量從多個方面進行防范，把校園網(wǎng)不安全因素降到最少。

三、網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用與分析

從技術(shù)層面來看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護問題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護問題。安全防護已經(jīng)從底層或簡單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇，越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

(一)入侵檢測系統(tǒng)(IDS)

FIREWALI一般被部署在內(nèi)網(wǎng)和外網(wǎng)的連接處。作為內(nèi)網(wǎng)安全的第一道大門，以此來保證內(nèi)網(wǎng)的安全，但是由于FIREWALL本身只具有一些簡單的攻擊檢測功能，更多的攻擊是很難通過它來進行檢測的；同時，由于所有流量都從防火墻中通過，對流量有過多的檢查會形成網(wǎng)絡(luò)瓶頸現(xiàn)象，而IDS是旁路設(shè)備，正常情況下不會對網(wǎng)絡(luò)流量形成影響。

入侵檢測系統(tǒng)(IDS)是專門進行入侵攻擊檢測的設(shè)備，它應(yīng)該對網(wǎng)絡(luò)中存在的所有攻擊行為進行檢測?？焖侔l(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。但是IDS只能被動地檢測攻擊，而不能主動地把變化莫測的威脅直接進行相應(yīng)的處理，阻止在網(wǎng)絡(luò)之外。

(二)入侵防御系統(tǒng)(IPS)

旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時地阻斷，使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果受到一定影響。

因此，可以配置入侵防御系統(tǒng)(IPS)，它可以主動、積極地防范、阻止系統(tǒng)入侵。它部署在網(wǎng)絡(luò)的進出口處，當檢測到攻擊企圖后，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無法到達目標，從而可以從根本上避免攻擊，很好地彌補了IDS系統(tǒng)的不足。

但是，不能單純地認為IPS是IDS的替代品，因為二者的側(cè)重點不同，IDS是一種側(cè)重于風(fēng)險管理的安全產(chǎn)品，而IPS是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品。因此二者不是取代與互斥的關(guān)系，而是相互協(xié)作的：沒有部署IDS的時候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解網(wǎng)絡(luò)的當前實時狀況，據(jù)此狀況可進，一步判斷應(yīng)該在何處部署何類安全產(chǎn)品(JPS等)。

(三)統(tǒng)一威脅管理(UTM)

在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢將得到越來越多的體現(xiàn)，統(tǒng)一威脅管理(UTM)技術(shù)應(yīng)運而生。

UTM將防火墻、入侵檢測和防病毒等功能結(jié)合于一體，提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護。針對快速增長的混合型攻擊(基于互聯(lián)網(wǎng)的病毒已經(jīng)開在應(yīng)用層發(fā)起攻擊)，需要一種靈活的、整合各種功能的UTM設(shè)備來防止這種攻擊的快速蔓延。

UTM是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它提供多項安全功能(如IDS、VPN、防病毒和防垃圾郵件等)，將多種安全特性集成在一個硬件設(shè)備里，構(gòu)成一個標準的統(tǒng)一管理平臺。這和單純地在防火墻中整合其他安全功能不同，因為UTM更注重的是“對設(shè)備和對威脅的管理”，它致力于將各種各樣的網(wǎng)絡(luò)安全威脅消弭于無形之中，以達到防患于未然的終極目標。它對于終端普通消費者來說是透明的，而這也正是目前我們所期望的。

四、總結(jié)

網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題，更是信息化校園的焦點問題。目前校園網(wǎng)絡(luò)安全的發(fā)展趨勢是“多兵種協(xié)同作戰(zhàn)”，校園網(wǎng)絡(luò)中所有的基礎(chǔ)網(wǎng)絡(luò)設(shè)備共同去發(fā)現(xiàn)、預(yù)防、處理各種安全問題，以達到建設(shè)一個安全可靠、性能卓越、易于管理的校園網(wǎng)絡(luò)的目的。