李奎

摘 要： 隨著學(xué)校信息化建設(shè)的不斷加強(qiáng)，應(yīng)用領(lǐng)域在不斷擴(kuò)展，但是面對(duì)的安全威脅也在不斷增加，校內(nèi)和校外的安全威脅同時(shí)存在。保障校園網(wǎng)的安全運(yùn)行成為校園網(wǎng)建設(shè)中的重要課題。使用防火墻進(jìn)行訪問和控制，采用入侵檢測(cè)系統(tǒng)，VLAN技術(shù)的使用，VPN使用，漏洞掃描，身份認(rèn)證等方式保證信息化校園的安全，建立較為全面的校園信息安全體系。

關(guān)鍵詞： 安全威脅 校園網(wǎng)絡(luò) 解決方案

1.引言

由于互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)在校園中的應(yīng)用領(lǐng)域越來越廣，參與了學(xué)校的教學(xué)、科研、管理、校園一卡通和對(duì)外交流等，已成為高校不可或缺的基礎(chǔ)設(shè)施。但是由于網(wǎng)絡(luò)設(shè)計(jì)的開放性、互聯(lián)性及對(duì)安全的防護(hù)設(shè)計(jì)先天不足，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，面臨的安全威脅種類不同，而且增長(zhǎng)速度驚人，因此需要建構(gòu)各種技術(shù)融合的立體的安全體系保障校園網(wǎng)的安全。

2.校園網(wǎng)絡(luò)面臨的威脅

安全威脅的類型包括數(shù)據(jù)安全和系統(tǒng)安全。當(dāng)前校園網(wǎng)絡(luò)中的絕大部分機(jī)器采用Windows系統(tǒng)，漏洞最多，經(jīng)常被黑客攻擊，受到的病毒威脅也最多，這些都是系統(tǒng)安全的范疇。而數(shù)據(jù)安全威脅主要指信息被竊聽，篡改、無法傳遞和偽造信息。網(wǎng)絡(luò)在運(yùn)行中面臨的安全威脅的表現(xiàn)有如下方面：

（1）非法訪問。利用假冒和欺騙的手段獲得合法的訪問權(quán)限，或者超越用戶擁有的合法權(quán)限獲取資源，篡改信息，改變?cè)O(shè)備的配置信息，甚至是從事違法犯罪活動(dòng)。校園網(wǎng)絡(luò)是對(duì)學(xué)生開放的，但是有許多資源是要授權(quán)訪問的，比如成績(jī)管理系統(tǒng)和在線考試系統(tǒng)都需要口令，從校外訪問網(wǎng)站一些期刊、科研信息與成果等資源也是需要身份驗(yàn)證的。大學(xué)生群體中也會(huì)存在一部分人試圖利用已學(xué)技術(shù)非法訪問一些資源。

（2）木馬、病毒泛濫。用戶使用感染病毒的U盤及其他存儲(chǔ)設(shè)備，訪問一些帶有病毒的網(wǎng)站，收取藏有病毒的郵件附件，這些因素都可導(dǎo)致計(jì)算機(jī)感染病毒，由于處在網(wǎng)絡(luò)中，傳播迅速，帶來了極大危害，威脅了計(jì)算機(jī)網(wǎng)絡(luò)的安全。

（3）因特網(wǎng)上非法和不良內(nèi)容的訪問。學(xué)生可以通過校園網(wǎng)絡(luò)訪問因特網(wǎng)，而因特網(wǎng)上資源魚龍混雜，存在色情、暴力、賭博等網(wǎng)站，大學(xué)生群體是所有網(wǎng)民中最活躍的，很容易就可以接觸到這些信息。阻止學(xué)生瀏覽和下載不良信息，促進(jìn)學(xué)生身心健康成長(zhǎng)也是學(xué)校德育工作的一個(gè)方面。

（4）拒絕服務(wù)攻擊。此攻擊的目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，有帶寬攻擊和連通性攻擊。常見的帶寬攻擊指用大量的垃圾信息沖擊網(wǎng)絡(luò)，使得所有可用資源被消耗殆盡，無法處理合法的用戶請(qǐng)求。連通性攻擊指大量的信息沖擊計(jì)算機(jī)消耗掉計(jì)算的操作系統(tǒng)資源，計(jì)算機(jī)無法滿足合法用戶的請(qǐng)求。

（5）安全漏洞。微軟是這樣定義的：即使使用者在合理配置了產(chǎn)品的條件下，由于產(chǎn)品自身存在的缺陷，產(chǎn)品的運(yùn)行可能被改變從而帶來非設(shè)計(jì)者預(yù)期的后果，并可能最終導(dǎo)致安全性被破壞的問題，包括使用者系統(tǒng)被非法侵占，數(shù)據(jù)被非法訪問并泄露，或系統(tǒng)拒絕服務(wù)等。漏洞本身不會(huì)對(duì)系統(tǒng)產(chǎn)生損害，只有其被惡意利用時(shí)才會(huì)產(chǎn)生危害。

3.校園網(wǎng)絡(luò)安全解決方案

針對(duì)校園網(wǎng)絡(luò)的安全，可以采用多種先進(jìn)的技術(shù)構(gòu)建一個(gè)網(wǎng)絡(luò)安全體系，最大限度地發(fā)揮這個(gè)體系的功能，應(yīng)對(duì)來自網(wǎng)絡(luò)內(nèi)部和外部的安全威脅，但是幾乎不可能從根本上解決網(wǎng)絡(luò)安全問題。目前主要有防火墻技術(shù)、VPN技術(shù)、VLAN技術(shù)、分布式防毒軟件、入侵檢測(cè)技術(shù)、身份認(rèn)證等。

安全技術(shù)采用的越多，安全保障就越有力，但由于成本等因素，部分高校不可能使用許多的技術(shù)構(gòu)建一個(gè)層次分明的安全防護(hù)體系。下面簡(jiǎn)單探討由各種技術(shù)構(gòu)建的校園安全體系結(jié)構(gòu)。

（1）防火墻技術(shù)。防火墻是一種用來加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)之間訪問控制的特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備，對(duì)流經(jīng)防火墻的數(shù)據(jù)按照規(guī)定的策略進(jìn)行檢查，允許內(nèi)部用戶對(duì)外網(wǎng)的合法訪問，阻止對(duì)內(nèi)部信息資源的非法訪問，過濾掉不良信息的目的，即只允許被授權(quán)的訪問。防火墻的技術(shù)在不斷發(fā)展，功能和分類也在變化，根據(jù)防火墻處理的對(duì)象不同，可以分為包過濾防火墻和應(yīng)用層網(wǎng)關(guān)。

包過濾防火墻是早期的一種防火墻，檢查通過防火墻的每一個(gè)數(shù)據(jù)包報(bào)頭，用一個(gè)新的報(bào)頭替換掉舊報(bào)頭，離開防火墻。這種工作方式不占用帶寬，但是攻擊者可以得到防火墻內(nèi)部的地址并鎖定機(jī)器，同時(shí)防火墻只檢查源IP地址，容易受到IP欺騙攻擊。

應(yīng)用層網(wǎng)關(guān)也叫代理服務(wù)器，運(yùn)行在應(yīng)用層上，客戶端將請(qǐng)求送至代理服務(wù)器，由代理服務(wù)器向服務(wù)器請(qǐng)求數(shù)據(jù)，代理服務(wù)器收到后交給客戶端。應(yīng)用層網(wǎng)關(guān)阻隔了外界和內(nèi)部的直接聯(lián)系，減少了蠕蟲、木馬等造成的危害。但是每次連接時(shí)有多余的開銷，訪問速度會(huì)變慢，每一個(gè)服務(wù)都需要一個(gè)特定的代理軟件，新開發(fā)的應(yīng)用，也需要開發(fā)相應(yīng)的代理服務(wù)。

（2）入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是一種主動(dòng)安全技術(shù)，收集網(wǎng)絡(luò)系統(tǒng)內(nèi)若干不同關(guān)鍵點(diǎn)的信息，分析采集的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的攻擊和違反安全策略的行為，發(fā)出警報(bào)并可協(xié)調(diào)防火墻攔截?cái)?shù)據(jù)。

入侵檢測(cè)系統(tǒng)應(yīng)盡可能在更大的范圍內(nèi)采集信息，這樣才有可能發(fā)現(xiàn)疑點(diǎn)，數(shù)據(jù)負(fù)荷比較大；只能發(fā)現(xiàn)已知的入侵行為，沒有智能；有一些正常的數(shù)據(jù)的特性符合已定義的策略而被誤報(bào)，同樣一些真正的入侵行為沒有發(fā)現(xiàn)而被漏報(bào)。

（3）虛擬局域網(wǎng)VLAN。虛擬局域網(wǎng)是將一些有共同需求的設(shè)備劃分成一個(gè)網(wǎng)段而構(gòu)成一個(gè)邏輯組，突破了地理位置的局限，但是必須屬于一個(gè)邏輯廣播域，對(duì)于一個(gè)VLAN內(nèi)的終端可以分布在不同的交換設(shè)備上。

由于廣播信息限制在同一個(gè)VLAN內(nèi)，減少或者避免了網(wǎng)絡(luò)風(fēng)暴，同時(shí)提高了網(wǎng)絡(luò)整體的帶寬。設(shè)置交換機(jī)訪問控制列表可以實(shí)現(xiàn)不同虛擬網(wǎng)間的訪問。對(duì)不同位置的用戶加入或退出VLAN，通過對(duì)交換機(jī)做一些設(shè)置和更改就可以輕松實(shí)現(xiàn)，擺脫了傳統(tǒng)的網(wǎng)關(guān)方式。設(shè)置交換設(shè)備的ACL可以實(shí)現(xiàn)基于訪問表的安全防范策略。

（4）VPN。高校近年的快速擴(kuò)張，導(dǎo)致一個(gè)高校擁有多個(gè)校區(qū)，校區(qū)之間需要安全的數(shù)據(jù)共享，師生員工不在校園需要訪問校內(nèi)資源時(shí)，使用VPN就是一個(gè)很好的解決方案，既兼顧了經(jīng)濟(jì)成本又提高了安全。VPN是公用網(wǎng)絡(luò)平臺(tái)上搭建的點(diǎn)到點(diǎn)的邏輯鏈路，并不存在物理上的線路，用戶的數(shù)據(jù)在專用的虛擬通道中進(jìn)行傳輸，使用了加密和認(rèn)證技術(shù)，擁有了類似專用網(wǎng)的安全性能，可以實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。目前常見的技術(shù)有IPSecVPN、MPLSVPN和SSLVPN。高校一般采用SSLVPN解決方案。

SSLVPN是基于應(yīng)用層的且不需要專用的客戶端軟件的方案，能夠細(xì)化接入控制功能，提供用戶級(jí)別的認(rèn)證，用戶可以從任何地方遠(yuǎn)程連入企業(yè)內(nèi)部網(wǎng)，由于SSLVPN安裝在內(nèi)網(wǎng)防火墻之后，可以在不改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)情況下增加需要VPN服務(wù)的服務(wù)器。但是SSLVPN允許用戶從任何地方運(yùn)行Web瀏覽器，訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)會(huì)暴露于情況不明的計(jì)算機(jī)面前，有可能遭到攻擊，一些SSLVPN解決方案為了提供功能全面的訪問會(huì)要求客戶端瀏覽器安裝插件，但是遠(yuǎn)程主機(jī)因不允許而遭到拒絕訪問。同時(shí)，瀏覽器可能會(huì)把文檔和屏幕緩存存在遠(yuǎn)程主機(jī)上，只要點(diǎn)一下后退按鈕，就有可能顯示機(jī)密信息，給企業(yè)內(nèi)部網(wǎng)帶來很大的安全隱患。SSLVPN具有廣泛的適用性和使用的方便性，可以遠(yuǎn)程訪問內(nèi)網(wǎng)B/S服務(wù)器、郵件服務(wù)器等，VPN具有極強(qiáng)的可控制性，為用戶提供個(gè)性化的服務(wù)和管理，用于訪問只有內(nèi)部網(wǎng)才有權(quán)訪問的專用信息資源，例如付費(fèi)的數(shù)據(jù)庫(kù)及技術(shù)資料等。

（5）身份認(rèn)證。由于校園網(wǎng)的規(guī)模較大，而用戶群也最活躍，師生員工接觸到新技術(shù)的可能性也比較大，特別是學(xué)生充滿好奇。校園網(wǎng)面臨終端有意或無意的攻擊，發(fā)起arp攻擊的主機(jī)占用了整個(gè)網(wǎng)段的IP地址，其他機(jī)器無法接入網(wǎng)絡(luò)；還有常見的DDOS攻擊，網(wǎng)絡(luò)的帶寬被耗盡后無法提供正常的服務(wù)。同時(shí)學(xué)校的教學(xué)和科研也決定了校園網(wǎng)的開放特質(zhì)，因此為了校園網(wǎng)絡(luò)的安全，大部分高校采用了身份認(rèn)證方式接入校園網(wǎng)。

身份認(rèn)證方式也經(jīng)歷了幾個(gè)發(fā)展階段。最早期的就是PPPOE的身份認(rèn)證系統(tǒng)，它對(duì)每個(gè)數(shù)據(jù)包都要進(jìn)行拆解、識(shí)別，再次封裝后轉(zhuǎn)發(fā)，所有的工作是由價(jià)格昂貴的寬帶接入服務(wù)器來處理的，一旦數(shù)據(jù)包過多，封裝速度跟不上就成了瓶頸。隨后出現(xiàn)了基于業(yè)務(wù)類型的Web/Portal認(rèn)證方式，用戶只要用Web瀏覽器就可完成認(rèn)證，簡(jiǎn)單快速。但是由于工作原理限制在斷電等異常故障后不易檢測(cè)到用戶離線狀態(tài)，用于計(jì)費(fèi)系統(tǒng)也不合適?，F(xiàn)在采用802.1x協(xié)議實(shí)現(xiàn)身份認(rèn)證解決了以往身份認(rèn)證方式的缺陷，實(shí)質(zhì)是對(duì)以太網(wǎng)端口進(jìn)行識(shí)別，認(rèn)證沒有通過，端口將被禁止接入網(wǎng)絡(luò)。

（6）網(wǎng)絡(luò)殺毒軟件。計(jì)算機(jī)病毒在互聯(lián)網(wǎng)普及之后得到了迅速發(fā)展，更多破壞性強(qiáng)的病毒可以在很短時(shí)間內(nèi)感染全球網(wǎng)絡(luò)，對(duì)互聯(lián)網(wǎng)構(gòu)成了巨大威脅，也會(huì)產(chǎn)生極大損失。單機(jī)使用的殺毒軟件只能防殺本機(jī)的病毒，無法應(yīng)對(duì)網(wǎng)絡(luò)病毒，如果本身出現(xiàn)問題，則更會(huì)影響整個(gè)網(wǎng)絡(luò)。因此單機(jī)殺毒已經(jīng)很難適應(yīng)網(wǎng)絡(luò)時(shí)代病毒的傳播和查殺。

高校的校園網(wǎng)絡(luò)為了應(yīng)對(duì)病毒和攻擊，都購(gòu)置了價(jià)格昂貴的信息安全設(shè)備，但是因?yàn)楣芾韱栴}仍然產(chǎn)生一些問題，單純的防毒軟硬件無法防殺所有的威脅；無法及時(shí)響應(yīng)針對(duì)漏洞的攻擊。現(xiàn)在的網(wǎng)絡(luò)殺毒軟件具備了安全管理與統(tǒng)計(jì)報(bào)表的功能，可以幫助信息安全人員進(jìn)行相關(guān)管理。安全管理包括了統(tǒng)一安裝、殺毒及管理功能，甚至還可以實(shí)現(xiàn)遠(yuǎn)程桌面、用戶劃分為不同的組及漏洞修補(bǔ)等。統(tǒng)計(jì)報(bào)表功能可以統(tǒng)計(jì)所有授權(quán)用戶的病毒感染情況，可以按時(shí)間、按部門、按病毒種類統(tǒng)計(jì)企業(yè)全網(wǎng)中的病毒情況，并形成各種報(bào)表，同時(shí)促進(jìn)本地升級(jí)，減少網(wǎng)絡(luò)出口流量。

3.結(jié)語(yǔ)

采用各種技術(shù)構(gòu)建一個(gè)全面的校園信息安全體系，全天候地保護(hù)校園網(wǎng)絡(luò)，提供給師生一個(gè)安全的網(wǎng)絡(luò)環(huán)境。隨著網(wǎng)絡(luò)環(huán)境的變化，也暴露出不同的安全問題，要隨時(shí)維護(hù)和改變網(wǎng)絡(luò)安全體系。在使用各種技術(shù)時(shí)要綜合考慮網(wǎng)絡(luò)的可擴(kuò)展性和可管理性等因素，減少以后的網(wǎng)絡(luò)升級(jí)和變化的投資。

參考文獻(xiàn)：

[1]博新宇，管志遠(yuǎn).高校網(wǎng)絡(luò)安全問題及對(duì)策.實(shí)驗(yàn)技術(shù)與管理，2011（11）：188-190.

[2]曹麗萍.淺析殺毒軟件的現(xiàn)狀及趨勢(shì).電腦與電信，2009（05）.

[3]易光華，傅光軒，周錦順.MPLSVPN、IPSecVPN和SSLVPN技術(shù)的研究與比較.貴州科學(xué)，2007（06）.

[4]查貴庭，彭其軍，羅國(guó)富.校園網(wǎng)陸安全威脅及安全系統(tǒng)構(gòu)建.計(jì)算機(jī)應(yīng)用研究，2005（03）.

[5]張棟毅.校園網(wǎng)絡(luò)安全分析與安全體系方案設(shè)計(jì).計(jì)算機(jī)應(yīng)用，2011（12）.

[6]胡光民，柯立新.校園網(wǎng)絡(luò)安全與準(zhǔn)入身份認(rèn)賬.上海海洋大學(xué)學(xué)報(bào)，2010（03）.

[7]肖陽(yáng)，李陽(yáng).校園網(wǎng)絡(luò)的多層安全體系研究.中南林業(yè)科技大學(xué)學(xué)報(bào)，2010（04）.

[8]邱文祥，許輝.校園網(wǎng)的安全防護(hù)研究.電化教育研究，2007（09）.

[9]程光，張艷麗，江潔新.信息與網(wǎng)絡(luò)安全.清華大學(xué)出版社，2008（06）.