天津工業(yè)大學(xué)計算機(jī)科學(xué)與軟件學(xué)院 王顯德

隨著信息技術(shù)的快速發(fā)展和高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，資源整合、應(yīng)用系統(tǒng)和校園信息化平臺建設(shè)已經(jīng)成為校園信息化的主要任務(wù)。高校用戶在享受信息化成果所帶來的工作高效和便利的同時，也面臨著來自校園網(wǎng)內(nèi)部和外部帶來的各種安全威脅和挑戰(zhàn)。因此，有必要建立一套高效、安全、動態(tài)網(wǎng)絡(luò)安全防范體系，來加強(qiáng)校園網(wǎng)絡(luò)安全防護(hù)和監(jiān)控，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)基礎(chǔ)。

1.校園網(wǎng)絡(luò)安全組成

校園網(wǎng)絡(luò)的安全由以下幾個方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全。

1.1 物理安全

物理安全策略主要指網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備的安全以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理安全直接關(guān)系到網(wǎng)絡(luò)的安全，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，那么他直接對設(shè)備進(jìn)行破壞要比通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。

1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測、審計分析網(wǎng)絡(luò)運行安全、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)安全、訪問控制（防火墻）、網(wǎng)絡(luò)安全檢測、入侵檢測。

1.3 信息安全

信息安全主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲安全、數(shù)據(jù)庫安全、終端安全、信息的防泄密、信息內(nèi)容審計、用戶授權(quán)。

2.校園網(wǎng)安全防護(hù)的解決方案計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個分層次

的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施，即一個完整的網(wǎng)絡(luò)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與安全管理相結(jié)合。

2.1 物理層安全

保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個計算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面：環(huán)境安全、設(shè)備安全、媒體安全。

2.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全主要包括：限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對網(wǎng)絡(luò)設(shè)備的安全配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問任意一臺計算機(jī)、路由器和防火墻。

2.2.1 合理劃分VLAN

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需要的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN內(nèi)部的廣播和單薄流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN在交換機(jī)上的實現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。

以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，以上運行機(jī)制帶來的網(wǎng)絡(luò)安全是好處是顯而易見的：第一，信息只有到達(dá)應(yīng)該到達(dá)的地點。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。第二，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。

2.2.2 防火墻與IDS

安裝防火墻進(jìn)行安全保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實施的信息安全防范系統(tǒng)技術(shù)，通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對系統(tǒng)結(jié)構(gòu)及其良性運行等實現(xiàn)安全防護(hù)。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。

2.2.3 路由器訪問控制列表

路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對網(wǎng)絡(luò)的安全具有舉足輕重的作用，路由器本身就可以對數(shù)據(jù)包進(jìn)行過濾和有效地防止外部用戶對校園網(wǎng)的安全訪問，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設(shè)備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網(wǎng)絡(luò)的安全性。

2.3 系統(tǒng)層安全

操作系統(tǒng)是計算機(jī)系統(tǒng)的核心和基礎(chǔ)工具，因此操作系統(tǒng)的漏洞往往成為危害計算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計算機(jī)操作系統(tǒng)的安全，對于網(wǎng)絡(luò)的安全尤為重要。

2.4 應(yīng)用層安全

2.4.1 網(wǎng)絡(luò)防病毒技術(shù)

網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計算機(jī)病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機(jī)制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)。基于網(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個環(huán)節(jié)上實現(xiàn)對計算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)可以防范病毒的感染，同時通過這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以建立一個集中有效的防病毒控制機(jī)制，從而保護(hù)計算機(jī)信息網(wǎng)絡(luò)的安全。

2.4.2 應(yīng)用系統(tǒng)防護(hù)策略

對于應(yīng)用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù)，是非常關(guān)鍵和重要的，因此要應(yīng)用系統(tǒng)具有很強(qiáng)大的安全防護(hù)能力就必須做到以下三點：一是建立統(tǒng)一的用戶和目錄管理機(jī)制；二是建立認(rèn)證授權(quán)機(jī)制；三是建立備份和恢復(fù)機(jī)制。

2.5 注重安全管理，完善規(guī)章制度

實踐經(jīng)驗告訴我們僅有安全技術(shù)和安全設(shè)備防范，而無良好安全管理體系相配套，是很難保障網(wǎng)絡(luò)信息安全的。構(gòu)建網(wǎng)絡(luò)安全防范體系，必須制訂一系列安全管理制度和安全管理規(guī)范，對安全技術(shù)和安全設(shè)施進(jìn)行規(guī)范管理，建立行之有效的信息安全管理制度和流程，實現(xiàn)嚴(yán)密、多層次的安全控制，保證各級系統(tǒng)的安全穩(wěn)定運行，保證數(shù)據(jù)安全可靠，實現(xiàn)數(shù)字校園網(wǎng)絡(luò)環(huán)境的可控、可信、可查。

3.結(jié)束語

隨著校園網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源的大量增加，以及各種系統(tǒng)漏洞的大量存在和不斷發(fā)現(xiàn)，使得校園網(wǎng)絡(luò)安全問題變得更加錯綜復(fù)雜。加之網(wǎng)絡(luò)攻擊行為日趨復(fù)雜，各種方法相互融合，使得網(wǎng)絡(luò)安全防御更加困難。因此，只有從校園網(wǎng)的物理級、網(wǎng)絡(luò)級、系統(tǒng)級、應(yīng)用級和管理級等五個層面逐步完善和健全防范體系，才能有效地應(yīng)對各種網(wǎng)絡(luò)安全事件。

[1]黃開枝,孫巖.網(wǎng)絡(luò)防御與安全對策[M].北京:清華大學(xué)出版社,2004.

[2]胡道元.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[3]朱曉曦.局域網(wǎng)安全問題淺析[J].科協(xié)論壇(下半月),2010(08).

[4]尚建楠.計算機(jī)網(wǎng)絡(luò)的安全問題初探[J].黑龍江科技信息,2010(16).