王 召（西北民族大學電氣工程學院，蘭州 730000）

校園網(wǎng)網(wǎng)絡安全措施研究

王 召
（西北民族大學電氣工程學院，蘭州 730000）

通常的校園網(wǎng)網(wǎng)絡不能全面地監(jiān)控整個網(wǎng)絡和各種設備的運行狀態(tài)并記錄和深入分析網(wǎng)絡流量，無法實時監(jiān)控教師行為，私設IP地址的行為時有發(fā)生，迅雷、flashget等多線程下載軟件搶占網(wǎng)絡帶寬的現(xiàn)象很突出。為了解決這些問題，增加統(tǒng)一威脅管理網(wǎng)關，加強網(wǎng)絡安全管理，從而實現(xiàn)網(wǎng)絡負載均衡、網(wǎng)絡防火墻過濾、帶寬管理、上網(wǎng)行為管理。是保證校園網(wǎng)絡安全的重要措施。

安全；策略；控制

保證校園網(wǎng)絡系統(tǒng)各種設備的物理安全是整個網(wǎng)絡安全的前提條件。為了保護設備免遭環(huán)境事故的影響，我們所采用的設備必須要安全可靠，可以防止火災、水災等破壞，也可以避免人為操作的錯誤或失誤，從而更好地保護校園網(wǎng)絡系統(tǒng)和服務器。物理安全策略主要包括以下兩個方面:

（1）環(huán)境安全。能夠保護計算機系統(tǒng)的安全，使之工作在相對安全的工作狀態(tài)下，并能更好地創(chuàng)造電磁兼容的環(huán)境。

（2）設備安全。設備的防毀、防盜、防電磁信息輻射泄漏、電源保護及抗電磁干擾等，都是設備安全的主要方面。

1　訪問控制策略

我們所采取的一些訪問控制的措施是為了防止非法用戶對網(wǎng)絡資源使用和訪問，網(wǎng)絡安全最重要的策略是訪問控制策略。

（1）網(wǎng)絡的權(quán)限控制。網(wǎng)絡的權(quán)限控制可以控制非法操作，保護網(wǎng)絡安全。系統(tǒng)可以對用戶設定權(quán)限，也對用戶組限定了一些權(quán)限。只有這樣，才能有效的控制用戶的訪問目錄，控制訪問資源及訪問文件以等，對于一些目錄的操作也對用戶設定了限制。

（2）入網(wǎng)訪問控制。第一層訪問控制是入網(wǎng)訪問控制，它可以有效的控制不被允許的人登陸到網(wǎng)絡，從而獲取網(wǎng)絡資源，還可以控制用戶的登陸時間和登陸網(wǎng)站。

（3）屬性安全控制。如果用到目錄、文件和網(wǎng)絡設備時，校園網(wǎng)絡管理者應該給目錄、文件等指定一些訪問屬性。把給定的屬性與目錄、網(wǎng)絡服務器的文件和網(wǎng)絡設備連接在一起，這是屬性安全控制的任務。為了能保證更好的安全性，屬性安全是在權(quán)限安全的條件下進行的。

（4）目錄級安全控制。用戶在指定的權(quán)限內(nèi)可以有效的訪問目錄，同時也可以指定子目錄下的一些權(quán)。

（5）網(wǎng)絡監(jiān)測和鎖定控制。自動鎖定賬戶是在進入網(wǎng)絡的次數(shù)達到設定數(shù)值時進行的，這樣可以限定非法訪問用戶的次數(shù)。

（6）網(wǎng)絡服務器安全控制。服務器的控制臺上進行的一系列操作是網(wǎng)絡允許的。網(wǎng)管應該對校園網(wǎng)進行監(jiān)控，用戶對網(wǎng)絡資源的訪問可以被服務器記錄下來。服務器應該對非法的網(wǎng)絡訪問以圖形或聲音或文字等一些方式報警，這樣就可以引起校園網(wǎng)絡管理者的注意。當非法用戶試圖進入校園網(wǎng)絡時，對控制臺模塊進行裝載和卸載，非法刪除和安裝軟件等這些操作是會被網(wǎng)絡服務器自動記錄下來的。為了防止非法用戶破壞數(shù)據(jù)或刪除、修改重要信息，可以對網(wǎng)絡服務器設定口令鎖定。同時也可以對服務器進行登錄時間的控制、對非法訪問者也可以進行檢測，關閉其非法操作，也可以查到相應的時間間隔。

2　防火墻控制策略

可以保護校園網(wǎng)絡安全的技術措施是防火墻技術，它是近期發(fā)展起來的一種技術?？梢宰柚购诳驮L問網(wǎng)絡機構(gòu)，防火墻位于軟件或者硬件或兩種都有，它是一種可以控制網(wǎng)絡的系統(tǒng)，可以限制非法用戶訪問網(wǎng)絡資源，監(jiān)控內(nèi)部和外部網(wǎng)絡系統(tǒng)，可以防止破壞和偷竊行為的惡意攻擊［1］。

3　信息加密策略

保護校園網(wǎng)內(nèi)的文件、數(shù)據(jù)、控制信息和口令，保護網(wǎng)絡傳送的數(shù)據(jù)是信息加密的主要目的。端點加密、鏈路加密和節(jié)點加密是網(wǎng)絡加密常采用的三種方法。鏈路加密是指保護校園網(wǎng)絡節(jié)點與節(jié)點之間的鏈路信息安全。對從起始端用戶到目的端用戶提供數(shù)據(jù)保護是端點加密技術。對從源節(jié)點到目標節(jié)點的鏈路傳送進行保護是節(jié)點加密技術。各種加密算法對信息加密過程進行具體實施。在很多情況下，保證信息機密性的唯一方法是信息加密策略［2］。

4　網(wǎng)絡入侵檢測技術

試圖破壞信息系統(tǒng)的機密性、完整性、可信性的所有網(wǎng)絡活動都叫做網(wǎng)絡入侵。入侵檢測（IntrusionDeteetion）技術是指：能檢測針對網(wǎng)絡資源或計算機的惡意行為和企圖，并對這些行為和企圖做出相應反應的過程。該技術可以檢測出來自內(nèi)部用戶的未被授權(quán)的活動，也可以查出來自外部的入侵行為。 這個技術采用了以攻為守的策略，它能提供出合法用戶亂用特權(quán)的數(shù)據(jù)，也有可能提供一些非法用戶入侵網(wǎng)絡的有效證據(jù)。

5　鏡像和備份技術

鏡像技術是指兩個設備同時運行完全一樣的工作，如果其中一個設備發(fā)生故障，另一個設備還可以繼續(xù)工作。為了提高完整性，需要采用鏡像和備份技術。提高數(shù)據(jù)完整性最常用的措施是備份技術，對于需要保護的數(shù)據(jù)，在其他地方制作一個備份，如果原件丟失了，還能使用備份數(shù)據(jù)［3］。

6　網(wǎng)絡安全策略配置

（1）安全接入和配置。在接入網(wǎng)絡前，為了保證網(wǎng)絡基礎設施的安全性，要經(jīng)過授權(quán)和認證限制。

（2）謝絕服務的防止。防止主要是防止出現(xiàn)Smurf攻擊、TCP SYN泛濫攻擊等是校園網(wǎng)絡的設備拒絕服務攻擊的的主要目的。配置網(wǎng)絡設備的TCP SYN臨界值，如果多于設定的臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包是網(wǎng)絡設備防止TCP SYN的主要方法。為了避免成為一個Smurf攻擊的受害者和轉(zhuǎn)發(fā)者，應該防Smurf攻擊，使得配置網(wǎng)絡設備設置ICMP包臨界值和不轉(zhuǎn)發(fā)ICMP echo請求。

（3）訪問控制。① 開放全部端口并允許內(nèi)網(wǎng)訪問Internet；② 從公網(wǎng)到隔離區(qū)的訪問請求是允許的；③ 關閉全部端口并禁止公網(wǎng)到內(nèi)部區(qū)的訪問請求；④ 開放全部端口并允許內(nèi)網(wǎng)訪問隔離區(qū)；⑤ 開放全部端口并允許隔離區(qū)訪問Internet；⑥ 關閉全部端口并禁止隔離區(qū)訪問內(nèi)網(wǎng)。

［1］王英龍.Ad Hoc網(wǎng)絡路由協(xié)議安全性分析方法研究［J］.山東：山東大學，2005：17-20.

［2］宋慶大.計算機網(wǎng)絡安全問題和對策研究［J］.現(xiàn)代電子技術，2009（05）：15.

［3］張燕.網(wǎng)絡故障診斷關鍵技術［J］.電腦知識與技術，2009（11）：32.

10.16640/j.cnki.37-1222/t.2016.14.122

王召（1995-），女，湖北孝感人，本科在讀。