單守雪（亳州學(xué)院 電子與信息工程系，安徽 亳州 236800）

?

校園網(wǎng)絡(luò)安全技術(shù)及防范策略探討

單守雪
（亳州學(xué)院 電子與信息工程系，安徽 亳州 236800）

摘 要：互聯(lián)網(wǎng)貫穿于高校教師的日常辦公、教學(xué)授課、科研學(xué)術(shù)研討交流和學(xué)生的學(xué)習(xí)生活之中，是校園信息化建設(shè)的關(guān)鍵.為了保障校園網(wǎng)高效、穩(wěn)定、安全的運(yùn)行，保證廣大師生正常使用網(wǎng)絡(luò)，避免因網(wǎng)絡(luò)安全問題帶來不必要的損失，本文針對(duì)校園網(wǎng)絡(luò)安全技術(shù)及防范策略進(jìn)行分析討論，以期構(gòu)建一個(gè)安全的校園網(wǎng)絡(luò)系統(tǒng).

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全技術(shù)；防范策略

1 防火墻技術(shù)

1.1 防火墻的概念

防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)抵御黑客攻擊和越權(quán)使用的工具，類型主要有包過濾和應(yīng)用代理兩種.包過濾技術(shù)是關(guān)于數(shù)據(jù)包的過濾規(guī)則，這些規(guī)則確定哪些數(shù)據(jù)包可通過，哪些不能通過.應(yīng)用代理防火墻是對(duì)應(yīng)用層的應(yīng)用設(shè)定規(guī)則，對(duì)應(yīng)用層數(shù)據(jù)流進(jìn)行管理［1］.

防火墻設(shè)置的策略：

1.1.1 只有明確允許通過的，才讓其通過，否則拒絕.

1.1.2 如果允許所有流量通過，那么拒絕的就要明確指出.端口一旦開放，要定期查看該端口有沒有不良記錄，以控制其不被利用.

1.1.3 碉堡往往是從內(nèi)部攻破的，防火墻對(duì)內(nèi)也要進(jìn)行防護(hù).1.1.4 防火墻對(duì)流量進(jìn)行直接操作.入侵檢測(cè)對(duì)流量進(jìn)行分析，作出判斷，兩者結(jié)合可形成合力，保護(hù)網(wǎng)絡(luò)安全.

2 入侵檢測(cè)技術(shù)

通過對(duì)數(shù)據(jù)流量的檢測(cè)、分析，發(fā)現(xiàn)系統(tǒng)中存在的攻擊、越權(quán)使用等行為，并形成報(bào)告上交系統(tǒng)的技術(shù)稱之為入侵檢測(cè)技術(shù)［2］.即通過對(duì)數(shù)據(jù)流量的關(guān)鍵信息進(jìn)行分析，發(fā)現(xiàn)被黑客入侵的跡象或違反安全策略的行為.

NIDS主要是利用SNIFFE技術(shù)對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)，實(shí)時(shí)強(qiáng)，但缺乏對(duì)主機(jī)內(nèi)的檢測(cè).基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）能對(duì)主機(jī)內(nèi)進(jìn)行檢測(cè)，但實(shí)時(shí)性差，僅作為事后取證.入侵檢測(cè)系統(tǒng)圖如下：

圖1 簡(jiǎn)單入侵檢測(cè)系統(tǒng)圖

3 虛擬專用網(wǎng)技術(shù)（VPN）

VPN解決了不同地區(qū)數(shù)據(jù)傳輸安全問題，給高校網(wǎng)絡(luò)互聯(lián)提供了安全保證［3］.

3.1 VPN的概念

虛擬專用網(wǎng)絡(luò)是在公用網(wǎng)絡(luò)的基礎(chǔ)上，將不同地方的用戶或子網(wǎng)通過采取加密、認(rèn)證等手段與企業(yè)內(nèi)部網(wǎng)進(jìn)行連接，形成一個(gè)邏輯上的內(nèi)部網(wǎng)，數(shù)據(jù)可以在這個(gè)網(wǎng)絡(luò)上安全的傳輸.

3.2 VPN的功能

被授權(quán)的外部用戶可以通過VPN，連接企業(yè)內(nèi)部網(wǎng)，進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)被加密，不會(huì)被竊取、截獲、復(fù)制篡改.

3.3 VPN的安全性

VPN是一種擴(kuò)展公司網(wǎng)絡(luò)和增加網(wǎng)絡(luò)用戶功能的極好途徑.許多網(wǎng)絡(luò)管理員都未能意識(shí)到與這個(gè)擴(kuò)展網(wǎng)絡(luò)相關(guān)的許多重要的安全問題.由于允許遠(yuǎn)程用戶進(jìn)入公司網(wǎng)絡(luò)的核心部分，許多限制都沒有了，因此應(yīng)該采取一些措施確保遠(yuǎn)程用戶訪問網(wǎng)絡(luò)時(shí)不會(huì)出現(xiàn)安全漏洞.

4 數(shù)據(jù)加密技術(shù)

針對(duì)動(dòng)態(tài)數(shù)據(jù)的被動(dòng)攻擊的保護(hù)，最有效的是數(shù)據(jù)加密技術(shù).有了數(shù)據(jù)加密技術(shù)，數(shù)據(jù)即使被黑客截獲了，也不用擔(dān)心其被非法利用.

數(shù)據(jù)的加密、解密是在密鑰的控制下，通過加密算法、解決算法來完成的.加解密算法稱為密碼體制，包括對(duì)稱密鑰、非對(duì)稱密鑰兩種技術(shù).

4.1 對(duì)稱密鑰密碼技術(shù)

對(duì)稱密鑰密碼技術(shù)的加密密鑰和解密密鑰相同，或從一個(gè)很容易推出另一個(gè).所以信息在加密傳輸過程中，要嚴(yán)格保管加密密鑰和解密密鑰.對(duì)稱密鑰密碼技術(shù)安全、算法高效.

4.2 非對(duì)稱加密/公開密鑰加密

美國斯坦福大學(xué)兩名學(xué)者W.Diffie和M.Hellman 1976年在IEEE Trans.on Information刊物上發(fā)表了“New Direction in Cryptography”文章，提出了“公開密鑰密碼體制”的概念，開創(chuàng)了密碼學(xué)研究的新方向.公開密鑰公開的是加密密鑰，但由公開密鑰推不出解密密鑰.用公鑰加密，用私鑰解密，有效的解決了加密密鑰在傳輸中的保管問題.當(dāng)前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)的密碼算法是RSA.

5 訪問控制技術(shù)

訪問控制技術(shù)規(guī)定了哪些用戶可以訪問網(wǎng)絡(luò)資源，對(duì)訪問的用戶進(jìn)行身份驗(yàn)證和確認(rèn).訪問控制業(yè)務(wù)的目標(biāo)是防止對(duì)任何資源的非法訪問.就目前而言、訪問控制技術(shù)常用的是密碼設(shè)置，對(duì)訪問對(duì)象分組授予不同的訪問權(quán)限.各組的用戶用自己的密碼就可以進(jìn)行權(quán)限內(nèi)的訪問.對(duì)外部用戶可以使用防火墻技術(shù)實(shí)現(xiàn)訪問控制.通過安全策略，設(shè)定用戶訪問權(quán)限，實(shí)現(xiàn)對(duì)外部用戶的訪問控制.

6 數(shù)據(jù)備份和恢復(fù)技術(shù)

數(shù)據(jù)備份技術(shù)是通過專業(yè)的數(shù)據(jù)存儲(chǔ)管理軟件對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行備份，在系統(tǒng)遭到攻擊或數(shù)據(jù)丟失時(shí)，可通過備份進(jìn)行恢復(fù).當(dāng)現(xiàn)有系統(tǒng)或數(shù)據(jù)遭到破壞，可使用數(shù)據(jù)恢復(fù)技術(shù)將現(xiàn)在的系統(tǒng)或數(shù)據(jù)恢復(fù)到歷史一個(gè)時(shí)間點(diǎn).

當(dāng)系統(tǒng)數(shù)據(jù)崩潰時(shí)，數(shù)據(jù)恢復(fù)就是從數(shù)據(jù)備份中恢復(fù)數(shù)據(jù)，使系統(tǒng)能正常運(yùn)行.數(shù)據(jù)恢復(fù)建立在數(shù)據(jù)備份基礎(chǔ)上，是用備份數(shù)據(jù)進(jìn)行恢復(fù)的.當(dāng)受到黑客攻擊或故障，系統(tǒng)不能正常使用時(shí)，使用數(shù)據(jù)恢復(fù)和備份技術(shù)是最直接、最有效、最經(jīng)濟(jì)的辦法.

7 防病毒技術(shù)

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的危害計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼［4］.計(jì)算機(jī)病毒傳播速度快、病毒種類多、破環(huán)程度廣、是目前網(wǎng)絡(luò)安全主要的安全威脅.計(jì)算機(jī)病毒危害有輕度的，有重度的，輕度的可能是個(gè)惡作劇、重度的可能破壞數(shù)據(jù)文件、有些可能導(dǎo)致系統(tǒng)癱瘓.

病毒最初是單機(jī)的，就在傳輸介質(zhì)連接的電腦之間傳播，后來隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)的開放性、共享性給病毒的傳播提供了溫床.大量病毒開始在互聯(lián)網(wǎng)上大肆傳播.

網(wǎng)絡(luò)病毒利用網(wǎng)絡(luò)傳播，使廣大網(wǎng)絡(luò)使用者深受其害，雖然也安裝了各種殺毒軟件，但也避免不了網(wǎng)絡(luò)病毒的侵害.

7.1 網(wǎng)絡(luò)病毒的預(yù)防

由于網(wǎng)絡(luò)病毒傳播速度快、傳播范圍廣、破壞程度大，我們要做好網(wǎng)絡(luò)病毒的防御措施.在校園網(wǎng)上整體部署網(wǎng)絡(luò)防病毒軟件，及時(shí)更新病毒庫，將先進(jìn)的網(wǎng)絡(luò)安全技術(shù)引入到校園網(wǎng)安全防御系統(tǒng)中來.同時(shí)對(duì)網(wǎng)絡(luò)管理人員進(jìn)行不定期的安全培訓(xùn)，從技術(shù)和人員管理兩方面做好網(wǎng)絡(luò)病毒的預(yù)防工作.

網(wǎng)絡(luò)管理人員和操作人員要有防病毒意識(shí)，以預(yù)防為主.從管理措施和技術(shù)措施兩方面入手進(jìn)行防范病毒的工作.

7.1.1 嚴(yán)格的管理

制定嚴(yán)格的管理制度、操作規(guī)程和行為規(guī)章等.如計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)機(jī)房制定嚴(yán)格的管理制度，未經(jīng)允許不得下載安裝來歷不明的軟件，接受郵件和文件要使用專門的終端，建立安全管理制度可有效的避免因認(rèn)為失誤帶來的計(jì)算機(jī)病毒的入侵.

7.1.2 成熟的技術(shù)

將先進(jìn)的、成熟的網(wǎng)絡(luò)安全技術(shù)引入校園網(wǎng)安全防范體系中來，及時(shí)更新病毒庫，從技術(shù)手段上做好對(duì)病毒的預(yù)防和清理工作.

7.1.3 有效的預(yù)防措施

對(duì)新硬盤進(jìn)行檢測(cè)或進(jìn)行低級(jí)格式化.安裝計(jì)算機(jī)應(yīng)用軟件前，要對(duì)計(jì)算機(jī)進(jìn)行檢測(cè)、殺毒.設(shè)置PC機(jī)從硬盤直接啟動(dòng).

7.1.4 定期與不定期進(jìn)行磁盤文件備份工作

用Bootsafe等實(shí)用程序或用Debug工具提取分區(qū)表等方法備份分區(qū)表、DOS引導(dǎo)扇區(qū)等，在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考.對(duì)多人共用一臺(tái)計(jì)算機(jī)的環(huán)境，應(yīng)建立登記上機(jī)制度，做到有問題能盡早發(fā)現(xiàn)，有病毒能及時(shí)追查、清除，不擴(kuò)散.

7.1.5 網(wǎng)絡(luò)病毒的清除

系統(tǒng)感染病毒后可采取以下措施進(jìn)行緊急處理：

隔離：及時(shí)將中病毒的機(jī)器進(jìn)行隔離，如果是某一節(jié)點(diǎn)中病毒，就將該節(jié)點(diǎn)隔離，避免病毒擴(kuò)散到整個(gè)網(wǎng)絡(luò).

報(bào)警：發(fā)現(xiàn)病毒感染點(diǎn)后，立即進(jìn)行隔離，并向網(wǎng)絡(luò)管理部門報(bào)警.

查毒源：系統(tǒng)安全管理人員接到報(bào)警后，可使用相應(yīng)防病毒系統(tǒng)鑒別受感染的機(jī)器和用戶，檢查那些經(jīng)常引起病毒感染的節(jié)點(diǎn)和用戶，并查找病毒的來源.

采取應(yīng)對(duì)方法和對(duì)策.網(wǎng)絡(luò)系統(tǒng)安全管理人員要對(duì)病毒的破壞程度進(jìn)行分析檢查，并根據(jù)需要決定采取有效的病毒清除方法和對(duì)策.感染不嚴(yán)重的可采用重裝系統(tǒng)的方法來清除病毒，如果感染嚴(yán)重，特別是一些關(guān)鍵的系統(tǒng)文件，可請(qǐng)防病毒專家來幫助進(jìn)行病毒清除和數(shù)據(jù)恢復(fù).

修復(fù)前備份數(shù)據(jù).在使用防病毒軟件進(jìn)行清除病毒的時(shí)候要對(duì)重要的數(shù)據(jù)進(jìn)行備份，避免殺毒軟件把重要的文件誤刪.

清除病毒：將重要的數(shù)據(jù)備份，運(yùn)行查殺病毒軟件，并對(duì)相關(guān)系統(tǒng)進(jìn)行掃描.發(fā)現(xiàn)有病毒，立即清除，病毒被清除后，重新啟動(dòng)計(jì)算機(jī)，再次用防病毒軟件檢測(cè)系統(tǒng)是否還有病毒，并將被破壞的數(shù)據(jù)進(jìn)行恢復(fù).

校園網(wǎng)要安裝網(wǎng)絡(luò)殺毒軟件，在全局上進(jìn)行網(wǎng)絡(luò)殺毒，同時(shí)在校園網(wǎng)內(nèi)所有機(jī)器上安裝客戶端，制定安全策略，統(tǒng)一殺毒，并及時(shí)更新病毒庫.

8 結(jié)束語

目前，為了解決校園網(wǎng)日益增加的網(wǎng)絡(luò)使用和應(yīng)用軟件的使用所帶來的安全隱患，保障校園網(wǎng)高效、穩(wěn)定、安全的運(yùn)行，本文基于網(wǎng)絡(luò)安全技術(shù)及防范策略進(jìn)行研究分析，以期為校園網(wǎng)絡(luò)安全體系的構(gòu)建起到借鑒作用.

參考文獻(xiàn)：

〔1〕鄒勇，白躍彬，趙銀亮.增強(qiáng)型包過濾防火墻規(guī)則的形式化及推理機(jī)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)研究與發(fā)展，2000，37 （12）：1471～1476.

〔2〕蘇雪，高文知.入侵檢測(cè)技術(shù)在校園網(wǎng)中的應(yīng)用研究［J］.科技創(chuàng)業(yè)月刊，2008（12）：198～199.

〔3〕黃衛(wèi)強(qiáng).校區(qū)網(wǎng)絡(luò)互聯(lián)模式研究［J］.科技資訊，2009（10）：29～30.

〔4〕趙杰，楊玉新.計(jì)算機(jī)病毒［J］.云南大學(xué)學(xué)報(bào)（自然科學(xué)版），2006（28）（SI）.

中圖分類號(hào)：TP393.08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1673-260X（2016）06-0018-02

收稿日期：2016-03-20

基金項(xiàng)目：安徽省2015年質(zhì)量工程項(xiàng)目——計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)綜合改革試點(diǎn)（省級(jí)）項(xiàng)目成果.（2015zy078）