◆趙 姍

?

校園網(wǎng)的安全防御體系技術(shù)研究與模型設(shè)計——以西安市委黨校為例

◆趙 姍

（西安市委黨校 陜西 710056）

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，學(xué)校信息化建設(shè)一直在改進、更新。因為我校在組建校園網(wǎng)時缺乏安全防御意識，防御技術(shù)手段一般，所以在互連網(wǎng)黑客攻擊下校園數(shù)據(jù)遭到巨大的損失。針對我校校園網(wǎng)安全防御體系設(shè)計中存在的問題，研究校園網(wǎng)安全防御技術(shù)和改造校園網(wǎng)防御體系設(shè)計方案，建立可靠安全校園網(wǎng)成為當務(wù)之急。

校園網(wǎng)；網(wǎng)絡(luò)安全技術(shù)：防御體系設(shè)計

0 引言

近年來網(wǎng)絡(luò)迅猛發(fā)展的同時網(wǎng)絡(luò)安全問題成為急需解決的問題。學(xué)校無紙化辦公系統(tǒng)、教師選課系統(tǒng)、后勤管理系統(tǒng)和校園文化生活系統(tǒng)成為校園網(wǎng)的重要組成部分[1]。相比國外校園網(wǎng)發(fā)展的起步早、技術(shù)高的優(yōu)勢，國內(nèi)校園網(wǎng)的建設(shè)，還存在資金短缺、技術(shù)薄弱、管理人員專業(yè)素質(zhì)不高等問題，正是因為這些問題的存在一些校園網(wǎng)往往成為網(wǎng)絡(luò)黑客的攻擊對象?，F(xiàn)今，大部分的院校都意識到解決網(wǎng)絡(luò)安全問題的重要性。文章以中共西安市委黨校為例，根據(jù)現(xiàn)有網(wǎng)絡(luò)的實際情況，研究校園網(wǎng)安全防御模型技術(shù)，提高校園網(wǎng)的安全可靠性和利用率，更好地保證校園網(wǎng)的安全良好運行。

1 網(wǎng)絡(luò)安全簡介

校園網(wǎng)從建設(shè)開始，網(wǎng)絡(luò)安全問題就隨之出現(xiàn)。所以在校園網(wǎng)設(shè)計架構(gòu)之前就重點分析校園網(wǎng)網(wǎng)絡(luò)安全，盡可能全面的把校園網(wǎng)在運行期間可能遇到的安全問題考慮進去，構(gòu)建可靠安全的校園網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全定義為：網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然原因或者惡意攻擊遭受破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全[2]。

從技術(shù)方面來實現(xiàn)網(wǎng)絡(luò)安全的保密性、可用性、可控性、可審查性、完整性[3]五個基本的特征，需要多種技術(shù)組合使用，例如：防火墻技術(shù)、密碼技術(shù)、入侵檢測技術(shù)和入侵防護技術(shù)[4]等?，F(xiàn)今單一的網(wǎng)絡(luò)安全技術(shù)在復(fù)雜的網(wǎng)絡(luò)環(huán)境中無法保證網(wǎng)絡(luò)信息的安全。早前使用的邊界閾值控制法[5]，對于高深的黑客攻擊仍不能進行有效的阻止。如今比較常用的網(wǎng)絡(luò)安全技術(shù)要屬防火墻技術(shù)和數(shù)據(jù)認證技術(shù)。

2 大、中院校校園網(wǎng)面臨的網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全問題對于學(xué)校信息化的基礎(chǔ)設(shè)施校園網(wǎng)至關(guān)重要，在網(wǎng)絡(luò)安全簡介中介紹了網(wǎng)絡(luò)上常用的安全技術(shù)，這些技術(shù)主要是主動防御，加之大部分學(xué)校對網(wǎng)絡(luò)管理不重視，校園網(wǎng)往往成為網(wǎng)絡(luò)黑客的攻擊練習區(qū)域。目前主要影響校園網(wǎng)安全的因素有：

（1）TCP/IP協(xié)議漏洞：現(xiàn)在互聯(lián)網(wǎng)上使用最多的就是TCP/IP協(xié)議[4]，TCP/IP協(xié)議代表了兩個協(xié)議，分別是TCP（傳輸控制協(xié)議）和IP（網(wǎng)際協(xié)議）。網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成TCP/IP協(xié)議的四層分層模型[6]，每一層通過呼叫它的下一層所提供的網(wǎng)絡(luò)來完成自己的需求。TCP/IP協(xié)議的設(shè)計者相對于安全性更關(guān)注網(wǎng)絡(luò)互聯(lián)，每一層在與下層通信時允許網(wǎng)絡(luò)接口層采用已有的或采用雙方協(xié)商的協(xié)議，這就造成在這個層次通信雙方?jīng)]有專門的協(xié)議，可以直接利用網(wǎng)絡(luò)接口層連接到任意網(wǎng)絡(luò)上，TCP/IP協(xié)議并不完全符合網(wǎng)絡(luò)安全的OSI的七層參考模型。TCP/IP協(xié)議的開放性和通用性使得其在市場的占用率很高，同時由于TCP/IP協(xié)議漏洞較多，黑客的攻擊也比較頻繁，例如：數(shù)據(jù)竊聽、ARP欺騙和原地址欺騙等。

（2）病毒、木馬：無論程序還是系統(tǒng)都會有漏洞，這些漏洞若沒有及時安裝補丁，修復(fù)漏洞，很容易被病毒、木馬程序入侵，被入侵的電腦作為攻擊局域網(wǎng)或其他網(wǎng)絡(luò)的中介，對局域網(wǎng)或互聯(lián)網(wǎng)上的計算機造成巨大傷害。

（3）初級黑客的攻擊練習：互聯(lián)網(wǎng)的資源共享性，使得一系列的黑客教程和工具可以在互聯(lián)網(wǎng)上不受限制學(xué)習和軟件下載，大部分黑客工具的易操作性極大滿足了初級黑客炫耀心理。因為校園網(wǎng)的局限性和網(wǎng)絡(luò)管理水平有限，初級黑客通過黑客工具對防御能力不強的校園網(wǎng)頻頻下手，這讓校園網(wǎng)安全頻頻遭受威脅。

3 校園網(wǎng)網(wǎng)絡(luò)安全防御中常用技術(shù)研究

建立安全的校園網(wǎng)絡(luò)包含了多個學(xué)科領(lǐng)域，我們需要從最基本的相關(guān)網(wǎng)絡(luò)安全技術(shù)開始研究，為設(shè)計一個功能完善，性能可靠的校園網(wǎng)安全防御體系模型做準備。

3.1加密技術(shù)

加密技術(shù)[7]的核心在于密碼，加密就是將明文轉(zhuǎn)化為密文，接收方在查看文件時，應(yīng)用再將密文轉(zhuǎn)化為明文的過程，在明文和密文相互轉(zhuǎn)換的過程中涉及到加密算法和相應(yīng)的解密算法。文件的加密由算法和密鑰兩個部分決定密文破解難度和明文形成的密文形式。常用的加密技術(shù)有對稱加密和非對稱加密。對稱加密使用一套密鑰，即加密密鑰和解密密鑰一樣。加密算法也常用數(shù)據(jù)加密標準[8](DES，Data Encryption Standard)算法。這種算法常常會被暴力破解，512位的密鑰已經(jīng)可以破解，隨著時間的推移，短時間內(nèi)破譯DES加密已經(jīng)成為可能。

另一種非對稱加密算法[9]，有兩個密鑰：公開密鑰和私有密鑰，加密和解密對應(yīng)不同的密鑰。若用公鑰加密，那么只有私鑰才能解密，反之亦然。非對稱加密常使用RSA算法。RSA算法選用的加密密鑰是兩個大素數(shù)，大數(shù)分解生成的兩個密鑰，一個是私有密鑰，剩余一個是公開密鑰。由于RSA算法建議使用1024位的密鑰，算法又是大數(shù)運算，所以速度比DES算法慢很多。

3.2防火墻技術(shù)

防火墻是能對局域網(wǎng)內(nèi)進出的數(shù)據(jù)包進行分析和過濾的機制。它可包含硬件和軟件兩部分來保證網(wǎng)絡(luò)(局域網(wǎng))中數(shù)據(jù)傳輸?shù)陌踩?。硬件防火墻由專門的設(shè)備提供商設(shè)計硬件布局，因其功能單一，能較好的為局域網(wǎng)內(nèi)數(shù)據(jù)包進行過濾。軟件防火墻顧名思義是單獨使用的軟件系統(tǒng)來完成防火墻功能。性能較好的軟件防火墻有COMODO、Outpost Firewall和Windows自帶防火墻等。包過濾技術(shù)、代理技術(shù)和包檢測技術(shù)是目前常見的防火墻技術(shù)。

（1）包過濾(Packet Filtering)技術(shù)

包過濾[10]是防火墻中最常用的技術(shù)，通過硬件或軟件系統(tǒng)對進出內(nèi)外網(wǎng)的數(shù)據(jù)包進行鑒別控制?？刂圃硎菍W(wǎng)絡(luò)中的通過的每一個數(shù)據(jù)包與預(yù)先設(shè)置好相應(yīng)的過濾機制相比較，若匹配則轉(zhuǎn)發(fā)該數(shù)據(jù)包；若不匹配則丟棄該數(shù)據(jù)包。

（2）代理技術(shù)[10]：用戶不能直接鏈接到外網(wǎng)需要通過代理服務(wù)器間接對Internet進行訪問。代理服務(wù)器處于局域網(wǎng)和Internet之間，工作在網(wǎng)絡(luò)中的會話層，阻隔局域網(wǎng)和外網(wǎng)的直接連接，用戶訪問外網(wǎng)服務(wù)器必須通過代理服務(wù)器，外部數(shù)據(jù)進入內(nèi)網(wǎng)也不能繞過代理服務(wù)器，代理服務(wù)器通過對進出局域網(wǎng)數(shù)據(jù)數(shù)據(jù)分析來實現(xiàn)防火墻功能。HTTP代理、SockCap代理、Smtp代理、FTP代理和反向代理等是現(xiàn)今常用的代理。

3.3入侵檢測技術(shù)

侵檢測系統(tǒng)[10]（Intrusion Detection System，IDS）使用入侵檢測技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)實時監(jiān)控，一旦發(fā)現(xiàn)危險數(shù)據(jù)通信，主動報警提醒管理員及時處理危險或自動阻止可疑數(shù)據(jù)傳輸。入侵檢測系統(tǒng)相對于防火墻技術(shù)具有主動防御性和很好的靈活性?，F(xiàn)在網(wǎng)絡(luò)中常用交換式網(wǎng)絡(luò)拓撲結(jié)構(gòu)，根據(jù)交換式網(wǎng)絡(luò)拓撲結(jié)構(gòu)的特點把IDS布置在交換機層，交換機層易受黑客攻擊，又與內(nèi)網(wǎng)用戶接近，所以把IDS布置在這層。常用IDS布置如圖1所示。

圖1 IDS布局圖

IDS既可以檢測內(nèi)網(wǎng)錯誤數(shù)據(jù)和操作，又可以有效攔截外網(wǎng)黑客攻擊并能及時給管理員報警，自動在攻擊之前采取應(yīng)對措施。IDS作為一種靈活的防御系統(tǒng)能很好地彌補防火墻漏洞。

3.4入侵防護技術(shù)

上面介紹的網(wǎng)絡(luò)安全技術(shù)多為被動防御，現(xiàn)在介紹的入侵防護技術(shù)是一種采取積極主動態(tài)度應(yīng)對網(wǎng)絡(luò)攻擊的防御。主動防御技術(shù)和被動防御技術(shù)相結(jié)合組成防御網(wǎng)提高防御能力。

入侵防護系統(tǒng)作為局域網(wǎng)防護的第三道防線彌補了以防火墻為代表的第一道防線無法檢測普通數(shù)據(jù)流中惡意代碼和內(nèi)網(wǎng)中非法操作攻擊的不足，同時彌補了第二道防線IDS在入侵被檢測到之后才會采取措施的被動性。

入侵防護系統(tǒng)[10](Intrusion Prevention System, IPS)更注重潛在危險控制，IPS對于外網(wǎng)它通過監(jiān)控所有進出內(nèi)外網(wǎng)數(shù)據(jù)，記錄網(wǎng)絡(luò)攻擊信息，針對明確攻擊和潛藏的惡意代碼實時在線部署網(wǎng)絡(luò)防御方案，提高管理員工作效率。能通過數(shù)據(jù)檢測在網(wǎng)絡(luò)攻擊或異常發(fā)生前，主動丟棄異常數(shù)據(jù)包的同時切斷攻擊源。IPS對局域網(wǎng)內(nèi)部的異常數(shù)據(jù)流或攻擊，IPS通過快速查詢迅速找到發(fā)起攻擊的“病毒”機，找到攻擊源的同時切斷“病毒”主機網(wǎng)絡(luò)連接阻斷“病毒”機的攻擊途徑，避免局域網(wǎng)內(nèi)其它終端受到攻擊。從IPS的防御過程來看，IPS防御注重監(jiān)控潛在危險，實時在線部署安全策略，與系統(tǒng)管理員協(xié)同配合提高網(wǎng)絡(luò)安全系數(shù)，實際上更像一種風險控制。IPS與防火墻、IDS配合部署校園安全防御體系保證校園網(wǎng)用戶安全，抵御網(wǎng)絡(luò)黑客攻擊。

4 西安市委黨校校園網(wǎng)安全防御模型設(shè)計

上文通過對網(wǎng)絡(luò)安全技術(shù)的介紹，發(fā)現(xiàn)常用的防火墻和入侵檢測系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境中不能很好的滿足網(wǎng)絡(luò)安全的指標。一些黑客還是常常攻破校園網(wǎng)，造成校園網(wǎng)數(shù)據(jù)的丟失、篡改網(wǎng)站界面、造成網(wǎng)絡(luò)擁堵等問題。面對網(wǎng)絡(luò)安全嚴峻的形勢，安全的校園網(wǎng)防御模型設(shè)計迫在眉睫。常用的兩道防線安全防御模型需要增加主動防御技術(shù)來保證校園網(wǎng)的安全，我們用WPDRRC模型作為我校安全防御體系的基礎(chǔ)，并在此體系基礎(chǔ)上配合使用主動防御技術(shù)，改造我校校園網(wǎng)，構(gòu)建一個適合當前網(wǎng)絡(luò)環(huán)境的黨校校園安全模型。

4.1影響校園網(wǎng)絡(luò)安全因素分析

影響網(wǎng)絡(luò)安全性的因素較多，技術(shù)因素僅僅是一方面，同時網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全策略部署、實施以及網(wǎng)絡(luò)管理方式也是影響網(wǎng)絡(luò)安全的重要因素。我們通過對制約網(wǎng)絡(luò)安全的關(guān)鍵因素逐一分析來設(shè)計基于WPDRRC模型為基礎(chǔ)的主動防御校園網(wǎng)絡(luò)安全體系。

（1）網(wǎng)絡(luò)管理員

管理員是設(shè)計以人為中心的主動安全防御體系的關(guān)鍵，管理員不但負責校園內(nèi)網(wǎng)設(shè)置所有用戶權(quán)限，監(jiān)控網(wǎng)絡(luò)出入數(shù)據(jù)，制定網(wǎng)絡(luò)安全防御策略等基本工作，更重要的是根據(jù)網(wǎng)絡(luò)運行狀況預(yù)測網(wǎng)絡(luò)漏洞和潛在的網(wǎng)絡(luò)威脅，提前防范網(wǎng)絡(luò)危險。管理員在校園局域網(wǎng)中的高權(quán)限和管理員的網(wǎng)絡(luò)技術(shù)水平都是網(wǎng)絡(luò)管理員成為校園安全防御體系中的重要因素。

（2）校園網(wǎng)用戶

校園網(wǎng)用戶群大，網(wǎng)絡(luò)安全防護水平不高，安全意識較低。面對校園網(wǎng)用戶在使用網(wǎng)絡(luò)時凸顯出的問題，我們設(shè)計的校園網(wǎng)防御體系中使用者的安全意識和安全技術(shù)不可或缺，要及時對校園網(wǎng)用戶進行安全意識和安全技能培訓(xùn)，提高用戶的安全性。

（3）網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理包括對網(wǎng)絡(luò)中涉及到的軟硬件和管理人員的協(xié)調(diào)調(diào)配，對網(wǎng)絡(luò)資源進行的監(jiān)視、測試、配置、分析、評價和控制。網(wǎng)絡(luò)管理明確了各部門的任務(wù)責任，出現(xiàn)問題時可以及時聯(lián)動處理，將問題傷害降到最低，是網(wǎng)絡(luò)安全的一個重要環(huán)節(jié)。網(wǎng)絡(luò)管理要不斷吸收先進經(jīng)驗，完善自身管理，為保證校園網(wǎng)絡(luò)安全提供合理管理。

（4）網(wǎng)絡(luò)安全技術(shù)

技術(shù)是保證網(wǎng)絡(luò)安全的必要、基本手段。高明的技術(shù)可以有效降低黑客攻擊的成功率，可以補救管理上的缺陷，與合理的安全管理一起提高安全防御能力。網(wǎng)絡(luò)環(huán)境中問題復(fù)雜多變，單一的技術(shù)不能應(yīng)變多種情況，所以現(xiàn)在的技術(shù)要求是一個技術(shù)集合，適應(yīng)多變網(wǎng)絡(luò)安全環(huán)境。技術(shù)成為網(wǎng)安全防御體系中的又一核心。

4.2黨校校園網(wǎng)安全防御體系設(shè)計

上節(jié)已對常用的網(wǎng)絡(luò)安全技術(shù)做了相應(yīng)的介紹和研究，這里我們根據(jù)有關(guān)技術(shù)設(shè)計符合我校校園網(wǎng)現(xiàn)狀的安全防御體系模型。從校園網(wǎng)的網(wǎng)上數(shù)據(jù)信息安全、用戶信息安全、攻擊阻隔和網(wǎng)絡(luò)通暢等網(wǎng)絡(luò)安全因素考慮，設(shè)計我校校園網(wǎng)安全防御系統(tǒng)結(jié)構(gòu)，如圖2所示。

圖2 校園網(wǎng)安全防御系統(tǒng)

從圖2看出，我校設(shè)計的校園網(wǎng)安全防御體系分為管理模塊、服務(wù)模塊以及網(wǎng)絡(luò)安全核心三大部分。這三者之間的數(shù)據(jù)通信采用SSL通信，SSL(Secure Socket Layer) 是在傳輸層對網(wǎng)絡(luò)連接進行加密，利用數(shù)據(jù)加密技術(shù)，確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會被截取及竊聽。管理模塊包括了配置管理、系統(tǒng)監(jiān)控和日志管理三部分。網(wǎng)絡(luò)管理模塊中根據(jù)網(wǎng)絡(luò)安全配置，實時調(diào)整系統(tǒng)的安全配置，對安全管理系統(tǒng)中所有監(jiān)控數(shù)據(jù)進行控制，使盡可能多潛在威脅更好的得到控制，有利于抵御黑客攻擊。服務(wù)模塊的核心是網(wǎng)絡(luò)管理員，實時監(jiān)控網(wǎng)絡(luò)狀態(tài)，調(diào)整網(wǎng)絡(luò)防護策略，在線部署網(wǎng)絡(luò)安全管理措施。服務(wù)模塊還有自動處理突發(fā)狀況的功能，應(yīng)用IPS技術(shù)實現(xiàn)主動防御。網(wǎng)絡(luò)安全核心模塊是綜合應(yīng)用網(wǎng)絡(luò)安全先進技術(shù)的中心模塊。這個模塊布置三層安全防御，即入侵保護系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)和防火墻技術(shù)，同時配合主動保護監(jiān)測，實時監(jiān)控內(nèi)外網(wǎng)數(shù)據(jù)流量變化，配合WPDRRC模型，加上主動防御技術(shù)，實現(xiàn)主動防御的校園網(wǎng)安全體系設(shè)計，提高校園網(wǎng)安全厚度。

5 結(jié)語

本文從研究校園網(wǎng)安全防御體系中常見技術(shù)入手，研究技術(shù)的同時，全面考慮影響網(wǎng)絡(luò)安全因素，為設(shè)計黨校校園網(wǎng)安全防御體系積累技術(shù)準備。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜性增強，單一的安全防御技術(shù)都有各自的漏洞，惡意的網(wǎng)絡(luò)攻擊常常通過安全漏洞對局域網(wǎng)造成巨大危害，所以技術(shù)的配合使用成為網(wǎng)絡(luò)安全的技術(shù)發(fā)展趨勢。只有互相取長補短，才能更好的保證網(wǎng)絡(luò)的安全。所以在校園網(wǎng)中，設(shè)計一個安全防御體系往往將這些技術(shù)配合使用，從而更加有效抵御網(wǎng)絡(luò)中黑客的攻擊，保證校園網(wǎng)的安全運行。

[1]周曉娟.校園網(wǎng)信息化升級的樣板工程[J].計算機網(wǎng)絡(luò)，2010.

[2]胡任遠.關(guān)于數(shù)字化校園網(wǎng)建設(shè)的探討[J].電子世界, 2013.

[3]李鎖剛.CERNET主干網(wǎng)穩(wěn)步運行[J].中國教育網(wǎng)絡(luò), 2013.

[4]段秀紅.淺談CERNET網(wǎng)絡(luò)發(fā)展的競爭優(yōu)劣勢[J].科技創(chuàng)新導(dǎo)報, 2012.

[5]許美玉.校園網(wǎng)安全建設(shè)的研究[J].中國電子商務(wù), 2013.

[6]代云韜.計算機網(wǎng)絡(luò)安全的影響因素與對策分析[J].電子測試, 2013.

[7]王洪禮.計算機網(wǎng)絡(luò)安全的現(xiàn)狀和防范[J].信息安全與技術(shù), 2012.

[8]蔣承延.網(wǎng)絡(luò)傳輸中的數(shù)據(jù)加密技術(shù)[J].重慶電力高等?？茖W(xué)校學(xué)報, 1999.

[9]梁學(xué)東, 王柯柱.DES數(shù)據(jù)加密標準在無線數(shù)據(jù)通信網(wǎng)絡(luò)中的應(yīng)用[J].哈爾濱鐵道科技, 1999.

[10]宋穎杰.非對稱加密技術(shù)[J].信息網(wǎng)絡(luò)安全, 2004.