王洪亮

摘 要：隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，校園網(wǎng)絡(luò)建設(shè)已經(jīng)成為高校教育信息化建設(shè)的關(guān)鍵。網(wǎng)絡(luò)在教育事業(yè)中具有非常重要的作用，隨著網(wǎng)絡(luò)在教育中的應(yīng)用不斷加深，網(wǎng)絡(luò)的安全問(wèn)題也開(kāi)始逐漸凸顯。因?yàn)榛ヂ?lián)網(wǎng)具有開(kāi)發(fā)性、共享性，所以安全威脅十分嚴(yán)重?；诖耍绾伪ＷC高校校園安全，成了高校網(wǎng)絡(luò)發(fā)展的重點(diǎn)。文章對(duì)高校的計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅進(jìn)行了分析，研究了網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。

關(guān)鍵詞：校園網(wǎng);高校;網(wǎng)絡(luò)安全;數(shù)據(jù)挖掘;入侵檢測(cè)

0? ? 引言

高校構(gòu)建信息安全防護(hù)體系成為解決網(wǎng)絡(luò)安全問(wèn)題的關(guān)鍵，在高校中利用技術(shù)手段，構(gòu)建完整的網(wǎng)絡(luò)信息安全解決方案，建立入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系等，可以有效地提高高校網(wǎng)絡(luò)安全性[1]。

1? ? 高校校園網(wǎng)絡(luò)安全問(wèn)題

1.1? 高校校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)非常重要，所以必須加大校園網(wǎng)絡(luò)建設(shè)方面的投入，用于實(shí)現(xiàn)基礎(chǔ)設(shè)施改造、主干帶寬提升等。目前，校園網(wǎng)中的主干帶寬通?？梢詫?shí)現(xiàn)100 M光纖桌面以及1 000 M光纖樓宇，校園網(wǎng)主要以千兆以太網(wǎng)為組網(wǎng)方式，網(wǎng)絡(luò)拓?fù)鋵涌梢苑譃榫W(wǎng)絡(luò)接入層、網(wǎng)絡(luò)匯聚層以及網(wǎng)絡(luò)核心層。另外，通過(guò)網(wǎng)絡(luò)技術(shù)和光纖能夠?qū)崿F(xiàn)教學(xué)科研、師生校園生活數(shù)字化以及教學(xué)行政管理信息化[2]。

1.2? 高校校園網(wǎng)絡(luò)安全OSI模型安全技術(shù)分析

網(wǎng)絡(luò)OSI模型安全技術(shù)包括實(shí)體安全、應(yīng)用安全以及網(wǎng)絡(luò)信息安全3個(gè)部分。其中，實(shí)體安全為內(nèi)部機(jī)房的物理設(shè)備、線路安全等;應(yīng)用安全主要包括應(yīng)用軟件、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)安全;網(wǎng)絡(luò)信息安全包括網(wǎng)絡(luò)信息的準(zhǔn)確性與安全性。

1.2.1? 物理安全

物理安全包括設(shè)備和環(huán)境安全，是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵，并且網(wǎng)絡(luò)安全和網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)資源之間存在影響，需要做好防火、防水以及防盜等工作。另外，物理安全對(duì)環(huán)境有較高的要求，電源故障同樣會(huì)導(dǎo)致服務(wù)器發(fā)生數(shù)據(jù)丟失、設(shè)備損害等嚴(yán)重后果。

1.2.2? 鏈路層

在OSI體系結(jié)構(gòu)的鏈路層涉及兩個(gè)危險(xiǎn)因素，分別為ARP協(xié)議欺騙與內(nèi)部嗅探。其中，ARP協(xié)議欺騙是利用ARP欺騙協(xié)議偽造數(shù)據(jù)包，從而對(duì)局域網(wǎng)通信造成影響，甚至?xí)?dǎo)致局域網(wǎng)癱瘓。而內(nèi)部嗅探則是攻擊者通過(guò)內(nèi)部嗅探，利用網(wǎng)卡竊取在局域網(wǎng)中傳輸?shù)拿魑臄?shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)還原、解析的方式獲取數(shù)據(jù)信息。

1.2.3? 應(yīng)用層安全

面向客戶(hù)，網(wǎng)絡(luò)應(yīng)用層體現(xiàn)在服務(wù)器提供信息服務(wù)這一方面，而校園網(wǎng)絡(luò)服務(wù)器包括數(shù)據(jù)庫(kù)服務(wù)器、WWW服務(wù)器以及FTP服務(wù)器等，攻擊者利用服務(wù)器漏洞發(fā)動(dòng)攻擊，甚至還會(huì)篡改服務(wù)器數(shù)據(jù)，嚴(yán)重威脅網(wǎng)絡(luò)數(shù)據(jù)信息的安全。

1.2.4? 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的協(xié)議是TCP/IP協(xié)議，網(wǎng)絡(luò)基本協(xié)議是TCP/IP 協(xié)議，但是由于TCP/IP 協(xié)議自身的缺陷、漏洞，網(wǎng)絡(luò)層受到攻擊的可能性非常大。所以，網(wǎng)絡(luò)層的安全問(wèn)題還包括地址欺騙、路由欺騙以及端口掃描威脅等。

2? ? 高校校園網(wǎng)絡(luò)安全技術(shù)及應(yīng)用

2.1? 入侵檢測(cè)技術(shù)

入侵是指對(duì)目標(biāo)系統(tǒng)資源進(jìn)行破壞的一種活動(dòng)。入侵檢測(cè)系統(tǒng)是為了檢測(cè)系統(tǒng)內(nèi)部資源、系統(tǒng)外部是否存在非授權(quán)訪問(wèn)、受到破壞等現(xiàn)象。入侵檢測(cè)是一種主動(dòng)防御的防護(hù)措施，通過(guò)采集網(wǎng)絡(luò)資源中的信息對(duì)可能出現(xiàn)的入侵攻擊行為進(jìn)行分析，從而及時(shí)采取防范措施。入侵檢測(cè)技術(shù)的發(fā)展分為基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)、基于主機(jī)的入侵檢測(cè)技術(shù)、基于分布式入侵檢測(cè)技術(shù)等各個(gè)階段[3]。

P2DR模型可以對(duì)網(wǎng)絡(luò)外部、內(nèi)部發(fā)出的攻擊起到一定的防范，是一種綜合立體的防護(hù)體系模型。該模型的系統(tǒng)保護(hù)能夠分為檢測(cè)、響應(yīng)、防護(hù)以及安全策略等，構(gòu)成了一個(gè)完整體系。但隨著信息平臺(tái)的發(fā)展，需利用信息保障體系保障信息平臺(tái)的安全、數(shù)據(jù)安全和服務(wù)安全。安全策略是P2DR模型的重要組成，通過(guò)制定行之有效的安全策略，可以提高網(wǎng)絡(luò)安全運(yùn)行的穩(wěn)定性。除此之外，防護(hù)是采用相關(guān)技術(shù)制定安全保護(hù)方案，利用傳統(tǒng)的安全技術(shù)開(kāi)展安全防護(hù)。而傳統(tǒng)安全技術(shù)主要包括訪問(wèn)控制技術(shù)、加密解密技術(shù)、防火墻技術(shù)、數(shù)字認(rèn)證技術(shù)等。

檢測(cè)技術(shù)是通過(guò)入侵檢測(cè)技術(shù)和漏洞掃描技術(shù)檢測(cè)系統(tǒng)，同時(shí)建立資源數(shù)據(jù)庫(kù)，24 h的檢測(cè)和監(jiān)控網(wǎng)絡(luò)能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中潛在的威脅，網(wǎng)絡(luò)安全需要面對(duì)時(shí)時(shí)刻刻、無(wú)處不在的風(fēng)險(xiǎn)，而安全風(fēng)險(xiǎn)檢測(cè)能夠檢測(cè)到外部威脅以及內(nèi)部系統(tǒng)的脆弱性，可以在遇到突發(fā)情況時(shí)及時(shí)做出應(yīng)對(duì)，避免突發(fā)事件對(duì)系統(tǒng)產(chǎn)生較大威脅。例如，在服務(wù)器受到攻擊的情況下，需要立即關(guān)閉服務(wù)器，調(diào)整安全措施。入侵檢測(cè)系統(tǒng)是P2DR模型中的一個(gè)關(guān)鍵組成。

如圖1所示為CIDF入侵檢測(cè)模型。在這一模型中，事件是入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)，而事件既可以是數(shù)據(jù)包，也可以是日志信息。CIDF為公共系統(tǒng)檢測(cè)框架，是入侵檢測(cè)系統(tǒng)通用的模型之一，將該系統(tǒng)分為事件產(chǎn)生器、事件分析器、響應(yīng)單元以及事件數(shù)據(jù)庫(kù)4個(gè)部分。其中，事件產(chǎn)生器則是在計(jì)算機(jī)網(wǎng)絡(luò)中獲取信息，或是在審計(jì)日志中得到響應(yīng)信息。事件分析器是分析時(shí)間產(chǎn)生器獲取的數(shù)據(jù)包或其他的日志信息，并進(jìn)行總結(jié)。響應(yīng)單元?jiǎng)t是對(duì)事件分析器結(jié)果進(jìn)行報(bào)警響應(yīng)，以此來(lái)避免系統(tǒng)受到破壞。而事件數(shù)據(jù)庫(kù)則能夠儲(chǔ)存經(jīng)過(guò)事件產(chǎn)生器和事件分析器處理的數(shù)據(jù)或是未經(jīng)處理的數(shù)據(jù)，并且還擁有檢索功能，不僅可以是一個(gè)數(shù)據(jù)庫(kù)，也能夠成為文件形式。

2.2? 防護(hù)墻技術(shù)

防火墻是放置在不同網(wǎng)絡(luò)的通道，可以用來(lái)控制數(shù)據(jù)，不同網(wǎng)絡(luò)主要包括可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)。防火墻系統(tǒng)可以分為代理型防火墻、包過(guò)濾型防火墻等，其中代理型防火墻是利用TCP/IP協(xié)議，使用戶(hù)可以享受到互聯(lián)網(wǎng)服務(wù)，但代理服務(wù)器型防火墻在建立新應(yīng)用方面還存在一定的不足。包過(guò)濾型防火墻重新定義了包過(guò)濾規(guī)則，具有價(jià)格經(jīng)濟(jì)實(shí)惠、設(shè)置方便簡(jiǎn)單的優(yōu)勢(shì)，但是建立包過(guò)濾規(guī)則的復(fù)雜程度較高。作為保護(hù)網(wǎng)絡(luò)安全的一道屏障，防火墻應(yīng)用協(xié)議需要慎重選擇、設(shè)置，基于此提高并保障網(wǎng)絡(luò)環(huán)境的安全。在網(wǎng)絡(luò)安全檢測(cè)中，高校一般情況下使用硬件防火墻，因?yàn)閷?zhuān)業(yè)網(wǎng)絡(luò)設(shè)備具有良好的性能與效率，并且安全獨(dú)立性較高。防火墻在配置過(guò)程中，需詳細(xì)設(shè)置服務(wù)器端口，Windows服務(wù)器系統(tǒng)開(kāi)啟端口數(shù)量較多，因此需及時(shí)關(guān)閉不使用的端口或存在威脅的端口。而DMZ可以為外界網(wǎng)絡(luò)提供服務(wù)，外網(wǎng)在訪問(wèn)DMZ時(shí)，需要對(duì)內(nèi)部服務(wù)器地址和DMZ 外部地址進(jìn)行轉(zhuǎn)換，并且在進(jìn)行轉(zhuǎn)換時(shí)，通過(guò)防火墻實(shí)現(xiàn)設(shè)置目的。防火墻基于入侵檢測(cè)系統(tǒng)，能夠有效地防范高校網(wǎng)絡(luò)的外部風(fēng)險(xiǎn)，保護(hù)節(jié)點(diǎn)的網(wǎng)絡(luò)入口。而入侵檢測(cè)系統(tǒng)則是檢測(cè)內(nèi)部網(wǎng)絡(luò)，監(jiān)視上網(wǎng)行為。

3? ? 結(jié)語(yǔ)

綜上所述，我國(guó)現(xiàn)階段各行各業(yè)都依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)管理數(shù)據(jù)，離不開(kāi)計(jì)算機(jī)的智能和強(qiáng)大的記錄、運(yùn)算等功能，高校校園也不例外。也正是因?yàn)楦餍懈鳂I(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的需求和依賴(lài)過(guò)高，才讓很多不法分子有機(jī)可圖。由于許多因素都會(huì)對(duì)高校的網(wǎng)絡(luò)環(huán)境產(chǎn)生安全威脅，阻礙高校教學(xué)活動(dòng)，所以，高校教育信息化建設(shè)需要一套完整的網(wǎng)絡(luò)安全體系作為保障，而入侵檢測(cè)技術(shù)與防火墻技術(shù)能夠避免出現(xiàn)計(jì)算機(jī)系統(tǒng)漏洞，確保使用者的操作規(guī)范，解決了高校網(wǎng)絡(luò)安全問(wèn)題。

[參考文獻(xiàn)]

[1]郭可.高校校園網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[J].電腦知識(shí)與技術(shù)，2016（14）：19-21.

[2]楊瑜.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].數(shù)碼世界，2020（9）：193-194.

[3]紀(jì)漢杰，李嘯林，張帆，等.基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].計(jì)算機(jī)科學(xué)與應(yīng)用，2019（9）：1703-1707.

（編輯 王雪芬）