李璨

摘? 要：學(xué)校網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息化的需求不斷增加，高校信息化領(lǐng)域的應(yīng)用也日益增多，這讓學(xué)校的教育、科學(xué)研究和管理水平顯著提高。信息化水平的提高考驗(yàn)了學(xué)校網(wǎng)絡(luò)和系統(tǒng)信息安全應(yīng)用的安全性。這就需要學(xué)校網(wǎng)絡(luò)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)來(lái)確保學(xué)校網(wǎng)絡(luò)的安全。本文探討了校園網(wǎng)絡(luò)的現(xiàn)狀及校園網(wǎng)絡(luò)安全措施的內(nèi)容，希望可以為有關(guān)人士提供此領(lǐng)域研究的幫助。

關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò)安全監(jiān)測(cè);控制系統(tǒng)設(shè)計(jì)

隨著信息技術(shù)的發(fā)展。人們對(duì)網(wǎng)絡(luò)的需求不斷增加，各種信息化應(yīng)用不斷出現(xiàn)，讓網(wǎng)絡(luò)安全管理面臨著重大的挑戰(zhàn)。雖然很多高校都部署了網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，但目前很多高校校園網(wǎng)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)總體上還不完善，鑒于這種校園網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題顯然是校園的一項(xiàng)重大困難，導(dǎo)致了很多安全問(wèn)題的出現(xiàn)。

一、校園網(wǎng)的安全現(xiàn)狀分析

1.1用戶故意破壞

一些用戶擁有特定的網(wǎng)絡(luò)技術(shù)，并試圖用其他攻擊技術(shù)攻擊學(xué)校網(wǎng)絡(luò)，滿足自身的好奇心或滿足感，擾亂學(xué)校網(wǎng)絡(luò)的正常運(yùn)行。

1.2缺乏網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全設(shè)備價(jià)格昂貴，私立學(xué)校通常不愿意購(gòu)買功能強(qiáng)大的設(shè)備，并且在網(wǎng)絡(luò)監(jiān)控和安全方面容易出現(xiàn)缺陷[1]。

1.3校園網(wǎng)管理人員經(jīng)驗(yàn)少

由于學(xué)校網(wǎng)絡(luò)管理員人數(shù)有限，管理人員還可能存在缺乏管理經(jīng)驗(yàn)的情況，如果出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，無(wú)法及時(shí)處理。

1.4用戶安全意識(shí)薄弱

教師和學(xué)生對(duì)計(jì)算機(jī)網(wǎng)絡(luò)沒(méi)有深入的了解，安全意識(shí)薄弱，甚至都注意不到計(jì)算機(jī)中毒的情況。

二、校園網(wǎng)安全技術(shù)分析

2.1上網(wǎng)行為的數(shù)據(jù)采集分析技術(shù)

由于學(xué)校網(wǎng)絡(luò)的用戶群龐大，學(xué)校網(wǎng)絡(luò)和服務(wù)器被攻擊是不可避免的。作為學(xué)校網(wǎng)絡(luò)，有必要跟蹤人們?cè)L問(wèn)學(xué)校網(wǎng)絡(luò)的記錄，以便為追蹤網(wǎng)絡(luò)安全事件打下基礎(chǔ)。目前，收集上網(wǎng)行為數(shù)據(jù)的主要有被動(dòng)式數(shù)據(jù)采集技術(shù)。這種技術(shù)通過(guò)直接訪問(wèn)客戶端與數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行數(shù)據(jù)交換，以各種信息的形式收集上網(wǎng)行為的相關(guān)數(shù)據(jù)，即數(shù)據(jù)可以進(jìn)行結(jié)構(gòu)化轉(zhuǎn)換，將其輸入到數(shù)據(jù)庫(kù)當(dāng)中，最后從一組數(shù)據(jù)展開(kāi)具體情況的分析。它具有實(shí)時(shí)數(shù)據(jù)采集、實(shí)時(shí)周期短、效率高等特點(diǎn)。

2.2防火墻技術(shù)

學(xué)校網(wǎng)絡(luò)的穩(wěn)定性和安全性經(jīng)常受網(wǎng)絡(luò)攻擊的影響。防火墻技術(shù)可以從應(yīng)用層防止部分網(wǎng)絡(luò)攻擊，有效阻止非法連接和非法入侵，可以保證學(xué)校網(wǎng)絡(luò)的安全。采用反向代理模式，可以在服務(wù)器上降低負(fù)載，也可以阻止惡意請(qǐng)求和非法攻擊，并隱藏真實(shí)的服務(wù)器地址以確保服務(wù)器安全。

2.3訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)意味著防止未經(jīng)授權(quán)訪問(wèn)資源。這個(gè)過(guò)程是，學(xué)校網(wǎng)絡(luò)的用戶必須在獲得認(rèn)證后訪問(wèn)服務(wù)器，才能訪問(wèn)與學(xué)校相關(guān)的資源或服務(wù)。目前主要是角色訪問(wèn)控制，不同的用戶身份有不同的權(quán)限訪問(wèn)不同的內(nèi)容[2]。

2.4網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)

校園網(wǎng)是典型的校園專用網(wǎng)，具有明確的時(shí)空規(guī)律和高度集中的網(wǎng)絡(luò)需求。網(wǎng)絡(luò)流量監(jiān)測(cè)是分析學(xué)校網(wǎng)絡(luò)網(wǎng)絡(luò)性能的基礎(chǔ)。但是，學(xué)校依靠Ping等指揮工具來(lái)監(jiān)測(cè)學(xué)校網(wǎng)絡(luò)的活動(dòng)，不足以監(jiān)控學(xué)校網(wǎng)絡(luò)。目前，學(xué)校網(wǎng)絡(luò)主要使用基于SNMP的技術(shù)來(lái)監(jiān)控流量。使用基于SNMP的流量監(jiān)控技術(shù)，不局限于網(wǎng)絡(luò)速度、單鏈路，它是基于TCP/IP協(xié)議的。管理員可以用SNMP技術(shù)請(qǐng)求有關(guān)設(shè)備的信息，可以查詢其變化值和網(wǎng)絡(luò)狀態(tài)。再就是，格式簡(jiǎn)單，易于分析，比較容易實(shí)現(xiàn)。

三、網(wǎng)絡(luò)安全監(jiān)測(cè)與控制系統(tǒng)的設(shè)計(jì)

3.1上網(wǎng)行為分析模塊

用戶可以使用http請(qǐng)求服務(wù)器訪問(wèn)資源，系統(tǒng)通過(guò)設(shè)置的規(guī)則攔截部分請(qǐng)求，如果數(shù)據(jù)包被判定為惡意訪問(wèn)，數(shù)據(jù)包就會(huì)被丟棄。收集信息后，獲得訪客的IP地址，并通過(guò)查閱數(shù)據(jù)庫(kù)信息表中的用戶數(shù)據(jù)，并使用用戶的IP數(shù)據(jù)計(jì)算當(dāng)前1分鐘時(shí)間的數(shù)據(jù)，來(lái)評(píng)估是否超過(guò)了訪問(wèn)次數(shù)。通常，只有惡意用戶才能以每秒數(shù)千次的高速來(lái)訪問(wèn)服務(wù)器。為此，必須攔截這種消耗服務(wù)器資源的訪問(wèn)。本系統(tǒng)可以根據(jù)實(shí)際情況設(shè)置每分鐘的惡意訪問(wèn)次數(shù)，如果超出設(shè)定時(shí)間的訪問(wèn)次數(shù)被視為惡意攻擊，則表示拒絕網(wǎng)絡(luò)服務(wù)。

3.2防火墻模塊

當(dāng)防火墻實(shí)現(xiàn)客戶端向服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求時(shí)，Web應(yīng)用程序防火墻應(yīng)根據(jù)相關(guān)的攻擊檢測(cè)規(guī)則檢查服務(wù)器接收的數(shù)據(jù)，以評(píng)估請(qǐng)求的數(shù)據(jù)是否包含非法請(qǐng)求或攻擊。最后，在規(guī)則配置文件中配置規(guī)則，以便對(duì)各種惡意攻擊進(jìn)行檢測(cè)，設(shè)置檢測(cè)攻擊、攔截特定字段、上載文件和傳輸數(shù)據(jù)的規(guī)則，并記錄有關(guān)訪問(wèn)的信息。在策略方面，主要是對(duì)非法字符和非法IP地址的控制。網(wǎng)絡(luò)病毒在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中有很多形式，主要是一些混亂的字符串，借助防火墻，可以實(shí)現(xiàn)對(duì)非法字符的控制，保護(hù)各種數(shù)據(jù)，限制和攔截某些域名可以減少計(jì)算機(jī)上某些病毒的入侵，從而保護(hù)計(jì)算機(jī)?？刂品欠↖P地址，為網(wǎng)絡(luò)系統(tǒng)安全發(fā)揮保護(hù)作用。當(dāng)一些惡意IP地址連接到網(wǎng)絡(luò)時(shí)，很可能會(huì)將惡意軟件或數(shù)據(jù)包發(fā)送到計(jì)算機(jī)。管理員可以立即進(jìn)行分析和處理，以確保網(wǎng)絡(luò)正常運(yùn)行。

3.3上網(wǎng)行為數(shù)據(jù)分析的驗(yàn)證

旁路模式將所有網(wǎng)絡(luò)數(shù)據(jù)流量鏡像到服務(wù)器，由服務(wù)器對(duì)獲取到校園網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)。系統(tǒng)記錄用戶的所有相關(guān)信息，如源地址、目的地址、訪問(wèn)路徑、訪問(wèn)內(nèi)容、訪問(wèn)持續(xù)時(shí)間等。

3.4防火墻功能的驗(yàn)證

要檢查防火墻是否能有效阻止惡意攻擊，請(qǐng)?jiān)诓粏?dòng)防火墻模塊的情況下進(jìn)行實(shí)驗(yàn)，模擬各種攻擊、惡意上傳大文件展開(kāi)測(cè)試。測(cè)試均顯示成功，這意味著系統(tǒng)不會(huì)對(duì)惡意攻擊進(jìn)行攔截。通過(guò)查看有限的錯(cuò)誤日志可以看出，觸犯了設(shè)定的策略而被限制，達(dá)到阻止惡意攻擊的目的。

3.5訪問(wèn)控制模塊

客戶端需要請(qǐng)求帳號(hào)和密碼以及登錄的信息，并且通常以消息的形式發(fā)送給服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器會(huì)比較相關(guān)數(shù)據(jù)并請(qǐng)求登錄數(shù)據(jù)，并評(píng)估其是否合法，以及訪問(wèn)這些資源的權(quán)限角色是否合法，確保這些資源的被正確使用，并防止在線資源的非法濫用。管理員將合法用戶的信息存儲(chǔ)在身份驗(yàn)證系統(tǒng)中。當(dāng)用戶的客戶端可以訪問(wèn)源時(shí)，用戶必須首先通過(guò)身份驗(yàn)證來(lái)確定自己的身份，身份驗(yàn)證成功后，通過(guò)訪問(wèn)控制列表訪問(wèn)用戶身份。

四、結(jié)語(yǔ)

總的來(lái)說(shuō)，對(duì)學(xué)校網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行分析和研究，制定相關(guān)安全解決方案，并完善系統(tǒng)的功能實(shí)現(xiàn)，可以實(shí)現(xiàn)校園網(wǎng)絡(luò)智能化的控制和管理。

參考文獻(xiàn)：

[1]李業(yè)謙.基于校園網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測(cè)與控制系統(tǒng)的設(shè)計(jì)[J].信息記錄材料，2020，21（06）：231-233.DOI：10.16009/j.cnki.cn13-1295/tq.2020.06.140.

[2]劉珊珊.高校校園網(wǎng)網(wǎng)絡(luò)監(jiān)控體系設(shè)計(jì)與解決方案[D].華南理工大學(xué)，2013.