浅谈高校校园网安全技术

张 君阳

（南阳医学高等专科学校 网络中心，河南南阳 473000 ）

摘 要： 当今的信息时代网络技术发展迅猛，高校校园网安全问题异常严峻，本文列举出影响校园网安全的因素、介绍了常用的网络安全技术，阐述了校园网安全解决方案，以便根据安全策略制定出合理的网络安全体系结构，真正做到确保高校校园网系统的安全。

关键词： 网络安全；防火墙；入侵检测；网络安全策略

    建好校园网，构建现代化教育环境，是高校现代化建设的重要组成部分。对于逐步实现网络化和信息化办公、教学、科研、学术交流等工作的大学校园来说，校园网提供了有力的现代化手段，但是计算机网络的开放性、互连性、连接形式的多样性，使得从技术和管理方面来讲安全问题解决起来变的较为困难。为此，希望网络安全技术能全方位地处理各种不安全威胁，既适应学校教学、科研、管理、学术交流和师生访问 Internet 的需要，又能确保网络安全，这己成为大学网络建设中的重大问题。

1 高校校园网安全问题

    校园计算机网络系统的安全因素很多，主要来自外部攻击和内部管理疏漏。

1.1 来自校园内部和外部的各类非法入侵

    各类非法入侵的方式和手段是多样的。有选择地破坏信息的有效性和完整性，导致数据丢失和泄密、系统资源非法占有等；在不影响网络正常工作的情况下，截获、窃取、破译等以获得机密信息；拒绝服务攻击，此种攻击非法占用系统资源，导致系统服务停止甚至崩溃；通过主机之间的信任关系实现 IP 欺骗攻击； IP 地址盗用，例如静态修改 IP 地址和成对修改 IP-MAC 地址导致源 IP 地址欺骗或攻击，这在大学校园中比较普遍 ( 恶意或无意 ) ；针对各种协议的欺骗。

1.2 计算机病毒的入侵

    计算机病毒是一类恶意攻击性程序隐藏在计算机系统软件或数据资源中，在软件运行或数据资源使用过程中进行繁殖、生存并传染。大学在应用网络的便利信息交换特性的同时，病毒也正在充分利用网络的特性来达到它的传播目的。

1.3 内部管理疏漏

    校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。主要表现为从上到下对网络安全的认识不足，将网络系统作为一项纯技术或工程来实施，建网之初无全方位的安全管理解决方案；网络系统管理员只将精力集中于 IP 的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而不去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等；只考虑各类应用软件的实用性，以期方便、快捷、高效地使用网络来获取有效的信息资源，而不考虑信息安全与否。

2 网络安全技术

2.1 身份认证技术

    身份认证是对通信方进行身份确认的过程，用户向系统请求服务时要出示自己的身份证明。身份认证一般以电子技术、生物技术或电子技术与生物技术相结合来阻止非授权用户进入。常用的身份认证方法有口令认证法、基于“可信任的第三方”的认证机制和智能卡技术等。

2.2 防火墙

    防火墙可以对内外网络或者内部网络的不同信任域之间进行隔离，使所有经过防火墙的网络通信接受设定的访问控制。目前，防火墙技术主要分为包过滤、应用级网关、代理服务器和状态监测等。

2.3 VPN ——数据加密通道

    VPN ( 虚拟专网 ) 技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。 VPN 技术的核心是隧道技术，将专用网络的数据加密后，透过虚拟的公用网络隧道进行传输，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取，从而防止敏感数据被窃。

2.4 数据加密

    与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性，防止绝密信息被外部破坏所采用的主要技术手段之一。计算机网络的传输加密与通信加密类似，加密方式分为链路层加密、网络层加密、传物层加密和应用层加密等。

2.5 入侵检测系统

    入侵检测技术通过在计算机网络或计算机系统的关键点采集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统 (IDS, Intrusion Detection System) 一般分为基于主机的、基于网络的和基于网关的入侵检测系统。

2.6 入侵防御系统

    从功能上来看， IDS 是一种并联在网络上的设备，绝大多数 IDS 系统都是被动的，只能被动地检测网络遭到了何种攻击，阻断攻击能力非常有限，一般只能通过发送 TCP reset 包或联动防火墙来阻止攻击。也就是说，在攻击实际发生之前，它们往往无法预先发出替报。入侵防御系统 (IPS, Intrusion Prevention System ，也可称为 IDP) 则是一种主动积极的入侵防范、阻止系统，旨在预先对入侵活动和攻击性网络流进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出替报。它部署在网络的进出口处，当它检测到攻击企图后会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统一般分为基于主机的、基于网络的和基于应用的入侵防护系统。

2.7 反病毒技术

    从反病毒技术的发展逻辑讲，早期 DOS 操作系统的简单性导致了计算机病毒也相对简单，病毒一般只会感染文件或引导区，针对病毒的这种情况就出现了特征码杀毒技术。由于安全性较高和界面友好的 Windows 操作系统的出现，人们更加依赖电脑，这时，病毒也开始进化，变得更复杂，于是，反病毒产品中出现了实时监控系统。 CIH 病毒技术成熟后，越来越多的病毒作者开始编写能破坏硬件的病毒，而 CIH 病毒本身也出现了多个版本。为了解决病毒的善后问题，反病毒产品中就又融合进了硬盘备份恢复系统，在用户硬盘受到毁灭后仍能恢复关键数据。后来，邮件病毒产生了，大重的垃圾邮件使人们的工作受到了很大的影响 .

    为了对付这种情况，邮件系统出现了，它会在人们收邮件的时候直接对邮件进行扫描，只要发现病毒就会直接删除病毒邮件。网络的发展使得黑客攻击变得普遍，于是，反病毒产品中就又融合了能够防止黑客的个人防火墙功能。反病毒产品就是这样根据病毒的发展一步步地进行功能融合，造就了今天多功能融合的产品。

3 校园计算机网络安全解决方案

    网络安全管理不仅仅是一个技术问题，而是人——法律——网络技术的综合体。完整的网络安全解决方案必须合理地协调法律、技术和管理三种手段，一定要在网络建设之初作好规划，与硬件和应用系统进行同步建设。

3.1 网络系统层次化安全规则

    依据网络 OSI 的七层模型，网络安全贯穿于整个七层模型。针对网络系统实际运行的 TCP/IP 协议，将安全规则分为数据链路层安全、网络层安全、传输层安全和应用层安全。

    数据链路层安全主要防止物理通路的损坏、窃听、对物理通路的攻击等，确定哪些地址的出现不正常。网络层安全规则需保证网络只给授权的客户使用授权的服务，保证网络路由正确，从而避免被拦截或监听，并应根据网络层实施的攻击导出攻击手段识别规则。传输层安全规则，在其上有多种现存协议，其中有些协议有较严重的安全问题，在这一层需检查被禁止的应用层协议。应用层安全规则，应用系统的安全与系统设计和实现关系密切，应用系统使用应用平台提供的安全服务来保证基本安全，且对不同的应用协议，需要对会话内容根据不同的安全规则进行分析。

3.2 校园计算机网络安全策略

    校园计算机网络建设之初，我们也不曾重视过安全问题 . 通过多年的运行体会我们提出了“层层设防，齐抓控管，以防为主、防惩结合”安全解决方案。

3.2.1 网络层策略

    在网络层限制访问，设一道硬件防火墙，是最基本的安全设施。该防火墙综合网络级包过滤、应用级代理服务器、动态电路级包过滤、多级和动态过滤、代理功能、中立区 (DMZ) ；将网络同 HITP,FTP,DNS 或 Mail 等服务相隔离、虚拟专用网（ VPN ）、广泛的网络协议支持、访问记录、传输定制；多优先级以保护执行重要任务的应用等技术；网络层的安全检测设施，主要是防黑客的攻击，采用防黑客软件 . 它共分四层，基于 IP 包的过滤和防范、基于内存的查杀和清除、基于文件的查杀和清除、基于邮件的查杀和过滤，来实现层层设防、以防为主。

3.2.2 应用层策略

    在应用层应建立全校的电子身份认证系统；实现全校资源的统一管理、统一授权，即对全校用户和资源进行集中的授权管理；这一步正在规划当中，目前各应用系统是分别授权管理，管理和责任落实到部门及人，下层对上层负责，以达到齐抓共管。重要部门的服务器非实时上网，必要时上网进行信息交换，以确保其万无一失。

3.2.3 安全管理策略

    安全管理主要是配合行政手段，从技术上实现安全管理。全校各单位二级网站空间资源、授权管理层层分解直到责任人；对外公布的信息 (BBS 、主页新闻报道等 ) 统一有宣传部门负责管理和审查；对违反校园计算机网络管理有关规定的，从技术和行政给予处罚 ( 封断口、写书面检查、停止上网等 ) ；为了配合上述行政手段，在技术上采取以下措施：

    网络分段。其指导思想是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。通常采用物理分段和逻辑分段相结合的方法来实现对网络系统的安全控制，由网络中心和主节点交换机的访问控制功能和 3 层交换功能来实现。

    交换式集线器到桌面。使 2 个节点之间的数据包不被同一集线器上的其他用户所侦听，这样单播包仅在 2 台机器上传送；进行每台计算机 IP 地址和其网卡 MAC 地址的绑定，防止 IP 的非法使用或计算机的随意换房间，这对学生宿舍上网管理有一定的成效。

    虚拟局域网 (VLAN) 划分。以太网从本质上是基于广播机制，应用交换机和 VLAN 技术后，实际上变为点到点的通讯，这样各 VLAN 之间的计算机不能直接访问。

    VLAN 技术主要有 3 种 : 基于交换机端口的 VLAN ，基于 MAC 的 VLAN 和基于应用协议的 VLAN 。 VLAN 内部的连接采用交换实现，而 VLAN 之间的连接采用路由器实现。基于交换机端口的 VLAN 技术较成熟，各学校根据部门之间业务关系和实际地理位置将整个校园计算机网络划分为若干个 VLAN ，起到一定程度的安全保证。

4 结束语

    一个计算机网络，包括个人、设备、软件、数据等，这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施，即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构，这样才能真正做到整个系统的安全。

[ 参考文献 ]

[1] 谢希仁 . 计算机网络 [M]. 北京 : 电子工业出版社， 1999

[2] 王启智 . 实用 unix 和 internet 安全技术 [M]. 北京 : 电子工业出版社， 1999

[3] 张德庆 .Internet 网络安全管理研究 [J] ．计算机应用 ,2001,21

[4] 王 威，邓 捷，吕 莹 . 网络安全与局域网安全解决方案 [J] ．自动化技术与应用， 2001

[5] 刘克龙，蒙 扬，卿斯汉 . 一种新型防火墙系统 [J] ．计算机学报， 2000

[6] Chi, lawis Cieeo .TCP/IP 路由管理专业参考 [M] ．北京：机械工业出版社， 2002

-- 《中国西部科技.学术》 2007年4期 --