淺談校園網安全技術

李曉熙

【中圖分類號】TN918.91 【文獻標識碼】A 【文章編號】2095-3089（2014）04-0188-01

校園網的安全問題是一個較為復雜的系統工程，從嚴格的意義上來講，沒有絕對安全的網絡系統。在網絡安全日益影響到校園網運行的情況下，我們不能夠去保障校園網絕對的安全，只能說我們要盡一切可能去制止、減小一切非法的訪問和操作，把不安全的因素降到最少，要完善校園網管理制度，對相關的校園網管理人員進行培訓，對學生進行網絡道德的教育，提高公德意識，安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補丁更新系統漏洞，對重要文件要進行備份，從多個方面進行防范，把校園網不安全因素降到最少。

一、物理安全

保證計算機信息系統各種設備的物理安全是保障整個校園網網絡系統安全的前提。

物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：

環境安全：對系統所在環境的安全保護，如區域保護和災難保護；

設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等，通過嚴格管理及提高師生的整體安全意識來實現；

媒體安全：包括媒體數據的安全及媒體本身的安全。

二、網絡安全

網絡安全主要涉及網絡結構的安全和網絡系統的安全。網絡結構安全涉及網絡結構的合理性和可擴展性，網絡系統的安全涉及到訪問控制、入侵檢測、病毒防護、數據的備份等。

1.網絡結構安全

網絡結構的建立要考慮地域環境、現有線路狀況、設備配置與應用情況、網絡維護管理、網絡應用等因素。成熟的網絡結構應具有開放性、標準化、可靠性、先進性和實用性，網絡結構采用分層的體系結構，利于維護管理，利于更高的安全控制和業務發展。

在網絡結構的安全方面，主要考慮網絡結構的優化、路由的優化和可擴展性。

網絡結構的優化，在網絡拓撲上主要考慮冗余鏈路、冗余路由，動態路由協議的安全認證，專用網管鏈路等；

路由的優化，主要涉及到以下幾個方面：防止單點失敗；隔離路由波動；消除循環路由；較小的時延；使用路由認證，保證動態路由的安全等；

可擴展性，網絡發展極為迅速，我們的需求也在不斷提高，當為擴展業務范圍而增加設備時，能夠方便、有效地接入，不至于因網絡結構的局限性，而重新調整整個網絡設備。

2.訪問控制

校園網絡系統的訪問控制可以通過配備訪問控制設備來實現。

對于內部網絡，根據實際的業務數據流向，應劃分不同強度的網絡安全域。通過配置安全的訪問控制策略可以過濾進、出防火墻的數據包；管理進、出網絡的訪問行為；封堵某些禁止的訪問；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。

通過防火墻的規則設置，可以隔離數據庫安全域與其它安全域，實現保護關鍵業務的應用、控制對服務器的訪問、記錄和統計網絡利用數據以及非法使用數據和策略執行等功能。到數據庫安全域的全部通信都受到防火墻的監控，通過防護墻的策略可以設置相應的保護級別，以保證系統的安全。

過濾網絡中不必要傳輸的無用數據。防火墻是一種網關型的設備，各個區域之間的通信，可以通過防火墻的添加規則策略保障，如果在防火墻上添加一些有關重要應用的策略，就可以過濾掉部分無用的信息，只要網絡中傳輸必要的應用數據，比如封閉目前常見的蠕蟲病毒使用的端口。

防火墻具有流量控制的特性，可以依據應用來限制流量，來調整鏈路的帶寬利用。如：在網絡中，有數據庫調用應用、域登陸應用等等，可以在防火墻中直接加載控制策略，使數據庫調用應用、域登陸應用按照預定的帶寬進行數據交換，實現流量控制，調整鏈路帶寬利用的功能。

對于防火墻自身來說，日志的導出、日志服務器的安裝，可使得通過防火墻的數據訪問加以統計，為優化網絡提供必要的數據，日志服務器可以完成，每個不同的源訪問的流量統計，可以了解到每個源的流量是否在正常范圍內，等等。

3.入侵檢測

通過在數據庫安全域添加入侵檢測系統，保證入侵檢測系統與防火墻產生聯動。當網絡中發生攻擊時，向防火墻發送策略，將攻擊行為進行過濾，使攻擊行為的數據無法到達目的主機，實際上是斬斷了攻擊的路徑。如此往復，可以提供大量時間來追測攻擊源，采取相應措施。全面的聯動延長了安全管理的觸角，增加了安全管理的手段，加大了安全管理的強度。

防火墻的主要功能是對進出防火墻的數據進行訪問控制，防火墻無法阻止由于防火墻配置有誤或者繞過防火墻而進入網絡的非法數據。數據一旦通過防火墻進入網絡后，如果操作系統或者應用系統本身存在漏洞，由于防火墻系統是一個靜態、被動的設備，這時候就無能為力了，入侵檢測系統作為防火墻的一個有益補充,完全可以勝任此工作。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出各個安全域的所有操作進行主動的實時監控、審查，并按制定的策略實行響應(阻斷、報警、發送E-mail)，同時進行日志記錄，并且入侵檢測系統的動態防御還能實現入侵檢測系統和防火墻及其它特定網絡安全系統之間的互動(如路由器)，動態的保護網絡不受惡意的入侵及來自于內部的攻擊。

4.病毒防護

校園網應部署一套完整的防病毒解決系統，包括客戶端防病毒、服務器防病毒、群件系統防病毒、網關防病毒系統以及統一的升級、管理、監控，但面對日益猖狂的病毒，特別是蠕蟲型的病毒，單靠一套完整的防病毒系統已經難以解決問題。一套優秀的防病毒解決方案不但要有一套完整的技術解決方案，還要有一個勤奮努力的網絡管理員和嚴格的管理制度。

5.數據備份與恢復

備份系統為一個目的而存在。存檔備份。當需要時，盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：場地內高速、高容量自動的數據存儲、備份與恢復；場地外的數據存儲、備份與恢復；對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊破壞數據完整性時起到保護作用，同時亦是系統災難恢復的前提之一。

一般的數據備份操作有三種。一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份那些上次備份之后更改過的文件，是最有效的備份方法；三是差量備份，備份上次全盤備份之后更改過的所有文件，其優點是只需兩組磁帶就可恢復最后一次全盤備份的磁帶和最后一次差分備份的磁帶。

在進行備份的過程中，常使用備份軟件，它一般應具有以下功能：備份數據的完整性，并具有對備份介質的管理能力；支持多種備份方式，可以定時自動備份，還可設置備份自動啟動和停止日期；支持多種文件格式的備份；支持多種校驗手段（如字節校驗、CRC循環冗余校驗、快速磁帶掃描），以保證備份的正確性；提供聯機數據備份功能；支持RAID容錯技術和圖像備份功能。

校園網絡安全是一個動態發展過程。隨著計算機技術的發展，新技術的不斷涌現和使用，新的安全問題也不斷涌現，對網絡安全的防范策略也要不斷改進。加強校園網的安全管理是當前非常迫切、充滿挑戰的任務。在目前的情況下，應當全面考慮綜合運用防毒軟件、防火墻、數據備份等多項措施，互相支持，加強管理，綜合提高校園網絡的安全性，從而建立起一套真正適合學校校園網絡的安全體系。