网络安全技术在校园网中的进一步应用与分析

[摘要]在网络高速发展的同时，校园网已经成为教师和学生不可缺少的学习和交流工具，网络规模的扩大和用网人数的增加，必然带来网络安全的风险。应在原有网络安全设备的基础上引入新技术，使校园网络安全系统从被动应战向主动防御转变。

[关键词]网络安全；校园网；IDS；IPS；UTM

[作者简介]陈智慧，北京工业大学计算机学院计算机技术专业研究生，研究方向：网络安全，北京，100124；河北理工大学轻工学院助教，河北唐山，063000

[中图分类号]TP393.18[文献标识码]A[文章编号]1007-7723(2009)01-0180-0002

一、引言

近年来，随着计算机技术的不断发展，计算机网络的规模越来越大，网络用户飞速增长，使得网络安全问题成为计算机网络发展的一个重要分支。在我国，各高校分别建立了自己的校园网，校园网的建成，使学校实现了管理网络化和教学手段现代化，极大地扩展了学校的业务，提高了学校的竞争力。校园网已经成为教师和学生不可缺少的学习和交流工具。随着网络规模的扩大和用网人数的增加，各高校的网络基本都受到过各种各样的威胁。因此，加强校园网的安全管理是当前非常迫切、充满挑战的任务。采取有效的手段来降低因网络安全而造成的校园网络危害成为目前一个非常重要的问题。

二、校园网建设及安全现状

由于校园网络的安全问题日渐突出，直接影响了学校的教学、管理、科研等各项工作的正常运行。在全面了解校园网的安全现状基础上，合理应用网络安全技术，改善网络应用环境的工作迫在眉睫。当前，校园网网络普遍存在的安全隐患有以下几种。

(一)校园网安全管理有缺陷

校园网的用户群体一般都比较大，少则数千人、多则数万人，数据量大、速度高。随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，学生通过网络在线看电影、听音乐，很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

(二)校园网内部的攻击

由于内部用户对网络的结构和应用模式都比较了解，很多学生对网络技术充满好奇，他们有意无意地攻击校园网系统，干扰校园网的安全运行。校园网与一般企业网不同的是，不仅要注意防止外部网络对校园网的攻击，还要注意防范校园网内部的黑客攻击。

(三)Internet的威胁

校园网与Internet相连，在享受Intenet方便快捷的同时，也面临着遭遇攻击的风险。各种病毒就是通过Internet传播的，并导致网络性能下降。而且黑客也经常利用网络攻击校园网的服务器，以窃取一些重要信息。

(四)资金投入严重不足，没有系统的网络安全设施

大多数高校网络建设经费严重不足，有限的经费也主要投在网络设备上，对于网络安全建设一直没有比较系统的投入。校园网还基本处在一个开放的状态，缺乏安全预警手段和防范措施。

在网络安全日益影响到校园网运行的情况下，我们不能够去保障校园网绝对的安全，但要尽量从多个方面进行防范，把校园网不安全因素降到最少。

三、网络安全技术在校园网络中的应用与分析

从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的防护问题，而现在人们更加关注应用层面的安全防护问题。安全防护已经从底层或简单数据层面上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。

(一)入侵检测系统(IDS)

FIREWALI一般被部署在内网和外网的连接处。作为内网安全的第一道大门，以此来保证内网的安全，但是由于FIREWALL本身只具有一些简单的攻击检测功能，更多的攻击是很难通过它来进行检测的；同时，由于所有流量都从防火墙中通过，对流量有过多的检查会形成网络瓶颈现象，而IDS是旁路设备，正常情况下不会对网络流量形成影响。

入侵检测系统(IDS)是专门进行入侵攻击检测的设备，它应该对网络中存在的所有攻击行为进行检测。快速发现网络攻击的发生，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁直接进行相应的处理，阻止在网络之外。

(二)入侵防御系统(IPS)

旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时地阻断，使得IDS与防火墙联动在实际应用中的效果受到一定影响。

因此，可以配置入侵防御系统(IPS)，它可以主动、积极地防范、阻止系统入侵。它部署在网络的进出口处，当检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击，很好地弥补了IDS系统的不足。

但是，不能单纯地认为IPS是IDS的替代品，因为二者的侧重点不同，IDS是一种侧重于风险管理的安全产品，而IPS是一种侧重于风险控制的安全产品。因此二者不是取代与互斥的关系，而是相互协作的：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解网络的当前实时状况，据此状况可进，一步判断应该在何处部署何类安全产品(JPS等)。

(三)统一威胁管理(UTM)

在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术，优势将得到越来越多的体现，统一威胁管理(UTM)技术应运而生。

UTM将防火墙、入侵检测和防病毒等功能结合于一体，提供集成的网络层和内容层的安全保护。针对快速增长的混合型攻击(基于互联网的病毒已经开在应用层发起攻击)，需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。

UTM是由硬件、软件和网络技术组成的具有专门用途的设备，它提供多项安全功能(如IDS、VPN、防病毒和防垃圾邮件等)，将多种安全特性集成在一个硬件设备里，构成一个标准的统一管理平台。这和单纯地在防火墙中整合其他安全功能不同，因为UTM更注重的是“对设备和对威胁的管理”，它致力于将各种各样的网络安全威胁消弭于无形之中，以达到防患于未然的终极目标。它对于终端普通消费者来说是透明的，而这也正是目前我们所期望的。

四、总结

网络安全问题已经成为信息化社会的一个焦点问题，更是信息化校园的焦点问题。目前校园网络安全的发展趋势是“多兵种协同作战”，校园网络中所有的基础网络设备共同去发现、预防、处理各种安全问题，以达到建设一个安全可靠、性能卓越、易于管理的校园网络的目的。