现代网络安全技术及其在校园网络中的研究与应用

谈 存 实

(兰州职业技术学院，甘肃 兰州 730070)

1 计算机网络的安全问题

随着计算机技术的深入发展，人们通过计算机处理业务已经从基于单机的数学运算和文件处理、利用简单的内部网络连接处理内部业务等，发展到现在基于全球互联网的计算机处理系统进行数据处理和资源共享。计算机网络信息处理能力得到了提高，计算机系统的连结能力也在不断地提高。但在连结能力提高的同时，计算机网络的安全问题也日益突出。主要表现在如下几个方面：

1.1 开放性的网络环境带来的安全问题

计算机网络的开放性等因素引起联网环境下的计算机系统存在很多安全问题。即使在使用了各种安全工具和各项技术的情况下，计算机网络仍存在很多安全隐患，这些安全隐患主要包括：(1)防火墙等安全机制在特定环境下不易发觉病毒入侵并很难防范。(2)人为因素的影响使得安全工具不能合理地利用。(3)系统的“后门”，防火墙不易发觉。例如众所周知的ASP源码问题，是IIS服务的设计者留下的一个“后门”。(4)BUG很难防范。黑客的攻击手段在不断地升级。

1.2 威胁计算机网络的主要因素

(1)系统软件存在漏洞。任何一个网络软件或者操作系统都存在缺陷，计算机一旦联网，这些缺陷就会使得系统处于危险的境地。(2)配置问题。系统安全配置不当会导致安全漏洞，例如，防火墙软件的配置不正确。(3)用户的安全意识不强。口令设置不当、个人账号随意转借等都会对网络安全带来威胁。(4)病毒。计算机安全的头号大敌是计算机病毒，它影响到计算机软件和硬件的正常运行，具有传染性、破坏性、触发性、隐蔽性、寄生性等特点。(5)黑客入侵。

2 校园网络安全体系

校园网络同样也会面临安全威胁，对于校园网络安全的防范需要构筑校园网络安全体系，主要从两个方面着手：一是技术。常用的有加密技术、内外网隔离技术、访问控制、安全路由等对防止非法入侵系统起到一定的防御作用。二是提高和改进管理方法。

2.1 校园网络状况分析

从需求方面讲，校园网络安全是指利用各种网络监控和管理技术措施，对网络系统的硬件、软件及系统中的数据资源实施保护，使其不会因为一些不利因素而遭到破坏，从而保证网络系统连续、安全、可靠地运行。校园网从技术上使用虚拟网管理，分为内部网络和互联网络。普通用户要使用互联网，需要提出申请，由网络管理中心批准后分配IP地址，这样才能与Internet相连接。

校园网络能够向用户提供如下服务：(1)DNS(域名服务)；(2)E-mail(电子邮件服务)；(3)telnet(远程登录)；(4)ftp(文件传输服务)；(5)电子广告牌；(6)WWW以及信息收集、存储、交换、检索等服务。

2.2 校园网络存在的安全隐患

校园网络主要存在的安全隐患有：(1)通过CERNET与Internet连接，能够享受所提供服务的同时，同样面临着被攻击的威胁。(2)由于校园内部用户对于本网络比较熟悉，这样受到内部的威胁更大一些。(3)现行使用的网络操作系统如Windows NT/Windows 2000、Unix、Linux等，系统本身存在安全漏洞，对校园网络安全造成威胁。(4)因校园内计算机应用范围的广泛普及，网络节点逐渐增多，多数节点都没有采取相应的安全防护措施，存在容易被病毒感染、信息丢失、系统瘫痪和被攻击等危险。因此，需要构建安全的信息防护体系，以保护校园网络的安全。

2.3 校园网络安全防护的目标

要增强校园网络的安全，需要保护信息资源，控制和管理服务资源。信息资源分为公众信息(不需要访问控制的信息)、内部信息(需要身份验证，并且根据身份进行访问控制的信息)和敏感信息(需要身份验证，数据传输也需要加密的信息)。服务资源包括内部服务资源(面向内部用户，管理并控制内部用户对信息资源的访问)和公众服务资源(针对匿名用户，防止和抵御外来攻击)。

3 校园网络安全技术的应用

校园网络的安全威胁主要来自于互联网络，比如：针对提供某种服务的服务器发起攻击，导致该服务器拒绝服务，使得网络不能正常运行；攻击者针对网络层协议进行，对网络的通信设备进行攻击，使得网路通信设备不正常运行甚至瘫痪；网络服务被未授权的用户非法访问等。

3.1 建立网络安全模型

通信的接收方和发送方在网络上传输信息时，需要建立一条通信的逻辑通道，作为可信任的第三方，为了信息的传输安全性，需要有安全机制和相应的安全服务，如图1所示。

这样，通过可信任的第三方，对通信双方所传输的信息进行加密，若双方产生争议可进行仲裁。此网络安全方案需要完成如下四个基本任务：通过特定算法，进行数据的安全转换；对该特定算法生成秘密信息；研究秘密信息共享和分发的方法；再设定网络通信协议，利用特定算法和生成的秘密信息获得安全服务。

3.2 构建校园网络安全防范体系

构建校园网络安全防范体系是以安全策略为核心，着手于安全管理和安全技术两方面主要任务的完成，进行威胁防护和检测；对网络用户加强培训，增强安全意识。如图2所示。

以上防御体系通过以下安全技术来实现：

(1)采用Virtual Local Area Network技术。

网络管理部门将学校各部门按照不同的业务类型及级别，采用VLAN虚拟网络技术，如对网络进行分段、隔离，实现访问控制。

(2)对防火墙进行安全配置。

提高校园网的安全系数首先要从入口上下手，也就是说在校园网的进口处架设防火墙，通过入侵检测技术将内外网进行隔离。防火墙实时对网络进行检测和分析，并将检测结果报告给网络管理员，可以有效地保护内部网络使其免受攻击。

(3)对代理服务器进行配置。

在学生机房使用二级防火墙，设置安全访问列表，对代理服务器合理地配置并安装双网卡，内外网之间使用公网IP地址，内部网络之间使用私有地址，学生机使用虚拟IP地址，这样可以控制Internet的访问量。

(4)安装杀毒软件。

保护校园网的安全，安装杀毒软件十分必要。在所有可能被病毒感染和传播的地方都要安装适应的杀毒软件，网络管理员要对杀毒软件及时有效地升级并适时扫描系统。但是，杀毒软件对一些未知的病毒不易察觉，而且存在误报的缺点。因此，这些问题需要进一步地研究和探讨，不断地完善安全防范体系。

(5)完善安全管理制度。

在校园网的安全防御体系中安全管理是核心，通过合理的日常管理制度，再使用限制的软件技术和硬件设备，才能形成一个完整有效的安全防御系统。以技术为支撑，通过完善的管理制度落实，才能更好地抵御威胁。规定系统管理员要进行日常的网络安全管理，实时地、动态地监控网络运行情况，每日必须检查服务器的日志，对重要的数据服务器，每日必须进行异地数据备份。同时管理员的密码必须达到一定的长度并且建议每周修改一次。管理员需及时对操作系统打补丁和防病毒软件包的升级，不断完善和优化网络安全防范体系。

参考文献：

[1]蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社,2005：52～56.

[2]华师傅资讯.黑客攻防疑难解析与技巧800例[M].北京:中国铁道出版社，2008：219.