校园网的安全防御体系技术研究与模型设计——以西安市委党校为例

◆赵 姗



校园网的安全防御体系技术研究与模型设计——以西安市委党校为例

◆赵 姗

（西安市委党校 陕西 710056）

随着互联网的广泛应用，学校信息化建设一直在改进、更新。因为我校在组建校园网时缺乏安全防御意识，防御技术手段一般，所以在互连网黑客攻击下校园数据遭到巨大的损失。针对我校校园网安全防御体系设计中存在的问题，研究校园网安全防御技术和改造校园网防御体系设计方案，建立可靠安全校园网成为当务之急。

校园网；网络安全技术：防御体系设计

0 引言

近年来网络迅猛发展的同时网络安全问题成为急需解决的问题。学校无纸化办公系统、教师选课系统、后勤管理系统和校园文化生活系统成为校园网的重要组成部分[1]。相比国外校园网发展的起步早、技术高的优势，国内校园网的建设，还存在资金短缺、技术薄弱、管理人员专业素质不高等问题，正是因为这些问题的存在一些校园网往往成为网络黑客的攻击对象。现今，大部分的院校都意识到解决网络安全问题的重要性。文章以中共西安市委党校为例，根据现有网络的实际情况，研究校园网安全防御模型技术，提高校园网的安全可靠性和利用率，更好地保证校园网的安全良好运行。

1 网络安全简介

校园网从建设开始，网络安全问题就随之出现。所以在校园网设计架构之前就重点分析校园网网络安全，尽可能全面的把校园网在运行期间可能遇到的安全问题考虑进去，构建可靠安全的校园网络环境。网络安全定义为：网络系统的硬件、软件及其系统中的数据受到保护，不因偶然原因或者恶意攻击遭受破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全[2]。

从技术方面来实现网络安全的保密性、可用性、可控性、可审查性、完整性[3]五个基本的特征，需要多种技术组合使用，例如：防火墙技术、密码技术、入侵检测技术和入侵防护技术[4]等。现今单一的网络安全技术在复杂的网络环境中无法保证网络信息的安全。早前使用的边界阈值控制法[5]，对于高深的黑客攻击仍不能进行有效的阻止。如今比较常用的网络安全技术要属防火墙技术和数据认证技术。

2 大、中院校校园网面临的网络安全威胁

网络安全问题对于学校信息化的基础设施校园网至关重要，在网络安全简介中介绍了网络上常用的安全技术，这些技术主要是主动防御，加之大部分学校对网络管理不重视，校园网往往成为网络黑客的攻击练习区域。目前主要影响校园网安全的因素有：

（1）TCP/IP协议漏洞：现在互联网上使用最多的就是TCP/IP协议[4]，TCP/IP协议代表了两个协议，分别是TCP（传输控制协议）和IP（网际协议）。网络接口层、网络层、传输层和应用层组成TCP/IP协议的四层分层模型[6]，每一层通过呼叫它的下一层所提供的网络来完成自己的需求。TCP/IP协议的设计者相对于安全性更关注网络互联，每一层在与下层通信时允许网络接口层采用已有的或采用双方协商的协议，这就造成在这个层次通信双方没有专门的协议，可以直接利用网络接口层连接到任意网络上，TCP/IP协议并不完全符合网络安全的OSI的七层参考模型。TCP/IP协议的开放性和通用性使得其在市场的占用率很高，同时由于TCP/IP协议漏洞较多，黑客的攻击也比较频繁，例如：数据窃听、ARP欺骗和原地址欺骗等。

（2）病毒、木马：无论程序还是系统都会有漏洞，这些漏洞若没有及时安装补丁，修复漏洞，很容易被病毒、木马程序入侵，被入侵的电脑作为攻击局域网或其他网络的中介，对局域网或互联网上的计算机造成巨大伤害。

（3）初级黑客的攻击练习：互联网的资源共享性，使得一系列的黑客教程和工具可以在互联网上不受限制学习和软件下载，大部分黑客工具的易操作性极大满足了初级黑客炫耀心理。因为校园网的局限性和网络管理水平有限，初级黑客通过黑客工具对防御能力不强的校园网频频下手，这让校园网安全频频遭受威胁。

3 校园网网络安全防御中常用技术研究

建立安全的校园网络包含了多个学科领域，我们需要从最基本的相关网络安全技术开始研究，为设计一个功能完善，性能可靠的校园网安全防御体系模型做准备。

3.1加密技术

加密技术[7]的核心在于密码，加密就是将明文转化为密文，接收方在查看文件时，应用再将密文转化为明文的过程，在明文和密文相互转换的过程中涉及到加密算法和相应的解密算法。文件的加密由算法和密钥两个部分决定密文破解难度和明文形成的密文形式。常用的加密技术有对称加密和非对称加密。对称加密使用一套密钥，即加密密钥和解密密钥一样。加密算法也常用数据加密标准[8](DES，Data Encryption Standard)算法。这种算法常常会被暴力破解，512位的密钥已经可以破解，随着时间的推移，短时间内破译DES加密已经成为可能。

另一种非对称加密算法[9]，有两个密钥：公开密钥和私有密钥，加密和解密对应不同的密钥。若用公钥加密，那么只有私钥才能解密，反之亦然。非对称加密常使用RSA算法。RSA算法选用的加密密钥是两个大素数，大数分解生成的两个密钥，一个是私有密钥，剩余一个是公开密钥。由于RSA算法建议使用1024位的密钥，算法又是大数运算，所以速度比DES算法慢很多。

3.2防火墙技术

防火墙是能对局域网内进出的数据包进行分析和过滤的机制。它可包含硬件和软件两部分来保证网络(局域网)中数据传输的安全。硬件防火墙由专门的设备提供商设计硬件布局，因其功能单一，能较好的为局域网内数据包进行过滤。软件防火墙顾名思义是单独使用的软件系统来完成防火墙功能。性能较好的软件防火墙有COMODO、Outpost Firewall和Windows自带防火墙等。包过滤技术、代理技术和包检测技术是目前常见的防火墙技术。

（1）包过滤(Packet Filtering)技术

包过滤[10]是防火墙中最常用的技术，通过硬件或软件系统对进出内外网的数据包进行鉴别控制。控制原理是对网络中的通过的每一个数据包与预先设置好相应的过滤机制相比较，若匹配则转发该数据包；若不匹配则丢弃该数据包。

（2）代理技术[10]：用户不能直接链接到外网需要通过代理服务器间接对Internet进行访问。代理服务器处于局域网和Internet之间，工作在网络中的会话层，阻隔局域网和外网的直接连接，用户访问外网服务器必须通过代理服务器，外部数据进入内网也不能绕过代理服务器，代理服务器通过对进出局域网数据数据分析来实现防火墙功能。HTTP代理、SockCap代理、Smtp代理、FTP代理和反向代理等是现今常用的代理。

3.3入侵检测技术

侵检测系统[10]（Intrusion Detection System，IDS）使用入侵检测技术对网络数据实时监控，一旦发现危险数据通信，主动报警提醒管理员及时处理危险或自动阻止可疑数据传输。入侵检测系统相对于防火墙技术具有主动防御性和很好的灵活性。现在网络中常用交换式网络拓扑结构，根据交换式网络拓扑结构的特点把IDS布置在交换机层，交换机层易受黑客攻击，又与内网用户接近，所以把IDS布置在这层。常用IDS布置如图1所示。

图1 IDS布局图

IDS既可以检测内网错误数据和操作，又可以有效拦截外网黑客攻击并能及时给管理员报警，自动在攻击之前采取应对措施。IDS作为一种灵活的防御系统能很好地弥补防火墙漏洞。

3.4入侵防护技术

上面介绍的网络安全技术多为被动防御，现在介绍的入侵防护技术是一种采取积极主动态度应对网络攻击的防御。主动防御技术和被动防御技术相结合组成防御网提高防御能力。

入侵防护系统作为局域网防护的第三道防线弥补了以防火墙为代表的第一道防线无法检测普通数据流中恶意代码和内网中非法操作攻击的不足，同时弥补了第二道防线IDS在入侵被检测到之后才会采取措施的被动性。

入侵防护系统[10](Intrusion Prevention System, IPS)更注重潜在危险控制，IPS对于外网它通过监控所有进出内外网数据，记录网络攻击信息，针对明确攻击和潜藏的恶意代码实时在线部署网络防御方案，提高管理员工作效率。能通过数据检测在网络攻击或异常发生前，主动丢弃异常数据包的同时切断攻击源。IPS对局域网内部的异常数据流或攻击，IPS通过快速查询迅速找到发起攻击的“病毒”机，找到攻击源的同时切断“病毒”主机网络连接阻断“病毒”机的攻击途径，避免局域网内其它终端受到攻击。从IPS的防御过程来看，IPS防御注重监控潜在危险，实时在线部署安全策略，与系统管理员协同配合提高网络安全系数，实际上更像一种风险控制。IPS与防火墙、IDS配合部署校园安全防御体系保证校园网用户安全，抵御网络黑客攻击。

4 西安市委党校校园网安全防御模型设计

上文通过对网络安全技术的介绍，发现常用的防火墙和入侵检测系统在复杂网络环境中不能很好的满足网络安全的指标。一些黑客还是常常攻破校园网，造成校园网数据的丢失、篡改网站界面、造成网络拥堵等问题。面对网络安全严峻的形势，安全的校园网防御模型设计迫在眉睫。常用的两道防线安全防御模型需要增加主动防御技术来保证校园网的安全，我们用WPDRRC模型作为我校安全防御体系的基础，并在此体系基础上配合使用主动防御技术，改造我校校园网，构建一个适合当前网络环境的党校校园安全模型。

4.1影响校园网络安全因素分析

影响网络安全性的因素较多，技术因素仅仅是一方面，同时网络管理员、网络安全策略部署、实施以及网络管理方式也是影响网络安全的重要因素。我们通过对制约网络安全的关键因素逐一分析来设计基于WPDRRC模型为基础的主动防御校园网络安全体系。

（1）网络管理员

管理员是设计以人为中心的主动安全防御体系的关键，管理员不但负责校园内网设置所有用户权限，监控网络出入数据，制定网络安全防御策略等基本工作，更重要的是根据网络运行状况预测网络漏洞和潜在的网络威胁，提前防范网络危险。管理员在校园局域网中的高权限和管理员的网络技术水平都是网络管理员成为校园安全防御体系中的重要因素。

（2）校园网用户

校园网用户群大，网络安全防护水平不高，安全意识较低。面对校园网用户在使用网络时凸显出的问题，我们设计的校园网防御体系中使用者的安全意识和安全技术不可或缺，要及时对校园网用户进行安全意识和安全技能培训，提高用户的安全性。

（3）网络管理

网络管理包括对网络中涉及到的软硬件和管理人员的协调调配，对网络资源进行的监视、测试、配置、分析、评价和控制。网络管理明确了各部门的任务责任，出现问题时可以及时联动处理，将问题伤害降到最低，是网络安全的一个重要环节。网络管理要不断吸收先进经验，完善自身管理，为保证校园网络安全提供合理管理。

（4）网络安全技术

技术是保证网络安全的必要、基本手段。高明的技术可以有效降低黑客攻击的成功率，可以补救管理上的缺陷，与合理的安全管理一起提高安全防御能力。网络环境中问题复杂多变，单一的技术不能应变多种情况，所以现在的技术要求是一个技术集合，适应多变网络安全环境。技术成为网安全防御体系中的又一核心。

4.2党校校园网安全防御体系设计

上节已对常用的网络安全技术做了相应的介绍和研究，这里我们根据有关技术设计符合我校校园网现状的安全防御体系模型。从校园网的网上数据信息安全、用户信息安全、攻击阻隔和网络通畅等网络安全因素考虑，设计我校校园网安全防御系统结构，如图2所示。

图2 校园网安全防御系统

从图2看出，我校设计的校园网安全防御体系分为管理模块、服务模块以及网络安全核心三大部分。这三者之间的数据通信采用SSL通信，SSL(Secure Socket Layer) 是在传输层对网络连接进行加密，利用数据加密技术，确保数据在网络传输过程中不会被截取及窃听。管理模块包括了配置管理、系统监控和日志管理三部分。网络管理模块中根据网络安全配置，实时调整系统的安全配置，对安全管理系统中所有监控数据进行控制，使尽可能多潜在威胁更好的得到控制，有利于抵御黑客攻击。服务模块的核心是网络管理员，实时监控网络状态，调整网络防护策略，在线部署网络安全管理措施。服务模块还有自动处理突发状况的功能，应用IPS技术实现主动防御。网络安全核心模块是综合应用网络安全先进技术的中心模块。这个模块布置三层安全防御，即入侵保护系统(IPS)、入侵检测系统(IDS)和防火墙技术，同时配合主动保护监测，实时监控内外网数据流量变化，配合WPDRRC模型，加上主动防御技术，实现主动防御的校园网安全体系设计，提高校园网安全厚度。

5 结语

本文从研究校园网安全防御体系中常见技术入手，研究技术的同时，全面考虑影响网络安全因素，为设计党校校园网安全防御体系积累技术准备。随着网络环境的复杂性增强，单一的安全防御技术都有各自的漏洞，恶意的网络攻击常常通过安全漏洞对局域网造成巨大危害，所以技术的配合使用成为网络安全的技术发展趋势。只有互相取长补短，才能更好的保证网络的安全。所以在校园网中，设计一个安全防御体系往往将这些技术配合使用，从而更加有效抵御网络中黑客的攻击，保证校园网的安全运行。

[1]周晓娟.校园网信息化升级的样板工程[J].计算机网络，2010.

[2]胡任远.关于数字化校园网建设的探讨[J].电子世界, 2013.

[3]李锁刚.CERNET主干网稳步运行[J].中国教育网络, 2013.

[4]段秀红.浅谈CERNET网络发展的竞争优劣势[J].科技创新导报, 2012.

[5]许美玉.校园网安全建设的研究[J].中国电子商务, 2013.

[6]代云韬.计算机网络安全的影响因素与对策分析[J].电子测试, 2013.

[7]王洪礼.计算机网络安全的现状和防范[J].信息安全与技术, 2012.

[8]蒋承延.网络传输中的数据加密技术[J].重庆电力高等专科学校学报, 1999.

[9]梁学东, 王柯柱.DES数据加密标准在无线数据通信网络中的应用[J].哈尔滨铁道科技, 1999.

[10]宋颖杰.非对称加密技术[J].信息网络安全, 2004.