校园网络安全防御的研究

吴琳琳

[摘要]随着我国信息化建设不断推进，大部分校园已经开始信息化管理。教学和管理都已经离不开校园网，由此看见保障校园网的安全性至关重要。但是目前经常会出现一些恶意病毒对于校园网的安全运行造成极大的威胁。这就要求技术人员建立起有效的安全防御措施。为了提升校园网的安全性，本文首先论述了目前我国校园网的运行现状、隐患和面临的威胁，最后提出了校园信息网络安全防御系统的设计和实现方法。

[关键词]校园网络;网络安全;防御系统

[中图分类号]G202

[文献标识码]A

[文章编号]1671-5918（2019）08-0128-03

doi：10.3969/j.issn.1671-5918.2019.08.056

[本刊网址]http：//www.hbxb.net

一、引言

我国大部分校园网络在运行过程中采用的安全防御策略为杀毒软件和系统防火墙。其中系统防火墙是外部互联网相关信息数据进入校园内部网络安全屏障。它通过检查传入数据，并且制定良好的规则阻止违反数据规则的流动。对网络层的安全性来说它在网络连接中具有一定的影响，但在应用层的高层不能有效进行保护。黑客技术随着网络技术的发展，网络攻击工具也在不断完善，防火墻的渗透方法越来越多，应对网络攻击仅仅使用防火墙是不够的，敏感数据的安全不能有效得到保证。

二、校园网络防护的现状

许多专家学者对校园网的安全威胁和防范措施进行了广泛的研究，研究成果主要集中在以下几个方面：

（一）校园网恶意代码传播研究。经过大量研究发现，在校园网中出现恶意代码现象非常罕见，这可能是由于编码者为了有效地避免代码被杀毒软件识别和查杀，有意将恶意代码派生出变体代码，从而使恶意代码进化升机，达到了检测杀毒软件的能力。利用浏览器中的漏洞特洛伊木马进行传播，它几乎不需要与用户交互，在通信和操作过程中隐蔽性很强。

（二）目前预防各种病毒在校园网中保证网络安全的目的无法达到。病毒防御措施目前主要针对突发性病毒，目前采用的杀毒软件通过获得病毒样本，从而实现对病毒的识别和查杀。但是病毒的进化速度过快，杀毒软件无法对新型的病毒进行有效识别和查杀，因此采用杀毒软件安全防御效果非常有限。

（三）校园网络安全系统建设的研究正在蓬勃开展。随着计算机技术不断发展，对于网络安全防御技术也越来越完善，为了提升校园网安全性，目前已经开始使用多维立体防御技术预防病毒攻击。

三校园网络存在的隐患和面临的威胁

近年来，对中国互联网的攻击和窃取信息和利用网络攻击有价值的信息情况屡见不鲜。这些大多与安全管理有关的网络信息泄漏。随着网络应用的普及，使用计算机进行信息犯罪的概率将增加，我们必须关注这个情况。随着校园信息技术和网络的发展，校园网络安全威胁日益突出，其规模大、层次多、比较致命。

（一）校园网络安全需求

采用正确的安全防御技术，首先需要对校园安全网络的需求进行分析。目前校园网络安全主要包括以下几方面：

1.用户安全要求

除了用户的身份，系统还应建立起指纹、脸部等识别技术。为了提升校园网络数据信息传输的安全性，应引入加密技术。要求用户不仅提供用户名和密码，对重要数据和位置的访问还要求用户提供硬件验证设备诸如电子证书之类的。具有识别虛假访问者的能力，该系统还应该利用数据统计和分析算法相关技术对于每个用户的使用情况进行分析和研究。为了发现校园网的入侵者，要求网络具备入侵检测的功能。

2.网络平台的安全需求分析

网络平台的安全性通过链路层应该能够应对发起的攻击。安全系统应该能够对于内容可寻址存储表的失败，交换机使用端口安全可配置来防止MAC地址进行通信在找到无效地址之后。安全系统为了防范网络风险，与外部Internet之间应建立校园网数据包的进出口控制策略，对于有害的控制和访问控制和隔离。将源地址采用该策略的接入Internet和校园网中的目的地址。对有害控制的早期识别通过对接入分组进行分析。3.应用环境的安全需求分析

在网络层中应用环境应该能够加密传输的信息。对数据的加密由于TCP/IP协议不提供，对于重要数据，首先加密数据安全系统能够并通过网络层传输数据，例如用户的账户、密码等。网络中的所有终端操作系统在安全体系结构中应该能够监控和管理服务器端。

（二）校园网络安全方案的系统结构

通过对服务使用者对校园网安全需求的分析和清晰有效的分工，从两方面考虑网络安全平台和安全校园网络环境。内部网络的安全必须保证;企业的安全运行也需要保证。本文在分析校园网安全需求的基础上，采用入侵检测系统、防火墙系统、漏洞评估系统、边界安全认证系统、网络控制系统。通过登录到服务器普通用户进行信息访问，对信息的访问使用此方法可以实现分配权限来控制用户。校园网可以分为：外联网、内网、外部接入区和数据交换区。

1.外部网络是一个非常不安全的公共检查区域，建立了专用网络。这里建立了防火墙、漏洞检测服务器、入侵检测、反病毒服务器，可以防止恶意入侵和攻击和病毒传播。

2.校园网在数据库服务中、最终用户在服务器包含大量的业务和财务数据，其安全性是必须保证的。

3.外部接入区域是指通过专用连接，区域内的VPN等线路，无线网关、通过第三层交换区、防火墙来进行网络接入。

4.系统最重要的区域是对于数据交换区域的访问。系统中的审计服务器对于统一的监控服务器，必须认证和访问授权服务器，有效保证和防止数据完整性的信息被损坏。

由于校园网的功能是实现各个子系统之间的交互，以及对外部网络访问。由于病毒主要来自外部网络，因此，建立起防火墙对于校园网络的安全具有非常重要作用。防火墙技术采用包过滤技术和代理服务器技术。通过外部网络的访问限制对内部网络，需要进行包过滤，以及数据包过滤非法网络访问。代理服务器技术是许多不安全的服务，如telnet、FTP，服务器使得它成为与防火墙类似的情况，并响应外部请求。代理服务器技术对于每个服务不需要被编程。在外联网中受保护的Intra-net用户进行访问，需要用户登录防火墙，防火墙的安全性在外部网络中只能看到一部分，能够将内部访问请求进行隐藏，只有通过访问控制策略才能有效提升校园网络安全。访问控制策略主要是对未经允许的访问和使用网络资源现象进行控制。

网络安全系统通过安全测试进行记录，入侵检测系统对详细日志使用网络管理软件进行处理和分析。由于以太网是广播网络，对于主机入侵检测，网络适配器需要设置为混合模式，在网络上主机入侵检测接收传输每个分组。可以用来在监控模式下，通过建立网络接口来实现。网络中大量的信息可以通过嗅探器进行拦截和传输，然后进行分析，处理系统的安全审计日志需要定期来执行。

四校园信息安全网络防御系统的实现

（一）物理防护的实现

保护网络中的计算机中物理网络安全是主要目的，通过网络连接设备和服务器，使其不会受到人为因素、自然灾害、电磁辐射、系统崩溃等各种意外因素影响。

交换机、服务器等设备是校园网络系统非常重要的设备，对于校园网络的安全性也是至关重要的，因此需要实施集中管理，特别负责人负责。此外，线路是校园网正常运行的基础，所以对于网络传输线路的保护工作也非常重要。

随着技术不断发展，电子设备数量日益增加，而电子设备在使用过程中会产生电磁辐射，会对周围的设备产生一定影响。校园网在数据信息传输过程中，如果收到电磁辐射的干扰，则接收到的数据包含大量噪声，导致数据的信息特性和工作时的频率被淹没，这也降低了数据传输安全性。因此，减少校园网络的电磁辐射是非常有必要的。可以通过采用电磁屏蔽材料来降低電磁辐射对校园网的影响。

（二）入侵检测系统的实现

根据校园网络的特点，本文设计了多层次、可扩展的入侵检测系统。

本文提出了入侵检测系统以动态信息安全理论为基础，进行了融合分析，对于各类安全技术实现响应和报警安全事件。对单个网段入侵检测系统通常只能实现安全布控，融合分析全网段的信息不能进行，本文采用了入侵检测系统分布式的设计方法，分段部署在全网段上，信息能够进行搜集，通过构建动态的安全防御体系进行判断，强调纵深的在进行统一分析后。

在结构上分布式入侵检测系统分为主机网络检测引擎、检测代理、管理中心，每部分在系统中都存在多个实例。他们之间的互相通讯由安全通讯代理实现，根据特定的通信协议进行通讯在各部分之间。互动模块用防火墙来实现在动态静态防御互补优化，系统的重要组成部分还包括了黑客追踪子系统，属于入侵检测系统的扩展部分。

（三）边界安全防护的实现

本文提出的防御检测系统可以对校园网各个子系统实现边界安全防护，对用户的访问行为进行审查和检测，可以对网络的攻击行为提出告警。同时可以禁止危险访问行为，外部用户非法使用能够防止对于内网的资源进行破坏和窃取，实现访问控制在不同安全域间，从内部网络防止敏感数据被窃取，实现资源保护在内部网络中。

为了最大限度地提升边界安全的防护，本文将数据流安全标记绑定和组的策略管理两种技术融合在一起。在系统建设过程中，网络边界安全防护体系的框架应该是抽象和通用化。为了有限实现边界安全防护功能，本文采用5个钩子函数，同时网络通信协议是基于TCP/IP的IPv4协议。在网络边界安全防护体系运行时，数据包从系统的左边进入后，首先安全防护系统会对进入的数据包的完整性进行全面检测，若数据包完整，则进入下一步骤，路由将采用NF_.IP_PREROUTING函数（1）进行本地处理，从而决定数据包是否进行转发，若不进行转发，则对数据包对其判断是否采用钩子函数NF_IP_LOCAL_In经过上层协议处理（2），从而对数据包进行分组处理;如果函数NF_IP_FORWARD产生的数据包将被转发到（3），那么子函数NF_IP_POST_ROUTING用于处理跨钩（4）进行处理，并发送到网络上;处理后的数据包通过钩函数NF_.IP._LOCAL_OUT数据包产生的本地路由后的数据（5）通过函数NF_IP_POSTROUT_ING进行处理（6）传输到网络上在处理数据包之后。

（四）身份认证系统的实现

身份认证系统的逻辑结构。本系统包括身份认证服务器、注册机构RA、数据库服务器和安全服务器等。

面向普通用户的安全服务器，证书撤销列表用于提供证书的申请、包括下载和浏览服务。与用户的通信的安全服务器采取SSL方式的安全通信方式，安全服务器的证书用户首先得到，然后进行通信在所有服务器之间，包括浏览器生成的公钥，用户填写的申请信息，同时数据加密传输以安全服务器作为公钥。

利用自己的私钥解密安全服务器才能得到明文，其他人通过窃听得到明文，这样可以防止并保证了传输过程和证书申请中的信息安全性。基于HTTPS的LDAP服务，以及Web服务在具体实现可以选用。

注册机构RA可以进行证书的申请和撤销，当证书的申请和撤销需求提至注册机构RA时，管理人员可以对需求信息进行核对，如果信息核对完成后，通过数字签名确认后，需求申请将会发送至身份认证服务器。

身份认证服务器收到注册机构RA传输过来的签名申请和撤销需求申请后，将会对申请中的内容进行校验分析，一旦内容通过审核，则即可实现对证书的生成和撤销操作。身份认证服务器是对负责申请信息审核的核心，是证书签发和撤销的最为关键的子系统，同时还是生成数字证书在注册机构服务器，为安全服务器发行证书文件对于存在CA的私钥。作为用户证书生成和撤销的最为关键机构，为了提升其工作安全性，将身份认证服务器与身份认证系统其他结构相互隔离，确保各个结构与其通信安全性。

数据库服务器主要是对生成的证书进行管理和储存，以及生成证书撤销列表。数据库中储存有大量的数据信息，其安全性非常重要。因此需要采用多种安全防御措施保障数据的安全。为了充分提升数据库服务器运行安全性，本文采用了数据库系统应采用多处理器、双机备份、磁盘阵列等多种方法，保证数据库服务器安全稳定的运行。

五、结论

根据校园信息网络的特点，本文提出了校园网络安全防御系统结构，适当的调整网络配置根据成本控制要求来合理规划系统结构，系统安全管理实现使整个校园网络的联动，使得校园网络能够有效实施网络安全防御系统。本文所提出的网络安全防御系统的设计方案实现了安全防御的一种比较高效校园信息网络技术方案，具有一定现实意义和应用市场。

参考文献：

[1]杨智君.入侵检测技术研究综述[J].计算机工程与设计，2006，27（12）：2120-2124.

[2]张彩莱.身份认证与网络安全[J].安防科技，2003（6）：60-62.

[3]孙伟，汪厚祥，刘霞.军用网络入侵检测系统的研究[J].舰船电子工程，2003（2）：21-25.