朱 震

（桂林电子科技大学信息科技学院，广西 桂林 541004）

高校内部网络安全分析与解决策略

朱 震

（桂林电子科技大学信息科技学院，广西 桂林 541004）

随着电脑的广泛应用大多数高校都在推行数字化办公，这使得每天所要处理的相关信息也在迅速地增加,为了提高办公效率，各高校都在加强网络信息平台的建设,尤其是高校内部网络的建设,以此来管理数量庞大的信息。高校內部网络安全问题也因此成为各高校在信息化建设中面临的重大问题之一。文章对高校内部网络现状进行分析指出硬件、软件和网络用户等四个方面存在的安全隐患，并针对这些隐患进行分析和评估并提出相应的安全防护策略。

高校内部网络；安全分析；解决方案

1 高校内部网络安全隐患综合分析

1.1 网络设备的安全问题

现在高校内部网络的规模在不断扩大需要大量高质量网络设备的支持,用户撒布在校园的各个教学地点导致这些网络设备也必须分布在各种不同的地方，管理困难。（其中任何环节上的失误都有可能引起高校内部网络的瘫痪，如室外通信线路包括光缆、电缆等，可以说分布在校园的各个角落，有的还裸露在地面或建筑物的外墙上不能封闭式管理；室内设备包括交换机、路由器等也可能发生被盗、损坏等情况。以上就是物理层面的安全问题，概括来说就是指：由于网络设备的放置不合适或者防范措施不得力，使得网络设备，光缆和双绞线等遭受意外事故或人为破坏，造成高校内部网络不能正常运行。在制订高校内部网络安全解决方案时首先应考虑这方面的问题。

1.2 系统和应用软件存在的漏洞

在高校内部网络中的计算机使用着各种各样的操作系统和应用软件，这些软件本身的漏洞就是威胁，还有一些网络用户使用没有正式授权的软件也会导致计算机可能成为黑客攻击高校内部网络的后门。

1.3 计算机病毒和来自内、外网络恶意攻击

计算机病毒是高校内部网络安全最大的威胁因素，有着巨大的破坏性。尤其是在网络环境下病毒传播速度快、影响面大、查杀病毒困难。高校内部网络一般都接入Internet，在一个完全开放的环境下要面对各种恶意的攻击危险，由于内部用户对网络的结构和应用模式都比较了解，特别是在校学生，学校不能有效的规范和约束学生的上网行为，学生会经常的监听或扫描学校网络，因此来自内部的不安全因素更具威胁性。

1.4 内部用户滥用网络资源

高校内部网络内部用户对高校内部网络资源的滥用，有的高校内部网络用户利用内网资源提供视频、音频、软件等资源下载，占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥用了大量的网络带宽，使得日常教学和办公对网络的正常需求受到极大的影响。

2 相应的解决策略

2.1 硬件保护策略

硬件的安全是网络安全最重要的部分,硬件是网络通讯的基础，所以要保证高校内部网络络正常,首先要保证硬件能够正常使用。常规可采取的措施主要有:减少火灾、水灾、地震等，对网络组件、计算机硬件及软件资源的破坏。减少高温、潮湿、灰尘、供电系统、外界强电磁干扰等，对网络组件运行可靠性造成的不良影响。比如交换机、路由器要装入防静电箱子中并安装在较高的地方，机房要铺设防静电地板，保持环境的清洁和干燥等等。

2.2 访问监管和控制策略

访问控制方面的策略任务主要就是保证网络资源不被未经授权的用户使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。

2.2.1 利用网络防火墙和防毒墙技术

防火墙是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与高校内部之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，其中包过滤是重要策略之一，此策略在网络层中对数据包实施有选择的通过，依据系统设定好的过滤原则，检查数据流中的数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过。防火墙可以对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生，它是指位于网络人口处，用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫和僵尸网络的扩散。此外，网络管理者能够设定分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址，以及TCP/UDP端口和协议。

2.2.2 入侵检测控制策略

人侵检测技术对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。

根据采用的检测技术，人侵检测系统分为误用检测和异常检测两方面。误用检测根据事先定义的人侵模式库，人侵模式描述了人侵行为的特征、条件、排列以及事件间关系，检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。但它的是人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体，要保证模式库德完整较为困难，所以漏报率较高。而异常检测技术则是通过提取审计踪迹，例如：网络流量、日志文件等，对其的特征数据来描述用户行为，建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较，如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点:误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击，具有低的误报率，但面对新的攻击行为确无能为力;而异常检测技术具有发现新的攻击行为的能力，漏报率低，但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展，如NIDES,EMER-ALD,Haystack都是误用检测与异常检测的综合系统，用误用检测技术在其中检测已知的人侵行为，异常检测系统+检测未知的人侵行为，这一整个监控系统就更加完善和效率了。

2.2.3 服务器访问控制策略

对于服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问范围外建立访问控制。另外对用户的帐号进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账号不需要的权限，选择合适的用户账号连接到数据库。

2.3 病毒防护策略

病毒主要由数据破坏和删除、后门攻击、垃圾邮件传播、不断自我复制耗尽资源等几种方式的在网络进行传播和破坏,照成线路堵塞和数据丢失损坏。那么建立的一套完整的网络病毒防范体系是对高校内部网络整体病毒防护策略。具体包括：

1）未知病毒查杀技术：也就是主动病毒防御技术，它通过虚拟技术和人工智能技术结合，解决了原先依赖病毒库查询病毒的缺点，实现了对未知病毒的准确查杀。

2）智能引擎技术：智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。

3）压缩智能还原技术：它可以对压缩或打包文件在内存中还原，从而使得病毒完全暴露出来。

4）病毒免疫技术：病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。

2.4 不良信息的防护策略

Internet上存在大量的不良信息，高校内部网络因为与Internet连接，学生有可能接触到这些信息而在高校内部网络上传播，造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。

2.5 建立安全评估策略

高校内部网络安全不能仅仅依靠防火墙和其他网络安全技术，而需要仔细考虑系统的安全需求，建立相应的管理制度,并将各种安全技术与管理手段结合在一起，才能生成一个高效、通用、安全的高校内部网络络系统。建立专门的管理团队结合使用安全评估工具进行安全评估,对各方面进行检测和反馈信息收集,制定对应的网络安全管理策略。

3 结束语

随着高校内部网络功能和规模的扩展，它的安全问题越来越受到重视，网络环境的复杂性、多变性，以及计算机系统的脆弱性，决定了高校校园的网络不能仅仅依靠防火墙，而应涉及到管理和技术等多方面的配合。需要仔细分析系统的安全需求，建立完善的管理制度，并将各种安全技术与管理手段综合在一起，才能建立一个高效、通用、安全的高校内部网络系统。

[1] 彭文波,等.网络安全进阶笔记[M].北京:清华大学出版社,2011:19-215

[2] 李伟.网络安全实用技术标准教程[M].北京:清华大学出版社,2006:154-210

[3] 张仕斌.网络安全基础教程[M]. 北京:人民邮电出版社,2009:149-290.

The Network Completely in Colleges or Universities and Solving Strategies

The majority of colleges and universities carries out the digital office with the wide application of computer. So every day to deal with related information increases rapidly. In order to improve office efficiency, every college is strengthening network information construction. Especially in the internal network platform construction. So they can administrate the huge number of information managemet. Now the university internal network security issues become one of the important problems in informatization construction.The article points out the hidden dangers in hardware, software and network user accroding to efficient internal network status in colleges.And it makes its analysises and assessments accroding to these hidden dangers. And it puts forward the corresponding security strateges.

Efficient internal network；safty analysis；solutions

TP393

A

1008-1151(2012)06-0021-02

2012-05-06

朱震（1976－），天津人，桂林电子科技大学信息科技学院助教。