校園網(wǎng)的數(shù)據(jù)網(wǎng)絡(luò)安全問(wèn)題與防范技術(shù)

摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜，大學(xué)已經(jīng)建設(shè)了自己的校園網(wǎng)，校園網(wǎng)的發(fā)展迅速導(dǎo)致校園網(wǎng)安全問(wèn)題日益嚴(yán)重，如何提高校園網(wǎng)的安全性和穩(wěn)定性，是各個(gè)學(xué)校需要重視的問(wèn)題。現(xiàn)在很多的學(xué)校對(duì)校園內(nèi)的局域網(wǎng)進(jìn)行安全處理，比如設(shè)置網(wǎng)絡(luò)防火墻、設(shè)置網(wǎng)絡(luò)服務(wù)器、對(duì)網(wǎng)絡(luò)端口進(jìn)行加密過(guò)濾以及驗(yàn)證，但是這些網(wǎng)絡(luò)數(shù)據(jù)的管理在一定程度上都比較先進(jìn)，但是外部的滲透以及入侵技術(shù)也在不斷地創(chuàng)新，學(xué)校方面也要加大對(duì)校園網(wǎng)數(shù)據(jù)滲透的檢測(cè)和加固設(shè)計(jì)。基于此，本文對(duì)基于滲透檢測(cè)的校園網(wǎng)防御體系來(lái)應(yīng)對(duì)日益嚴(yán)重的校園網(wǎng)安全問(wèn)題進(jìn)行了具體的研究。指出應(yīng)用滲透檢測(cè)系統(tǒng)的校園網(wǎng)安全管理系統(tǒng)具有較強(qiáng)的安全防御功能。關(guān)鍵詞：校園網(wǎng)；滲透檢測(cè)；安全防御；設(shè)計(jì)實(shí)現(xiàn)

一、引言我國(guó)從20世紀(jì)末期進(jìn)已經(jīng)開(kāi)始對(duì)互聯(lián)網(wǎng)中的局域網(wǎng)進(jìn)行管理和控制，互聯(lián)網(wǎng)的信息技術(shù)以及智能化技術(shù)非常強(qiáng)大，所以國(guó)家對(duì)于物聯(lián)網(wǎng)個(gè)人信息以及局域網(wǎng)的信息進(jìn)行大量的滲透管理和檢測(cè)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜，大學(xué)已經(jīng)建設(shè)了自己的校園網(wǎng)，校園網(wǎng)的發(fā)展迅速導(dǎo)致校園網(wǎng)安全問(wèn)題日益嚴(yán)重，如何提高校園網(wǎng)的安全性和穩(wěn)定性，是各個(gè)學(xué)校需要重視的問(wèn)題。通過(guò)國(guó)家數(shù)據(jù)管理委員會(huì)的調(diào)查，我國(guó)大部分的校園網(wǎng)內(nèi)部存在電腦病毒危機(jī)、黑客入侵以及計(jì)算機(jī)內(nèi)部安全問(wèn)題等，還有校園網(wǎng)內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)資源的不規(guī)范使用也是一個(gè)主要威脅，學(xué)生正是好奇心旺盛的年紀(jì)，對(duì)新鮮事物有著強(qiáng)烈的好奇心，單只安全意識(shí)卻明顯薄弱，缺乏全面思考的責(zé)任感，不愿意或者疏于安裝防火墻，殺毒軟件。如果沒(méi)有完善的互聯(lián)網(wǎng)檢測(cè)系統(tǒng)，那么校園內(nèi)的網(wǎng)絡(luò)安全問(wèn)題效應(yīng)會(huì)不斷地?cái)U(kuò)大，對(duì)于校園的學(xué)習(xí)環(huán)境有一定的影響。二、校園網(wǎng)數(shù)據(jù)安全概況校園網(wǎng)數(shù)據(jù)是校園整體交流的中心和支柱。校園網(wǎng)連接每個(gè)校園的子網(wǎng)絡(luò)。校園網(wǎng)的出現(xiàn)問(wèn)題，就會(huì)中斷了學(xué)校的正常操作，甚至導(dǎo)致教育問(wèn)題。同時(shí)也會(huì)造成財(cái)產(chǎn)損失、教育甚至個(gè)人安全，將給學(xué)校帶來(lái)不可挽回的損失。作為校園信息交換的重要基礎(chǔ)，校園網(wǎng)、教育、研修、外匯管理等校園網(wǎng)發(fā)揮著重要的作用。校園網(wǎng)安全直接影響到學(xué)校教育質(zhì)量的結(jié)果。隨著應(yīng)用程序的深化，校園網(wǎng)上的數(shù)據(jù)急劇增加，對(duì)網(wǎng)絡(luò)的攻擊也在增加。各種各樣的安全問(wèn)題開(kāi)始妨礙校園網(wǎng)的正常操作。而且還發(fā)生了網(wǎng)絡(luò)安全事件和校園網(wǎng)安全問(wèn)題。面臨巨大的威脅。校園網(wǎng)一般分為以下部分：中央計(jì)算機(jī)室、教育建筑、辦公樓、研究室建筑、圖書(shū)館、教職員工、學(xué)生宿舍樓等。防火墻直接連接到外部互聯(lián)網(wǎng)，并且路由器執(zhí)行NAT地址翻譯。圖2-1表示校園網(wǎng)的基本構(gòu)造。圖2-1校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖校園主要網(wǎng)絡(luò)攻擊的種類(lèi)有如下幾種：（1）DHCP欺騙攻擊。DHCP攻擊是對(duì)DHCP的嚴(yán)重攻擊。由于DHCP服務(wù)器的IP地址有限，因此網(wǎng)段只能分配254個(gè)IP地址。因此，如果黑客使用工具假裝請(qǐng)求DHCP分配，并且存在大量與該網(wǎng)段對(duì)應(yīng)的DHCP服務(wù)器地址，導(dǎo)致為了數(shù)據(jù)出現(xiàn)紊亂。（2）MAC洪水攻擊交換機(jī)通常建立一個(gè)CAM表，主動(dòng)學(xué)習(xí)客戶(hù)端的MAC地址，建立交換路徑，建立并維護(hù)端口和MAC地址之間的對(duì)應(yīng)表。開(kāi)關(guān)的尺寸不同，但凸輪工作臺(tái)本身的尺寸是固定的。用一種特殊的方法去除MAC，快速填充。這是對(duì)交換機(jī)的MAC/CAM攻擊。（3）ARP欺騙攻擊。ARP在互聯(lián)網(wǎng)中屬于一種重要的結(jié)構(gòu)，它涉及到網(wǎng)絡(luò)分散以及網(wǎng)絡(luò)互連的功能，也就是我們常見(jiàn)的路由器分散無(wú)線(xiàn)網(wǎng)，以及寬帶網(wǎng)關(guān)的數(shù)據(jù)，一般網(wǎng)絡(luò)滲透都是通過(guò)互聯(lián)網(wǎng)的網(wǎng)關(guān)進(jìn)行滲透，或者是通過(guò)路由器進(jìn)行入侵。三、校園網(wǎng)數(shù)據(jù)的安全分析校園應(yīng)用程序的開(kāi)端還可以正常運(yùn)行。但是應(yīng)用程序不斷加深，校園里的各種數(shù)據(jù)量急劇增加，各種安全問(wèn)題開(kāi)始困擾互聯(lián)網(wǎng)管理員和教學(xué)事務(wù)所。具體的網(wǎng)絡(luò)問(wèn)題主要在以下多方面體現(xiàn)：（1）相互非法訪問(wèn)：互訪問(wèn)控制的子系統(tǒng)不是很?chē)?yán)格，不僅在校園網(wǎng)系統(tǒng)中，網(wǎng)絡(luò)的分類(lèi)性能也是相對(duì)平均的。它可以是安全性和可用性。鑒于這一點(diǎn)，最科學(xué)、最不安全這是因?yàn)樾@網(wǎng)建設(shè)的策略層次較淺，而傳統(tǒng)的使用技術(shù)手段，防止非法訪問(wèn)系統(tǒng)的安全結(jié)構(gòu)中的數(shù)據(jù)，但威脅很大但是管理比較混亂的部門(mén)。（2）IP地址的管理問(wèn)題，包括IP地址非法使用、IP地址沖突和IP地址欺騙。（3）網(wǎng)絡(luò)檢索和服務(wù)抗拒攻擊。網(wǎng)絡(luò)端口搜索及使用幾個(gè)字缺陷的掃描軟件，特別是公共電腦室，DDOS以及DOS軟件多資源及大量替換功能的服務(wù)器，影響系統(tǒng)，學(xué)校機(jī)房的網(wǎng)絡(luò)使用性會(huì)出現(xiàn)較大的問(wèn)題，甚至直接造成服務(wù)器癱瘓。（4）蠕蟲(chóng)病毒通過(guò)物理隔離和切換病毒。如果機(jī)房中的計(jì)算機(jī)遭遇入侵，整個(gè)建筑都會(huì)出現(xiàn)VLAN產(chǎn)的問(wèn)題。同樣使用無(wú)線(xiàn)網(wǎng)的管理，管理人員很難進(jìn)行問(wèn)題排出，只能夠通過(guò)機(jī)房機(jī)器的IP地址進(jìn)行相應(yīng)的檢查，這一部分的過(guò)程十分麻煩。（5）學(xué)校校園網(wǎng)如果收到了不良信息的入侵，短時(shí)間是無(wú)法進(jìn)行解決和排查的，這一些不良信息對(duì)于學(xué)校交些以及學(xué)生學(xué)習(xí)都會(huì)造成非常不好的影響，同時(shí)也會(huì)影響學(xué)校的教學(xué)秩序。（6）路由器瓶頸。因?yàn)榫€(xiàn)是直接連接到路由器，一旦遭遇滲透或受到攻擊，將會(huì)對(duì)整個(gè)校園網(wǎng)防火墻進(jìn)行破壞。雖然之間的絕緣和外部網(wǎng)絡(luò)的路由器，路由器可以限制的一個(gè)主要的安全隱患，雖然校園的人員可以通過(guò)路由器停止來(lái)阻斷外部入侵，但是這種防御方式作用有限。一旦入侵的數(shù)據(jù)直接冗余路由器和防火墻，將會(huì)對(duì)整個(gè)校園網(wǎng)造成不利的影響。路由器的交換機(jī)數(shù)據(jù)分析速度回影響后續(xù)病毒入侵的解決速度，所以路由器將成為一個(gè)瓶頸。四、校園網(wǎng)數(shù)據(jù)滲透檢測(cè)系統(tǒng)（一）滲透檢測(cè)技術(shù)的研究滲透檢測(cè)安全技術(shù)(IDS)：電腦網(wǎng)絡(luò)系統(tǒng)在各個(gè)信息收集和分析點(diǎn)中提供網(wǎng)絡(luò)監(jiān)控、違反規(guī)則、安全戰(zhàn)略，提供多種功能。安全監(jiān)視、監(jiān)視、識(shí)別、攻擊、反攻擊、追蹤攻擊、緊急申報(bào)過(guò)程。安全防御系統(tǒng)是一個(gè)動(dòng)態(tài)安全技術(shù)，采用靜態(tài)防火墻技術(shù)，大大提高防火墻系統(tǒng)的安全水平，雖然知識(shí)依賴(lài)單一產(chǎn)品。因特網(wǎng)是整體安全性的載體，一定要補(bǔ)充校園網(wǎng)的防火墻。檢查系統(tǒng)是安全產(chǎn)品的最佳滲透防御頒發(fā)，根據(jù)新的攻擊檢查系統(tǒng)，所有運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)代碼信息的出口最有侵犯性。要根據(jù)行動(dòng)、網(wǎng)絡(luò)反應(yīng)來(lái)避免攻擊和犯罪。可以通過(guò)測(cè)試系統(tǒng)滲透。根據(jù)不同的類(lèi)型不同的焦點(diǎn)。一般分為數(shù)據(jù)分析方法及數(shù)據(jù)源。根據(jù)數(shù)據(jù)分析分析可以分辨不同的方法，可根據(jù)此以上滲透系統(tǒng)的檢索系統(tǒng)濫用不同的數(shù)據(jù)來(lái)源，可以分為主機(jī)滲透搜索系統(tǒng)網(wǎng)絡(luò)搜索系統(tǒng)。網(wǎng)絡(luò)滲透檢測(cè)在一定的程度上是可以對(duì)校園內(nèi)部局域網(wǎng)的外部入侵進(jìn)行阻攔，它是一個(gè)分布式校園電腦以及計(jì)算機(jī)的安全系統(tǒng)，具有網(wǎng)絡(luò)滲透監(jiān)控，滲透實(shí)時(shí)攔截離線(xiàn)滲透處理，滲透檢測(cè)統(tǒng)計(jì)，以及形成完整的通告等多種功能。監(jiān)控網(wǎng)絡(luò)資源的運(yùn)行狀態(tài)，為網(wǎng)絡(luò)管理員提供及時(shí)的網(wǎng)絡(luò)滲透預(yù)警和預(yù)防解決方案，使檢查黑客的滲透成為可能，為用戶(hù)采取進(jìn)一步行動(dòng)提供強(qiáng)大的技術(shù)支持，減少了惡意黑客的威懾力量。本次系統(tǒng)的設(shè)計(jì)主要是為了做到對(duì)校園網(wǎng)數(shù)據(jù)以及信息的滲透預(yù)防，其中包括網(wǎng)關(guān)的入侵、黑客的滲透、數(shù)據(jù)的泄露。因?yàn)閷W(xué)校網(wǎng)絡(luò)數(shù)據(jù)的涉及群眾范圍比較廣，覆蓋的群眾信息以及數(shù)據(jù)非常大，為了更好的進(jìn)行校園網(wǎng)數(shù)據(jù)的保護(hù)，通過(guò)適當(dāng)?shù)臐B透檢測(cè)方式還是非常有必要的。對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的滲透檢測(cè)可以減少非法用戶(hù)以的信息查詢(xún)權(quán)限，內(nèi)網(wǎng)中有關(guān)于異常時(shí)間的查詢(xún)?nèi)罩?，網(wǎng)絡(luò)管理員可以通過(guò)校園網(wǎng)的操作日志進(jìn)行可疑人員IP的確認(rèn)，并對(duì)其的網(wǎng)絡(luò)權(quán)限進(jìn)行限制。發(fā)現(xiàn)內(nèi)部危險(xiǎn)：滲透檢測(cè)放置在網(wǎng)絡(luò)中，識(shí)別授權(quán)用戶(hù)、性能良好用戶(hù)和不滿(mǎn)意用戶(hù)之間的安全事件。網(wǎng)絡(luò)滲透引擎可以放置在網(wǎng)絡(luò)中心核心交換機(jī)等重要位置，主機(jī)滲透檢測(cè)可以安裝在重要服務(wù)器上；緩解潛在威脅：可以安裝在學(xué)校網(wǎng)絡(luò)和主機(jī)上，可以確定具體的或可疑的威脅，通過(guò)策略中斷等安全產(chǎn)品進(jìn)行協(xié)同。綜合保護(hù)；從相關(guān)事件和活動(dòng)的多個(gè)角度提供標(biāo)準(zhǔn)格式的具體數(shù)據(jù)。（二）滲透檢測(cè)與防火墻相結(jié)合的防御技術(shù)的研究滲透檢測(cè)與防火墻的結(jié)合形成了一個(gè)內(nèi)外聯(lián)動(dòng)的多層次、全方位的安全體系。防火墻對(duì)外部和內(nèi)部的入侵信息進(jìn)行及時(shí)的攔截。如果檢測(cè)到的數(shù)據(jù)是正常沒(méi)有危險(xiǎn)的，那么可以直接避開(kāi)檢測(cè)系統(tǒng)，后續(xù)各個(gè)攔截也會(huì)對(duì)其進(jìn)行放行。如果檢測(cè)到的信息以及數(shù)據(jù)不合格，那么首先會(huì)改數(shù)據(jù)進(jìn)行重新檢測(cè)以及滲透檢測(cè)，對(duì)于檢測(cè)過(guò)后依舊是違法的數(shù)據(jù)實(shí)施攔截，對(duì)于檢測(cè)過(guò)后沒(méi)有入侵風(fēng)險(xiǎn)的數(shù)據(jù)進(jìn)行開(kāi)方管理。每種網(wǎng)絡(luò)安全設(shè)備都有其自身的優(yōu)缺點(diǎn)。單個(gè)網(wǎng)絡(luò)產(chǎn)品不能保證網(wǎng)絡(luò)的安全。為了充分發(fā)揮各種安全產(chǎn)品的優(yōu)勢(shì)，彌補(bǔ)其不足，有必要加強(qiáng)各種安全產(chǎn)品的相互合作，形成全面、多層次的安全產(chǎn)品。網(wǎng)絡(luò)安全系統(tǒng)。安全保護(hù)應(yīng)是一種多層次的保護(hù)機(jī)制，包括安全策略、防病毒和防病毒軟件、防火墻、滲透檢測(cè)等安全產(chǎn)品技術(shù)解決方案，積壓的安全產(chǎn)品要協(xié)同工作，相互學(xué)習(xí)，測(cè)試和保護(hù)整個(gè)網(wǎng)絡(luò)，以確保網(wǎng)絡(luò)安全，協(xié)同工作。自信、可用性和完整性。目前，滲透檢測(cè)系統(tǒng)與防火墻之間的接口和連接是通過(guò)開(kāi)放的接口實(shí)現(xiàn)的。換句話(huà)說(shuō)，防火墻打開(kāi)滲透檢測(cè)系統(tǒng)使用的接口。當(dāng)滲透檢測(cè)系統(tǒng)檢測(cè)到威脅時(shí)，相關(guān)信息通過(guò)預(yù)定的協(xié)議發(fā)送回防火墻，然后防火墻進(jìn)行相應(yīng)的處理。這個(gè)過(guò)程更加靈活，不會(huì)影響整個(gè)系統(tǒng)的性能。滲透檢測(cè)系統(tǒng)配合防火墻預(yù)先設(shè)置對(duì)方的通信端口和IP地址。在通信之前執(zhí)行身份驗(yàn)證，所有數(shù)據(jù)通信都需要加密。相互作用原理如圖3-1所示。圖4-1滲透檢測(cè)與防火墻結(jié)合互動(dòng)原理五、基于滲透檢測(cè)的網(wǎng)絡(luò)加固設(shè)計(jì)（一）基于滲透檢測(cè)的體系模型的設(shè)計(jì)構(gòu)建了基于滲透檢測(cè)的校園網(wǎng)安全模型，使系統(tǒng)能夠隨時(shí)主動(dòng)檢測(cè)外部黑客/內(nèi)部網(wǎng)絡(luò)的攻擊，有效應(yīng)對(duì)邊界上的各種安全風(fēng)險(xiǎn)。滲透檢測(cè)系統(tǒng)的主要技術(shù)手段是主動(dòng)檢測(cè)和智能識(shí)別滲透行為，并采取有效措施防止攻擊。根據(jù)校園網(wǎng)的特點(diǎn)和網(wǎng)絡(luò)安全狀況，設(shè)計(jì)了一種基于滲透檢測(cè)的校園網(wǎng)安全模型，如圖5-1所示。圖5-1基于滲透檢測(cè)的校園網(wǎng)安全模型校園網(wǎng)安全模型主要由三部分組成：滲透檢測(cè)系統(tǒng)、防火墻系統(tǒng)和網(wǎng)絡(luò)安全服務(wù)器（數(shù)據(jù)采集、分析和病毒檢測(cè)）。網(wǎng)絡(luò)骨干安全由網(wǎng)絡(luò)滲透檢測(cè)系統(tǒng)（NIDS）、防火墻網(wǎng)關(guān)和網(wǎng)絡(luò)安全服務(wù)器組成，主機(jī)（子網(wǎng)）安全由主機(jī)防火墻、主機(jī)滲透檢測(cè)系統(tǒng)（HIDS）和防病毒軟件組成。（二）核心主機(jī)防護(hù)的實(shí)現(xiàn)在保護(hù)核心主機(jī)的基礎(chǔ)上，對(duì)基于防火墻的系統(tǒng)進(jìn)行了重新優(yōu)化設(shè)計(jì)，如圖5-2所示。在原有兩張網(wǎng)卡的基礎(chǔ)上，將網(wǎng)卡接入內(nèi)部網(wǎng)絡(luò)、Internet和DMZ，采用屏蔽子網(wǎng)防火墻架構(gòu)。主機(jī)放置在子網(wǎng)中形成非軍事區(qū)，通過(guò)兩個(gè)包過(guò)濾路由器與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)連接，將子網(wǎng)與Internet和內(nèi)部網(wǎng)絡(luò)分開(kāi)。防火墻使用公共IP地址接收外部請(qǐng)求，而內(nèi)部網(wǎng)絡(luò)使用保留的IP地址，并使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)通過(guò)路由器訪問(wèn)外部網(wǎng)絡(luò)。在防火墻上配置了根據(jù)上述方案設(shè)計(jì)的滲透檢測(cè)系統(tǒng)，以過(guò)濾大部分攻擊。當(dāng)檢測(cè)到攻擊時(shí)，防火墻策略會(huì)自動(dòng)修改，并執(zhí)行數(shù)據(jù)處理和安全恢復(fù)。圖5-2核心主機(jī)防護(hù)的實(shí)現(xiàn)六、總結(jié)基于校園網(wǎng)絡(luò)安全管理系統(tǒng)的滲透檢測(cè)系統(tǒng)，結(jié)合各種傳統(tǒng)的安全策略和防御工具（如防火墻、防病毒軟件等），將滲透檢測(cè)系統(tǒng)的校園網(wǎng)絡(luò)安全管理系統(tǒng)與靈活的策略配置相結(jié)合，方便升級(jí)管理，結(jié)合防火墻的互補(bǔ)性，繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn)，克服了傳統(tǒng)防火墻的不足。它是一種合理的下一代網(wǎng)絡(luò)安全解決方案，全面、準(zhǔn)確、高效、穩(wěn)定、安全。快速和其他功能。但是，作為一種應(yīng)用系統(tǒng)，本身必然存在缺陷和不足。隨著新防火墻技術(shù)和滲透檢測(cè)技術(shù)的不斷發(fā)展，甚至其他網(wǎng)絡(luò)安全技術(shù)的發(fā)展，當(dāng)前系統(tǒng)的不足將繼續(xù)存在只有不斷應(yīng)用和學(xué)習(xí)新技術(shù)才能改善我們的網(wǎng)絡(luò)保護(hù)。系統(tǒng)可以保證網(wǎng)絡(luò)資源的安全。參考文獻(xiàn)[1]孫影.論高校網(wǎng)絡(luò)建設(shè)中的信息安全[J].中外企業(yè)家,2019(34):230.[2]馬亮,王曉東,賴(lài)小波.智慧校園網(wǎng)絡(luò)與信息安全防護(hù)的實(shí)施——以浙江中醫(yī)藥大學(xué)為例[J/OL].中國(guó)醫(yī)學(xué)教育技術(shù),2019(06):711-714.[3]韋娟,徐翠婷.大學(xué)生網(wǎng)絡(luò)輿情管理研究[J].科技風(fēng),2019(32):195+197.[4]楊楊.試析校園網(wǎng)搭建及網(wǎng)絡(luò)安全設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(11):90-91.[5]楊會(huì).網(wǎng)絡(luò)安全背景下的中職學(xué)校數(shù)字化教學(xué)資源管理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(11):96-97.[6]阮永穎.淺論高校大學(xué)生校園網(wǎng)絡(luò)借貸法