校园网网络安全技术探析.docVIP

校园网网络安全技术探析 　　【摘 要】 本文结合校园网的网络体系特征，从物理层、链路层、网络层、传输层、系统层、应用层、管理层七个方面对校园网面临的安全风险做了全面详细的分析。并对当前主流的网络安全技术如防火墙、入侵检测、虚拟专用网、身份认证、数据备份技术等进行了介绍，阐述了校园网络安全需要重点关注的安全技术。 　　【关键词】 网络安全 安全风险 防火墙 入侵检测 身份认证 　　1 校园网络的安全风险分析 　　校园网安全的风险来自于网络的各个层面，首先，校园网是一个基于TCP/IP协议的大型局域网，TCP/IP协议采用四层的层级架构，由网络接口层、网络层、传输层和应用层构成，每一层在执行特定的通信任务同时面临着本身缺陷所带来的风险。其次，学校各部门业务应用以及支持这些应用运行的操作系统、数据库，存在很多的安全漏洞。最后，安全管理机制、网络安全策略以及防护意识的不足所带来的风险也不容忽视。下面从物理层、链路层、网络层、传输层、系统层、应用层、管理层七个方面对校园网面临的各种风险进行简要分析。 　　1.1 物理层的安全风险 　　物理层安全风险指的是由于物理设备的放置不合适或者环境防范措施不得力，使得网络设备、设施包括服务器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以及UPS等遭受水灾、火灾、地震、雷电等自然灾害、意外事故或人为破坏，造成校园网不能正常运行。 　　1.2 链路层的安全风险 　　数据链路层位于物理层上方和网络层、传输层的下方，通过各种控制协议和规程在有差错的物理信道中实现无差错的、可靠的数据帧的传输[1]。这一层遭受攻击会直接危胁其他各层。链路层的安全问题主要有：内容寻址存储器（CAM）表格淹没、地址解析协议（ARP）攻击、DHCP欺骗、媒体存取控制地址欺骗、虚拟局域网攻击等。 　　1.3 网络层的安全风险 　　网络层处于网络体系结构中物理链路层和传输层之间，该层封装IP数据报，进行路由转发，解决机器之间的通信问题。TCP/IP协议族中最为核心的协议IP在网络层应用最为广泛。TCP、UDP、 ICMP及IGMP数据都以IP数据报格式进行传输。这一层的常???安全问题主要有：明文传输威胁、IP地址欺骗、源路由欺骗、路由信息协议攻击、ICMP攻击、端口扫描威胁、IP碎片攻击等。 　　1.4 传输层的安全风险 　　传输层负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议：传输控制协议（TCP）和用户数据报协议（UDP）。安全问题主要有：TCP“SYN”攻击、Land攻击、TCP会话劫持、UDP淹没攻击、端口扫描攻击等。 　　1.5 操作系统的安全风险 　　绝大部分操作系统存在安全脆弱性。目前通用的Windows、 UNIX、 Linux以及其他商用操作系统，在前期设计和后期软件代码的大规模开发过程中不可避免的存在一些缺陷，为调查测试需要有的开发厂商还留下后门，使得操作系统本身存在很多安全漏洞，非常容易被攻击[2]。 　　1.6 业务应用的安全风险 　　目前基于网络的各种应用越来越多，诸如病毒、间谍软件、DDoS攻击、端口攻击、SQL注入、Web漏洞、跨站脚本、网络钓鱼、带宽滥用等形式的安全威胁飞速增长，带来信息风险、网络服务瘫痪甚至财产损失。很多在主机系统上运行的应用软件系统采购自第三方，在部署之前往往只执行了功能测试，没有进行全面标准的安全评估，部署时也往往没有进行安全加固，导致各个应用系统安全水平不一，漏洞不可避免，容易遭受黑客攻击，造成诸多安全问题。 　　2 计算机网络安全技术 　　网络系统安全的保护，必须结合网络的具体需求，将多种安全措施进行整合，建立一个立体的、完整的、多层次的网络安全防御体系。下面主要就校园网络安全防范中应用较多的技术进行介绍。 　　2.1 防火墙 　　防火墙是指设置在信任网络和不可信任网络之间执行控制策略的系统，在不同网络之间构成一道安全屏障。具体实施中可以有硬件或软件的解决方案。它按照事先设定的一系列规则，对进出内外网之间的信息流进行监测、限制和过滤，只允许匹配规则的数据通过，并能够记录有关的访问连接信息、服务通信量以及试图入侵事件，以便管理员分析检测。而且防火墙本身也有很强的抗攻击能力。 　　2.2 入侵检测 　　防火墙一种被动的防御技术，由于假设了网络边界的存在，因此它对内部的非法访问难以有效地控制，它无法防止来自防火墙内侧的攻击。防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。 　　入侵检测系统可以识别针对计算机或网络资源的恶意企图和行为，并对此作出反应。它能够检测未授权对象（人或程序）针对系统的入侵企图或行为，同时监控授权对象对系统资源的非法操作。提