校园网的安全及对策
- 格式:pdf
- 大小:227.57 KB
- 文档页数:2
: 豳墨
校园 网的安全及对策
李 奎
(宿迁高等师范学校数学系,江苏宿迁223800)
摘 要:随着学校信息化建设的不断加强。应用领域在
不断扩展.但是面对的安全威胁也在不断增加,校内和校外的
安全威胁同时存在 保障校园网的安全运行成为校园网建设
中的重要课题。使用防火墙进行访问和控制,采用入侵检测系
统。VLAN技术的使用,VPN使用。漏洞扫描,身份认证等方式
保证信息化校园的安全。建立较为全面的校园信息安全体系。
关键词:安全威胁校园网络解决方案
1.引言
由于互联网技术的快速发展.网络在校园中的应用领域 越来越广,参与了学校的教学、科研、管理、校园一卡通和对外
交流等。已成为高校不可或缺的基础设施。但是由于网络设 计的开放性、互联性及对安全的防护设计先天不足,随着网
络规模的扩大。面临的安全威胁种类不同,而且增长速度惊
人。因此需要建构各种技术融合的立体的安全体系保障校园 网的安全。
2.校园网络面临的威胁 安全威胁的类型包括数据安全和系统安全。当前校园网
络中的绝大部分机器采用Windows系统.漏洞最多,经常被黑
客攻击,受到的病毒威胁也最多,这些都是系统安全的范畴。
而数据安全威胁主要指信息被窃听,篡改、无法传递和伪造信 息。网络在运行中面临的安全威胁的表现有如下方面:
(1)非法访问。利用假冒和欺骗的手段获得合法的访问权 限,或者超越用户拥有的合法权限获取资源,篡改信息.改变
设备的配置信息.甚至是从事违法犯罪活动。校园网络是对学
生开放的,但是有许多资源是要授权访问的。比如成绩管理系 统和在线考试系统都需要口令。从校外访问网站一些期刊、科
研信息与成果等资源也是需要身份验证的。大学生群体中也 会存在一部分人试图利用已学技术非法访问一些资源。 (2)木马、病毒泛滥。用户使用感染病毒的U盘及其他存储 设备,访问一些带有病毒的网站,收取藏有病毒的邮件附件。
这些因素都可导致计算机感染病毒.由于处在网络中。传播迅
速,带来了极大危害,威胁了计算机网络的安全。 (3)因特网上非法和不良内容的访问。学生可以通过校园
网络访问因特网,而因特网上资源鱼龙混杂,存在色情、暴力、
赌博等网站,大学生群体是所有网民中最活跃的,很容易就可
以接触到这些信息。阻止学生浏览和下载不良信息.促进学生 身心健康成长也是学校德育工作的一个方面。
(4)拒绝服务攻击。此攻击的目的是使计算机或网络无法 提供正常的服务。有带宽攻击和连通性攻击。常见的带宽攻击
指用大量的垃圾信息冲击网络。使得所有可用资源被消耗殆
尽.无法处理合法的用户请求。连通性攻击指大量的信息冲击 计算机消耗掉计算的操作系统资源,计算机无法满足合法用
户的请求
(5)安全漏洞。微软是这样定义的:即使使用者在合理配 置了产品的条件下。由于产品自身存在的缺陷.产品的运行可
能被改变从而带来非设计者预期的后果,并可能最终导致安 全性被破坏的问题,包括使用者系统被非法侵占,数据被非法
访问并泄露,或系统拒绝服务等。漏洞本身不会对系统产生损
害,只有其被恶意利用时才会产生危害。 3.校园网络安全解决方案
针对校园网络的安全.可以采用多种先进的技术构建一 个网络安全体系.最大限度地发挥这个体系的功能,应对来自
网络内部和外部的安全威胁.但是几乎不可能从根本上解决
网络安全问题。目前主要有防火墙技术、VPN技术、VLAN技 术、分布式防毒软件、入侵检测技术、身份认证等。
安全技术采用的越多。安全保障就越有力,但由于成本等 因素,部分高校不可能使用许多的技术构建一个层次分明的
fI(x1)=sin(Irx1)
f2(x2)=COS(Ti'X2)
f3(f,,f2)=sin('rrx1)+cos(crx2)=‘
(‘)=《
对分解之后的函数公式进行求解,通过BP算法的求解,从
而达到对函数公式求解的目的。 3 函数求解过程中所使用的方法对比
在使用神经网络进行求解的过程中。神经网络的结构呈
现出较为复杂的特点,由于缺少经验作为基础。因此只能进行 多次的尝试和摸索,比较花费人力,浪费时间,得到的结果还
不理想,存在一系列的问题。例如速度慢、规律复杂等。本文介 绍的案例就进行了反复的尝试.得到的输出三维图与最理想
的三维图之间还存在差异。 把原来较为复杂的函数公式分解成多个简单的函数公式
之后,在通过多神经网络集成方法进行求解的过程中。每个函
数公式都很简单,在训练的过程中,也不存在大量的拼凑和尝 试。能够在短时间内就确定函数公式结构的参数。将与函数公
式有关的阈值和训练值等都存储在神经网络的知识库中,在
遇到同类型的函数公式求解时,就可以从神经网络知识库中
直接调用即可。不仅计算的速度快,输出结果的精确度也很 高。通过神经网络集成方法找到的函数公式的输出三维图,与
最优的三维图之间非常的相似,差异不大,可以忽略不计。 三、结语
在神经网络知识库的基础上使用多神经网络集成方法进 行问题的求解时,不仅可以大大节省求解所用的时间,而且可
以大大提高输出结果的精确度。可以将复杂的问题分解成多
个简单的问题,以提高神经网络的工作效率,对计算方法进行
创新和发展。
参考文献: [1]林民龙.基于神经网络集成的增量式学习[D].中国科
学技术大学,2012. 『2]唐东波.基于神经网络集成的电信客户流失预测建模
及应用[J].大众商务,2010(06). [3]李明爱,王蕊,郝冬梅.基于神经网络集成技术的运动
想象脑电识别方法[J].北京工业大学学报,2011(03). [4]刘大有,张冬威,李妮娅,刘杰,金弟.基于网络聚类选
择的神经网络集成方法及应用[J].吉林大学学报,2011(O4).
f5]潘远.粗集约简的神经网络集成在遥感影像分类中的 应用[D].辽宁工程技术大学,2012.
[6]汤红忠,徐瑜,张东波,郭雪峰.基于目标数据修正的
差异性神经网络集成方法[J].信息与控制,2013(01).
江西省教育科学“十二五”规划课题。题名:基于神经网络的
高职气象类学生网络学习评价模式论证;课题编号:12YB207。
129 ■墨璧 _ .
安全防护体系。下面简单探讨由各种技术构建的校园安全体
系结构。 (1)防火墙技术。防火墙是一种用来加强计算机网络之间
访问控制的特殊的网络互联设备,对流经防火墙的数据按照
规定的策略进行检查,允许内部用户对外网的合法访问,阻止 对内部信息资源的非法访问,过滤掉不良信息的目的,即只允
许被授权的访问。防火墙的技术在不断发展,功能和分类也在 变化.根据防火墙处理的对象不同,可以分为包过滤防火墙和
应用层网关。 包过滤防火墙是早期的一种防火墙,检查通过防火墙的
每一个数据包报头。用一个新的报头替换掉旧报头,离开防火
墙。这种工作方式不占用带宽,但是攻击者可以得到防火墙内 部的地址并锁定机器,同时防火墙只检查源IP地址,容易受到
IP欺骗攻击。
应用层网关也叫代理服务器.运行在应用层上,客户端 将请求送至代理服务器,由代理服务器向服务器请求数据,
代理服务器收到后交给客户端。应用层网关阻隔了外界和内 部的直接联系.减少了蠕虫、木马等造成的危害。但是每次连
接时有多余的开销,访问速度会变慢,每一个服务都需要一
个特定的代理软件.新开发的应用.也需要开发相应的代理
服务。 (2)入侵检测系统。入侵检测技术是一种主动安全技术,
收集网络系统内若干不同关键点的信息,分析采集的信息与 已知的网络入侵和系统误用模式数据库进行比较,发现网络
系统中存在的攻击和违反安全策略的行为,发出警报并可协
调防火墙拦截数据。 入侵检测系统应尽可能在更大的范围内采集信息,这样
才有可能发现疑点,数据负荷比较大;只能发现已知的入侵行 为。没有智能:有一些正常的数据的特性符合已定义的策略而
被误报.同样一些真正的入侵行为没有发现而被漏报。
(3)虚拟局域网VLAN。虚拟局域网是将一些有共同需求
的设备划分成一个网段而构成一个逻辑组.突破了地理位置 的局限。但是必须属于一个逻辑广播域,对于一个VIAN内的
终端可以分布在不同的交换设备上。 由于广播信息限制在同一个VIJAN内,减少或者避免了网
络风暴.同时提高了网络整体的带宽。设置交换机访问控制列 表可以实现不同虚拟网间的访问。对不同位置的用户加人或
退出VLAN.通过对交换机做一些设置和更改就可以轻松实
现,摆脱了传统的网关方式。设置交换设备的ACL可以实现基 于访问表的安全防范策略。
(4)VPN。高校近年的快速扩张,导致一个高校拥有多个 校区.校区之间需要安全的数据共享.师生员工不在校园需要
访问校内资源时,使用VPN就是一个很好的解决方案.既兼顾
了经济成本又提高了安全。VPN是公用网络平台上搭建的点 到点的逻辑链路,并不存在物理上的线路.用户的数据在专用
的虚拟通道中进行传输.使用了加密和认证技术。拥有了类似
专用网的安全性能,可以实现数据的安全传输。目前常见的技 术有IPSecVPN、MPLSVPN和SSLVPN。高校一般采用SSLVPN解
决方案。
SSLVPN是基于应用层的且不需要专用的客户端软件的 方案,能够细化接入控制功能,提供用户级别的认证,用户可
以从任何地方远程连入企业内部网.由于SSLVPN安装在内网 防火墙之后,可以在不改变原有的网络结构情况下增加需要
VPN服务的服务器。但是SSLVPN允许用户从任何地方运行 Web浏览器,访问网络资源。网络会暴露于情况不明的计算机
面前,有可能遭到攻击,一些SSLVPN解决方案为了提供功能
全面的访问会要求客户端浏览器安装插件.但是远程主机因
不允许而遭到拒绝访问。同时,浏览器可能会把文档和屏幕缓 存存在远程主机上,只要点一下后退按钮.就有可能显示机密
信息,给企业内部网带来很大的安全隐患。SSLVPN具有广泛 的适用性和使用的方便性,可以远程访问内网B,s服务器、邮
件服务器等,VPN具有极强的可控制性,为用户提供个性化的
130 服务和管理,用于访问只有内部网才有权访问的专用信息资
源,例如付费的数据库及技术资料等。 (5)身份认证。由于校园网的规模较大,而用户群也最活
跃,师生员工接触到新技术的可能性也比较大.特别是学生充 满好奇。校园网面临终端有意或无意的攻击。发起arp攻击的
主机占用了整个网段的IP地址,其他机器无法接入网络:还有
常见的DDOS攻击,网络的带宽被耗尽后无法提供正常的服 务。同时学校的教学和科研也决定了校园网的开放特质,因此 为了校园网络的安全,大部分高校采用了身份认证方式接人
校园网。
身份认证方式也经历了几个发展阶段。最早期的就是 PPPOE的身份认证系统,它对每个数据包都要进行拆解、识
别,再次封装后转发,所有的工作是由价格昂贵的宽带接入服
务器来处理的,一旦数据包过多,封装速度跟不上就成了瓶 颈。随后出现了基于业务类型的Web/P0rtal认证方式,用户只
要用Web浏览器就可完成认证,简单快速。但是由于工作原理
限制在断电等异常故障后不易检测到用户离线状态。用于计 费系统也不合适。现在采用802.1x协议实现身份认证解决了以
往身份认证方式的缺陷,实质是对以太网端口进行识别。认证