校园网络安全的保护机制构建与应用

　　

        0 引言
　　
　　随着校园网的规模不断增大，其服务人数也在逐年增多，因此关于校园网的安全问题越来越受到人们的关注[1].尤其是现阶段网络中时常出现的网络病毒和黑客攻击行为，这已经给校园网络的运行造成了巨大的安全隐患。传统保证静态网络和单一网络的安全策略已经不能满足当今的安全需求，而且简单的动态安全策略也不能全面应对所有的入侵攻击行为，因此校园网络急需一种能够提供全面保护的网络安全模型体系。
　　
　　本文首先详细介绍了校园网络面对的安全威胁，接着针对校园网络安全进行需求分析，然后制定校园网络安全体系的设计原则和设计目的，最后进行基于动态安全模型的校园网络安全体系的构建，其重点是应用了基于动态安全模型的攻击入侵检测技术和防火墙技术。
　　
　　1 校园网络的安全需求分析
　　
　　1.1网络平台安全需求分析
　　
　　考虑到来自物理 层和数据链 路 层 的 安 全 威胁，校园网络安全体系应该具有以下功能：
　　
　　（1）校园网络安全体系应该加强网络工程的建设，尽量降低硬件设施的冗余程度，改进网络错误修复机制，从而进一步提高整个网络系统的抗攻击能力。
　　
　　（2）校园网络安全体系可以有效抵御来自数据链路层的入侵攻击，当基于内容的寻址存储器的表格受到破坏后，网络安全系统还可以利用配置安全端口的交换机来阻止无效地址的访问。
　　
　　另外为了有效预防互联网方面的网络安全风险，校园网络安全体系还应该在校园内部网络和外部网络之间构建信息控制策略，以此形成有效的信息访问和控制机制，该机制的目的地址为校园网络内部，而整个机制服务的重点为互联网。校园网络安全体系还可以通过分析访问数据包的特点来及时识别危险数据。
　　
　　1.2应用环境的安全需求分析
　　
　　基于应用环境的安全需求主要包括三个方面的内容，分 别 为 应 用 层、网 络 层 以 及 操 作 系 统层[2].校园网络安全体系的安全功能需求主要有以下几个方面。
　　
　　（1）网络安全体系可以针对网络层中的数据信息提供加密服务，主要因为应用在网络层中的TCP/IP协议不会提供数据加密服 务，因此该系统需要首先加密信息数据，然 后再利用TCP/IP协议进行数据传输，尤其是与用户有关的私密信息需要进行加密处理。
　　
　　（2）面对操作系统本身存在的安全隐患，网络安全体系可以在服务器端上管理和监控基于网络终端的操作，而且还可以安装基于网络的杀毒软件，以此实现对整个网络的病毒或攻击的监控与防御。
　　
　　（3）校园网络安全体系还能够为服务器提供安全防护服务，尤其是校园网络中存在的文件传输服务以及万维网服务等，该安全体系都可以为这些重要网络服务功能提供全方位的安全保护。
　　
　　2 校园网络安全体系的构建与应用
　　
　　2.1动态安全模型
　　
　　本文采用的基础安全模型为P2DR2安全模型，并在此基础上利用网络安全技术构建基于管理网络、应用网络、平台网络、系统网络以及物理网络等方面的安全模型，分析现有的网络安全实现方案，重点研究攻击入侵检测技术以及防火墙技术，以此实现基于可预期的入侵攻击以及不可预期的入侵攻击的安全防护。
　　
　　2.1.1动态安全模型P2DR2在1995年，有学者首次提出了动态基于闭环控制的网络安全方案，并得到广泛关注[3].科研人员根据网络安全的需求以及构建的安全目标先后提出了改进型的安全防护方案，比如PDR和P2DR2等就是经过改进的动态安全防护方案。需要重视的是，随着互联网交流的日益频繁，关于互联网安全的恶性事件发生次数也越来越多，人们已经将网络安全作为评价网络优劣的重要标准。校园网络已经成为高校发布信息的重要平台，同时也是师生交流的重要纽带，因此校园网络的安全性一直是人们关注的焦点话题。
　　
　　P2DR2安全模型结构示意图如图1所示，其主要包括五个部分：策略、主体、客体、检测以及保护。
　　 　　
　　2.1.2 P2DR2的不足P2DR2安全模型已经成为成熟的网络安全模型，其可以为网络提供行之有效的安全防护服务。但是随着互联网技术的不断发展，网络威胁等级以及网络入侵手段也在不断升级，该安全模型提供的安全防护策略也存在着不足，主要体现在[4]:
　　
　　（1）P2DR2安全模型没有针对严重安全情况的主动报警服务。也就是说在该模型中，无论出现何种登记的安全状况，比如黑客的入侵攻击行为或者私密信息窃取行为，该安全模型只是将这些行为形成系统日志，而且需要系统管理人员查看才能够得知攻击行为，这都会造成安全报警的延迟，严重影响了网络安全体系的防护应急性。
　　
　　（2）P2DR2安全模型的安全风险评估能力较差，该模型并不会专门分析当今网络所面临的安全风险。相比以前网络攻击手段较为单一，现阶段网络安全已经面临着各式各样的网络威胁，比如黑客恶意攻击以及网络病毒入侵等。网络安全问题是一个全面性的问题，并不是几个方面或者几个点的安全防护，而是全方位、立体化的安全防护，这就需要对网络中存在的各种隐患或者威胁进行分析和评估，然后针对各个威胁的特点制定相应的防范策略。
　　
　　（3）P2DR2安 全 模 型 没 有 提 供 安 全 预 警 功能。针对校园网络安全体系，安全防范和预警的重要性甚至比直接处理攻击和入侵更加重要。总体来讲，安全主动防御的效果要比静态的防御好，而且安全预警功能能够提 前 发现网络存 在安全漏洞，并利用基于安全风险分析的方式进行统计和分析，最后针对主机设备、网络硬件设备以及边界设备加强安全防护，或者针对应用层进行行之有效的安全防护升级。