基于组合模型P-WPDRRC的校园网络安全体系研究
(青岛西海岸新区高级职业技术学校 山东青岛 266400)
摘要:校园网络归属于局域网的范畴,是学校自己的网络,主要覆盖教学办公区及学生宿舍区。由于校园网络的用户群体较大,并且有些数据信息的重要程度较高,所以保证校园网络安全尤为必要。文章从校园网络安全需求分析入手,对基于组合模型P-WPDRRC的校园网络安全体系的构建过程展开论述,期望能够对促进校园网络安全性的提升有所帮助。
关键词:P-WPDRRC安全模型;校园网络;安全体系;构建
信息时代的到来,使计算机网络的普及程度进一步提升,在这一背景下,很多学校都建立了自己的网络。校园网络给教师的工作和学生的学习与生活,提供了便利条件,但安全问题也随之出现。为此,构建校园网络安全体系势在必行。下面重点就基于组合模型P-WPDRRC的校园网络安全体系展开研究。
1校园网络安全需求分析
校园是一个比较特殊的场所,由此使得校园网安全需求呈现出与一般场所不同的特点,具体的校园网络安全需求包括以下几个方面的内容:
1.1用户的需求
对于校园网络而言,学生和管理人员是校内的主要用户,除此之外,还有部分校外用户,上述用户可以在自身限权内,对校园网中的相关资料进行访问和利用。用户的访问记录会被计算机系统以数据的形式记录下来,为追踪调查提供依据。不同的用户拥有的权限不同,任何用户都不可以超出自身的访问权限。而校外用户能够访问校园网中的一般性资源,为避免重要的资源被非法访问,校外用户的访问信息会被系统记录,由此使校园网的安全得到保障。
1.2应用环境的需求
校园网通常采用的是层次设计,由以下几个层次组成:操作系统层、网络层、应用层等,各层对校园网络的安全需求如下:
1.2.1操作系统层。该层应当具备的基本功能为监管所有终端操作系统,对于校园网络的控制及处理等工作,可以通过杀毒软件来完成。同时要具备自检功能,并能将检测所得的结果传给系统管理人员,当管理人员收到后,可根据检测结果,对安全体系加以改进,提高校园网络的安全性。除此之外,操作系统层还应当具备服务器及终端安全配置的检测功能,从而达到降低相应风险的目的。
1.2.2网络层。该层应具备对校园网络中所有信息进行安全加密的功能,采用的加密方式要可靠,以硬件加密为主,因为这种加密方式的速度更快,级别更高。因校园网中的信息量比较大,若是全部加密,则会增大网络安全负担。所以要确保加密的信息量适当。
1.2.3应用层。该层应当具备保护各类服务器的功能,尤其要对WWW和FTP进行重点保护,为实现这一目标,应用层应具有漏洞自动检测的功能,使漏洞在被入侵者利用前得到有效处理[1]。对于入侵者的非法入侵行为,应当能够及时检测,并对相关信息加以记录,发现入侵者的踪迹。
1.3网络平台的需求
在校园网络平台中,存在的安全风险有以下几个方面:数据风险、硬件风险等。为有效防止上述风险,要求校园网络安全体系应当具备设备冗余能力,并且可以处理针对数据链路发起的攻击,从而保证网络安全。
2基于组合模型P-WPDRRC的校园网络安全体系构建
在网络安全体系的构建过程中,需要使用到安全模型,较为典型的有PDR、PPDRR、CISCO、WPDRRC等。其中WPDRRC模型是由“八六三”专家组提出,与我国国情相符的信息系统安全保障体系建设模型。为构建出安全性更高的校园网络安全体系,决定将PPDRR与WPDRRC两个安全模型组合到一起,下面对具体的构建过程展开分析。
2.1构建原则
本次构建校园网络安全体系中,引入PPDRR与WPDRRC安全模型,以下简称P-W模型,基于该模型的校园网络安全体系构建原则如下:
2.1.1全面性原则。设计校园网络安全体系时,要对各方面因素予以综合考虑,在确保体系具有针对性的同时,应当能够解决校园网中基本的安全问题,并对校园全面覆盖。
2.1.2简便性原则。设计的校园安全网络体系应当结构简单,便于操作,流程不要太过复杂,在保证安全的前提下,尽可能减少审核环节,及时对网络中的风险问题加以处理。
2.1.3经济性原则。校园网络安全体系的构建,主要是为了确保校园网及相关数据信息的安全性,故此要满足校园内部的使用需要。因学校的经费及人力有限,体系建成投用后,不会有太多的资源用于维护。所以构建体系时,要遵循经济性原则,最大限度减少资金的投入。
2.2体系架构
PPDRR与WPDRRC这两个安全模型均为平面模型,具体应用时,存在信息传递单一性的问题,而将二者联合后,便可构成三维结构,在解决信息传递问题的基础上,使体系的安全性得到提升。为满足校园网络安全需要,P-W模型采用七大模块,分别为预警、策略、防护、检测、响应、恢复、反击,按照上述模块,提出校园网的安全体系架构[2]。具体如图1所示。
图1 P-W校园网络安全模型架构示意图
按照图1中的架构,设定以下三个维度:分别为安全防范层次、影响因素集、P-W模型。在上述三个维度中,P-W模型是最为重要的环节,它将校园网络安全细分为如下方面:安全策略、安全预警、安全防护、安全检测、响应、恢复、反击等[3]。P-W安全模型以解决校园网络中的安全问题为首要任务,在此基础上形成具有高度安全性和可靠性的网络体系,对校园网络中的安全风险进行全面分析后,作出预警,并提供安全问题的解决策略,最大限度减少来自于校园外部的攻击,提升校园网的整体性能,保证网络运行的安全性。
2.3关键技术
在基于P-W模型构建校园网络安全体系的过程中,需要应用到相关的安全防范技术,具体包括法防火墙技术、入侵检测技术、主动防御技术等。在P-W安全模型中,入侵检测是不可或缺的技术,它的作用是阻止来自于校园网络外部的入侵。防火墙技术虽然能够阻止外部入侵,但却无法拦截所有的入侵,并且对于校园内部的攻击行无法处理。基于此,可将入侵检测与防火墙联合运用。
2.3.1防火墙+入侵检测。①实现方法。为使两项技术有机结合,应放开接口实现连接,通过协议的设定,使二者之间能够进行数据交换和命令传递,这样不但能够使入侵检测的灵活性得到进一步提升,而且还能使两项技术原本的性能不受影响。建立入侵检测系统前,要对入侵行为的判断准则合理设定,系统运行后,检测程序会以准则为依据,对入侵行为加以识别。而防火墙则应按功能设置,可将之布设在内、外网延伸的主干线上,遵循安全过滤的原则进行布设,以网络协议作为主要依据,对通过防火墙的数据进行检测分析,违反网络协议的数据,全部剔除[4]。同时,绑定IP地址,防止账号被盗,重点分析带有攻击性的网络行为,根据攻击特点,采取预防措施,避免受到影响。
②联动方式。防火墙与入侵检测的联动方式有嵌入式和连接式,前者的实时性和效率较高,应用较多,而后者更加灵活,联动性和实时性更强,推荐采用连接式,即通过开放接口使二者相连接。二者联动后的关系如图2所示。
图2 防火墙与入侵检测系统联动关系示意图
联动后,两项技术在网络安全方面的作用能够得到全面发挥,有助于校园网络安全性的提升。
2.3.2主动防御。在P-W模型中,主动防御是利用蜜罐、伪装等技术,分析外界攻击,以此来掌握其规则,制定阻止策略,为校园网络提供安全保障。入侵防御系统具有良好的主动防御性,可对网络攻击行为作出及时响应,数据经过该系统时,能将可疑的数据及链接拦截下来。
2.4体系的实现
2.4.1物理安全。物理安全是校园网络安全体系的基础和根本保障,故此必须保证所有网络基础设施的安全性,一方面要防止水火等灾害对基础设施和线路的影响,另一方面应减轻人为因素的影响。在计算机网络机房的建设过程中,应当严格按照相关规范的要求进行机房选址,并选配安全系数较高的物理设备,以此来提高物理安全性,以免因机房设备出现问题,对校园网络的安全运行造成影响。供电线路采用两路,一主一备,保证网络供电的可靠性,机房内加装相应的控制设施,对环境温湿度加以调控。为避免闲杂人等误入机房重地,可引入门禁系统,并增加指纹或面部识别功能,如有必要,则可安排专人看管。
2.4.2网络安全。网络安全的核心是保证数据的传输与存储的安全性,在校园网络数据问题比较常见,因此,为确保数据安全,应将重点放在通信安全方面,具体的实现方法如下:
①基于校园网的特征,在隔离内网时,可以运用VLAN技术,分区、分部门、分楼栋隔离。通过这种隔离方式,有助于加大网络访问的控制力度,防止外界对内网的入侵及破坏。
②基于VPN技术,构建校园内外网使用的安全隧道,数据信息经安全隧道进出,这样可以使网络入侵问题得到有效解决。
③要保证校园网出口边界的安全性,对此可以采用防火墙技术,将智能防火墙设置在出口边界,并在核心交换机与防火墙之间增加高性能的路由设备,以此来消除瓶颈问题[5]。
④为对访问校园网络局部网的内部资源进行有效控制,可以采用访问控制列表ALC技术,依托该技术,完成出网策略的部署,使病毒被有效阻断,资源安全随之得到可靠保障。而在链路层上,可通过相关的技术,限制并阻隔非法用户进入内网。
2.4.3系统安全。选择安全程度高的网络操作系统,这里的安全程度主要与操作系统自身的缺陷、安全配置等方面有关。在操作系统选定后,为进一步提高其安全性,可采取如下措施:定期更新系统补丁,修复漏洞,避免病毒侵入;将无用的服务全部关闭,这样除了能够消除潜在的入侵威胁外,还能使系统的运行速度得以提升;设定口令文件,并对相关的使用及访问权限严加管理,为避免口令被盗,应当将其设置的尽可能复杂;对系统漏洞及时扫描,发现问题在第一时间修复。
2.4.4应用安全。校园网的应用系统涵盖的内容相对较多,如OA、教务、人事等,为使上述系统的安全得到保障,可采取如下措施:设立信息审计机制,以此来防范外界的攻击,发现安全问题后,分析日志信息,并追踪事件,查明原因,修复漏洞,使系统恢复安全;做好备份与恢复,针对校园网内的重要数据信息,如财务资金信息、学生成绩信息等,可以采用硬件+软件的方式进行备份,以免数据丢失,造成严重的后果。
3结论
综上所述,校园网络安全体系的构建是一项较为复杂的工作,为使构建的体系满足校园网络的应用需要,可对P-WPDRRC模型合理运用。未来一段时期,要加大对校园网络安全技术的研究力度,通过优化和改进,使相关技术更加完善,从而更好的为校园网络安全服务。
参考文献
[1]黄丽君.基于5G新技术的智慧校园网络安全风险分析及策略研究[J].信息记录材料,2022(8):204-206.
[2]杜骏震; 常松丽.试论新技术融合下的校园网络安全防御[J].山西广播电视大学学报,2021(3):87-92.
[3]魏学勇.基于Markov模型的智慧校园网络安全攻防策略[J].电子设计工程,2021(15):72-76.
[4]白亚秀.基于BAS-RVM的校园网络安全量化评估体系设计与研究[J].微型电脑应用,2020(6):100-103.
[5]刘海龙,张刚刚.浅谈智慧校园总体框架网络安全风险评估的运用[J].网络安全技术与应用,2020(5):97-99.
