0 引言

隨著校園網的規模不斷增大，其服務人數也在逐年增多，因此關于校園網的安全問題越來越受到人們的關注[1].尤其是現階段網絡中時常出現的網絡病毒和黑客攻擊行為，這已經給校園網絡的運行造成了巨大的安全隱患。傳統保證靜態網絡和單一網絡的安全策略已經不能滿足當今的安全需求，而且簡單的動態安全策略也不能全面應對所有的入侵攻擊行為，因此校園網絡急需一種能夠提供全面保護的網絡安全模型體系。

本文首先詳細介紹了校園網絡面對的安全威脅，接著針對校園網絡安全進行需求分析，然后制定校園網絡安全體系的設計原則和設計目的，最后進行基于動態安全模型的校園網絡安全體系的構建，其重點是應用了基于動態安全模型的攻擊入侵檢測技術和防火墻技術。

1 校園網絡的安全需求分析

1.1網絡平臺安全需求分析

考慮到來自物理 層和數據鏈 路 層 的 安 全 威脅，校園網絡安全體系應該具有以下功能：

（1）校園網絡安全體系應該加強網絡工程的建設，盡量降低硬件設施的冗余程度，改進網絡錯誤修復機制，從而進一步提高整個網絡系統的抗攻擊能力。

（2）校園網絡安全體系可以有效抵御來自數據鏈路層的入侵攻擊，當基于內容的尋址存儲器的表格受到破壞后，網絡安全系統還可以利用配置安全端口的交換機來阻止無效地址的訪問。

另外為了有效預防互聯網方面的網絡安全風險，校園網絡安全體系還應該在校園內部網絡和外部網絡之間構建信息控制策略，以此形成有效的信息訪問和控制機制，該機制的目的地址為校園網絡內部，而整個機制服務的重點為互聯網。校園網絡安全體系還可以通過分析訪問數據包的特點來及時識別危險數據。

1.2應用環境的安全需求分析

基于應用環境的安全需求主要包括三個方面的內容，分 別 為 應 用 層、網 絡 層 以 及 操 作 系 統層[2].校園網絡安全體系的安全功能需求主要有以下幾個方面。

（1）網絡安全體系可以針對網絡層中的數據信息提供加密服務，主要因為應用在網絡層中的TCP/IP協議不會提供數據加密服 務，因此該系統需要首先加密信息數據，然 后再利用TCP/IP協議進行數據傳輸，尤其是與用戶有關的私密信息需要進行加密處理。

（2）面對操作系統本身存在的安全隱患，網絡安全體系可以在服務器端上管理和監控基于網絡終端的操作，而且還可以安裝基于網絡的殺毒軟件，以此實現對整個網絡的病毒或攻擊的監控與防御。

（3）校園網絡安全體系還能夠為服務器提供安全防護服務，尤其是校園網絡中存在的文件傳輸服務以及萬維網服務等，該安全體系都可以為這些重要網絡服務功能提供全方位的安全保護。

2 校園網絡安全體系的構建與應用

2.1動態安全模型

本文采用的基礎安全模型為P2DR2安全模型，并在此基礎上利用網絡安全技術構建基于管理網絡、應用網絡、平臺網絡、系統網絡以及物理網絡等方面的安全模型，分析現有的網絡安全實現方案，重點研究攻擊入侵檢測技術以及防火墻技術，以此實現基于可預期的入侵攻擊以及不可預期的入侵攻擊的安全防護。

2.1.1動態安全模型P2DR2在1995年，有學者首次提出了動態基于閉環控制的網絡安全方案，并得到廣泛關注[3].科研人員根據網絡安全的需求以及構建的安全目標先后提出了改進型的安全防護方案，比如PDR和P2DR2等就是經過改進的動態安全防護方案。需要重視的是，隨著互聯網交流的日益頻繁，關于互聯網安全的惡性事件發生次數也越來越多，人們已經將網絡安全作為評價網絡優劣的重要標準。校園網絡已經成為高校發布信息的重要平臺，同時也是師生交流的重要紐帶，因此校園網絡的安全性一直是人們關注的焦點話題。

P2DR2安全模型結構示意圖如圖1所示，其主要包括五個部分：策略、主體、客體、檢測以及保護。

2.1.2 P2DR2的不足P2DR2安全模型已經成為成熟的網絡安全模型，其可以為網絡提供行之有效的安全防護服務。但是隨著互聯網技術的不斷發展，網絡威脅等級以及網絡入侵手段也在不斷升級，該安全模型提供的安全防護策略也存在著不足，主要體現在[4]:

（1）P2DR2安全模型沒有針對嚴重安全情況的主動報警服務。也就是說在該模型中，無論出現何種登記的安全狀況，比如黑客的入侵攻擊行為或者私密信息竊取行為，該安全模型只是將這些行為形成系統日志，而且需要系統管理人員查看才能夠得知攻擊行為，這都會造成安全報警的延遲，嚴重影響了網絡安全體系的防護應急性。

（2）P2DR2安全模型的安全風險評估能力較差，該模型并不會專門分析當今網絡所面臨的安全風險。相比以前網絡攻擊手段較為單一，現階段網絡安全已經面臨著各式各樣的網絡威脅，比如黑客惡意攻擊以及網絡病毒入侵等。網絡安全問題是一個全面性的問題，并不是幾個方面或者幾個點的安全防護，而是全方位、立體化的安全防護，這就需要對網絡中存在的各種隱患或者威脅進行分析和評估，然后針對各個威脅的特點制定相應的防范策略。

（3）P2DR2安 全 模 型 沒 有 提 供 安 全 預 警 功能。針對校園網絡安全體系，安全防范和預警的重要性甚至比直接處理攻擊和入侵更加重要?？傮w來講，安全主動防御的效果要比靜態的防御好，而且安全預警功能能夠提 前 發現網絡存 在安全漏洞，并利用基于安全風險分析的方式進行統計和分析，最后針對主機設備、網絡硬件設備以及邊界設備加強安全防護，或者針對應用層進行行之有效的安全防護升級。