第2l 卷第5期 池州学院学报 2007年10月 ; Vol,21.No 5. Journal of Chizhou College oct.,2007 校园网安全整体解决方案 姚 敏 (合肥市第二中学,安徽合肥230022) 【摘要】校园网在高校数字化、信息化过程中发挥着越来越重要的作用,同时,随着校园网规模的不断扩大,网络安全 问题日益突出,本文在分析了目前校园网所存在的安全问题的基础上,提出了一种针对校园网安全的整体解决方案。 【关键词】校园网;网络安全;信息化 【中圈分类号】TP393 【文献标识码】A 【文章编号】1674—1 102(2007)05—0034—03 校园网是学校信息化建设的基础设施,也是 保护及键盘锁;(9)对网络操作人员定期进行安全 学校实现信息化的一个重要平台,在教学支持服 教育和培训,出问题要严格追究有关人员责任。 务、教学教务管理、行政管理和校内外信息沟通 1.2系统和应用软件存在的漏洞威胁 等方面起着举足轻重的作用。校园网安全问题已 在校园网中使用的操作系统和应用软件千差 经成为当前各校网络建设中不可忽视的首要问 万别,这些操作系统和应用软件不可能没有缺陷和 题,如何保证校园网的安全,已成为当前高校信 漏洞,这些缺陷和漏洞,如未及时发现,就会被攻击 息化、数字化健康发展的重要问题。因此,在校园 者通过扫描或其他方式所利用,成为黑客攻击的首 网的建设和维护过程中,必须针对各种不同的安 选目标。国际上一些安全组织已经发布了大量的安 全威胁,制定相应的安全策略,以确保校园网的 全漏洞,其中一些漏洞可以导致入侵者获得管理员 正常运行。 的权限,有一些漏洞则可以被用来实施拒绝服务攻 1 校园网存在的安全问题 击,一些漏洞则成为病毒攻击的对象。 1.3计算机病毒入侵和黑客攻击 1.1物理层的安全问题 计算机病毒是校园网安全最大的威胁因素, 物理层的安全问题是指由于物理设备的放 有着巨大的破坏性。尤其是通过计算机网络传播 置不合适或者防范措施不得力,使得服务器、工 的病毒,其传播速度、影响面、清除难度、破坏力 作站、交换机、路由器等网络设备,光缆和双绞线 等都不是单机病毒所不能比拟的。近年来的 等网络线路以及uPs和电缆线等电源提供设备 “CIH病毒”以及“爱虫病毒”、“震荡波”等网 遭受水灾、火灾、地震、雷电等自然灾害、意外事 络病毒对全球计算机网络造成了极大的破坏和 故或人为破坏,造成校园网不能正常运行。物理 严重的经济损失。 安全是制订校园网安全整体解决方案时首先应 校园网在接人Internet后,便面临着内部和 考虑的问题。物理控制的原则有以下几点: 外部黑客双重攻击的危险,而尤以内部攻击为 (1)所有的网络节点(包括交换机、集线器、主 甚。黑客常用的攻击手段主要有:网络监听、地址 机、网络打印机等)都要有物理保护,不能随意让 欺骗、会话劫持、拒绝服务攻击。这些行为给校园 人接触;(2)重要的主机和网络设备配备电源保护 网的安全运行造成了严重的威胁,同时也损害了 和备份电源;(3)室外的网络电缆要深埋,并加以标 学校的声誉。 识;室内采用结构化布线,尽量减少外露的电缆和 1.4垃圾邮件和不良信息的泛滥传播 接头;(4)机房要设有水灾、烟雾自动报警装置,常 随着我国学校数字化、信息化建设的发展与 备灭火器等设施;(5)机房的保护地安装要符合有 深人,垃圾邮件的泛滥日益侵害到每个校园网, 关标准;(6)所有的人网主机和设备都要编有统一 成为校园网的公害之一。目前Internet上各种信 编号;(7)所有的系统备份磁带都要保存在主机房 息良莠不齐,有关色情、暴力、反动内容的网站泛 以外的安全地方;(8)主服务器要加带口令的屏幕 滥。这些有毒的信息违反了人类的道德标准和有 收槁日期:2007—08—02 ●作者简介:姚敏(1978-),女,安徽全椒人,合肥市第二中学教师,研究方向为计算机网络。 34 维普资讯 http://www.cqvip.com
关法律法规,对世界观和人生观正在形成中的学 生来说危害非常大。 (1)防火墙防火墙是建立在内外网络边界上 的过滤封锁机制,内部网络被认为是安全和可信 赖的,而外部网络(通常是Intemet)被认为是不 安全和不可信赖的。防火墙的作用是防止不希望 的、未经授权的通信进出被保护的内部网络,通 过边界控制强化内部网络的安全政策。防火墙一 般安放在被保护网络的边界,必须做到所有进出 被保护网络的通信必须通过防火墙;所有通过防 火墙的通信必须经过安全策略的过滤或者防火 1.5内部用户滥用网络资源 校园网内部用户对校园网资源的滥用,有的 校园网用户利用免费的校园网资源提供商业的 或者免费的视频、软件资源下载,占用了大量的 网络带宽。如最近几年兴起的BT、电骡下载等的 泛滥使用占用了大量的网络带宽,给正常的校园 网应用带来了极大的威胁。 1.6其他人为因素 随着校园网络规模的扩大,目前,大多数高 墙的授权;防火墙本身是不可被侵入的才能使防 火墙起到安全防护的作用。 ’ 校基本实现了教学科研办公上网,学生宿舍、教 师家庭上网。由于上网地点的扩大,使得网络监 管更是难上加难。首先,校园网安全管理政策的 制定仍不完善,还不能够有效的规范和约束学生 教工的上网行为;其次,许多教师和学生的计算 机网络安全意识薄弱、安全知识缺乏;此外,高校 的安全组织建设亟待加强。 2校园网安全整体解决方案 2.1物理安全对策 物理层的安全主要包括两个方面: (1)环境安全对系统所在环境的安全保护, 确保计算机系统以及各种网络设备有一个良好的 电磁兼容工作环境; (2)设备安全包括设备的防盗、防毁、防 霄、防潮、防鼠、防电磁信息辐射泄漏、抗电磁干 扰及电源保护等方面。 2.2整体安全技术解决方案 校园网在其网络结构的基础上,采取必要的 技术手段,增加了相应的安全设备,建立了一套 解决其校园网安全威胁的整体解决方案。 2~2 1制定安全访问策略合理规划网络区域 访问控制策略访问控制是校园网安全防范 和保护的主要策略,其主要任务是保证网络资源 不被非法用户使用和访问,它是保证网络安全最 重要的核心策略之一,包括网络访问控制、网络的 权限控制、目录安全控制、文件属性控制、网络服 务器访问控制、网络监测和锁定控制、网络端口和 节点的安全控制、网络安全基础设施控制等。对于 校园网而言,主要应做好网络访问控制,网络服务 器访问控制及网络监测和锁定控制。 网络访问控制策略网络访问控制是网络 安全和实现访问控制策略的第一层控制,主要通 过一定的技术手段识别网络用户的身份,并依据 不同用户身份,给予不同的网络访问权限或阻止 其进入校园网系统。网络访问控制策略不仅能阻 止网络用户的非法访问,而且能够在很大程度上 减少病毒及恶意代码的危害,网络访问控制主要 包括以下技术: (2)访问控制列表访问控制列表(Access Con- tr0l List,简称ACL)是一组包含允许(permit)和拒 绝(deny)语句组成的有序语句集,它将数据包的 源地址、目的地址、源端口、目的端口,MAC地址 等信息与ACL列表中的语句进匹配,并根据匹配 的结果来决定数据包的通过与否,从而实现数据 包的过滤。 (3)划分VLAN:VLAN将整个校园网络划分 为若干个不同的广播域实现校园网内部的一个 网段与其它网段的物理隔离。这样,不仅能够抑 制网络广播风暴,而且能防止一个网段的安全问 题传播到其他网段。 2.2.2防火墙与IDS联动 防火墙是构建整个 网络安全体系的核心,它位于两个信任程度不同 的网络之间,对于校园网而言,不但要防御外部的 攻击还要考虑内部的大量攻击行为。但是,防火墙 毕竟只是被动防御,因此,必须加强与IDS(A.侵检 测系统)的联动。入侵检测被认为是防火墙之后的 第二道安全闸门,在不影响网络性能的情况下能 对网络进行监测。它可以防止或减轻上述的网络 威胁。由于IDS系统除了报告外,本身不能对入侵 采取任何的防御措施。因此,网络中心通过IDS和 防火墙的联动来实现入侵防御:当IDS发现攻击 企图后,它会通知防火墙将攻击来源的IP地址或 端口禁掉。这种联动方式集合了IDS和防火墙的 优点,从而能主动地阻挡入侵,降低非法入侵造成 的损失。 2.2.3建立病毒防护体系 在网络环境中,病毒 具有更多的传播途径和更大的破坏能力。病毒可 通过电子邮件,网页脚本,局域网,操作系统漏洞 进行传播,让人防不甚防;病毒不仅危害单台计 算机上的软、硬件资源,而且危害网络,甚至可使 整个网络因过载而瘫痪,造成难以估量的损失。 要实现网络环境下的病毒防治,仅靠单机版的杀 毒软件是不可能的,必须安装网络版的杀毒软 件,这样才能实现杀毒软件的远程安装、智能升 级、远程报警、集中管理、分布查杀病毒的功能。 仅有网络版的杀毒软件,还不能到达防治病毒的 目的,还必须加强管理,提高使用人员的防毒意 35 维普资讯 http://www.cqvip.com 识和相应知识,把预防、检测和杀毒结合起来,才 能达到病毒防治的目的。 2.2.4统一的身份认证系统 身份认证技术 严格的管理制度,是保证校园网安全的重要 措施之一。学校要从实际出发,制订切实可行的 管理制度。 是指向系统出示自己的身份证明,系统查明用户 是否具有所请求资源的存储和使用权,用户必须 通过认证才能获得权限之内的访问资源。建立了 全网统一的身份认证系统,不仅有效地防止了IP ttt ̄:W:的盗用,而且有效的避免黑客攻击,从而在 整体上提高了用户信息的安全性和可靠性,这也 是实现数字化信息化校园的基础。 2.2.5垃圾邮件过滤和信息安全审计系统 随 着垃圾邮件的泛滥,必须在邮件服务器前部署防 垃圾邮件网关,以便有效地拦截各种垃圾邮件, 保证正常邮件到达的稳定性和实时性。同时,在 核心交换机上增加信息安全审计系统,可以有效 的x,J敏感、不良信息进行监控和过滤,并对实施 的安全策略进行有效的诊断,以便管理员能及时 调整和改进安全策略。 2.2.6数据加密策略 数据加密的目的是保 护网上传输的数据、文件、口令和控制信息等数 据不被窃听、不被篡改后再传输给对方,造成数据 被窃取、数据的真实性、完整性得不到保证。数据 在网上传输前,利用加密技术将数据明文变成密 文,再进行传输。这样,即使在传输过程中被截 获,也无法获取真实信息,同时由于加密机制可 对数据传输过程中的完整性、真实性进行鉴别, 从而保证数据的完整性和可靠性。因此,校园网 上传输的涉密数据必须经过加密后再进行传输。 2.2.7数据备份和恢复技术 数据是整个网络的核心,数据的绝对安全是 不可能的,一套完整的数据备份和恢复措施是校 园网迫切需要的。网络系统的备份是指x,j-网络中 的核心设备和数据信息进行备份,以便在网络遭 到破坏时,快速、全面地恢复网络系统的运行.核心 设备的备份主要包括核心交换机、重要服务器等. 数据信息包括对网络设备的配置信息、服务器数 据等的备份,备份不仅在网络系统硬件故障或人 为失误时起到保护作用,也在入侵者非授权访问 对网络攻击及破坏数据完整性时起到保护作用。 核心设备的备份的主要手段是采用双机热备 份,当其中一台设备出现故障时,自动切换到备份 设备,恢复网络的正常运行,数据备份包括“热备 份”和“冷备份”两种策略。热备份是指“在线“的 备份,即备份的数据还在整个计算机系统和网络 中,只不过传到另—个非工作的分区或是另一个非 实时处理的业务系统中存放。“冷备份”是指“不 在线”的备份,备份数据存放到安全的存储媒介中, 而这种存储媒41"与正在运行的整个计算机系统和 网络没有隔离的,在系统恢复时重新安装。 2.3加强网络管理制度建设 36 2.3.1 加强校园网安全管理政策建设 校园 网各机房和各业务部门机房都要建立计算机系统 使用管理规定(包括违反计算机管理规章制度的 处理办法),网络系统管理员、安全员、各业务部 门主管和业务操作人员计算机密码管理规定等内 控管理制度,严格实行运行、维护分离的岗位责任 制,对应用系统重要数据的修改要经过授权并由 专人负责,登记日志。建立健全备份制度,核心程 序及数据要严格保密,实行专人保管。学校应当成 立信息安全领导小组,并明确其职责和工作制度。 要制订安全事故处理程序、应急计划等。 2.3.2加强安全组织建设 目前普遍认为校 园网安全管理工作由网络中心负责,但是,事实 上,安全管理工作非常复杂,可能涉及各院系、 部、处的人员和业务,因此必须由学校统一组织 和协调各部门的管理工作。比如,成立信息安全 管理办公室。另#1-,积极建设院、系、处安全管理 分级负责的组织体系。 2.3.3加强网络管理员安全技术和用户安全意 识教育 对于新用户的安全意识的培训,新生 入学教育和新员32上岗培训是两个比较好的时 间,其他用户,可以开展一些教职工的在职培训、 学生的文化课、选修课等形式的安全意识培训和 基本技能的培训。对于网络管理员,一定要重视 技术培训,使他们自觉遵守和执行安全制度,安全 操作规程和安全技术规范。 3结束语 随着网络技术的不断发展,校园网也将会出 现新的安全问题,比如对于现在一些高校实施的 无线网络以及IPv6网络的建设等,这里就没有提 及。因此,校园网整体安全防范体系是一个动态 的、不断发展变化的综合运行机制,这样就对网 络管理者提出了更高的要求,其必须随时掌握最 新技术,不断更新完善校园网安全体系,使校园 网运行更加安全、可靠、稳定。 参考文献: [1】徐国琵网络安 北京:北京邮电 出版社,2004. [2】郑连清.网络安全概论[M】.北京:清华大学出版社,2004. [3】邱亮,孙亚刚.网络安全工具及案例分析[M】.北京:电子 工业出版社。2004. [4】张宏.网络安全基础[M】.北京:机械工业出版社,2004. [51 ̄JJ,gr.网络安全技术教程嗍 E京:电子工业出版社,2002. [6】趋势科技网络(中国).网络安全与病毒防范[M】.上海:上海 交通大学出版社,2004. 孙锋周络安全与防黑技术叫 E京:机械工业出版社,2004. 【责任编辑:潘杨友】
因篇幅问题不能全部显示,请点此查看更多更全内容