校園網(wǎng)信息安全調查報告

1、2015黃永樂201323102015/12/30目錄一安財校園網(wǎng)現(xiàn)景 3.1.1 校園網(wǎng)建設過程 3.1.2 校園網(wǎng)完善 5.1.3 校園網(wǎng)安全設備 6.二 .校園網(wǎng)安全建設 7.2.2 制度健全管理規(guī)范，確保網(wǎng)絡管理有章可循 8.2.3 培養(yǎng)網(wǎng)絡安全意識 8.2.4 強化網(wǎng)絡系統(tǒng)安全隱患防范應對措施 9.2.5 定期系統(tǒng)安全監(jiān)測 1.0三 信息安全技術 1.1.3.1 隔離控制 1.1.3.2 殺毒軟件 1.2.3.3 過濾郵件 1.2.3.4 入侵檢測 1.4.3.5 VLAN技術 1.5.3.6 數(shù)據(jù)備份 1.6.四校園網(wǎng)建設建議 1.7.4.1 延遲斷網(wǎng)時間 1.7.4.2 提高校園

2、網(wǎng)網(wǎng)速 1.7.4.3 何時校園網(wǎng)免費能實施 1.74.4 校園網(wǎng)保護學生隱私 1.8摘 要 : 隨著計算機網(wǎng)絡技術的飛速發(fā)展，校園網(wǎng)普遍應用于高校信 息數(shù)據(jù)管理，在接入 Internet 同時，確保校園網(wǎng)安全至關重要，校 園網(wǎng)安全故障需要及時排除， 安全隱患更需嚴加防范。 針對高校校園 網(wǎng)網(wǎng)絡系統(tǒng)現(xiàn)狀，提出了強化校園網(wǎng)安全隱患防范對策。關鍵詞: 校園網(wǎng)絡 ; 網(wǎng)絡安全 ; 防范對策一安財校園網(wǎng)現(xiàn)景1.1 校園網(wǎng)建設過程信息化建設 2001 年以來，我校陸續(xù)建設了演播廳、學術報告廳 賀多媒體教師 150 多間，所有媒體教室都和校園網(wǎng)相連， 教師可以使 用網(wǎng)絡提供的數(shù)字圖書資源、 精品課程資源、

3、 多媒體課件資源等從事 教育教學活動。2007 年一期數(shù)字化校園的總體建設目標： 建設我校的信息標準， 實現(xiàn)信息標準到應用過程的權限管理， 制度滿足應用變化的信息標準 的實施規(guī)范。建設數(shù)字化校園公共平臺，即綜合信息門戶，統(tǒng)一身份 認證平臺和數(shù)據(jù)交換與共享平臺， 實現(xiàn)用戶整合、 應用整合和數(shù)據(jù)整 合。實現(xiàn)用戶權限管理、統(tǒng)一身份認證、應用整合管理、單點登錄賀數(shù)據(jù)共享交換。實現(xiàn)學校已建業(yè)務系統(tǒng)（財務、教務、研究生管理系統(tǒng)、一卡通系統(tǒng)、賽爾畢博網(wǎng)絡教學平臺、科研管理系統(tǒng)）到數(shù)字化 校園公共平臺的集成；新建學生管理系統(tǒng)、人事管理系統(tǒng)。構建學校 的信息安全體系和運行服務體系， 保障數(shù)字化校園的健康可持續(xù)發(fā)

4、展， 為數(shù)字化校園的穩(wěn)定高效運行提供強有力的保障。現(xiàn)代教育技術中心 （信息化建設辦公室） 是從事現(xiàn)代教育技術研 究、開發(fā)、培訓及提供網(wǎng)絡服務的教學輔助單位，同時又是我校信息 化建設、管理的職能部門。中心于 2000年成立，現(xiàn)有教職工 15人，在讀博士 1 人，在讀研 究生 1 人，本科生 12 人。分別負責我校的網(wǎng)絡建設與管理、教育技 術培訓、多媒體教室建設和管理、全校大型活動的攝影、攝像，同時 承擔學校的信息化建設任務。為適應學校教育現(xiàn)代化和信息化發(fā)展的需要，建設了符合21 世紀高等教育發(fā)展規(guī)律的現(xiàn)代化教育基礎設施， 中心本著“網(wǎng)絡建設是 基礎，資源建設是核心，教學應用是目的”的原則，積極為

5、我校的現(xiàn) 代化教學和數(shù)字化校園建設服務網(wǎng)絡中心（ Network Center）。1.2 校園網(wǎng)完善校園網(wǎng)一期工程于 2001年 10月份建成并投入運行。 由于網(wǎng)絡需 求的不斷擴大， 原有的設計能力遠遠不能滿足日益增長的教學、 科研 和管理的需要， 2006 年 6 月，對校園網(wǎng)進行升級、改造，并在龍湖 東校區(qū)的圖書館新建網(wǎng)絡中心核心機房，同時購買核心交換機 Cisco7609 2臺，Cisco6509 1 臺，千兆企業(yè)級防火墻兩臺， IBM560Q小型機 1臺、IBM DS4800光纖存儲一臺、 H3C IP存儲一臺、各類服務 器 20 多臺。實現(xiàn)了東、西校區(qū)雙核心交換機萬兆高速互連、千兆到

6、 樓、百兆到桌面。目前，已布設信息點 25400 個；已開通建筑物 80 棟，三個校區(qū)共鋪設光纜 63.5 公里；已注冊用戶總數(shù) 9480 戶；提供 了多種網(wǎng)絡服務：目前校園網(wǎng)對外出口有三條：一條 100 兆光纖與 安徽省教育科研網(wǎng)互聯(lián)，另外兩條 100 兆光纖連接到 Internet，使我 校的對外出口帶寬達到 300 兆，實現(xiàn)了與中國教育科研網(wǎng)、 Internet 的高速互聯(lián)。 滿足了本科教育的網(wǎng)絡規(guī)模和覆蓋范圍。 校園網(wǎng)用戶含 教工家屬、辦公教學、學生用戶及電信、聯(lián)通、移動三家運營商的所 有校園內有線網(wǎng)絡用戶和無線用戶。1.3 校園網(wǎng)安全設備我校對校園網(wǎng)安全也很重視，購買大批設備，維護校

7、園網(wǎng)安全學校安裝有山石網(wǎng)科 SG-6000 防火墻、安恒 WAF1000AG 應用防 火墻、 HVAWE X7180、Juniper MX960 路由器和 Juniper EX4550 核心 交換機等等。二.校園網(wǎng)安全建設2.1 校園網(wǎng)安全隱患隨著計算機網(wǎng)絡技術的飛速發(fā)展， 高校校園網(wǎng)網(wǎng)絡系統(tǒng) （ 以下簡 稱校園網(wǎng) ） 普遍應用于高校信息數(shù)據(jù)管理， 信息數(shù)量大，調控范圍廣， 保密等級多。在接入 Internet 同時，各種各樣的安全隱患也日益顯 得突出，如硬件設備的安全、操作系統(tǒng)存在的漏洞、病毒侵害、黑客 攻擊、垃圾郵件、網(wǎng)絡管理方面、用戶安全意識薄弱等，嚴重威脅著 校園網(wǎng)的正常運行，給高校的

8、教學、科研、管理和對外交流帶來不可估量的重大影響。因此，確保校園網(wǎng)安全至關重要，校園網(wǎng)安全故障需要及時排除，安全隱患更需嚴加防范。2.2 制度健全管理規(guī)范，確保網(wǎng)絡管理有章可循重視網(wǎng)絡管理制度建設配套健全的管理制度， 是校園網(wǎng)網(wǎng)絡系統(tǒng) 安全不可或缺的重要保障條件。在校園網(wǎng)中，安全隱患客觀存在，加 強校園網(wǎng)網(wǎng)絡系統(tǒng)的安全管理， 有必要制定校園網(wǎng)網(wǎng)絡系統(tǒng)安全的各 種管理制度， 通過嚴格而有效地執(zhí)行管理制度， 使得校園網(wǎng)網(wǎng)絡系統(tǒng) 的安全能夠得到保證。因此，必須制定一系列健全配套的規(guī)章制度， 如網(wǎng)絡中心機房管理規(guī)定 網(wǎng)絡中心機房設備管理規(guī)定 核心程 序及數(shù)據(jù)嚴格保密管理規(guī)定 校園網(wǎng)信息發(fā)布管理規(guī)定 、

9、校園網(wǎng) IP 地址申請管理規(guī)定 違反計算機網(wǎng)絡管理規(guī)章制度的處理辦法 等等，確保校園網(wǎng)網(wǎng)絡系統(tǒng)安全管理有章可循。 要建立健全數(shù)據(jù)備份、 數(shù)據(jù)修改制度，對應用系統(tǒng)重要數(shù)據(jù)要定期備份并對數(shù)據(jù)的修改要經(jīng) 過授權。隨著網(wǎng)絡技術的飛速發(fā)展， 在執(zhí)行各種管理規(guī)章制度的過程 中，發(fā)現(xiàn)新的問題應及時補充到相應管理規(guī)定中去， 使制定的規(guī)章制 度不斷完善、不斷更新，確保網(wǎng)絡系統(tǒng)安全運行。2.3 培養(yǎng)網(wǎng)絡安全意識加強網(wǎng)絡安全意識， 規(guī)范網(wǎng)絡管理網(wǎng)絡安全隱患的防范是一個系 統(tǒng)工程，管理制度要嚴格執(zhí)行，網(wǎng)絡技術要規(guī)范純熟，網(wǎng)絡管理人員 和使用用戶的素質更要提高。 制度要由人去執(zhí)行和遵守， 技術要由人 去掌握和實施。 因

10、此，要經(jīng)常加強對各級網(wǎng)絡管理人員的安全意識教 育，使他們自覺遵守和執(zhí)行安全制度。還要教育校園網(wǎng)的所有用戶， 自覺遵守和執(zhí)行國家有關安全保密的各種政策、 法規(guī)，遵守本單位網(wǎng) 絡運行、使用的有關安全制度，養(yǎng)成良好的網(wǎng)絡行為規(guī)范。要加強校 園網(wǎng)安全規(guī)范化管理力度， 夯實安全技術建設， 成立校園網(wǎng)安全領導 小組，并明確其崗位職責， 制訂校園網(wǎng)安全事故處理程序、應急方案 等措施。各院 （ 處室 ） 、系（ 科室） 要建立兼職的計算機管理、維護 隊伍。管理人員和使用人員的安全防范意識要不斷提高， 嚴格遵守和 執(zhí)行安全規(guī)章制度、 安全技術規(guī)范和安全操作規(guī)程， 做到重要設備有 專人負責維護，并要設置相應的管理

11、權限。嚴格實行運行、維護分離 的崗位責任制，建立設備運行日志，記錄設備運行狀況。高校網(wǎng)絡中 心要建立 24 小時值班制度，發(fā)現(xiàn)問題及時解決。 利用校園網(wǎng)絡進行 教學時，規(guī)范并提高教師和學生的計算機操作技能， 增強安全防范意 識。通過相關人員的協(xié)調合作， 把校園網(wǎng)不安全的因素盡可能地降到 最低，保證校園網(wǎng)絡安全、正常地運行。2.4 強化網(wǎng)絡系統(tǒng)安全隱患防范應對措施硬件優(yōu)化升級，強化設備管護為了保障校園網(wǎng)網(wǎng)絡硬件設備的安 全運行，必須加大網(wǎng)絡中心機房硬件系統(tǒng)的投資力度， 強化機房網(wǎng)絡 設備的管理與保護，因此，高校應建設高標準的 IDC ( Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心

12、) 機房，即 : 機房要鋪設防靜電設備的專用 地板，要安裝環(huán)境監(jiān)控系統(tǒng)、空調系統(tǒng)、 UPS( Uninterrupted Power Supply，不間斷電源 ) 系統(tǒng)、防雷與接地系統(tǒng)、氣體滅火系統(tǒng)等，構 建設備安全、穩(wěn)定的網(wǎng)絡運行環(huán)境。將重要網(wǎng)絡設備集中在 IDC 機 房放置管理、維護，共享機房資源，提高了網(wǎng)絡設備運行的可靠性和 安全性。對網(wǎng)絡中心機房服務器必須進行相應的設置。 (1)服務安全設 置，即用 NTFS 格式分區(qū)、安裝防病毒軟件、關閉默認共享、安裝入 侵檢測系統(tǒng)、及時備份等。 (2) 用戶安全設置，即禁用 Guest 賬戶、 限制不必要的用戶數(shù)量、關閉一些不需要的服務等方面。 (

13、3) 密碼安 全設置，即設置足夠復雜的強密碼并且要經(jīng)常變換密碼等。2.5 定期系統(tǒng)安全監(jiān)測加強系統(tǒng)檢測，及時修復漏洞針對系統(tǒng)安全漏洞如不及時采取防 護措施，操作系統(tǒng)遭受攻擊的幾率就會增加， 對校園網(wǎng)網(wǎng)絡安全造成 更大隱患。 采用漏洞掃描系統(tǒng)定期對服務器、 工作站進行安全掃描檢 查，查找網(wǎng)絡安全漏洞， 評估網(wǎng)絡風險并根據(jù)檢查結果制定詳細可靠 的修改方案。建議各高校網(wǎng)絡中心建立校園網(wǎng)操作系統(tǒng)補丁服務器， 對全校所有計算機的操作系統(tǒng)隨時提供補丁的下載、升級更新服務， 發(fā)現(xiàn)問題及時解決。如 Windows 優(yōu)化大師軟件，是一款功能強大的 系統(tǒng)輔助軟件，它提供了全面有效且簡便安全的系統(tǒng)檢測、 系統(tǒng)優(yōu)化、

14、 系統(tǒng)清理、 系統(tǒng)維護四大功能模塊及數(shù)個附加的工具軟件。 還有 360安全衛(wèi)士軟件，有漏洞修復、系統(tǒng)修復、優(yōu)化加速等功能，它們能最 大可能的彌補最新的安全漏洞和消除安全隱患， 如果不安裝具有系統(tǒng) 檢測、漏洞修復等功能的軟件， 計算機即使安裝了防病毒軟件也會反 復感染，造成網(wǎng)絡不通暢、 阻塞，甚至會導致整個校園網(wǎng)絡癱瘓等嚴 重后果。三 信息安全技術3.1 隔離控制采用隔離控制， 防止網(wǎng)絡攻擊防火墻它是一種隔離控制技術， 主 要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關 4個部分組成 ; 計 算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經(jīng)過防火墻， 使入侵者難 以穿越防火墻的安全防線， 難以接觸目標計算

15、機， 是一項協(xié)助確保信 息安全的設備。防火墻是一種應用廣泛且行之有效的網(wǎng)絡安全機制， 能極大地提高內部網(wǎng)絡的安全性， 分為硬件防火墻和軟件防火墻兩種， 硬件防火墻是安裝在校園網(wǎng)的入口處， 軟件防火墻一般安裝在主機上。 如思科 Cisco ASA 5500 系列防火墻產(chǎn)品，能夠提供主動威脅防御， 在網(wǎng)絡受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡行為和應用流量， 并提供靈活的 VPN 連接。為了防止 Internet 上的不安全因素蔓延到 校園網(wǎng)內部，進而對校園網(wǎng)絡造成侵害， 應根據(jù)不同網(wǎng)絡的安裝需求， 做好防火墻內服務器及客戶端的各種規(guī)則配置， 定期保存防火墻的訪 問日志，及時發(fā)現(xiàn)攻擊行為和不良的上

16、網(wǎng)記錄。3.2 殺毒軟件安裝殺毒軟件， 定時殺毒升級殺毒軟件，也稱防毒軟件，是用于 消除電腦病毒特洛伊木馬和惡意軟件的一類軟件。 殺毒軟件通常集成 監(jiān)控識別、 病毒掃描和清除和自動升級等功能。 防病毒軟件分為網(wǎng)絡 版和單機版，單機版是安裝在單臺計算機上，只能保護單臺計算機， 網(wǎng)絡版安裝在網(wǎng)絡服務器上，管理著整個網(wǎng)絡。如果只安裝單機版， 網(wǎng)絡上個別計算機感染上病毒有時也會影響整個網(wǎng)段的正常工作， 如 某臺計算機感染 ARP病毒， ARP 病毒通過偽造 IP 地址， MAC 地址 實現(xiàn) ARP 欺騙，在網(wǎng)絡中產(chǎn)生大量 ARP 通信量使網(wǎng)絡堵塞甚至整個 網(wǎng)段網(wǎng)絡癱瘓。 為了防范計算機病毒侵害， 校園

17、網(wǎng)必須安裝防病毒軟 件，最好是安裝網(wǎng)絡版殺毒軟件。 同時要經(jīng)常更新殺毒軟件的病毒庫， 只有及時更新升級才能保證防御新出現(xiàn)的病毒， 這樣才能保證整個校 園網(wǎng)絡的安全和穩(wěn)定。3.3 過濾郵件完善郵件系統(tǒng)， 郵件嚴格過濾垃圾郵件一般被理解為 “不請自到 的郵件”，還有一些垃圾郵件是因為它所帶的附件包含有病毒，或所 含的鏈接是一個病毒網(wǎng)站。 垃圾郵件一般具有批量發(fā)送的特征， 造成 郵件服務器大量帶寬損失， 并嚴重干擾郵件服務器進行正常的郵件遞 送工作。在垃圾郵件控制和防范方面，可利用郵件過濾技術。垃圾郵 件過濾就是識別出所接受到的郵件中哪些郵件是對接受方完全沒有 意義的郵件，并進行攔截、 刪除等操作。

18、校園網(wǎng)必須采用郵件過濾技 術，如 Razor Gate 郵件過濾網(wǎng)關技術，該產(chǎn)品采用全球 IP 定位、多 層攔截技術，多層攔截技術提供高達 98% 的攔截率和幾乎為零的誤 判率，可以免遭垃圾郵件、 病毒郵件、木馬郵件、釣魚郵件等的攻擊。 Razor Gate 郵件過濾網(wǎng)關還提供靈活的過濾策略，可以基于關鍵字、 郵件信息、附件等對郵件進行監(jiān)聽、轉發(fā)、隔離、阻止等。郵件過濾 技術能有效的過濾垃圾郵件和病毒郵件， 防范不良網(wǎng)絡信息， 保證了 校園網(wǎng)用戶的信息安全。3.4 入侵檢測建立入侵檢測，進行實時監(jiān)控入侵檢測系統(tǒng) ( Intrusion Detection System，IDS)的功能主要有 :

19、 ( 1) 識別黑客常用入侵與攻擊手段。 ( 2) 監(jiān)控網(wǎng)絡異常通信。 ( 3) 核查系統(tǒng)配置和漏洞。 ( 4) 完善網(wǎng)絡安全管 理。是一種主動保護自己免受攻擊的一種網(wǎng)絡安全技術， 它作為防火 墻的合理補充 ; 入侵檢測技術是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā) 現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備 ; 入 侵檢測技術能夠幫助系統(tǒng)對付網(wǎng)絡攻擊， 提高了信息安全基層結構的 完整性。校園網(wǎng)必須安裝入侵檢測系統(tǒng)，如華為 NIP200 網(wǎng)絡入侵檢 測系統(tǒng)，該產(chǎn)品具有強大的入侵檢測和監(jiān)控能力， 能實時采集網(wǎng)絡系 統(tǒng)中的信息數(shù)據(jù)， 并通過綜合分析和比較， 判斷是否有入侵和可疑行 為的發(fā)生，提

20、供掃描檢測、后門 ( 木馬) 檢測、蠕蟲檢測、 DOS 攻擊 檢測、代碼攻擊檢測等功能，可識別 30 大類、幾千種入侵行為。該 設備特別適合于校園網(wǎng)采用。3.5 VLAN 技術采用 VLAN 技術，限制非法訪問 VLAN（ Virtual Local Area Network， 虛擬局域網(wǎng) ）技術，是一種將局域網(wǎng)設備 （ 如交換機 ） 從邏輯上劃分成 一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術 ; 是通過對交換機 的配置，可以將某個交換端口或用戶賦予某一個特定的VLAN 組，該 VLAN 組可以在一個交換網(wǎng)中或跨接多個交換機， 在一個 VLAN 中 的廣播不會送到 VLAN 之外，即某一 V

21、LAN 成員發(fā)出的數(shù)據(jù)包只發(fā) 給同一 VLAN 的其它成員，而不會發(fā)給該 VLAN 成員以外的計算機 ; 是一個可以改善網(wǎng)絡的通信效率、 避免網(wǎng)絡廣播風暴， 使網(wǎng)絡管理變 得簡單直觀、安全有效 ; 對不同權限的 VLAN 成員實現(xiàn)相互的訪問控 制，限制用戶的非法訪問， 大大提高了校園網(wǎng)絡的整體安全。 VLAN 技 術可以有效杜絕病毒和木馬等惡意軟件在整個網(wǎng)絡上傳播， 這一新興 技術主要應用于交換機和路由器中， 但目前以應用在交換機之間為主 流。運 用 VLAN 技術可將校園網(wǎng)按功能分類劃分成幾個不同的網(wǎng)段， 各網(wǎng)段子網(wǎng)之間彼此隔離， 是加強校園網(wǎng)絡安全管理的有效手段之一。3.6 數(shù)據(jù)備份定期數(shù)據(jù)備份， 確保數(shù)據(jù)恢復數(shù)據(jù)是校園網(wǎng)信息安全的核心， 數(shù) 據(jù)保護至關重要。網(wǎng)絡設備可以替換，但數(shù)據(jù)不可被破壞或丟失，否 則，對校園網(wǎng)的正常管理和運行所造成的損失是無法估量的， 甚至是 無法挽回的。因此，必須設計并采用一套高效的數(shù)據(jù)備份和