高校校園網(wǎng)絡(luò)安全體系研究與構(gòu)建

1、    高校校園網(wǎng)絡(luò)安全體系研究與構(gòu)建        摘要：通過(guò)分析高校校園網(wǎng)絡(luò)安全體系存在的隱患，研究了校園網(wǎng)絡(luò)安全體系的構(gòu)建策略，基于技術(shù)和管理策略，提出了構(gòu)建相對(duì)穩(wěn)定的校園網(wǎng)絡(luò)體系的基本方案，并有較好的應(yīng)用效果。關(guān)鍵詞：校園網(wǎng) 安全體系 研究 構(gòu)建隨著中國(guó)教育與科研網(wǎng)工程的快速發(fā)展，高校網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)絡(luò)從最初的教育、科研的試驗(yàn)網(wǎng)轉(zhuǎn)變成教育、科研和服務(wù)并重，帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)。校園網(wǎng)絡(luò)在高等學(xué)校的信息化建設(shè)中已經(jīng)扮演了至關(guān)重要的角色。研究校園網(wǎng)絡(luò)安全策略，構(gòu)建相對(duì)可

2、靠的校園網(wǎng)絡(luò)安全體系，已成為高等學(xué)校校園網(wǎng)絡(luò)技術(shù)、管理人員研究的一個(gè)重要課題。一、校園網(wǎng)絡(luò)安全隱患目前，高校校園網(wǎng)絡(luò)正處在蓬勃發(fā)展階段，網(wǎng)絡(luò)基礎(chǔ)設(shè)施有了較好的基礎(chǔ)，但網(wǎng)絡(luò)安全體系中仍存在一些安全隱患，主要體現(xiàn)在以下幾個(gè)方面。1黑客工具在網(wǎng)上泛濫成災(zāi)校園網(wǎng)絡(luò)通過(guò)路由器與internet相連，用戶在享受internet方便快捷的同時(shí)，也面臨遭受攻擊的風(fēng)險(xiǎn)。目前的操作系統(tǒng)存在安全漏洞，尤其是windows2000的普遍性和可操作性，使它成為最不安全的服務(wù)器操作系統(tǒng)，如windows2000系統(tǒng)的漏洞、瀏覽器的漏洞、iis的漏洞、asp代碼漏洞等對(duì)網(wǎng)絡(luò)安全構(gòu)成重大威脅。2網(wǎng)絡(luò)病毒的出現(xiàn)和爆發(fā)隨著校園網(wǎng)

3、計(jì)算機(jī)應(yīng)用范圍的擴(kuò)大，接入校園網(wǎng)的節(jié)點(diǎn)日益增多，而這些節(jié)點(diǎn)大部分是新的，沒(méi)有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、網(wǎng)絡(luò)受攻擊、系統(tǒng)癱瘓等。近年來(lái)，尤其是網(wǎng)絡(luò)病毒和黑客軟件相結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶隱私和重要數(shù)據(jù)外泄，同時(shí)還極大地消耗了網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)性能的急劇下降。3網(wǎng)絡(luò)機(jī)房管理不規(guī)范高校都有部分機(jī)房提供給學(xué)生和教職工上網(wǎng)、學(xué)習(xí)。但由于缺乏統(tǒng)一的管理軟件和監(jiān)控、日志系統(tǒng)，這些機(jī)房的管理基本上處在各自為政狀態(tài)。絕大多數(shù)的機(jī)房登記管理制度存在嚴(yán)重漏洞，上網(wǎng)用戶的身份無(wú)法唯一識(shí)別。另外，機(jī)房的計(jì)算機(jī)為了管理上的方便，基本上安裝了還原卡，計(jì)算機(jī)關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)。這在安全管理上

4、形成了很大的漏洞，無(wú)法實(shí)現(xiàn)安全部門需求，保留至少三個(gè)月以上的上機(jī)和上網(wǎng)日志。二、完善的技術(shù)策略是構(gòu)建網(wǎng)絡(luò)安全的基礎(chǔ)為保證網(wǎng)絡(luò)信息安全，我們研究了網(wǎng)絡(luò)安全技術(shù)策略，根據(jù)校園網(wǎng)絡(luò)實(shí)際情況，構(gòu)建了多級(jí)安全保障體系：規(guī)劃了網(wǎng)絡(luò)vlan，通過(guò)劃分vlan和在vlan間采用acl來(lái)控制安全；在核心交換機(jī)部署認(rèn)證系統(tǒng)，記錄校內(nèi)用戶上網(wǎng)行為；在服務(wù)器群部署了防火墻，對(duì)應(yīng)用服務(wù)器群進(jìn)行隔離保護(hù)；采用黑客入侵檢測(cè)與預(yù)警系統(tǒng)作為系統(tǒng)的防黑客子系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部入侵信號(hào)；部署了網(wǎng)絡(luò)防病毒系統(tǒng)是基于策略的集中管理方式，提供自動(dòng)更新功能和大規(guī)模病毒爆發(fā)前的預(yù)警功能，所有操作對(duì)

5、終端用戶透明，不需用戶干預(yù)，使用戶在不知不覺(jué)中將病毒拒之門外。校園網(wǎng)絡(luò)安全技術(shù)策略構(gòu)建如圖1所示。1邊緣設(shè)備安全數(shù)據(jù)策略校園網(wǎng)絡(luò)有一個(gè)統(tǒng)一的出入口，在校園網(wǎng)邊緣安置地址轉(zhuǎn)換設(shè)備nat和路由器，并在其內(nèi)作一些必要的病毒、攻擊防范策略設(shè)置，如封閉常見(jiàn)病毒攻擊端口，實(shí)現(xiàn)內(nèi)外網(wǎng)安全隔離，以免內(nèi)部用戶受到黑客和病毒直接攻擊，減少內(nèi)部信息如校內(nèi)公文等外泄可能性。2服務(wù)器群的安全策略校園網(wǎng)絡(luò)采用千兆線速防火墻保護(hù)服務(wù)器群，關(guān)閉所有不必要端口并記錄校級(jí)服務(wù)器的訪問(wèn)行為。在學(xué)校關(guān)鍵單位如財(cái)務(wù)處、教務(wù)處、招生辦等關(guān)鍵部門的服務(wù)器群配置了百兆線速防火墻，以保證關(guān)鍵部門核心業(yè)務(wù)的信息安全。在服務(wù)器群的連接交換機(jī)上安裝

6、入侵檢測(cè)系統(tǒng)，通過(guò)入侵檢測(cè)系統(tǒng)對(duì)服務(wù)器群進(jìn)行網(wǎng)絡(luò)行為的審計(jì)、跟蹤以及黑客行為的日志記錄，并且與防火墻聯(lián)動(dòng)，作為第二道安全閘門保障服務(wù)器群的信息安全。我們還采取了以下服務(wù)器群部署策略：(1)把數(shù)據(jù)庫(kù)服務(wù)器主機(jī)和web服務(wù)器主機(jī)相分離盡管這個(gè)要求看上去很理所當(dāng)然，但管理員沒(méi)有遵循這個(gè)規(guī)則的案例仍然數(shù)以千計(jì)。一個(gè)例子就是nimda漏洞，它使得iis安裝向遠(yuǎn)端命令行大開(kāi)方便之門。這樣，如果一個(gè)網(wǎng)站在運(yùn)行iis的同時(shí)也在運(yùn)行諸如在線系統(tǒng)的數(shù)據(jù)庫(kù)，那么數(shù)據(jù)庫(kù)的所有內(nèi)容都是非常脆弱易受攻擊的。(2)監(jiān)控web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器上的日志文件日志文件可以迅速指出潛在的入侵者以及其它與安全沒(méi)有關(guān)系的問(wèn)題。注意對(duì)

7、數(shù)據(jù)庫(kù)系統(tǒng)的多查詢錯(cuò)誤(multiple query errors)和無(wú)效web站點(diǎn)請(qǐng)求是否頻繁出現(xiàn)或者多個(gè)源同時(shí)出現(xiàn)上述情況。(3)注意早期的警告征兆對(duì)任何內(nèi)容的大量奇怪請(qǐng)求是網(wǎng)絡(luò)出問(wèn)題的明顯征兆。對(duì)系統(tǒng)的大多數(shù)入侵都要花費(fèi)一段時(shí)間，因此“預(yù)警”系統(tǒng)可以幫助你終止入侵過(guò)程或者防止入侵造成的災(zāi)難。(4)構(gòu)建容災(zāi)系統(tǒng)構(gòu)建基于san構(gòu)架的容災(zāi)系統(tǒng)，提供7x24小時(shí)不間斷運(yùn)行服務(wù)，實(shí)現(xiàn)降低關(guān)鍵業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，最大限度地保護(hù)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)性、完整性和一致性，增強(qiáng)數(shù)據(jù)中心的可用性和業(yè)務(wù)靈活性。3核心交換設(shè)備的安全策略在核心交換設(shè)備上連接認(rèn)證系統(tǒng)，記錄校內(nèi)用戶的上網(wǎng)行為，以便為以后發(fā)生安全事件提供查詢依據(jù)。

8、4防病毒控制策略網(wǎng)絡(luò)蠕蟲(chóng)病毒在internet已經(jīng)泛濫成災(zāi)，而蠕蟲(chóng)病毒主要是利用操作系統(tǒng)的各種漏洞進(jìn)行攻擊和傳播，利用校內(nèi)windows自動(dòng)更新系統(tǒng)及時(shí)對(duì)校內(nèi)計(jì)算機(jī)系統(tǒng)進(jìn)行升級(jí)，以保證用戶計(jì)算機(jī)的系統(tǒng)安全，阻止病毒的傳播。我們?cè)谛@網(wǎng)絡(luò)構(gòu)建了基于策略的集中管理方式的網(wǎng)絡(luò)防病毒系統(tǒng)，提供自動(dòng)更新功能和大規(guī)模病毒爆發(fā)前的預(yù)警功能，所有操作對(duì)終端用戶透明，不需用戶干預(yù)，使用戶在不知不覺(jué)中將病毒拒之門外。同時(shí)在校內(nèi)匯聚交換機(jī)做訪問(wèn)控制數(shù)據(jù)，以防病毒在不同校區(qū)之間傳播。三、結(jié)論網(wǎng)絡(luò)信息安全關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，它隨著全球信息化步伐的加快變得愈來(lái)愈重要。我們?cè)谛@網(wǎng)絡(luò)建設(shè)過(guò)程中，通過(guò)完善網(wǎng)絡(luò)安全技術(shù)策略和制定科學(xué)的管理體制，構(gòu)建了相對(duì)穩(wěn)定的校園網(wǎng)絡(luò)體系，具有較好的應(yīng)用效果。參考文獻(xiàn)：1信息管理系列編委會(huì)