多校區(qū)校園網(wǎng)絡(luò)安全分析及防護(hù)策略

1、多校區(qū)校園網(wǎng)絡(luò)安全分析及防護(hù)策略多校區(qū)校園網(wǎng)絡(luò)安全分析及防護(hù)策略摘要：本文針對(duì)高校多校區(qū)校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、網(wǎng)絡(luò)用戶急速增加的特點(diǎn)，考慮多校區(qū)情況下網(wǎng)絡(luò)存在的多出口、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)安全漏洞、及制度管理等安全隱患，指出應(yīng)在物理安全、網(wǎng)絡(luò)運(yùn)行安全、信息安全及安全管理等方面實(shí)施安全措施，提出了全面的安全防護(hù)策略。關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全防護(hù)策略目前，全球信息化大潮正推動(dòng)著高校的信息化進(jìn)程，各高校積極拓寬網(wǎng)絡(luò)范圍。網(wǎng)絡(luò)范圍不斷擴(kuò)展，加之多校區(qū)教學(xué)模式越來(lái)越多地出現(xiàn)在各大高校，在這種網(wǎng)絡(luò)用戶急速增加、校區(qū)之間通信要求越來(lái)越高的情況下，網(wǎng)絡(luò)安全隱患逐漸擺在了各高校網(wǎng)絡(luò)工作者的面前，面對(duì)如此嚴(yán)峻的

2、網(wǎng)絡(luò)形式，如何最大程度地減小網(wǎng)絡(luò)安全隱患也是網(wǎng)絡(luò)工作者所需考慮的問(wèn)題，那么究竟如何來(lái)完善高校多校區(qū)的網(wǎng)絡(luò)安全呢？本文將從校園網(wǎng)絡(luò)功能出發(fā)，逐漸提出一套全面的網(wǎng)絡(luò)管理策略。一、高校網(wǎng)絡(luò)安全功能校園網(wǎng)的功能架構(gòu)大致可以分為對(duì)內(nèi)部分、對(duì)外部分和網(wǎng)絡(luò)管理部分。對(duì)內(nèi)部分主要是指校園Internet，包括多媒體教室、辦公室、電子圖書(shū)館的建設(shè)，服務(wù)于學(xué)校的教學(xué)和管理；對(duì)外部分包括與Internet的連接與其他兄弟院校以及上級(jí)主管單位的連接，提供寬帶的接人服務(wù)等；而網(wǎng)絡(luò)管理則是這兩部分的橋梁和核心，擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理和安全工作。一個(gè)安全狀態(tài)下的校園網(wǎng)，應(yīng)該能夠通過(guò)與廣域網(wǎng)的連接，實(shí)現(xiàn)遠(yuǎn)程教育，為學(xué)校的教

3、學(xué)、管理、日常辦公、內(nèi)外交流等方面提供全面、實(shí)用的支持。二、校園網(wǎng)絡(luò)面臨的侵害作為一種豐富的學(xué)習(xí)資源，信息化為教育所做的貢獻(xiàn)是毋庸質(zhì)疑的，但是同時(shí)，網(wǎng)絡(luò)社會(huì)與生俱來(lái)的不安全因素也無(wú)時(shí)無(wú)刻不在威脅教育網(wǎng)絡(luò)的健康發(fā)展，成為教育信息化建設(shè)中不可忽視的問(wèn)題。校園網(wǎng)面臨的威脅大體可分為對(duì)網(wǎng)絡(luò)中數(shù)據(jù)信息的威脅和對(duì)網(wǎng)絡(luò)設(shè)備的威脅。具體來(lái)說(shuō)，危害網(wǎng)絡(luò)安全的主要威脅有：侵害網(wǎng)絡(luò)物理安全，非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)的完整性，干擾系統(tǒng)正常運(yùn)行，減慢系統(tǒng)的響應(yīng)時(shí)間，利用病毒惡意攻擊、線路竊聽(tīng)等。三、多校區(qū)網(wǎng)絡(luò)安全隱患隨著高校的發(fā)展，越來(lái)越多的學(xué)校開(kāi)辟了多個(gè)校區(qū)共同教學(xué)這一模式。由于各校區(qū)網(wǎng)絡(luò)建設(shè)不平衡，采用的

4、技術(shù)有差異，合并組建的多校區(qū)的校園網(wǎng)絡(luò)存在較多的安全隱患，主要有：多出口問(wèn)題。原來(lái)各個(gè)校區(qū)有獨(dú)立的到互聯(lián)網(wǎng)絡(luò)的出口，現(xiàn)在一個(gè)校區(qū)就有幾個(gè)出口，這就增加了網(wǎng)絡(luò)安全設(shè)備的投入和管理的難度。物理安全問(wèn)題。由于物理設(shè)備的放置不合適、規(guī)范措施不健全、防范措施不得力，使網(wǎng)絡(luò)資源遭受自然災(zāi)害、意外事故或人為破壞，從而造成校園網(wǎng)不能正常運(yùn)行。網(wǎng)絡(luò)安全漏洞。許多校園網(wǎng)絡(luò)擁有WWWB件、數(shù)據(jù)庫(kù)等服務(wù)器，還有重要的教學(xué)服務(wù)器，對(duì)于非專(zhuān)業(yè)人員來(lái)說(shuō)，無(wú)法確切了解和解決每個(gè)服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞。網(wǎng)絡(luò)中的病毒。在網(wǎng)絡(luò)中，病毒己從存儲(chǔ)介質(zhì)的感染發(fā)展為網(wǎng)絡(luò)通訊和電子郵件的感染上來(lái)，其傳播速度極快，破壞力更強(qiáng)

5、，校園網(wǎng)上因主機(jī)與眾多用戶相連且用戶水平參差不齊，計(jì)算機(jī)病毒易爆發(fā)大規(guī)模感染且清除困難。網(wǎng)絡(luò)安全等級(jí)差異問(wèn)題。開(kāi)辟了新校區(qū)的高校會(huì)根據(jù)新的規(guī)劃對(duì)學(xué)校各個(gè)部門(mén)進(jìn)行重組和地理位置的遷移，那么勢(shì)必會(huì)影響到信息安全要求的重新調(diào)整，進(jìn)而帶來(lái)網(wǎng)絡(luò)安全防范措施的調(diào)整，也帶來(lái)硬件和軟件的重新調(diào)整與配置。安全制度問(wèn)題。缺乏完整統(tǒng)一的安全策略，缺乏完善的、切實(shí)可行的管理和技術(shù)規(guī)范以及規(guī)章制度。四、多校區(qū)網(wǎng)絡(luò)安全策略隨著Internet的飛速發(fā)展，網(wǎng)絡(luò)安全技術(shù)也在與網(wǎng)絡(luò)攻擊的對(duì)抗中不斷發(fā)展完善，主要有：數(shù)字加密與數(shù)字簽名、身份認(rèn)證、存取控制、堵漏、檢測(cè)、審核等，了解了高校網(wǎng)絡(luò)的安全隱患，可以依據(jù)網(wǎng)絡(luò)安全的需求，在實(shí)

6、際網(wǎng)絡(luò)系統(tǒng)的安全實(shí)施中，配合使用各種安全技術(shù)來(lái)實(shí)現(xiàn)一個(gè)完整的網(wǎng)絡(luò)安全解決方案。.安全目標(biāo)保證整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，尤其在遭受黑客攻擊的情況下；保證信息數(shù)據(jù)的完整性和保密性，在網(wǎng)絡(luò)傳輸時(shí)數(shù)據(jù)不被修改和不被竊??；具有科學(xué)的安全風(fēng)險(xiǎn)評(píng)估；保證網(wǎng)絡(luò)的穩(wěn)定性，安全措施不形成網(wǎng)絡(luò)的負(fù)擔(dān)而且提供全天候滿意服務(wù)和應(yīng)用。.安全策略針對(duì)校園網(wǎng)的安全隱患，結(jié)合校園網(wǎng)的主要功能，分析網(wǎng)絡(luò)安全的主要目標(biāo)后，可以根據(jù)網(wǎng)絡(luò)的層次結(jié)構(gòu)模型，系統(tǒng)地架構(gòu)各層的安全措施，實(shí)施一系列安全策略。4.2.1采用一系列物理安全技術(shù)建設(shè)校園網(wǎng)時(shí)，設(shè)備的選用在校園網(wǎng)中占據(jù)舉足輕重的作用，硬件系統(tǒng)安全因素主要有：1）提高服務(wù)器性能在校園網(wǎng)中服務(wù)器

7、起著主導(dǎo)作用，其性能的優(yōu)劣直接影響著校園網(wǎng)的運(yùn)行安全性以及網(wǎng)絡(luò)服務(wù)的質(zhì)量。在服務(wù)器選用上，要求該服務(wù)器具有較高的可用性、可靠性、可擴(kuò)展性，支持對(duì)稱多處理器。（下轉(zhuǎn)第51頁(yè)）（上接第26頁(yè)）2）采用多層交換技術(shù)隨著網(wǎng)絡(luò)交換技術(shù)的發(fā)展，三層交換機(jī)或更多層交換機(jī)業(yè)已應(yīng)運(yùn)而生，規(guī)劃校園網(wǎng)時(shí)，中心交換機(jī)應(yīng)考慮采用三層交換技術(shù)。三層交換技術(shù)可以完成常規(guī)交換機(jī)的網(wǎng)絡(luò)連接功能，又可以解決局域網(wǎng)網(wǎng)段劃分問(wèn)題，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題。3）采用電源保護(hù)技術(shù)采取良好的屏蔽及避雷措施，防止雷電干擾；防盜技術(shù)，安裝報(bào)警器和各種監(jiān)視系統(tǒng)及安全門(mén)鎖；環(huán)境保護(hù)，按計(jì)算機(jī)安全場(chǎng)地要求采取防火、防水、防震、

8、防靜電技術(shù)措施；磁兼容性，采取電磁屏蔽及良好的接地手段，使系統(tǒng)中的設(shè)備不與周?chē)渌O(shè)備互相影響；抑制和防止電磁漏洞，為防止電磁泄露，需采取低輻射的設(shè)備和電磁屏蔽等措施；合理配置系統(tǒng)，限制普通用戶登錄，校園網(wǎng)主機(jī)的操作系統(tǒng)盡量采用UNIX。廣域網(wǎng)和局域網(wǎng)之間的訪問(wèn)控制對(duì)特定的網(wǎng)段、服務(wù)，建立有效的訪問(wèn)控制體系，使大多數(shù)攻擊到達(dá)之前就能進(jìn)行阻止。通過(guò)路由器上的防火墻來(lái)實(shí)現(xiàn)廣域網(wǎng)和校園網(wǎng)之間的訪問(wèn)控制，應(yīng)選用包過(guò)濾型防火墻，包過(guò)濾安裝在路由器上，對(duì)IP源地址、IP目的地址、封裝協(xié)議、端口號(hào)等進(jìn)行篩選，以達(dá)到限制非法網(wǎng)絡(luò)訪問(wèn)的目的。局域網(wǎng)的安全訪問(wèn)控制內(nèi)部網(wǎng)絡(luò)安全控制的指導(dǎo)思想是將非法用戶和網(wǎng)絡(luò)資源之

9、間相隔離。不同系統(tǒng)的用戶能夠訪問(wèn)其他系統(tǒng)這是安全的隱患，采用技術(shù)手段控制內(nèi)部網(wǎng)絡(luò)的訪問(wèn)是必要的。對(duì)集中訪問(wèn)者的鑒別在建立全網(wǎng)通信的身份識(shí)別系統(tǒng)后可實(shí)現(xiàn)用戶的統(tǒng)一管理，統(tǒng)一授權(quán)，防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源。網(wǎng)絡(luò)病毒的防范計(jì)算機(jī)病毒的威脅力和破壞力不可估量。在校園網(wǎng)系統(tǒng)中，應(yīng)建立多層次的病毒防衛(wèi)體系，以保證信息的安全和系統(tǒng)的正常運(yùn)行，預(yù)防病毒、檢測(cè)病毒技術(shù)、消除病毒技術(shù)也應(yīng)在網(wǎng)絡(luò)防毒工作中全面采用。備份備份包括網(wǎng)絡(luò)通信運(yùn)行系統(tǒng)的備份和網(wǎng)絡(luò)設(shè)備、通信線路的備份。網(wǎng)絡(luò)通信參數(shù)、配置的備份應(yīng)根據(jù)網(wǎng)絡(luò)的重要性制訂詳細(xì)的備份計(jì)劃，確保故障發(fā)生后可快速地恢復(fù)運(yùn)行數(shù)據(jù)。設(shè)備和線路的備份可根據(jù)網(wǎng)絡(luò)運(yùn)行的故

10、障率準(zhǔn)備一定冗余，在網(wǎng)絡(luò)某部分發(fā)生故障時(shí)，其他部分可自行啟用或迅速切換。信息過(guò)濾在網(wǎng)絡(luò)中采用鏡像偵聽(tīng)方式對(duì)偵聽(tīng)端口的所有數(shù)據(jù)進(jìn)行收集，收集的信息包括各種協(xié)議的網(wǎng)絡(luò)傳輸數(shù)據(jù)，根據(jù)關(guān)鍵字對(duì)有害信息進(jìn)行過(guò)濾。建立完善的管理制度首先，建立機(jī)房管理制度，它包括機(jī)房值班、機(jī)房安全級(jí)劃分和工作人員進(jìn)出機(jī)房與用機(jī)登記；其次建立責(zé)任分工制度，明確職責(zé)，各司其職；制定權(quán)限管理制度，規(guī)定上機(jī)人員不能越權(quán)操作；最后制定安全監(jiān)督管理制度，用專(zhuān)人對(duì)系統(tǒng)使用情況實(shí)行監(jiān)控，防止非法操作，對(duì)發(fā)現(xiàn)的異常情況，要采取有效措施加以控制。五、結(jié)束語(yǔ)在高校多校區(qū)共同教學(xué)這一前提下，網(wǎng)絡(luò)安全應(yīng)貫穿于校園網(wǎng)規(guī)范、設(shè)計(jì)、建設(shè)、運(yùn)行、管理等各個(gè)環(huán)節(jié)，只有全面了解各校區(qū)的網(wǎng)絡(luò)狀況，及網(wǎng)絡(luò)安全中存在的軟、硬件差異，了解網(wǎng)絡(luò)安全隱患，才能因地制宜地制訂安全策略，落實(shí)安全管理制度，并加強(qiáng)對(duì)上網(wǎng)用戶的安全知識(shí)及相關(guān)安全法規(guī)的培訓(xùn)?！緟⒖嘉墨I(xiàn)】 TO