校園網(wǎng)安全防御策略

1、校園網(wǎng)安全防御策略摘要：校園網(wǎng)絡在帶給我們便捷通信、自由交流、海量信息的同時，也存在著不可忽視的安全隱患與潛在威脅。對校園網(wǎng)絡存在的各種安全威脅進行深入研究后，基于目前的網(wǎng)絡安全技術設計出切實可行的防御措施，以確保校園網(wǎng)絡的安全運行。關鍵詞：校園網(wǎng)；網(wǎng)絡安全；防御策略1校園網(wǎng)絡的安全狀態(tài)校園網(wǎng)絡是互聯(lián)網(wǎng)絡的有機組成部分，同時又是師生員工教學、科研、管理、服務、文化娛樂等服務的特殊支撐平臺，各種各樣的應用軟件在校園網(wǎng)中廣泛使用。而Windows系統(tǒng)本身存在很多的系統(tǒng)安全漏洞，被廣泛使用的FTP服務器也存在嚴重的緩沖區(qū)溢出漏洞。因此，校園網(wǎng)絡運行中普遍存在計算機病毒、網(wǎng)絡蠕蟲、黑客攻擊、垃圾郵件、

2、不健康內(nèi)容傳播、非法的訪問等各種安全問題。校園網(wǎng)絡既是學習研究平臺，又是大學文化建設的窗口。學生對新技術有好奇、好學的心理，在校園網(wǎng)上測試、使用各種各樣的網(wǎng)絡安全技術和工具（掃描工具、系統(tǒng)漏洞探測工具），這些都嚴重影響著校園網(wǎng)絡的安全；學生正處于成長期，不健康內(nèi)容（色情的、反動的）也會對他們的成長產(chǎn)生不利的影響；校園網(wǎng)提供各種服務，而提供服務的部門安全意識不統(tǒng)一，各種服務器自身存在安全威脅；教師、學生與外界頻繁的Email聯(lián)系，使得垃圾郵件非常多（甚至有90%是垃圾郵件），這些也加劇了校園網(wǎng)的安全威脅。2校園網(wǎng)絡安全防御體系與關鍵設備技術校園網(wǎng)絡安全防御體系校園網(wǎng)絡中安全產(chǎn)品和技術一般都會涉及

3、到諸如防火墻、入侵檢測系統(tǒng)、物理網(wǎng)絡隔離、數(shù)據(jù)備份及網(wǎng)絡防病毒等相關內(nèi)容，典型的一般安全防御體系如圖1所示。校園網(wǎng)絡安全一般安全部署中的安全防御與應急措施是基于網(wǎng)絡分層體系結構，其所采用的不同相關技術與設備如下：物理層與數(shù)據(jù)鏈路層：設備備份、數(shù)據(jù)備份、服務備份、VLAN劃分等；網(wǎng)絡層：防火墻、入侵檢測系統(tǒng)（IDS）、內(nèi)網(wǎng)包過濾等；傳輸層：IP和MAC地址綁定等；應用層：日志審計、身份認證、網(wǎng)絡防病毒、垃圾郵件過濾等。校園網(wǎng)絡安全防御關鍵設備及技術防火墻及技術功能：為網(wǎng)絡通信、數(shù)據(jù)傳輸提供更有保障的安全性。分類：狀態(tài)檢測防火墻（動態(tài)檢查網(wǎng)絡連接和包）、應用程序代理防火墻（與特定應用程序配合使用）

4、。性能：最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲以及自身安全性。產(chǎn)品：Juniper的NetScreenCisco的Pix、天融信防火墻、天網(wǎng)防火墻。入侵檢測與防御及技術功能：及時發(fā)現(xiàn)網(wǎng)絡異常行為，并阻止其進一步發(fā)展。檢測技術：基于誤用檢測技術（檢測與異常規(guī)則相匹配的網(wǎng)絡行為）、基于異常檢測技術（檢測偏離了正常規(guī)則的網(wǎng)絡行為）。核心技術：模式匹配、基于統(tǒng)計方法、預測模式生成等。性能：降低誤報率、漏報率。產(chǎn)品：CA的IntrusionDetection,啟明星辰的天闐IDS等。防病毒及技術功能：及時發(fā)現(xiàn)病毒并清除,阻止病毒進一步傳播、擴散。核心技術：特征代碼匹配、病毒特征自動發(fā)現(xiàn)、啟發(fā)式

5、搜索等。產(chǎn)品：Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等。反垃圾郵件及技術功能：過濾、阻止大量的非正常的電子郵件。反垃圾郵件機理：IP地址、域名、郵件地址黑白名單方式；基于垃圾郵件行為模式識別模型；Domainkeys方式；基于PKI的方式對郵件發(fā)送者進行驗證,對郵件信息進行加密保護,對收信人實現(xiàn)防抵賴機制；基于信頭、信體、附件的內(nèi)容過濾方式。產(chǎn)品：防垃圾郵件網(wǎng)關,如冠群金辰的Kill赤霄郵件過濾網(wǎng)關；防垃圾郵件防火墻,如博威特的梭子魚垃圾郵件防火墻。內(nèi)容過濾及技術功能：阻止不健康、反動信息的復制、傳播。過濾方法：基于關鍵字、權重關鍵字；基于URL的過濾；基于文字內(nèi)容的深度搜索

6、產(chǎn)品：一般在防病毒網(wǎng)關、反垃圾郵件系統(tǒng)中集成。3校園網(wǎng)絡深度安全防御措施圖1所示的校園網(wǎng)絡安全部署在一定程度上對安全攻擊作出了一定防范，但安全風險依然存在：核心交換機存在單點失效危險、網(wǎng)絡設備存在性能瓶頸、鏈路未能實現(xiàn)冗余、內(nèi)網(wǎng)重要信息未能屏蔽等，這些問題都可能導致校園網(wǎng)絡受到威脅甚至癱瘓。整合現(xiàn)有安全技術與安全產(chǎn)品，對校園網(wǎng)絡增加一定的經(jīng)費投入，構建深度安全防御體系如圖2所示。在保留一般安全防御手段的同時（重要部門物理網(wǎng)絡隔離、應用防火墻、VLAN劃分等），校園網(wǎng)絡匯聚部分實現(xiàn)了設備的冗余和鏈路的冗余，較好地避免了單點失效和鏈路故障所導致的網(wǎng)絡性能下降甚至癱瘓的可能。同時，在網(wǎng)絡出口增加了網(wǎng)

7、絡地址轉換設備，盡可能屏蔽掉內(nèi)網(wǎng)過多的信息，以避免受到黑客攻擊。此外，無需過多應用相關安全產(chǎn)品，節(jié)約了成本。4結論安全是一種意識，沒有任何技術可以確保校園網(wǎng)絡不受到任何的安全威脅。網(wǎng)絡安全可以說是“三分技術，七分管理”。鑒于此，學校領導及校園網(wǎng)絡管理人員應加強全校師生員工網(wǎng)絡安全意識的普及并加強網(wǎng)絡相關規(guī)章制度的建立健全，努力做到：（1）配備完整系統(tǒng)的網(wǎng)絡安全設備，如防火墻、入侵檢測系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)，實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控。2）建立全校統(tǒng)一的身份認證機制，對學生宿舍計算機進行IP地址綁定，上網(wǎng)用戶必須辦理上網(wǎng)登記手續(xù)，BBS實行實名制（3）規(guī)范出口管理，嚴格控制私自連接外網(wǎng)。（4）監(jiān)控用戶的上網(wǎng)行為，專人負責對各個網(wǎng)站、BBS內(nèi)容進行監(jiān)控，及時阻止有害信息傳播，各網(wǎng)站、BBS保留日志，并建立周報制度。（5）各級管理機構設定網(wǎng)絡安全員，負責相應的網(wǎng)絡安全和信息安全工作。同時，加強對用戶的教育和培訓。（6）制定校園網(wǎng)絡安全管理制度，落實網(wǎng)絡中心各管理人員責任，定期培訓各級網(wǎng)絡管理員。加強對學生用戶的教育，對違反規(guī)章制度的人員提出警告，停止其使用網(wǎng)絡，對其進行批評教育，