校園網(wǎng)絡(luò)管理與信息安全解決方案

河北金融學(xué)院校內(nèi)網(wǎng)絡(luò)管理與信息平安解決方案目錄摘要 1一概述 1二對當(dāng)前校內(nèi)網(wǎng)絡(luò)現(xiàn)狀的探討分析 1三河北金融學(xué)院網(wǎng)絡(luò)拓?fù)鋱D 2四校內(nèi)網(wǎng)主要面臨的平安威逼 24.1計(jì)算機(jī)病毒破壞 24.2校內(nèi)網(wǎng)絡(luò)設(shè)備管理不健全 34.3計(jì)算機(jī)系統(tǒng)漏洞 34.4用戶對校內(nèi)網(wǎng)網(wǎng)絡(luò)資源的濫用 44.5校內(nèi)網(wǎng)平安管理制度缺失 44.6網(wǎng)絡(luò)管理者和運(yùn)用者的平安技術(shù)實(shí)力低 4五網(wǎng)絡(luò)平安解決方案設(shè)計(jì) 55.1身份認(rèn)證 55.2部署網(wǎng)絡(luò)防病毒系統(tǒng) 55.3防止IP地址盜用和ARP攻擊 55.4設(shè)置漏洞管理系統(tǒng) 65.5設(shè)置防火墻愛護(hù)網(wǎng)絡(luò)平安 65.6設(shè)置WEB應(yīng)用防護(hù)系統(tǒng) 75.7定期對服務(wù)器進(jìn)行備份和維護(hù) 75.8加強(qiáng)校內(nèi)管理 7六結(jié)束語 8參考文獻(xiàn) 8摘要：隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)平安已成為一個(gè)不行忽視的問題。而校內(nèi)網(wǎng)絡(luò)的平安是一個(gè)普遍存在較為困難的系統(tǒng)工程，須要引起每個(gè)運(yùn)用校內(nèi)網(wǎng)的人足夠的重視并全方位地加以防范．本文針對目前校內(nèi)網(wǎng)面臨的現(xiàn)狀進(jìn)行了分析。列舉出了影響校內(nèi)網(wǎng)平安的主要因素，并提出了解決方案。關(guān)鍵詞校內(nèi)網(wǎng)絡(luò)網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安措施解決方案一概述隨著信息化程度的提高，計(jì)算機(jī)網(wǎng)絡(luò)得到了飛速發(fā)展，校內(nèi)網(wǎng)絡(luò)信息化也逐步發(fā)展起來了。而高校校內(nèi)信息化建設(shè)工作的整體推動(dòng),應(yīng)用系統(tǒng)的整合、統(tǒng)一門戶平臺(tái)的實(shí)施、數(shù)據(jù)存儲(chǔ)中心的建立以及各種信息的共享與溝通,都須要切實(shí)做好校內(nèi)網(wǎng)絡(luò)平安體系建設(shè),建立事故預(yù)警機(jī)制,做好善后處理工作,結(jié)合硬件、軟件,實(shí)行各種技術(shù)措施,建立一個(gè)基于管理措施和多種技術(shù)的高校校內(nèi)網(wǎng)絡(luò)平安體系,確保校內(nèi)信息化各類基礎(chǔ)設(shè)施不受來自網(wǎng)內(nèi)和網(wǎng)外用戶非法訪問和破壞,管理內(nèi)部用戶對外部資源的合法訪問,全面做好校內(nèi)信息化的平安保衛(wèi)工作。保證校內(nèi)內(nèi)外信息資料順暢的溝通,面對校內(nèi)網(wǎng)絡(luò)中的種種平安威逼，必需實(shí)行剛好有效的措施來解決。二對當(dāng)前校內(nèi)網(wǎng)絡(luò)現(xiàn)狀的探討分析當(dāng)前校內(nèi)網(wǎng)絡(luò)普遍面臨著網(wǎng)絡(luò)規(guī)模大，設(shè)備多。從網(wǎng)絡(luò)結(jié)構(gòu)上看，可分為核心、匯聚和接入3個(gè)層次，包含很多的路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備和服務(wù)器、微機(jī)等主機(jī)設(shè)備等問題。校內(nèi)網(wǎng)通常是雙出口結(jié)構(gòu)，分別與Cerner、Internet互聯(lián)。而且用戶種類豐富。不同用戶對網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實(shí)現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入INTERNET。學(xué)生區(qū)主要是接入INTERNET的需求。應(yīng)用系統(tǒng)豐富。校內(nèi)網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用，如多媒體教學(xué)系統(tǒng)，圖書館管理系統(tǒng)，學(xué)生檔案管理系統(tǒng)，財(cái)務(wù)處理系統(tǒng)等。這些應(yīng)用之間相互隔離。還有很多基于INTERTNET的應(yīng)用，如WWW、E-MAIL等，須要和INTERNET的交互。各種應(yīng)用服務(wù)器，如DNS，WWW，E-MAIL，F(xiàn)TP等與核心交換機(jī)高速連接，對內(nèi)外網(wǎng)供應(yīng)服務(wù)。三河北金融學(xué)院網(wǎng)絡(luò)拓?fù)鋱D四校內(nèi)網(wǎng)主要面臨的平安威逼4.1計(jì)算機(jī)病毒破壞計(jì)算機(jī)病毒已經(jīng)成為影響校內(nèi)網(wǎng)絡(luò)平安的重要因素，它不僅影響系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件及文件系統(tǒng)、使整個(gè)網(wǎng)絡(luò)運(yùn)行效率下降，甚至造成計(jì)算機(jī)和整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。制病毒在校內(nèi)網(wǎng)中的廣泛傳播:一是在網(wǎng)關(guān)處禁止常見病毒的入侵,關(guān)閉校內(nèi)網(wǎng)絡(luò)對外的可能產(chǎn)生病毒入侵的端口;二是在校內(nèi)網(wǎng)內(nèi)安裝具有計(jì)算機(jī)信息系統(tǒng)平安專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品,在整個(gè)校內(nèi)網(wǎng)內(nèi)實(shí)行病毒防范措施;三是查找到病毒宿主機(jī),對其實(shí)施隔離措施,將用戶的網(wǎng)絡(luò)訪問強(qiáng)行定向到校內(nèi)在線殺毒站點(diǎn)進(jìn)行病毒查殺;四是對服務(wù)器等重要設(shè)備設(shè)定平安策略,監(jiān)控系統(tǒng)狀態(tài),有效防范校內(nèi)網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。4.2校內(nèi)網(wǎng)絡(luò)設(shè)備管理不健全校內(nèi)網(wǎng)絡(luò)涉及硬件的設(shè)備分布在整個(gè)校同內(nèi)，管理起來有肯定的難度。從網(wǎng)絡(luò)設(shè)備所處層級(jí)看,校內(nèi)網(wǎng)網(wǎng)絡(luò)層級(jí)一般可分為核心層、匯聚層、接入層,要確保各個(gè)層級(jí)的平安,網(wǎng)絡(luò)設(shè)備本身的平安牢靠是前提,否則網(wǎng)絡(luò)設(shè)備所配置的平安策略就失去了其意義。為了集中管理存放在校內(nèi)各樓宇中的交換機(jī)設(shè)備,學(xué)校一般會(huì)購置具備遠(yuǎn)程管理功能的交換機(jī),也同樣是出于集中管理的目的,網(wǎng)絡(luò)管理者往往會(huì)將交換機(jī)的遠(yuǎn)程登陸帳戶設(shè)置成一模一樣或者就干脆采納設(shè)備的出廠默認(rèn)值,假如攻擊者獲得到設(shè)備的登陸帳號(hào),將會(huì)給用戶和網(wǎng)絡(luò)管理帶來無法想象的威逼。暴露在外面的設(shè)施，可能遭到有意或無意的損壞，這就會(huì)造成校內(nèi)網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)峻后果，而且大多數(shù)校內(nèi)網(wǎng)絡(luò)信息化設(shè)備投入由于資金投入不足，致使校內(nèi)網(wǎng)絡(luò)建設(shè)方面存在著各種開放式的平安隱患。4.3計(jì)算機(jī)系統(tǒng)漏洞入侵者攻擊校內(nèi)網(wǎng)主要是利用軟件或攻擊代碼對網(wǎng)絡(luò)軟件或硬件的平安漏洞加以攻擊,獲得相應(yīng)權(quán)限后,非法獲得目標(biāo)主機(jī)的資源,也可能會(huì)在限制目標(biāo)主機(jī)后,以其為跳板(俗稱肉雞),對其他計(jì)算機(jī)或網(wǎng)絡(luò)實(shí)施攻擊和非法訪問并隱藏真實(shí)身份。終端系統(tǒng)漏洞主要有三個(gè)方面:一是一般計(jì)算機(jī)和服務(wù)器操作系統(tǒng)等軟件漏洞。校內(nèi)網(wǎng)中廣泛運(yùn)用的網(wǎng)絡(luò)操作系統(tǒng)主要是Windows操作系統(tǒng),也有較少部分的其他類型操作系統(tǒng),這些系統(tǒng)都存在各種各樣的平安漏洞,很多計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染的。二是校內(nèi)網(wǎng)絡(luò)硬件設(shè)備漏洞。連接校內(nèi)網(wǎng)絡(luò)各基礎(chǔ)設(shè)施的硬件設(shè)備(如交換機(jī)、防火墻等),基本工作原理是運(yùn)行存儲(chǔ)在芯片中的程序,實(shí)現(xiàn)一系列功能,這些程序或多或少的都會(huì)存在一些漏洞,這些漏洞給入侵者供應(yīng)了攻擊網(wǎng)絡(luò)的可能。三是校內(nèi)網(wǎng)站、各單位基于WEB的業(yè)務(wù)管理系統(tǒng)等代碼漏洞。校內(nèi)網(wǎng)絡(luò)上運(yùn)行著大量的網(wǎng)站和眾多的業(yè)務(wù)管理系統(tǒng),對校內(nèi)和校外供應(yīng)豐富多彩的工作、學(xué)習(xí)和消遣等內(nèi)容,但這些站點(diǎn)的代碼在編寫過程中,存在很多不嚴(yán)謹(jǐn)?shù)牡胤?甚至有些程序設(shè)計(jì)人員可能會(huì)在代碼中留下一些后門程序,這給攻擊者留下了攻擊的途徑。4.4用戶對校內(nèi)網(wǎng)網(wǎng)絡(luò)資源的濫用事實(shí)上有相當(dāng)一部分的因特網(wǎng)訪問是與正常的工作無關(guān)的，有人利用校內(nèi)網(wǎng)資源從事商業(yè)活動(dòng)或大量的視頻、軟件資源下載服務(wù)，有人甚至去訪問一些不健康的甚至反動(dòng)站點(diǎn)，從而導(dǎo)致大量非法內(nèi)容或垃圾郵件甚至一些木馬程序的進(jìn)入，占用了大量寶貴的網(wǎng)絡(luò)資源，嚴(yán)峻奢侈了校內(nèi)網(wǎng)資源，造成流量堵寨、子網(wǎng)速度慢等問題。4.5校內(nèi)網(wǎng)平安管理制度缺失隨著校同內(nèi)對計(jì)算機(jī)虛用的需求，接入校內(nèi)網(wǎng)的計(jì)算機(jī)日益增加，校內(nèi)網(wǎng)平安管理制度缺失問題也更加嚴(yán)峻。校內(nèi)網(wǎng)常常會(huì)發(fā)生計(jì)算機(jī)病毒泛濫、信息丟失數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)峻狀況。校內(nèi)網(wǎng)的建設(shè)普遍存在著重運(yùn)行、輕管理的現(xiàn)象。而且當(dāng)前很多高校校內(nèi)網(wǎng)絡(luò)建設(shè)存在重硬件、輕軟件及重運(yùn)行、輕管理的兩種極端現(xiàn)象,網(wǎng)絡(luò)建設(shè)者通常將網(wǎng)絡(luò)系統(tǒng)作為一項(xiàng)純技術(shù)工程來實(shí)施,沒有建立一套完善的平安管理方案,網(wǎng)絡(luò)管理員只需將精力集中于日常的簡潔事務(wù)管理上,如上網(wǎng)線路的故障維護(hù)、賬號(hào)的開通和維護(hù)、服務(wù)器的日常管理和業(yè)務(wù)應(yīng)用系統(tǒng)的日常維護(hù)等,網(wǎng)絡(luò)規(guī)范化、平安化管理嚴(yán)峻不足,很少關(guān)注和探討網(wǎng)絡(luò)入侵手段、防范措施、平安機(jī)制等內(nèi)容。4.6網(wǎng)絡(luò)管理者和運(yùn)用者的平安技術(shù)實(shí)力低雖然高校校內(nèi)網(wǎng)絡(luò)建設(shè)者和運(yùn)用者具備足夠的平安意識(shí),但可能會(huì)陷于平安技術(shù)實(shí)力不足的缺憾。網(wǎng)絡(luò)管理者不具備豐富的平安管理閱歷和技術(shù)實(shí)力,就無從談起對網(wǎng)絡(luò)的平安保障,至多只能防范和處理一些簡潔的平安威逼,遇到重大問題,通常只能求助于校外專業(yè)人士。網(wǎng)絡(luò)運(yùn)用者的平安技術(shù)實(shí)力更是嚴(yán)峻不足,絕大多數(shù)的用戶只是簡潔的運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò),平安防范措施一般只是安裝殺毒軟件,期望殺毒軟件能解決全部平安問題,但這往往是不行能的。五網(wǎng)絡(luò)平安解決方案設(shè)計(jì)5.1身份認(rèn)證對于每一個(gè)入校內(nèi)網(wǎng)的用戶，我們須要對其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名、密碼、用戶PC機(jī)的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)，通過以上的信息的綁定，可以避開了個(gè)人信息被盜用，當(dāng)平安事故發(fā)生的時(shí)候，只要能夠發(fā)覺肇事者的一項(xiàng)信息就可以精確定位到該用戶，便于事情的處理。5.2部署網(wǎng)絡(luò)防病毒系統(tǒng)網(wǎng)絡(luò)管理者一般應(yīng)通過四種策略來防范和限制病毒在校內(nèi)網(wǎng)中的廣泛傳播:一是在網(wǎng)關(guān)處禁止常見病毒的入侵,關(guān)閉校內(nèi)網(wǎng)絡(luò)對外的可能產(chǎn)生病毒入侵的端口;二是在校內(nèi)網(wǎng)內(nèi)安裝具有計(jì)算機(jī)信息系統(tǒng)平安專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品,在整個(gè)校內(nèi)網(wǎng)內(nèi)實(shí)行病毒防范措施;三是查找到病毒宿主機(jī),對其實(shí)施隔離措施,將用戶的網(wǎng)絡(luò)訪問強(qiáng)行定向到校內(nèi)在線殺毒站點(diǎn)進(jìn)行病毒查殺;四是對服務(wù)器等重要設(shè)備設(shè)定平安策略(如固定端口開放、審核策略、網(wǎng)絡(luò)訪問許可策略等),監(jiān)控系統(tǒng)狀態(tài),有效防范校內(nèi)網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。5.3防止IP地址盜用和ARP攻擊通過對每一個(gè)ARP報(bào)文進(jìn)行深度的檢測，即檢測ARP報(bào)文中的源IP和源MAC是否和端口平安規(guī)則一樣，假如不一樣，視為更改了IP地址，所以的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止平安端口上的ARP欺瞞，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP，造成網(wǎng)絡(luò)通訊的混亂。5.4設(shè)置漏洞管理系統(tǒng)設(shè)置漏洞管理系統(tǒng)，能夠有效避開由漏洞攻擊導(dǎo)致的平安問題。它從漏洞的整個(gè)生命周期著手，在周期的不同階段實(shí)行不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。對用戶網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)覺并依據(jù)資產(chǎn)重要性進(jìn)行分類；自動(dòng)周期對網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評(píng)估并將結(jié)果自動(dòng)發(fā)送和保存；采納業(yè)界權(quán)威的分析模型對漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并依據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；依據(jù)漏洞修復(fù)方案，對網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體平安策略進(jìn)行規(guī)避；對修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)：定期重復(fù)上述步驟。通過漏洞管理將網(wǎng)絡(luò)資產(chǎn)依據(jù)重要性進(jìn)行分類，自動(dòng)周期升級(jí)并對網(wǎng)絡(luò)資產(chǎn)進(jìn)行評(píng)估，最終自動(dòng)將風(fēng)險(xiǎn)評(píng)估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。漏洞管理系統(tǒng)包括硬件平臺(tái)和管理限制臺(tái)，部署在網(wǎng)絡(luò)的核心交換機(jī)處，對整個(gè)網(wǎng)絡(luò)中的資產(chǎn)供應(yīng)漏洞管理功能。5.5設(shè)置防火墻愛護(hù)網(wǎng)絡(luò)平安防火墻系統(tǒng)是一種建立在現(xiàn)在同學(xué)網(wǎng)絡(luò)技術(shù)和信息平安技術(shù)基礎(chǔ)的應(yīng)用性平安技術(shù)產(chǎn)品，是一種運(yùn)用較早的，也是目前運(yùn)用較廣泛的網(wǎng)絡(luò)平安防范產(chǎn)品。防火墻通過限制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)平安的有效管理。在須要隔離的網(wǎng)絡(luò)區(qū)域之間設(shè)置防火墻。典型地，在Internet與校內(nèi)網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道堅(jiān)固的平安屏障。將WWW、MAIL、FTP、DNS等服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校內(nèi)網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet連接。那么，通過Internet進(jìn)來的公眾用戶只能訪問到對外公開的一些服務(wù)（如WWW、MAIL、FTP、DNS等），既愛護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻擋內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的平安事務(wù)進(jìn)行跟蹤和審計(jì)。5.6設(shè)置WEB應(yīng)用防護(hù)系統(tǒng)高校網(wǎng)絡(luò)平安體系中，須要新型的技術(shù)和設(shè)備來應(yīng)對WEB攻擊，保證網(wǎng)站平安，維護(hù)高校聲譽(yù)；為廣闊師生等用戶供應(yīng)持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是WEB防火墻。傳統(tǒng)的邊界平安設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地供應(yīng)針對Web應(yīng)用攻擊完善的防衛(wèi)實(shí)力。Web應(yīng)用防火墻（WebApplicationFirewall,簡稱：WAF）代表了一類新興的信息平安技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備手足無措的Web應(yīng)用平安問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢?；趯eb應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類懇求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其平安性與合法性，對非法的懇求予以實(shí)時(shí)阻斷，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。5.7定期對服務(wù)器進(jìn)行備份和維護(hù)為防止不能預(yù)料的系統(tǒng)故障或用戶不當(dāng)心的非法操作，系統(tǒng)管理管理員須要定期備份服務(wù)器上的重要系統(tǒng)文件。比如用戶賬戶。文件資料可以用RAID方式進(jìn)行每周備份，重要的資料還應(yīng)用保存在另外的服務(wù)器上或者備份在光盤中。監(jiān)視服務(wù)器上資源的運(yùn)用狀況，刪除過期和無用的文件，確保服務(wù)器高效運(yùn)行。5.8加強(qiáng)校內(nèi)管理校內(nèi)網(wǎng)絡(luò)平安保障是一個(gè)硬件、軟件和人力資源有機(jī)結(jié)合的整體,三方面相輔相成,缺一不行。因此,在有足夠牢靠的平安