軍校網(wǎng)絡(luò)安全體系的研究與應(yīng)用

軍校網(wǎng)絡(luò)安全體系的研究與應(yīng)用摘要：針對(duì)軍校網(wǎng)絡(luò)的主要功能和特點(diǎn)，提出了網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)和原則；從多方面詳細(xì)討論了網(wǎng)絡(luò)安全的防護(hù)策略和關(guān)鍵技術(shù)。從軍校網(wǎng)絡(luò)總體規(guī)劃建設(shè)實(shí)際出發(fā)，分析了軍校網(wǎng)絡(luò)安全需求，應(yīng)用具體的網(wǎng)絡(luò)安全相關(guān)技術(shù)，實(shí)施了軍校網(wǎng)絡(luò)安全體系部署方案，并對(duì)方案整體運(yùn)行情況進(jìn)行了評(píng)價(jià)。關(guān)鍵詞：網(wǎng)絡(luò)安全;安全策略;安全技術(shù);軍隊(duì)校園網(wǎng)1軍校網(wǎng)絡(luò)安全概述軍隊(duì)院校的校園網(wǎng)絡(luò)有著軍隊(duì)網(wǎng)絡(luò)和校園網(wǎng)絡(luò)的雙重特點(diǎn)。從保密要求來(lái)看，軍校的網(wǎng)絡(luò)中承載著許多涉密的信息；從網(wǎng)絡(luò)應(yīng)用的角度來(lái)看，軍校的網(wǎng)絡(luò)又跟普通的校園網(wǎng)一樣，需要開(kāi)放、便利的網(wǎng)絡(luò)服務(wù)。軍隊(duì)院校下屬部門(mén)較多，校園網(wǎng)絡(luò)作為軍隊(duì)院校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。1.1軍校網(wǎng)絡(luò)的功能與特點(diǎn)軍校網(wǎng)絡(luò)具有教學(xué)、管理以及其它一些網(wǎng)絡(luò)應(yīng)用等功能，從功能架構(gòu)上來(lái)分，大致分為對(duì)內(nèi)、對(duì)外和信息中心3部分。對(duì)內(nèi)部分主要是指校園Intranet，主要包括院校機(jī)關(guān)、教員辦公樓、多媒體教室、機(jī)房、電子圖書(shū)館和各專(zhuān)修室的內(nèi)部網(wǎng)絡(luò)連接，它主要服務(wù)于院校的教學(xué)和管理；對(duì)外部分包括與軍事信息綜合網(wǎng)和其它兄弟院校及單位的連接，提供信息共享服務(wù)等；而網(wǎng)管中心則是這兩部分的橋梁和核心，擔(dān)負(fù)著整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的管理和安全工作。軍校網(wǎng)絡(luò)是一種特殊的網(wǎng)絡(luò)，除了具有基本廣域網(wǎng)應(yīng)有的功能與特點(diǎn)外，還具有網(wǎng)絡(luò)規(guī)模巨大、計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜、用戶群體比較活躍等特點(diǎn)。1.2軍校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)從網(wǎng)絡(luò)部件的安全風(fēng)險(xiǎn)因素分析，網(wǎng)絡(luò)系統(tǒng)的易欺騙性和易被監(jiān)控性，加上薄弱的認(rèn)證環(huán)節(jié)以及局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機(jī)的復(fù)雜設(shè)置與控制，使得計(jì)算機(jī)網(wǎng)絡(luò)容易遭受威脅和攻擊；網(wǎng)絡(luò)端口、傳輸線路和處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露。從網(wǎng)絡(luò)軟件的安全威脅因素來(lái)看，網(wǎng)絡(luò)軟件的漏洞及缺陷容易被利用，從而對(duì)網(wǎng)絡(luò)進(jìn)行入侵和損壞；計(jì)算機(jī)病毒不斷侵入網(wǎng)絡(luò)并繁殖。大多數(shù)軍校網(wǎng)管還是采用單一、被動(dòng)、缺乏主動(dòng)性、靈活性的安全策略，根本無(wú)法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范。此外網(wǎng)絡(luò)管理方面，責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等因素都可能引起網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。1.3軍校網(wǎng)絡(luò)安全的設(shè)計(jì)目標(biāo)和原則對(duì)軍校網(wǎng)絡(luò)，網(wǎng)絡(luò)信息安全的主要目標(biāo)應(yīng)表現(xiàn)為系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴(lài)性6個(gè)方面。具體來(lái)講就是確保信息經(jīng)網(wǎng)絡(luò)傳輸?shù)侥康挠?jì)算機(jī)時(shí)沒(méi)有任何改變或丟失，使信息的機(jī)密性、完整性及可使用性得到保護(hù)；設(shè)備要具有最大的可靠性，網(wǎng)絡(luò)具有監(jiān)控、分析和自動(dòng)響應(yīng)等功能，同時(shí)網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)指數(shù)都要正常。根據(jù)上述目標(biāo)，我們制定以下設(shè)計(jì)原則：(1)先進(jìn)性與現(xiàn)實(shí)性。技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率。(2)系統(tǒng)與軟件的可靠性。對(duì)可靠性的考慮，可以充分減少或消除因意外或事故造成的損失。(3)系統(tǒng)安全性與保密性。要從內(nèi)部訪問(wèn)控制和外部防火墻兩方面保證校園網(wǎng)系統(tǒng)的安全。(4)易管理與維護(hù)。要盡量使用圖形化的管理界面和簡(jiǎn)潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能。(5)易擴(kuò)充性。校園網(wǎng)的建設(shè)要方便擴(kuò)充和升級(jí)。2軍校網(wǎng)絡(luò)安全防護(hù)策略及關(guān)鍵技術(shù)2.1網(wǎng)絡(luò)安全防護(hù)策略網(wǎng)絡(luò)安全策略是軍隊(duì)院校在網(wǎng)絡(luò)安全工作中的法律。網(wǎng)絡(luò)安全工作要有法可依，它使網(wǎng)絡(luò)建設(shè)和管理過(guò)程中的安全工作避免盲目性。在網(wǎng)絡(luò)安全的實(shí)施中，還應(yīng)該先對(duì)網(wǎng)絡(luò)安全管理有個(gè)清晰的概念，然后制定翔實(shí)的安全策略。概括起來(lái)，網(wǎng)絡(luò)安全策略包括：環(huán)境安全策略、信息加密策略、網(wǎng)絡(luò)防病毒策略、系統(tǒng)備份與災(zāi)難恢復(fù)、網(wǎng)絡(luò)安全管理策略等。2.2網(wǎng)絡(luò)安全關(guān)鍵技術(shù)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)包括很多，如防火墻（Firewall）技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問(wèn)的最有效手段之一；網(wǎng)絡(luò)加密技術(shù)是一種常用網(wǎng)絡(luò)安全手段；入侵檢測(cè)技術(shù)是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)；計(jì)算機(jī)病毒防護(hù)技術(shù)是網(wǎng)絡(luò)安全的一個(gè)重要領(lǐng)域；身份認(rèn)證技術(shù)是保證網(wǎng)絡(luò)安全的重要技術(shù)手段，其主要功能是在通信過(guò)程中保證通信雙方的身份始終都是可信賴(lài)的；VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全專(zhuān)用隧道的技術(shù)，等等。3軍校網(wǎng)絡(luò)安全體系的應(yīng)用3.1軍校網(wǎng)絡(luò)安全需求軍隊(duì)院校網(wǎng)絡(luò)內(nèi)部要保護(hù)網(wǎng)絡(luò)設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是校園網(wǎng)絡(luò)的基本安全需求。根據(jù)軍隊(duì)院校網(wǎng)絡(luò)的現(xiàn)狀，目前具體的網(wǎng)絡(luò)需求包括有：(1)建立一個(gè)以光纖為主干、覆蓋全校的寬帶網(wǎng)，主干1000M，100M至桌面。需要考慮網(wǎng)絡(luò)運(yùn)行的高效、可靠、安全以及智能化管理的方便。(2)實(shí)現(xiàn)校園Intranet同軍事綜合信息網(wǎng)的互聯(lián)互通，校內(nèi)可以方便快捷地訪問(wèn)軍內(nèi)外信息，以滿足查詢(xún)、通訊、資源共享、遠(yuǎn)程教學(xué)等需要；建立學(xué)院自主的服務(wù)器組群。(3)建立網(wǎng)絡(luò)教學(xué)系統(tǒng)，提供教員電子備課、課件制作、多媒體演示、學(xué)生多媒體交互學(xué)習(xí)、網(wǎng)絡(luò)考試、自動(dòng)教學(xué)評(píng)估等功能。(4)建立基于網(wǎng)絡(luò)的教育管理及自動(dòng)化辦公系統(tǒng)，包括行政、教學(xué)教務(wù)、科研、后勤、財(cái)務(wù)等系統(tǒng)，以滿足學(xué)院管理現(xiàn)代化的需要。3.2網(wǎng)絡(luò)安全總體設(shè)計(jì)校園網(wǎng)絡(luò)總體規(guī)劃建設(shè)是一項(xiàng)龐大的技術(shù)性很強(qiáng)的綜合工程，一般需要經(jīng)過(guò)網(wǎng)絡(luò)調(diào)研、系統(tǒng)設(shè)計(jì)、可行性分析、設(shè)備選型、工程招標(biāo)、硬件施工、軟件環(huán)境的建立、人員培訓(xùn)、聯(lián)調(diào)測(cè)試和系統(tǒng)驗(yàn)收等9個(gè)階段。要有安全維護(hù)運(yùn)行體系框架設(shè)計(jì)，安全運(yùn)行與維護(hù)體系的重點(diǎn)是保障信息系統(tǒng)的運(yùn)行安全。3.3網(wǎng)絡(luò)安全部署方案（1）防火墻技術(shù)采用安全性最好的被屏蔽子網(wǎng)結(jié)構(gòu)．外部路由器起到保護(hù)周邊網(wǎng)的作用。在網(wǎng)絡(luò)中，選擇實(shí)施DMZ區(qū)域設(shè)計(jì)方案來(lái)保護(hù)校園網(wǎng)絡(luò)。（2）在校園網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)置Cisco入侵測(cè)系統(tǒng)（IDSM-2），它與防火墻并行接入網(wǎng)絡(luò)中，監(jiān)測(cè)來(lái)自網(wǎng)絡(luò)的攻擊行為。當(dāng)有入侵行為時(shí)，主動(dòng)通知防火墻阻斷攻擊源；此外還可部署基于網(wǎng)絡(luò)的SymantecClientSecurity，從而幫助網(wǎng)絡(luò)管理員更好地完成網(wǎng)絡(luò)防病毒工作；在校園網(wǎng)絡(luò)中，還應(yīng)部署身份認(rèn)證系統(tǒng)，通過(guò)安全管理平臺(tái),網(wǎng)絡(luò)管理員可以為網(wǎng)絡(luò)中的主機(jī)設(shè)備定義一個(gè)統(tǒng)一的網(wǎng)絡(luò)安全接入標(biāo)準(zhǔn)，只有滿足這個(gè)接入標(biāo)準(zhǔn)的主機(jī)才能接入并使用網(wǎng)絡(luò)。使用IPRMS（IP資源管理系統(tǒng)）來(lái)進(jìn)行IP地址綁定；在數(shù)據(jù)備份及恢復(fù)系統(tǒng)中，采用NEO2000磁帶庫(kù)，同時(shí)連接至多個(gè)不同的服務(wù)器，分別運(yùn)行不同操作系統(tǒng)和磁帶應(yīng)用，對(duì)所有服務(wù)器數(shù)據(jù)進(jìn)行備份。（3）通過(guò)一些安全配置，使服務(wù)器的安全性得到進(jìn)一步提高。當(dāng)然，還有其它安全防范措施，如：過(guò)濾不良網(wǎng)絡(luò)信息、拒絕垃圾郵件等。4結(jié)束語(yǔ)軍校網(wǎng)絡(luò)完全遵循安全體系的設(shè)計(jì)目標(biāo)及原則，并實(shí)施上述網(wǎng)絡(luò)安全部署方案，綜合運(yùn)用各種安全措施后，確實(shí)能提高軍校網(wǎng)絡(luò)的安全性，使校園網(wǎng)絡(luò)具高可靠性、開(kāi)放性、兼容性及可擴(kuò)展性等特性。從實(shí)際運(yùn)行情況來(lái)看，效果良好