軍校網(wǎng)絡(luò)安全體系的研究與應(yīng)用

軍校網(wǎng)絡(luò)安全體系的研究與應(yīng)用摘要：針對軍校網(wǎng)絡(luò)的主要功能和特點，提出了網(wǎng)絡(luò)安全設(shè)計的目標和原則；從多方面詳細討論了網(wǎng)絡(luò)安全的防護策略和關(guān)鍵技術(shù)。從軍校網(wǎng)絡(luò)總體規(guī)劃建設(shè)實際出發(fā)，分析了軍校網(wǎng)絡(luò)安全需求，應(yīng)用具體的網(wǎng)絡(luò)安全相關(guān)技術(shù)，實施了軍校網(wǎng)絡(luò)安全體系部署方案，并對方案整體運行情況進行了評價。關(guān)鍵詞：網(wǎng)絡(luò)安全;安全策略;安全技術(shù);軍隊校園網(wǎng)1軍校網(wǎng)絡(luò)安全概述軍隊院校的校園網(wǎng)絡(luò)有著軍隊網(wǎng)絡(luò)和校園網(wǎng)絡(luò)的雙重特點。從保密要求來看，軍校的網(wǎng)絡(luò)中承載著許多涉密的信息；從網(wǎng)絡(luò)應(yīng)用的角度來看，軍校的網(wǎng)絡(luò)又跟普通的校園網(wǎng)一樣，需要開放、便利的網(wǎng)絡(luò)服務(wù)。軍隊院校下屬部門較多，校園網(wǎng)絡(luò)作為軍隊院校重要的基礎(chǔ)設(shè)施，擔當著學校教學、科研、管理和對外交流等許多角色。1.1軍校網(wǎng)絡(luò)的功能與特點軍校網(wǎng)絡(luò)具有教學、管理以及其它一些網(wǎng)絡(luò)應(yīng)用等功能，從功能架構(gòu)上來分，大致分為對內(nèi)、對外和信息中心3部分。對內(nèi)部分主要是指校園Intranet，主要包括院校機關(guān)、教員辦公樓、多媒體教室、機房、電子圖書館和各專修室的內(nèi)部網(wǎng)絡(luò)連接，它主要服務(wù)于院校的教學和管理；對外部分包括與軍事信息綜合網(wǎng)和其它兄弟院校及單位的連接，提供信息共享服務(wù)等；而網(wǎng)管中心則是這兩部分的橋梁和核心，擔負著整個校園網(wǎng)絡(luò)系統(tǒng)的管理和安全工作。軍校網(wǎng)絡(luò)是一種特殊的網(wǎng)絡(luò)，除了具有基本廣域網(wǎng)應(yīng)有的功能與特點外，還具有網(wǎng)絡(luò)規(guī)模巨大、計算機系統(tǒng)管理比較復雜、用戶群體比較活躍等特點。1.2軍校網(wǎng)絡(luò)安全風險從網(wǎng)絡(luò)部件的安全風險因素分析，網(wǎng)絡(luò)系統(tǒng)的易欺騙性和易被監(jiān)控性，加上薄弱的認證環(huán)節(jié)以及局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機的復雜設(shè)置與控制，使得計算機網(wǎng)絡(luò)容易遭受威脅和攻擊；網(wǎng)絡(luò)端口、傳輸線路和處理機都有可能因屏蔽不嚴或未屏蔽而造成電磁泄露。從網(wǎng)絡(luò)軟件的安全威脅因素來看，網(wǎng)絡(luò)軟件的漏洞及缺陷容易被利用，從而對網(wǎng)絡(luò)進行入侵和損壞；計算機病毒不斷侵入網(wǎng)絡(luò)并繁殖。大多數(shù)軍校網(wǎng)管還是采用單一、被動、缺乏主動性、靈活性的安全策略，根本無法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范。此外網(wǎng)絡(luò)管理方面，責權(quán)不明，安全管理制度不健全及缺乏可操作性等因素都可能引起網(wǎng)絡(luò)安全的風險。1.3軍校網(wǎng)絡(luò)安全的設(shè)計目標和原則對軍校網(wǎng)絡(luò)，網(wǎng)絡(luò)信息安全的主要目標應(yīng)表現(xiàn)為系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性6個方面。具體來講就是確保信息經(jīng)網(wǎng)絡(luò)傳輸?shù)侥康挠嬎銠C時沒有任何改變或丟失，使信息的機密性、完整性及可使用性得到保護；設(shè)備要具有最大的可靠性，網(wǎng)絡(luò)具有監(jiān)控、分析和自動響應(yīng)等功能，同時網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)指數(shù)都要正常。根據(jù)上述目標，我們制定以下設(shè)計原則：(1)先進性與現(xiàn)實性。技術(shù)上的先進性將保證處理數(shù)據(jù)的高效率。(2)系統(tǒng)與軟件的可靠性。對可靠性的考慮，可以充分減少或消除因意外或事故造成的損失。(3)系統(tǒng)安全性與保密性。要從內(nèi)部訪問控制和外部防火墻兩方面保證校園網(wǎng)系統(tǒng)的安全。(4)易管理與維護。要盡量使用圖形化的管理界面和簡潔的操作方式，提供強大的網(wǎng)絡(luò)管理功能。(5)易擴充性。校園網(wǎng)的建設(shè)要方便擴充和升級。2軍校網(wǎng)絡(luò)安全防護策略及關(guān)鍵技術(shù)2.1網(wǎng)絡(luò)安全防護策略網(wǎng)絡(luò)安全策略是軍隊院校在網(wǎng)絡(luò)安全工作中的法律。網(wǎng)絡(luò)安全工作要有法可依，它使網(wǎng)絡(luò)建設(shè)和管理過程中的安全工作避免盲目性。在網(wǎng)絡(luò)安全的實施中，還應(yīng)該先對網(wǎng)絡(luò)安全管理有個清晰的概念，然后制定翔實的安全策略。概括起來，網(wǎng)絡(luò)安全策略包括：環(huán)境安全策略、信息加密策略、網(wǎng)絡(luò)防病毒策略、系統(tǒng)備份與災難恢復、網(wǎng)絡(luò)安全管理策略等。2.2網(wǎng)絡(luò)安全關(guān)鍵技術(shù)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)包括很多，如防火墻（Firewall）技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一；網(wǎng)絡(luò)加密技術(shù)是一種常用網(wǎng)絡(luò)安全手段；入侵檢測技術(shù)是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術(shù)；計算機病毒防護技術(shù)是網(wǎng)絡(luò)安全的一個重要領(lǐng)域；身份認證技術(shù)是保證網(wǎng)絡(luò)安全的重要技術(shù)手段，其主要功能是在通信過程中保證通信雙方的身份始終都是可信賴的；VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全專用隧道的技術(shù)，等等。3軍校網(wǎng)絡(luò)安全體系的應(yīng)用3.1軍校網(wǎng)絡(luò)安全需求軍隊院校網(wǎng)絡(luò)內(nèi)部要保護網(wǎng)絡(luò)設(shè)備的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是校園網(wǎng)絡(luò)的基本安全需求。根據(jù)軍隊院校網(wǎng)絡(luò)的現(xiàn)狀，目前具體的網(wǎng)絡(luò)需求包括有：(1)建立一個以光纖為主干、覆蓋全校的寬帶網(wǎng)，主干1000M，100M至桌面。需要考慮網(wǎng)絡(luò)運行的高效、可靠、安全以及智能化管理的方便。(2)實現(xiàn)校園Intranet同軍事綜合信息網(wǎng)的互聯(lián)互通，校內(nèi)可以方便快捷地訪問軍內(nèi)外信息，以滿足查詢、通訊、資源共享、遠程教學等需要；建立學院自主的服務(wù)器組群。(3)建立網(wǎng)絡(luò)教學系統(tǒng)，提供教員電子備課、課件制作、多媒體演示、學生多媒體交互學習、網(wǎng)絡(luò)考試、自動教學評估等功能。(4)建立基于網(wǎng)絡(luò)的教育管理及自動化辦公系統(tǒng)，包括行政、教學教務(wù)、科研、后勤、財務(wù)等系統(tǒng)，以滿足學院管理現(xiàn)代化的需要。3.2網(wǎng)絡(luò)安全總體設(shè)計校園網(wǎng)絡(luò)總體規(guī)劃建設(shè)是一項龐大的技術(shù)性很強的綜合工程，一般需要經(jīng)過網(wǎng)絡(luò)調(diào)研、系統(tǒng)設(shè)計、可行性分析、設(shè)備選型、工程招標、硬件施工、軟件環(huán)境的建立、人員培訓、聯(lián)調(diào)測試和系統(tǒng)驗收等9個階段。要有安全維護運行體系框架設(shè)計，安全運行與維護體系的重點是保障信息系統(tǒng)的運行安全。3.3網(wǎng)絡(luò)安全部署方案（1）防火墻技術(shù)采用安全性最好的被屏蔽子網(wǎng)結(jié)構(gòu)．外部路由器起到保護周邊網(wǎng)的作用。在網(wǎng)絡(luò)中，選擇實施DMZ區(qū)域設(shè)計方案來保護校園網(wǎng)絡(luò)。（2）在校園網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)置Cisco入侵測系統(tǒng)（IDSM-2），它與防火墻并行接入網(wǎng)絡(luò)中，監(jiān)測來自網(wǎng)絡(luò)的攻擊行為。當有入侵行為時，主動通知防火墻阻斷攻擊源；此外還可部署基于網(wǎng)絡(luò)的SymantecClientSecurity，從而幫助網(wǎng)絡(luò)管理員更好地完成網(wǎng)絡(luò)防病毒工作；在校園網(wǎng)絡(luò)中，還應(yīng)部署身份認證系統(tǒng)，通過安全管理平臺,網(wǎng)絡(luò)管理員可以為網(wǎng)絡(luò)中的主機設(shè)備定義一個統(tǒng)一的網(wǎng)絡(luò)安全接入標準，只有滿足這個接入標準的主機才能接入并使用網(wǎng)絡(luò)。使用IPRMS（IP資源管理系統(tǒng)）來進行IP地址綁定；在數(shù)據(jù)備份及恢復系統(tǒng)中，采用NEO2000磁帶庫，同時連接至多個不同的服務(wù)器，分別運行不同操作系統(tǒng)和磁帶應(yīng)用，對所有服務(wù)器數(shù)據(jù)進行備份。（3）通過一些安全配置，使服務(wù)器的安全性得到進一步提高。當然，還有其它安全防范措施，如：過濾不良網(wǎng)絡(luò)信息、拒絕垃圾郵件等。4結(jié)束語軍校網(wǎng)絡(luò)完全遵循安全體系的設(shè)計目標及原則，并實施上述網(wǎng)絡(luò)安全部署方案，綜合運用各種安全措施后，確實能提高軍校網(wǎng)絡(luò)的安全性，使校園網(wǎng)絡(luò)具高可靠性、開放性、兼容性及可擴展性等特性。從實際運行情況來看，效果良好