校園網(wǎng)分層安全控制方案-教育文博

校園網(wǎng)分層安全控制方案-教育文博

導(dǎo)讀：近年來(lái)，我國(guó)現(xiàn)代教育技術(shù)得到了飛速的發(fā)展，園區(qū)網(wǎng)建設(shè)和網(wǎng)絡(luò)教學(xué)不斷普及。但是，對(duì)于大多數(shù)網(wǎng)站和園區(qū)網(wǎng)來(lái)說(shuō)，網(wǎng)絡(luò)管理員對(duì)于網(wǎng)絡(luò)安全重視不夠，對(duì)于網(wǎng)絡(luò)本身存在的缺陷知之甚少。其實(shí)，網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)教學(xué)及其它網(wǎng)絡(luò)應(yīng)用的前提和基礎(chǔ)，是網(wǎng)絡(luò)使用者不得不面對(duì)的問(wèn)題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題變得尤為突出。

近年來(lái)，我國(guó)現(xiàn)代教育技術(shù)得到了飛速的發(fā)展，園區(qū)網(wǎng)建設(shè)和網(wǎng)絡(luò)教學(xué)不斷普及。但是，對(duì)于大多數(shù)網(wǎng)站和園區(qū)網(wǎng)來(lái)說(shuō)，網(wǎng)絡(luò)管理員對(duì)于網(wǎng)絡(luò)安全重視不夠，對(duì)于網(wǎng)絡(luò)本身存在的缺陷知之甚少。其實(shí)，網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)教學(xué)及其它網(wǎng)絡(luò)應(yīng)用的前提和基礎(chǔ)，是網(wǎng)絡(luò)使用者不得不面對(duì)的問(wèn)題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題變得尤為突出。

今年年初，從美國(guó)的Yahoo！網(wǎng)站開(kāi)始，美國(guó)、歐洲及我國(guó)的一些著名網(wǎng)站不斷遭到黑客的攻擊，參與這次大規(guī)模攻擊的主機(jī)分別來(lái)自于加州大學(xué)、斯坦福大學(xué)的主機(jī)和Internet上的主機(jī)，這使人們對(duì)信息安全問(wèn)題更加關(guān)注，同時(shí)也證明了作為Internet基礎(chǔ)的大學(xué)網(wǎng)絡(luò)是不安全的，防止園區(qū)網(wǎng)上的計(jì)算機(jī)被入侵，建立完善的網(wǎng)絡(luò)安全方案、保護(hù)核心資源已迫在眉睫。一、網(wǎng)絡(luò)安全的主要威脅影響網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來(lái)，主要有六個(gè)方面構(gòu)成對(duì)網(wǎng)絡(luò)的威脅：

1、人為失誤：一些無(wú)意的行為，如：丟失口令、非法操作、資源訪問(wèn)控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等，都會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。

2、病毒感染：從“蠕蟲”病毒開(kāi)始到CIH、愛(ài)蟲病毒，病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑，病毒很容易地通過(guò)代理服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò)，然后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，造成很大的損失。

3、來(lái)自網(wǎng)絡(luò)外部的攻擊：這是指來(lái)自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。

4、來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊：在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后，查看機(jī)密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。

5、系統(tǒng)的漏洞及“后門”：操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷、無(wú)漏洞的。另外，遍程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會(huì)成為整個(gè)網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。

6、隱私及機(jī)密資料的存儲(chǔ)和傳輸：機(jī)密資料存儲(chǔ)在網(wǎng)絡(luò)系統(tǒng)內(nèi)，當(dāng)系統(tǒng)受到攻擊時(shí)，如不采取措施，很容易被搜集而造成泄密。同樣，機(jī)密資料在傳輸過(guò)程中，由于要經(jīng)過(guò)多個(gè)節(jié)點(diǎn)，且難以查證，在任何中介網(wǎng)站均可能被讀取。因而，隱私和機(jī)密資料的存儲(chǔ)及傳輸也是威脅網(wǎng)絡(luò)安全的一個(gè)重要方面。由于網(wǎng)絡(luò)所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)和安全控制體系來(lái)堵塞安全漏洞。在園區(qū)網(wǎng)的建設(shè)中，尤其需要采用分層安全控制方案以保證信息的安全。二、分層安全控制方案在園區(qū)網(wǎng)安全方面，可以采用多種技術(shù)從不同角度來(lái)保證信息的安全。然而，單純的防護(hù)技術(shù)可能會(huì)導(dǎo)致系統(tǒng)安全的盲目性，這種盲目是對(duì)整個(gè)園區(qū)網(wǎng)系統(tǒng)的某個(gè)或某些方面的安全采取了安全措施而對(duì)其它方面有所忽視。因而，在園區(qū)網(wǎng)安全上，我們采用分層控制方案，將整個(gè)網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)傳輸控制層、內(nèi)外網(wǎng)間訪問(wèn)控制層、園區(qū)網(wǎng)內(nèi)部訪問(wèn)控制層、操作系統(tǒng)及應(yīng)用軟件層和數(shù)據(jù)存儲(chǔ)層，進(jìn)而對(duì)各層的安全采取不同的技術(shù)措施。（一）外部網(wǎng)絡(luò)傳輸控制層：外部網(wǎng)絡(luò)是指園區(qū)網(wǎng)路由器和防火墻之外的公用網(wǎng)。當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展迅速，因特網(wǎng)四通八達(dá)，網(wǎng)上黑客手段多種多樣，為了保證安全，可以從四個(gè)方面采取措施：1、虛擬專網(wǎng)（VPN）技術(shù)：對(duì)于從專線連接的外部網(wǎng)絡(luò)用戶，采用虛擬專網(wǎng)（VPN）技術(shù)，它使架設(shè)于公眾網(wǎng)絡(luò)上的園區(qū)網(wǎng)使用信道協(xié)議及相關(guān)的安全程序進(jìn)行保密，還可以采用點(diǎn)對(duì)點(diǎn)協(xié)議、加密后送出資料及加密收發(fā)兩端網(wǎng)絡(luò)位置等措施使虛擬專網(wǎng)更加可靠。

2、身份認(rèn)證技術(shù)：對(duì)于撥號(hào)進(jìn)入園區(qū)網(wǎng)的用戶進(jìn)行嚴(yán)格控制，在撥號(hào)線路上加裝保密機(jī)，使無(wú)保密機(jī)的用戶無(wú)法撥通；通過(guò)用戶名和口令的認(rèn)真檢查用戶身份；利用回?fù)芗夹g(shù)再次確認(rèn)和限制非法用戶的入侵。

3、加密技術(shù)：在外部網(wǎng)絡(luò)的數(shù)據(jù)傳輸過(guò)程中，采用密碼技術(shù)對(duì)信息加密是最常用的安全保護(hù)手段。目前廣泛使用的有對(duì)稱算法和非對(duì)稱算法兩類加密算法，兩種方法結(jié)合使用，加上數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字水印及數(shù)字證書等技術(shù)，可以使通信安全得到保證。

4、物理隔離：公共網(wǎng)絡(luò)及因特網(wǎng)上黑客日益猖獗，加上我國(guó)使用的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的軟硬件產(chǎn)品大多數(shù)是進(jìn)口的，安全上沒(méi)有很好的保證，因而將外部網(wǎng)絡(luò)中的因特網(wǎng)與專用網(wǎng)絡(luò)如軍用網(wǎng)實(shí)現(xiàn)物理隔離，使之沒(méi)有任何連接，可以使園區(qū)網(wǎng)與外部專用網(wǎng)絡(luò)連接時(shí)，園區(qū)網(wǎng)與Internet無(wú)物理聯(lián)系在安全上較為穩(wěn)妥。（二）內(nèi)外網(wǎng)間訪問(wèn)控制層在園區(qū)網(wǎng)和外部網(wǎng)絡(luò)之間，可以采用以下技術(shù)來(lái)對(duì)外部和園區(qū)網(wǎng)網(wǎng)間的訪問(wèn)進(jìn)行控制：1、防火墻：是硬件和軟件的組合，他在內(nèi)部網(wǎng)和外部網(wǎng)間建立起一個(gè)安全網(wǎng)關(guān)，過(guò)濾經(jīng)過(guò)的數(shù)據(jù)包，決定是否將它們轉(zhuǎn)送到目的地。它能夠控制網(wǎng)絡(luò)進(jìn)出的信息流向，提供園區(qū)網(wǎng)使用狀況和流量的審計(jì)、隱藏內(nèi)部IP地址及園區(qū)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。

2、防毒網(wǎng)關(guān)：防火墻無(wú)法防止病毒的傳播，因而需要安裝基于Internet網(wǎng)關(guān)的防毒軟件，具體可以安裝到代理服務(wù)器上，以防止Internet病毒及Java程序?qū)ο到y(tǒng)的破壞。

3、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)：當(dāng)園區(qū)網(wǎng)內(nèi)部主機(jī)與外部相連時(shí)，使用同一IP地址；相反，外部網(wǎng)絡(luò)與園區(qū)網(wǎng)主機(jī)連接時(shí)，必須通過(guò)網(wǎng)關(guān)映射到園區(qū)網(wǎng)主機(jī)上。它使外部看不到園區(qū)網(wǎng)，從而隱藏內(nèi)部網(wǎng)絡(luò)，達(dá)到保密作用，同時(shí)，它還可以解決IP地址的不足。

4、代理服務(wù)及路由器：可以根據(jù)設(shè)置地址、服務(wù)、內(nèi)容等要素來(lái)控制用戶的訪問(wèn)，代理服務(wù)器及路由器起訪問(wèn)的中介作用，使園區(qū)網(wǎng)和外部網(wǎng)絡(luò)間不能直接訪問(wèn)，從而保證內(nèi)部關(guān)鍵信息的安全。

5、安全掃描：可以通過(guò)各種安全掃描軟件對(duì)系統(tǒng)進(jìn)行檢測(cè)與分析，迅速找到安全漏洞并加以修復(fù)。目前有多種軟件可以對(duì)設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)并生成報(bào)表。

6、入侵檢測(cè)：可以采用一些安全產(chǎn)品對(duì)網(wǎng)絡(luò)上流動(dòng)的數(shù)據(jù)包進(jìn)行檢查，識(shí)別非法入侵和其它可疑行為，并給予及時(shí)的響應(yīng)及防護(hù)。（三）園區(qū)網(wǎng)內(nèi)部訪問(wèn)控制層在園區(qū)網(wǎng)內(nèi)部，非法用戶的登錄和對(duì)數(shù)據(jù)的非法修改更加不易查出。當(dāng)用戶安全意識(shí)差、口令選擇或保存不慎、帳號(hào)轉(zhuǎn)借和共享都會(huì)對(duì)網(wǎng)絡(luò)安全造成極大的威脅，從園區(qū)網(wǎng)內(nèi)部訪問(wèn)控制層進(jìn)行安全防護(hù)，可采取五種措施。

1、用戶的身份認(rèn)證：用戶入網(wǎng)訪問(wèn)控制分為三步，即用戶名的驗(yàn)證；用戶口令的驗(yàn)證；用戶帳號(hào)的驗(yàn)證。用戶口令是入網(wǎng)的關(guān)鍵，必須經(jīng)過(guò)加密，用戶還可采用一次一密的方法，或者使用智能卡來(lái)驗(yàn)證用戶身份。同時(shí)，可將用戶與所用的計(jì)算機(jī)聯(lián)系起來(lái)，使用戶用固定的計(jì)算機(jī)上網(wǎng)，以減少用戶的流動(dòng)性，加強(qiáng)管理。

2、權(quán)限控制：這是針對(duì)網(wǎng)絡(luò)非法操作提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其它資源及用戶可執(zhí)行的操作。

3、加密技術(shù)：為存放秘密信息的服務(wù)器加裝密碼機(jī)，對(duì)園區(qū)網(wǎng)上傳輸?shù)拿孛苄畔⒓用埽詫?shí)現(xiàn)秘密數(shù)據(jù)的安全傳輸。

4、客戶端安全防護(hù)：首先，應(yīng)切斷病毒傳播的途徑，降低感染病毒的風(fēng)險(xiǎn)；其次，使用的瀏覽器必須確保符合安全標(biāo)準(zhǔn)，使客戶端的工作站得到安全保證。

5、安全檢測(cè)：使用安全檢測(cè)和掃描軟件對(duì)網(wǎng)絡(luò)設(shè)備和客戶端工作站進(jìn)行檢測(cè)和分析，查找安全漏洞并加以修復(fù)，使用防病毒軟件進(jìn)行病毒查找和殺毒工作。（四）操作系統(tǒng)及應(yīng)用軟件層操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因而必須采取措施保證操作系統(tǒng)平臺(tái)的安全。安全措施主要包括：采用安全性較高的系統(tǒng)，對(duì)系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測(cè)等。1、采用安全性較高的系統(tǒng)：美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)安全等級(jí)分為D1、C1、C2、B1、B2、B3、A級(jí)，安全等級(jí)由低到高，目前主要的操作系統(tǒng)等級(jí)為C2級(jí)。在使用C2級(jí)系統(tǒng)時(shí)，應(yīng)盡量使用C2級(jí)的安全措施及功能，對(duì)操作系統(tǒng)進(jìn)行安全配置。在極端重要的園區(qū)網(wǎng)系統(tǒng)中，應(yīng)采用B級(jí)操作系統(tǒng)。

2、加密技術(shù)：對(duì)操作系統(tǒng)中某些重要的文件進(jìn)行加密，防止非法出版的讀取及修改。

3、病毒的防范：在園區(qū)網(wǎng)主機(jī)上安裝防病毒軟件，對(duì)病毒進(jìn)行定時(shí)或?qū)崟r(shí)的病毒掃描及檢測(cè)，對(duì)防病毒軟件進(jìn)行及時(shí)升級(jí)以發(fā)現(xiàn)和殺滅新型的病毒。

4、安全掃描：通過(guò)對(duì)園區(qū)網(wǎng)主機(jī)進(jìn)行一系列設(shè)置和掃描，對(duì)系統(tǒng)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果，為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告，對(duì)系統(tǒng)進(jìn)行及時(shí)升級(jí)以彌補(bǔ)漏洞及關(guān)閉“后門”。

5、入侵檢測(cè)：安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，可檢查操作系統(tǒng)日志和其它系統(tǒng)特征，判斷入侵事件，在非法修改主頁(yè)時(shí)自動(dòng)作出反應(yīng)，對(duì)已入侵的訪問(wèn)和試圖入侵的訪問(wèn)進(jìn)行跟蹤記錄，并及時(shí)通知系統(tǒng)管理員，使管理員可對(duì)網(wǎng)絡(luò)的各種活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)視。（五）數(shù)據(jù)存儲(chǔ)層數(shù)據(jù)存儲(chǔ)在服務(wù)器或加密終端上，數(shù)據(jù)存儲(chǔ)的安全性是系統(tǒng)安全性的重要組成部分。對(duì)數(shù)據(jù)的安全保護(hù)措施可以采用以下幾種方式：1、使用較安全的數(shù)據(jù)庫(kù)系統(tǒng)：目前的大多數(shù)數(shù)據(jù)庫(kù)系統(tǒng)是基于C2安全等級(jí)的。使用時(shí)，應(yīng)盡量使用C2級(jí)安全措施及功能。在重要的園區(qū)網(wǎng)系統(tǒng)中，在B級(jí)操作系統(tǒng)的基礎(chǔ)上采用B級(jí)數(shù)據(jù)庫(kù)系統(tǒng)。

2、加密技術(shù)：對(duì)于要求保密的數(shù)據(jù)，采用加密的方法進(jìn)行存儲(chǔ)。加密存儲(chǔ)可以通過(guò)連接在服務(wù)器或終端機(jī)上的加密機(jī)完成。

3、數(shù)據(jù)庫(kù)安全掃描：采用安全掃描軟件對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描和檢測(cè)，為數(shù)據(jù)庫(kù)管理系統(tǒng)找出存在的漏洞，以便及時(shí)升級(jí)系統(tǒng)、彌補(bǔ)漏洞。

4、存儲(chǔ)介質(zhì)的安全：可以通過(guò)磁盤鏡像、