試論校園網(wǎng)安全防御

鄧懷勇　馬　琴

內(nèi)容摘要:管理手段和方法信息化,現(xiàn)在已深入高校管理中。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與Internet的接入以及遠程移動辦公用戶的接入等。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng),主要包括DNS、Web、FTP、Proxy、視頻點播以及Mail服務(wù)等。外部網(wǎng)主要實現(xiàn)校園網(wǎng)與Internet的基礎(chǔ)接入。

關(guān)鍵詞:校園網(wǎng) 安全 防御

校園網(wǎng)絡(luò)存在的安全隱患和漏洞主要有以下幾個方面:第一,校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風(fēng)險;第二,校園網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來自內(nèi)部的安全威脅會更大一些。第三,目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡(luò)安全構(gòu)成了威脅。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等,這些系統(tǒng)安全風(fēng)險級別不同,例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等;第四,隨著校園內(nèi)計算機應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點數(shù)日益增多,而這些節(jié)點大部分都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果;第五,內(nèi)部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用;校園網(wǎng)內(nèi)針對QQ的黑客程序隨處可見;第六,可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全,帶來校園網(wǎng)的威脅。

一、安全防范系統(tǒng)的建立

安全防范系統(tǒng)的建立是以安全防范策略為核心,以安全技術(shù)和工具作為支撐,以安全管理和安全服務(wù)作為落實措施,并且通過安全培訓(xùn)加強校園網(wǎng)用戶的安全意識和法律責(zé)任。

1.安全防范策略:安全防范策略是一個成功的安全系統(tǒng)的基礎(chǔ)與核心,安全防范策略描述了校園網(wǎng)絡(luò)中心的安全目標(biāo)、能夠承受的安全風(fēng)險、實現(xiàn)完善的安全審計和取證機制,保證了受到入侵后有證可查,有章可循。建立安全的預(yù)警系統(tǒng),能夠抵御較高水平的黑客攻擊,保護對象的安全優(yōu)先級等方面的內(nèi)容。

2.安全技術(shù)和工具:常用的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測、網(wǎng)絡(luò)陷阱、入侵取證、備份恢復(fù)和病毒防范等,這些技術(shù)手段和工具是網(wǎng)絡(luò)安全系統(tǒng)中非常重要的組成部分,缺少任何一部分都會有巨大的危險。通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控,對大量的非法訪問和不健康的信息起到有效的阻斷作用,對網(wǎng)絡(luò)的故障可以迅速定位并加以解決。

3.安全管理和安全服務(wù):安全管理貫穿整個安全防范系統(tǒng),是整個安全系統(tǒng)的核心。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術(shù)和安全防范策略的管理,必須要做到及時進行漏洞修補和定期巡檢,保證對網(wǎng)絡(luò)的監(jiān)控和管理。定期對實體、平臺、數(shù)據(jù)、通信、應(yīng)用、管理等各個方面進行全面的安全隱患和脆弱性分析,提供詳細的分析報告及安全性整改建議,對整體安全狀況有全面具體的了解,就能為上級作出安全決策和管理提供依據(jù),使網(wǎng)絡(luò)安全系統(tǒng)的正常運行達到了良好的安全效果。

4.安全培訓(xùn):用戶的安全意識是整個網(wǎng)絡(luò)系統(tǒng)是否安全的決定因素,因此對用戶的安全培訓(xùn)和服務(wù)是整個網(wǎng)絡(luò)安全系統(tǒng)中重要和不可或缺的一部分。

二、校園網(wǎng)安全防御

根據(jù)以往經(jīng)驗分析,可以確定以下幾個必須考慮的安全防護要點:網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)病毒的防范等。

1.防火墻部署

防火墻是網(wǎng)絡(luò)安全的屏障。一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性:

第一,根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。第二,將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。第三,在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表,防止IP地址被盜用。第四,在局域網(wǎng)的入口架設(shè)千兆防火墻,并實現(xiàn)VPN的功能,在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。第五,定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。第六,允許通過配置網(wǎng)卡對防火墻設(shè)置,提高防火墻管理安全性。

2.架設(shè)入侵監(jiān)測系統(tǒng)(IDS)

架設(shè)一個入侵監(jiān)測系統(tǒng)(IDS)是非常必要的,處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡(luò)活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

IDS掃描當(dāng)前網(wǎng)絡(luò)的活動,監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警。IDS是被動的,它監(jiān)測你的網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是捕捉危險或有惡意動作的信息包。IDS是按你指定的規(guī)則運行的,記錄是龐大的,所以我們必須制定合適的規(guī)則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3.漏洞掃描系統(tǒng)

采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。要求每臺主機系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補丁、保護好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機不提供諸如FTP、HTTP等公共服務(wù),盡量關(guān)閉它們。

4.部署網(wǎng)絡(luò)版殺毒軟件

最理想的狀況是在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實現(xiàn)這一點,應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系,應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的Windows2000服務(wù)器安裝一個網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心,負責(zé)管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機。網(wǎng)絡(luò)中心負責(zé)整個校園網(wǎng)的升級工作。為了安全和管理的方便起見,由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其他各個主機網(wǎng)點的客戶端與服務(wù)器端,并自動對網(wǎng)絡(luò)版殺毒軟件進行更新。

安全防范體系的建立不是一勞永逸的,校園網(wǎng)絡(luò)自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保它的有效性和先進性。

參考文獻:

1.戴英俠,許劍卓,翟起賓,連一峰.清華大學(xué)出版社[K],2005:(1)

2.林濤.電子工業(yè)出版社[K],2007(5)

3.段新海.校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡(luò),2005(3).

作者單位:重慶水利電力職業(yè)技術(shù)學(xué)院