摘 要:中學(xué)的校園網(wǎng)絡(luò)發(fā)揮著重要的作用,但是也承擔(dān)著巨大的風(fēng)險。這里設(shè)計了綜合的網(wǎng)絡(luò)安全規(guī)劃,應(yīng)用防火墻、病毒防護軟件、VPN技術(shù)、入侵檢測的方法保證了網(wǎng)絡(luò)安全與信息的可靠性,有著較強的工程借鑒意義。
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)結(jié)構(gòu);系統(tǒng)安全;病毒
中圖分類號:TP393.01
在教學(xué)等其他各個方面,網(wǎng)絡(luò)是學(xué)校信息的必要載體。現(xiàn)在中學(xué)校園很多規(guī)模較大,教職工和學(xué)生的日常生活越來越耦合于網(wǎng)絡(luò),依靠網(wǎng)絡(luò)。可是眾所周知,互聯(lián)網(wǎng)有著自己的特性,那就是開放互聯(lián)。尤其是當前互聯(lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在,仍然對上面信息的安全防護沒有做到萬無一失,可以說仍然有非常大的隱患,這給學(xué)校的各種用戶帶來了風(fēng)險。具體的表現(xiàn)有:計算機的病毒,非法的侵入,網(wǎng)絡(luò)的詐騙,信息的更改刪除等等。校園網(wǎng)絡(luò)安全環(huán)境不容樂觀,那么如何提高數(shù)據(jù)和網(wǎng)絡(luò)的安全性成為使用者的重要問題。本文對M學(xué)校規(guī)劃設(shè)計網(wǎng)絡(luò)安全體系結(jié)構(gòu),其方法可以作為同類技術(shù)的參考。
1 校園網(wǎng)絡(luò)及其安全狀況分析
該校園網(wǎng)絡(luò)的結(jié)構(gòu)較為復(fù)雜,網(wǎng)絡(luò)拓撲形式比較高端:學(xué)校這里的地理區(qū)域有三個部分,分別是教學(xué)上課區(qū)域,日常生活娛樂區(qū)域,教務(wù)辦公區(qū)域。而教學(xué)上課區(qū)域包含了圖書館、信息管理中心、教學(xué)樓、實驗樓;辦公區(qū)域主要是行政后勤等辦公區(qū)域;生活娛樂區(qū)域主要是教職工宿舍,家屬區(qū)以及學(xué)生宿舍,校醫(yī)院,附屬幼兒園等。地理區(qū)域的劃分也是校園網(wǎng)網(wǎng)絡(luò)的劃分,這里因地制宜校園網(wǎng)的主節(jié)點設(shè)在了教學(xué)管理區(qū)域的信息管理中心,從網(wǎng)絡(luò)流量上看除了辦公后勤等區(qū)域應(yīng)用較少,另外兩個網(wǎng)絡(luò)區(qū)域應(yīng)用量都非常大,因此拓撲上是星型的結(jié)構(gòu)。不僅如此,內(nèi)部的地址和路由規(guī)劃是較為復(fù)雜的,這主要是作為較大的單位使用者比較多而且應(yīng)用面積也寬廣,這樣就更加導(dǎo)致了網(wǎng)絡(luò)的安全和漏洞問題突出明顯,具體的表現(xiàn)在如下幾個方面:(1)首先校園有幾個年級學(xué)生以及大量的教職員工,網(wǎng)速快使用者十分眾多,出口帶寬不斷增加,使得容易遭受非法用戶以及網(wǎng)絡(luò)犯罪的襲擾;(2)學(xué)生使用者好奇心強,容易接觸非法連接不安全源;(3)操作系統(tǒng)設(shè)計的不完善不健壯,由于系統(tǒng)本身存在問題,也是隱患之源頭;(4)校園網(wǎng)用戶非法訪問反動色情等網(wǎng)站帶來的信息危害嚴重。
2 網(wǎng)絡(luò)安全規(guī)劃策略
因為校園網(wǎng)的特殊要求,考慮到其網(wǎng)絡(luò)現(xiàn)狀以及面對的侵擾危險,這里系統(tǒng)的安全規(guī)劃主要遵循以下的策略來進行。(1)首先應(yīng)該事先網(wǎng)絡(luò)的隔離,即根據(jù)業(yè)務(wù)種類以及保密登記的不通使得網(wǎng)絡(luò)分段進行隔離,而網(wǎng)絡(luò)攻擊與信息不安全集中發(fā)生的部分限定在一個小區(qū)域子網(wǎng)內(nèi),這樣有利于全體網(wǎng)絡(luò)安全事先;(2)對于病毒防護、入侵檢測等等軟件最好采用性能優(yōu)異價格適中有相應(yīng)資質(zhì)進行過市場檢測的國內(nèi)大品牌;(3)應(yīng)該充分應(yīng)用加密技術(shù),對于核心環(huán)節(jié)保證其網(wǎng)絡(luò)信息的安全。
3 系統(tǒng)綜合安全防護設(shè)計
系統(tǒng)的綜合安全防護設(shè)計指的是采用多種綜合技術(shù),在各個環(huán)節(jié)和保密點進行配置,使得網(wǎng)絡(luò)安全得以保證。這里總的概括為如下的幾個方面:外網(wǎng)以及內(nèi)網(wǎng)通路上放置路由,然后利用主干的三層交換機對校園網(wǎng)絡(luò)進行分層,主要層次界面包含辦公教學(xué)部分,服務(wù)器集合部分,家屬住宅部分,圖書一卡管理部分,VPN部分,宿舍生活區(qū)部分,主要涵蓋了六片網(wǎng)絡(luò)區(qū)域。與此同時將入侵檢測以及防火墻安放在了服務(wù)器集合與校園網(wǎng)接口上。
3.1 部署應(yīng)用防火墻
校園防火墻的應(yīng)用,采用價格適中,性能良好的化為USG2000系列硬件防火墻。這里需要對其進行正確的劃分如下:
防火墻的應(yīng)用不僅僅在于選擇一款服務(wù)到位、售后有保障技術(shù)先進的產(chǎn)品,如何進行配置和使用也決定了其效能發(fā)揮。一般來說能分成三個主要不通的安全區(qū)域,內(nèi)部外部和非軍事化隔離區(qū)區(qū)域。內(nèi)部是內(nèi)部區(qū)域即可信區(qū)域,外部是外部區(qū)域即非可信區(qū)域,非軍事區(qū)域意味著為隔離區(qū)。這里配置的方法是這樣的:(1)根據(jù)校園網(wǎng)要求,配置規(guī)則滿足對數(shù)據(jù)流實時監(jiān)控特性,尤其是注意數(shù)據(jù)有無進行加密;(2)通過軟件人機接口界面進行設(shè)置,這樣違法IP地址就無法脫離內(nèi)部區(qū)域IP數(shù)據(jù)包,具體說來就是把內(nèi)部防火墻的IP包通過產(chǎn)品配置,阻擋內(nèi)部地址進到路由里面;(3)合理應(yīng)用DMZ部分,對于進行主要外部服務(wù)的公用部分進行良好的設(shè)置,主要包括郵件服務(wù)器,網(wǎng)絡(luò)拂去其以及DNS解析;(4)使用虛擬的VPN來保證使用者在外部安全的進行內(nèi)部訪問。該通道應(yīng)該進行良好的配置;(5)應(yīng)用NAT把敏感的內(nèi)部主機地址,映射到防火墻中能夠設(shè)置的有效公網(wǎng)IP;(6)重視防火墻LOG的讀取定期分析,這樣能夠今早對入侵病毒發(fā)現(xiàn)隔離處理,這需要一定的人工服務(wù)。
3.2 入侵檢測系統(tǒng)的應(yīng)用配置
入侵檢測技術(shù)是現(xiàn)在先進的流行技術(shù),在校園網(wǎng)內(nèi)部的局域網(wǎng)段上,設(shè)置一臺入侵檢測系統(tǒng),主要是實時觀測該網(wǎng)段上的各種post請求,同時將反饋信息傳送至中央處理信息單元。當任何一個子網(wǎng)段出現(xiàn)問題時,信息管理中心都會第一時間發(fā)現(xiàn)報警進行處理,這里還特別實現(xiàn)了入侵檢測和防火墻的共同應(yīng)用配置,在軟件層面上可以較為良好的參數(shù)改變,當發(fā)現(xiàn)出現(xiàn)異常報警時候,不僅網(wǎng)絡(luò)系統(tǒng)自身應(yīng)該第一時間進行反應(yīng),還應(yīng)該使得受侵害的網(wǎng)絡(luò)計算機負責(zé)者以及網(wǎng)絡(luò)的監(jiān)管人員知道并采取措施。
3.3 校園網(wǎng)的VPN連接
對于VPN的應(yīng)用也是多種多樣的,這里經(jīng)過方案的選取對比以及費效分析決定應(yīng)用SSLVPN技術(shù),這樣能夠保證科學(xué)安全效率的統(tǒng)一,使得VPN網(wǎng)絡(luò)良好的服務(wù)于校園網(wǎng)。如果采用IPSec VPN也是技術(shù)較為成熟的,但是其缺陷點有軟件管理的麻煩,特別是VPN策略的改變會帶來管理難度成倍成幾何級數(shù)的增加,但是SSLVPN不是這樣的,沒有特別的網(wǎng)絡(luò)軟件和硬件加成,應(yīng)用IE等瀏覽引擎,使用簡單配置安全應(yīng)用的SSL加密,可以十分可靠可信的訪問網(wǎng)絡(luò)數(shù)據(jù),所以效果較好,人力物力花費可控的。
3.4 網(wǎng)絡(luò)防病毒部署
病毒式當前網(wǎng)絡(luò)安全不安定的重要因素,應(yīng)該選取良好的病毒防護產(chǎn)品,這里主要應(yīng)用了瑞星。建立的防護體系包括:1、校園網(wǎng)WEB服務(wù)器安全網(wǎng)絡(luò)版,能夠保證2000個網(wǎng)點的檢測防護等。2、核心的數(shù)據(jù)部分,包括財務(wù)、行政部分安裝響應(yīng)客戶端,響應(yīng)服務(wù)器服務(wù)。3、應(yīng)用其網(wǎng)絡(luò)殺毒軟件,定時對中心病毒進行更新殺毒,以制度化的管理保證病毒防護的進行。4、當升級工作進行時,由網(wǎng)絡(luò)管理中心負責(zé)服務(wù),網(wǎng)絡(luò)中心自動獲取公司數(shù)據(jù)庫并且進行分發(fā)內(nèi)部網(wǎng)絡(luò)。
3.5 漏洞掃描
采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。漏洞服務(wù)主要針對服務(wù)器的升級進行,該服務(wù)也結(jié)合市場化的軟件進行。
4 結(jié)束語
當前的情況是,采用這種綜合的網(wǎng)絡(luò)安全防護體系,能夠較好的保證校園生活學(xué)習(xí)教務(wù)考務(wù)財務(wù)等工作的順利進行,也出現(xiàn)過抵擋外部網(wǎng)絡(luò)攻擊的案例。但是我們應(yīng)該清醒的認識到,矛和盾永遠都是在發(fā)展,隨著攻擊手段和網(wǎng)絡(luò)技術(shù)的升級,校園網(wǎng)絡(luò)安全的防護應(yīng)該是時時更新,隨時升級,應(yīng)該注意新技術(shù)的應(yīng)用,同時還要在管理體系尚保證防護體系正確發(fā)揮作用,最終才能確保網(wǎng)絡(luò)信息安全,任重而道遠。
參考文獻:
[1]袁海燕.淺談網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù),2006(02).
[2]SteveWisniewski.高級網(wǎng)絡(luò)管理[M].詹文軍,譯.北京:高等教育出版社,2006.
[3]郎青.利用入侵檢測系統(tǒng)構(gòu)建安全的校園網(wǎng)[J].湖南農(nóng)業(yè)大學(xué)學(xué)報(自然科學(xué)版),2005.
[4]石淑華,池瑞楠.計算機網(wǎng)絡(luò)安全技術(shù)(第2版)[M].北京:人民郵電出版社,2008.
作者單位:新疆哈密石油外國語學(xué)校,新疆哈密 839009