張貴安
中圖分類號:TP393 文獻標識碼:A 文章編號:1003-9082(2016)03-0010-01
隨著互聯(lián)網(wǎng)的高速發(fā)展和教育信息化進程的不斷深入,校園網(wǎng)在學校教學、科研和管理中的作用越來越重要, 校園網(wǎng)越來越得到普及,同時學校校園網(wǎng)絡安全問題也日益突出,而制定一個完善的網(wǎng)格解決方案成為重要。因此網(wǎng)絡的安全防護需采用分層次的拓撲防護措施。即一個完整的校園網(wǎng)網(wǎng)絡信息安全解決方案應該覆蓋網(wǎng)絡的各個層次,并且與安全管理相結(jié)合。
一、網(wǎng)絡信息安全系統(tǒng)設計對策
為了滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡規(guī)模大、用戶眾多的特點,對Internet信息安全實施分級管理的解決方案,可以對它的控制點分為三級實施安全管理。[1]
第一級:中心級網(wǎng)絡,主要實現(xiàn)內(nèi)外網(wǎng)隔離;內(nèi)外網(wǎng)用戶的訪問控制;內(nèi)部網(wǎng)的監(jiān)控;內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。
第二級:部門級,主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制;同級部門間的訪問控制;部門網(wǎng)內(nèi)部的安全審計。
第三級:終端/個人用戶級,實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制;數(shù)據(jù)庫及終端信息資源的安全保護。
需求、風險、代價平衡的原則對任一網(wǎng)絡,絕對安全難以達到,也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等),并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。[2]
一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡,包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。[3]可用性原則安全措施需要人為去完成,如果措施過于復雜,要求過高,本身就降低了安全性,如密鑰管理就有類似的問題。其次,措施的采用不能影響系統(tǒng)的正常運行,如不采用或少采用極大地降低運行速度的密碼算法。 分步實施原則:分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施,即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。
二、網(wǎng)絡信息安全系統(tǒng)設計步驟
第一步:進行網(wǎng)絡安全需求分析,確立合理的目標基線和安全策略
第二步:明確準備付出的代價,制定可行的技術方案
第三步:工程實施方案(產(chǎn)品的選購與定制)
第四步:制定配套的法規(guī)、條例和管理辦法
三、網(wǎng)絡安全需求與措施手段
1.安全需求
局域網(wǎng)LAN內(nèi)部的安全問題,包括網(wǎng)段的劃分以及VLAN的實現(xiàn),在連接Internet時,如何在網(wǎng)絡層實現(xiàn)安全;應用系統(tǒng)如何保證安全性;如何防止黑客對網(wǎng)絡、主機、服務器等的入侵;如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩C苄?;加密系統(tǒng)如何布置,包括建立證書管理中心、應用系統(tǒng)集成加密等 。
2.措施
信息安全信息傳輸安全(動態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)(CA);網(wǎng)絡安全訪問控制(防火墻)網(wǎng)絡安全檢測入侵檢測(監(jiān)控) IPSEC(IP安全)審計分析鏈路安全鏈路加密
3.手段
設立防火墻。利用防火墻,可以實現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡)與外部不可信任網(wǎng)絡(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制,保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。目前市場上成熟的防火墻主要有如下幾類,一類是包過濾型防火墻,一類是應用代理型防火墻,還有一類是復合型防火墻,即包過濾與應用代理型防火墻的結(jié)合。包過濾防火墻通?;贗P數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾,包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性能和更好的應用程序透明性。代理型防火墻作用在應用層,一般可以對多種應用協(xié)議進行代理,并對用戶身份進行鑒別,并提供比較詳細的日志和審計信息;其缺點是對每種應用協(xié)議都需提供相應的代理程序,并且基于代理的防火墻常常會使網(wǎng)絡性能明顯下降。應指出的是,在網(wǎng)絡安全問題日益突出的今天,防火墻技術發(fā)展迅速,目前一些領先防火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到防火墻當中,這些功能有:VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。
四、校園網(wǎng)網(wǎng)絡安全解決方案
強化防護體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+監(jiān)控) 用戶需求:在標準防護體系配置的基礎之上,全部或部分滿足以下各項
1.網(wǎng)絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備)
2.操作系統(tǒng)安全性檢測·網(wǎng)絡監(jiān)控與入侵檢測
解決方案:選用網(wǎng)絡衛(wèi)士防火墻PL FW2000+網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控器
五、加強網(wǎng)絡安全管理制度建設
“三分技術、七分管理”,網(wǎng)絡安全尤為如此。各學校要根據(jù)校園網(wǎng)的實際情況,制定并嚴格執(zhí)行有效的安全管理制度。如:校園網(wǎng)網(wǎng)絡安全管理制度、網(wǎng)絡主干管理與維護制度、校園網(wǎng)非主干維護制度、網(wǎng)絡安全管理崗位職責、網(wǎng)絡運行管理制度、主頁維護管理制度、校園網(wǎng)信息發(fā)布與管理制度、病毒防治管理制度、重要數(shù)據(jù)備份與管理制度等。[4]此外,為更加有效控制和減少校園網(wǎng)絡的內(nèi)部隱患,各學校必須制定網(wǎng)絡行為規(guī)范和違反該規(guī)范的具體處罰條例。
參考文獻
[1]王剛.分層局域網(wǎng)網(wǎng)絡安全解決方案[J]《廣西師范學院學報(自然科學版)》,2004年.
[2]凌星成.中山技校校園網(wǎng)安全性設計與實施[D],2008年 電子科技大學
[3]陸勇峻.基于路由器動態(tài)認證的網(wǎng)絡安全模型的研究[D],2001年 上海交通大學.
[4]尚禮斌.論校園網(wǎng)網(wǎng)絡安全[J]《新西部(下旬刊)》,2011年.