校園網信息安全策略分析

樓曉峰 夏玲軍

[摘要]在歸納現有網絡信息安全技術的基礎上,把校園網絡信息安全措施分為以防火墻技術、入侵檢測技術等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施,在校園網上實現以防火墻技術為核心的硬件級保護和以防病毒技術為核心的軟件級保護相結合的軍校校園網絡信息安全防護體系。

[關鍵詞]校園網網絡信息安全信息安全信息安全措施

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1120037-01

一、引言

網絡信息安全是當今信息安全的核心研究領域,其涉及的基本技術主要有:防火墻技術、入侵檢測技術、訪問控制技術、網絡安全漏洞掃描技術、網絡防病毒技術、信息加密技術、信息確認技術等。目前,企業網絡信息安全由于電子商務的需要已經有了較深入研究,而校園網絡信息安全研究則不夠深入。考慮到學校信息資源中既有需要保密的人事財務信息、教學科研信息、檔案信息,也有具備一定透明度的可查詢信息和共享信息,校園網絡信息安全可簡化層級、強化重點,其技術措施可按硬件級措施和軟件級措施架構。茲探討如下:

二、校園網安全隱患

校園網絡作為學校重要的基礎設施,擔當著學校教學、科研、管理和對外交流等許多角色。校園網安全狀況直接影響著學校的教學活動。在網絡建成的初期,安全問題可能還不突出,隨著應用的深入,校園網上各種數據會急劇增加,各種各樣的安全問題開始困擾網絡管理人員。

(一)安全的表現形式

由于學校是以教學活動為中心的場所,網絡的安全問題也有自己的特點。主要表現在:1.不良信息的傳播,目前Internet上各種信息良莠不齊,有關色情、暴力、反動內容的網站泛濫;2.病毒的危害,計算機病毒是校園網安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒,其傳播速度、影響面、清除難度、破壞力等都不是單機病毒所能比擬的,這是目前校園網安全問題主要的困擾;3.非法訪問,校園網在接入Internet后,便面臨著內部和外部黑客雙重攻擊的危險,而尤以內部攻擊為甚;4.惡意破壞;5.口令入侵。

(二)威脅安全的因素

威脅校園網安全的因素主要有以下幾個方面:1.物理因素,主要是指硬件本身及其外圍環境影響;2.技術因素,校園網技術涉及到網絡技術、防火墻、病毒防護、數據恢復與備份等多種技術;3.管理因素,正確規范管理是保證校園網安全的重要措施;4.使用者因素,盡量避免使用者不合理操作帶來的不安全隱患;5.宣傳教育因素。

三、安全防范技術

校園網具有訪問方式多樣、用戶群龐大、網絡行為突發性較高等特點。網絡的安全問題需要從網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為保證校園網絡的安全性,除了規劃網絡拓撲結構,構建校園內部虛擬專用網(VPN),通過使用VPN技術,即附加的安全隧道、用戶認證和訪問控制等技術,可以使分布于不同地理位置上的校園網各節點之間進行數據交換,有效避免重要數據遭受惡意用戶竊取,從而實現對重要信息的安全傳輸,一般還采用以下一些防范技術。

(一)硬件級措施

在網絡信息安全技術中,防火墻技術、入侵防御技術、入侵檢測技術、訪問控制技術等可歸為硬件級措施。這些措施的特點是一般需要硬件支持并由建網單位統一實施,而不需要客戶端配合。在硬件級措施支持下,可實現校園網與公網之間的強制性隔斷,從而實現校園網絡信息相對安全,用防火墻硬件措施屏蔽了Internet公網上的有害信息和黑客入侵,這是校園常采用的必備防護設備。

入侵檢測從計算機網絡系統中的若干關鍵點收集信息并分析這些信息,對有違反安全策略的行為和遭到襲擊的跡象進行報警,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)。其優點是在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時檢測保護。入侵檢測被認為是防火墻之后的第二道安全閘門。可用于對一些服務器/微機進行有害信息和黑客入侵的檢測、審計。入侵防役設備是串接在所保護的設備前端,對網絡行為進行檢測分析,對所保護的設備有害及可疑行為進行主動阻斷攔截,主要用于對重要服務器防止有害信息和黑客入侵的進行及時主動的防御,因而,保證了Intranet校園內網的一定的安全。

校園網絡的硬件級較好的部署時在網絡出口處設置一防火墻,對網絡出口的邊界進行了安全隔離,制定相應的訪問控制策略,在重要的服務器前設置入侵防御,對重要服務器進行有害信息和黑客入侵的防御。但是這些措施無法發現夾雜在網絡正常訪問中的惡意流量,還會存在很大的安全隱患,這就需要網絡系統和每臺服務器/計算機利用軟件做好自身的防護,提升抗危害能力。

(二)軟件級措施

由于傳統的防火墻技術和攻擊檢測系統僅僅檢查數據包的特定部分,而當前的安全威脅來自網絡的各個層面,且不少來自網絡通信的數據部分,例如病毒常通過以下途徑感染和傳播:

1.訪問載有病毒的網頁:互聯網中的很多網頁都被嵌入木馬等病毒,一旦訪問載有病毒的網頁,病毒將通過網絡傳播的校園網內部,輕則感染并破壞客戶機,重則感染網內的其他機器乃至造成網絡癱瘓。

2.收發病毒郵件:電子郵件已成為日常生活中不可或缺的部分,但同時電子郵件頁成為病毒傳播的最大載體,大量的垃圾郵件以及欺騙郵件已嚴重影響入場工作和生活,如之前在網絡上大肆爆發的“熊貓燒香”病毒,給網絡安全造成嚴重的威脅。

因此,黑客可能了解網絡在數據層面的安全漏洞,采取通過病毒、蠕蟲或其他攻擊行為,對網絡資源造成不同程度的損害,尤其是通過病毒,蠕蟲(PE_LOOKED.KO)、特洛伊木馬(TROJ_Generic)、和后門程序(PE_LOOKED.JY)達到攻擊和破壞目的。

所以,在網絡安全技術中有必要采取病毒技術、信息加密技術、信息確認技術等軟件級措施,以配合硬件級測試構成完善的信息安全防護體系。軟件級措施的特點時一般不需要專門硬件支持但需要客戶端配合,通過在服務器端安裝網絡版的服務Server軟件,在客戶端安裝Client軟件實現S/C模式的安全操作,例如要實現網絡環境下的病毒防治,僅靠單機版的殺毒軟件是不可能的,必須安裝網絡版的殺毒軟件,這樣才能實現殺毒軟件的遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒的功能。在軟件級措施的支持下,可實現校園網與公網之間的交換信息排查,有效隔離帶病毒信息,身份不符用戶信息等,實現校園網絡信息安全。

還有統一的身份認證系統。身份認證技術是指向系統出示自己的身份證明,系統查明用戶是否具有所請求資源的存儲和使用權,用戶必須通過認證才能獲得權限之內的訪問資源。建立了全網統一的身份認證系統,不僅有效地防止了IP地址的盜用,而且有效的避免黑客攻擊,從而在整體上提高了用戶信息的安全性和可靠性,這也是實現數字化信息化校園的基礎。目前較

為可行的方式為分級授權,可以為不同的用戶開放不同權限,比如校管理層擁有網絡全部訪問權限。一般的教師擁有一定權限,這部分可以精確到個人,也就是實行實名精確到個人的授權,對于普通學生開放受限的GUEST帳戶,分級管理保障信息的安全。

同時,我們對不同的信息進行分類管理:對機密信息嚴格規定只能用于不聯網的計算機,決不上網;專用內部信息使用專網連接,與校網分離,有的還設置加密傳遞;校內公開信息限校內訪問,與Internet公眾網間設置防火墻隔離。開展定期檢查,以提高安全意識。

(三)網絡數據備份與恢復

數據是整個校園網信息安全的核心。設備可以替換,但數據被破壞或丟失,其損失無法計量。所以設計一套完整的數據備份和恢復系統是校園網迫切需要的。它要考慮多方面因素,如備份/恢復數據量大小、應用數據中心和備援數據中心之間的距離及數據傳輸方式、災難發生時所要求的恢復速度、備援中心的管理及投入資金等。

四、小結

綜上所述,現有網絡信息安全技術包括防火墻技術、入侵檢測技術、訪問控制技術、網絡安全漏洞掃描技術、網絡防病毒技術、信息加密技術、信息確認技術等,校園網絡信息安全措施可通過綜合以防火墻技術、入侵檢測技術等為代表的硬件級措施和以病毒防御、身份確認等為代表的軟件級措施來實現。在學校的校園網上實踐的以防火墻技術為核心的硬件級保護和以防病毒技術為核心的軟件級保護相結合的校園網絡信息安全防護體系證明了這一點。

參考文獻:

[1]MichaelE.whitman等著,齊立博譯,信息安全原理(第二版),清華大學出版社,2006,3(1).

[2]馮登國,國內外信息安全現狀及發展趨勢(摘編),信息網絡安全,20O7(1):9-11.

[3]熊心志,計算機網絡信息安全初探,計算機科學,2006,55(B12):60-62.

[4]李俊婷等,計算機網絡信息安全及其防護措施,計算機與網絡,2007(15):45-46.

[5]鄧志宏等,基于PKI的網絡信息安全模型的研究與設計,計算機工程與設計,2007,28(2):549-550,594.

[6]段友祥等,基于cA技術的網絡信息安全系統設計實踐,計算機工程與設計,2006,27(6):1014-101.

[7]沈吉鋒等,校園網安全防范策略,中國科教創新導刊,2009,2:165.