試論校園網安全防御

鄧懷勇　馬　琴

內容摘要:管理手段和方法信息化,現在已深入高校管理中。校園外網主要指學校提供對外服務的服務器群、與Internet的接入以及遠程移動辦公用戶的接入等。校園網的服務器群構成了校園網的服務系統,主要包括DNS、Web、FTP、Proxy、視頻點播以及Mail服務等。外部網主要實現校園網與Internet的基礎接入。

關鍵詞:校園網 安全 防御

校園網絡存在的安全隱患和漏洞主要有以下幾個方面:第一,校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險;第二,校園網內部也存在很大的安全隱患。由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅會更大一些。第三,目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。網絡服務器安裝的操作系統有Windows NT/2000、UNIX、Linux等,這些系統安全風險級別不同,例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統:自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等;第四,隨著校園內計算機應用的大范圍普及,接入校園網的節點數日益增多,而這些節點大部分都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果;第五,內部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內網;內外網惡意用戶可能利用利用一些工具對網絡及服務器發起DOS/DDOS攻擊,導致網絡及服務不可用;校園網內針對QQ的黑客程序隨處可見;第六,可能會因為校園網內管理人員以及全體師生的安全意識不強、管理制度不健全,帶來校園網的威脅。

一、安全防范系統的建立

安全防范系統的建立是以安全防范策略為核心,以安全技術和工具作為支撐,以安全管理和安全服務作為落實措施,并且通過安全培訓加強校園網用戶的安全意識和法律責任。

1.安全防范策略:安全防范策略是一個成功的安全系統的基礎與核心,安全防范策略描述了校園網絡中心的安全目標、能夠承受的安全風險、實現完善的安全審計和取證機制,保證了受到入侵后有證可查,有章可循。建立安全的預警系統,能夠抵御較高水平的黑客攻擊,保護對象的安全優先級等方面的內容。

2.安全技術和工具:常用的安全技術和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范等,這些技術手段和工具是網絡安全系統中非常重要的組成部分,缺少任何一部分都會有巨大的危險。通過配置安全產品可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康的信息起到有效的阻斷作用,對網絡的故障可以迅速定位并加以解決。

3.安全管理和安全服務:安全管理貫穿整個安全防范系統,是整個安全系統的核心。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全防范策略的管理,必須要做到及時進行漏洞修補和定期巡檢,保證對網絡的監控和管理。定期對實體、平臺、數據、通信、應用、管理等各個方面進行全面的安全隱患和脆弱性分析,提供詳細的分析報告及安全性整改建議,對整體安全狀況有全面具體的了解,就能為上級作出安全決策和管理提供依據,使網絡安全系統的正常運行達到了良好的安全效果。

4.安全培訓:用戶的安全意識是整個網絡系統是否安全的決定因素,因此對用戶的安全培訓和服務是整個網絡安全系統中重要和不可或缺的一部分。

二、校園網安全防御

根據以往經驗分析,可以確定以下幾個必須考慮的安全防護要點:網絡安全隔離、網絡監控措施、網絡安全漏洞掃描、網絡病毒的防范等。

1.防火墻部署

防火墻是網絡安全的屏障。一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。在防火墻設置上我們按照以下原則配置來提高網絡安全性:

第一,根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則。第二,將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包,防止內部網絡發起的對外攻擊。第三,在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。第四,在局域網的入口架設千兆防火墻,并實現VPN的功能,在校園網絡入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時能夠安全接入數據中心。第五,定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄。第六,允許通過配置網卡對防火墻設置,提高防火墻管理安全性。

2.架設入侵監測系統(IDS)

架設一個入侵監測系統(IDS)是非常必要的,處于防火墻之后對網絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網絡活動,所以入侵監測系統是防火墻的延續。它們可以和你的防火墻和路由器配合工作。

IDS掃描當前網絡的活動,監視和記錄網絡的流量,根據定義好的規則來過濾從主機網卡到網線上的流量,提供實時報警。IDS是被動的,它監測你的網絡上所有的數據包。其目的就是捕捉危險或有惡意動作的信息包。IDS是按你指定的規則運行的,記錄是龐大的,所以我們必須制定合適的規則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。

3.漏洞掃描系統

采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網絡安全整體水平產生重要依據。要求每臺主機系統必須正確配置,為操作系統打夠補丁、保護好自己的密碼、關閉不需要打開的端口,例如:如果主機不提供諸如FTP、HTTP等公共服務,盡量關閉它們。

4.部署網絡版殺毒軟件

最理想的狀況是在整個局域網內杜絕病毒的感染、傳播和發作,為了實現這一點,應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

在學校網絡中心配置一臺高效的Windows2000服務器安裝一個網絡版殺毒軟件系統中心,負責管理校園網內所有主機網點的計算機。網絡中心負責整個校園網的升級工作。為了安全和管理的方便起見,由網絡中心的系統中心定期地、自動地到殺毒軟件網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發到其他各個主機網點的客戶端與服務器端,并自動對網絡版殺毒軟件進行更新。

安全防范體系的建立不是一勞永逸的,校園網絡自身的情況不斷變化,新的安全問題不斷涌現,必須根據情況的變化和現有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網絡安全防范體系的良性發展,確保它的有效性和先進性。

參考文獻:

1.戴英俠,許劍卓,翟起賓,連一峰.清華大學出版社[K],2005:(1)

2.林濤.電子工業出版社[K],2007(5)

3.段新海.校園網安全問題分析與對策[J].中國教育網絡,2005(3).

作者單位:重慶水利電力職業技術學院