基于縱深防御思想的校園網安全研究

朱愛軍

（湖南科技職業學院，湖南 長沙 410004）

基于縱深防御思想的校園網安全研究

朱愛軍

（湖南科技職業學院，湖南 長沙 410004）

在分析校園網建設現有網絡資源及應用的基礎上，提出了以防火墻技術、入侵檢測技術、漏洞掃描技術、防病毒技術、安全評估技術為核心的完整的安全解決方案。通過該方案的提出和實現，提高校園網建設的安全防護系數。

校園網；安全；防御

1．引言

為了解決高職院校校園網面臨的安全問題，需要在網絡中的各個環節都采取必要的安全防范措施，通過多種安全防范技術和措施的綜合運用，才能更有效地保證校園網的信息和網絡安全。

校園網信息與網絡的安全問題主要包括物理實體安全和系統運行安全兩個方面，本文將重點介紹如何應用相應網絡安全技術構建高職院校信息網絡的問題以及幾種關鍵技術在高職院校信息網中的應用和配置。

2．病毒防范

計算機病毒問題是網絡用戶面臨的首要問題，高職院校信息網在建設和維護的過程中同樣也不斷受到病毒的破壞和影響。由于使用和管理的不完善，客戶機經常感染計算機病毒，并多次影響到各級局域網的正常工作，甚至引起局域網的癱瘓。為保護服務器和網絡中的工作站免受計算機病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機制，需要應用基于網絡的防病毒技術。基于網絡的防病毒技術可以在網絡的各個環節上實現對計算機病毒的防范。安裝了基于網絡的防病毒軟件后，不但可以防范主機受到病毒的感染，同時通過這些主機傳遞的文件也可以避免被病毒侵害，并且可以建立一個集中有效的防病毒控制機制，從而保護計算機信息網絡的安全。

在殺毒軟件的選擇過程中，我們結合了校園信息網絡結構與單位教師、學生網絡安全的知識水平、殺毒產品本身的易用性和可定制性、殺毒產品的技術、服務支持等售后服務以及公安部對現有市場上網絡防病毒產品進行的測評報告，采用北京瑞星科技股份有限公司的瑞星殺毒軟件企業版。

由于校園網絡與互聯網是物理隔離的，但殺毒軟件必須通過升級才能保證最新、最強的殺毒能力，為了保證殺毒系統的智能升級，我們采用通過物理轉換設備在校園網內部建立瑞星公司升級的鏡像網站，實現病毒代碼和查殺引擎的升級。病毒庫通過互聯網上的瑞星網站首先被復制到信息網內部的瑞星鏡像網站上，然后系統中心登陸鏡像網站更新后再往下面發送升級信息。

3．訪問控制

作為高校，各類用戶歷來對信息網內的各種信息感興趣，尤其是在高校招生或者學生畢業的時候，部分不法份子為取得不正當利益，入侵高校服務器，嚴重危害高校網絡安全。同時，由于單位內部嚴格的等級制度，對于不同級別不同職務的人員，所應了解和掌握的單位信息也是有很大區別的。校園網提供了通過計算機遠程獲取敏感信息甚至保密信息的途徑。我們必須加強對信息網的訪問控制管理，杜絕敏感信息的泄露。

在校園網設置防火墻后，所有從其它局域網訪問該網的主機以及網內對服務器的訪問請求都首先到達防火墻。防火墻可以通過分析這些數據包的性質控制網絡中對主機的訪問。由于在訪問主機時，實行了用戶與源IP的綁定，并對各用戶的訪問權限作了規定。主機在與外界進行通訊時是在應用層而非在網絡層完成的。如果有不法分子通過入侵電信專線或橋接電信專線的方法入侵總隊信息網的話，防火墻首先會根據網絡制定的安全策略對來訪的數據進行用戶與源IP綁定審查，對不符合要求的訪問一律拒絕，于是來自外網和非法用戶的攻擊行為不能到達校園網的主機服務器。對于一些特定的服務請求，防火墻還可以進行其它的強制認證手段、密級驗證等，只有來自合法主機的合法操作在通過認證之后才能到達要訪問的主機[1]。通過以上幾種方式的過濾，基本上可以保證到達網絡內部主機的訪問都是安全合法的。由此可以有效地防止非法訪問，保護重要主機上的數據，提高網絡的安全性。

防火墻選擇所考慮的因素和入侵檢測基本一致，同時結合各安全產品之間兼容性原則，我們選擇了北京天融信公司生產的網絡衛士防火墻4000（NGFW4000）。該產品可以通過其TOPSEC（Talent Open Platform for Security）網絡安全開放平臺標準API接口與天闐IDS進行聯動。NGFW4000是天融信網絡衛士系列防火墻的中端產品，是一款成熟的廣受市場認同的主流產品，具有訪問控制、內容過濾、防病毒、NAT、IPSEC VPN、SSL VPN、帶寬管理、負載均衡、雙機熱備等多種功能，廣泛支持路由、多播、生成樹、VLAN、DHCP等協議，適用于網絡結構復雜、應用豐富的政府、軍工、學校、中型企業等網絡環境，該產品完全滿足校園信息網絡的需求。

4．入侵檢測

校園網設置了防火墻后，可以解決多數的網絡安全問題，但是防火墻并不是萬能的。有些攻擊行為僅僅依靠防火墻是不能防范的，比如攻擊行為是從內部網絡上發起的，那么對主機的訪問就不需要通過防火墻，防火墻也就不能對主機進行保護了。而對于校園信息網，非法或超權限訪問的用戶更多的是來自單位內部的人員。所以尋求一種新的防范技術加強對防火墻以外功能的補充是很有必要的。入侵檢測技術是近年出現的新型網絡安全技術，入侵監測系統處于防火墻之后對網絡活動進行實時檢測，由于可以記錄和禁止網絡活動，所以入侵監測系統是防火墻的延續。它試圖發現入侵者或識別出對計算機的非法訪問行為，并對其進行隔離。入侵檢測系統能發現其它安全措施無法發現的攻擊行為，反追蹤攻擊源，進行犯罪事實證據的收集。因此在網絡上配備入侵檢測系統可以進一步提高網絡的安全級別。

入侵檢測的主要技術有：模式匹配，異常檢測，協議分析，我們在選擇入侵檢測系統時，主要考慮如下的因素[2]：(1)系統的價格；(2)特征庫升級與維護的費用。像防病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現的攻擊方法；(3)最大可處理流量(包/秒PPS)。由于高職院校信息網要求的帶寬較高，需要支持遠程視頻同步，需要高速的入侵檢測引擎。故而性能是一個非常重要的指標；(4)該產品是否容易被躲避；(5)運行與維護系統的開銷；(6)產品支持的入侵特征數；(7)是否通過國家權威機構的評測。主要的權威測評機構有：國家信息安全測評認證中心、公安部計算機信息系統安全產品質量監督檢驗中心。最終在綜合各方面的因素后，在硬件方面我們選擇了北京啟明星辰信息技術有限公司生產的天闐NS200，與之配套的軟件則是天闐千兆入侵檢測與管理系統V6.0。

5．安全評估

計算機漏洞[3]是指計算機系統具有的某種可能被入侵者利用的屬性，安全漏洞(Security Hole)通常又稱作脆弱性(vulnerability)。計算機漏洞是系統的一種特性，惡意的主體(攻擊者或攻擊程序)能夠利用這種特性，通過已授權的手段和方式獲得對資源的未授權訪問，或者對系統造成損害。這里的漏洞既包括單個計算機系統的脆弱性，也包括計算機網絡系統的漏洞。如果不法份子利用計算機漏洞對信息網進行攻擊，造成的后果將是難以想象的。“居安思危，防患于未然”，我們應該積極主動查找系統的漏洞，主動發現網絡自身存在的安全隱患，先于入侵者發現并修復系統的漏洞，這也是解決網絡安全的基本方法之一。

掃描器對網絡安全很重要，它能揭示一個網絡的薄弱點。在任何一個現有的平臺上都有幾百個熟知的安全脆弱性。在大多數情況下，這些漏洞都是唯一的，僅影響一個網絡服務。人工測試單臺主機的漏洞是一項極其繁瑣的工作，而掃描程序能輕易解決這些問題。掃描程序開發者利用可得到的常用攻擊方法并把它們集成到整個掃描中，這樣使用者就可以通過分析輸出的結果發現系統的漏洞。

我們可以在本校園信息網向總部連接的路由器的外部設立一臺安全分析工作站或在內部網絡分支機構交換機的外部設立一臺這樣的工作站，平時關閉，需要時可以從多角度對整個網絡進行全方位的漏洞分析掃描，并給出安全性建議，以便于系統管理員及時堵住系統安全漏洞。要求各級網絡管理員定時進行安全掃描檢測，保障系統安全。

在漏洞掃描器的選擇上，我們同樣選擇了北京啟明星辰信息技術有限公司開發的“天鏡”網絡漏洞掃描與評估系統。該系統是一套基于Windows平臺的漏洞掃描軟件，它包括了網絡模擬攻擊、漏洞檢測、報告服務進程、提取對象信息、風險評估和安全建議等功能，幫助用戶控制可能發生的安全事件，最大可能地消除安全隱患。該系統具有強大的漏洞檢測能力和檢測效率、貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補方案和友好的報表系統，并支持在線升級。

在交換機的選型上，我們選擇了港灣FlexHammer5210系列交換機。該系列交換機是為了滿足高安全、多業務承載、高性能的網絡環境開發的新一代智能多層交換機，具備傳統三層交換機大容量、高性能等優點，同時還具有領先的安全特性，適合作為關注業務、服務、關注網絡安全的中小型城域網匯聚三層交換機、小區核心匯聚層交換機和企業級大客戶接入層交換機。

6．結語

本文以傳統的安全體系和設計原則為基礎，在縱深防御技術模型的基礎上，提出了基于主動防御思想的高職院校信息網安全防護體系。從病毒防范、入侵檢測、訪問控制和安全評估四個方面出發，提出安全防護體系的需求、設計原則、部署的特點。通過對產品的性能、價格和易用性等方面的比較，選取了適合高職院校信息網的安全產品，并以此為基礎，構建信息網完整的安全解決方案。

[1]謝希仁．計算機網絡（第二版）[M]．北京：電子工業出版社，1999．

[2]陳向陽，肖迎元等．網絡工程規劃與設計[M]．北京：清華大學出版社，2007．

[3]戴宗坤等．信息系統安全[M]．北京：金城出版社，2002．

[4]Lars Klander．挑戰黑客-網絡安全的最終解決方案[M]．陳永劍等譯．北京：電子工業出版社，2000．

[5]胡道元，閔京華編著．網絡安全[M]．北京：清華大學出版，2004.

[6]徐國哎，楊義先，胡正名．安全局域網的設計和實現[J]．計算機工程與應用，2001，8：30-31．

Research on the Campus Network Security Based on Defense in Depth

ZhuAijun
(Hunan Vocational College of Science and Technology,Hunan 410004,Changsha)

Based on the analysis of the campus network construction resource and application,this paper proposes a security solution with the firewall technology,intrusion detection technology,vulnerability scanning technology,anti-virus technology and safety assessment technology as the core.This solution can improve the safety coefficient of the campus network construction.

campus network;security;defense

朱愛軍,男，湖南邵東人，碩士，講師，研究方向：計算機網絡，網絡安全。