校園網(wǎng)安全防御體系的構(gòu)建探析

2014-08-27 09:44:58王巖

網(wǎng)絡(luò)空間安全 2014年8期

【摘要】現(xiàn)在高校的校園網(wǎng)都已經(jīng)接入了互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的接入則有效地促進(jìn)了校園教育信息化工作的快速與便捷的實(shí)現(xiàn)。然而在這個(gè)過程當(dāng)中，接入互聯(lián)網(wǎng)的校園網(wǎng)同時(shí)需要面對(duì)各種各樣的安全問題，導(dǎo)致其自身的安全正常運(yùn)行受到了嚴(yán)重的威脅。本文針對(duì)校園網(wǎng)的安全威脅進(jìn)行了分析，然后以此為基礎(chǔ)，探討了如何針對(duì)校園網(wǎng)的安全防御體系進(jìn)行有效的構(gòu)建。

【關(guān)鍵詞】校園網(wǎng)；完全威脅；安全策略

1 引言

作為學(xué)校重要的基礎(chǔ)設(shè)施，校園網(wǎng)能夠連接校內(nèi)網(wǎng)絡(luò)的各個(gè)系統(tǒng)以及計(jì)算機(jī)。校園網(wǎng)對(duì)因特網(wǎng)技術(shù)、多媒體技術(shù)以及現(xiàn)代網(wǎng)絡(luò)技術(shù)等多種技術(shù)進(jìn)行了綜合運(yùn)用，并且以這些技術(shù)作為基礎(chǔ)，將校內(nèi)計(jì)算機(jī)綜合網(wǎng)絡(luò)構(gòu)建起來，最終保證校園內(nèi)辦公、科研以及教學(xué)等及早的實(shí)現(xiàn)了現(xiàn)代化。正因?yàn)樾@網(wǎng)在學(xué)校發(fā)揮著十分重要的作用，所以必須要重視其安全防御工作，從而能夠使其實(shí)現(xiàn)安全正常的運(yùn)行。

2 校園網(wǎng)的安全現(xiàn)狀概述

通常可以將校園網(wǎng)劃分為兩個(gè)部分，也就是校園外網(wǎng)以及校園內(nèi)網(wǎng)，學(xué)校對(duì)外提供服務(wù)的服務(wù)器群就是所謂的校園外網(wǎng)，其主要包括財(cái)政專網(wǎng)、市政務(wù)平臺(tái)以及因特網(wǎng)的接入等。而校園內(nèi)網(wǎng)主要指的是家屬區(qū)局域網(wǎng)、教學(xué)局域網(wǎng)以及辦公局域網(wǎng)。校園網(wǎng)的服務(wù)系統(tǒng)主要是由校園網(wǎng)的服務(wù)器群構(gòu)成的，其中有OA、網(wǎng)絡(luò)版殺毒軟件、機(jī)房管理、電子圖書、財(cái)務(wù)、網(wǎng)絡(luò)監(jiān)控、FIP、Web、視頻點(diǎn)播、數(shù)據(jù)庫等。現(xiàn)在在校園網(wǎng)的運(yùn)行管理當(dāng)中主要包括程序安全漏洞、計(jì)算機(jī)木馬和病毒、網(wǎng)絡(luò)入侵、下載的濫用。

3 校園網(wǎng)安全防御體系的設(shè)計(jì)與部署

必須要從兩方面的工作著手進(jìn)行校園網(wǎng)安全防御體系的設(shè)計(jì)與部署，也就是軟件設(shè)置與硬件部署。圖1為校園網(wǎng)安全防護(hù)體系示意圖。

3.1 軟件部署

3.1.1漏洞掃描

必須要對(duì)先進(jìn)的漏洞掃描系統(tǒng)予以充分的運(yùn)用，從而能夠?qū)蛻舳恕⒎阑饓Α⒙酚山粨Q設(shè)備、服務(wù)器以及工作站等實(shí)施定期的安全檢查。然后以相關(guān)的檢查結(jié)果作為根據(jù)，將詳細(xì)準(zhǔn)確的安全性分析報(bào)告提供給系統(tǒng)管理員，這樣可以有效地促進(jìn)網(wǎng)絡(luò)安全整體水平的提升，學(xué)校的每臺(tái)主機(jī)都要配置正確的系統(tǒng)，并且要安裝充足的操作系統(tǒng)補(bǔ)丁，將自己的密碼保護(hù)好，同時(shí)還要將不必要的端口以及服務(wù)關(guān)閉掉。比如在校園網(wǎng)絡(luò)當(dāng)中針對(duì)WSUS服務(wù)器進(jìn)行部署，能夠保證時(shí)刻處于最新狀態(tài)的用戶Windows操作系統(tǒng)，可以在服務(wù)器上直接針對(duì)操作系統(tǒng)的漏洞補(bǔ)丁進(jìn)行上下載安裝，并不需要在微軟官網(wǎng)上進(jìn)行更新，其能夠保證系統(tǒng)的更新速度具有更安全以及更快速的特點(diǎn)，并且能夠?qū)拵У牧髁抗?jié)省下來，在對(duì)系統(tǒng)的狀態(tài)進(jìn)行更新的時(shí)候還可以直接在控制臺(tái)監(jiān)控客戶機(jī)操作系統(tǒng)實(shí)施操作。

3.1.2針對(duì)網(wǎng)絡(luò)版殺毒軟件進(jìn)行部署

在整個(gè)局域網(wǎng)當(dāng)中針對(duì)病毒的發(fā)作、傳播以及感染進(jìn)行預(yù)防是最為理想的狀況，要想實(shí)現(xiàn)這種理想的狀況，就需要采取必要的防病毒的手段針對(duì)可能會(huì)出現(xiàn)傳播和感染的地方進(jìn)行預(yù)防。與此同時(shí)，要想使整個(gè)網(wǎng)絡(luò)的防病毒體系得到方便以及有效的管理和實(shí)施，就應(yīng)該針對(duì)分布查殺、集中管理、遠(yuǎn)程報(bào)警、智能升級(jí)以及遠(yuǎn)程安裝等各項(xiàng)功能進(jìn)行部署。

3.1.3 Wireshark網(wǎng)絡(luò)分析軟件

有很多內(nèi)部因素會(huì)導(dǎo)致校園網(wǎng)出現(xiàn)問題，而又有許許多多的VLAN網(wǎng)段共同構(gòu)成了其內(nèi)部結(jié)構(gòu)。因此，要想對(duì)發(fā)生問題的網(wǎng)絡(luò)部分進(jìn)行具體而清晰的了解，就可以對(duì)Wireshark網(wǎng)絡(luò)分析軟件進(jìn)行充分的利用，Wireshark的功能等同于微軟公司出品的Sniffer，其能夠?qū)λ械臄?shù)據(jù)包在某個(gè)共享的網(wǎng)絡(luò)環(huán)境下進(jìn)行實(shí)施分析和捕捉。

Wireshark網(wǎng)絡(luò)分析軟件一共包括幾種功能：詳細(xì)分析捕獲的網(wǎng)絡(luò)流量，通過對(duì)專家分析系統(tǒng)的有效運(yùn)用從而對(duì)問題進(jìn)行診斷、針對(duì)網(wǎng)絡(luò)活動(dòng)實(shí)施實(shí)時(shí)的監(jiān)控、針對(duì)網(wǎng)絡(luò)錯(cuò)誤以及利用率進(jìn)行收集等。

3.1.4第三方的安全工具

在網(wǎng)絡(luò)當(dāng)中第三方安全工具有十分強(qiáng)大的功能，其中包括對(duì)系統(tǒng)漏洞進(jìn)行修復(fù)、針對(duì)系統(tǒng)實(shí)施實(shí)時(shí)保護(hù)、針對(duì)應(yīng)用軟件進(jìn)行管理、針對(duì)系統(tǒng)插件以及惡評(píng)插件進(jìn)行清理、針對(duì)流行木馬進(jìn)行查殺等若干強(qiáng)勁的功能。

與此同時(shí)，第三方安全工具還可以將系統(tǒng)的全面診斷報(bào)告提供出來，從而能夠使用戶針對(duì)網(wǎng)絡(luò)當(dāng)中出現(xiàn)問題的地方進(jìn)行全面的定位。比較流行的第三方安全工具包括咔咔上網(wǎng)助手以及360安全衛(wèi)士等，其可以有效地結(jié)合殺毒軟件，從而保證安全防護(hù)具有全面立體的特點(diǎn)。

3.2 部署校園安全體系的硬件

校園安全系統(tǒng)的硬件部署共有五個(gè)方面組成，由內(nèi)到外分別是校園內(nèi)部VLAN、入侵檢測(cè)系統(tǒng)IDS、交換機(jī)系統(tǒng)、防毒墻系統(tǒng)和防火墻系統(tǒng)。

3.2.1部署防火墻系統(tǒng)的

所謂的防火墻，就是一道專用的防御系統(tǒng)，用來將安全區(qū)域（局域網(wǎng)）與風(fēng)險(xiǎn)區(qū)域（風(fēng)險(xiǎn)網(wǎng)絡(luò)）隔離開來。作為控制點(diǎn)和阻塞點(diǎn)的防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的安全性有著重要的作用，能夠?qū)⒉话踩姆?wù)進(jìn)行過濾，從而降低內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)。能夠通過防火墻的必須是經(jīng)過選擇的應(yīng)用協(xié)議，并將危險(xiǎn)的應(yīng)用協(xié)議進(jìn)行過濾。防火墻必須根據(jù)校園網(wǎng)的安全目標(biāo)和策略，對(duì)安全過濾的規(guī)則進(jìn)行規(guī)劃和設(shè)置。

對(duì)IP數(shù)據(jù)包進(jìn)行規(guī)劃審核的項(xiàng)目內(nèi)容有：流向、目標(biāo)地址、源地址、端口和協(xié)議等。對(duì)于來自公網(wǎng)的非法訪問以及對(duì)于校園內(nèi)部網(wǎng)沒有必要的訪問都必須嚴(yán)格禁止。如利用TCP135端口的“沖擊波”，利用TCP445端口的“震蕩波”等，校園網(wǎng)邊界防火墻系統(tǒng)都可以根據(jù)相應(yīng)的訪問策略，對(duì)企圖連接TCP445、TCP135端口的數(shù)據(jù)包予以拒絕，從而達(dá)到將阻擋病毒的目的。

3.2.2部署防毒墻系統(tǒng)

防毒墻主要是對(duì)通過網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行掃描，能夠?qū)SN協(xié)議、IMAP、POP3、SMTP、FTP、HTTP等內(nèi)容進(jìn)行檢查，對(duì)發(fā)現(xiàn)的病毒進(jìn)行清除。不僅如此通過安全策略，防毒墻系統(tǒng)還可以在網(wǎng)絡(luò)環(huán)境中，在內(nèi)外網(wǎng)的中間建立安全屏障，這道安全屏障可以阻止內(nèi)部用戶濫用外部網(wǎng)絡(luò)的不良資源，并防止外部網(wǎng)絡(luò)對(duì)內(nèi)部資源的侵犯。endprint

防毒墻既可以作為三層病毒掃描架構(gòu)（邊緣保護(hù)、服務(wù)器、客戶端）中的一個(gè)內(nèi)容，也可以相對(duì)獨(dú)立，作為一個(gè)邊緣病毒的掃描結(jié)構(gòu)。以正確的策略配置防毒墻，能夠通過對(duì)防火墻CPU負(fù)荷的降低而為內(nèi)部網(wǎng)絡(luò)的運(yùn)行提供平穩(wěn)的保障。

3.2.3入侵檢測(cè)系統(tǒng)IDS的架設(shè)

入侵檢測(cè)系統(tǒng)IDS在防火墻的后面，能夠?yàn)榫W(wǎng)絡(luò)活動(dòng)提供實(shí)時(shí)檢測(cè)，因此其架設(shè)對(duì)于校園網(wǎng)的安全非常重要。入侵檢測(cè)系統(tǒng)IDS可以對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行禁止和記錄，有效的配合防火墻進(jìn)行工作。

IDS能夠?qū)W(wǎng)絡(luò)的流量和活動(dòng)進(jìn)行監(jiān)視、記錄和掃描，以其規(guī)則對(duì)主機(jī)網(wǎng)卡的過濾包進(jìn)行過濾，并及時(shí)報(bào)警。IDS會(huì)對(duì)網(wǎng)絡(luò)上所有的PACKETS進(jìn)行被動(dòng)的監(jiān)測(cè)，以捕捉惡意動(dòng)作和危險(xiǎn)信息包。必須對(duì)由于IDS的記錄非常龐大，因此其需要對(duì)其配置合適的規(guī)則，否則就難以達(dá)到應(yīng)有的效果。通過合理的配置，IDS能夠很好對(duì)系統(tǒng)網(wǎng)絡(luò)攻擊進(jìn)行防范，對(duì)系統(tǒng)管理員的響應(yīng)能力、攻擊識(shí)別能力、監(jiān)視能力和安全審計(jì)能力都有很大的提高，保證了系統(tǒng)安全的基礎(chǔ)結(jié)構(gòu)的穩(wěn)定。

3.2.4部署交換機(jī)

交換機(jī)作為網(wǎng)絡(luò)的核心，對(duì)于網(wǎng)絡(luò)安全也有著重要的作用。在網(wǎng)絡(luò)建設(shè)中，安全問題是非常重要的。交換機(jī)的安全功能體現(xiàn)在其要能夠在病毒和黑客的攻擊下能夠保持其數(shù)據(jù)轉(zhuǎn)發(fā)的高速率。此外，交換機(jī)要對(duì)其他安全設(shè)備進(jìn)行配合，以阻止和監(jiān)控網(wǎng)絡(luò)攻擊和非授權(quán)訪問。

3.2.5 VIAN技術(shù)的應(yīng)用

通過VIAN技術(shù)，能夠?qū)φ麄€(gè)校園網(wǎng)進(jìn)行劃分，成為幾個(gè)廣播域，校園網(wǎng)內(nèi)部的網(wǎng)段之間就能實(shí)現(xiàn)隔離，但不影響不同地理位置的用戶能夠進(jìn)入一個(gè)邏輯子網(wǎng)。VIAN技術(shù)可以防止網(wǎng)段之間的安全問題相互傳播，也對(duì)網(wǎng)絡(luò)廣播風(fēng)暴進(jìn)行控制。

4 結(jié)束語

由于校園網(wǎng)的自身情況處于不斷的發(fā)展和變化當(dāng)中，而且還會(huì)不斷的出現(xiàn)各種各樣新的安全問題，因此校園網(wǎng)安全防御體系并不是建好之后就能夠萬事大吉，必須要采取有效的措施針對(duì)局域網(wǎng)實(shí)施及時(shí)的更新以及維護(hù)，從而能夠使校園網(wǎng)絡(luò)安全防御體系的良性發(fā)展得到充分的保證，并且使其的先進(jìn)性以及安全性得到確保。

與此同時(shí)，由于校園網(wǎng)絡(luò)安全具有動(dòng)態(tài)的以及整體的特征，所以校園網(wǎng)絡(luò)管理部門還必須要積極納入新的專門管理人才，同時(shí)要針對(duì)校園網(wǎng)絡(luò)安全防范管理的規(guī)章制度進(jìn)行補(bǔ)充和完善，只有多管齊下，才能真正保證校園網(wǎng)絡(luò)運(yùn)行過程中穩(wěn)定性、可靠性以及安全性的實(shí)現(xiàn)。

參考文獻(xiàn)

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測(cè)模型[J].計(jì)算機(jī)工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計(jì)算機(jī)學(xué)報(bào)，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計(jì)算機(jī)應(yīng)用，2012，21：70-73.

作者簡介：

王巖（1967-），男，湖北襄陽人，碩士，講師，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)。endprint

3.2.3入侵檢測(cè)系統(tǒng)IDS的架設(shè)

3.2.4部署交換機(jī)

3.2.5 VIAN技術(shù)的應(yīng)用

4 結(jié)束語

參考文獻(xiàn)

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測(cè)模型[J].計(jì)算機(jī)工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計(jì)算機(jī)學(xué)報(bào)，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計(jì)算機(jī)應(yīng)用，2012，21：70-73.

作者簡介：

3.2.3入侵檢測(cè)系統(tǒng)IDS的架設(shè)

3.2.4部署交換機(jī)

3.2.5 VIAN技術(shù)的應(yīng)用

4 結(jié)束語

參考文獻(xiàn)

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測(cè)模型[J].計(jì)算機(jī)工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計(jì)算機(jī)學(xué)報(bào)，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計(jì)算機(jī)應(yīng)用，2012，21：70-73.

作者簡介：

網(wǎng)絡(luò)空間安全2014年8期

網(wǎng)絡(luò)空間安全的其它文章: 組合KdV方程的Hamilton系統(tǒng); 新概念庫存管理系統(tǒng)在保德洗選廠的應(yīng)用; 電力企業(yè)信息網(wǎng)絡(luò)安全與防范; 電力系統(tǒng)信息安全防護(hù)研究分析; 論醫(yī)院信息化無線應(yīng)用的安全; 數(shù)據(jù)的備份與恢復(fù)在計(jì)算機(jī)網(wǎng)絡(luò)犯罪偵查中的應(yīng)用