试论校园网安全防御

邓怀勇　马　琴

内容摘要:管理手段和方法信息化,现在已深入高校管理中。校园外网主要指学校提供对外服务的服务器群、与Internet的接入以及远程移动办公用户的接入等。校园网的服务器群构成了校园网的服务系统,主要包括DNS、Web、FTP、Proxy、视频点播以及Mail服务等。外部网主要实现校园网与Internet的基础接入。

关键词:校园网 安全 防御

校园网络存在的安全隐患和漏洞主要有以下几个方面:第一,校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险;第二,校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。第三,目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等;第四,随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;第五,内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;校园网内针对QQ的黑客程序随处可见;第六,可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。

一、安全防范系统的建立

安全防范系统的建立是以安全防范策略为核心,以安全技术和工具作为支撑,以安全管理和安全服务作为落实措施,并且通过安全培训加强校园网用户的安全意识和法律责任。

1.安全防范策略:安全防范策略是一个成功的安全系统的基础与核心,安全防范策略描述了校园网络中心的安全目标、能够承受的安全风险、实现完善的安全审计和取证机制,保证了受到入侵后有证可查,有章可循。建立安全的预警系统,能够抵御较高水平的黑客攻击,保护对象的安全优先级等方面的内容。

2.安全技术和工具:常用的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等,这些技术手段和工具是网络安全系统中非常重要的组成部分,缺少任何一部分都会有巨大的危险。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康的信息起到有效的阻断作用,对网络的故障可以迅速定位并加以解决。

3.安全管理和安全服务:安全管理贯穿整个安全防范系统,是整个安全系统的核心。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全防范策略的管理,必须要做到及时进行漏洞修补和定期巡检,保证对网络的监控和管理。定期对实体、平台、数据、通信、应用、管理等各个方面进行全面的安全隐患和脆弱性分析,提供详细的分析报告及安全性整改建议,对整体安全状况有全面具体的了解,就能为上级作出安全决策和管理提供依据,使网络安全系统的正常运行达到了良好的安全效果。

4.安全培训:用户的安全意识是整个网络系统是否安全的决定因素,因此对用户的安全培训和服务是整个网络安全系统中重要和不可或缺的一部分。

二、校园网安全防御

根据以往经验分析,可以确定以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。

1.防火墙部署

防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性:

第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。第四,在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。第五,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。第六,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

2.架设入侵监测系统(IDS)

架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是捕捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。

3.漏洞扫描系统

采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。

4.部署网络版杀毒软件

最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。

安全防范体系的建立不是一劳永逸的,校园网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全防范体系的良性发展,确保它的有效性和先进性。

参考文献:

1.戴英侠,许剑卓,翟起宾,连一峰.清华大学出版社[K],2005:(1)

2.林涛.电子工业出版社[K],2007(5)

3.段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).

作者单位:重庆水利电力职业技术学院