论文部分内容阅读
二十一世纪是一个信息飞跃发展的时代,校园网建设在全国各地如火如荼地开展起来,为学校现代化建设提供了一个良好的基础。随着网络技术的高速发展,各种各样的安全问题也相继出现,保障校园网络安全越来越成为一个不可回避的问题。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、 基本网络的搭建
由于校园网网络特性和各个部门的要求,建议采用下列方案:
1.1网络拓扑结构选择:顶联网络根据现在校园的需求,结合网络技术和学校规模,提出两种网络解决方案,即中小型校园网和大中型校园网解决方案,全部都采用智能交换机快速建设简单、实用、易维护的校园网,根据各地区学校的具体情况通过FX、DDN、FR、卫星信道等多种方式接入教育城域网。顶联网络把信息点在300以下的网络定义为中小型网络。这类学校各部门的网络应用分得不是很清,所以可以使用星型网络结构。
1.2组网技术选择:目前,常用的主干网的组网技术有快速以太网、FDDI、千兆以太网和ATM。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全现状分析
2.1校园网安全管理有缺陷。校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
2.2非法入侵威胁。校园网提供WWW服务、EMAIL服务、远程教学、视频点播等多项服务,是广大师生进行教学与科研活动的主要平台。但由于校园网的独特要求,使得校园网内的服务器对网内用户的限制较少,再加上操作系统本身存在的安全漏洞,这些都对校园网内的服务器群构成一定安全威胁。
2.3恶意代码威胁。恶意代码的威胁包括计算机病毒以及利用系统漏洞的各种恶意攻击。其中,计算机病毒特别是蠕虫病毒是近年来影响计算机网络的主要威胁。病毒主要有两个来源,从外网传入的病毒,以及内网病毒。由于局域网内用户众多,而且缺乏统一的管理,因此很容易造成计算机病毒的传播。近几年,网络蠕虫以及利用RPC 等漏洞进行攻击的冲击波、振荡波等病毒,已经严重威胁了校园网各项应用的正常使用。
2.4学校校园网络上的用户网络信息安全意识淡薄。学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
三、校园网系统安全策略
3.1制定网络安全制度。这是解决网络安全问题中最重要的一点。主要包括以下几方面的内容:(1)建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;(2)制定统管全局的网络信息安全法规,做到有章可循、有法可依;(3)制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;(4)对网络管理员进行专业知识和技能的培训;(5)把网络信息安全的基本知识纳入学校各专业教育之中;(6)对学校教师和其他人员进行信息安全知识普及教育;(7)在学校的网站设立网络安全信息发布栏目,发布网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。
3.2安装和设置防火墙。防火墙在校园网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵。
3.2.1防火墙设置原则 。 目前,防火墙主要有如下几类: 一是包过滤型防火墙,这类防火墙是必须的,尤其是对于使用静态IP地址的校园网;二是应用代理型防火墙,对用户身份进行鉴别,并提供比较详细的日志和审计信息;三是复合型防火墙,即前两类的结合。
建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间。定期查看防火墙访问日志,对防火墙的管理员权限严格控制。
3.2.2选择与配置安全有效的应用层防火墙 。网络管理员要在安全机制需要和系统的易用性方面做出平衡,一般可以采用如下的防火墙配置方案。
在系统中使用两个包过滤防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,包括代理服务器、E-mail服务器、各种信息服务器(包括Web服务器、FTP服务器等)等。
在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的代理服务器、E-mail服务器、信息服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内。
防火墙在很多方面存在弱点,要警惕来自防火墙的缺陷,防火墙擅长于保护设备,而不擅长保护数据, 防火墙不是解决所有网络安全问题的灵丹妙药,一般有70%的攻击是来自校园网的内部,防火墙对此束手无策。
3.3增强防病毒意识。
3.3.1硬件防病毒:硬件防病毒产品主要有硬件防病毒网关、带病毒过滤功能的防火墙等,主要用于网络的入口处,采用内嵌的内容过滤、病毒过滤技术,对经过该设备的多种协议的数据进行扫描,并提供强大的审计与监控功能。能有效的防止从外网流入的病毒、蠕虫的攻击。
3.3.2软件防病毒:针对网络病毒的泛滥,合理的部署网络版杀毒软件,从源头控制病毒的扩散,能够有效的降低蠕虫等病毒的危害程度,降低病毒造成的损失。
3.4进行数据备份。应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时,应及时向用户发出安全通告。
数据是整个网络的核心,做一套完整的数据备份和恢复措施是校园网迫切需要的。对易受到攻击的Web服务器,配置网站监控与恢复系统,一旦主页被篡改,能够及时恢复。针对网络安全而言,备份既包括网络通信参数、配置的备份,又包括设备和线路的备份。网络中心应定期将重要数据打包,并将副本存放在专用的服务器中,还可采用RAID技术对重要磁盘做镜像。
3.5运用VLAN技术。采用交换式局域网技术(ATM或以太交换)的校园网络,可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
3.6遵循“最小授权”原则和采用“信息加密”技术。从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。如:关闭网络安全策略中没有定义的网络服务,将用户的权限配置为策略定义的最小限度,及时删除不必要的账号等。
“信息加密”是包括算法、协议、管理在内的庞大体系,加密算法是基础,密码协议是关键,密钥管理是保障。其核心及相关程序,如登录系统、用户管理系统等在可能的情况下应自行开发。
3.7用户教育。加强对校园网用户的安全意识教育和安全技术培训,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。对于非法访问和黑客攻击事件,一旦发现要严肃处理。
加强对校园网安全技术和管理人员的培训,使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。参考文献:
[1]徐超汉,计算机网络安全与数据完整性技术.电子工业出版社,2005.
[2]袁津生,吴砚农。 计算机网络安全基础[M]. 北京:人民邮电出版社,2006.7.
[3]陈新建.校园网的安全现状和改进对策[J]网络安全技术与运用,2007(3)
[4]Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8.
一、 基本网络的搭建
由于校园网网络特性和各个部门的要求,建议采用下列方案:
1.1网络拓扑结构选择:顶联网络根据现在校园的需求,结合网络技术和学校规模,提出两种网络解决方案,即中小型校园网和大中型校园网解决方案,全部都采用智能交换机快速建设简单、实用、易维护的校园网,根据各地区学校的具体情况通过FX、DDN、FR、卫星信道等多种方式接入教育城域网。顶联网络把信息点在300以下的网络定义为中小型网络。这类学校各部门的网络应用分得不是很清,所以可以使用星型网络结构。
1.2组网技术选择:目前,常用的主干网的组网技术有快速以太网、FDDI、千兆以太网和ATM。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全现状分析
2.1校园网安全管理有缺陷。校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
2.2非法入侵威胁。校园网提供WWW服务、EMAIL服务、远程教学、视频点播等多项服务,是广大师生进行教学与科研活动的主要平台。但由于校园网的独特要求,使得校园网内的服务器对网内用户的限制较少,再加上操作系统本身存在的安全漏洞,这些都对校园网内的服务器群构成一定安全威胁。
2.3恶意代码威胁。恶意代码的威胁包括计算机病毒以及利用系统漏洞的各种恶意攻击。其中,计算机病毒特别是蠕虫病毒是近年来影响计算机网络的主要威胁。病毒主要有两个来源,从外网传入的病毒,以及内网病毒。由于局域网内用户众多,而且缺乏统一的管理,因此很容易造成计算机病毒的传播。近几年,网络蠕虫以及利用RPC 等漏洞进行攻击的冲击波、振荡波等病毒,已经严重威胁了校园网各项应用的正常使用。
2.4学校校园网络上的用户网络信息安全意识淡薄。学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
三、校园网系统安全策略
3.1制定网络安全制度。这是解决网络安全问题中最重要的一点。主要包括以下几方面的内容:(1)建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;(2)制定统管全局的网络信息安全法规,做到有章可循、有法可依;(3)制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;(4)对网络管理员进行专业知识和技能的培训;(5)把网络信息安全的基本知识纳入学校各专业教育之中;(6)对学校教师和其他人员进行信息安全知识普及教育;(7)在学校的网站设立网络安全信息发布栏目,发布网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。
3.2安装和设置防火墙。防火墙在校园网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵。
3.2.1防火墙设置原则 。 目前,防火墙主要有如下几类: 一是包过滤型防火墙,这类防火墙是必须的,尤其是对于使用静态IP地址的校园网;二是应用代理型防火墙,对用户身份进行鉴别,并提供比较详细的日志和审计信息;三是复合型防火墙,即前两类的结合。
建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间。定期查看防火墙访问日志,对防火墙的管理员权限严格控制。
3.2.2选择与配置安全有效的应用层防火墙 。网络管理员要在安全机制需要和系统的易用性方面做出平衡,一般可以采用如下的防火墙配置方案。
在系统中使用两个包过滤防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,包括代理服务器、E-mail服务器、各种信息服务器(包括Web服务器、FTP服务器等)等。
在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的代理服务器、E-mail服务器、信息服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内。
防火墙在很多方面存在弱点,要警惕来自防火墙的缺陷,防火墙擅长于保护设备,而不擅长保护数据, 防火墙不是解决所有网络安全问题的灵丹妙药,一般有70%的攻击是来自校园网的内部,防火墙对此束手无策。
3.3增强防病毒意识。
3.3.1硬件防病毒:硬件防病毒产品主要有硬件防病毒网关、带病毒过滤功能的防火墙等,主要用于网络的入口处,采用内嵌的内容过滤、病毒过滤技术,对经过该设备的多种协议的数据进行扫描,并提供强大的审计与监控功能。能有效的防止从外网流入的病毒、蠕虫的攻击。
3.3.2软件防病毒:针对网络病毒的泛滥,合理的部署网络版杀毒软件,从源头控制病毒的扩散,能够有效的降低蠕虫等病毒的危害程度,降低病毒造成的损失。
3.4进行数据备份。应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时,应及时向用户发出安全通告。
数据是整个网络的核心,做一套完整的数据备份和恢复措施是校园网迫切需要的。对易受到攻击的Web服务器,配置网站监控与恢复系统,一旦主页被篡改,能够及时恢复。针对网络安全而言,备份既包括网络通信参数、配置的备份,又包括设备和线路的备份。网络中心应定期将重要数据打包,并将副本存放在专用的服务器中,还可采用RAID技术对重要磁盘做镜像。
3.5运用VLAN技术。采用交换式局域网技术(ATM或以太交换)的校园网络,可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
3.6遵循“最小授权”原则和采用“信息加密”技术。从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。如:关闭网络安全策略中没有定义的网络服务,将用户的权限配置为策略定义的最小限度,及时删除不必要的账号等。
“信息加密”是包括算法、协议、管理在内的庞大体系,加密算法是基础,密码协议是关键,密钥管理是保障。其核心及相关程序,如登录系统、用户管理系统等在可能的情况下应自行开发。
3.7用户教育。加强对校园网用户的安全意识教育和安全技术培训,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。对于非法访问和黑客攻击事件,一旦发现要严肃处理。
加强对校园网安全技术和管理人员的培训,使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。参考文献:
[1]徐超汉,计算机网络安全与数据完整性技术.电子工业出版社,2005.
[2]袁津生,吴砚农。 计算机网络安全基础[M]. 北京:人民邮电出版社,2006.7.
[3]陈新建.校园网的安全现状和改进对策[J]网络安全技术与运用,2007(3)
[4]Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8.