论文部分内容阅读
【摘要】网络安全成为校园网信息化建设过程中面临的关键问题,如何科学高效经济的解决网络安全问题则和校园网建设目标有密切关系。本文通过山东商业职业技术学院校园网建设过程中面临的网络安全问题,结合建设目标,给出校园网络安全建设规划。
【关键词】网络安全;高校信息化;建设规划;支撑
随着校园网络规模的不断扩大、应用的日益丰富,山东商业职业技术学院的校园网经基础设施建设和应用平台建设,进入信息资源建设时期。在这一时期,丰富的应用是关键,稳定可靠的网络是基础,完善的安全和管理手段是保障,因此关注的重点是校园网信息化建设的安全运营管理问题。
一、该校校园网安全面临的问题
对于该校校园网而言,其主要的安全问题有两方面:一是防止来自互联网的主动攻击行为,包括互联网上大规模爆发的蠕虫病毒,黑客通过互联网对校园网的攻击行为等;二是防范内部的违规访问,通过技术手段保障师生健康上网。具体问题分析如下:
1)保障健康上网。对高校学生上网行为的适度监控,是互联网出口安全建设的首要问题。适度监控包括:限制学生访问非法、反动网站;限制学生通过地下浏览工具,进行“翻墙”从而绕开边界管控设备的检查;防止学生访问挂马网站,造成病毒传播;对学生的上网行为进行监控,防范过度使用P2P、网游、网上视频等,过度占用带宽,影响其他人员使用网络等。
2)大规模病毒传播。互联网的开放性,与互联网直连的校园网面临更多的安全威胁,尤其是互联网上大规模爆发的病毒,对校园网的正常稳定运行造成了严重的威胁,因此有必要在高校互联网出口的关键节点上,对病毒进行过滤与查杀,防止病毒通过互联网,对高校校园网破坏。
3)应用服务器区域的安全防护。随着应用系统的日趋完善与丰富,服务器区域网络安全问题日渐突出。校园网的教学、科研、管理等应用系统服务器多为教育网IP地址,攻击者可直接通过教育网完成对应用服务器的攻击。因此服务器区域的安全防护,成为了数字化校园建设的重点。
4)缺乏有效的远程访问手段。校园网往往有较多的远程访问(比如校领导或教职工在校外,通过互联网平台访问校园网内的资源)而互联网开放性,使得以明文的方式在网络中传递数据时,数据很容易遭到窃听、篡改和重放攻击,对校园网正常的教学活动带来影响。
二、该校校园网安全建设的目标
校园网络安全问题的凸显,阻碍了校园信息化快速建设的进程,通过多方面的考察与交流,提出以下安全建设目标:
1、打造绿色上网环境,加强网络行为管理
开展绿色上网工程,对校园内用户,特别是学生的上网访问行为,进行适度的访问控制,对学生访问互联网的行为进行适度引导和约束,为此可在出口链路设备上,增加以下建设要求:
(1)限制P2P、IM、网游、网上视频等应用所占用的带宽资源,防止因过度使用此类应用,过度占用带宽资源,影响其他人员对互联网的访问;
(2)限制学生访问不健康的网站,包括非法网站、反动网站、色情网站以及挂马网站等;
(3)限制学生通过翻墙软件,进行地下浏览,从而绕过边界防护设备的检查。
2、基于角色和应用的细粒度的访问控制
在常见的基于IP地址、协议和端口进行网络访问控制的基础上,结合应用类型,访问的目标地址(域名),访问者的身份角色等因素,对上网会话进行进一步的深度检测,对不同的角色能够进行的访问行为和访问目标进行控制,从而进一步增强访问控制的粒度和细度,其中包括:限制不被许可的访问类型,限制不被许可的访问地址,基于学生“实名制”下的访问控制等。
基于角色应用的控制与审计,逐步实现“学生实名制上网“
3、有效防范病毒传播
在互联网出口上进行病毒过滤,采用“空中抓毒“技术,即在网络关键链路节点上,对访问数据包的内容进行实时监测,并分析数据包的内容,对其中携带的病毒数据进行过滤,降低病毒从互联网上传入的几率。
另外,通过在边界上限制会话数的方式,针对所有的终端均给出会话数的上限,一旦某台终端因中毒而导致其发送大量的扫描数据包及会话请求的数据包时,系统会判断其发送的会话请求数量,一旦超过阀值,则进行报警,并对其过多的会话请求进行丢弃,保障其他终端的上网需求,以保障出口链路的稳定性。
4、保障服务器区域的安全运行
建设入侵防御及攻击防护系统,对访问数据包进一步解包,在应用层对数据内容进行分析,并根据一些特征字来区别哪些是正常的访问,哪些是可能有异常行为的访问,并进行响应,从而在防火墙进行的网络访问控制基础上。
5、实现安全的远程访问与接入
建设SSL VPN移动办公系统,方便校内人员在校外随时随地的安全远程接入校园网,访问校内应用系统、电子图书等数据资源。
三、校园网络安全建设规划
根据以上目标要求,考虑到目前该校的互联网出口及服务器区域设备部署的实际情况,作出以下规划:
1、在互联网出口部署安全网关设备
将目前互联网出口处防火墙设备升级为安全网关,升级后的安全网关可同时实现身份认证、防火墙、攻击防护、网络行为管理、病毒防护、SSL VPN功能,部署如下:
【关键词】网络安全;高校信息化;建设规划;支撑
随着校园网络规模的不断扩大、应用的日益丰富,山东商业职业技术学院的校园网经基础设施建设和应用平台建设,进入信息资源建设时期。在这一时期,丰富的应用是关键,稳定可靠的网络是基础,完善的安全和管理手段是保障,因此关注的重点是校园网信息化建设的安全运营管理问题。
一、该校校园网安全面临的问题
对于该校校园网而言,其主要的安全问题有两方面:一是防止来自互联网的主动攻击行为,包括互联网上大规模爆发的蠕虫病毒,黑客通过互联网对校园网的攻击行为等;二是防范内部的违规访问,通过技术手段保障师生健康上网。具体问题分析如下:
1)保障健康上网。对高校学生上网行为的适度监控,是互联网出口安全建设的首要问题。适度监控包括:限制学生访问非法、反动网站;限制学生通过地下浏览工具,进行“翻墙”从而绕开边界管控设备的检查;防止学生访问挂马网站,造成病毒传播;对学生的上网行为进行监控,防范过度使用P2P、网游、网上视频等,过度占用带宽,影响其他人员使用网络等。
2)大规模病毒传播。互联网的开放性,与互联网直连的校园网面临更多的安全威胁,尤其是互联网上大规模爆发的病毒,对校园网的正常稳定运行造成了严重的威胁,因此有必要在高校互联网出口的关键节点上,对病毒进行过滤与查杀,防止病毒通过互联网,对高校校园网破坏。
3)应用服务器区域的安全防护。随着应用系统的日趋完善与丰富,服务器区域网络安全问题日渐突出。校园网的教学、科研、管理等应用系统服务器多为教育网IP地址,攻击者可直接通过教育网完成对应用服务器的攻击。因此服务器区域的安全防护,成为了数字化校园建设的重点。
4)缺乏有效的远程访问手段。校园网往往有较多的远程访问(比如校领导或教职工在校外,通过互联网平台访问校园网内的资源)而互联网开放性,使得以明文的方式在网络中传递数据时,数据很容易遭到窃听、篡改和重放攻击,对校园网正常的教学活动带来影响。
二、该校校园网安全建设的目标
校园网络安全问题的凸显,阻碍了校园信息化快速建设的进程,通过多方面的考察与交流,提出以下安全建设目标:
1、打造绿色上网环境,加强网络行为管理
开展绿色上网工程,对校园内用户,特别是学生的上网访问行为,进行适度的访问控制,对学生访问互联网的行为进行适度引导和约束,为此可在出口链路设备上,增加以下建设要求:
(1)限制P2P、IM、网游、网上视频等应用所占用的带宽资源,防止因过度使用此类应用,过度占用带宽资源,影响其他人员对互联网的访问;
(2)限制学生访问不健康的网站,包括非法网站、反动网站、色情网站以及挂马网站等;
(3)限制学生通过翻墙软件,进行地下浏览,从而绕过边界防护设备的检查。
2、基于角色和应用的细粒度的访问控制
在常见的基于IP地址、协议和端口进行网络访问控制的基础上,结合应用类型,访问的目标地址(域名),访问者的身份角色等因素,对上网会话进行进一步的深度检测,对不同的角色能够进行的访问行为和访问目标进行控制,从而进一步增强访问控制的粒度和细度,其中包括:限制不被许可的访问类型,限制不被许可的访问地址,基于学生“实名制”下的访问控制等。
基于角色应用的控制与审计,逐步实现“学生实名制上网“
3、有效防范病毒传播
在互联网出口上进行病毒过滤,采用“空中抓毒“技术,即在网络关键链路节点上,对访问数据包的内容进行实时监测,并分析数据包的内容,对其中携带的病毒数据进行过滤,降低病毒从互联网上传入的几率。
另外,通过在边界上限制会话数的方式,针对所有的终端均给出会话数的上限,一旦某台终端因中毒而导致其发送大量的扫描数据包及会话请求的数据包时,系统会判断其发送的会话请求数量,一旦超过阀值,则进行报警,并对其过多的会话请求进行丢弃,保障其他终端的上网需求,以保障出口链路的稳定性。
4、保障服务器区域的安全运行
建设入侵防御及攻击防护系统,对访问数据包进一步解包,在应用层对数据内容进行分析,并根据一些特征字来区别哪些是正常的访问,哪些是可能有异常行为的访问,并进行响应,从而在防火墙进行的网络访问控制基础上。
5、实现安全的远程访问与接入
建设SSL VPN移动办公系统,方便校内人员在校外随时随地的安全远程接入校园网,访问校内应用系统、电子图书等数据资源。
三、校园网络安全建设规划
根据以上目标要求,考虑到目前该校的互联网出口及服务器区域设备部署的实际情况,作出以下规划:
1、在互联网出口部署安全网关设备
将目前互联网出口处防火墙设备升级为安全网关,升级后的安全网关可同时实现身份认证、防火墙、攻击防护、网络行为管理、病毒防护、SSL VPN功能,部署如下: