校园网络安全体系构筑浅谈.doc

1、校园网络安全体系构筑浅谈102020年5月29日文档仅供参考校园网络安全体系构筑浅谈 重庆市经开礼嘉中学校: 白其伦【摘要】随着计算机网络数字化、信息化的发展,各种各样的校园网也应运而生。文章经过文献法,在阅读大量相关文章的基础上,从校园网网络安全角度分析了当前校园网主要存在的问题、发展现状及应对策略。以使广大用户在计算机网络方面增强安全防范意识。【关键字】校园网;网络安全;防火墙;杀毒软件。一、前言:网络技术的发展极大地改变了人们的生活和工作方式,Internet给人们带来了无尽的便捷。可是,在我们惊叹于网络的强大功能的同时,还应当清醒地看到,网络世界并不安全。据美国FBI统计,美国每年因网

2、络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在中国,每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。人们在享受到网络的优越性的同时,对网络安全问题变得越来越重视。作为学校,如何构筑相对可靠的校园网络安全体系问题,也变得越来越突出了。一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是不断改进管理方法。从技术角度看,当前常见的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中

3、。二、校园网网络安全现状分析经过多年的信息化建设之后,国内很多中学基本上都建成了自己的校园网。但随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改进网络应用环境的工作迫在眉睫。当前,校园网网络普遍存在的安全隐患有以下几种。(1)、校园网安全管理有缺陷校园网的用户群体一般也比较大,少则数百人、多则上万人,数据量大、速度高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生经过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病

4、毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。(2)、校园网内部的攻击由于内部用户对网络的结构和应用模式都比较了解,很多学生,特别是个别男生对网络新技术充满好奇和实践欲望,她们经常有意无意的攻击校园网系统,干扰校园网的安全运行。校园网与一般企业网不同的是,不但要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的黑客攻击。(3)、Internet的威胁校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。各种病毒就是经过Internet传播的,并导致网络性能下降。而且黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。造成这些现状的

5、原因:(1)、网络安全维护的投入不足网络安全维护的工作量是很大的,而且很困难,需要很多的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充分,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。校园网还基本处于一个较为开放的状态,没有有效的安全预警手段和防范措施。(2)、网络管理员责任心不强很多学校的网络管理员的水平还是非常高的,其实她们是完全能够胜任本职工作的。可是由于学校领导对网络安全不是很重视,管理员觉得她做多做少,她的报酬都一样,因此也就不会花很多的心思去维护网络、维护硬件。(3)、学生的网络安全意识淡薄很多学生对网络安全不够重视,法律意识也不

6、是很强。因此她们经常有意无意的攻击校园网系统,干扰校园网的安全运行。(4)、盗版资源泛滥由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面,从网络上随意下载的软件、课件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。安全隐患:时下校园网络存在的安全隐患和漏洞有:1、校园网经过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。2、校

7、园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。3、当前使用的操作系统存在安全漏洞,对网络安全构成了威胁。常见的网络服务器安装的操作系统有WindowsNT/Windows 、Unix、Linux等,这些系统安全风险级别不同,例如WINNT/WIN 的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自

8、身的病毒等等,这些都对原有网络安全构成威胁。4、随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。5、局域网病毒攻击,当前很多的流行病毒都有局域网攻击特征,攻击网关、DNS等。造成整个网络速度减慢或瘫痪。由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得特别重要。三、解决方案及具体实现根据学校园网的结构特点及面临的安全隐患,在系统、科学地分析计算机网络OSI模型的基础上,确定了以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞

9、、网络病毒的防范。(一)、防火墙部署在Internet与校园网内网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口经过路由器与Internet连接。那么,经过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也能够阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性:1)根据校园网安全策略和安全

10、目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从”不被允许的服务就是被禁止”的原则。2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样能够防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。5)允许经过配置网卡对防火墙设置,提高防火墙管理安全性。6)计算机终端安装软件防火墙,防

11、止内部ARP、网关、DNS等攻击。(二)、入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系能够弥补防火墙相对静态防御的不足。根据学校网络的特点,采用入侵检测系统对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,能够发出

12、实时报警,使得学校管理员能够及时采取应对措施。(三)、漏洞扫描系统采用当前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。(四)、部署网络防病毒软件在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。1)在学校网络中心配置高效的服务器,安装网络版杀毒产

13、品的系统中心,负责管理各主机网点的计算机。2)在各行政、教学单位、终端等分支机构分别杀毒软件网络版的客户端。3)安装杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4)网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它主机网点的客户端与服务器端,并自动对杀毒软件进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能

14、力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就能够避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。(五)、系统漏洞补丁文件库的建立在该方案中,我们在网络中心服务器上安装适时下载系统补丁软件,作为漏洞更新服务器,适时更新最新系统补丁。然后经过网络发布出去,内部各终端计算机经过漏洞扫描软件从此服务器下载补丁安装,这样使内部网络系统更新更快速,减少外网负担,解决系统漏洞攻击及盗版操作系统不能更新问题。(六)、安全管理这是解决网络安全问题的所有对策中最重要的一点。主要包括以下几方面的内容:(1)建立一个高度权威的信息安全管理机构,并不

15、断强化其权限和职能;(2)制定统管全局的网络信息安全法规,做到有章可循、有法可依;(3)制定网络管理员的激励制度,促使她们提高工作热情,加强工作责任心;(4)对网络管理员进行专业知识和技能的培训;(5)把网络信息安全的基本知识纳入学校各专业教育之中;(6)对学校教师和其它人员进行信息安全知识普及教育;(7)在学校的网站设立网络安全信息发布栏目,发布网络法令法规、网络病毒公告、操作系统更新公告等,并提供常见软件的补丁下载;(8)建立突发事件应急处理方案。如有害信息、黑客入侵等有效的处理办法。常言说:”三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建立一套校

16、园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。四、应用效果计算机病毒的感染率明显下降,有害信息和不健康的网络内容大大减少,校园网安全得到了有利保障。随着今后管理的加强,必将对校园网建设产生深远的影响。 五、结束语校园网的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统。在网络安全日益影响到校园网运行的情况下,我们不能够去保障校园网绝正确安全,只能说我们要尽一切可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少,从多个方面进行防范,把校园网不安全因素降到最少。参考文献1刘钦创J现代计算机, (231)2杨波J甘肃科技, (3)3陈新建J, (3)