試論校園網(wǎng)安全防御

鄧懷勇　馬　琴

內(nèi)容摘要:管理手段和方法信息化,現(xiàn)在已深入高校管理中。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與Internet的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng),主要包括DNS、Web、FTP、Proxy、視頻點(diǎn)播以及Mail服務(wù)等。外部網(wǎng)主要實(shí)現(xiàn)校園網(wǎng)與Internet的基礎(chǔ)接入。

關(guān)鍵詞:校園網(wǎng) 安全 防御

校園網(wǎng)絡(luò)存在的安全隱患和漏洞主要有以下幾個(gè)方面:第一,校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn);第二,校園網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來自內(nèi)部的安全威脅會(huì)更大一些。第三,目前使用的操作系統(tǒng)存在安全漏洞,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等,這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同,例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等;第四,隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,而這些節(jié)點(diǎn)大部分都沒有采取安全防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果;第五,內(nèi)部用戶對(duì)Internet的非法訪問威脅,如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用;校園網(wǎng)內(nèi)針對(duì)QQ的黑客程序隨處可見;第六,可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全,帶來校園網(wǎng)的威脅。

一、安全防范系統(tǒng)的建立

安全防范系統(tǒng)的建立是以安全防范策略為核心,以安全技術(shù)和工具作為支撐,以安全管理和安全服務(wù)作為落實(shí)措施,并且通過安全培訓(xùn)加強(qiáng)校園網(wǎng)用戶的安全意識(shí)和法律責(zé)任。

1.安全防范策略:安全防范策略是一個(gè)成功的安全系統(tǒng)的基礎(chǔ)與核心,安全防范策略描述了校園網(wǎng)絡(luò)中心的安全目標(biāo)、能夠承受的安全風(fēng)險(xiǎn)、實(shí)現(xiàn)完善的安全審計(jì)和取證機(jī)制,保證了受到入侵后有證可查,有章可循。建立安全的預(yù)警系統(tǒng),能夠抵御較高水平的黑客攻擊,保護(hù)對(duì)象的安全優(yōu)先級(jí)等方面的內(nèi)容。

2.安全技術(shù)和工具:常用的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描、安全評(píng)估分析、入侵檢測、網(wǎng)絡(luò)陷阱、入侵取證、備份恢復(fù)和病毒防范等,這些技術(shù)手段和工具是網(wǎng)絡(luò)安全系統(tǒng)中非常重要的組成部分,缺少任何一部分都會(huì)有巨大的危險(xiǎn)。通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對(duì)大量的非法訪問和不健康的信息起到有效的阻斷作用,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并加以解決。

3.安全管理和安全服務(wù):安全管理貫穿整個(gè)安全防范系統(tǒng),是整個(gè)安全系統(tǒng)的核心。安全管理不僅包括行政意義上的安全管理,更主要的是對(duì)安全技術(shù)和安全防范策略的管理,必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期巡檢,保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。定期對(duì)實(shí)體、平臺(tái)、數(shù)據(jù)、通信、應(yīng)用、管理等各個(gè)方面進(jìn)行全面的安全隱患和脆弱性分析,提供詳細(xì)的分析報(bào)告及安全性整改建議,對(duì)整體安全狀況有全面具體的了解,就能為上級(jí)作出安全決策和管理提供依據(jù),使網(wǎng)絡(luò)安全系統(tǒng)的正常運(yùn)行達(dá)到了良好的安全效果。

4.安全培訓(xùn):用戶的安全意識(shí)是整個(gè)網(wǎng)絡(luò)系統(tǒng)是否安全的決定因素,因此對(duì)用戶的安全培訓(xùn)和服務(wù)是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中重要和不可或缺的一部分。

二、校園網(wǎng)安全防御

根據(jù)以往經(jīng)驗(yàn)分析,可以確定以下幾個(gè)必須考慮的安全防護(hù)要點(diǎn):網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)病毒的防范等。

1.防火墻部署

防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性:

第一,根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。第二,將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。第三,在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表,防止IP地址被盜用。第四,在局域網(wǎng)的入口架設(shè)千兆防火墻,并實(shí)現(xiàn)VPN的功能,在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。第五,定期查看防火墻訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。第六,允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置,提高防火墻管理安全性。

2.架設(shè)入侵監(jiān)測系統(tǒng)(IDS)

架設(shè)一個(gè)入侵監(jiān)測系統(tǒng)(IDS)是非常必要的,處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng),所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng),監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量,提供實(shí)時(shí)報(bào)警。IDS是被動(dòng)的,它監(jiān)測你的網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是捕捉危險(xiǎn)或有惡意動(dòng)作的信息包。IDS是按你指定的規(guī)則運(yùn)行的,記錄是龐大的,所以我們必須制定合適的規(guī)則對(duì)他進(jìn)行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3.漏洞掃描系統(tǒng)

采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。要求每臺(tái)主機(jī)系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補(bǔ)丁、保護(hù)好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機(jī)不提供諸如FTP、HTTP等公共服務(wù),盡量關(guān)閉它們。

4.部署網(wǎng)絡(luò)版殺毒軟件

最理想的狀況是在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實(shí)現(xiàn)這一點(diǎn),應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。

在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心,負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見,由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他各個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端,并自動(dòng)對(duì)網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。

安全防范體系的建立不是一勞永逸的,校園網(wǎng)絡(luò)自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題,不斷對(duì)此體系進(jìn)行及時(shí)的維護(hù)和更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保它的有效性和先進(jìn)性。

參考文獻(xiàn):

1.戴英俠,許劍卓,翟起賓,連一峰.清華大學(xué)出版社[K],2005:(1)

2.林濤.電子工業(yè)出版社[K],2007(5)

3.段新海.校園網(wǎng)安全問題分析與對(duì)策[J].中國教育網(wǎng)絡(luò),2005(3).

作者單位:重慶水利電力職業(yè)技術(shù)學(xué)院