校园网络的安全性策略研究

2022-09-11

1 高校网络安全功能

校园网的功能架构大致可以分为对内部分、对外部分和网络管理部分。对内部分主要是指校园Intemet, 包括多媒体教室、办公室、电子图书馆的建设, 服务于学校的教学和管理:对外部分包括与Internet的连接与其他兄弟院校以及上级主管单位的连接、提供宽带的接人服务等。而网络管理则是这两部分的桥梁和核心, 担负着整个网络系统的管理和安全.工作。一个安全状态下的校园网, 应该能够通过与广域网的连接, 实现远程教育, 为学校的教学、管理、日常办公、内外交流等方面提供全面、实用的支持。

2 高校网络面临的侵害

目前, 大多数学校网络建设经费投入严重不足, 所以就将有限的经费投在关键设备上, 对于网络安全建设一直没有比较系统的投入, 致使校园网处在一个开放的状态, 没有任何有效的安全预警手段和防范措施。由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统, 使学校的网络管理各自为政, 缺乏上网的有效监控和日志, 上网用户的身份无法唯一识别, 存在极大的安全隐患。同时, 校园网电子邮件系统极不完善, 无任何安全管理和监控的手段;网络病毒泛滥, 造成网络性能急剧下降, 重要数据丢失;缺乏集中管理、统一升级、统一监控的针对网络的防病毒体系。此外, 校园网络上的用户网络安全意识淡薄, 没有制订完善的网络安全管理制度。

针对网络系统漏洞的各种网络攻击等严重干扰了高校校园网络的正常运行和应用, 面对如此严峻的网络形势, 如何最大程度地减小网络安全隐患也是网络工作者所需考虑的问题。

3 校园网安全分析及解决方案

一般认为, 目前对网络的攻击手段主要表现在以下几个方面。

(l) 非授权访问:没有预先经过同意, 非法用户就使用网络或计算机资源被看作非授权访问。 (2) 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失, 它通过校园网与Internet相连, 面临着遭遇攻击的风险。校园网内部用户对校园网资源的滥用, 有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载, 占用了大量的网络带宽。如最近几年兴起的BT、电骡下载等常包括, 信息在传输中丢失或泄漏, 信息在存储介质中丢失或泄漏, 通过建立隐蔽隧道等窃取敏感信息等。 (3) 破坏数据完整性:非法用户以非法手段窃得对数据的使用权, 删除、修改、插入或重发某些重要信息, 以取得有益于攻击者的响应;恶意添加, 修改数据, 以干扰用户的正常使用。 (4) 拒绝服务攻击:非法用户不断对网络服务系统进行干扰, 改变其正常的作业流程, 执行无关程序使系统响应减慢甚至瘫痪, 影响正常用户的使用, 甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 (5) 利用网络传播病毒:通过网络传播计算机病毒, 其破坏性大大高于单机系统, 而且用户很难防范。针对校园网络的特点和校园网被攻击手段的分析, 加强对校园网络的管理是亟待解决的问题。

3.1 在应用技术方面

根据校园网的安全特点, 我们把校园网络分成三层, 层次一是中心级网络, 主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级, 主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级, 主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。通过多年的运行体会我们提出了“层层设防, 齐抓控管, 以防为主、防惩结合”安全解决方案。

在网络层限制访问, 设一道硬件防火墙, 是最基本的安全设施。该防火墙综合网络级包过滤、应用级代理服务器、动态电路级包过滤、多级和动态过滤、代理功能、中立区 (DMZ) ;将网络同HITP、FTP、DNS或Mail等服务相隔离、虚拟专用网 (VPN) 、广泛的网络协议支持、访问记录、传输定制;多优先级以保护执行重要任务的应用等技术;网络层的安全检测设施, 主要是防黑客的攻击, 采用防黑客软件.它共分四层, 基于IP包的过滤和防范、基于内存的查杀和清除、基于文件的查杀和清除、基于邮件的查杀和过滤, 来实现层层设防、以防为主。

在应用层应建立全校的电子身份认证系统, 实现全校资源的统一管理、统一授权, 即对全校用户和资源进行集中的授权管理, 目前各应用系统是分别授权管理, 管理和责任落实到部门及人, 下层对上层负责, 以达到齐抓共管。重要部门的服务器非实时上网, 必要时上网进行信息交换, 以确保其万无一失。

同时加强对网络病毒的防范和统一部署数据备份方案。计算机病毒具有扩散面广、破坏性大、传播性强和针对性强等特点, 威胁力和破坏力不可估量。在校园网系统中, 应建立多层次的病毒防卫体系, 以保证信息的安全和系统的正常运行, 预防病毒、检测病毒技术、消除病毒技术也应在网络防毒工作中全面采用。备份包括网络通信运行系统的备份和网络设备、通信线路的备份。网络通信参数、配置的备份应根据网络的重要性制定详细的备份计划, 确保故障发生后可快速地恢复运行数据。设备和线路的备份可根据网络运行的故障率准备一定冗余, 在网络某部分发生故障时, 其他部分可自行启用或迅速切换。

3.2 安全管理策略

安全管理主要是配合行政手段, 从技术上实现安全管理。全校各单位二级网站空间资源、授权管理层层分解直到责任人;对外公布的信息 (BBS、主页新闻报道等) 统一有宣传部门负责管理和审查;对违反校园计算机网络管理有关规定的, 从技术和行政给予处罚 (封断口、写书面检查、停止上网等) ;严格规范上网场所的管理, 集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认, 而且, 合法用户上网的行为也要受到统一的监控, 上网行为的日志要集中保存在中心服务器上, 保证了这个记录的法律性和准确性。

同时, 在对公共上网的机房等场所, 管理方一定要建立好机房管理制度, 包括机房值班、机房安全级划分和工作人员进出机房与用机登记;其次建立责任分工制度, 明确职责, 各司其职;制定权限管理制度, 规定上机人员不能越权操作;最后制定安全监督管理制度, 用专沐汉寸系统使用情况实行监控, 防止非法操作, 对发现的异常情况, 要采取有效措施加以控制。

4 结语

在高校网络管理上, 网络安全有其特定的要求, 安全问题应贯穿于各个环节, 只有全面了解校区的网络状况, 及网络安全中存在的软、硬件差异, 了解网络安全隐患, 才能因地制宜地制定安全策略, 并实施网络改造, 在实施有效的技术手段的同时, 配合完善的安全管理策略, 提高安全管理人员的素质, 落实安全管理制度, 并加强对上网用户的安全知识及相关安全法规的培训。

摘要：随着校园网规模的不断扩大, 网络安全问题日益突出, 本文分析了产生隐患的根源和网络安全需求, 阐明完整的网络安全解决方案。

关键词：校园网,安全策略