高校校园网安全体系构建

2022-10-28

1 高校校园网络安全体系设计原则

根据网络安全性设计的要求, 设计网络安全体系时应遵循以下原则。

1.1 安全性

设计网络安全体系的最终目的是为保护信息与网络系统的安全, 所以安全性成为首要目标。要保证体系的安全性, 必须保证体系的完备性和可扩展性。

1.2 可行性

设计网络安全体系不能纯粹地从理论角度考虑, 再完美的方案, 如果不考虑实际因素, 也只能是一些废纸。设计网络安全体系的目的是指导实施, 如果实施的难度太大以至于无法实施, 那么网络安全体系本身也就没有了实际价值。

1.3 高效性

构建网络安全体系的目的是能保证系统的正常运行, 如果安全影响了系统的运行, 那么就需要进行权衡了, 必须在安全和性能之间选择合适的平衡点。网络安全体系包含一些软件和硬件, 它们也会占用网络系统的一些资源。因此, 在设计网络安全体系时必须考虑系统资源的开销, 要求安全防护系统本身不能妨碍网络系统的正常运转。

1.4 可承担性

网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持, 要为此付出一定的代价和开销。如果付出的代价比安全体系中获得的利益还要多, 那么就不该采用这个方案。所以, 在设计网络安全体系时, 必须考虑校园本身特点和实际承受能力, 没有必要按电信级、银行级标准设计。

这四个原则可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。

2 高校校园网络安全体系构建

校园网的安全威胁可能来自外部, 也可能来自内部。因此, 在进行网络安全策略设计时, 既要在校园网的边界处采取安全防范措施, 抵御外部入侵和攻击, 又要对校园网内部的各种设备安全访问控制, 避免校园网内部的合法或非法用户, 因失误或故意造成对校园网的破坏。下面分别讨论各个安全策略的详细内容。

2.1 物理安全策略

制定该策略的目的在于保护校园网中的计算机系统、网络服务器、物理链路等基础设施免受自然灾害、人为破坏和搭线攻击, 并建立完善的安全管理制度, 防止非法人员进入计算机控制室和各种偷窃, 破坏活动的发生, 同时要确保计算机网络系统有一个良好的电磁兼容工作环境1。

2.2 访问控制策略

访问控制是校园网安全防范和保护的主要策略, 其主要任务是保证网络资源不被非法用户使用和访问, 它是保证网络安全最重要的核心策略之一, 包括网络访问控制、网络的权限控制、目录安全控制、文件属性控制、网络服务器访问控制、网络监测和锁定控制、网络端口和节点的安全控制、网络安全基础设施控制等。对于校园网而言, 上要应做好网络访问控制, 网络服务器访问控制及网络监测和锁定控制。

2.2.1 网络访问控制策略

网络访问控制是网络安全和实现访问控制策略的第一层控制, 主要通过一定的技术手段识别网络用户的身份, 并依据不同用户身份, 给予不同的网络访问权限或阻止其进入校园网系统。网络访问控制策略不仅能阻止网络用户的非法访问, 而且能够在很大程度上减少病毒及恶意代码的危害。网络访问控制主要包括以下技术:

(1) 防火墙:防火墙放置于信任度不同的网络之间, 对这些网络通信进行控制, 通过强制实施统一的安全策略, 防止对重要信息资源的存取和访问, 达到保护网络安全的目的。通常, 防火墙位于外部Internet网络, 内部校园网络和校园网服务器D M Z区之间, 每当数据包通过时, 把数据包的信息与防火墙的规则表进行匹配, 如果有匹配的规则, 则直接按规则执行, 否则使用默认规则执行2。

(2) 访问控制列表:访问控制列表 (Access Control List, 简称ACL) 是一组包含允许 (permit) 和拒绝 (deny) 语句组成的有序语句集, 它将数据包的源地址, 目的地址, 源端口, 目的端口, M A C地址等信息与A C L列表中的语句进行匹配, 并根据匹配的结果来决定数据包的通过与否, 从而实现数据包的过滤。

(3) 划分VLAN:VLAN将整个校园网络划分为若干个不同的广播域, 实现校园网内部的一个网段与其它网段的物理隔离。这样, 不仅能够抑制网络广播风暴, 而且能防止一个网段的安全问题传播到其他网段。

(4) IP从A C端口绑定:在交换机上或者在应用网关上将用户IP地址、MAC地址和交换机的端口进行绑定, 从而限制一个I P地址只能在一台交换机上的指定端口上网。这样, 可以有效防止用户盗用I P地址进行非法访问和网络攻击, 同时也便于网络管理员追踪、查找网络攻击源和日志审计。

2.2.2 服务器访问控制

服务器的访问控制主要是控制用户对服务器的非法访问, 防止服务器的数据被修改、删除或破坏。服务器访问控制主要包括制定相应的管理措施, 防止非法用户直接操作服务器的控制台;及时给服务账户锁定策略;停止服务器上不必要的服务软件的运行;减少服务器上安装应用软件的数量;对服务器的各种操作进行日志记录, 并定期审查日志, 以及时发现攻击迹象;限制服务器登录时间;对服务器数据进行定期的备份等措施。

2.3 网络病毒防治策略

在网络环境中, 病毒具有更多的传播途径和更大的破坏能力。病毒可通过电子邮件, 网页脚本, 局域网, 操作系统漏洞进行传播, 让人防不甚防;病毒不仅危害单台计算机上的软、硬件资源, 而且危害网络, 甚至可使整个网络因过载而瘫痪, 造成难以估量的损失。要实现网络环境下的病毒防治, 仅靠单机版的杀毒软件是不可能的, 必须安装网络版的杀毒软件, 这样才能实现杀毒软件的远程安装、智能升级、远程报警、集中管理、分布查杀病毒的功能。仅有网络版的杀毒软件, 还不能达到防治病毒的目的, 还必须加强管理, 提高使用人员的防毒意识和相应知识。

2.4 数据加密策略

数据加密的目的是保护网上传输的数据、文件、口令和控制信息等数据不被窃听、不被篡改后再传输给对方, 造成数据被窃取, 数据的真实性、完整性得不到保证。数据在网上传输前, 利用加密技术将数据明文变成密文, 再进行传输, 这样, 即使在传输过程中被截获, 也无法获取真实信息, 同时由于加密机制可对数据传输过程中的完整性、真实性进行鉴别, 从而保证数据的完整性和可靠性。因此, 校园网上传输的涉密数据必须经过加密后再进行传输。

2.5 网络系统备份与恢复

网络系统的备份是指对网络中的核心设备和数据信息进行备份, 以便在网络遭到破坏时, 快速、全面地恢复网络系统的运行。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息包括对网络设备的配置信息、服务器数据等的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用, 也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。

摘要：随着Internet/Intranet技术在社会的各个领域的广泛应用, 计算机网络的安全问题已变得非常严峻。因此, 能否保证计算机和网络系统的安全和正常运行便成为校园网络管理所面临的一个重要的问题。本文从高校校园网络安全体系设计原则出发, 提出了当前高校校园网络安全体系构建的策略。

关键词：高校,校园网络,网络完全,安全威胁