1、高职院校校园网安全体系的构建与思考42 福建电脑 2006 年第 7 期高职院校校园网安全体系的构建与思考刘少明(揭阳职业技术学院网络中心广东揭阳 522000)【摘要】:本文通过对校园网络使用过程中出现的各种安全问题进行分析和研究 ,提出了从设备,技术和管理等多个层次来构建校园网的网络安全体系.并对一些安全 f*l 题提出了自己的看法.【关键字】:校园网安全构建思考1.引言随着教育网络化,信息化的发展.校园网在学校的管理,教学和科研等方面正扮演着越来越重要的角色.校园网为学校带来了高效的管理手段和创新的教学模式.我院校园网络于 20o3 年 8 月建成并投入使用.同时接入中国教科网.由于我们
2、对校园网络存在着经验不足和学院经济薄弱投资少等因素.导致校园网络在运行过程中出现了一些不愉快的安全事件.引起了我们(包括学院领导)对校园网络安全的高度重视.随着校园网规模的膨胀,应用的深入,用户的增长.到目前为止.我院已建成了由校园网网络中心到校内的教学大楼,科技楼,图书馆大楼,学生宿舍(A,B,C,D,E 栋)等楼宇的校园网 1000M 的主干连接,100M 的到桌面连接(现有信息点 4OO0多个).所以 .构建校园网络安全体系已经成为当前我院校园网络建设与管理中不可忽视的一个重要课题.2.校园网络面临的威胁2.1 网络病毒的泛滥,攻击与入侵计算机病毒.是指能够破坏计算机系统.影响计算机工作
3、并能实现 tl 我复制的一段程序或指令代码.通过网络传播的病毒.无论是在 tl 我复制传播速度,传播范围和破坏性等方面.都远非单机病毒所能比拟的对于一个新建的校园网.特别是我们这些条件不是很好的新办高职院校,受到网络病毒的入侵与攻击是很普遍的.20o3 年底的冲击波(Worm.blaster) 和蠕虫王(WkiUer2oo3)病毒感染,造成我院校园网络缓慢.电脑运行极其不正常,两次的 DNS 服务器瘫痪.给学院的教学和管理带来很大的不便.也使老师们对刚建成的校园网正常运行产生了好大的疑问;2004 年初的蠕虫变种(或 Mydoom,Novarg)病毒更是一度狂袭我院的邮件服务器,导致垃圾邮件数
4、量暴增.让学院的好多老师一度不敢使用学院的邮件系统.也使他们对学院的邮件系统产生不信任感,同时也一度阻塞了学院校园网络:去年的铁锁网络蠕虫(I-worm/sober)利用 SMTP 引擎群发带病毒邮件也给我们脆弱的校园网络带来很大的伤害所以,尽快构建学院校园网络的安全体系.已经成为我院校园网络能否正常运行的重要保证了2.2 不良信息传播2OO3 年 l1 月,我院校园网连接到学生宿舍的 3000 多个信息点正式开通,2Oo4 年 9 月.我们在学校网站上开设校内 BBS.但从运行到现在.我感觉到我们的学生对国家的有关法律法规了解不是很多,在校内 BBS 更是不加判断盲目发贴: 对 Intern
5、et上各种信息没能分辨是非;对有关的色情,暴力,反动 ,邪教内容的网站没有坚定的立场加以抵制.这些有害信息对学生的危害非常大.所以如果这些不良信息不加以过滤就很容易会在学生中传播,从而阻碍着学生的健康发展.所以抵制不良信息传播,引导学生健康上网,也是我们构建校园网安全体系的重要内容2_3 复杂的网络环境随着校园网规模扩大,应用加深,目前.我院校园网络已经都实现了管理,教学,科研办公上网.教工,学生宿舍也都能上网.由于上网地点的增多,分散,使得网络的监管更是难_kJn 难网络线路因屏蔽措施不严造成电磁泄漏.温度,湿度,空气洁净度变坏或掉电等因素.使服务器,网络设备(较多的是交换机)损坏.造成数据
6、丢失时有发生.这些也都对网络的安全构成直接的影响.3.校园网安全管理措施3.1 增强网络安全意识人是网络安全的决定因素.重视校园网络安全.首先应该树立牢固的网络安全意识.从每一个用户,每一个管理者做起.所以从 2OO5 年上半年开始.我们在学院定期开设网络安全学术讲座和各部门的信息管理员进行网络安全培训:每周在等虢网站定期向通报最新病毒动态及相关防治措施.从而增强了教职员工和学生的安全意识,同时也提高他们的安全技能.3.2 设计健壮网络体系网络的应用是建立在网络硬件的建设基础上的.为此.一个校园网络要具有强大的安全的防范能力.必须有着一个健壮的网络硬件环境.健壮的网络包括健壮的综合布线系统,路
7、由器,交换机等网络设备系统.防静电,雷击系统,防盗系统等安全设备.有了健壮的硬件环境.再根据实际需要划分出多个安全等级不同的区域,合理的进行安全域的划分.利用网络设备所提供的划分 VLAN 技术等对网络进行初步的安全防护.而在无线网络建设中,就要注意合理放置访问点的天线.并在网络中使用无线加密协议.3.3 配备完整安全系统网络不安全因素有来 tl 外网.也有来 tl 局域网内部.对于校园网.网络应用安全的主要隐患为:一是病毒的侵入 ,二是黑客的攻击,三是不良信息传播.因此.校园网安全的主要目标应该为:一是能阻断病毒传播.特别是现在蠕虫病毒和利用电子邮件传播的病毒.如配备网络防病毒系统,防病毒网
8、关等.二是能够阻止大多数的黑客非法访问资源.特别是从内部发起的攻击与入侵,使攻击或入侵对系统的影响最小.如配备网络防火墙,入侵检测系统,补丁服务系统,漏洞扫描系统等.三是能够阻断不良信息传播.如有害信息过滤系统.3.4 完善网络管理制度校园网络是一个开放的网络.网络安全问题也是一个管理上的问题.它可能是他人恶意攻击.也可能是自身人为因素,因此,要保证网络的安全性必须有一个全方位的安全管理制度.对每一个使用网络者都要有明确的要求和约束机制校园网络安全主要涉及两个方面:一是物理设备的安全 .包括防盗,防火,防静电,防雷击等,二是信息的安全,包括防黑客攻击,防病毒攻击,防黄色信息,防反动言论等.因此
9、.校园网络的相关管理制度也是针对相关的网络安全而提出.如制定“网络中心管理制度“,“网站信息发布审批制度“,“硬件设备管理制度“,“网络管理人员管理制度“,“BBS,论坛等安全管理制度“以及“ 网络系统的维护制度和应急措施“ 等等.明确不同场所 ,不同用户的权利和职责.明确违反该制度的行为及其处理措蒇.使网络安全管理有章可循,有条不紊.3.5 优化网络维护策略一个网络的安全性是动态变化的,今天安(下转第 38 页)福建电脑 2006 年第 7 期统管理员了解系统上的安全漏洞以及如何去修补这些漏洞.并能提供本地下载的升级程序或补丁.要避免恶意用户威胁系统.我们还需要:通过关闭所有不必要的服务和安
10、装系统补丁加固系统.保持对最新补丁和安全公告的追踪,下载补丁后要在实验环境下进行测试.测试完以后正式安装在主机上.用黑客的角度审视系统的安全脆弱性.通过端口扫描器和脆弱性扫描器定期对系统进行检测.至少每月一次.2.防火墙技术防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称.应该说,在互联网上防火墙是一种非常有效的网络安全模型.通过它可以隔离风险区域(即Internet 或有一定风险的网络)与安全区域(局域网 1 的连接.同时不会妨碍人们对风险区域的访问.防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全,核准了的信息进人,同时又抵制对企业构成威胁的数
11、据.随着安全性问题上的失误和缺陷越来越普遍.对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择.因此,防火墙的作用是防止不希望的,未经授权的通信进出被保护的网络.迫使单位强化自己的网络安全政策.一般的防火墙都可以达到以下目的:一,可以限制他人进人内部网络,过滤掉不安全服务和非法用户:二,防止人侵者接近你的防御设施;三,限定用户访问特殊站点;四,为监视 Internet安全提供方便.由于防火墙假设了网络边界和服务.因此更适合于相对独立的网络,例如 Intranet 等种类相对集中的网络.防火墙正在成为控制对网络系统访问的非常流行的方法.事实上.在Intemet 上
12、的 Web 网站中.超过三分之一的 Web 网站都是由某种形式的防火墙加以保护.这是对黑客防范最严格.安全性较强的一种方式,任何关键性的服务器.都建议放在防火墙之后.防火墙已经在 Internet 上得到了广泛的应用.而且由于防火墙不限于 TCP,IP 协议的特点 .也使其逐步在 Intemet 之外更具生命力.3.网络安全策略网络作为一种开放的通信基础设施.是面向所有用户提供服务的,由于 Intemet 网络是跨时空的.所以安全问题也是跨时空的.网络安全是一个很严重的问题,因此.在制定网络安全策略时要充分比较安全策略的安全性与网络服务的灵活性.要在充分考虑网络的安全性时,保证网络的服务;还要
13、在充分考虑网络的安全性的同时,考虑整个系统的性能.一个完整的安全策略包括:网络结构,主机和网络应用服务安全.网络结构安全策略主要保证网络拓扑结构的合理性.整个网络各个节点之间的连接线路的可用性:节点安全策略主要保护各个节点局域网的设备不受攻击:网络应用服务安全从单个服务系统的角度考虑安全保障,保证服务不被中断:网络接人安(上接第 42 页)全策略主要保证用户的安全接人.4.协同构建安全防护体系2003 年刚开始三个多月时,互联网就经历了几次重大的安全事件:SOL 杀手蠕虫,口令蠕虫,红色代码 F 变种 尤其是杀手蠕虫.让很多人都记忆犹新.这些“蠕虫“ 实现起来并不很复杂.但杀伤力强.难于控制.
14、我们要做到及时,有效控制.只靠安全产品或者局部的努力显然是无法实现的.只有所有部门联合起来.形成完整的体系.才可以杜绝或者控制此类事件的再发生.以往人们对病毒的危害性还只停留在单台主机或局域网小范围遭到感染.而类似杀手蠕虫这类的恶意代码的目标却是整个因特网.它们消耗整个网络资源.导致网络中的每个用户都受到不同程度的影响.可以说是非常规模意义上的破坏.要对付这类针对全互联网的安全事件.首先需要的是各个运营单位联合起来.如果运营商们只是各自为政.对付网络安全事件将变得很被动.SQL 杀手蠕虫在我国及早发现并得到较好地控制.就依赖于我国在骨干网络运营商之间已经形成的协调处理机制.他们对待安全事件能够
15、做到及时沟通.联合应对.只有这样才能保证快速,有效地控制蠕虫病毒的传播.其次.也需要加强各类用户的安全防范意识.信息时代的高速路不同于传统的电信网.用户不单只是网络的使用者.同时也是网络服务的提供者.在网络运营商和用户之间不再有明显的界限.运营商和用户是互相交织,不可分割的.网络作为连接的纽带.如果遭到了破坏.所有的用户和运营商都将是受害者.红色代码变种的再次发作就是因为很多用户对安全事件和风险的漠然造成的.使得之前被大肆利用的漏洞依然可以兴风作浪.安全是一种保障.就好比一个国家的安全体系一样.构筑网络安全体系是一项艰巨复杂的系统工程.需要建立一整套防护体系,其中包括对网络安全的研究机制,安全
16、事件监测机制,针对突发事件的应急保障机制,安全知识普及机制以及配套的法律法规.只有网络中的每一个环节都加强安全防范,协同工作,互联网才能健康发展,为用户提供更多更好的服务.小结:上述的几种技术只是解决计算机系统及网络安全问题的一些技术策略,采用新技术和传统措施相结合.综合地利用各种手段技术,策略来强化计算机信息系统的安全程序以增加攻击成功的难度.才会更加有力的保护我们的计算机及网络安全.这也正是目前我们所应该努力的方向.参考文献:1.刘固萍.系级网络改造的解决方素.实验技术与管理.2003.2.2.孙峰,潘多拉匣子打开之后一电脑病毒简吏.电脑报.2003.12.15.3.http:/www.j
17、imgmin.coln/exec/newsynewi 蛆 gmin/netwofb/infosafty/2003421141219.hun4.http:/ .保证网络中心的物理安全是最基本的要让计算机系统有一个良好的电磁兼容环境;严格执行管理制度 .防止非法进人网络中心和各种偷窃,破坏活动的发生.b.构筑防火墙策略.访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问.也是维护网络系统安全,保护资源的重要手段.网管人员应根据安全需求及新的安全问题.对访问规则进行设置与更新C.数据加密策略.加密的目的是保护网内的数据,文件,口令和控制信息,保护网上传输的数据.信息加密
18、过程由形形色色的加密算法来具体实施,它以小的代价提供很大的安全保护在大多数情况下信息加密是保证信息机密性的惟一方法d.定期升级网络病毒系统病毒库.定期查杀病毒策略以及及时升级系统补丁策略等e.数据备份和镜像策略 .按时备份数据是一种简单但又十分重要的保证数据完整性的方法.网络管理人员可以根据实际情况选择全盘备份,增量备份,差别备份和按需备份.同时.网管还要进行磁盘镜像的设置以减少因故障造成的数据损失.f 日志管理策略.仔细阅读日志可以帮助网络管理人员发现被人侵的痕迹.以便及时采取弥补措施.阅读日志时.网管人员对可疑的活动一定要进行仔细的分析.4.一点看法校园网络的安全问题.不仅是设备,技术的问题,也是管理的问题.校园网络的安全.要靠健壮的网络体系与完整的安全系统;要注重对于教工学生的网络安全知识培训.而且更需要制定一套完整的规章制度来规范上网人员的行为:而对于校园网络的管理人员来讲一定要提高网络安全意识.加强网络安全技术的掌握,注重网络安全的优化维护.
