1 校园网建设的意义和目的
校园网络是学校信息基础设施, 担当着学校教学、科研、学习、服务和管理等许多角色。在实现学校的无纸化办公、校园一卡通工程、数字化管理、推动教育改革发展、促进思想文化交流、丰富师生精神生活等方面都起到了重要的作用。教师和学生利用校园网进行工作、学习和交流, 改变了传统的教学模式和学习方式, 极大地提高了教学质量和学习效率。
2 校园网安全问题
随着校园网在不同领域的广泛应用, 信息安全问题也就愈发突出。当前校园网的安全隐患包括有如下内容。
2.1 网络部件和环境的不安全因素
网络的脆弱性、电磁泄露、搭线窃听、非法终端、非法入侵和注入非法信息等造成了网络部件的不安全。除了上述因素之外, 还有自然环境因素威胁着网络的安全, 如地震、火灾、水灾、台风等自然灾害或掉电、停电等事故。
2.2 软件的不安全造成系统入侵和病毒泛滥
操作系统存在漏洞, 盗版软件隐藏木马、后门等恶意代码, 网络软件存在病毒及缺陷, 攻击者常常利用这些漏洞入侵校园网络, 植入木马程序对系统进行控制及获取数据。而计算机病毒会抢占大量系统资源, 造成计算机处理能力变低, 甚至直接破坏计算机的数据信息。
2.3 来自互联网和校园网内部的安全隐患
几乎所有校园网络都是利用Internet技术构建的, 同时又与Internet相连。网络用户可以直接访问互联网的资源, 同样任何能上互联网的用户也可以直接访问校园网的资源, 给校园网带来安全风险。此外, 多数校园网普遍采用基于IP技术且采用开放的网络架构, 其本身就不具备必要的安全策略。且大多数校园网络还是采用一种单一、被动、缺乏主动性、灵活性的基于网络设备集中式的安全策略, 根本无法适应现行的网络规范。
校园网内部用户对网络资源的滥用, 利用免费的校园网资源进行视频、软件资源下载, 传播垃圾邮件和不良信息, 大量占用网络带宽。同时, 学生是好奇心极强的群体, 他们会一方面把学校的网络当作一个实验环境, 测试各种网络功能;另一方面, 他们也会不断寻找各种方法摆脱学校对学生网络资源使用的控制, 如有意更改IP地址而导致网络设备运行异常, 或使监控记录不准确。
2.4 管理的欠缺和工作人员安全意识差
没有制定严格的网络安全管理制度和应急保救措施, 职责不分明, 管理方法不科学, 是不可能加强网络安全管理的。工作人员缺少网络安全方面的培训, 素质差, 缺乏责任心, 保密观念不强或不懂保密规则, 业务不熟练, 因规章制度不健全都会对校园网络安全带来威胁。
2.5 有限的投人
校园网的建设和管理往往轻视了网络安全, 特别是管理和维护人员方面的投人明显不足, 这势必影响校园网络的安全。
此外, 也是最重要的一条, 即没有对网络安全引起足够的重视, 没有采取有力的措施, 以致造成各种校园网络事故。
3 校园网安全技术和策略
国际标准化组织 (ISO) 对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。因此, 校园网络安全即是利用各种安全技术和安全策略, 保证网络系统正常运行, 对信息载体和信息的处理、传输、存储、访问提供安全保护, 以防止数据、信息等内容泄漏、被非授权使用和篡改, 从而确保校园网络具有可靠性、可用性、完整性、保密性和真实性。
3.1 必要的网络安全防范技术
3.1.1 防火墙技术
防火墙是目前网络安全的一个最常用的防护措施, 也广泛应用于对校园网络和系统的保护。根据校园网络管理员的要求, 可以监控通过防火墙的数据, 允许和禁止特定数据包通过, 并对所有事件进行监控和记录, 使内部网络既能对外正常提供Web访问, FTP下载等服务, 又能保护内部网络不被恶意者攻击。
为更好地实现校园网络安全, 可以采用双宿主机网关或是屏蔽主机网关或是屏蔽子网的防火墙设置方案。为了提高防火墙安全性能, 让其具有很强的抗攻击能力, 最好采用屏蔽子网体系结构配置方案。具体配置方法为:
在Intranet和Internet之间建立一个被隔离的子网, 用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端, 在子网内构成一个缓冲地带, 两个路由器一个控制Intranet数据流, 另一个控制Internet数据流, Intranet和Internet均可访问屏蔽子网, 但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机, 为内部网络和外部网络的互相访问提供代理服务, 但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器, 像WWW, FTP, Mail等Internet服务器也可安装在屏蔽子网内, 这样无论是外部用户, 还是内部用户都可访问。
3.1.2 网络入侵检测技术
入侵检测不仅检测来自外部的入侵行为, 同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略, 它所提供的数据不仅有可能用来发现合法用户滥用特权, 还有可能在一定程度上提供追究入侵者法律责任的有效证据。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
为了更有效地检测校园网的外部攻击和内部攻击, 在每个需要受保护的网络内安装相应的入侵检测系统 (IDS) 。通过专用响应模式与防火墙进行互动操作, 实现IDS与防火墙联动。IDS与防火墙联动可以更有效地阻断所发生的攻击事件, 从而使网络隐患降至较低限度。
在校园网中最好设立两个检测点, 可以分别对外网和内网进行检测, 外网IDS与防火墙联动, 当有外部网络攻击时, IDS提供实时的入侵检测, 将信息交给防火墙, 由防火墙对这些攻击进行控制、隔离、断开;当有内部网络攻击时, IDS系统向网络管理人员发出报警, 让网管人员及时做出反应。
3.1.3 防病毒技术
为使计算机系统免遭病毒的威胁, 除了建立完善的管理措施之外, 还需要有病毒扫描检测技术, 病毒分析技术, 软件自身的防病毒技术, 系统防病毒技术, 系统遭病毒破坏后的数据恢复技术, 以及消除病毒的工具等。
根据校园网络的防病毒要求, 建立校园网络防病毒控制系统, 分别设置有针对性的防病毒策略。在选择使用防病毒软件时, 最重要的在于确定自己的选择标准, 即要考虑到:软件易用性、解决方案的整体性、对现有资源的占用情况、系统可管理性、系统兼容性、对新病毒的反应能力和病毒查杀能力等, 还需要考虑软件商的企业实力、病毒实时监测能力和价格等因素。要防范网络病毒的传播, 必须采用集中式安全控管的防毒策略, 即在校园网中建立病毒防杀中心。集中式的网络病毒防杀系统不仅可以管理很多的联网计算机, 对联网计算机进行统一的病毒清除。同时可以及时公告病毒防杀信息, 自动更新和升级病毒库, 具有科学的病毒预警机制, 还可以为域外联网计算机提供在线杀毒功能, 并可以提供电子邮件病毒网关或病毒引擎功能, 与电子邮件系统集合, 对病毒邮件进行过滤。可以说集中式病毒防杀系统是有效防杀校园网病毒的最有效措施之一。
3.1.4 网络安全漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全弱点的技术, 它查询TCP/IP端口, 并记录目标的响应, 收集关于某些特定项目的有用信息, 如正在进行的服务, 拥有这些服务的用户是否支持匿名登录, 是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序, 它可在很短的时间的收集安全弱点, 并解决这些问题。
3.1.5 IP地址绑定技术
IP地址自动绑定、释放技术可以防止MAC地址被盗用、IP地址被盗用、端口的不固定性、账号被盗用等安全问题。
自动绑定、释放技术主要是为了防止用户在通过认证后, 在上网期间随意更改自己的IP地址, 同时也可防范拒绝服务攻击 (DoS) 等多种非法用户的攻击。用户在认证通过后会在交换机上产生一条ACL策略将该用户的IP、M A C、端口进行捆绑。当用户下线后, 对应端口的ACL策略会自动释放、删除。如果通过认证的用户随意更改自己的IP地址, 交换机将会强制该用户下线。
3.1.6 访问控制技术和内容审计技术
访问控制技术根据用户的身份赋予其相应的权限, 即按事先确定的规则决定主体对客体的访问是否合法。通过对不同用户授予不同权限, 如只读、只写、读写、修改等。当用户在进入网络和访问各种资源时, 对用户身份分别在网络层和信息层等用不同的认证协议进行验证, 确保系统的安全。方法主要通过口令, 用户分组控制、文件权限控制来实现。
内容审计包括:发邮件的审计、WEB网页审计、TELNET审计、FTP审计和即时聊天工具审计等。
3.2 校园网络安全解决策略
3.2.1 建立良好的网络拓扑结构和合理地划分V L A N
校园网络至少要采用两级结构:主干网和子网。校园网的主干采用成熟的1000M快速以太网, 在校园网络中心机房设有一个总的出口 (代理服务器) 访问互联网, 提供认证系统, 所有进出校园网的数据都需要通过此出口检测过滤。由网络中心用光纤连到各分节点, 再经分节点的交换机联接到各用户。
同时将校园网划分为若干虚拟局域网, 虚拟局域网可不受设备物理位置的限制, 灵活性较大。可把校园网按网络功能划分为接入网部分和内部局域网部分。内部局域网又按数据交换能力分为:核心层、汇聚层和接入层。将各种主要服务器 (WEB、MAIL、FTP服务器、数据库服务器等) 放在一个虚拟网内, 这样便于管理、维护, 同时也可以尽可能减少外部入侵及破坏系统的可能性。另外, 划分一个教学管理子网, 方便教师进行管理和教学。其余虚拟子网可按教师信息管理系统、财务系统、图书馆系统、学生信息管理系统、多媒体网上教学系统等划分。
3.2.2 重视网络安全规划建设
校园网的建设是一项庞大的技术性很强的综合工程, 一般需要经过网络调研, 系统设计, 可行性分析, 设备选型和工程招标, 硬件施工, 软件环境的建立, 人员培训, 联调测试, 系统验收等九个阶段。
校园网建设工程应与用户的网络方案相结合, 应考虑系统的容错设计, 满足用户的各种需求, 有完善的标签和文档, 便于管理和维护。用户在验收时, 应进行相应的抽检, 以验证工程质量。
3.2.3 制定网络中心配套设施配备方案
校园网是学校发展的重要基础设施, 是提高教学科研及管理水平不可缺少的支撑条件。而网络中心是校园网的核心, 为加快校园网的建设和确保网络安全、可靠、稳定运行, 促进校园网的健康发展, 为学校信息化管理、教学、科研提供可靠的保障, 应制定网络中心配套设施配备方案, 包括有:防火设施、地线与防雷、安全监控、电力系统和年度运行与维护经费等。
3.2.4 对网络设备进行基本安全配置
对系统和网络设备使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的, 因此使用复杂的密码, 将会大大提高计算机的安全系数 (特别是管理员Administrator密码) 。经常升级安全补丁, 以防范未然;不在同一个服务器开多种服务。因为, 服务器上服务越多, 安全漏洞就越多;关闭不需要的功能, 遵守简单就是稳定, 简单就是安全的原则;加强设备访问的认证与授权;使用访问控制列表限制访问和使用访问控制表限制数据包类型等。
3.2.5 安全培训与用户服务
最终用户的安全意识是校园网系统是否安全的决定因素, 因此, 对校园网用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。通过定期培训, 增强所有教职员工的安全意识, 提高他们的安全技能, 特别是在病毒泛滥的环境下及时发放病毒警告通知大家打补丁。
3.2.6 加强网络安全管理, 制定网络安全管理制度
包括网络中心机房管理制度、用户上网管理办法、校园网维护办法、校园网信息监控制度、网络信息中心值班制度、网络信息中心网络系统管理员职责等管理制度。
此外, 应该培养专业的网络管理人员。现在很多学校的网络管理员是一些只有基本计算机知识的人员, 而不是专业、专职的网络管理教职工, 这对于保证校园网络的安全运行是不可行的。
3.3 其它防范措施
为了确保校园风格的安全, 除了应用以上的安全技术和安全策略外, 还应该考虑应用操作系统身份验证、数据加密技术、VPN技术、备份技术等。也要做到以下的防范措施:过滤不良网络信息、拒绝垃圾邮件、文件和服务的访问控制、建立内网的统一认证系统和进行统一监控和数字签名等。
4 结语
绝对安全的校园网络在现阶段是不可能存在的, 所以, 加强校园网的安全建设和管理是当前非常迫切、充满挑战的任务。要想架构一个合格的校园网络, 应在采用必要的安全防范技术基础上, 同时要在安全管理方面采取安全措施, 加强安全政策、安全管理组织和技术培训, 增大安全管理的投入, 共同做好校园网的安全管理工作, 从而建设一个安全、可信的教育和科研网络环境。
摘要:论述了校园网建设的意义和目的, 分析了校园网安全问题, 然后从网络安全技术、网络安全策略和网络安全防范措施等方面综述如何构建安全的校园网。
关键词:校园网,网络安全,安全技术,安全策略
参考文献
[1] 杨国文.大学校园网络安全防范策略与研究[J].宜宾学院学报, 2007 (6) :94~96.
[2] 王继成.大学校园网的网络安全与防范策略[J].沈阳农业大学学报 (社会科学版) , 2007, 9 (5) :727~729.
[3] 史经才.高职校校园网络安全策略[J].中国科教创新导刊, 2007 (9) :161.
[4] 陈健, 等.校园网络安全浅析[J].防灾科技学院学报, 2007, 9 (4) :108~110.
[5] 齐蕾.浅谈校园网安全控制策略[J].大众科技, 2005 (4) :45~46.