校园网络安全问题与对策论文正.doc

校园网络安全问题与对策摘 要 网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性、可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击。学校建立了一套校园网络安全系统是必要的。通过分析校园网安全威胁的原因、状况、设计维护校园网安全的方案，进一步探索加强高校教育系统信息安全和网络安全管理，预防和打击各种网上违纪、违法行为的重要途径。关键词：网络；安全；防火墙前 言 网络安全问题日益突出，近年来，黑客攻击、网络病毒屡屡攻击。由于对技术的偏好和运营仪式的不足，普遍都存在“重技术，轻安全，轻管理”的倾向，网络用户的快速增长，关键性应用的深入，校园网络受到侵害，校园网在学校的信息化建设中已经扮演至关重要的角色，作为数字化信息最重要的传输载体，如何保证校园网络正常的运行不受各种网络黑客的侵害就成为各高校的不可回避紧迫问题，解决网络安全问题刻不容缓。1 校园网络概述 随着网络技术的不断发展，网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入，校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题，校园网的发展状况，校园网的拓扑结构，功能结构，校园网的建设目标等内容。1.1 计算机网络的发展过程与安全现状从1946年第一台计算机产生以来，计算机网络技术得到很快发展，计算机网络已经成为了国民经济的重要支撑，发挥着重要的作用。与此同时，网络安全已经成为一个不容忽视的问题。1.1.1 计算机网络的发展过程 Internet是以TCP/IP协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近40年的发展历史中，曾经涌现出多种计算机网络体系结构和技术，它们提供类似于Internet的功能和服务，但是都没有像Internet能够在技术上和实践上适应于各种变化，获得如今这样的巨大成功，并且正在对计算机网络技术的未来发展产生着深刻的影响。随着Internet规模的扩大、新网络技术的出现和网络应用的发展，对Internet技术提出新的挑战。由于网络的规模和应用快速发展，计算机信息网络技术面临的挑战是十分严峻的。主要包括以下几个方面： （1）网络服务质量。基于分组交换技术的TCP/IP协议不能保证网络用户获得所需要的网络服务质量，这对于原先的Internet网络应用无关紧要，但是对于许多新型的网络应用却带来麻烦，例如:像Internet Phone、See you- See me、Video man等实时的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。 （2）网络的安全性。Internet技术的灵活性和开放性使得它在安全方面存在安全漏洞。网络的安全性问题包括系统安全和网络信息安全两方面的内容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞；网络和计算机系统口令的偷窃；协议出错；认证出错；信息泄漏；防火墙技术等等。 （3）网络的可扩展性。原先设计的TCP网络技术不能适应Internet规模的扩大，网络的可扩展性问题成为非常重要的技术挑战。例如:网络的地址空间较小；网络主干网的速度需要提高；大型分布式网络目录系统；网络上大量零散信息，包括WWW信息的自动发现和检索技术等等。 （4）新的网络应用。新的网络应用对Internet/Intranet技术的挑战尤为巨大，由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1.1.2 网络的安全现状 近几年，全球信息网络安全呈现出一些新特点，主要体现在如下几个方面： （1）网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定 向性越来越强。 （2）网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势； （3）针对特定目标的网络攻击具有更大的威胁和破坏性，信息安全防护形势严峻； （4）网络黑客逐步形成了较为严密的组织，在组织内部分工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责； （5）网络威胁形式多种多样，经济利益成为了网络攻击的最大驱动力； （6）网络欺骗手段进一步升级，黑客不光利用电子邮件和网站进行诈骗，具有“网络钓鱼”性质的病毒也开始出现，勒索软件、网络游戏、网络银行盗号木马等被广泛使用； （7）利用漏洞发起攻击仍是互联网最大的安全隐患。攻击者利用网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误对网络系统进行非授权的访问或破坏； （8）病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。黑客们更多地通过网站对用户进行攻击。此外，通过移动存储设备的传播病毒使很多电脑用户饱受其害。2 校园网络安全策略 校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理“的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出了。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。 2.1 校园网安全管理 针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略： 1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。 2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。 3、解决用户上网身份问题，建立全校统一的身份认证系统。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。 4、严格规范上网场所的管理，集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度。网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。2.2 校园网络安全措施 前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。 1、杀毒软件。 杀毒产品的部署.在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。 （1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。 （2）在各办公室分别安装杀毒软件的客户端。 （3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （4）网络中心负责整个校园网的升级工作。 2、采用VLAN技术。VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。 3、内容过滤器。内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。 4、防火墙。 在与Interne相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性: (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则. (2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。 (4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性. 5、入侵检测。 入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。 6、漏洞扫描。 随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。 7、数据加密。 数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。 8、加强网络安全管理。 加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。3 校园网络安全系统设计安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统，制定详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知识培训，或发放常见病毒解决方案等。3.1 校园网建设需求分析3.1.1 需求分析 局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网；或者通过代理服务器连上Internet，享受非一般的速度。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10Mbps ISA插口网卡的网络传输速率低，且占用大量的CPU资源，只适应于那些对速度要求不高的局域网，因此用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是采用双绞线作为传输媒介的一种网卡接口，RJ45的接口酷似电话线的接口，但网络线使用的是8芯的接头，使用RJ45的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用RJ45接口。集线器(HUB):根据微机的数量,利用HUB构成星形结构,在工作站较多的情况下,会因HUB的处理速率远远低于通信线路的传输速度,从而造成瓶颈问题。因此有条件的话可选用交换机。学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原则：实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。统一性在系统的设计过程中，坚持三统一，即统一规划、统一标准、统一出口。先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。3.1.2 关键设备 在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机，Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机，Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。设备的选择Catalyst 3548作为外网交换机。可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。设备的选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机，为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器，既可以满足上级单位Internet的DDN、ISDN接入的需求，又可以满足继续扩展的需求同时Cisco 3662作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电，彼此分担负荷并互为备份。Catalyst6506交换机引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，利用Cisco特有的Netflow技术，完全满足核心线性三层交换的能力。汇聚层：在分配线间分别设立Cisco Catalyst 3524和Catalyst 3548作为计算机网络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备Catalyst 6506上去，终端用户可以通过超5类UTP线缆连接到各层交换机中去，可以实现10/100M的自适应通道连接到局域网中去。接入层：在网络接入层中我们选用了一台Cisco 3660路由器作为广域互连和外部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能：1.ADSL接入方式。2. FTTX+LAN接入方式。3.1.3 校园网网络拓扑结构 根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。3.2 解决校园网安全问题的主要方法解决校园网安全问题的主要方法包括防火墙、备份与恢复、入侵检测、病毒防御、虚拟专用网、漏洞扫描等。3.2.1 防火墙部署 防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。 防火墙根据功能可以分成个人防火墙和网络防火墙，根据实现方法可以分成硬件防火墙和软件防火墙，根据结构可以分成包过滤、状态检测、应用层代理、内容过滤/状态包过滤防火墙。 网络防火墙用以保护企业网络等较大的复杂网络，以处理更多的用户。软件防火墙和硬件防火墙是个相对概念，基本上，所有的防火墙都需要软件的处理部分。硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用。软件防火墙则是指对底层硬件没有特殊要求，可以安装在Windows、Unix系统直接使用的防火墙。 根据防火墙的工作原理，所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下，数据获取和数据传输是由软、硬件两部分共同实现的。其中，硬件部分一般是防火墙设备的网络接口设备；数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进行处理的软件代码，数据传输的软件部分则是执行与数据获取相反的工作的软件代码，这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送到相应的网络接口设备并传送出去。防火墙将接收到数据包传送给应用功能模块，进行相应的处理。3.2.2 计算机病毒防范 计算机病毒（Computer Virus）是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有破坏性，复制性和传染性。随着因特网技术的发展，计算机病毒的定义也在进一步扩大化，一些带有恶意性质的特洛伊木马程序，黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的范畴。 从发展的角度来看，计算机病毒属于恶意代码的一种，恶意代码是一种程序，它可以表述为人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏数据的计算机程序或指令集合。恶意代码通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、程序。恶意软件的传染结果包括浪费资源、破坏系统、破坏一致性、数据丢失和被窃并能让客户端的用户失去信心。按传播方式分类，恶意代码分成几类:病毒、木马、蠕虫、间谍软件及移动代码等。多种复合攻击技术的使用已经使安全防护不仅是针对互联网早期某种病毒防护那么简单，而计算机病毒的防御是一个系统工程，其内容涉及防病毒软件、补丁升级、以及合理的安全管理规范等方面。3.2.3 虚拟专用网(VPN) 虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任