浅谈高校网络安全管理.doc

节荿袄肈膈莈羇芄蒆莇蚆肇莂莇蝿节芈蒆袁肅膄蒅羃袈蒃蒄蚃肃葿蒃袅羆莅蒂羈膂芁蒁蚇羄膇蒁螀膀蒅蒀袂羃莁蕿羄膈芇薈蚄羁膃薇袆膇腿薆羈聿蒈薅蚈芅莄薅螀肈芀薄袃芃膆薃羅肆蒅蚂蚅衿莁蚁螇肄芇蚀罿袇芃虿虿膂腿虿螁羅蒇蚈袄膁莃蚇羆羄艿蚆蚆腿膅螅螈羂蒄螄袀膇莀螄肂羀莆螃螂芆节荿袄肈膈莈羇芄蒆莇蚆肇莂莇蝿节芈蒆袁肅膄蒅羃袈蒃蒄蚃肃葿蒃袅羆莅蒂羈膂芁蒁蚇羄膇蒁螀膀蒅蒀袂羃莁蕿羄膈芇薈蚄羁膃薇袆膇腿薆羈聿蒈薅蚈芅莄薅螀肈芀薄袃芃膆薃羅肆蒅蚂蚅衿莁蚁螇肄芇蚀罿袇芃虿虿膂腿虿螁羅蒇蚈袄膁莃蚇羆羄艿蚆蚆腿膅螅螈羂蒄螄袀膇莀螄肂羀莆螃螂芆节荿袄肈膈莈羇芄蒆莇蚆肇莂莇蝿节芈蒆袁肅膄蒅羃袈蒃蒄蚃肃葿蒃袅羆莅蒂羈膂芁蒁蚇羄膇蒁螀膀蒅蒀袂羃莁蕿羄膈芇薈蚄羁膃薇袆膇腿薆羈聿蒈薅蚈芅莄薅螀肈芀薄袃芃膆薃羅肆蒅蚂蚅衿莁蚁螇肄芇蚀罿袇芃虿虿膂腿虿螁羅蒇蚈袄膁莃蚇羆羄艿蚆蚆腿膅螅螈羂蒄螄袀膇莀螄肂羀莆螃螂芆节荿袄肈膈莈羇芄蒆莇蚆肇莂莇蝿节芈蒆袁肅膄蒅羃袈蒃蒄蚃肃葿蒃袅羆莅蒂羈 浅谈高校网络安全管理哈尔滨工业大学网络与信息中心 赵 旭 董永平 杨庆海作者简介：赵旭，哈尔滨工业大学网络中心网管工程师董永平，哈尔滨工业大学网络与信息中心副主任，高级工程师杨庆海，哈尔滨工业大学网络与信息中心主任，高级工程师摘要校园网作为学校信息化建设的基础设施，在教学、科研、管理等方面起着举足轻重的作用。随着校园网的深入应用，学校日常工作几经离不开它，保证校园网安全、可靠运行成为一个基本要求。从学校的应用情况来看，校园网是否能真正发挥效益，能否安全、可靠运行，关键还是要看网络的管理。一、校园网面临的安全问题校园网采用INTERNET（互联网）的成熟技术在局域网（）上加以应用，它工作有限的地理区域内，可实现网内设备间的高速互联，及连接国际互联网。校园网技术基本上具备了互联网技术的所用特性，这其中也包括系统开放性，这使得其设备一旦接入互联网就完全暴露在外网用户面前，就必然受到来自外网的安全威胁。同时，由于校园网自身的特性使得它还面临着来自内部网络的安全威胁。与政府或企业网相比，除网络中普遍存在的安全隐患外高校校园网还具有以下特点导致安全管理非常复杂：1、校园网的速度快和规模大高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于，目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体也比较大，少则数千人、多则数万人。中国高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快，对网络的影响比较严重。2、开放的网络环境由于教学和科研的特点决定了校园网网络环境应该是开放的、管理也是较为宽松的。比如，企业网可以限制允许浏览和电子邮件的流量，甚至限制外部发起的连接不允许进入防火墙，但是在校园网环境下通常是行不通的，至少在校园网的主干不能过多限制，否则一些新的应用，新的技术很难在校园网内部实施。3、活跃的用户群体高等学校的学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。如果没有意识到后果的严重性，有些学生会尝试使用网络上学到的、甚至是自己研究的各种攻击技术，可能对网络造成一定的影响。4、有限的投入校园网的建设和管理通常都轻视了网络安全，特别是管理和维护人员方面的投入明显不足。在大多数的校园网中通常只有网络中心的少数工作人员，他们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机的安全，院、系一级的计算机系统管理员对计算机系统安全是非常重要的。二、安全管理策略针对校园网受到的安全威胁，我们必须建立一套独立的、全面的、卓有成效的安全管理体系。提供最广泛且具有深度的网络安全管理服务以保护校园网内的各种资源部遭受到非法破坏，维护校园网的运行安全，以便发挥出校园网的最大功效。1、物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程!。其目的是保护计算机系统、服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面：环境安全对系统所在环境的安全保护， 确保计算机系统有一个良好的电磁兼容工作环境。设备安全包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。2、访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。2.1入网访问控制入网访问控制为网络访问提供了第一层访问控制， 它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。2.2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。 用户和用户组被赋予一定的权限。 网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源； 可以指定用户对这些文件、目录、设备能够执行哪些操作。2.3网络服务器安全控制网络允许在服务器控制台上执行一系列操作。 用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。 网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。2.4网络端口和节点的安全控制端口是虚拟的“门户”， 信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、 静默调制解调器加以保护，并以加密的形式来识别节点的身份。 自动回呼设备用于防止假冒合法用户， 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制， 用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。 然后，用户端和服务器端再进行相互验证。3、防火墙控制策略防火墙技术是保证网络安全最早!也是最广泛使用的产品，曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的“万能产品”，但是作为防止网络攻击，特别是来自外网的攻击，防火墙功能仍然是目前其他产品无法替代的。当前的防火墙种类很多，可以按照防范技术分为：包过滤型、入侵检测型、应用程序代理型等，也可以按照存在的状态分为：硬件防火墙和软件防火墙。虽然防火墙技术还在不断地发展，还无法100%地防范网络攻击，但是有效的防火墙可以有效地避免和防止大部分的外网攻击。据统计，一个优秀的防火墙产品可以有效地防范95%以上的网络攻击，并可以为新的攻击行为提供预警机制。防火墙的设置可以根据具体的功能而定，作为网络总出入口，可以设置高性能的硬件防火墙，而在内部的各个必要节点上则可以灵活设置其他的防火墙产品。通过必要的防火墙设置，可以按照服务功能将校园网划分成多个安全区域和公共区域，并定制多种防范策略，保证网络应用服务的正常开展。4、网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。 入侵检测的定义为，识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为， 同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权， 还有可能在一定程度上提供追究入侵者法律责任的有效证据。5、数据加密由于在现实生活中，我们要确保一些敏感的数据只能被有相应权限的人看到，要确保信息在传输的过程中不会被篡改、截取等，仅仅通过身份验证技术是不能做到的!这时我们就需要考虑应用数据加密技术对校园网上的信息进行加密处理了。常用的数据加密技术有两类：对称加密和非对称加密。 对称加密就是对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁。而非对称加密就是把密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。 对数据加密我们必须清楚的认识到。6、建立一支高素质人才队伍校园网是学校教学!科研和管理不可缺少的重要基础设施,校园信息化也成为影响学校未来竞争力的重要因素因此,校园网安全技术管理不仅任务重,其技术要求也越来越高网络安全技术人才队伍建设也将是校园网建设的重中之重。三、下一代互联网对网络安全的影响随着中国下一代互联网示范工程项目的建设。以技术为核心的下一代互联网建设和研究几经普遍开展，尤其是教育和科研领域。目前试验网已经有多所高校接入。安全性既涉及网络安全也涉及信息安全，是发展下一代互联网应注意的最关键问题。随着互联网的大规模商用化和在国民经济中越来越重要的地位，安全威胁成为一个必须解决的问题。通过集成IPSec，IPv6实现了IP级的安全。IPSec提供如下安全性服务：访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。1、 协议安全在协议安全层面上，IPv6全面支持认证头（AH）认证和封装安全有效负荷（ESP）信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法。ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。2、 网络安全端到端的安全保证。在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6报文进行透传，从而实现端到端的安全。对内部网络的保密。当内部主机与因特网上其他主机进行通信时，为了保证内部网络的安全，可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理，因此IPSec网关可以通过IPSec隧道的方式实现，也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道，构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点，为了满足转发性能的要求，该路由器需要专用的加密板卡。通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器，并且该路由器作为外部隧道的终结点将外部隧道封装剥除时，嵌套的内部安全隧道就构成了对内部网络的安全隔离。作为IPv6的一个组成部分，IPSec是一个网络层协议。它只负责其下层的网络安全，并不负责其上层应用的安全，如Web、电子邮件和文件传输等。为解决IPv6网络安全问题，IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备，但由于IPv6的一些新特点，IPv4网中现有的这些安全设备在IPv6网中不能直接使用，还需要做适当的改进。结束语互联网的分布特性决定了不可能从主干网上解决校园网的安全问题，加强校园网安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。加强校园网安全管理管理是当前非常迫切、充满挑战的任务。 膂芁蒁蚇羄膇蒁螀膀蒅蒀袂羃莁蕿羄膈芇薈蚄羁膃薇袆膇腿薆羈聿蒈薅蚈芅莄薅螀肈芀薄袃芃膆薃羅肆蒅蚂蚅衿莁蚁螇肄芇蚀罿袇芃虿虿膂腿虿螁羅蒇蚈袄膁莃蚇羆羄艿蚆蚆腿膅螅螈羂蒄螄袀膇莀螄肂羀莆螃螂芆节荿袄肈膈莈羇芄蒆莇蚆肇莂莇蝿节芈蒆袁肅膄蒅羃袈蒃蒄蚃肃葿蒃袅羆莅蒂羈膂芁蒁蚇羄膇蒁螀膀蒅蒀袂羃莁蕿羄膈芇薈蚄羁膃薇袆膇腿薆羈聿蒈薅蚈芅莄薅螀肈芀薄