谈校园网安全访问控制体系.doc

中文摘要谈校园网安全访问控制体系摘 要近年来，随着Internet的迅速普及和“教育要面向现代化、面向世界”指导思想的贯彻实施，各中小学相继建成或正在建设校园网。校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有十分重要的意义。然而，由于各种因素导致的校园网数据丢失、被修改或系统瘫痪等问题屡有所闻，校园网的安全建设成了一个急待解决的问题。本文就我工作单位校园网的特点，对校园网安全的探索与实践提出一些看法。关键词：校园网；安全威胁；病毒攻击；数据泄露；最小授权III目 录 摘要I1 引言12 校园网硬件结构与软件系统12.1 硬件结构12.2 软件系统22.2.1 操作系统22.2.2 网关软件22.2.3 杀毒软件22.2.4 防火墙软件22.2.5 Intranet服务软件33 校园网建设中有关安全方面的问题及解决33.1来自外部的安全威胁及防范33.2 来自内部的安全威胁及防范43.2.1 IP盗用43.2.2 病毒攻击53.2.3非法站点的访问53.2.4 数据泄露54 关于建设更安全校园网络思考74.1 采用入侵检测系统74.2 身份验证74.3 Web、E-mail、BBS的安全监测系统74.4 漏洞扫描系统74.5 利用网络监听维护子网系统安全74.6 建立并严格执行规章制度84.7 应急处理和数据备份84.8 遵循“最小授权”原则和采用“信息加密”技术8参考文献9 1 引言随着校园网建设在各地的开展，我校（郑州电子信息职业技术学院）初步建成自己的校园网，这样有关校园网的安全问题也就显现出来。本校教师有300多名，校园网上的用户达150余户。为了保障教师的心血及电脑的安全，防止被他人所破坏；在这种复杂的应用面前，如何保证关键资产数据的安全性，保证校园网的畅通性，保证各类信息的准确性，成了校园网系统管理员面临的难题。如何在校园网络及其信息系统中搭建安全控制体系，使本校的校园网安全、稳定、高效地运转，已成为学校领导越来越重视的问题。2 校园网硬件结构与软件系统2.1 硬件结构1、网络硬件：百兆以太主干网，楼与楼之间使用光纤连接，楼内使用双绞线到户。2、拓扑结构：树形拓扑结构。3、主干网连接：中心机房采用光纤接入Internet，带宽20M。4、网络分布图：图2.1图2.22.2 软件系统2.2.1 操作系统网关服务器及应用服务器均使用Windows Server 2003 SP2，用户计算机采用Windows 98/Me/2000/XP/2003/Vista等操作系统。2.2.2 网关软件Kerio WinRoute Firewall 6.5.1（简称KWF），该软件在提供路由的同时还内置防火墙、VPN、带宽限制、病毒检测等功能。2.2.3 杀毒软件网关服务器及应用服务器均安装Symantec Antivirus 000企业版客户端，用户计算机使用诺顿、Mcafee、金山毒霸、瑞星、江民等杀毒软件。2.2.4 防火墙软件网关服务器使用KWF内置的防火墙，应用服务器使用ISS BlackICE Server Protection，用户计算机采用Windows XP自带的防火墙或ZoneAlarm Pro、瑞星个人防火墙、金山网镖、天网个人防火墙、费尔个人防火墙等。2.2.5 Intranet服务软件Web服务：使用Windows 2000 Server内置的IIS5.0。FTP服务：使用Serv-U FTP Server 5.2。即时通讯服务：使用腾讯通3.61实时协作版。3 校园网建设中有关安全方面的问题及解决校园网及其信息系统所面临的安全威胁既可能来自校园内部，又可能来自校园外部。主要有以下几种情况：“黑客”、数据泄露、IP盗用、病毒攻击、非法站点的访问和E-mail问题。所有的入侵攻击都是从用户终端上发起的，往往利用被攻击系统的漏洞肆意进行破坏。针对校园网的各种安全隐患，深入分析产生这些安全问题的根源、以及随时出现的网络安全需求，通过采取相应的网络安全策略，将安全技术与教育管理结合起来，就可以建成一个安全、通用、高效的校园网络系统。3.1来自外部的安全威胁及防范从学校的网络拓补结构可以发现，“黑客”要想从外部威胁校园网，只有通过网关服务器，因此，做好网关服务器的安全工作是关键。刚开始网关使用的是“阿尔法 V6 路由器”，经过一段时间的使用，发现该路由器不太适用，原因如下：不能支持B类地址掩码，局域网的掩码只能支持，而无法支持。不能针对不同用户设置不同的访问Internet的权限。日志功能太弱，难以对网络出现的问题进行分析。Internet出口带宽被限制为10M，而学校从电信局接入的光纤带宽是20M，造成巨大的浪费。路由器的处理器性能太低，内存不够大，难以适应越来越多的网络应用。所以决定改用一台专门的计算机安装网关软件作为网关服务器。最终采用一台赛扬D2.53G、256M内存、40G硬盘、双百兆网卡的计算机担任网关。该网关服务器安装Windows Server 2003 SP2，安装时选择最小化安装，一些不需要的组件如：IIS、FTP、SMTP等均不安装，网络协议也只安装“Microsoft 网络客户端”和“Internet协议（TCP/IP）”两项，安装后立即进行“Windows Update”，安装最新的系统补丁，最大限度的减小系统漏洞对网络安全的威胁。操作系统安装完成后，立即安装Symantec Antivirus 000企业版客户端杀毒软件，并更新病毒库，保证对最新病毒的查杀。最后安装网关软件。在网关软件的选择上也费了一番功夫，最终选定了“Kerio WinRoute Firewall 6.5.1”（以下简称KWF），因为该软件在提供最基本的网关、路由功能的同时，还提供了两样对网络安全来说至关重要的功能：防火墙和反病毒功能。有了防火墙功能，可以有效的防范外部威胁，并可将各种威胁记录到日志中以供分析与防范。反病毒功能则可以对内部网与Internet之间传输的数据进行双向扫描，检测到病毒时，将终止病毒的传输，并记录到日志中，这样就可阻止大部分病毒进入校园网。3.2 来自内部的安全威胁及防范3.2.1 IP盗用每个校园网用户都分配一个固定IP，该IP与用户所在的位置关联，其规则是IP的第三段代表楼号，第四段代表房号。房号通常由3位数组成，将中间一位去掉即可：101房间、208房间、310房间转换后就是11、28、30。如：2号楼204房间，IP就是4；4号楼410房间的IP就是0。按此规则设置后，只要看IP就能马上知道该IP的位置，对于网络管理十分方便。每个用户还有两个备用IP，当用户有多台计算机时可以使用，如2号楼204房有三台电脑，其分配的IP就是4、24和24。为防止盗用别人的IP，在网关服务器上，使用“arp s IP地址 网卡MAC地址”命令将IP与MAC绑定。如果资金、条件许可，还应将网络中所有交换机更换为网管型交换机，直接在交换机上将端口与MAC绑定，防止用户将自已网卡的MAC地址修改为他人网卡的MAC地址，进行IP欺骗，盗用他人IP上网。在KWF的“Configuration（配置）”“Definitions（定义）”“Address Groups（地址组）”中，将已分配的IP逐一添加，然后在“Configuration（配置）”“Traffic Policy（流量策略）”中，设定只为地址组中的IP提供“NAT（网络地址转换）”服务，这样就只有被授权的IP能访问Internet。3.2.2 病毒攻击KWF软件内置了Mcafee杀毒软件。当用户访问带有病毒的网站、上传或下载被病毒感染的文件、发送带病毒的邮件时，都会被网关服务器终止传输，阻止病毒传播。但病毒还是可能进入校园网内，如尚未被检测到的新病毒、用户使用了带毒的软盘、光盘、可移动磁盘（如：U盘）等。因此，要求每台计算机都要安装并启用杀毒软件，并且要经常更新病毒库以应对不断出现的新病毒。当用户的计算机出现不正常时，要及时报告网络管理员，以确定是不是由病毒引起的故障。用户的计算机不仅要安装杀毒软件，最好也都要安装启用防火墙软件，如：瑞星个人防火墙、金山网镖、天网个人防火墙、Windows XP自带的防火墙、ZoneAlarm Pro等，都可以有效防止通过Windows RPC（Remote Procedure Call远程过程调用）漏洞进行传播的病毒。3.2.3非法站点的访问色情、暴力、赌博等非法站点的屏蔽一向是网络管理员头疼的问题，因为这些站点数量不少，且经常变动，幸好KWF提供了非常方便的过滤功能。在KWF的“Configuration（配置）”“Content Filtering（内容过滤）”下提供了“HTTP Policy（HTTP策略）”、“FTP Policy（FTP策略）”，可以按网址、网页中包含的内容等进行过滤。当访问到被限制的内容时，将被禁止，并可将访问者的信息记录到日志中。3.2.4 数据泄露硬盘中的私人数据被盗，甚至一些重要的文件被人恶意删除，有时真会给人一种痛不欲生的感觉。一台计算机最值钱的东西并不是CPU、硬盘等这些硬件，而是保存在计算机中的数据！数据泄露的原因有很多，可能是计算机中了木马、病毒等，也可能是因为开放了匿名共享的目录或共享目录的密码过于简单等。对于木马、病毒可通过杀毒软件和防火墙软件来解决，而对于因共享造成的数据被人非法访问等，就要依靠对系统进行相应的设置来解决。现在越来越多的用户计算机是安装Windows XP或Windows Vista，有不少用户在安装过程中为了方便，将管理员Administrator的密码设为空，这给系统留下了一个巨大的安全漏洞。因为Windows XP和Windows Vista都是基于NT核心，每个用户名都分属不同的用户组，不同的用户组拥有不同的权限。在Windows XP中常见的有以下几个用户组：Administrators：管理员对计算机/域有不受限制的完全访问权；Backup Operators：备份操作员为了备份或还原文件可以替代安全限制；Guests：按默认值，来宾跟用户组的成员有同等访问权，但来宾帐户的限制更多；Network Configuration Operators：此组中的成员有部分管理权限来管理网络功能的配置；Power Users：Power User拥有大部分管理权限，但也有限制。因此，Power User可以运行经过验证的应用程序，也可以运行旧版应用程序；Remote Desktop Users：此组中的成员被授予远程登录的权限；Replicator：支持域中的文件复制；Users：用户无法进行有意或无意的改动。因此，用户可以运行经过证明的文件，但不能运行大多数旧版应用程序；HelpServicesGroup：帮助和支持中心组。在Windows XP“控制面板”的“用户帐户”中创建的帐户通常可选择两种帐户类型：计算机管理员、受限用户。计算机管理员类型属于Administrators组，拥有不受限制的完全访问权，而受限用户属于Users组，无法对系统进行有意或无意的改动。Administrator用户也是属于Administrators组，将其密码设置为空或弱口令，则恶意者很容易就获取对系统的完全控制权，只要在Internet Explorer中输入“你的IP地址c$”就能看到你C盘的所有内容！将c$改为d$就能看到D盘的内容，可以说，每个盘都将一览无遗。“c$、d$”这些是Windows 2000/2003/XP/Vista安装后自动生成的，要防止被人偷窥，只要给你的每个用户名加上强壮的密码即可。何谓强壮的密码呢？以下几个规则可供参考： 至少7位字符，系统用户一定要用8位字符的口令；大小写字母混合，把数字无序地插在字母中；口令中包含“、！、#、￥、%、*、？、”等符号；不使用英语单词，不使用个人信息（如生日、姓名、电话等）；不要在不同系统上使用同一口令。再强壮的密码也有可能被泄漏，因此定期更换口令是至关重要的一步。以上重点分析了该学校校园网硬件结构、软件系统及安全维护方案措施。下面重点谈谈自己对校园网安全的几点思考。4 关于建设更安全校园网络思考4.1 采用入侵检测系统在校园网中构架一套完整立体的主动防御体系，需要同时采用基于网络和基于主机的入侵检测系统。首先，在校园网比较重要的网段中放置基于网络的入侵检测产品，不停地监视网段中的各种数据包。如果数据包与入侵检测系统中的某些规则吻合，就会发出警报或者直接切断网络的连接。其次，在重要的主机上（如WWW服务器、E-mail服务器和FTP服务器）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。4.2 身份验证身份验证技术可用于判断对象身份的真实性，是校园网上信息安全的第一道屏障。除校园卡外，校园网上的身份验证技术主要是口令机制，如各种开机口令、登录口令、共享权限口令等。对这些口令的保护除建立严格的保密机制外，口令的设置方法非常重要。4.3 Web、E-mail、BBS的安全监测系统在校园网的WWW服务器、E-mail服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet上传输的内容，并将其还原成完整的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，并向上级安全网管中心报告。4.4 漏洞扫描系统解决网络层安全问题的方法是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式，最大可能地弥补最新的安全漏洞并消除安全隐患。4.5 利用网络监听维护子网系统安全要解决校园网内部的侵袭问题，可以对各个子网做一个审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序，其主要功能是长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。4.6 建立并严格执行规章制度规章制度作为一项核心内容，应始终贯穿于系统的安全生命周期。校园网络的安全管理制度应包括：确定安全管理等级和安全管理范围，制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。任何规章制度的意义都在于实施，严格执行安全管理制度是网络可靠运行的重要保障。4.7 应急处理和数据备份应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时，应及时向用户发出安全通告，并提供各种补丁程序以便下载。数据是整个网络的核心，做一套完整的数据备份和恢复措施是校园网迫切需要的。对易受到攻击的Web服务器，配置网站监控与恢复系