校园网信息安全调查报告.docx

校园网信息安全调查报告2015黄永乐2013231013信管1班2015/12/30目录一安财校园网现景41.1 校园网建设过程41.2 校园网完善61.3 校园网安全设备7二.校园网安全建设82.2 制度健全管理规范，确保网络管理有章可循92.3 培养网络安全意识92.4 强化网络系统安全隐患防范应对措施102.5 定期系统安全监测11三 信息安全技术123.1 隔离控制123.2 杀毒软件133.3 过滤邮件133.4 入侵检测143.5 VLAN技术163.6 数据备份16四校园网建设建议174.1 延迟断网时间174.2 提高校园网网速174.3 何时校园网免费能实施184.4 校园网保护学生隐私18摘 要: 随着计算机网络技术的飞速发展，校园网普遍应用于高校信息数据管理，在接入 Internet 同时，确保校园网安全至关重要，校园网安全故障需要及时排除，安全隐患更需严加防范。针对高校校园网网络系统现状，提出了强化校园网安全隐患防范对策。关键词: 校园网络; 网络安全; 防范对策一安财校园网现景1.1 校园网建设过程信息化建设2001年以来，我校陆续建设了演播厅、学术报告厅贺多媒体教师150多间，所有媒体教室都和校园网相连，教师可以使用网络提供的数字图书资源、精品课程资源、多媒体课件资源等从事教育教学活动。2007年一期数字化校园的总体建设目标：建设我校的信息标准，实现信息标准到应用过程的权限管理，制度满足应用变化的信息标准的实施规范。建设数字化校园公共平台，即综合信息门户，统一身份认证平台和数据交换与共享平台，实现用户整合、应用整合和数据整合。实现用户权限管理、统一身份认证、应用整合管理、单点登录贺数据共享交换。实现学校已建业务系统（财务、教务、研究生管理系统、一卡通系统、赛尔毕博网络教学平台、科研管理系统）到数字化校园公共平台的集成；新建学生管理系统、人事管理系统。构建学校的信息安全体系和运行服务体系，保障数字化校园的健康可持续发展，为数字化校园的稳定高效运行提供强有力的保障。 现代教育技术中心（信息化建设办公室）是从事现代教育技术研究、开发、培训及提供网络服务的教学辅助单位，同时又是我校信息化建设、管理的职能部门。 中心于2000年成立，现有教职工15人，在读博士1人，在读研究生1人，本科生12人。分别负责我校的网络建设与管理、教育技术培训、多媒体教室建设和管理、全校大型活动的摄影、摄像，同时承担学校的信息化建设任务。为适应学校教育现代化和信息化发展的需要，建设了符合21世纪高等教育发展规律的现代化教育基础设施，中心本着“网络建设是基础，资源建设是核心，教学应用是目的”的原则，积极为我校的现代化教学和数字化校园建设服务网络中心（Network Center）。 1.2 校园网完善校园网一期工程于2001年10月份建成并投入运行。由于网络需求的不断扩大，原有的设计能力远远不能满足日益增长的教学、科研和管理的需要，2006年6月，对校园网进行升级、改造，并在龙湖东校区的图书馆新建网络中心核心机房，同时购买核心交换机Cisco7609 2台，Cisco6509 1台，千兆企业级防火墙两台，IBM560Q小型机1台、IBM DS4800光纤存储一台、H3C IP存储一台、各类服务器20多台。实现了东、西校区双核心交换机万兆高速互连、千兆到楼、百兆到桌面。目前，已布设信息点25400个；已开通建筑物80栋，三个校区共铺设光缆63.5公里；已注册用户总数9480户；提供了多种网络服务：目前校园网对外出口有三条：一条100 兆光纤与安徽省教育科研网互联，另外两条100兆光纤连接到Internet，使我校的对外出口带宽达到300兆，实现了与中国教育科研网、Internet的高速互联。满足了本科教育的网络规模和覆盖范围。校园网用户含教工家属、办公教学、学生用户及电信、联通、移动三家运营商的所有校园内有线网络用户和无线用户。 1.3 校园网安全设备我校对校园网安全也很重视，购买大批设备，维护校园网安全。学校安装有山石网科 SG-6000防火墙、安恒 WAF1000AG 应用防火墙、HVAWE X7180、Juniper MX960 路由器和Juniper EX4550 核心交换机等等。二.校园网安全建设 2.1 校园网安全隐患随着计算机网络技术的飞速发展，高校校园网网络系统( 以下简称校园网) 普遍应用于高校信息数据管理，信息数量大，调控范围广，保密等级多。在接入 Internet 同时，各种各样的安全隐患也日益显得突出，如硬件设备的安全、操作系统存在的漏洞、病毒侵害、黑客攻击、垃圾邮件、网络管理方面、用户安全意识薄弱等，严重威胁着校园网的正常运行，给高校的教学、科研、管理和对外交流带来不可估量的重大影响。因此，确保校园网安全至关重要，校园网安全故障需要及时排除，安全隐患更需严加防范。2.2 制度健全管理规范，确保网络管理有章可循重视网络管理制度建设配套健全的管理制度，是校园网网络系统安全不可或缺的重要保障条件。在校园网中，安全隐患客观存在，加强校园网网络系统的安全管理，有必要制定校园网网络系统安全的各种管理制度，通过严格而有效地执行管理制度，使得校园网网络系统的安全能够得到保证。因此，必须制定一系列健全配套的规章制度，如网络中心机房管理规定网络中心机房设备管理规定核心程序及数据严格保密管理规定校园网信息发布管理规定、校园网 IP 地址申请管理规定违反计算机网络管理规章制度的处理办法等等，确保校园网网络系统安全管理有章可循。要建立健全数据备份、数据修改制度，对应用系统重要数据要定期备份并对数据的修改要经过授权。随着网络技术的飞速发展，在执行各种管理规章制度的过程中，发现新的问题应及时补充到相应管理规定中去，使制定的规章制度不断完善、不断更新，确保网络系统安全运行。 2.3 培养网络安全意识加强网络安全意识，规范网络管理网络安全隐患的防范是一个系统工程，管理制度要严格执行，网络技术要规范纯熟，网络管理人员和使用用户的素质更要提高。制度要由人去执行和遵守，技术要由人去掌握和实施。因此，要经常加强对各级网络管理人员的安全意识教育，使他们自觉遵守和执行安全制度。还要教育校园网的所有用户，自觉遵守和执行国家有关安全保密的各种政策、法规，遵守本单位网络运行、使用的有关安全制度，养成良好的网络行为规范。要加强校园网安全规范化管理力度，夯实安全技术建设，成立校园网安全领导小组，并明确其岗位职责，制订校园网安全事故处理程序、应急方案等措施。各院( 处室) 、系( 科室) 要建立兼职的计算机管理、维护队伍。管理人员和使用人员的安全防范意识要不断提高，严格遵守和执行安全规章制度、安全技术规范和安全操作规程，做到重要设备有专人负责维护，并要设置相应的管理权限。严格实行运行、维护分离的岗位责任制，建立设备运行日志，记录设备运行状况。高校网络中心要建立 24 小时值班制度，发现问题及时解决。利用校园网络进行教学时，规范并提高教师和学生的计算机操作技能，增强安全防范意识。通过相关人员的协调合作，把校园网不安全的因素尽可能地降到最低，保证校园网络安全、正常地运行。2.4 强化网络系统安全隐患防范应对措施硬件优化升级，强化设备管护为了保障校园网网络硬件设备的安全运行，必须加大网络中心机房硬件系统的投资力度，强化机房网络设备的管理与保护，因此，高校应建设高标准的 IDC ( Internet Data Center，互联网数据中心) 机房，即: 机房要铺设防静电设备的专用地板，要安装环境监控系统、空调系统、UPS( Uninterrupted Power Supply，不间断电源) 系统、防雷与接地系统、气体灭火系统等，构建设备安全、稳定的网络运行环境。将重要网络设备集中在 IDC 机房放置管理、维护，共享机房资源，提高了网络设备运行的可靠性和安全性。对网络中心机房服务器必须进行相应的设置。(1)服务安全设置，即用 NTFS 格式分区、安装防病毒软件、关闭默认共享、安装入侵检测系统、及时备份等。(2) 用户安全设置，即禁用Guest账户、限制不必要的用户数量、关闭一些不需要的服务等方面。(3) 密码安全设置，即设置足够复杂的强密码并且要经常变换密码等。2.5 定期系统安全监测加强系统检测，及时修复漏洞针对系统安全漏洞如不及时采取防护措施，操作系统遭受攻击的几率就会增加，对校园网网络安全造成更大隐患。采用漏洞扫描系统定期对服务器、工作站进行安全扫描检查，查找网络安全漏洞，评估网络风险并根据检查结果制定详细可靠的修改方案。建议各高校网络中心建立校园网操作系统补丁服务器，对全校所有计算机的操作系统随时提供补丁的下载、升级更新服务，发现问题及时解决。如 Windows 优化大师软件，是一款功能强大的系统辅助软件，它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。还有 360 安全卫士软件，有漏洞修复、系统修复、优化加速等功能，它们能最大可能的弥补最新的安全漏洞和消除安全隐患，如果不安装具有系统检测、漏洞修复等功能的软件，计算机即使安装了防病毒软件也会反复感染，造成网络不通畅、阻塞，甚至会导致整个校园网络瘫痪等严重后果。三 信息安全技术3.1 隔离控制采用隔离控制，防止网络攻击防火墙它是一种隔离控制技术，主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成; 计算机流入流出的所有网络通信和数据包均要经过防火墙，使入侵者难以穿越防火墙的安全防线，难以接触目标计算机，是一项协助确保信息安全的设备。防火墙是一种应用广泛且行之有效的网络安全机制，能极大地提高内部网络的安全性，分为硬件防火墙和软件防火墙两种，硬件防火墙是安装在校园网的入口处，软件防火墙一般安装在主机上。如思科 Cisco ASA 5500 系列防火墙产品，能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN 连接。为了防止 Internet 上的不安全因素蔓延到校园网内部，进而对校园网络造成侵害，应根据不同网络的安装需求，做好防火墙内服务器及客户端的各种规则配置，定期保存防火墙的访问日志，及时发现攻击行为和不良的上网记录。3.2 杀毒软件 安装杀毒软件，定时杀毒升级杀毒软件，也称防毒软件，是用于消除电脑病毒特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能。防病毒软件分为网络版和单机版，单机版是安装在单台计算机上，只能保护单台计算机，网络版安装在网络服务器上，管理着整个网络。如果只安装单机版，网络上个别计算机感染上病毒有时也会影响整个网段的正常工作，如某台计算机感染 ARP病毒，ARP 病毒通过伪造 IP 地址，MAC地址实现ARP 欺骗，在网络中产生大量ARP 通信量使网络堵塞甚至整个网段网络瘫痪。为了防范计算机病毒侵害，校园网必须安装防病毒软件，最好是安装网络版杀毒软件。同时要经常更新杀毒软件的病毒库，只有及时更新升级才能保证防御新出现的病毒，这样才能保证整个校园网络的安全和稳定。3.3 过滤邮件完善邮件系统，邮件严格过滤垃圾邮件一般被理解为“不请自到的邮件”，还有一些垃圾邮件是因为它所带的附件包含有病毒，或所含的链接是一个病毒网站。垃圾邮件一般具有批量发送的特征，造成邮件服务器大量带宽损失，并严重干扰邮件服务器进行正常的邮件递送工作。在垃圾邮件控制和防范方面，可利用邮件过滤技术。垃圾邮件过滤就是识别出所接受到的邮件中哪些邮件是对接受方完全没有意义的邮件，并进行拦截、删除等操作。校园网必须采用邮件过滤技术，如Razor Gate 邮件过滤网关技术，该产品采用全球 IP 定位、多层拦截技术，多层拦截技术提供高达 98% 的拦截率和几乎为零的误判率，可以免遭垃圾邮件、病毒邮件、木马邮件、钓鱼邮件等的攻击。Razor Gate 邮件过滤网关还提供灵活的过滤策略，可以基于关键字、邮件信息、附件等对邮件进行监听、转发、隔离、阻止等。邮件过滤技术能有效的过滤垃圾邮件和病毒邮件，防范不良网络信息，保证了校园网用户的信息安全。 3.4 入侵检测建立入侵检测，进行实时监控入侵检测系统( Intrusion Detection System，IDS)的功能主要有: ( 1) 识别黑客常用入侵与攻击手段。( 2) 监控网络异常通信。( 3) 核查系统配置和漏洞。( 4) 完善网络安全管理。是一种主动保护自己免受攻击的一种网络安全技术，它作为防火墙的合理补充; 入侵检测技术是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备; 入侵检测技术能够帮助系统对付网络攻击，提高了信息安全基层结构的完整性。校园网必须安装入侵检测系统，如华为NIP200 网络入侵检测系统，该产品具有强大的入侵检测和监控能力，能实时采集网络系统中的信息数据，并通过综合分析和比较，判断是否有入侵和可疑行为的发生，提供扫描检测、后门( 木马) 检测、蠕虫检测、DOS 攻击检测、代码攻击检测等功能，可识别30 大类、几千种入侵行为。该设备特别适合于校园网采用。 3.5 VLAN技术采用 VLAN 技术，限制非法访问VLAN( Virtual Local Area Network，虚拟局域网)技术，是一种将局域网设备( 如交换机) 从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术; 是通过对交换机的配置，可以将某个交换端口或用户赋予某一个特定的 VLAN 组，该 VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN 中的广播不会送到 VLAN 之外，即某一 VLAN成员发出的数据包只发给同一 VLAN 的其它成员，而不会发给该 VLAN 成员以外的计算机;是一个可以改善网络的通信效率、避免网络广播风暴，使网络管理变得简单直观、安全有效; 对不同权限的VLAN 成员实现相互的访问控制，限制用户的非法访问，大大提高了校园网络的整体安全。VLAN 技术可以有效杜绝病毒和木马等恶意软件在整个网络上传播，这一新兴技术主要应用于交换机和路由器中，但目前以应用在交换机之间为主流。运 用VLAN 技术可将校园网按功能分类划分成几个不同的网段，各网段子网之间彼此隔离，是加强校园网络安全管理的有效手段之一。 3.6 数据备份定期数据备份，确保数据恢复数据是校园网信息安全的核心，数据保护至关重要。网络设备可以替换，但数据不可被破坏或丢失，否则，对校园网的正常管理和运行所造成的损失是无法估量的，甚至是无法挽回的。因此，必须设计并采用一套高效的数据备份和恢复系统。设计这套系统