校园网络安全论文.doc

随着国家网络信息化建设的飞速发展，有越来越多的学校建立起自己的校园网络进行教学和管理，同时，通过Internet的远程教育网络，教育不再受国家、地区、学校、学科的限制，学生能够充分享受教育的多面性、多样性，提高学生学习的趣味性、选择性。但与此同时，愈演愈烈的黑客攻击事件以及非法信息的不断蔓延、网络病毒的爆发、邮件蠕虫的扩散，也给网络蒙上了阴影。在高速发展的校园网及远程教育网络系统中也同样存在着威胁网络安全的诸多因素。 一般来讲，中小学校园网在安全方面的隐患和威胁虽然也主要来自于病毒和黑客入侵，但其要防护的重点则有着特定的需求。对于校园网而言，需要加强安全防范和管理的体现在三个方面： 一、防范病毒入侵 目前，网络中存在的病毒已经不计其数，并且日有更新。而随着红色代码、Nimda、SQL Slammer等病毒的一再出现，病毒已经成为一种集成了蠕虫、病毒和黑客工具的大威胁，同时其利用邮件这一应用最广泛的手段，随时准备毁坏数据、致瘫网络。 二、监控网络流量 Internet的开放性使得网络信息错综复杂，学生可以轻而易举地访问和浏览各类站点，包括色情、暴力及游戏等不良站点。各种非法、有害的信息：色情的、暴力的，甚至邪教的歪理邪说等，都会通过Internet肆无忌惮地涌入校园，使中小学生这一未成年特殊群体极易受到上述信息的不良诱导，在其幼小的心灵深处埋下灰色烙印。 三、保护关键资源 教学资料、考试试题、学生档案、招生信息等重要数据是校园网中最宝贵的关键资源，也是非法入侵者的攻击对象。2002年一位教师为发泄自身不满，侵入了学校服务器，修改并毁坏了许多学生成绩档案，给学校和教育部门造成了巨大的损失。同时，一旦有病毒爆发，这些数据也将面临毁坏或丢失的威胁。 通过以上对校园网安全问题的分析，冠群金辰认为虽然校园网络中各个环节都存在着安全隐患，但要做到全面防护也是有章可循的，整体而言，应该从网关、网络以及主机三个层面进行立体的安全防护。 网关防护，御敌门外事半功倍 网关，就像学校的大门一样，是校园网络联通到Internet的出入口，同时，也是大部分病毒和入侵行为的必经之地。所以把好这安全第一关，可以极大地减轻校园网内部的安全防范压力，起到事半功倍的作用。 冠群金辰信息安全深层防御框架在这道至关重要的关卡上，冠群金辰相应的解决方案是部署轩辕防火墙以及赤霄邮件过滤网关。防火墙的必要性已经无需多言。冠群金辰的轩辕防火墙是集多种功能于一体的高性能硬件防火墙，支持NAT、透明模式等多种工作方式。轩辕防火墙除了具有状态检测、用户认证、NAT/PAT、虚拟防火墙、透明代理等功能特点外，还具有丰富的防火墙增值功能，如虚拟专用网、流量整型、防病毒、入侵检测、DNS和DHCP服务、WEBCache服务等，其简便的管理方式，极佳的性能价格比使得轩辕防火墙可以全面满足校园网络边界保护的需要。 在针对网关的安全防范中，最值得一提的是关于邮件过滤系统的应用。 由于目前90以上的病毒通过邮件进行传播，因此对于病毒的防范也必须有的放矢。根据用户的需求，冠群金辰公司在2002年特别研发了赤霄邮件过滤系统，该产品是一个集中检测带毒邮件的独立硬件系统，部署于网关处，可以在邮件到达用户网络前，进行病毒扫描，确认无毒后再将邮件发送到邮件服务器中，最后抵达用户邮箱的邮件是确认无毒的。这样做大大减轻了邮件服务器以及网络中查杀病毒的负载，同时，也避免了用户在不知情的情况下操作邮件造成病毒发作。 为了保护用户的投资，冠群金辰所设计的赤霄邮件过滤系统与用户所采用的邮件服务器操作系统无关，而是基于协议的监测，并且支持SMTP认证。这样，无论用户更换怎样的邮件系统，赤霄邮件过滤系统都能够始终如一地提供网关邮件过滤和防病毒的保护。由于KILL病毒过滤网关的物理旁路性和冗余性，它确保了邮件系统的高性能、高可靠性和高兼容性。赤霄KILL病毒过滤网关同KILL安全胄甲一样可以自动进行病毒特征码升级。从而可以有效地防范了计算机病毒越来越多地通过HTTP/FTP/邮件方式传播的途径。 网络监控，非法访问一目了然 对于校园网而言，了解学生们在网络中都浏览了哪些内容并制定针对不良信息的访问规则是十分重要的，冠群金辰的干将/莫邪入侵检测系统是一款非常出色的入侵预防及网络监控产品，它能监控网络流量、实时检测可疑的网络活动和入侵攻击，它还可同路由器、防火墙等设备实现联动，协调各种安全保护措施，使其最大程度地发挥整体安全的作用；除此之外，干将/莫邪入侵检测系统能检测网络流量中的病毒，防止病毒在网络上的传播，干将/莫邪入侵检测系统还拥有防止资源滥用能力，比如动态URL限制。干将/莫邪入侵检测系统强大的网络检测、分析、报告和管理能力为网络安全提供了可靠的保障。 同时针对校园网络的特定需求，冠群金辰还制定了专供中小学反黄及防止访问非法网站所用的专用版，可以全面实现对网络的全面监控，其主要的功能包括了： 防止非法信息访问 A. 可以监测校园网内所有计算机正在浏览的网页是否浏览不良页面。通过我们建立的规则可以察看各种违反规定的信息，可以看到浏览网页的人、计算机、时间和内容。 B. 下载60万个网站，按黄色、暴力等分级别管理。添加到URL列表中即可限制访问。冠群金辰的URL列表库每两天升级一次。 C. 获取不良网站信息直接添加入限制列表，限制访问。 一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用一定的技术；二是不断改进管理方法。从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等，这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。网络现状中央财经大学是一所面向全国，以经济学和管理学为主，法学、文学等学科相互支撑、协调发展的综合性大学。该大学校园网一期工程为全校教育和科研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国教育和科研计算机网（CERNET）与Internet互连，其服务对象主要是校内的教学、科研和行政管理单位。原先校园网结构是：校园内建筑物之间的连接选用多模光纤，以电教楼为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。CISCO Catalyst8540十三槽多业务路由交换机作为中心交换机；二级交换机为CISCO Catalyst 5505和CISCO Catalyst 2924。安全隐患当时，校园网络存在的安全隐患和漏洞有：1、校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等，这些系统安全风险级别不同，例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞；Unix由于其技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、Unix自身的病毒等等，这些都对原有网络安全构成威胁。4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。解决方案及具体实现根据中央财经大学校园网的结构特点及面临的安全隐患，我们在广泛征集各方意见、悉心比较的基础上，决定采用北京瑞星公司设计的校园网络安全体系方案。瑞星公司在系统、科学地分析计算机网络OSI模型的基础上，确定了以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。 一、防火墙部署我们在Internet与校园网内网之间部署一台瑞星RFW-100防火墙，成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性：1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。二、入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点，我们采用瑞星入侵检测系统RIDS-100，对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将RIDS-100入侵检测引擎接入CISCO Catalyst8540中心交换机上。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使得学校管理员能够及时采取应对措施。三、漏洞扫描系统我们采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。四、瑞星网络版杀毒产品部署在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。1）在学校网络中心配置一台高效的Windows2000服务器安装一个瑞星杀毒软件网络版的系统中心，负责管理1200多个主机网点的计算机。2）在各行政、教学单位等20多个分支机构分别安装瑞星杀毒软件网络版的客户端。3）安装完瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4）网络中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它1200多个主机网点的客户端与服务器端，并自动对瑞星杀毒软件网络