多层次校园网的安全体系分析与构建

多层次的校园网安全体系分析与构建 贵州大学本科毕业论文 第 14页引言 随着计算机通讯的飞速和不断的普及，充分利用各种信息也正成为了一种世界性行为,尽快尽早地建设校园网保证校园网安全将是显著的和长远的。随着社会的不断发展，教育信息化的不断得推进，使得各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀,网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠），如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，使得解决网络安全问题刻不容缓。本文着重论述了校园网的安全体系与构建。近年来，校园网络的建设在中学掀起一股热潮，许多中学都建起了自己的校园网，形成了一个覆盖全国的机网并通过专线与Internet连通。这一方面加强了学校与国内外的联系，有利于及时了解国内的信息，有助于提高学校的科研教学水平；另一方面，校园网的建立以及其为基础的管理信息系统的开发，也有利于各学校管理水平的提高。建设校园网对每个学校来说都不是一件容易的事情，校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。因此，每个校园网的设计、构建都要经过周密的论证、谨慎的决策和紧张的施工。第一章 校园网安全体系分析1.1什么是校园网 校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。 首先，校园网应为学校教学、管理、科研提供先进的信息化教学环境，因此校园网是一个宽带、具有交互功能和专业性很强的局域网络。教学管理系统、多媒体教室、教育视频点播系统、电子阅览室以及教学、考试资料库等，都可以通过网络运行工作。 校园网还应满足校内外的通讯要求。包括Internet服务、远程教育服务、数据广播信息下载、视频会议及IC卡服务等。 建网要遵循“依据需求、统筹规划、分步实施、成熟可靠”的原则。 校园网建设的方案要符合学校长远发展规划，应将基础设施建设、教学和管理软件建设和人员培训统筹规划。 1.2校园网络安全所面临的威胁 校园网络不同于其它类型的网络，校园网需要提供开放的网络资源，同时又要保证整个校园网络的安全。与其他网络一样，校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前，针对网络的攻击主要来自两个方面，一是来自外部公网的攻击，另一方面是来自内部的攻击。对于大型校园网而言，由于其内部用户众多，来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例，而造成的破坏性大大超过外部攻击。由此可见，校园网络上常见的安全威胁主要有以下几类。1.2.1非法使用：资源被非授权的用户（也称非法用户）或以非授权的方式（非法权限）使用。例如攻击者通过猜测账户和密码，从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件，如考试试卷等。1.2.2拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器（如Web、DNS、FTP、E-mail等）不断发起连接或请求响应，进行DoS或DDos攻击，致使服务器负荷过重而不能处理合法任务。1.2.3信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。1.2.4数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作，而使数据的一致性被破坏。例如，校园网中重要服务器(如学生成绩数据库、校园一卡通数据库等)上的敏感信息。病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。1.2.5非法数据的任意传播：对非法或大量网站的任意访问以及这些信息在校园网内部被任意传播。据权威统计数据显示，30%40%的校园网用户访问互联网是与学习、工作无关的。有的甚至去访问色情、暴力等网站。这样不但造成网络资源的严重浪费，而且色情、暴力等不良网络内容，还将极大地危害青少年的身心健康，导致无法想象的后果。1.3校园网的安全体系分析建立校园网安全机制前，我们对校园网的安全威胁进行了详细的分析，校园网络存在的安全隐患和漏洞主要有以下几个方面：(1) 校园网通过与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。(2) 校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。(3) 目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等，这些系统安全风险级别不同，例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等；UNIX由于技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、病毒等。(4) 随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。(5)内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见；(6)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。由此可见，构筑具有必要的信息安全防护体系、建立一套有效的网络安全体系和安全机制显得尤为重要。第二章 校园网安全体系的构建随着计算机技术的发展，校园数字化、网络化程度越来越高，网络设备的性能也逐年增强，校园网已成为现代教育中不可缺少的平台。但是，由于网络系统的开放性以及自身的脆弱性，网络也面临着各种安全的威胁。下面介绍如何构建校园网的安全体系以确保校园网的安全运行。2.1 构建防火墙系统防火墙技术是保证网络安全最早、也是最广泛使用的产品，曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展，防火墙已经不是网络安全的“万能产品”，无法100%地防范网络攻击，但是有效的防火墙可以有效地避免和防止大部分的攻击。据统计，一个优秀的防火墙产品可以有效地防范95%以上的网络攻击，并可以为新的攻击行为提供预警机制。防火墙和入侵检测系统一般部署在校园网络的边缘或者是校园网络中的某个集中出口或链路上，可以提供对整个校园网的从外到内或从内到外的攻击行为的监视和防护，目的为了防止校园网外的攻击者。在校园网络接入Internet的边界，部署一台东软Neteye4032防火墙，将服性务器群配置在DMZ区。在防火墙设置上我们按照以下原则配置来提高网络安全：a. 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容，包括协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口，如80、21、25等。b. 配置防火墙，过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。c. 通过配置边界防火墙对HTTP网址过滤和网页内容过滤，一般情况下多配置HTTP网址过滤（加入需要过滤的网址列表），来管理师生员工上网的行为，提供工作的效率，保证正常的数据流量，屏蔽各种“垃圾”信息，从而保证内部网络的“绿色环境”。d.定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量，可以保证校园网内的资源利用最大化。入侵检测系统是针对网络上的可疑入侵行为做出策略反应，及时切断入侵源，记录并通过各种途径通知网络管理员，被认为是边界防火墙之后的第二道闸门。一般情况下，将防火墙和入侵检测系统配置为联动状态，入侵检测一旦发现可疑行为就通知防火墙实施阻截。2.2 配置包过滤的路由策略在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL（Access Control List），开放从内向外的任何访问，从外到内仅允许访问特定服务器的特定端口，拒绝某些特定端口的数据包通过来限制病毒传播的区域，尽量减小网络病毒的影响。在核心交换机（华为8508 ）和某些汇聚层交换机（Cisco 3550）等上配置ACL，拒绝445、135、1434、6667等端口的数据包，并形成日志文件上报日志服务器，通过对日志服务器收取的数据进行分析确定病毒源。2.3 在校园网络中利用VLAN和PVLAN技术VLAN（Virtual Local Area Network）设计在校园网中可以起到举足轻重的作用, VLAN设计的总体原则为提高校园网的效率以及网络安全性。在校园网络中可以采用基于用户的VLAN划分的策略。校园网的管理者可以按用户的身份把不同类型身份的用户设在一个VLAN中，而不用考虑用户在校园网的哪个位置、是连到哪台交换机的哪个端口上，系统都会自动帮助用户完成VLAN的设定，这样就可以很方便地根据用户权限的不同划分一个个的“安全域”。因此，校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作，即使用户移动了位置，它所连接的交换机端口变了，但它同样还是会在原来其所在的“安全域”中，对他的所有安全策略完全生效。2.4 在校园网络中使用用户接入控制技术校园网一般要覆盖学校宿舍区、教学区、试验区、网络中心、办公等区域，这些区域的网络使用对象不同、网络接入的要求也不同，对网络使用的需求也不同。应针对目前校园网络中不同职能区域使用的特点和要求，进行分区域控制，同时又要实现各区域网络的统一认证和管理。用户接入控制技术只允许合法的、值得信赖的端点设备接入网络，而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生，并自动实现事件响应，最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益，防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等，其中地址绑定技术又可分为交换机端口与用户MAC地址的捆绑以及用户IP地址和MAC地址的捆绑；常用的用户认证技术包括PPPoE、802.1等。采用单一技术手段通常不能很好地解决校园网用户接入管理的问题。为此，首先需要了解各种技术的机理、适用性和限制，有针对性地选用合适的技术，并注意各种手段的综合运用，以达到接入控制的目标。但又鉴于目前各高校对校园网建设投入的资金的多少，许多校园网络没有实现统一的认证，即使这样也要根据不同的区域实现不同的接入控制技术，如计算中心的各学生机房采用ISA Server 2000代理的方式接入校园网，可以灵活设置不同的区域、不同的时间段，各区域计算机不允许上互联网（实训课）、可以浏览网站，查询资料但这时不允许学生QQ以及玩网络游戏，从而保证上机时的教学质量。2.5 病毒防御和补丁程序的自动更新近年来出现大量的网络病毒，如冲击波、震荡波、红色代码、欢乐时光、蠕虫病毒等，只要校园网中一台计算机感染了病毒，病毒就会自动寻找校园网中计算机的漏洞，然后入侵感染计算机，占用大量带宽，造成网络出口阻塞，影响网络的正常运行。因此，计算机病毒的防范是校园网安全性建设中重要的一环。要防范网络病毒的传播，必须采用集中式病毒防杀措施，即在校园网中建立病毒防杀中心。比如安装北信源网络防毒软件，它可以实现对联网计算机进行统一的病毒清除，及时公告病毒防杀信息，自动更新和升级病毒库，为联网计算机提供在线杀毒功能，提供电子邮件病毒网关或病毒引擎功能，与电子邮件系统集合，对病毒邮件进行过滤。利用北信源内网安全管理系统的补丁分发系统实现对用户客户端的操作系统补丁程序，消除用户计算机的漏洞，防止计算机被病毒再次感染。2.6 配置可以采集校园网各处信息的检测系统在中心交换机（华为8508）上配置端口镜像，通过网络监听软件（如Sniffer），检测、分析网络中有问题的计算机，如大量发布广播包的机器。2.7优化应用系统配置应用系统作为网络服务最核心的部分，在采取其他必要措施保证网络应用系统安全运行的同时，应用系统本身的安全设置也非常重要，因为所有的应用系统都不同程度地存在着缺陷：一方面系统设计和开发的延时性使漏洞的存在无法避免，而另一方面应用系统的服务配置也存在很多不安全的因素。对于系统存在的漏洞，必须采取积极的漏洞补救措施安装补丁程序及时对系统的漏洞进行弥补；而对于应用服务安全配置，必须在服务系统构建之时就对应用系统配置文档进行研究，根据实际应用对配置进行优化，以减少应用服务上的漏洞，同时减少和关闭不必要的服务和端口，降低系统安全隐患。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行检查，并根据检查结果向系统管理管理员提供周密、可靠的安全性分析报告。2.8二进制日志在校园网中，当出现后果严重攻击行为时，例如擅自篡改学校主页、发表非法言论等行为时，要做到发生攻击时有依据可查，这时可以通过安全设备的日志功能来完成对网络行为的记录。在Web服务器上利用AWStats进行日志统计分析，通过对日志进行统计、分析、综合，就能有效地掌握服务器的运行状况，发现和排除错误原因、了解客户访问分布等，能够有效掌握系统运行情况以及网站内容的受访问情况、加强对整个网站及其内容的维护与管理。2.9 技术与管理相结合技术与管理不是孤立的，网络信息安全不仅仅是一个技术问题，也是一个管理问题。要保证系统安全的关键，首先要做到重视安全管理，可以说，校园网的信息安全，是一个整体的问题，制定与时俱进的整体管理策略，并切实认真地实施这些策略，才能达到提高校园信息系统安全性的目的。2.9.1客户端的安全制度校园网安全并非是购买和安装了安全产品就可以一劳永逸的事。新的安全漏洞不断涌现，新型病毒也不断产生，对于这些不断出现的安全威胁，安全方案只能起到一定作用，“三分技术、七分管理”对于校园网络安全来说也是这样。一方面用户需要充分建立物理上的安全解决方案，另一方面用户还需要制定一套行之有效的安全制度。这些制度主要是从约束员工的操作行为入手。如在自己的权限内共享网络信息，学会防范黑客的恶意攻击，提高自我保护意识，不打开来历不明的电子邮件的附件和陌生人发送的文件和链接，及时更新升级杀毒软件和更新系统的补丁程序等等。2.9.2引导学生善用网络技术 为数不少的学生对网络技术非常感兴趣，有些水平还非常高，只靠“防”和“堵”是不行的，应该引导学生将网络技术运用到校园网的安全建设，从而既满足了学生的表现欲望，又保障了校园网的安全。 2.9.3提高网络安全意识 许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏，这样就需要定期对教师和学生进行计算机病毒、网络安全方面的培训，如讲解计算机病毒的危害、网络黑客的危害等，提高他们的校园网安全防范意识和技能。 2.9.4完善规章制度 常言说：“三分技术，七分管理”。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。仅有正确的引导是不够的，还会有个别学生越轨，这时候就需要制定一整套的规章制度来约束个别学生的行为。 2.9.5安全计划包括建立校园网络的安全政策，掌握保障安全性所需的基础技术，并规划好发生特定安全事故时应该采取的解决方案。2.9.6提高网络管理人员的技术水平建立一支高素质的人才队伍网络管理的主体是人才队伍，无论是设计和构建安全、可靠的校园网系统，还是日常网络的科学管理，都需要业务精通、技术水平高的专业人才。在校园网安全系统的建设中，无论采用何种先进的技术，还是采用什么先进的安全产品，如果缺少一支技术过硬、责任心强的专业队伍，则很多的先进设施充其量不过是“摆设”。因此，校园网安全技术管理不仅任务重，其技术要求也越来越高，网络安全技术人才队伍建设也将是校园网建设的重中之重。总之，校园网的安全问题不仅仅是技术的问题，而且包括教师、学生等人的因素，必须在意识和管理上自始至终重视校园网的安全建设。第三章 总结随着互联网的迅速发展，校园网面临的安全性威胁是多方面的。要提高校园网的安全性能,需要运用当前先进的网络安全技术,建立完善的防护措施。由校园网所面临的安全性威胁可以看出,提高校园网络的安全性已经是各个学校的当务之急,提高安全性首要的就是加强校园的安全管理工作。校园网的安全管理可以借鉴一些成功的比较完善的学校的经验。3.1.安全服务和安全保障3.1.1网络安全基础设施:防火墙是校园网信息安全保障的核心点,它负责校园网中最根本的信息服务系统的安全。通过部署防火墙,实施严格的数据流监控,同时在防火墙和服务系统上做了较为详细的日志记录,为安全事件的事后取证工作提供依据。3.1.2垃圾邮件过滤系统和防病毒邮件网关:例如为全校教师和学生提供唯一域的邮箱账号,共用同一个邮件服务器有利于方便的管理。对垃圾邮件和病毒邮件分别进行处理,采用过滤系统和邮件防病毒网关对邮件进行过滤,将垃圾邮件的数量降到最低,以提高网络的效率。3.1.3桌面防病毒系统:例如在校园网采用了SymantecAntivirus企业版的解决方案,对校园网的桌面防病毒系统进行集中管理,实现自动从服务器获取新的病毒定义,实时具备最新的防护能力,无须用户再干预。另外,通过管理端不仅可以清楚地了解网络中感染病毒主机的比率情况,而且还可明确主机感染了何种病毒。3.1.4漏洞补丁管理和发布系统:校园网内以Windows系统为主,而Windows系统漏洞的危害较严重,可以在校园网内专门设置Windows系统漏洞补丁管理和发布服务器,用于对校园内的Windows系统进行统一管理,从本地服务器下载更新补丁程序。另外,为避免补丁程序更新不及时或其它意外因素,对重大的漏洞补丁程序,以传统的网络公告方式发布并提供直接下载,有效地避免恶性安全事件的大范围发生。具备完备的安全设施是安全保障的必要条件,但更重要的是网络安全管理的规范化和拥有专业化的安全管理团队。通常情况下,设备或系统都有专门的系统管理员。另外,还可以设立了网络安全紧急响应小组,专门负责处理那些重大的紧急安全事故。从硬件、软件到人各个方面进行规范化管理,将安全威胁降到最低,保证整个网络的安全运行。加强校园网安全管理措施的建议：由于每个学校机构设置和技术能力的不同,相应的实施安全管理方案也有所区别,校园网信息安全解决方案,可以将校园网安全管理总结为两个方面:第一,网络安全设备方面;第二,网络用户和管理员,即人员的方面。首先,配备完整系统的网络安全设备。在网内和网外接口处配置一定的统一网络安全控制和监管设备,加强网络的访问控制能力,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。对邮件系统建立统一服务器系统,方便垃圾邮件的检测和拦截。统一桌面防毒系统,使其能够自动升级,实时具备最新的防护能力。通过配置安全设备可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。其次,要加强对使用人员的管理,这里的使用人员包括用户和管理员。对于用户,尤其是新生,应该进行网络安全教育,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。对于管理人员要定期进行培训,以提高其专业方面的素质,使他们具有较高的网络管理水平,要做到及时进行漏洞修补和定期检查,保证对网络的监控和管理。学校要出台相关的网络安全管理制度,规范校园网用户对网络的使用方法,从人员方面将出现威胁的可能性降到最低。3.2校园网建设中应注意的几个问题：3.2.1安全性安全分为两个方面：内部和外部。对于外部的安全防范主要通过对外部连接设备(路由器或三层交换机)的设置或增加专用的网络安全设备(防火墙)来实现；而网络内部如果出现安全问题，防范是比较困难的。幸好现在出现了VLAN技术，该技术能使同一网络中的特定微机无法被设定的其它微机所访问，如果交换机不支持VLAN功能，可以使用用户名和密码的验证方式来确保内部的安全，该种方式主要应用在服务器上。 3.2.2 产品兼容性网络的建设中有时不能做到清一色地采用某厂家的设备，而且无法保证以后网络在改建或升级时还能采用此厂家的设备，所以网络产品的兼容性或称系统的可扩性就显得格外地重要。低端产品一般不存在什么兼容性问题，但在高端交换机的很多功能上，例如VLAN、TRUNK，各厂家是存在一定的兼容性问题的。那我们在选择产品时，就要看该产品是否支持该功能的国际标准，例如实达网络公司的STAR-S1924F+网管交换机就支持国际标准的802.1QVLAN和802.3ADTRUNK，这样采用该产品的网络能与其他支持上述标准的交换机相互支持，例如CISCO(思科)的网络产品。 3.2.3管理性网络建成