高校校园网络安全体系研究与构建

1、    高校校园网络安全体系研究与构建        摘要：通过分析高校校园网络安全体系存在的隐患，研究了校园网络安全体系的构建策略，基于技术和管理策略，提出了构建相对稳定的校园网络体系的基本方案，并有较好的应用效果。关键词：校园网 安全体系 研究 构建随着中国教育与科研网工程的快速发展，高校网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网络从最初的教育、科研的试验网转变成教育、科研和服务并重，带有运营性质的网络。校园网络在高等学校的信息化建设中已经扮演了至关重要的角色。研究校园网络安全策略，构建相对可

2、靠的校园网络安全体系，已成为高等学校校园网络技术、管理人员研究的一个重要课题。一、校园网络安全隐患目前，高校校园网络正处在蓬勃发展阶段，网络基础设施有了较好的基础，但网络安全体系中仍存在一些安全隐患，主要体现在以下几个方面。1黑客工具在网上泛滥成灾校园网络通过路由器与internet相连，用户在享受internet方便快捷的同时，也面临遭受攻击的风险。目前的操作系统存在安全漏洞，尤其是windows2000的普遍性和可操作性，使它成为最不安全的服务器操作系统，如windows2000系统的漏洞、浏览器的漏洞、iis的漏洞、asp代码漏洞等对网络安全构成重大威胁。2网络病毒的出现和爆发随着校园网

3、计算机应用范围的扩大，接入校园网的节点日益增多，而这些节点大部分是新的，没有采取一定的防护措施，随时有可能造成病毒泛滥、网络受攻击、系统瘫痪等。近年来，尤其是网络病毒和黑客软件相结合，网络病毒的爆发直接导致用户隐私和重要数据外泄，同时还极大地消耗了网络资源，造成网络性能的急剧下降。3网络机房管理不规范高校都有部分机房提供给学生和教职工上网、学习。但由于缺乏统一的管理软件和监控、日志系统，这些机房的管理基本上处在各自为政状态。绝大多数的机房登记管理制度存在严重漏洞，上网用户的身份无法唯一识别。另外，机房的计算机为了管理上的方便，基本上安装了还原卡，计算机关机后启动即恢复到初始状态。这在安全管理上

4、形成了很大的漏洞，无法实现安全部门需求，保留至少三个月以上的上机和上网日志。二、完善的技术策略是构建网络安全的基础为保证网络信息安全，我们研究了网络安全技术策略，根据校园网络实际情况，构建了多级安全保障体系：规划了网络vlan，通过划分vlan和在vlan间采用acl来控制安全；在核心交换机部署认证系统，记录校内用户上网行为；在服务器群部署了防火墙，对应用服务器群进行隔离保护；采用黑客入侵检测与预警系统作为系统的防黑客子系统，实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部入侵信号；部署了网络防病毒系统是基于策略的集中管理方式，提供自动更新功能和大规模病毒爆发前的预警功能，所有操作对

5、终端用户透明，不需用户干预，使用户在不知不觉中将病毒拒之门外。校园网络安全技术策略构建如图1所示。1边缘设备安全数据策略校园网络有一个统一的出入口，在校园网边缘安置地址转换设备nat和路由器，并在其内作一些必要的病毒、攻击防范策略设置，如封闭常见病毒攻击端口，实现内外网安全隔离，以免内部用户受到黑客和病毒直接攻击，减少内部信息如校内公文等外泄可能性。2服务器群的安全策略校园网络采用千兆线速防火墙保护服务器群，关闭所有不必要端口并记录校级服务器的访问行为。在学校关键单位如财务处、教务处、招生办等关键部门的服务器群配置了百兆线速防火墙，以保证关键部门核心业务的信息安全。在服务器群的连接交换机上安装

6、入侵检测系统，通过入侵检测系统对服务器群进行网络行为的审计、跟踪以及黑客行为的日志记录，并且与防火墙联动，作为第二道安全闸门保障服务器群的信息安全。我们还采取了以下服务器群部署策略：(1)把数据库服务器主机和web服务器主机相分离尽管这个要求看上去很理所当然，但管理员没有遵循这个规则的案例仍然数以千计。一个例子就是nimda漏洞，它使得iis安装向远端命令行大开方便之门。这样，如果一个网站在运行iis的同时也在运行诸如在线系统的数据库，那么数据库的所有内容都是非常脆弱易受攻击的。(2)监控web服务器和数据库服务器上的日志文件日志文件可以迅速指出潜在的入侵者以及其它与安全没有关系的问题。注意对

7、数据库系统的多查询错误(multiple query errors)和无效web站点请求是否频繁出现或者多个源同时出现上述情况。(3)注意早期的警告征兆对任何内容的大量奇怪请求是网络出问题的明显征兆。对系统的大多数入侵都要花费一段时间，因此“预警”系统可以帮助你终止入侵过程或者防止入侵造成的灾难。(4)构建容灾系统构建基于san构架的容灾系统，提供7x24小时不间断运行服务，实现降低关键业务运行风险，最大限度地保护业务数据的实时性、完整性和一致性，增强数据中心的可用性和业务灵活性。3核心交换设备的安全策略在核心交换设备上连接认证系统，记录校内用户的上网行为，以便为以后发生安全事件提供查询依据。

8、4防病毒控制策略网络蠕虫病毒在internet已经泛滥成灾，而蠕虫病毒主要是利用操作系统的各种漏洞进行攻击和传播，利用校内windows自动更新系统及时对校内计算机系统进行升级，以保证用户计算机的系统安全，阻止病毒的传播。我们在校园网络构建了基于策略的集中管理方式的网络防病毒系统，提供自动更新功能和大规模病毒爆发前的预警功能，所有操作对终端用户透明，不需用户干预，使用户在不知不觉中将病毒拒之门外。同时在校内汇聚交换机做访问控制数据，以防病毒在不同校区之间传播。三、结论网络信息安全关系到国家安全和社会稳定，它随着全球信息化步伐的加快变得愈来愈重要。我们在校园网络建设过程中，通过完善网络安全技术策略和制定科学的管理体制，构建了相对稳定的校园网络体系，具有较好的应用效果。参考文献：1信息管理系列编委会