维普资讯 http://www.cqvip.com
摘 的网 关键 一.校园网所面临的安全隐患 二.技术防护手段的建立 当前,校园网络存在的安全隐患和漏洞有: 1、防火墙部署 (1)校园网通过ISP与Internet相连,在享受Internet 在Internet与校园网内网之 部署一台防火墙,可以成 方便快捷的同时,也面临着遭遇攻击的风险,如病毒、入侵等。 为内之间一道牢固的安全屏障。其中www、MAIL、 (2)Internet非法内容也形成了对网络的另一大威胁。 FTP等对外服务器连接在防火墙的DMZ区,与内、间 对教育网来说,面对形形色色、良莠不分的网络资源,如不 进行隔离,内网口连接校园网内网交换机,口通过路由 具有识别和过滤作用,不但会造成大量非法内容或邮件出入, 器与Internet连接。那么,通过Internet进来的公众用户只 占用大量流量资源,造成流量堵塞、上网速度慢等问题,而 能访问到对外公开的一些服务,既保护内网资源不被外部非 且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网 授权用户非法访问或破坏,也可以阻止内部用户对外部不良 络内容,将极大地危害青少年的身心健康,导致无法想象的 资源的滥用,并能够对发生在网络中的安全事件进行跟踪和 后果。 审计。在防火墙设置上应按照以下原则配置来提高网络安全 (3)校园网内部也存在很大的安全隐患,尤其是在校园 性: 内,计算机网络信息化管理成为学院管理的主要手段的时候, (1)根据校园网安全策略和安全目标,规划设置正确的 由于内部用户对网络的结构和应用模式都比较了解,因此来 安全过滤规则。规则审核IP数据包的内容包摇协议、端口、 自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛 源地址、目的地址、流向等项目,严格禁止来自公网对校园 滥成灾,而个别学生的心理特点决定了其利用这些工具进行 内部网不必要的、非法的访问。总体上遵从“不被允许的服 攻击的可能性。 务就是被禁止”的原则。 (4)校园网内所使用的操作系统大多存在安全漏洞,对 (2)将防火墙配置成过滤掉以内部网络地址进入路由器 网络安全构成了威胁。学院网络服务器安装的操作系统大部 的IP包,这样可以防范源地址假冒和源路由类型的攻击;过 分采用WindowsNT/Windows2000,由于Windows操作系 滤掉以非法IP地址离开内部网络的IP包,防止内部网络发 统的普遍性和可操作性,使得它也是最不安全的系统:本身 起的对外攻击。 操作系统的漏洞、浏览器的漏洞、IIS的漏洞等,这些郜对校 (3)在防火墙上建立内网计算机的IP地址和MAC地址 园网络安全构成威胁。 的对应表,防止IP地址被盗用。 (5)随着校园内计算机应用的大范围普及,接入校园网 (4)定期查看防火墙访问El志,及时发现攻击行为和不 节点日渐增多,而这些节点大部分都没有采取一定的防护措 良上网记录。 施,随时有可能造成整个校园网络病毒泛滥、信息丢失、数 (5)允许通过配置网卡对防火墙设置,提高防火墙管理 据损坏、系统瘫痪等严重后果。 安全性。 由此可见,构筑必要的信息安全防护体系,建立一套有 2 入侵检测系统部署 效的网络安全机制显得尤其重要。 入侵检测能力是衡量一个防御体系是否完整有效的重要 一般来说,构筑校园网络安全体系,要从两个方面着毛 因素,强大完整的入侵检测体系可以弥iq、防火墙相对静态防 一是采用一定的技术;二是不断改进管理方法。 御的不足。根据校园网络的特点,可以采用相应入侵检测系 维普资讯 http://www.cqvip.com
l l行业应用l 统,如瑞星RIDS-100,对来自外部网和校园网内部的各种 行为进行实时检测,及时发现各种可能的攻击企图,并采取 和内容过滤技术对浏览器进行实时监控,当用户访问色情、 暴力、反动网站,或者在搜索引擎搜索这些网站时,反黄软 相应的措施。入侵检测系统集入侵检测、网络管理和网络监 视功能于一身,能实时捕获内之间传输的所有数据,利 用内置的攻击特征库,使用模式匹配和智能分析的方法,检 测网络上发生的入侵行为和异常现象,并在数据库中记录有 关事件,作为网络管理员事后分析的依据;如果情况严重, 入侵检测系统可以发出实时报警,使得学校管理员能够及时 采取应对措施。 3、漏洞扫描系统 为了修补计算机操作系统存在的大量安全漏洞,可以采 用漏洞扫描系统定期对工作站、服务器、交换机等进行安全 检查,并根据检查结果向系统管理员提供详细可靠的安全性 分析报告,为提高网络安全整体水平产生重要依据。 4、网络版杀毒产品部署 在校园网络防病毒方案中,最终要达到一个目的就是: 要在整个局域网内杜绝病毒的感染、传播和发作。为了实现 这一点,应该在整个网络内可能感染和传播病毒的地方采取 相应的防病毒手段。同时为了有效、快捷地实施和管理整个 网络的防病毒体系,应能实现远程安装、智能升级、远程报警、 集中管理、分布查杀等多种功能。 (1)在学校网络中心配置一台高效的Windows2000服 务器,安装一个杀毒软件网络版的系统中心,负责管理学院 多个主机网点的计算机防病毒系统升级,如瑞星网络版杀毒 产品。 (2)在全院各网络节点上分别安装杀毒软件网络版的客 户端。 (3)安装完杀毒软件网络版后,在管理员控制台对网络 中所有客户端进行定时查杀毒的设置,保证所有客户端即使 在没有联网的时候也能够定时进行对本机的病毒查杀。 (4)网络中心负责整个校园网的升级工作。为了安全和 管理方便起见,由网络中心的系统中心定期地、自动地到杀 毒软件网站上获取最新的升级文件,然后自动将最新的升级 文件分发到校园网络的客户端与服务器端,并自动对杀毒软 件网络版进行更新。采取这种升级方式,一方面确保校园网 内的杀毒软件的更新保持同步,使整个校园网都具有最强的 防病毒能力;另一方面,由于整个网络的升级、更新都是由 程序来自动、智能完成,就可以避免由于人为因素造成网络 中因为没有及时升级为最新的病毒定义码和扫描引擎而失去 最强的防病毒能力。 5、防范不健康信息的安全部署 反黄软件是现在校园网络防范不健康信息最常用的软件 系统,如美萍反黄专家,反黄软件一般采用先进的网址拦截 件会立刻开始网站过滤,屏蔽这些访问请求,并且给访问者 以警示信息。此外,软件中所拥有的反黄数据库自动升级, 多台机器同步设置更新,反黄历史记录等功能使之可以非常 适用于学校、公共机房等场合。 三、安全管理方法的建立 常言说:“三分技术,七分管理”,安全管理是保证网络 安全的基础,安全技术是配合安全管理的辅助措施。校园网 应建立一套校园网络安全管理模式,制定详细的安全管理制 度,如机房管理制度、病毒防范制度等,并采取切实有效的 措施保证制度的执行。 为了加强校园计算机网络系统安全管理,根据 中华人 民共和国计算机信息系统安全保护保护条例》以及“计算机 信息网络国际互联网安全保护管理办法》等有关规定,应结 合实际情况,制定具体实施方法。主要应包括以下内容: (1)计算中心主管计算机信息系统安全管理的具体工作。 学校有关部门按照规定的职责范围做好计算机信息系统安全 管理的有关工作。计算中心对计算机信息系统安全管理工作 履行下列职责:1)组织进行安全检查,督促整改安全隐患; 2)查处危害计算机信息系统安全的违法犯罪案件;3)审定 安全保护等级,确定要害计算机信息系统;负责计算机信息 系统联网的安全监督;4)计算中心发现影响计算机信息系统 安全的隐患,及时向有关单位下达整改通知;5)计算机信息 系统中发生案件,除按规定进行查处外,计算中心应及时进 行安全检查,督促整改存在的安全隐患。 (2)计算机信息系统使用单位的负责人全面负责本单位 计算机系统的安全管理工作。计算机信息系统使用单位应建 立以下安全管理制度:1)安全管理责任制度,明确本单位 工作人员的安全管理职责;2)安全保护制度,保障信息安全, 保障计算机信息系统设备、设施(含网络)和运行环境安全, 保障计算机功能正常发挥;3)安全操作制度,规定计算机系 统的操作权限和安全操作规程;4)安全检查制度,经常检查 计算机信息系统安全状况,发现问题及时处理; (3)单位和个人使用的计算机信息系统进行联网,必须 经计算机中心按规定输入登记手续。任何单位和个人,均不 得自选建立或者使用其他方式进行联网。 只有真正地做好校园网络的安全体系,才能在校园网络 中实现信息化的管理,促进学校网络信息化建设,将学校各 业务部门的工作、管理和服务信息尽快网络化和数字化,开 发更多的应用网络系统,使校园网内容更丰富,使用更便捷, 服务更全面,以促进校园网络信息化建设再跃上一个新台阶。固
