《谈校园网安全访问控制体系》由会员分享,可在线阅读,更多相关《谈校园网安全访问控制体系(8页珍藏版)》请在金锄头文库上搜索。
1、谈校园网安全访问控制体系摘 要近年来,随着 Internet 的迅速普及和“教育要面向现代化、面向世界”指导思想 的贯彻实施,各中小学相继建成或正在建设校园网。校园网的建成,使学校实现了管理 网络化和教学手段现代化,这对于提高学校的管理水平和教学质量具有十分重要的意 义。然而,由于各种因素导致的校园网数据丢失、被修改或系统瘫痪等问题屡有所闻, 校园网的安全建设成了一个急待解决的问题。本文就我工作单位校园网的特点,对校园 网安全的探索与实践提出一些看法。 关键词:校园网;安全威胁;病毒攻击;数据泄露;最小授权I目录摘要 . I1 引言 . 12 校园网硬件结构与软件系统 . 1 2.1 硬件结构
2、 . 1 2.2 软件系统 . 5 2.2.1 操作系统 . 5 2.2.2 网关软件 . 5 2.2.3 杀毒软件 . 5 2.2.4 防火墙软件 . 5 2.2.5 Intranet 服务软件 . 5 3 校园网建设中有关安全方面的问题及解决 . 63.1 来自外部的安全威胁及防范 . 63.2 来自内部的安全威胁及防范 . 7 3.2.1 IP 盗用 . 7 3.2.2 病毒攻击 . 7 3.2.3 非法站点的访问 . 8 3.2.4 数据泄露 . 8 4 关于建设更安全校园网络思考 . 94.1 采用入侵检测系统 . 9 4.2 身份验证 . 10 4.3 Web、E-mail、BBS
3、 的安全监测系统 . 10 4.4 漏洞扫描系统 . 10 4.5 利用网络监听维护子网系统安全 . 10 4.6 建立并严格执行规章制度 . 10 4.7 应急处理和数据备份 . 11 4.8 遵循“ 最小授权” 原则和采用 “信息加密”技术 . 11 参考文献 . 9II- 0 -1 引言随着校园网建设在各地的开展,我校(郑州电子信息职业技术学院)初步建 成自己的校园网,这样有关校园网的安全问题也就显现出来。本校教师有 300 多名,校园网上的用户达 150 余户。为了保障教师的心血及电脑的安全,防止被 他人所破坏;在这种复杂的应用面前,如何保证关键资产数据的安全性,保证校 园网的畅通性,
4、保证各类信息的准确性,成了校园网系统管理员面临的难题。如 何在校园网络及其信息系统中搭建安全控制体系,使本校的校园网安全、稳定、 高效地运转,已成为学校领导越来越重视的问题。2 校园网硬件结构与软件系统2.1 硬件结构 1、网络硬件:百兆以太主干网,楼与楼之间使用光纤连接,楼内使用双绞 线到户。 2、拓扑结构:树形拓扑结构。 3、主干网连接:中心机房采用光纤接入 Internet,带宽 20M。 4、网络分布图:图 2.1图 2.22.2 软件系统 2.2.1 操作系统 网关服务器及应用服务器均使用 Windows Server 2003 SP2,用户计算机采 用 Windows 98/Me/
5、2000/XP/2003/Vista 等操作系统。 2.2.2 网关软件 Kerio WinRoute Firewall 6.5.1(简称 KWF) ,该软件在提供路由的同时还 内置防火墙、VPN、带宽限制、病毒检测等功能。 2.2.3 杀毒软件 网关服务器及应用服务器均安装 Symantec Antivirus 10.1.7.7000 企业版 客户端,用户计算机使用诺顿、Mcafee 、金山毒霸、瑞星、江民等杀毒软件。2.2.4 防火墙软件 网关服务器使用 KWF 内置的防火墙,应用服务器使用 ISS BlackICE Server Protection,用户计算机采用 Windows XP
6、 自带的防火墙或 ZoneAlarm Pro、瑞 星个人防火墙、金山网镖、天网个人防火墙、费尔个人防火墙等。 2.2.5 Intranet 服务软件 Web 服务:使用 Windows 2000 Server 内置的 IIS5.0。 FTP 服务:使用 Serv-U FTP Server 5.2。即时通讯服务:使用腾讯通 3.61 实时协作版。3 校园网建设中有关安全方面的问题及解决校园网及其信息系统所面临的安全威胁既可能来自校园内部, 又可能来自校 园外部。主要有以下几种情况: “黑客” 、数据泄露、 IP 盗用、病毒攻击、非法 站点的访问和 E-mail 问题。所有的入侵攻击都是从用户终端
7、上发起的,往往利 用被攻击系统的漏洞肆意进行破坏。 针对校园网的各种安全隐患,深入分析产生这些安全问题的根源、以及随时 出现的网络安全需求, 通过采取相应的网络安全策略,将安全技术与教育管理结 合起来,就可以建成一个安全、通用、高效的校园网络系统。 3.1 来自外部的安全威胁及防范 从学校的网络拓补结构可以发现, “黑客”要想从外部威胁校园网,只有通 过网关服务器,因此,做好网关服务器的安全工作是关键。 刚开始网关使用的是“ 阿尔法 V6 路由器” ,经过一段时间的使用,发现该 路由器不太适用,原因如下: 不能支持 B 类地址掩码,局域网的掩码只能支持 255.255.255.0,而无法 支持
8、 255.255.0.0。 不能针对不同用户设置不同的访问 Internet 的权限。 日志功能太弱,难以对网络出现的问题进行分析。 Internet 出口带宽被限制为 10M, 而学校从电信局接入的光纤带宽是 20M, 造成巨大的浪费。 路由器的处理器性能太低,内存不够大,难以适应越来越多的网络应用。 所以决定改用一台专门的计算机安装网关软件作为网关服务器。 最终采用一 台赛扬 D2.53G、256M 内存、40G 硬盘、双百兆网卡的计算机担任网关。 该网关服- 1 -务器安装 Windows Server 2003 SP2,安装时选择最小化安装,一 些不需要的组件如: IIS、 FTP、
9、SMTP 等均不安装, 网络协议也只安装 “Microsoft 网络客户端”和 “Internet 协议(TCP/IP) ”两项,安装后立即进行“Windows Update” ,安装最新的系统补丁,最大限度的减小系统漏洞对网络安全的威胁。操作系统安装完成后,立即安装 Symantec Antivirus 10.1.7.7000 企业版客户端杀毒软件,并更新病毒库,保证对最新病毒的查杀。 最后安装网关软件。在网关软件的选择上也费了一番功夫,最终选定了 “Kerio WinRoute Firewall 6.5.1” (以下简称 KWF) ,因为该软件在提供最基 本的网关、路由功能的同时,还提供了
10、两样对网络安全来说至关重要的功能:防 火墙和反病毒功能。有了防火墙功能,可以有效的防范外部威胁,并可将各种威 胁记录到日志中以供分析与防范。反病毒功能则可以对内部网与 Internet 之间 传输的数据进行双向扫描, 检测到病毒时, 将终止病毒的传输, 并记录到日志中, 这样就可阻止大部分病毒进入校园网。 3.2 来自内部的安全威胁及防范 3.2.1 IP 盗用 每个校园网用户都分配一个固定 IP,该 IP 与用户所在的位置关联,其规则 是 IP 的第三段代表楼号,第四段代表房号。房号通常由 3 位数组成,将中间一 位去掉即可:101 房间、208 房间、310 房间转换后就是 11、28、30。如:2 号 楼 204 房间,IP 就是 172.16.2.24;4
