《多层次校园网的安全体系分析与构建》由会员分享,可在线阅读,更多相关《多层次校园网的安全体系分析与构建(13页珍藏版)》请在金锄头文库上搜索。
1、引言 随着计算机通讯的飞速和不断的普及,充分利用各种信息也正成为了一种世界性行为,尽快尽早地建设校园网保证校园网安全将是显著的和长远的。随着社会的不断发展,教育信息化的不断得推进,使得各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,使得解决网络安全问题刻不容缓。本文着重论述了校园网的安全体
2、系与构建。近年来,校园网络的建设在中学掀起一股热潮,许多中学都建起了自己的校园网,形成了一个覆盖全国的机网并通过专线与Internet连通。这一方面加强了学校与国内外的联系,有利于及时了解国内的信息,有助于提高学校的科研教学水平;另一方面,校园网的建立以及其为基础的管理信息系统的开发,也有利于各学校管理水平的提高。建设校园网对每个学校来说都不是一件容易的事情,校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。因此,每个校园网的设计、构建都要经过周密的论证、谨慎的决策和紧张的施工。第一章 校园网安全体系分析1.1什么是校
3、园网 校园网是在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。 首先,校园网应为学校教学、管理、科研提供先进的信息化教学环境,因此校园网是一个宽带、具有交互功能和专业性很强的局域网络。教学管理系统、多媒体教室、教育视频点播系统、电子阅览室以及教学、考试资料库等,都可以通过网络运行工作。 校园网还应满足校内外的通讯要求。包括Internet服务、远程教育服务、数据广播信息下载、视频会议及IC卡服务等。 建网要遵循“依据需求、统筹规划、分步实施、成熟可靠”的原则。 校园网建设的方案要符合学校长远发展规划,应将基础设施建设、教学和
4、管理软件建设和人员培训统筹规划。 1.2校园网络安全所面临的威胁 校园网络不同于其它类型的网络,校园网需要提供开放的网络资源,同时又要保证整个校园网络的安全。与其他网络一样,校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前,针对网络的攻击主要来自两个方面,一是来自外部公网的攻击,另一方面是来自内部的攻击。对于大型校园网而言,由于其内部用户众多,来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例,而造成的破坏性大大超过外部攻击。由此可见,校园网络上常见的安全威胁主要有以下几类。1.2.1非法使用:资源被非授权的用户(也称非法用户)或以非授权的方式(非法权
5、限)使用。例如攻击者通过猜测账户和密码,从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件,如考试试卷等。1.2.2拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器(如Web、DNS、FTP、E-mail等)不断发起连接或请求响应,进行DoS或DDos攻击,致使服务器负荷过重而不能处理合法任务。1.2.3信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。1.2.4数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作,而使数据的一致性被破坏
6、。例如,校园网中重要服务器(如学生成绩数据库、校园一卡通数据库等)上的敏感信息。病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。1.2.5非法数据的任意传播:对非法或大量网站的任意访问以及这些信息在校园网内部被任意传播。据权威统计数据显示,30%40%的校园网用户访问互联网是与学习、工作无关的。有的甚至去访问色情、暴力等网站。这样不但造成网络资源的严重浪费,而且色情、暴力等不良网络内容,还将极大地危害青少年的身心健康,导致无法想象的后果。1.3校园网的安全体系分析建立校园网安全机制前,我们对校园网的安全威胁进行了详细的分析,校园网络存在的安全隐患和漏洞主要有以下几个方面:(1) 校园
7、网通过与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。(2) 校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。(3) 目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等;UNIX由于技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路
8、由转移等)、服务安全漏洞、病毒等。(4) 随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。(5)内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;校园网内的学生群体是主要的OICQ用户,目前针对OICQ的黑客程序随处可见;(6)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健
9、全,带来校园网的威胁。上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。同时,校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。由此可见,构筑具有必要的信息安全防护体系、建立一套有效的网络安全体系和安全机制显得尤为重要。第二章 校园网安全体系的构建随着计算机技术的发展,校园数字化、网络化程度越来越高,网络设备的性能也逐年增强,校园网已成为现代教育中不可缺少的平台。但是,由于网络系统的开放性以及自身的脆弱性,网络也面临着各种安全的威胁。下面介绍如何构建校园网的安全体系以确保校园网的安全
10、运行。2.1 构建防火墙系统防火墙技术是保证网络安全最早、也是最广泛使用的产品,曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的“万能产品”,无法100%地防范网络攻击,但是有效的防火墙可以有效地避免和防止大部分的攻击。据统计,一个优秀的防火墙产品可以有效地防范95%以上的网络攻击,并可以为新的攻击行为提供预警机制。防火墙和入侵检测系统一般部署在校园网络的边缘或者是校园网络中的某个集中出口或链路上,可以提供对整个校园网的从外到内或从内到外的攻击行为的监视和防护,目的为了防止校园网外的攻击者。在校园网络接入Internet的边界,部署一台东软Netey
11、e4032防火墙,将服性务器群配置在DMZ区。在防火墙设置上我们按照以下原则配置来提高网络安全:a. 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口,如80、21、25等。b. 配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻
12、击。c. 通过配置边界防火墙对HTTP网址过滤和网页内容过滤,一般情况下多配置HTTP网址过滤(加入需要过滤的网址列表),来管理师生员工上网的行为,提供工作的效率,保证正常的数据流量,屏蔽各种“垃圾”信息,从而保证内部网络的“绿色环境”。d.定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量,可以保证校园网内的资源利用最大化。入侵检测系统是针对网络上的可疑入侵行为做出策略反应,及时切断入侵源,记录并通过各种途径通知网络管理员,被认为是边界防火墙之后的第二道闸门。一般情况下,将防火墙和入侵检测系统配置为联动状态,入侵检测一旦
13、发现可疑行为就通知防火墙实施阻截。2.2 配置包过滤的路由策略在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL(Access Control List),开放从内向外的任何访问,从外到内仅允许访问特定服务器的特定端口,拒绝某些特定端口的数据包通过来限制病毒传播的区域,尽量减小网络病毒的影响。在核心交换机(华为8508 )和某些汇聚层交换机(Cisco 3550)等上配置ACL,拒绝445、135、1434、6667等端口的数据包,并形成日志文件上报日志服务器,通过对日志服务器收取的数据进行分析确定病毒源。2.3 在校园网络中利用VLAN和PVLAN技术V
14、LAN(Virtual Local Area Network)设计在校园网中可以起到举足轻重的作用, VLAN设计的总体原则为提高校园网的效率以及网络安全性。在校园网络中可以采用基于用户的VLAN划分的策略。校园网的管理者可以按用户的身份把不同类型身份的用户设在一个VLAN中,而不用考虑用户在校园网的哪个位置、是连到哪台交换机的哪个端口上,系统都会自动帮助用户完成VLAN的设定,这样就可以很方便地根据用户权限的不同划分一个个的“安全域”。因此,校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作,即使用户移动了位置,它所连接的交换机端口变了,但它同样还是会在原来其所在的“安全域”中,对
15、他的所有安全策略完全生效。2.4 在校园网络中使用用户接入控制技术校园网一般要覆盖学校宿舍区、教学区、试验区、网络中心、办公等区域,这些区域的网络使用对象不同、网络接入的要求也不同,对网络使用的需求也不同。应针对目前校园网络中不同职能区域使用的特点和要求,进行分区域控制,同时又要实现各区域网络的统一认证和管理。用户接入控制技术只允许合法的、值得信赖的端点设备接入网络,而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生,并自动实现事件响应,最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益,防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行
16、的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等,其中地址绑定技术又可分为交换机端口与用户MAC地址的捆绑以及用户IP地址和MAC地址的捆绑;常用的用户认证技术包括PPPoE、802.1等。采用单一技术手段通常不能很好地解决校园网用户接入管理的问题。为此,首先需要了解各种技术的机理、适用性和限制,有针对性地选用合适的技术,并注意各种手段的综合运用,以达到接入控制的目标。但又鉴于目前各高校对校园网建设投入的资金的多少,许多校园网络没有实现统一的认证,即使这样也要根据不同的区域实现不同的接入控制技术,如计算中心的各学生机房采用ISA Server 2000代理的方式接入校园网,可以灵活设置不同的区域、不同的时间段,各区域计
