《数字化校园网络安全初探》由会员分享,可在线阅读,更多相关《数字化校园网络安全初探(5页珍藏版)》请在金锄头文库上搜索。
1、 数字化校园网络安全初探 吴琼曾晓亮摘要:从校园网络的逻辑安全角度进行探讨。找出安全存在的隐患,从而建立一套有效的校园网络安全机制。关键词:网络安全安全隐患安全策略设计1校园网络安全策略设计校园网络拓朴结构如图1。校园网中的安全隐患大致来自以下五个方面:1校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险;2目前使用的操作系统存在安全漏洞,对网络安全构成了威胁;3校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些;4随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有
2、采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;5限于学院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,入侵就很难避免。提出两种方案可供选择:方案一:智能防火墙型。即用一台智能防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、E-mail、FrP、DNS等对外服务器连接在防火墙的DMZ区,与内外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS-等
3、),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。这一方案的优点是在实际应用中,对用户的“透明度”较高,便于管理和控制,而缺点就是价格昂贵,不易被一般用户所接受。方案:网络层防火墙+代理服务器。即把网络层防火墙和应用层防火墙综合在一起。因为网络层防火墙具有速度快、费用低、对用户透明等优点,但是它对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力,特别是对于应用层上的黑客行为无能为力,而应用层防火墙(主要为代理服务器)有较好的访问控制,目前存在HTFP、TELNET、FrP、POP3
4、和GOPHER等代理服务器,并且这些服务只需要一个代理服务器就可以实现。这一方案的优点是费用低,性价比较高,而缺点是“透明度”较低,需要由经验相对丰富的管理人员进行管理,即对管理人员的要求较高。由此看来,两种方案各有千秋,应用中可以根据自身实际进行选择,在此,我们从性价比和实际情况的角度考虑,选择方案二。选择好了防火墙,还应对其进行正确配置才能充分发挥其安全防护的性能,在防火墙设置上我们按照以下配置原则来提高网络安全性:1根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的
5、访问;2将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击;3在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;4定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;5允许通过配置网卡对防火墙设置,提高防火墙管理安全性。2检测系统的部署数字化校园网中包含有:入侵检测系统部署、网络安全检测系统部署和杀毒产品部署等。入侵检测能力是衡量一个防御体系是否完整有效的重要因素,因为防火墙的策略都是事先设置好的。无法动态设置,缺少针对攻击的必要性和灵活性,不能更好的
6、保护网络的安全,所以部署IDS并使IDS与防火墙联动的目的就是为了更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度。根据学院网络的特点,我们采取思科公司的网络IDS和主机并用的措施。具体来讲就是将思科IDS入系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件。作为网络管理员事后分析的依据,如果情况严重,思科IDS还会发出实时报警,使得学校管理员及时采取应对措施。在网络安全检测系统上我们考虑采用网络安全检测工具如SATAN等定期对工作站、服务器、
7、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性报告,为提高网络安全整体水平提供重要依据。杀毒产品部署上我们采用了瑞星网络版的杀毒产品,为了达到要在整个局域网内病毒感染、传播和发作这一目的,我们在整个网络内可能传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系。应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能,我们提出以下建议:1在学校网络中心配置一台高效的Windows2000服务器,负责管理多个主机网点的计算机:2在各行政、教学单位等多个分支机构分别安装杀毒软件;3管理员在安装完杀毒软件以后,要由网络中心系统定期、自动地到网站上获取最新的升级文件,自动将更新的升级文件分发到其它各个主机网点的客户端与服务器端,并对杀毒软件进行更新。3结束语可以预见,随着计算机技术和通信技术的发展,计算机网络不会仅局限于数字化校园,还将日益成为信息交换的重要手段,渗透到社会生活的各个领域,因此,认清网络的脆弱性和潜在的隐患,采取强而有力的安全策略,对于保障网络的安全性将变得越来越重要。 -全文完-
