高校網(wǎng)絡(luò)安全防御體系研究

1、高校網(wǎng)絡(luò)安全防御體系研究1校園網(wǎng)現(xiàn)狀與問(wèn)題 1.1校園網(wǎng)建設(shè)現(xiàn)狀 咸陽(yáng)師范學(xué)院校園網(wǎng)絡(luò)的骨干網(wǎng)已經(jīng)達(dá)到了千兆，100M到桌面，總體分為三級(jí)架構(gòu)即核心層、匯聚層和接入層。咸陽(yáng)師范學(xué)院校園網(wǎng)接入服務(wù)商是咸陽(yáng)電信，其提供100M光纖寬帶服務(wù)。網(wǎng)絡(luò)提供的服務(wù)主要有：Web主頁(yè)服務(wù)、DNS域名解析服務(wù)、E-mail郵件服務(wù)、Internet接入服務(wù)、校內(nèi)網(wǎng)絡(luò)殺毒服務(wù)、辦公自動(dòng)化服務(wù)等。 1.2面臨的主要問(wèn)題 （1）校園網(wǎng)絡(luò)覆蓋范圍發(fā)生變化。由于近幾年招生規(guī)模的不斷擴(kuò)大，學(xué)校相應(yīng)配套設(shè)施也在逐年增加，這些都必須加入校園網(wǎng)，并且原來(lái)未曾入網(wǎng)的學(xué)生宿舍也將納入網(wǎng)絡(luò)覆蓋范圍，因此必將引起網(wǎng)絡(luò)結(jié)構(gòu)的變化。（2）原

2、有網(wǎng)絡(luò)設(shè)備也落后于發(fā)展的需要。學(xué)校現(xiàn)有的網(wǎng)絡(luò)設(shè)備已經(jīng)不能滿足日益發(fā)展的網(wǎng)絡(luò)需求，性能已經(jīng)遠(yuǎn)遠(yuǎn)低于現(xiàn)在網(wǎng)絡(luò)的發(fā)展和應(yīng)用。（3）校園網(wǎng)用戶的安全意識(shí)不強(qiáng)、網(wǎng)絡(luò)的管理制度不夠完善，缺少行之有效的監(jiān)控措施。（4）學(xué)院網(wǎng)絡(luò)中電腦所用的各種軟件都不可避免的存在安全隱患。這些安全隱患導(dǎo)致了網(wǎng)絡(luò)中各種不穩(wěn)定因素大量的存在。比如，各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來(lái)的安全風(fēng)險(xiǎn)。Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在的非法訪問(wèn)或惡意入侵的風(fēng)險(xiǎn)等。 2網(wǎng)絡(luò)安全方案設(shè)計(jì) 2.1防止內(nèi)外的攻擊威脅的入侵檢測(cè)系統(tǒng) 為了校園網(wǎng)的安全，我們可以在防火墻的基礎(chǔ)上再引進(jìn)入侵檢測(cè)系統(tǒng)（IDS），作為防火墻的有益補(bǔ)充，這樣可有效地防

3、止來(lái)自網(wǎng)絡(luò)內(nèi)外的攻擊。防火墻由于性能的限制通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于校內(nèi)用戶所做的攻擊，防火墻更是形同虛設(shè)。為了在網(wǎng)絡(luò)安全的層次和網(wǎng)絡(luò)安全區(qū)域方面進(jìn)一步加強(qiáng)，我們可以選擇在校園網(wǎng)絡(luò)中建立一套入侵檢測(cè)系統(tǒng)。IDS入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 2.2建立VPN系統(tǒng) VPN即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN的工作原理是這樣的：遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)

4、求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。 2.3網(wǎng)絡(luò)防病毒平臺(tái)的建立 目前，計(jì)算機(jī)病毒的種類與傳播媒介日益繁多，病毒更主要是通過(guò)網(wǎng)絡(luò)共享文件、電子郵件及Internet/Intranet進(jìn)行傳播。計(jì)算機(jī)病毒防護(hù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中的重要手段。鑒于校園網(wǎng)內(nèi)部行政及辦公部門數(shù)據(jù)資較為重要，所以配備病毒防護(hù)軟件是十分重要的。為了減輕病毒更新及軟

5、件維護(hù)的繁重工作量，一般應(yīng)采用企業(yè)版防病毒軟件作為防病毒整體解決方案。企業(yè)版防病毒軟件，除了提供在工作站的防病毒程序外，更在服務(wù)器上提供了管理程序(對(duì)所有工作站的防病毒軟件進(jìn)行中央控管)以及軟件分發(fā)（Deployment）程序，從而解決了“防病毒軟件統(tǒng)一安裝”及“病毒碼統(tǒng)一更新”兩大難題。 2.4科學(xué)的流量控制策略 隨著校園規(guī)模的不斷擴(kuò)大，在校師生員工的逐漸增多，為了滿足老師和學(xué)生的上網(wǎng)需要，就要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)施的提升來(lái)擴(kuò)大校園網(wǎng)的規(guī)模，出口帶寬也不斷在增加，各種網(wǎng)絡(luò)應(yīng)用也更加的豐富。但是寶貴的帶寬卻被流媒體和軟件的下載大量占用了，甚至影響到學(xué)校正常的網(wǎng)絡(luò)應(yīng)用。當(dāng)然，導(dǎo)致校園網(wǎng)絡(luò)異常流量的因素還

6、有很多，有病毒木馬等有害程序，有網(wǎng)絡(luò)教學(xué)軟件錯(cuò)誤使用，設(shè)備線路故障，最主要的還是P2P軟件的使用。 3總結(jié) 目前高校校園網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)連接形勢(shì)復(fù)雜、網(wǎng)絡(luò)設(shè)備種類數(shù)量繁多、使用的操作系統(tǒng)平臺(tái)不統(tǒng)一等諸多問(wèn)題，同時(shí)高校師生作為一個(gè)特殊的使用網(wǎng)絡(luò)的群體，其用戶與一般局域網(wǎng)用戶不同，網(wǎng)絡(luò)高手眾多，對(duì)于技術(shù)的嘗試性、好奇性、新鮮感，時(shí)時(shí)考驗(yàn)著校園網(wǎng)絡(luò)的安全。本文根據(jù)當(dāng)前咸陽(yáng)師范學(xué)院校園網(wǎng)的現(xiàn)狀和當(dāng)前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)，提出了校園網(wǎng)建設(shè)方案，相關(guān)的工作包括：（1）通過(guò)需求分析，提出了校園網(wǎng)絡(luò)架構(gòu)的升級(jí)設(shè)計(jì)，其主要特征是核心層線路的冗余及各核心交換機(jī)的功能區(qū)域的劃分。（2）針對(duì)網(wǎng)絡(luò)安全的實(shí)際需求，提出了安全技術(shù)要求及具體的設(shè)計(jì)方案，包括入侵檢測(cè)、VPN技術(shù)、病毒防護(hù)、存儲(chǔ)備份等。本文應(yīng)用網(wǎng)絡(luò)系統(tǒng)工程思想，在對(duì)咸陽(yáng)師范學(xué)院校園網(wǎng)進(jìn)行整體規(guī)劃的基礎(chǔ)上，緊緊圍繞基礎(chǔ)網(wǎng)絡(luò)安全暢通、出口網(wǎng)絡(luò)安全暢通和數(shù)據(jù)、服務(wù)的安全穩(wěn)定進(jìn)行了研究、分析和設(shè)計(jì)。論文在網(wǎng)絡(luò)工程改造、技術(shù)選型、出口線路設(shè)計(jì)及重要設(shè)備的選型上進(jìn)行了較為詳細(xì)的分析，重點(diǎn)突出。學(xué)校網(wǎng)絡(luò)的建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，其要求統(tǒng)一考慮