校園網(wǎng)安全防護(hù)解決方案

千里之行，始于足下。第2頁(yè)/共2頁(yè)精品文檔推薦校園網(wǎng)安全防護(hù)解決方案校園網(wǎng)安全防護(hù)解決方案

隨著校園網(wǎng)接入互聯(lián)網(wǎng)以及其它各種應(yīng)用的增多，校園網(wǎng)上的各種數(shù)據(jù)也急劇增加，我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)便利的并且，各種各樣的安全咨詢(xún)題也就開(kāi)始困擾我們每一具網(wǎng)絡(luò)治理人員，怎么保證校園網(wǎng)別被攻擊和破壞，差不多成為各個(gè)學(xué)校校園網(wǎng)絡(luò)治理的重要任務(wù)之一。本文針對(duì)這類(lèi)咨詢(xún)題提出了相應(yīng)的解決方案，使校園網(wǎng)可以有效應(yīng)對(duì)網(wǎng)絡(luò)應(yīng)用帶來(lái)的安全威脅和風(fēng)險(xiǎn)，以確保校園網(wǎng)系統(tǒng)的安全。

一、校園網(wǎng)安全風(fēng)險(xiǎn)分析

校園網(wǎng)絡(luò)作為學(xué)校信息平臺(tái)重要的基礎(chǔ)設(shè)施，擔(dān)負(fù)著學(xué)校教學(xué)、科研、辦公治理和對(duì)外交流等責(zé)任。在網(wǎng)絡(luò)建成應(yīng)用的初期，安全咨詢(xún)題還別十分突出，但隨著應(yīng)用的深入，校園網(wǎng)上的各種數(shù)據(jù)也急劇增加，各種各樣的安全咨詢(xún)題也就開(kāi)始困擾我們。對(duì)校園網(wǎng)來(lái)講，誰(shuí)也無(wú)法保證其別受到攻擊，別管攻擊是故意的依然無(wú)意的，也別管這種攻擊是來(lái)自外部依然來(lái)自?xún)?nèi)部網(wǎng)絡(luò)。操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接的復(fù)雜性、多樣性和脆弱性使得其面臨的安全威脅多種多樣。校園網(wǎng)絡(luò)系統(tǒng)也許面臨的安全威脅能夠分為以下幾個(gè)方面：

⒈物理層的安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)要緊指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的別可用,而造成網(wǎng)絡(luò)系統(tǒng)的別可用。我們?cè)谒伎夹@網(wǎng)絡(luò)安全時(shí)，首先要思考物理安全風(fēng)險(xiǎn)，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全風(fēng)險(xiǎn)有：設(shè)備被盜、被毀壞，線路老化或被故意或者無(wú)意的破壞，經(jīng)過(guò)搭線竊取數(shù)據(jù)，電子輻射造成信息泄露，設(shè)備意外故障、停電，地震、火災(zāi)、水災(zāi)等自然災(zāi)難。

⒉網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。許多安全咨詢(xún)題都集中體如今網(wǎng)絡(luò)的安全方面。由于網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TPC/IP協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)，因此網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。校園網(wǎng)是一具應(yīng)用廣泛的局域網(wǎng)，且接入了互聯(lián)網(wǎng)，怎么處理好校園網(wǎng)網(wǎng)絡(luò)邊界的安全咨詢(xún)題，直截了當(dāng)關(guān)系到整個(gè)校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行和安全可控；另一方面，由于校園網(wǎng)中使用到大量的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，這些設(shè)備的自身安全性直截了當(dāng)妨礙到校園網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由器口令泄露，路由表配置錯(cuò)誤，ACL設(shè)置別當(dāng)?shù)染鶗?huì)

威脅網(wǎng)絡(luò)系統(tǒng)正常。

⒊系統(tǒng)層的安全風(fēng)險(xiǎn)分析

校園網(wǎng)中采納的操作系統(tǒng)(要緊為Windows2000Server/Professional、WindowsXP、Windows98、UNIX、Linux)都別可幸免地存在著各種安全漏洞，同時(shí)漏洞被發(fā)覺(jué)與漏洞被利用之間的時(shí)刻差越來(lái)越小，這就使得操作系統(tǒng)本身的安全性給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn)。另一方面，病毒已成為系統(tǒng)安全的要緊威脅之一，特殊是隨著網(wǎng)絡(luò)的進(jìn)展和病毒網(wǎng)絡(luò)化趨勢(shì)，病毒別僅對(duì)網(wǎng)絡(luò)中單機(jī)構(gòu)成威脅，并且也對(duì)網(wǎng)絡(luò)系統(tǒng)造成越來(lái)越嚴(yán)峻的破壞，所有這些都造成了系統(tǒng)安全的脆弱性。

⒋應(yīng)用層安全風(fēng)險(xiǎn)分析

校園網(wǎng)中網(wǎng)絡(luò)應(yīng)用系統(tǒng)中要緊存在以下安全風(fēng)險(xiǎn)：用戶(hù)提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或修改；用戶(hù)對(duì)成功提交的業(yè)務(wù)事后抵賴(lài)；由于網(wǎng)絡(luò)一些應(yīng)用系統(tǒng)中往往存在著一些安全漏洞，包括數(shù)據(jù)庫(kù)系統(tǒng)與IIS系統(tǒng)中大量漏洞被越來(lái)越多地發(fā)覺(jué)，所以存在非法用戶(hù)利用這些漏洞對(duì)專(zhuān)網(wǎng)中的這些服務(wù)器舉行攻擊等風(fēng)險(xiǎn)；身份認(rèn)證漏洞。

⒌治理層安全風(fēng)險(xiǎn)分析

再安全的網(wǎng)絡(luò)設(shè)備也離別開(kāi)人的治理，再好的安全策略最后也要靠人來(lái)實(shí)現(xiàn)，所以治理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是關(guān)于一具比較龐大和復(fù)雜的網(wǎng)絡(luò)。校園網(wǎng)應(yīng)按照國(guó)家對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全治理?xiàng)l例，如根據(jù)《計(jì)算站場(chǎng)地安全要求》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)條例》等來(lái)制訂安全治理制度。另一方面，我們應(yīng)該對(duì)站點(diǎn)的拜訪活動(dòng)舉行多層次的記錄，及時(shí)發(fā)覺(jué)非法入侵行為。否則，當(dāng)網(wǎng)絡(luò)浮現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），就無(wú)法舉行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。并且，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。

建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻明白網(wǎng)絡(luò)并能提供直截了當(dāng)?shù)慕鉀Q方案，所以，最可行的做法是安全治理制度和解決方案的結(jié)合。

⒍網(wǎng)絡(luò)入侵后果分析

網(wǎng)絡(luò)中，攻擊者一旦獲得對(duì)資源的拜訪權(quán)，就能夠隨意對(duì)數(shù)據(jù)和文件舉行修改，

要緊有：

破壞信息：任何對(duì)存儲(chǔ)、傳輸中數(shù)據(jù)、文件的非授權(quán)修改；

發(fā)布信息：將信息散發(fā)到了別該獲得該信息的人手中；

盜取信息：獲得別該獲得的信息；

盜用服務(wù)：非法盜用系統(tǒng)的服務(wù)，如：有點(diǎn)攻擊者將一些主機(jī)攻破后，將其作為新的攻擊起點(diǎn)，或在其上保存非法獵取的信息。盜用服務(wù)有時(shí)會(huì)妨礙系統(tǒng)為其他合法用戶(hù)提供正常服務(wù)；

拒絕服務(wù)：攻擊的直截了當(dāng)后果算是將系統(tǒng)的服務(wù)性能落低或徹底癱瘓，無(wú)法為合法用戶(hù)提供正常的服務(wù)。

二、網(wǎng)絡(luò)安全解決方案

⒈環(huán)境和硬件

相關(guān)環(huán)境建設(shè)和硬件廠品必須按照我國(guó)相關(guān)國(guó)家標(biāo)準(zhǔn)執(zhí)行。

⒉網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)入侵者普通采納預(yù)攻擊探測(cè)、竊聽(tīng)等搜集信息，然后利用IP欺騙、重放或重演、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段舉行攻擊。針對(duì)網(wǎng)絡(luò)層安全，應(yīng)當(dāng)采取以下技術(shù)手段舉行安全防護(hù)：

⑴安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

保證網(wǎng)絡(luò)安全的首要咨詢(xún)題算是要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制操縱各網(wǎng)絡(luò)間的拜訪，能夠采納成熟的VLAN技術(shù)實(shí)現(xiàn)。

⑵網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息別外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。若別采納網(wǎng)絡(luò)隔離技術(shù)，網(wǎng)絡(luò)拜訪者就可以拜訪到他所別應(yīng)該拜訪的資源，若拜訪者是惡意對(duì)象，也許會(huì)造成信息的泄漏和妨礙網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)的安全。假如拜訪者的拜訪行為是非惡意的，然而為了預(yù)防他由于誤操作也許對(duì)網(wǎng)絡(luò)資源造成的傷害，要限制他對(duì)非授權(quán)資源的拜訪。

⑶防火墻技術(shù)

防火墻是指設(shè)置在別同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是別同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能依照安全政策操縱（允許、拒絕、監(jiān)

測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有非常高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在校園網(wǎng)網(wǎng)絡(luò)邊界與互聯(lián)網(wǎng)入口處合理設(shè)置防火墻能夠加強(qiáng)校園網(wǎng)內(nèi)網(wǎng)安全。

⑷網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)技術(shù)

防火墻盡管能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊XXX為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依賴(lài)基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給與響應(yīng)和處理。實(shí)時(shí)入侵檢測(cè)技術(shù)還能檢測(cè)到繞過(guò)防火墻的攻擊。

⑸網(wǎng)絡(luò)掃描技術(shù)

解決網(wǎng)絡(luò)層安全咨詢(xún)題，首先要清晰網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和別斷變化的事情，依賴(lài)網(wǎng)絡(luò)治理員的技術(shù)和經(jīng)驗(yàn)尋覓安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是別現(xiàn)實(shí)的。解決的方案是，尋覓一種能掃描網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具。

⑹安全審計(jì)技術(shù)

安全審計(jì)是經(jīng)過(guò)采納數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)等技術(shù)，實(shí)如今別同網(wǎng)絡(luò)環(huán)境中終端對(duì)終端的監(jiān)控和治理，在必要時(shí)經(jīng)過(guò)多種途徑向治理員發(fā)出警告或自動(dòng)采取排錯(cuò)措施，能對(duì)歷史數(shù)據(jù)舉行分析、處理和追蹤。利用審計(jì)技術(shù)還能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)資源舉行全方位審計(jì)治理，經(jīng)過(guò)對(duì)網(wǎng)絡(luò)中的主機(jī)、服務(wù)器、網(wǎng)絡(luò)環(huán)境以及數(shù)據(jù)庫(kù)舉行分散監(jiān)控，并經(jīng)過(guò)審計(jì)中心對(duì)整個(gè)系統(tǒng)的相關(guān)信息舉行集中審計(jì)治理，并體現(xiàn)系統(tǒng)內(nèi)各級(jí)治理層對(duì)系統(tǒng)資源的全局操縱、把握和調(diào)度能力。

另外，依照需要能夠采取信息傳輸加密、非法外聯(lián)監(jiān)控、電磁干擾等技術(shù)來(lái)防止信息在網(wǎng)絡(luò)傳輸時(shí)的泄露、篡改、檢測(cè)，阻斷對(duì)系統(tǒng)內(nèi)用戶(hù)非授權(quán)的外部連接，防止網(wǎng)絡(luò)設(shè)備、顯示器的電磁泄露。

⒊操作系統(tǒng)層安全

操作系統(tǒng)安全也稱(chēng)主機(jī)安全，現(xiàn)代操作系統(tǒng)的代碼龐大，別同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix，Window2000，其安全漏洞更是廣為流傳。另一方面，系統(tǒng)治理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解別夠，配置別當(dāng)也會(huì)造成的安全隱患。

針對(duì)操作系統(tǒng)層安全，可采取以下技術(shù)手段舉行安全防護(hù)：

⑴補(bǔ)丁分發(fā)技術(shù)，不管是操作系統(tǒng)，依然應(yīng)用系統(tǒng)都別可幸免地存在一定的漏洞，需要補(bǔ)丁分發(fā)技術(shù)對(duì)系統(tǒng)、應(yīng)用軟件統(tǒng)一更新補(bǔ)丁，提高其安全保障。

⑵系統(tǒng)掃描技術(shù)，對(duì)操作系統(tǒng)這一層次需要功能全面、智能化的檢測(cè)，以幫助網(wǎng)絡(luò)治理員高效地完成定期檢測(cè)和修復(fù)操作系統(tǒng)安全漏洞的工作。系統(tǒng)治理員要?jiǎng)e斷跟蹤有關(guān)操作系統(tǒng)漏洞的公布，及時(shí)下載補(bǔ)丁來(lái)舉行防范，并且要經(jīng)常對(duì)關(guān)鍵數(shù)據(jù)和文件舉行備份和妥善保存，隨時(shí)留意系統(tǒng)文件的變化。

⑶主機(jī)加固，為了從全然上加強(qiáng)主機(jī)的安全，對(duì)主機(jī)應(yīng)舉行加固以抵御針對(duì)操作系統(tǒng)的攻擊行為。主機(jī)加固包括兩種有效的手段：一是手工加固；二是輔助工具。手工加固是由專(zhuān)業(yè)的安全專(zhuān)家或安全治理員對(duì)主機(jī)舉行加固實(shí)施，包括針對(duì)技術(shù)弱點(diǎn)的更新軟件補(bǔ)丁，針對(duì)配置弱點(diǎn)的安全增強(qiáng)；輔助工具是一些安全公司或安全組織開(kāi)辟并維護(hù)的相關(guān)安全加固軟件，便于更方便、完整地加固系統(tǒng)。

⑷防病毒系統(tǒng)需求

針對(duì)防病毒危害性極大同時(shí)傳播極為迅速的特點(diǎn)，配備符合經(jīng)過(guò)國(guó)家安全標(biāo)準(zhǔn)的網(wǎng)絡(luò)防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。

⒋數(shù)據(jù)庫(kù)層安全

許多關(guān)鍵的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫(kù)平臺(tái)上，假如數(shù)據(jù)庫(kù)安全無(wú)法保證，其上的應(yīng)用系統(tǒng)也會(huì)被非法拜訪或破壞。針對(duì)數(shù)據(jù)庫(kù)層安全，應(yīng)當(dāng)采取數(shù)據(jù)庫(kù)加密、數(shù)據(jù)庫(kù)漏洞掃描、數(shù)據(jù)庫(kù)安全增強(qiáng)等技術(shù)手段舉行安全防護(hù)。

⒌應(yīng)用層安全

應(yīng)用安全是指用戶(hù)在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括業(yè)務(wù)系統(tǒng)、辦公自動(dòng)化、網(wǎng)絡(luò)基本服務(wù)系統(tǒng)等。應(yīng)用層安全的解決目前往往依靠于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒(méi)有特定的安全技術(shù)可以徹底解決一些特別應(yīng)用系統(tǒng)的安全咨詢(xún)題。針對(duì)特別的應(yīng)用需要特定的安全增強(qiáng)配置，以增強(qiáng)應(yīng)用系統(tǒng)的安全性。

⑴身份認(rèn)證技術(shù)

校園網(wǎng)中特別部門(mén)（如檔案治理、財(cái)務(wù)處、招生就業(yè)等部門(mén)）要建設(shè)的是涉密網(wǎng)絡(luò)系統(tǒng)。對(duì)此，要采納身份認(rèn)證系統(tǒng)，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺(tái)，加強(qiáng)用戶(hù)的身份認(rèn)證，防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)拜訪以及越權(quán)操作，加強(qiáng)口令的治理。

⑵安全保密服務(wù)需求

我們的校園網(wǎng)中將部署許多應(yīng)用系統(tǒng)，許多信息、電子公文涉及公眾隱私、特別行業(yè)信息和國(guó)家敏感和非公開(kāi)信息。為確保這些信息在各部門(mén)之間信息交換過(guò)程中的機(jī)密性、完整性和真實(shí)性，需要運(yùn)用加密、數(shù)字簽名、摘要運(yùn)算等安全機(jī)制，所以需要設(shè)計(jì)安全保密服務(wù)系統(tǒng)。

⒍操作層（治理）

層次系統(tǒng)安全架構(gòu)的最頂層算是對(duì)校園網(wǎng)絡(luò)全網(wǎng)舉行操作、維護(hù)和使用的內(nèi)部人員。人員有各種層次，對(duì)人員的治理和安全制度的制訂是否有效，妨礙由這一層次所引發(fā)的安全咨詢(xún)題。除專(zhuān)業(yè)治理人員外，必須成立特意安全組織結(jié)構(gòu)。那個(gè)安全組織應(yīng)當(dāng)由各級(jí)行政負(fù)責(zé)人、安全技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人及負(fù)責(zé)具體實(shí)施的安全技術(shù)人員組成。加強(qiáng)網(wǎng)絡(luò)治理人員及安全組織成員的治理措施，如人員審查、崗位人選、人員培訓(xùn)、人員考核、簽訂保密協(xié)議和人員調(diào)離等方面的治理。此外，必須制訂系列的安全治理制度和安全事件處理流程。

三、結(jié)束語(yǔ)

網(wǎng)絡(luò)安全技術(shù)是信息安全操縱的重要手段，一些復(fù)雜的安全性要求高的信息系統(tǒng)的安全性必須借助于技術(shù)手段來(lái)實(shí)現(xiàn)，