高校校园网安全问题的解决方案

  • 格式:pdf
  • 大小:1.49 MB
  • 文档页数:2

・96・2010.11・www.infosting.orgSolution·解决之道

高校校园网安全问题的解决方案

刘建波(淄博师范高等专科学校 山东淄博 255100)

【摘要】校园网作为高校信息化重要的基础设施, 是教育现代化的重要组成部分。正是校园网的高效运作和高度开放,使得我们更要充分重视校园网的安全问题。文章主要从技术的角度分析校园网的安全, 并提出了有效的解决方案。

【关键词】校园网建设;网络安全;安全管理

1.概述

近年来随着Internet高速发展,许多高校都建立了校园

网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻

劳动强度,实现资源共享都起到了积极的作用。但在发展办公

自动化、实现资源共享的同时,人们对校园网络的安全也越加

重视。

正如人们所说的:网络的生命在于其安全性。因此,如何

在现有的条件下搞好网络的安全,就成了网络管理人员的一个

重要课题。

作为高校信息化重要基础设施的校园网,担当着学校教

学、科研、管理和对外交流等重要角色, 它增强了学校从外部

获取信息的能力,而另一方面校园网安全状况也直接影响着

学校的教学活动,使得校园网的管理要直面由Internet的开

放性所带来的新挑战和新危险。

许多校园网是从局域网发展来的,由于意识与资金方面的

原因,它们在安全方面往往没有太多的设置,在网络建成的初

期,安全问题可能还不突出,随着应用的深人,校园网上各种数

据的急剧增加,各种各样的安全问题开始困扰网络管理人员。

由于网络不安全状态的存在,校园网数据丢失、系统被修改或

瘫痪的事情时有发生。

因此对建立一个安全、稳定、高效的校园网系统,网络安全

成为一个非常重要的问题。

2.校园网面临的安全问题

对校园网络来说,遇到的攻击主要有黑客攻击、内部攻击

和病毒攻击三种形式。

黑客攻击是利用网络众多的黑客工具如拒绝服务类、缓

冲区溢出类、口令猜解等黑客工具对主机或网络进行扫描和攻

击。软件漏洞给黑客攻击提供了可乘之机。如校园网络中被

广泛使用的Windows操作系统,网络服务软件如IIS等,一旦被公布发现有漏洞,中文版的漏洞补丁一般会比英文版的

补丁停滞后,这就给校园网的安全埋下隐患。

来自内部的攻击。校园网网内有众多主机及用户,并且

用户的整体技术水平相对于其他网络用户普遍较高,相比来自

外部的攻击,来自网内的攻击更为可怕,威胁更大,防不胜防。

而现有的校园网常用安全技术如防火墙等往往只强调对来自

外部的攻击进行防范。同时从普遍范围来看,造成损失的网

络攻击有75%来自内部。

计算机病毒是一组通过复制自身来感染其它软件的程序。

当程序运行时,嵌入的病毒也随之运行并感染其它程序。一些

病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被

事先设定好的环境激发,即可感染和破坏。网络病毒的威胁,

一是来自文件下载;二是网络化趋势。

网络传递的病毒,传播速度极快,对网络服务构成严重

威胁,部分网络病毒会导致系统崩溃,网络瘫痪,造成巨大

损失。

另外,网络系统本身的硬件设备和软件系统也存在安全

隐患。校园网络涉及的设备分布极为广泛,任何个人或部门

都不可能时刻对这些设备进行全面的监控。目前的校园网络

大都是利用Internet技术构建的,同时又与Internet相连。

Internet网的共享性和开放性使网上信息安全存在先天不足,

因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且

Internet最初的设计基本没有考虑安全问题,因此它在安全可

靠、服务质量、带宽和方便性等方面存在着不适应性。

3.网络安全问题的解决方案

面对日益严重的网络安全问题,我们一方面要加强制度管

理,提高网络管理人员的安全意识,另一方面也要使用各种技

术手段以提高校园网的安全性。

校园网络的安全,并不只是安装一个防火墙或几个补丁程信息安全与技术・2010.11・97・解决之道·Solution

部用户不能从其它VLAN访问到交换机设备。

3.4 防火墙技术

防火墙是目前为确保网络安全而使用的一种最为普及的网

络安全防范措施。在信息技术领域内,防火墙则是在两个具有

不同信任度的网络(如内网、外网)之间构建的一种由计算机软

硬件组成的信息防护体系,该防护体系通过对两个网络之间的

通信进行控制来强制实施一些安全策略,以防止对重要信息的

非法访问,从而保护数据的安全性。目前广泛使用的防火墙分

为包过滤、应用级网关、状态监视器、带有虚拟专用网的防火墙

等几种。

实际配置时,对于进来的信息,外部路由器用于防范通常

的外部攻击,它只允许外部系统访问应用级网关和Web服务

器,Telnet、ftp等应用必须经过ftp应用级网关服务代理。内

部路由器提供第二层防御,只接受源于应用级网关的数据包。

对于去往Internet的数据包,内部路由器允许内部系统只访

问堡垒主机和有Web服务器,Telnet、ftp等应用必须经过应

用级网关服务代理。外部路由器只接受来自应用级网关的去

往Internet的数据包。这样,入侵者必须突破三层设备才有

可能侵袭内部网络,保证内部网络对外的不可见性。

另外,病毒防治数据加密、备份和镜像等也是常用的提高

网络系统数据的保密性和数据完整性的主要技术手段。对于

校园网的安全问题,不仅要做好技术方面的工作,还要加强配

套安全管理制度。配备专门的安全管理人员, 做到及时进行

漏洞修补和定期检查,保证对网络的监控和管理。

4.结束语

随着高校校园网应用的越来越丰富,越来越开放,网络

安全已经成为不可忽视的问题。网络安全是一个综合性的课

题,涉及技术、管理、使用等许多方面,既包括网络系统本身的

安全问题,也有物理的和逻辑的技术措施。网络安全和数据

保护防范措施都有一定的限度,任何一种技术都不能一成不

变地防备新的网络安全问题。

因此,建立一套完整安全的防御体系,利用各种技术,

并配套上相应安全管理制度,才能为校园网的安全提供有力

的保障。

参考文献

[1] 李晓琴.浅析校园网络安全[J],福建电脑,2007.05.

[2] 郭拯危,闵林.校园网安全策略的设计[J],河南大学学报

(自然科学版) ,2002.03.序就可以保障的,我们必须要考虑从整体上建立安全可靠的

防御体系结构,为校园网的安全提供坚强后盾。

针对我校校园网络的实际情况,我们采用如下措施,以保

证网络安全。

3.1 漏洞扫描技术

漏洞扫描是自动检测远端或本地主机安全脆弱点的技

术。它对计算机系统或者其他网络设备进行安全相关的检测,

以找出安全隐患和可被黑客利用的漏洞。它查询TCP/IP

端口,并记录目标的响应,收集关于某些特定项目的有用信

息。它从一个攻击者的角度,来发现安全问题,通过对重要

的主机和网络设备进行安全扫描,便尽可能早找出安全漏

洞, 并及时采取适当的处理措施,可以说漏洞扫描是主动安

全问题发现工具,能最大限度地阻止入侵事件的发生。

3.2 入侵监测技术

入侵监测技术是一种能够及时发现并报告系统中未授权

或异常现象的技术,利用审计记录,监测主机和网络中违反安

全策略的行为,识别出任何不希望有的活动,从而达到限制这

些活动,以保护系统主机和网络的安全的目的。目前主要使

用的是:基于网络的入侵监测和基于主机的入侵监测。

由于基于网络的入侵检测一般只针对它直接连接网段的

通信,不检侧在不同网段的网络包,故在校园网比较重要的网

段中放置签于网络的入侵检测产品。我们设计使得网络不停

地监视网段中的各种数据包,对每个数据包或可疑的数据包

进行特征分析。

如果数据包与入侵检测系统中的某些规则吻合,则入侵

检测系统就会发出警报或者直接切断网络的连接。在Web

服务器,FTP服务器安装基于主机的入侵检测系统,对该主

机的网络实时连接进行分析和判断。如果其中主体活动十分

可疑,入侵检测系统就会采取相应措施。从而构成一套完整

立体的主动防御体系。

3.3.划分内部VLAN

正确的VLAN划分和管理,直接影响到校园网的安全

性。我们所采用的内部VLAN的划分原则是基于端口+IP

地址的VLAN划分,主要将所有未被使用的交换机端口构

成一个VLAN。由于不对该VLAN分配IP地址,可避免通

过未使用端口对网络关键设备的非法访问。

另外,将所有交换设备的访问控制端口构成一个

VLAN。该VLAN中的访问控制端口分配IP地址,阻塞该

VLAN的路由,使校园网内部一般用户和Internet上的外