校园网的安全性分析

第24卷第2期2010年4月 河南财政税务高等专科学校学报Journal of Henan College of Finance &Tax a tion Vol .24.No .2Apr .2010　

[收稿日期]3[作者简介]侯峰(3—),女,河南许昌人,河南财政税务高等专科学校助教。

校园网的安全性分析

侯　峰

(河南财政税务高等专科学校现代教育中心,河南郑州450002)

[摘　要]高校校园网大都采用先进的网络技术,网络应用普及,用户群密集而且活跃,安全问题也十分突出。校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案,力争使校园网成为一个全面、有效、系统的安全工程。

[关键词]校园网;安全性;网络技术;网络安全风险

[中图分类号]TP393.18 [文献标识码]A [文章编号]1008-5793(2010)02-0084-05

新一代数字化校园的建设,使大学成为全面创新型人文教育基地,成为整个知识经济的“核心发动机”,成为引导终身教育的网络社区。但是随着校园网的建设和网络应用的扩大,网络安全风险也变得更加严重和复杂。

校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案。

一、校园网的物理安全

第一,引入分层网络设计的方法将一个较大规模的校园网络系统划分为几个较小的部分,它们之间既相对独立又互相关联。优良的网络拓扑结构是校园网稳定可靠运行的基础。现在的移动通信网络3G (第三代移动通信)就运用了分块结构,将复杂的网络清晰地划分为功能明确的小块,再具体地完成其相应的业务。现将其应用到校园网中,可将其网络拓扑结构分为核心层、分布层及接入层(如图1所示)。

核心层的规划目标为处理高速数据流,实现数据分组交换。分布层负责聚合路由路径,收敛数据流量,将大量低速的链接(与接入层设备的链接)通过少量宽带的链接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量。接入层则将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。对于复杂的高校校园网规划而言,分层拓扑结构是最有效的,它的优点在于,它把一个大问题分解成几个小问题,将局部拓扑结构改变所产生的影响降至最小,减少路由器必须存储和处理的数据量,提供良好的路由聚合数据流收敛。

第二,引入冗余设计以克服单点故障。设计冗余可以减少跳(hop )数、设置备用系统与备用线路,以绕过那些故障点,减少可用的路径数量,增加核心层可承受的故障数量。另外,冗余还能提供安全的方法以防止服务丢失。

第三,划分VA LN 。V LAN 即虚拟局域网,用路由器相连,它允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域,每一个VLA N 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。这样就可以实现将不同层的物理设备在逻辑上相隔离,使之不能通信,以减少网络风暴以及来自系统内部的安全威胁。

2010-0-02

1984

8

图1　网络拓扑结构图

二、校园网的操作安全

操作安全包括正确使用用户权限,正确运用系统软硬件,正确操作终端或服务器等。访问控制、授权管理、数据备份与数据恢复等是控制操作安全的有效方法。

访问控制是实现既定安全策略的系统安全技术,通过访问控制服务可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。

系统安全的根本目标是数据资料的安全,而数据资料是由它的使用者进行存取和维护的。传统的数据存取和维护都是以新的数据覆盖旧的数据,对于数据是无心的错误或有心的更改,一个管理者无法有效地查出蛛丝马迹。因此,对数据的存取控制是系统安全的一个重要方面,可以引用授权管理来解决此问题。

操作失误等原因导致数据损失时,数据恢复就显得十分重要。无论是数据被清空或硬盘驱动器出现故障,还是格式化误删除或病毒引起的数据损失等情况,只要在存储介质没有严重受损的情况下,大部分数据仍然可以被恢复。当然做好日常的数据备份也是非常必要的。

三、校园网的信息安全

(一)防病毒系统

病毒与恶意代码是当前网络信息安全最大的威胁,在整个校园网的电子邮件系统、文件服务器系统、数据库服务器系统、网络客户端系统以及网关和路由器系统等建立防病毒系统是十分必要的。

第一是电子邮件防毒。在邮件服务器上进行安全管理,能很好地解决病毒通过邮件以及通过公共文件复制进行传播的问题。使用安全的邮件服务器,所有进出邮件服务器的邮件或者共享文件先被保存到临时目录,然后通过扫毒引擎进行扫描,发现病毒后进行相应处理,之后再放到相应的邮箱和文件夹中。处理方式包括清除、隔离、删除、不处理并通过E-m ail报警等方式通知发件人和管理员,同时还可以提供详细的日志以备检查和参考。

第二是文件服务器或数据库服务器防毒。校园网内的重要服务器通常安装了N T Ser ver或者W in2000Server。由于重要服务器经常交换大量数据和文件,要保障服务器本身不被病毒侵害,就需要在这些服务器上安装相应的防病毒软件。

第三是网络终端防毒。病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入。所以,校园网络最妥善的防病毒方案应当考虑解决终端的防病毒问题。如果病毒在局域网内的所有终端

5

8

传播之前就被清除,网络管理员的工作量就减少了很多。

第四是网关或路由器防毒。网关防毒是对采用htt p、ftp、s m t p协议进入内部网络的文件进行病毒扫描和恶意代码过滤,从而实现对整个网络的病毒防范。首先需要扫描和过滤文件,然后再转到相应的服务器和客户端,所有的访问对用户来说是透明的,对整个网络的性能影响很小。

(二)安全审计系统

信息安全的另一个重要方面就是审计。审计是对那些可能危及系统安全的系统级属性进行连续评估,报告并跟踪企图对系统进行破坏的行为。定期进行系统审计可以为网络管理者提供关于系统安全状态的一个整体评价,大多数入侵手段可以被这些检查模拟出来。一些用于网络入侵的工具也可以被用来对系统进行审计。

在接入外网的路由器上实现安全审计,可将学校电脑分为若干网络教室或组别,实时监控全校师生的网上行为,提供每台电脑的上网记录和统计分析以及校园网中浏览不良信息的详细记录。其强大的分析报告功能既可以全方位阻挡色情和反动网上的资讯对学生的毒害,也可以帮助学校根据教学需要设置上网内容和控制上网时间,实现校园网的集中管理和控制。

四、校园网的网络安全

校园网的网络安全是各安全要素的核心,包括网络硬件、软件和协议的保护以及网络上传输信息的保护。

设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一,其拓扑结构图如图2所示。防火墙设置在不同网络或网络安全域之间信息的唯一出入口,可以过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警,起到保护网络和外部网络的隔离作用。

图2　校园网拓扑结构图

网络间信息的传输是通过协议达成的,协议的安全是网络安全的重点,安全的协议是可靠传输的前68