校园网络安全防范

校园网络安全防范

摘要：本文主要是结合校园网络安全存在的问题,针对引起校园网络安全的安全威胁，进行针对性安全规划，应用安全技术进行有效的安全防范从而有效地保护校园网的安全。

关键词校园网安全威胁安全规划安全技术安全防范

一．校园网安全威胁

1.1校园网络安全概述

校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境。目前计算机和网络技术在学校的教学、管理上的信息泄密和毁坏也就越来越受人们关注, 这就是网络信息安全问题。因此针对网络的安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。

1.2 网络威胁的表现形式

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，归结起来，大致有以下几方面：

一是通过互联网访问学校资源的终端用户, 二是校内的终端用户, 三是病毒攻击, 四是系统漏洞, 五是管理人员自身的管理不善。主要表现在“黑客”恶意的攻击、信息泄密和篡改、数据被删除和毁坏、IP 盗用、病毒攻击、非法站点的访问、E -mail 和BBS 携带非法信息等问题。

1.3 入侵方式

俗话说“知己知彼,百战不殆”,为了减少甚至杜绝校园网中的安全隐患,我们必须首先了解:这些所谓的威胁是以一种什么方式与你的计算机建立联系的。

（1）利用操作系统的一些漏洞。如有名的windows DCOM蠕虫病毒就是利用windows DCOMMS03 - 26漏洞进行攻击的。

（2）通过邮件或资料下载,病毒或木马程序被下载到本地机器上。

（3）盗版软件也是传播病毒及木马程序的途径之一。

（4）骗取用户口令,冒充合法用户。

（5）操作系统自身设置造成的。许多教师为了办公方便,将所有硬盘分区共享,并且不限制权限,使其他用户通过网上邻居等简单方式就可以对文件进行操作。

（6）浏览一些恶意的网站。这些网站不仅内容无聊,而且往往还带有一些恶意代码。浏览之后,轻则更改IE设置,重则更改注册表,造成系统的不稳定。

二．校园网安全规划

2.1网络安全规划

制订校园网安全规划的目的就是要对网络安全问题有一个全面的思考, 要从系统的观点

去考虑安全问题。安全规划至少应当包括如下一些内容: 安全策略, 内/ 外网的逻辑划分, 校园网上的信息分布与安全密级, 应用系统的分布与应用服务器、数据库系统设置和放置地点, 安全管理制度(人员、工作流程、维护保障制度等), 安全服务, 安全防范措施和技术手段(包括访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等), 数据备份与恢复措施、安全评估、实施计划(包括资金投入的计划) 等。

2.2合理划分网络区域

从安全角度讲, 校园网也应当从逻辑上合理划分区域。要根据整体的安全规划和信息安全密级, 从逻辑上划分外网、内网, 划分出安全区域( 即内部网络区域) 、非军事区(DMZ) 和不安全区域, 要根据学校对网络的需求, 合理划分虚拟专用网(VLAN) , 如图1所示。

安全区域是校园网的内部网络区域, 是外部用户不能直接访问的部分, 有很高的安全级别。各种内部服务器、数据库服务器应当放置在该区域, 各种应用系统、OA 系统等在该区域运行。

非军事区(DMZ) 是内/ 外网用户均可以访问的区域。在此区域, 可以提供一些对外的服务, 比如Web 服务、Ftp 服务、Email 服务等。但是, 该区域也应当有一定的安全防范措施。

不安全区域也可以称为外部区域, 就是防火墙的外网接口以外的区域。根据校园网用户的特点, 该结构有如下特点:

（1）所有校园网用户都能通过防火墙和入侵检测系统访问Internet , 能满足校园网用户的需求。

内

部

用户

应

用

（2）外部区域与DMZ (demilitarized zone) 之间建立防火墙, 提供访问控制、信息过滤。在DMZ 区域内的各种服务, 是向外网用户和内网用户开放的, 外网用户和内网用户均可以访问。要根据DMZ 的这种特点, 制订合理的安全策略。在制订DMZ 的安全策略时, 只允许外网用户和内网用户访问开放的服务, 不应当允许从DMZ 访问内网的各种服务。

（4）对安全级别较高的内部网络区域, 使用防火墙与入侵检测系统, 防火墙与入侵检测系统联动, 共同构筑防御体系。

三．校园网安全技术

3.2.1防火墙技术

作为加强网络间访问控制的网络互连设备, 防火墙是在内部网与外部网之间实施安全防范的系统, 它保护内部网络免受非法用户的侵入, 过滤不良信息, 防止信息资源的未授权访问。防火墙是一种基于网络边界的被动安全技术, 对内部未授权访问难以有效控制, 因此较适合于内部网络相对独立, 且与外部网络的互连途径有限、网络服务种类相对集中的网络。防火墙的实现技术主要有：数据包过滤, 应用网关和代理服务等。

(1) 包过滤型

包过滤型是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/ UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。使用这一类型,即可防患病毒入侵校园网。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java 小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP 地址,骗过包过滤型防火墙。

(2) 网络地址转化- NAT

网络地址转换是一种用于把IP 地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有IP 地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP 地址。NAT的工作过程是:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源地址端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP 地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同

的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。