谈高校校园网安全现状及解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

谈高校校园网安全的现状及解决方案

摘要:随着高校校园网在高校教学、科研、行政办公等方面发挥着越来越重要的作用,如何依托现有的网络基础架构,整合建设高校网络,支持高校各种业务系统的运行,支持跨部门、跨地区的信息资源共享,促进高校教学能力和信息化水平的提高,已经成为各高校优先考虑的内容。建设高校网络安全防护体系、网络信任系统、安全管理体系和统一的技术标准规范体系,保障高校业务系统的可靠运行与有效的应用。

关键词:高校校园网;网络安全;防火墙;入侵检测

中图分类号:tp393 文献标识码:a 文章编号:1007-9599 (2012)23-0000-02

1 高校校园网的普遍现状

接下来,结合笔者曾经参与过的某高校二级学院局域网安全项目为例,来具体探讨下高校校园网的安全现状以及一些较为有效的解决方案。在我们提出的安全项目方案实施前该学院虽建立了信息化的网络,但没有采取任何安全措施。为了保障网络的安全,该学院一直在寻求各种合适的安全设备来加强网络安全防护,希望能对现有的网络进行安全加固,以确保在信息化建设中各种业务系统及网络基础架构的稳定、可靠、安全等需要。实施前该学院网络存在的主要问题,也是很多高校校园局域网普遍存在的问题,具体有以下三大方面:

1.1 网络安全方面的投入严重不足。没有系统的网络安全设施配

备,网络建设经费严重不足,有限的经费也主要投在网络设备上,对于网络安全建设一直没有比较系统的投入。网络还基本处在一个开放的状态,缺乏有效的安全预警手段和防范措施。

1.2 内部上网混乱,无任何安全管理和监控的手段。内部ip管理较混乱,无法限制用户上网权限,同时也没有任何安全管理和监控的手段。交换机无法进行管理,出现网络事件时无法进行响应处理问题。

1.3 网络安全意识淡薄,没有指定完善的网络安全管理制度。网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜。由此可见,为了能够追查攻击的来源,系统应该具备有效的工具,记录攻击行为的全过程,为调查工作提供依据,同时也是对非法入侵者的有效震慑。另外,由于人手有限,某些工作人员经常身兼数职,违反安全系统原则,对系统安全构成严重威胁。因此,我们应该从技术和管理等多种渠道加强管理和监控,杜绝这个层面上的安全问题。

2 常采用的一些有效网络安全解决方案

首先,配置防火墙是保证校园网络系统安全的第一步,也是系统建设时首要考虑的问题。防火墙通过监测、限制、更改通过防火墙的数据流,可以保护网络系统不受来自外部的攻击。笔者推荐部署一台网络防火墙系统用于边界的基本安全防护措施。

在防火墙的部署方面,建议将防火墙安装在内外网的边界,这样

就避免了内部网络暴露在外网上,对内、外网络进行了有效的隔离,对外部屏蔽了网络内部的信息、结构和运行状况。同时通过在防火墙上设置访问控制规则,使内外网络之间有条件的互访,过滤掉非法的访问请求,大大减少了网络内部服务器/主机受到外部攻击的机会,解决了网络边界的安全问题。

市面上一些常见的防火墙产品基本上能实现如下功能:(1)通过源地址过滤,拒绝外部非法ip地址,有效的避免了外部网络上与业务无关的主机的越权访问。(2)防火墙可以限制内部用户的网络访问行为,如限制在上班时间上游戏网站、看电影,限制内部用户上不良网站等。(3)防火墙可以限制内部用户的网络访问行为,如限制在上班时间上游戏网站、看电影,限制内部用户上不良网站等。(4)防火墙可以制定访问策略,限制内部特定的主机可以访问外部网络,同时,只有被授权的外部主机只可以访问内部网络的有限的ip地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝。(5)安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。(6)使用防火墙身份认证模块,对每一个上网的用户进行身份认证,确保每一个使用互联网的用户都可以对应到具体的人员,有效解决了ip/mac盗用,多人共用电脑等带来的网络访问审计问题,实现网络访问的“实名制”,避免匿名网络访问带来的生产力流失,法律后果等问题。(7)通过防火墙的各种功能模块,实

现有效的访问控制机制。如:p2p软件限制、流量带宽控制、并发数控制等。

这里有必要重点介绍下防火墙身份认证模块的使用,以上述项目该学院使用的黑盾防火墙为例。该防火墙身份认证模块由防火墙身份认证服务端、内网用户客户端,并配合黑盾日志系统进行统一工作:(具体部署见上图2)

(1)防火墙身份认证服务端负责统一配置用户数据库,用户授权访问规则;采集分析数据;并把数据发送到日志系统中;(2)内网用户客户端负责发送认证请求到服务端,认证通讯通过加密的信道完成;(3)日志系统负责存储,整理,分析数据。

其次,除了防火墙外,网络入侵检测部署对于高校校园局域网的安全防范也很重要。在上述的项目中,该学院连接互联网的网络出口通过使用黑盾防火墙作为网络边界的安全防护设备,可以有效的阻止从互联网进入的有害信息。但如果网络中只有防火墙作为安全防护是不够的主要存在以下弱点:(1)对于从内网发起针对互联网网的攻击行为防火墙无能为力;(2)从内网发起针对内网的攻击行为防火墙无能为力;(3)利用合法途径进入网络的攻击行为防火墙无能为力。基于以上的网络安全现状及需求,提出如下方案示意针对该学院的现有网络情况,我们建议在核心交换机上连接网络入侵检测系统的探测引擎,通过在交换机上配置端口镜像,使其监听特定端口的网络流量,监听网络中是否存在攻击行为。同时安装网络入侵检测系统的监控台,监控探测引擎的工作情况、设置策略

等。当网络入侵检测系统的探测引擎探测到网络攻击的发生或网络病毒传播时,可实施报警、阻断、防火墙联动阻断、记录等多种响应动作,以保护服务器及网络的安全。同时,网络入侵检测系统作为一种审计的工具,可以详细记录所有的网络访问,以便审查。

3 结论

坚持积极防御、综合防范的方针,全面提高信息安全防护能力是国家信息安全保障工作的总体要求之一。“积极防御、综合防范”也应作为高校校园网进行信息安全保障的总体战略方针。但“积极防御、综合防范”方针并不意味着无限制地加强安全保障措施。根据信息系统的重要性,对重要的信息系统进行重点保障,根据系统面临的实际安全威胁,采用适当的安全保障措施,才能提高高校校园网络信息安全保障的整体效能,保证积极防御、综合防范方针的落实。

参考资料:

[1]黄敏.内网安全的发展趋势[c].第十届信息安全技术大会论文集,2006.

[2]焦允.企业的网络信息安全现状分析与解决方案[j].郑州航院学报,2006.

[3]陆英南.企业内网安全管理策略研究[j].电脑知识与技术,2008,8.

相关文档
最新文档