谈校园网安全访问控制体系

谈校园网安全访问控制体系

摘要

近年来，随着Internet 的迅速普及和“教育要面向现代化、面向世界”指导思想的贯彻实施，各中小学相继建成或正在建设校园网。校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有十分重要的意义。然而，由于各种因素导致的校园网数据丢失、被修改或系统瘫痪等问题屡有所闻，校园网的安全建设成了一个急待解决的问题。本文就我工作单位校园网的特点，对校园网安全的探索与实践提出一些看法。

关键词：校园网；安全威胁；病毒攻击；数据泄露；最小授权

目录

摘要…...........................................................................................................… I

1 引言 (1)

2 校园网硬件结构与软件系统 (1)

2.1 硬件结构 (1)

2.2 软件系统 (5)

2.2.1 操作系统 (5)

2.2.2 网关软件 (5)

2.2.3 杀毒软件 (5)

2.2.4 防火墙软件 (5)

2.2.5 Intranet 服务软件 (5)

3 校园网建设中有关安全方面的问题及解决 (6)

3.1 来自外部的安全威胁及防范 (6)

3.2 来自内部的安全威胁及防范 (7)

3.2.1 IP 盗用 (7)

3.2.2 病毒攻击 (7)

3.2.3 非法站点的访问 (8)

3.2.4 数据泄露 (8)

4 关于建设更安全校园网络思考 (9)

4.1 采用入侵检测系统 (9)

4.2 身份验证 (10)

4.3 Web、E-mail、BBS 的安全监测系统 (10)

4.4 漏洞扫描系统 (10)

4.5 利用网络监听维护子网系统安全 (10)

4.6 建立并严格执行规章制度 (10)

4.7 应急处理和数据备份 (11)

4.8 遵循“最小授权”原则和采用“信息加密”技术 (11)

参考文献 (9)

1 引言

随着校园网建设在各地的开展，我校（郑州电子信息职业技术学院）初步建成自己的校园网，这样有关校园网的安全问题也就显现出来。本校教师有300 多名，校园网上的用户达150 余户。为了保障教师的心血及电脑的安全，防止被他人所破坏；在这种复杂的应用面前，如何保证关键资产数据的安全性，保证校园网的畅通性，保证各类信息的准确性，成了校园网系统管理员面临的难题。如何在校园网络及其信息系统中搭建安全控制体系，使本校的校园网安全、稳定、高效地运转，已成为学校领导越来越重视的问题。

2 校园网硬件结构与软件系统

2.1 硬件结构1、网络硬件：百兆以太主干网，楼与楼之间使用光纤连接，楼内使用双绞线到户。2、拓扑结构：树形拓扑结构。3、主干网连接：中心机房采用光纤接入Internet，带宽20M。4、网络分布图：

图2.1

图2.2

2.2 软件系统 2.2.1 操作系统网关服务器及应用服务器均使用Windows Server 2003 SP2，用户计算机采用Windows 98/Me/2000/XP/2003/Vista 等操作系统。 2.2.2 网关软件Kerio WinRoute Firewall 6.5.1（简称KWF），该软件在提供路由的同时还内置防火墙、VPN、带宽限制、病毒检测等功能。2.2.3 杀毒软件网关服务器及应用服务器均安装Symantec Antivirus 10.1.7.7000 企业版客户端，用户计算机使用诺顿、Mcafee、金山毒霸、瑞星、江民等杀毒软件。

2.2.4 防火墙软件网关服务器使用KWF 内置的防火墙，应用服务器使用ISS BlackICE Server Protection，用户计算机采用Windows XP 自带的防火墙或ZoneAlarm Pro、瑞星个人防火墙、金山网镖、天网个人防火墙、费尔个人防火墙等。2.2.5 Intranet 服务软件⑴Web 服务：使用Windows 2000 Server 内置的IIS5.0。⑵FTP 服务：使用Serv-U FTP Server 5.2。

⑶即时通讯服务：使用腾讯通3.61 实时协作版。

3 校园网建设中有关安全方面的问题及解决

校园网及其信息系统所面临的安全威胁既可能来自校园内部，又可能来自校园外部。主要有以下几种情况：“黑客” 、数据泄露、IP 盗用、病毒攻击、非法站点的访问和E-mail 问题。所有的入侵攻击都是从用户终端上发起的，往往利用被攻击系统的漏洞肆意进行破坏。针对校园网的各种安全隐患，深入分析产生这些安全问题的根源、以及随时出现的网络安全需求，通过采取相应的网络安全策略，将安全技术与教育管理结合起来，就可以建成一个安全、通用、高效的校园网络系统。3.1 来自外部的安全威胁及防范从学校的网络拓补结构可以发现，“黑客”要想从外部威胁校园网，只有通过网关服务器，因此，做好网关服务器的安全工作是关键。刚开始网关使用的是“阿尔法V6 路由器” ，经过一段时间的使用，发现该路由器不太适用，原因如下：①不能支持B 类地址掩码，局域网的掩码只能支持255.255.255.0，而无法支持255.255.0.0。②不能针对不同用户设置不同的访问Internet 的权限。③日志功能太弱，难以对网络出现的问题进行分析。④Internet 出口带宽被限制为10M，而学校从电信局接入的光纤带宽是20M，造成巨大的浪费。⑤路由器的处理器性能太低，内存不够大，难以适应越来越多的网络应用。所以决定改用一台专门的计算机安装网关软件作为网关服务器。最终采用一台赛扬D2.53G、256M 内存、40G 硬盘、双百兆网卡的计算机担任网关。该网关服务器安装