1、    校園網(wǎng)安全體系設(shè)計方案    摘 要：眾所周知，現(xiàn)在的internet是不夠安全的。高校的校園網(wǎng)作為internet的一部分，在享受internet提供服務(wù)的同時，也面臨著遭遇攻擊的威脅。本文從目前高校的校園網(wǎng)安全現(xiàn)狀出發(fā)，分析了校園網(wǎng)的安全風(fēng)險，給出了一個校園網(wǎng)安全體系設(shè)計方案。關(guān)鍵詞：校園網(wǎng) 安全 設(shè)計 方案一、校園網(wǎng)安全現(xiàn)狀internet最初是一個開放的供研究人員使用的網(wǎng)絡(luò)，幾乎所有的通信協(xié)議都沒有考慮安全因素，可以說是一些君子協(xié)議。然而，自20世紀(jì)90年代以來，internet步入商業(yè)化的發(fā)展階段，使得internet變成一個蕓蕓眾生的

2、社會，它暴露出來的安全問題越來越突出。在此期間我國大多數(shù)高校建設(shè)的校園網(wǎng)，由于資金及當(dāng)初認識上的局限，專門用于網(wǎng)絡(luò)安全的考慮很少，使得校園網(wǎng)在享受internet提供服務(wù)的同時，也同樣面臨著遭遇攻擊的威脅。黑客攻擊、病毒入侵和垃圾郵件等已經(jīng)是校園網(wǎng)安全不可回避的現(xiàn)實。最近幾年，來自各方面的網(wǎng)絡(luò)安全威脅更是愈演愈烈，呈猖獗之勢。雖然已有一批網(wǎng)絡(luò)安全企業(yè)和機構(gòu)開發(fā)出了一系列的網(wǎng)絡(luò)安全產(chǎn)品，很多高校的校園網(wǎng)也開始加強和完善其自身的安全機制，但是與目前嚴峻的網(wǎng)上攻擊相比，校園網(wǎng)的安全還是陷入了一種“道高八尺，魔高一丈”的尷尬境地。其次，有些校園網(wǎng)用戶缺乏安全意識，特別是那些對計算機和internet技

3、術(shù)不太了解的人，更是加重了校園網(wǎng)的安全壓力。有的校園網(wǎng)用戶經(jīng)常只是簡單地打開郵件，卻沒有發(fā)現(xiàn)原來此郵件帶有病毒，等到發(fā)現(xiàn)時卻為時已晚了。對大多數(shù)用戶來說，能管好和記住自己的密碼常常是一件比較困難的事情，方便性和安全性總是相互沖突。另外，校園網(wǎng)使用的操作系統(tǒng)，無論是microsoft的windows系統(tǒng)還是unix系統(tǒng)都存在安全漏洞，而人們又能夠從internet上很容易獲得有關(guān)安全漏洞的核心技術(shù)資料和各類黑客軟件，這給本來就脆弱的校園網(wǎng)安全雪上加霜。特別是在高校，有相當(dāng)數(shù)量的學(xué)生的計算機相關(guān)技術(shù)水平非常高，甚至超乎管理人員的想像。部分學(xué)生的好奇心、破壞欲更是給校園網(wǎng)帶來了不可忽視的安全問題。相

4、比來自外部的攻擊，來自校園網(wǎng)內(nèi)部的攻擊更為可怕，威脅更大。二、校園網(wǎng)安全風(fēng)險分析1非授權(quán)訪問：非授權(quán)訪問是指沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計算機資源的行為。由于校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式比較了解，因此來自內(nèi)部的非授權(quán)訪問的威脅更大。非授權(quán)訪問主要表現(xiàn)為：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作和合法用戶以未授權(quán)方式進行操作等。黑客的很多攻擊行為就是非授權(quán)訪問，校園網(wǎng)則處在此類攻擊的風(fēng)口浪尖。2信息泄漏或丟失：校園網(wǎng)內(nèi)的重要數(shù)據(jù)可能被有意或無意泄漏出去。如用戶帳號、口令等重要信息，致使信息在存儲介質(zhì)中丟失或泄漏。學(xué)校重要的信息比如教學(xué)管理信息、財務(wù)信息、人事信息等都具有一定機密性

5、，通過校園網(wǎng)泄漏的風(fēng)險也非常大。學(xué)生在好奇心的驅(qū)使下，可能會從互聯(lián)網(wǎng)上下載黑客工具，來對校園網(wǎng)內(nèi)部服務(wù)器進行窺探，那些存放著重要資料的服務(wù)器，諸如試題庫、成績單、學(xué)生檔案等服務(wù)器，對學(xué)生就有著極大的誘惑力，他們會不顧后果地對校園內(nèi)部的服務(wù)器進行非法訪問，竊取校園網(wǎng)上的重要信息。3拒絕服務(wù)攻擊：拒絕服務(wù)(dos)通過不斷對校園網(wǎng)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入校園系統(tǒng)或不能得到相應(yīng)的服務(wù)。攻擊者通過一些常用的黑客手段侵入并控制校園網(wǎng)服務(wù)系統(tǒng)，使得校園網(wǎng)系統(tǒng)拒絕對外提供服務(wù)。4病毒入侵：病毒已經(jīng)演變成互

6、聯(lián)網(wǎng)的頭號威脅。蠕蟲病毒利用郵件系統(tǒng)和網(wǎng)絡(luò)，幾分鐘之內(nèi)便可以迅速傳遍整個互聯(lián)網(wǎng)，給網(wǎng)絡(luò)系統(tǒng)帶來災(zāi)難性的破壞。隨著校園網(wǎng)內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)的節(jié)點日漸增多，而這些節(jié)點用戶大部分沒有或忽視病毒防護措施，隨時有可能造成校園網(wǎng)內(nèi)的病毒泛濫。5垃圾郵件：垃圾郵件步病毒后塵，成為危及互聯(lián)網(wǎng)發(fā)展的第二大公害。根據(jù)中國互聯(lián)網(wǎng)絡(luò)協(xié)會(cnnic)公布的中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告，目前中國網(wǎng)民平均每周收到161封電子郵件，其中垃圾郵件占據(jù)了89封，垃圾郵件數(shù)量超過了正常郵件數(shù)量，并有進一步增長的趨勢，其中相當(dāng)數(shù)量的垃圾電子郵件含有反動、色情、賭博以及病毒等有害信息。由于高校的校園網(wǎng)的特殊性自然也

7、成了垃圾郵件的重災(zāi)區(qū)，校園網(wǎng)上垃圾郵件的傳播和蔓延，嚴重干擾了校園網(wǎng)電子郵件用戶的使用，影響了電子郵件服務(wù)器的正常運行，危害校園網(wǎng)的安全和社會穩(wěn)定。三、校園網(wǎng)安全體系設(shè)計方案1物理安全保障：首先應(yīng)保護人和校園網(wǎng)設(shè)備不受電、火災(zāi)和雷擊的侵害。布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離要符合安全標(biāo)準(zhǔn)。防雷系統(tǒng)不僅要考慮建筑物防雷，而且還要考慮服務(wù)器及其它網(wǎng)絡(luò)設(shè)備的防雷，機房防靜電設(shè)施應(yīng)能保護網(wǎng)絡(luò)設(shè)備免受靜電損壞。配置ups，保障校園網(wǎng)核心設(shè)備有穩(wěn)定可靠的電源。機房應(yīng)安裝相應(yīng)的防火防盜報警系統(tǒng)，以增強校園網(wǎng)物理安全的響應(yīng)能力。2安裝和設(shè)置防火墻：對于校園網(wǎng)來說，安裝防火

8、墻是非常必要的。防火墻對于非法訪問具有很好的預(yù)防作用，通過防火墻將公開服務(wù)器(web、dns、email等)和外網(wǎng)及校園網(wǎng)內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離。必須對防火墻進行正確的設(shè)置，防火墻的安全策略應(yīng)拒絕一切外來的主動連接，建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源目的地址、流向等進行審核，禁止外網(wǎng)用戶的非法訪問，并定期查看防火墻訪問日志。設(shè)置防火墻的路由功能，以提高網(wǎng)絡(luò)的路由選擇速度，提高網(wǎng)速。再設(shè)置網(wǎng)絡(luò)的分段管理功能，把整個校園網(wǎng)分成若干個網(wǎng)段并進行不同程度的管理和控制。最后對學(xué)生機房應(yīng)做更進一步的設(shè)置，包括設(shè)置學(xué)生機房的上網(wǎng)時間段、上網(wǎng)的日志記錄等。3安裝補丁程序：操作系統(tǒng)的

9、安全漏洞不時被發(fā)現(xiàn)，校園網(wǎng)的系統(tǒng)管理員應(yīng)及時地將操作系統(tǒng)的“安全補丁”(pack)打上。微軟的windowsnt2000操作系統(tǒng)使用的人特別多，發(fā)現(xiàn)的bug也特別多，同時，蓄意攻擊它們的人也特別多。微軟公司為了彌補操作系統(tǒng)的安全漏洞，在其網(wǎng)站上提供了許多安全補丁，應(yīng)到相應(yīng)的網(wǎng)站上下裁并安裝相關(guān)升級包。對使用其它操作系統(tǒng)的校園網(wǎng)，也應(yīng)及時安裝相應(yīng)的安全補丁。4安裝網(wǎng)絡(luò)殺毒軟件：現(xiàn)在網(wǎng)絡(luò)上的病毒仍很猖獗，應(yīng)在校園網(wǎng)的內(nèi)外接口處安裝網(wǎng)絡(luò)防病毒墻或在服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件，建立校園網(wǎng)防病毒體系，控制病毒在校園網(wǎng)上的傳播。網(wǎng)絡(luò)防病毒系統(tǒng)在使用過程中應(yīng)注意以下幾個方面的問題：嚴格定義客戶端防病毒策略，

10、尤其是注意保護防病毒軟件卸載密碼，防止防病毒軟件被用戶有意或無意卸載。定義適當(dāng)?shù)牟《敬a更新策略，既要保證及時更新防病毒碼，又要減少不必要的病毒碼更新所產(chǎn)生的網(wǎng)絡(luò)流量。定期檢查系統(tǒng)控制日志文件，注意檢查病毒報告，對防病毒軟件不能清除的病毒要進行統(tǒng)計，必要時送交廠商防病毒研究中心進行處理。5防范垃圾郵件：反垃圾郵件是一個綜合復(fù)雜的事情，需要社會各界的支持，只有建立政府、行業(yè)、企業(yè)和社會公眾廣泛參與的反垃圾郵件體系，并開展廣泛的國際合作，才能有效遏制垃圾郵件的泛濫。因此，高校的校園網(wǎng)必須加入到反垃圾郵件的陣營里來，共同抵御和防范垃圾郵件。校園網(wǎng)應(yīng)采取必要的技術(shù)和管理措施，保證自己的郵件服務(wù)器不能成為

11、垃圾郵件發(fā)送者的幫兇，根據(jù)cnnic反垃圾郵件中心發(fā)布的垃圾郵件實時黑名單 (rbl，real block list)，在自己的電子郵件服務(wù)器上設(shè)置拒收來自垃圾郵件服務(wù)器的任何郵件，并積極向反垃圾郵件中心舉報可疑的垃圾郵件信息，教育和引導(dǎo)校園網(wǎng)用戶不要在互聯(lián)網(wǎng)上隨意留下自己的郵件地址，以免自己的郵件成為垃圾郵件發(fā)送者的目標(biāo)。6賬號和密碼保護；賬號和密碼保護可以說是校園網(wǎng)系統(tǒng)的一道重要防線，網(wǎng)上的大部分攻擊都是從截獲和猜測密碼開始的。一旦黑客進入了校園網(wǎng)系統(tǒng)，其后果就不堪設(shè)想了，必須對登錄校園網(wǎng)系統(tǒng)的賬號和密碼進行妥善嚴格的管理。系統(tǒng)管理員密碼的位數(shù)一定要多，至少應(yīng)該在8位以上，而且不要設(shè)置成容

12、易猜到的密碼。對于普通用戶，設(shè)置一定的賬號管理策略，如強制用戶每個月更改一次密碼。對于一些不常用的賬戶應(yīng)即時關(guān)閉。比如匿名登錄賬號。通過加強系統(tǒng)登錄過程的認證，確保用戶的合法性，嚴格限制登錄網(wǎng)絡(luò)操作系統(tǒng)者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。7監(jiān)測系統(tǒng)日志：現(xiàn)在校園網(wǎng)上使用的各種軟硬件系統(tǒng)，大多都有日志記錄功能，通過運行系統(tǒng)日志程序，系統(tǒng)會記錄下用戶使用系統(tǒng)的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，檢查是否有異常現(xiàn)象，及時發(fā)現(xiàn)和排除系統(tǒng)所面臨的威脅。8關(guān)閉不需要的服務(wù)和端口：服務(wù)器操作系統(tǒng)在安裝的時候，會啟動一些并不需要的服務(wù)，這些

13、服務(wù)不僅會占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對于放假期間完全不用的服務(wù)器，可以關(guān)閉，對于假期期間要使用的服務(wù)器，應(yīng)關(guān)閉不需要的服務(wù)，如telnet等。另外，還要關(guān)掉沒有必要開的tcp端口。9定期對服務(wù)器進行備份：為防止不可預(yù)料的系統(tǒng)故障或操作失誤所造成的損失，必須對系統(tǒng)定期進行安全備份。一般對全系統(tǒng)每月進行一次備份，對修改過的數(shù)據(jù)每周進行一次備份。將重要的系統(tǒng)文件存放在不同的服務(wù)器上，將重要數(shù)據(jù)打包存放在專用的服務(wù)器中，還可采用raid技術(shù)對重要磁盤做鏡像，以便出現(xiàn)系問題時，可及時地將系統(tǒng)恢復(fù)到正常狀態(tài)。10建立校園網(wǎng)安全管理制度：常言說“三分技術(shù)，七分管理”，安全管理是保證校園網(wǎng)安全的基礎(chǔ)。校園網(wǎng)的安全管理制度應(yīng)包括：確定安全管理等級和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和機房管理制度，制定