【文章內(nèi)容簡介】 學(xué)業(yè)務(wù)的進(jìn)行。目前的校園網(wǎng)絡(luò)大都是利用Inter技術(shù)構(gòu)造的同時又與 Inter相連。 Inter網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足因為其賴以生存的 TCP/IP協(xié)議缺乏相應(yīng)的安全機(jī)制因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。而且很多學(xué)校對校園網(wǎng)的安全保護(hù)不夠重視舍不得投入必要的人力、財力、物力來加強(qiáng)網(wǎng)絡(luò)的安全管理 。 山西輕工職業(yè)技術(shù)學(xué)院 12 第二章 如何保護(hù)校園網(wǎng)絡(luò)的安全和措施 、制定正確的 安全 管理 方向 隨著校園網(wǎng)應(yīng)用的深入校園網(wǎng)的安全管理問題也日益突出如何保障網(wǎng)絡(luò)教學(xué)的正常進(jìn)行和教學(xué)資源的合法訪問使網(wǎng)絡(luò)免受病毒、惡意軟件的破壞 和其他不良意圖的攻擊就顯得尤為重要。因此加強(qiáng)校園網(wǎng)的安全管理就具有舉足輕重的意義 。 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在 “重技術(shù)、輕安全、輕管理 “的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。 而病毒泛濫、黑客攻擊、信息丟失 、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡(luò)都將是致命性的。作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法 。 同時 加強(qiáng)網(wǎng)絡(luò)的安全管理制定有關(guān)規(guī)章制度對于確保網(wǎng)絡(luò)的安全、可靠地運行將起到十分有效的作用。這種管理除了建立起一套嚴(yán)格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡(luò)管理隊伍。為充分發(fā)揮校園網(wǎng)的作用網(wǎng)絡(luò)管理人員必須遵守國家有關(guān)法律、法規(guī)嚴(yán)格執(zhí)行安全保密制度并對所提供的信息負(fù)責(zé)還要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫嚴(yán)格對系統(tǒng)日志進(jìn)行管理定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核關(guān)注網(wǎng)絡(luò)安全動態(tài)調(diào)整相關(guān)安全設(shè)置做好安全防范工作。 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點是高校的安全策略 方向 ： 規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外 接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。 山西輕工職業(yè)技術(shù)學(xué)院 13 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證 系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證 。 采取有效的安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。 殺毒軟件。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理 整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能 .。 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2020 服務(wù)器安裝一個殺毒軟件 的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點的計算機(jī)。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的 設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 采用 VLAN 技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏 輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作 組的技術(shù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 內(nèi)容過濾器。 內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以限制外來的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 :(1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則 . 山西輕工職業(yè)技術(shù)學(xué)院 14 (2）禁止訪問系統(tǒng)級別的服務(wù) (如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包 是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還 可以發(fā)出實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。 漏洞掃描。隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。 數(shù)據(jù)加密。數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 8加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn)和 普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。 、加強(qiáng)網(wǎng)絡(luò)安全管理。 、 加強(qiáng)對校園網(wǎng)絡(luò)的安全管理 加強(qiáng)網(wǎng)絡(luò)的安全管理制定有關(guān)規(guī)章制度對于確保網(wǎng)絡(luò)的安全、可靠地運行將起到十分有效的作用。這種管理除了建立起一套嚴(yán)格的安全管理制度外還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡(luò)管理隊伍。為充分發(fā)揮校園網(wǎng)的作用網(wǎng)絡(luò)管理人員必須遵守國家有關(guān)法律、法規(guī)嚴(yán)格執(zhí)行安全保密制度并對所提供的信息負(fù)責(zé)還要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫嚴(yán)格對系統(tǒng)日志進(jìn)行管理定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核關(guān)注網(wǎng)絡(luò)安全動態(tài)調(diào)整相關(guān)安全設(shè)置做好安全防范工作。 、 采取一定的網(wǎng)絡(luò)安全策略 所謂的網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。網(wǎng)絡(luò)的安全策略就是針對網(wǎng)絡(luò)的實際情況 (被保護(hù)信息價值、被攻擊危險性、可投入的資金 )在網(wǎng)絡(luò)管理的整個過程具體對各種網(wǎng)絡(luò)安全措施山西輕工職業(yè)技術(shù)學(xué)院 15 進(jìn)行取舍。網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡。校園網(wǎng)具有訪問方式多樣用戶群龐大網(wǎng)絡(luò)行為突發(fā)性較高等特點。所以網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細(xì)考慮并在實際運行中嚴(yán)格管理。 、 加強(qiáng)校園網(wǎng)安全的具體措施 首先運用內(nèi)容過濾器和防火墻。過濾器技術(shù)可以屏蔽不良的網(wǎng)站對 網(wǎng)上色情、暴力和邪教等有了強(qiáng)大的堵截功能。防火墻技術(shù)包含了動態(tài)的封包過濾、應(yīng)用代理服務(wù)、用戶認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)接、 IP防假冒、預(yù)警模聲、日志及計費分析等功能可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。 其次運用 VLAN技術(shù)。采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)可以用 VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。 VLAN技術(shù)的核心是網(wǎng)絡(luò)分段根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別將網(wǎng)絡(luò)分段并進(jìn)行隔離實現(xiàn)相互間的訪問控制可以達(dá)到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可以分為物理分段和邏輯分段兩種方式。物理分段 通常是指將網(wǎng)絡(luò)在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段各網(wǎng)段相互之間無法直接通信。邏輯分段則是將整個系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。對于 TCP/IP網(wǎng)絡(luò)可以把網(wǎng)絡(luò)分成若干 IP子網(wǎng)各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接利用這些中間設(shè)備的安全機(jī)制來控制各子網(wǎng)間的訪問。在實際應(yīng)用過程中通常采取物理分段與邏輯分段相結(jié)合的方法。 最后進(jìn)行訪問控制。這是網(wǎng)絡(luò)安全防范和保護(hù)的最主要措施之一其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶 帳戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限用戶只能在其權(quán)限內(nèi)進(jìn)行操作從而保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。 、 做好對突發(fā)網(wǎng)絡(luò)問題的處理以及系統(tǒng)故障恢復(fù) 為保證網(wǎng)絡(luò)系統(tǒng)發(fā)生災(zāi)難后做到有的放矢必須制定一套完整可行的事件救援災(zāi)難恢復(fù)計劃及方案做好計算機(jī)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件及各種資料數(shù)據(jù)的備份。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。首先要使用硬件備份來防止硬件故障 。如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞則使用網(wǎng)絡(luò)存儲備份系統(tǒng)和硬件容錯相結(jié)合的方式。這種 結(jié)合方式構(gòu)成了對系統(tǒng)的多級防護(hù)不僅能夠有效地防止物理損壞還能夠徹底防止邏輯損壞。一個完整的突發(fā)網(wǎng)絡(luò)問題備份及恢復(fù)方案應(yīng)包括 :備份硬件、備份軟件、備份制度和災(zāi)難恢復(fù)計劃四個部分。選了先進(jìn)的備份硬件后我們決不能忽略備份軟件的選擇因為只有優(yōu)秀的備份件才能充分發(fā)揮硬件的先進(jìn)功能保證快速、有效的數(shù)據(jù)備份和恢復(fù)。 山西輕工職業(yè)技術(shù)學(xué)院 16 第三章 校園網(wǎng)安全系統(tǒng) 、校園網(wǎng)需求分析 現(xiàn)代校園網(wǎng)是一個開放的網(wǎng)絡(luò)環(huán)境，校園網(wǎng)的用戶各種各樣。由于校園網(wǎng)安全與人的安全意識和技能緊密相關(guān)，因此，對校園網(wǎng)不同類型用戶進(jìn)行安全教育，將有利于校園網(wǎng)的安全 應(yīng)用。 、 校園網(wǎng)邊界安全管理需求 為了保護(hù)校園網(wǎng)的安全，校園網(wǎng)邊界安全管理總體目標(biāo)就是確保校園網(wǎng)與外界網(wǎng)絡(luò)的信息交換安全可控，既要能夠保證正常的校園網(wǎng)和互聯(lián)網(wǎng)的信息交換，同時也能阻擋惡意網(wǎng)絡(luò)訪問，例如端口掃描、非授權(quán)訪問行為、病毒、不良網(wǎng)站等。 校園網(wǎng)漏洞及補(bǔ)丁管理安全需求 校園網(wǎng)是一個由多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的復(fù)雜性網(wǎng)絡(luò)環(huán)境，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件都存在難以避免的安全漏洞。為了要保障校園網(wǎng)安全 ,必須做好校園網(wǎng)漏洞管理。 校園網(wǎng)服務(wù)器安全需求 校園網(wǎng)服務(wù)器 存儲大量信息，例如學(xué)生檔案、學(xué)生作業(yè)、考試數(shù)據(jù)、網(wǎng)頁文件等。其安全需求有 : 對服務(wù)器訪問要進(jìn)行安全身份認(rèn)證，非認(rèn)證用戶無法進(jìn)行訪問 。 服務(wù)器提供的資源受控制，防止非授權(quán)人員拷貝、修改、發(fā)送 。 支持遠(yuǎn)程安全管理，校園網(wǎng)管理員能夠從遠(yuǎn)程進(jìn)行安全登錄，為其傳輸?shù)男畔⒓用?。 服務(wù)器的操作行為有嚴(yán)格審計，能夠防止黑客有意刪除 。 服務(wù)的安全狀態(tài)能夠?qū)崟r顯示，各種安全組件的工作狀態(tài)能夠被監(jiān)測到 。 服務(wù)器在受到損害時，至少能做到數(shù)據(jù)恢復(fù)可用。 校園網(wǎng)安全監(jiān)控管理安全需求 對校園網(wǎng)絡(luò)進(jìn)行安全監(jiān)控，就如同在教學(xué)大樓內(nèi)安裝的閉 路電視監(jiān)控系統(tǒng)。其主要需求有 : 對校園網(wǎng)關(guān)鍵區(qū)域的信息流動進(jìn)行動態(tài)監(jiān)測，能夠把網(wǎng)