校园网安全防护解决方案

随着校园网接入互联网以及其它各种应用的增多，校园网上的各种数据也急剧增加，我们在享受网络带来便利的同时，各种各样的安全问题也就开始困扰我们每一个网络管理人员，如何保证校园网不被攻击和破坏，已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案，使校园网能够有效应对网络应用带来的安全威胁和风险，以确保校园网系统的安全。 一、校园网安全风险分析

校园网络作为学校信息平台重要的基础设施，担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期，安全问题还不十分突出，但随着应用的深入，校园网上的各种数据也急剧增加，各种各样的安全问题也就开始困扰我们。对校园网来说，谁也无法保证其不受到攻击，不管攻击是有意的还是无意的，也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面： ⒈物理层的安全风险分析

网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时，首先要考虑物理安全风险，它是整个网络系统安全的前提。物理安全风险有：设备被盗、被毁坏，线路老化或被有意或者无意的破坏，通过搭线窃取数据，电子辐射造成信息泄露，设备意外故障、停电，地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析

网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网，且接入了互联网，如何处理好校园网网络边界的安全问题，直接关系到整个校园网网络系统的稳定运行和安全可控；另一方面，由于校园网中使用到大量的交换机、路由器等网络设备，这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如，路由器口令泄露，路由表配置错误，ACL设置不当等均会

威胁网络系统正常。 ⒊系统层的安全风险分析

校园网中采用的操作系统(主要为Windows 2000 Server/Professional、Windows XP、Windows 98、UNIX、Linux)都不可避免地存在着各种安全漏洞，并且漏洞被发现与漏洞被利用之间的时间差越来越小，这就使得操作系统本身的安全性给整个网络系统带来巨大的安全风险。另一方面，病毒已成为系统安全的主要威胁之一，特别是随着网络的发展和病毒网络化趋势，病毒不仅对网络中单机构成威胁，同时也对网络系统造成越来越严重的破坏，所有这些都造成了系统安全的脆弱性。

⒋应用层安全风险分析

校园网中网络应用系统中主要存在以下安全风险：用户提交的业务信息被监听或修改；用户对成功提交的业务事后抵赖；由于网络一些应用系统中往往存在着一些安全漏洞，包括数据库系统与IIS系统中大量漏洞被越来越多地发现，因此存在非法用户利用这些漏洞对专网中的这些服务器进行攻击等风险；身份认证漏洞。

⒌管理层安全风险分析

再安全的网络设备也离不开人的管理，再好的安全策略最终也要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络。校园网应按照国家关于计算机和网络的一些安全管理条例，如依照《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等来制订安全管理制度。另一方面，我们应该对站点的访问活动进行多层次的记录，及时发现非法入侵行为。否则，当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），就无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是安全管理制度和解决方案的结合。 ⒍网络入侵后果分析

网络中，攻击者一旦获得对资源的访问权，就可以随意对数据和文件进行修改，

主要有：

破坏信息：任何对存储、传输中数据、文件的非授权修改； 公布信息：将信息散发到了不该获得该信息的人手中； 盗取信息：获得不该获得的信息；

盗用服务：非法盗用系统的服务，如：有些攻击者将一些主机攻破后，将其作为新的攻击起点，或在其上保存非法获取的信息。盗用服务有时会影响系统为其他合法用户提供正常服务；

拒绝服务：攻击的直接后果就是将系统的服务性能降低或完全瘫痪，无法为合法用户提供正常的服务。 二、网络安全解决方案 ⒈环境和硬件

相关环境建设和硬件厂品必须按照我国相关国家标准执行。 ⒉网络层安全

网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用IP欺骗、重放或重演、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。针对网络层安全，应当采取以下技术手段进行安全防护： ⑴安全的网络拓扑结构

保证网络安全的首要问题就是要合理划分网段，利用网络中间设备的安全机制控制各网络间的访问，可以采用成熟的VLAN技术实现。 ⑵网络隔离技术

网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。若不采用网络隔离技术，网络访问者就能够访问到他所不应该访问的资源，若访问者是恶意对象，可能会造成信息的泄漏和影响网络、计算机系统的安全。如果访问者的访问行为是非恶意的，但是为了预防他由于误操作可能对网络资源造成的损害，要限制他对非授权资源的访问。 ⑶防火墙技术

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据安全政策控制（允许 、拒绝 、 监

测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。在校园网网络边界与互联网入口处合理设置防火墙可以加强校园网内网安全。 ⑷网络实时入侵检测技术

防火墙虽然能抵御网络外部安全威胁，但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时入侵检测技术。监控网络上的数据流，从中检测出攻击的行为并给与响应和处理。实时入侵检测技术还能检测到绕过防火墙的攻击。 ⑸网络扫描技术

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能扫描网络安全漏洞、评估并提出修改建议的网络安全扫描工具。 ⑹安全审计技术

安全审计是通过采用数据挖掘和数据仓库等技术，实现在不同网络环境中终端对终端的监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。利用审计技术还可以实现对网络系统资源进行全方位审计管理，通过对网络中的主机、服务器、网络环境以及数据库进行分散监控，并通过审计中心对整个系统的相关信息进行集中审计管理，并体现系统内各级管理层对系统资源的全局控制、把握和调度能力。

另外，根据需要可以采取信息传输加密、非法外联监控、电磁干扰等技术来防止信息在网络传输时的泄露、篡改、检测，阻断对系统内用户非授权的外部连接，防止网络设备、显示器的电磁泄露。 ⒊操作系统层安全

操作系统安全也称主机安全，现代操作系统的代码庞大，不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix，Window 2000，其安全漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。

针对操作系统层安全，可采取以下技术手段进行安全防护：

⑴补丁分发技术，无论是操作系统，还是应用系统都不可避免地存在一定的漏洞，需要补丁分发技术对系统、应用软件统一更新补丁，提高其安全保障。 ⑵系统扫描技术，对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存，随时留意系统文件的变化。

⑶主机加固，为了从根本上加强主机的安全，对主机应进行加固以抵御针对操作系统的攻击行为。主机加固包括两种有效的手段：一是手工加固；二是辅助工具。手工加固是由专业的安全专家或安全管理员对主机进行加固实施，包括针对技术弱点的更新软件补丁，针对配置弱点的安全增强；辅助工具是一些安全公司或安全组织开发并维护的相关安全加固软件，便于更方便、完整地加固系统。 ⑷防病毒系统需求

针对防病毒危害性极大并且传播极为迅速的特点，配备符合通过国家安全标准的网络防病毒软件，实现全网的病毒安全防护。 ⒋数据库层安全

许多关键的业务系统运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。针对数据库层安全，应当采取数据库加密、数据库漏洞扫描、数据库安全增强等技术手段进行安全防护。 ⒌应用层安全

应用安全是指用户在网络上的应用系统的安全，包括业务系统、办公自动化、网络基本服务系统等。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全，由于应用系统复杂多样，没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。针对特殊的应用需要特定的安全增强配置，以增强应用系统的安全性。 ⑴身份认证技术

校园网中特殊部门（如档案管理、财务处、招生就业等部门）要建设的是涉密网络系统。对此，要采用身份认证系统，应建立相应的身份认证基础平台，加强用户的身份认证，防止对网络资源的非授权访问以及越权操作，加强口令的管理。

⑵安全保密服务需求

我们的校园网中将部署许多应用系统，许多信息、电子公文涉及公众隐私、特殊行业信息和国家敏感和非公开信息。为确保这些信息在各部门之间信息交换过程中的机密性、完整性和真实性，需要运用加密、数字签名、摘要运算等安全机制，因此需要设计安全保密服务系统。 ⒍操作层（管理）

层次系统安全架构的最顶层就是对校园网络全网进行操作、维护和使用的内部人员。人员有各种层次，对人员的管理和安全制度的制订是否有效，影响由这一层次所引发的安全问题。除专业管理人员外，必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。加强网络管理人员及安全组织成员的管理措施，如人员审查、岗位人选、人员培训、人员考核、签订保密协议和人员调离等方面的管理。此外，必须制订系列的安全管理制度和安全事件处理流程。 三、结束语

网络安全技术是信息安全控制的重要手段，一些复杂的安全性要求高的信息系统的安全性必须借助于技术手段来实现，但单独依靠技术手段实现安全的能力是有限的。实践已经证明，仅有安全技术防范，而无严格的安全管理体系是难以保障网络系统安全的。必须制订一系列安全管理制度，对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。因而，我们要切实加强高校校园网络安全防范，针对校园网网络信息的实际情况做相应的安全策略配置，建立一套切实可行的校园网络安全保护措施，提高校园网络信息和应急处置能力，确保校园网络的安全，最大程度地发挥校园网的作用。