校园网安全解决方案
发布时间:2015-03-12  阅读次数:
    一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是不断改进管理方法。从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。
一般校园网络存在的安全隐患和漏洞有:
  1 、校园网通过 CERNET 与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇攻击的风险。
  2 、校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
  3 、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。 WINNT/WIN2000 是常用系统,主要存在如下安全隐患:本身系统的漏洞、浏览器的漏洞、 IIS 的漏洞等。
  4 、随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
  由此可见,构建必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
解决方案及具体实现安全防护要点:网络安全隔离、网络监控措施网络安全漏洞、网络病毒的防范。
一、防火墙部署
  在 Internet 与校园网,内网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。其中 WWW 、 MAIL 、 FTP 、 DNS 对外服务器连接在防火墙的 DMZ 区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。那么,通过 Internet 进来的公众用户只能访问到对外公开的一些服务(如 WWW 、 MAIL 、 FTP 、 DNS 等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性:
 ( 1 )根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
 ( 2 )将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的 IP 包,防止内部网络发起的对外攻击。
 ( 3 )在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表,防止 IP 地址被盗用。
 ( 4 )定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
 ( 5 )允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
二、入侵检测系统部署
  入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,可以发出实时报警,使得学校管理员能够及时采取应对措施。
三、漏洞扫描系统
  采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
四、网络版杀毒产品部署
  在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
  ( 1 )在学校网络中心配置一台高效的 Windows2000 服务器安装一个杀毒软件网络版的系统中心,负责管理多个主机网点的计算机。
  ( 2 )在各行政、教学单位等多个分支机构分别安装杀毒软件网络版的客户端。
  ( 3 )安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
  ( 4 )网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
五、安全管理
  常言说:"三分技术,七分管理",安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施,基本包括机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行
   上一篇:开放Internet2 最高网速达100Gbps   下一篇:教育网站和网校暂行管理办法