【 摘 要 】 现在高校的校园网都已经接入了互联网,而互联网的接入则有效地促进了校园教育信息化工作的快速与便捷的实现。然而在这个过程当中,接入互联网的校园网同时需要面对各种各样的安全问题,导致其自身的安全正常运行受到了严重的威胁。本文针对校园网的安全威胁进行了分析,然后以此为基础,探讨了如何针对校园网的安全防御体系进行有效的构建。
【 关键词 】 校园网;完全威胁;安全策略
1 引言
作为学校重要的基础设施,校园网能够连接校内网络的各个系统以及计算机。校园网对因特网技术、多媒体技术以及现代网络技术等多种技术进行了综合运用,并且以这些技术作为基础,将校内计算机综合网络构建起来,最终保证校园内办公、科研以及教学等及早的实现了现代化。正因为校园网在学校发挥着十分重要的作用,所以必须要重视其安全防御工作,从而能够使其实现安全正常的运行。
2 校园网的安全现状概述
通常可以将校园网划分为两个部分,也就是校园外网以及校园内网,学校对外提供服务的服务器群就是所谓的校园外网,其主要包括财政专网、市政务平台以及因特网的接入等。而校园内网主要指的是家属区局域网、教学局域网以及办公局域网。校园网的服务系统主要是由校园网的服务器群构成的,其中有OA、网络版杀毒软件、机房管理、电子图书、财务、网络监控、FIP、Web、视频点播、数据库等。现在在校园网的运行管理当中主要包括程序安全漏洞、计算机木马和病毒、网络入侵、下载的滥用。
3 校园网安全防御体系的设计与部署
必须要从两方面的工作着手进行校园网安全防御体系的设计与部署,也就是软件设置与硬件部署。图1为校园网安全防护体系示意图。
3.1 软件部署
3.1.1漏洞扫描
必须要对先进的漏洞扫描系统予以充分的运用,从而能够对客户端、防火墙、路由交换设备、服务器以及工作站等实施定期的安全检查。然后以相关的检查结果作为根据,将详细准确的安全性分析报告提供给系统管理员,这样可以有效地促进网络安全整体水平的提升,学校的每台主机都要配置正确的系统,并且要安装充足的操作系统补丁,将自己的密码保护好,同时还要将不必要的端口以及服务关闭掉。比如在校园网络当中针对WSUS服务器进行部署,能够保证时刻处于最新状态的用户Windows操作系统,可以在服务器上直接针对操作系统的漏洞补丁进行上下载安装,并不需要在微软官网上进行更新,其能够保证系统的更新速度具有更安全以及更快速的特点,并且能够将宽带的流量节省下来,在对系统的状态进行更新的时候还可以直接在控制台监控客户机操作系统实施操作。
3.1.2针对网络版杀毒软件进行部署
在整个局域网当中针对病毒的发作、传播以及感染进行预防是最为理想的状况,要想实现这种理想的状况,就需要采取必要的防病毒的手段针对可能会出现传播和感染的地方进行预防。与此同时,要想使整个网络的防病毒体系得到方便以及有效的管理和实施,就应该针对分布查杀、集中管理、远程报警、智能升级以及远程安装等各项功能进行部署。
3.1.3 Wireshark网络分析软件
有很多内部因素会导致校园网出现问题,而又有许许多多的VLAN网段共同构成了其内部结构。因此,要想对发生问题的网络部分进行具体而清晰的了解,就可以对Wireshark网络分析软件进行充分的利用,Wireshark的功能等同于微软公司出品的Sniffer,其能够对所有的数据包在某个共享的网络环境下进行实施分析和捕捉。
Wireshark网络分析软件一共包括几种功能:详细分析捕获的网络流量,通过对专家分析系统的有效运用从而对问题进行诊断、针对网络活动实施实时的监控、针对网络错误以及利用率进行收集等。
3.1.4第三方的安全工具
在网络当中第三方安全工具有十分强大的功能,其中包括对系统漏洞进行修复、针对系统实施实时保护、针对应用软件进行管理、针对系统插件以及恶评插件进行清理、针对流行木马进行查杀等若干强劲的功能。
与此同时,第三方安全工具还可以将系统的全面诊断报告提供出来,从而能够使用户针对网络当中出现问题的地方进行全面的定位。比较流行的第三方安全工具包括咔咔上网助手以及360安全卫士等,其可以有效地结合杀毒软件,从而保证安全防护具有全面立体的特点。
3.2 部署校园安全体系的硬件
校园安全系统的硬件部署共有五个方面组成,由内到外分别是校园内部VLAN、入侵检测系统IDS、交换机系统、防毒墙系统和防火墙系统。
3.2.1部署防火墙系统的
所谓的防火墙,就是一道专用的防御系统,用来将安全区域(局域网)与风险区域(风险网络)隔离开来。作为控制点和阻塞点的防火墙对内部网络的安全性有着重要的作用,能够将不安全的服务进行过滤,从而降低内部网络的风险。能够通过防火墙的必须是经过选择的应用协议,并将危险的应用协议进行过滤。防火墙必须根据校园网的安全目标和策略,对安全过滤的规则进行规划和设置。
对IP数据包进行规划审核的项目内容有:流向、目标地址、源地址、端口和协议等。对于来自公网的非法访问以及对于校园内部网没有必要的访问都必须严格禁止。如利用TCP135端口的“冲击波”,利用TCP445端口的“震荡波”等,校园网边界防火墙系统都可以根据相应的访问策略,对企图连接TCP445、TCP135端口的数据包予以拒绝,从而达到将阻挡病毒的目的。
3.2.2部署防毒墙系统
防毒墙主要是对通过网关的数据包进行扫描,能够对MSN协议、IMAP、POP3、SMTP、FTP、HTTP等内容进行检查,对发现的病毒进行清除。不仅如此通过安全策略,防毒墙系统还可以在网络环境中,在内外网的中间建立安全屏障,这道安全屏障可以阻止内部用户滥用外部网络的不良资源,并防止外部网络对内部资源的侵犯。 防毒墙既可以作为三层病毒扫描架构(边缘保护、服务器、客户端)中的一个内容,也可以相对独立,作为一个边缘病毒的扫描结构。以正确的策略配置防毒墙,能够通过对防火墙CPU负荷的降低而为内部网络的运行提供平稳的保障。
3.2.3入侵检测系统IDS的架设
入侵检测系统IDS在防火墙的后面,能够为网络活动提供实时检测,因此其架设对于校园网的安全非常重要。入侵检测系统IDS可以对网络活动进行禁止和记录,有效的配合防火墙进行工作。
IDS能够对网络的流量和活动进行监视、记录和扫描,以其规则对主机网卡的过滤包进行过滤,并及时报警。IDS会对网络上所有的PACKETS进行被动的监测,以捕捉恶意动作和危险信息包。必须对由于IDS的记录非常庞大,因此其需要对其配置合适的规则,否则就难以达到应有的效果。通过合理的配置,IDS能够很好对系统网络攻击进行防范,对系统管理员的响应能力、攻击识别能力、监视能力和安全审计能力都有很大的提高,保证了系统安全的基础结构的稳定。
3.2.4部署交换机
交换机作为网络的核心,对于网络安全也有着重要的作用。在网络建设中,安全问题是非常重要的。交换机的安全功能体现在其要能够在病毒和黑客的攻击下能够保持其数据转发的高速率。此外,交换机要对其他安全设备进行配合,以阻止和监控网络攻击和非授权访问。
3.2.5 VIAN技术的应用
通过VIAN技术,能够对整个校园网进行划分,成为几个广播域,校园网内部的网段之间就能实现隔离,但不影响不同地理位置的用户能够进入一个逻辑子网。VIAN技术可以防止网段之间的安全问题相互传播,也对网络广播风暴进行控制。
4 结束语
由于校园网的自身情况处于不断的发展和变化当中,而且还会不断的出现各种各样新的安全问题,因此校园网安全防御体系并不是建好之后就能够万事大吉,必须要采取有效的措施针对局域网实施及时的更新以及维护,从而能够使校园网络安全防御体系的良性发展得到充分的保证,并且使其的先进性以及安全性得到确保。
与此同时,由于校园网络安全具有动态的以及整体的特征,所以校园网络管理部门还必须要积极纳入新的专门管理人才,同时要针对校园网络安全防范管理的规章制度进行补充和完善,只有多管齐下,才能真正保证校园网络运行过程中稳定性、可靠性以及安全性的实现。
参考文献
[1] 王元莉.Netflow技术与高校网络管理[J].中国教育网络,2012(6):65-7.
[2] 薛晋康,许士博,吴兴龙.基于流量分析的网络隐蔽通道检测模型[J].计算机工程,2012,20(12):46-48.
[3] 任丰原,林闯,刘卫东.PI网络中的拥塞控制[J].计算机学报,2013,26(9):1025-1034.
[4] 张德庆.Intetrnet网络安全管理研究[J].计算机应用,2012,21:70-73.
作者简介:
王岩(1967-),男,湖北襄阳人,硕士,讲师,工程师;主要研究方向和关注领域:计算机网络技术、数据库技术。