校园网安全防御的策略.docVIP

校园网安全防御的策略 　　摘要：校园网络在带给我们便捷通信、自由交流、海量信息的同时，也存在着不可忽视的安全隐患与潜在威胁。对校园网络存在的各种安全威胁进行深入研究后，基于目前的网络安全技术设计出切实可行的防御措施，以确保校园网络的安全运行。 　　关键词：校园网；网络安全；防御策略 　　中图分类号：TP309文献标识码：A文章编号2012）009015802 　　1校园网络的安全状态 　　校园网络是互联网络的有机组成部分，同时又是师生员工教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台，各种各样的应用软件在校园网中广泛使用。而Windows系统本身存在很多的系统安全漏洞，被广泛使用的FTP服务器也存在严重的缓冲区溢出漏洞。因此，校园网络运行中普遍存在计算机病毒、网络蠕虫、黑客攻击、垃圾邮件、不健康内容传播、非法的访问等各种安全问题。 　　校园网络既是学习研究平台，又是大学文化建设的窗口。学生对新技术有好奇、好学的心理，在校园网上测试、使用各种各样的网络安全技术和工具（扫描工具、系统漏洞探测工具），这些都严重影响着校园网络的安全；学生正处于成长期，不健康内容（色情的、反动的）也会对他们的成长产生不利的影响；校园网提供各种服务，而提供服务的部门安全意识不统一，各种服务器自身存在安全威胁；教师、学生与外界频繁的Email联系，使得垃圾邮件非常多（甚至有90%是垃圾邮件），这些也加剧了校园网的安全威胁。 　　2校园网络安全防御体系与关键设备技术 　　2.1校园网络安全防御体系 　　校园网络中安全产品和技术一般都会涉及到诸如防火墙、入侵检测系统、物理网络隔离、数据备份及网络防病毒等相关内容，典型的一般安全防御体系如图1所示。 　　校园网络安全一般安全部署中的安全防御与应急措施是基于网络分层体系结构，其所采用的不同相关技术与设备如下： 　　物理层与数据链路层：设备备份、数据备份、服务备份、VLAN划分等； 　　网络层：防火墙、入侵检测系统（IDS）、内网包过滤等； 　　传输层：IP和MAC地址绑定等； 　　应用层：日志审计、身份认证、网络防病毒、垃圾邮件过滤等。 　　2.2校园网络安全防御关键设备及技术 　　2.2.1防火墙及技术 　　功能：为网络通信、数据传输提供更有保障的安全性。 　　分类：状态检测防火墙（动态检查网络连接和包）、应用程序代理防火墙（与特定应用程序配合使用）。 　　性能：最大带宽、并发连接数、每秒新增连接数、丢包 和延迟以及自身安全性。 　　产品：Juniper的NetScreen、Cisco的Pix、天融信防火墙、天网防火墙。 　　2.2.2入侵检测与防御及技术 　　功能：及时发现网络异常行为，并阻止其进一步发展。 　　检测技术：基于误用检测技术（检测与异常规则相匹配的网络行为）、基于异常检测技术（检测偏离了正常规则的网络行为）。 　　核心技术：模式匹配、基于统计方法、预测模式生成等。 　　性能：降低误报率、漏报率。 　　产品：CA的Intrusion Detection，启明星辰的天阗IDS等。 　　2.2.3防病毒及技术 　　功能：及时发现病毒并清除，阻止病毒进一步传播、扩散。 　　核心技术：特征代码匹配、病毒特征自动发现、启发式搜索等。 　　产品：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。 　　2.2.4反垃圾邮件及技术 　　功能：过滤、阻止大量的非正常的电子邮件。 　　反垃圾邮件机理：IP地址、域名、邮件地址黑白名单方式；基于垃圾邮件行为模式识别模型；Domainkeys方式；基于PKI的方式对邮件发送者进行验证，对邮件信息进行加密保护，对收信人实现防抵赖机制；基于信头、信体、附件的内容过滤方式。 　　产品：防垃圾邮件网关，如冠群金辰的Kill赤霄邮件过滤网关；防垃圾邮件防火墙，如博威特的梭子鱼垃圾邮件防火墙。 　　2.2.5内容过滤及技术 　　功能：阻止不健康、反动信息的复制、传播。 　　过滤方法：基于关键字、权重关键字；基于URL的过滤；基于文字内容的深度搜索。 　　产品：一般在防病毒网关、反垃圾邮件系统中集成。 　　3校园网络深度安全防御措施 　　图1所示的校园网络安全部署在一定程度上对安全攻击作出了一定防范，但安全风险依然存在：核心交换机存在单点失效危险、网络设备存在性能瓶颈、链路未能实现冗余、内网重要信息未能屏蔽等，这些问题都可能导致校园网络受到威胁甚至瘫痪。 　　整合现有安全技术与安全产品，对校园网络增加一定的经费投入，构建深度安全防御体系如图2所示。 　　在保留一般安全防御手段的同时（重要部门物理网络隔离、应用防火墙、VLAN划分等），校园网络汇聚部分实现了设备的冗余和