高校信息化建设中网络安全技术策略探讨.docVIP

高校信息化建设中网络安全技术策略探讨 　　摘 要：随着用户数量增多，高校校园网络中存在着网络基础交换设备落后、网络内部和外部的安全威胁以及服务器的安全威胁等重大安全问题。因此，必须升级网络基础交换设备、集中对校园网内上网场所进行监控和管理、配备网络安全设备、确保校园网服务器的安全，以确保高校校园的网络安全。 　　关键词：校园网；信息化；网络安全 　　中图分类号：TP393.08 　　高校信息化建设是学校一项基础性、长期性和经常性的工作，是学校建设和人才培养的重要组成部分，其建设水平是学校整体办学水平、学校形象和地位的重要标志[1]。而校园网在学校的信息化建设中所占据的地位至关重要，作为数字化信息的最基础、也是最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。 　　1 目前高校校园网络中存在的安全问题 　　1.1 网络基础交换设备落后 　　由于各高校信息化建设的一些历史原因，很多高校的校园网的底层交换设备采用的是不同品牌的非智能交换机，然后再通过光电收发器接入到汇聚交换机。随着设备服役时间的延长，光电收发器容易频繁的出现故障，引起通信中断；另外，由于底层接入交换机是非智能交换机，并不具备安全控制功能，这样就使得校园网内部一部分中毒的计算机可以通过校园网攻击其他用户，严重影响校园网的管理和使用。 　　1.2 来自网络内部的安全威胁 　　网络内部的攻击主要威胁来自病毒、木马和内部的非法访问。目前，互联网上有许多恶意网页，用户很容易在不知情的情况下访问了这些网页，就会被感染了病毒或者被种植了木马，继而通过校园网影响到其他用户。另外，由于缺乏统一的网络管理软件、网络认证系统和网络监控、日志系统，使得学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。因此，要管理好高校的校园网络，对于来自内部的威胁，必须将攻击行为限制在接入层；同时，也要管理和规范好上网行为，避免有些用户错误地进入恶意网页。 　　1.3 来自网络外部的安全威胁 　　对于网络外部的威胁主要有：入侵、攻击、扫描、病毒等各种安全问题。网络入侵是通过互联网进入校园网中，篡改数据，或实施破坏行为，造成网络业务的瘫痪。目前，这种攻击是主动的、有目的、甚至是有组织的行为。而病毒和木马等问题是与非安全网络的业务互联，在通讯中携带而来，一旦在校园网中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。 　　1.4 服务器的安全威胁 　　目前，很多高校的服务器都是直接上联到外网出口防火墙，或者是上联到核心交换机上，服务器对于来自网络内部的攻击行为无法做到安全防护。一旦出现病毒攻击或者出现来自内部的入侵行为，校园网中的应用服务将出现中断。 　　2 校园网络安全解决方案 　　基于对以上校园网中的安全威胁，我们提出了以下安全策略： 　　2.1 升级网络基础交换设备 　　将校园网内所有交换机全部升级为安全智能接入交换机。智能接入交换机具备大容量访问控制功能，能够屏蔽常见病毒端口，将病毒攻击，网关攻击等行为限制在接入层。并结合用户上网认证系统，对用户进入校园网的权限及可用资源实行规范、分级管理。 　　2.2 集中对校园网内所有上网场所进行监控和管理 　　配置上网认证系统和行为日志系统，使校园网内所有上网用户不但要通过统一的身份认证系统确认，而且，也要使得合法用户的所有上网行为受到统一的监控。上网行为日志系统需可根据不同的用户、时间以及应用等进行实时的监控，对访问威胁网页行为进行阻断，防止一些病毒和木马通过访问网站进行传播。上网行为的日志要集中保存在中心服务器上，保证记录的法律性和准确性。 　　2.3 配备系统的、完整的网络安全设备 　　在校园网的内网和外网接口处配置统一网络安全控制和监管设备，一般包括：防火墙、入侵检测与防御系统、系统漏洞扫描系统、网络版的防病毒系统等。此外，配置安全设备既要考虑到功能，同时也必须考虑性能和可扩展性，以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。具体可包括以下技术手段： 　　（1）配置防火墙。利用防火墙在网络通讯时执行一种访问控制尺度，允许防火墙同意校园网外部访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止黑客随意更改、移动甚至删除网络上的重要信息[2]。 　　（2）采用入侵检测与防御系统。针对网络中的入侵行为，增加入侵检测与防御系统是一种有效的解决方式。采用先进的协议分析技术，结合了