多角度多维度全面提升学校网络安全防范.docVIP

多角度多维度全面提升学校网络安全防范 　　摘 要 笔者所在学院网络安全存在一定的隐患，按照市委、市政府关于加强网络安全工作相关要求，学院网站及信息系统应该尽量避免入侵、破坏、篡改、泄露等，减少网络安全事故发生，最大程度降低学院的财产和名誉损失，提升学院网络安全标准化建设，夯实网络安全管理基础，促进学院安全文明校园的构建，形成学院网络安全长效机制。 　　关键词 网络安全 拓扑结构 网站专用防火墙 　　按照市委、市政府关于加强网络安全工作相关要求，根据市教委、市水利局关于网络安全管理工作的相关精神，学院网站及信息系统应该尽量避免入侵、破坏、篡改、泄露等，减少网络安全事故发生，最大程度降低学院的财产和名誉损失，提升学院网络安全标准化建设，夯实网络安全管理基础，促进学院安全文明校园的构建，形成学院网络安全长效机制。 　　一、重庆水电职业学院网络安全现状 　　随着学院信息化建设工作的不断推进，建设了学院官网、OA、教务、一卡通、财务、网上支付、单招、资产管理、档案管理、绩效查询、骨干示范院校网等网站和信息系统，所有服务器和存储配置在学院中心机房内，所有信息数据通过一个H3C第一代防火墙和核心交换机与互联网进行数据实时防护和交换（如图1），能在一定程度内确保学院的网络信息安全。 　　二、网络存在的问题 　　按照网络安全管理工作要求，学院组织中心机房管理员对各类设备进去排查、扫描检测、漏洞修补，势必将网络安全事故消灭在萌芽阶段，但仍然存在部分安全隐患如下： 　　（一）网络拓扑结构安全隐患 　　由于不法分子的网络攻击技术日益增强，近期各地高发网络攻击破坏活动。近年来，学院网络安全建设已成功抵御了多次攻击，但在规划初期，难以预见当前网络安全面临的严峻形势，使得现有的网络拓扑结构过于简单，服务器与客户机共存于一个逻辑区域，服务器专用网络未与办公网络隔离开（如图1），非法组织可利用互联网入侵办公网络，进而对学院服务器进行攻击。 　　（二）Web服务器安全隐患 　　目前，学院中心机房使用的是H3C第一代网络安全防火墙，其防御功能作用在较低的网络层。随着各地网络安全事故的接连发生，H3C防火墙无法抵御典型的Web攻击，如受到SQL注入、Struts2框架、Fckeditor编辑器、XSS跨站脚本等攻击，容易造成学院官网、OA系统、一卡通、财务、教务系统、资产管理、单招系统、市骨干院校等网站或系统遭受攻击。 　　（三）VPN安全隐患 　　VPN全称为虚拟专用网络（Virtual Private Network），VPN服务器能够搭建安全、便捷的虚拟专用网络，实现学院与市水利局之间、学院与学院之间、学院与教师之间的数据访问资源共享。便于数字资源的充分利用和管理。 　　为方便广大教职工在校园网外访问校园网内部资源，我馆工作人员在没有VPN服务器的情况下，利用Forefront TMG软件，自主搭建了一个VPN平台，艰难地实现了虚拟专用网络数据共享的功能。但是，Forefront TMG系Microsoft公司开放的不成熟、免费软件，并声明该软件永久处于测试阶段且不再升级开发，这样搭建的VPN平台存在不可预见的数据安全隐患，其数据和账号传输均以明文形式发送，未进行加密，非法组织可寻找该软件安全漏洞对我院VPN服务器进行攻击。 　　以上网络安全隐患，可能给非法分子提供机会，攻击、入侵学院服务器，造成信息泄露、篡改、丢失，严重影响学院教学工作，造成经济财产和名誉损失，且难以恢复。 　　三、解决方法和工作建议 　　（一）网络拓扑结构的改造 　　由于改造网络拓扑结构技术含量较强，工作量较大，建议寻求设备厂家H3C支持，采取购买服务的方式，对我院的网络拓扑结果进行重新改造，将服务器网络与客户机网络逻辑隔离开。如果办公网络终端设备不幸遭遇攻击、中毒，能够确保服务器网络数据不受影响（如图2）。 　　（二）第二代网站专用防火墙 　　相比第一代防火墙，第二代Web专用防火墙作用在顶端的应用层，其防御能力更强，范围更广，弥补了中心机房现有第一代H3C防火墙的不足，能够抵御当前典型的恶意攻击。例如，SQL注入、Struts2框架、Fckeditor编辑器、XSS跨站脚本等。建议在第一代防火墙与服务器之间，架设一台第二代Web专用防火墙（如图2）。 　　（三）服务于水利行业和毕业生的VPN 　　为方便水利行业、广大师生在校园网外，更安全、稳定、便捷地访问学院内部丰富资源，建议学院采购一台专业的VPN服务器（如图2）。VPN虚拟出的专用网络通道，能够对传输数据和账号信息进行多种形式加密，隐藏服务资源，伪装URL地址，能够实时记录访问信息，其稳定性、拓展性、操作性更强，能够有效地防止校内资源信息泄露，避免服务器遭到攻击、篡改、数据丢失。建设多个