校园网络安全防范体系建立研究.docVIP

校园网络安全防范体系建立研究【摘要】校园信息化建设的同时，校园网络也面临着网络安全威胁。在对校园网络安全组成进行了简要的陈述后，就校园网络安全防范体系的物理级、网络级、系统级、应用级和管理级等五个层面分别进行了安全防护方案的解析。 【关键词】校园网络；网络安全；物理层；网络层 随着信息技术的快速发展和高校网络基础设施的不断完善，资源整合、应用系统和校园信息化平台建设已经成为校园信息化的主要任务。高校用户在享受信息化成果所带来的工作高效和便利的同时，也面临着来自校园网内部和外部带来的各种安全威胁和挑战。因此，有必要建立一套高效、安全、动态网络安全防范体系，来加强校园网络安全防护和监控，为校园信息化建设奠定更加良好的网络基础。 1.校园网络安全组成 校园网络的安全由以下几个方面组成：物理安全、网络安全、信息安全。 1.1 物理安全 物理安全策略主要指网络基础设施、网络设备的安全以及不同网络之间的隔离进行控制的策略。物理安全直接关系到网络的安全，如果非法用户有接触网络设备的可能，那么他直接对设备进行破坏要比通过网络远程进行破坏容易得多。 1.2 网络安全 网络安全是指系统（主机、服务器）安全、反病毒、系统安全检测、审计分析网络运行安全、备份与恢复、局域网与子网安全、访问控制（防火墙）、网络安全检测、入侵检测。 1.3 信息安全 信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，具体包括数据加密、数据完整性鉴别、防抵赖、信息存储安全、数据库安全、终端安全、信息的防泄密、信息内容审计、用户授权。 2.校园网安全防护的解决方案 计算机网络系统是一个分层次的拓扑结构，因此网络的安全防护也需要采用分层次的拓扑防护措施，即一个完整的网络安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。 2.1 物理层安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全、媒体安全。 2.2 网络层安全 网络层安全主要包括：限制非法用户通过网络远程访问和破坏系统数据，窃取传输线路中的数据；确保对网络设备的安全配置。对网络来说，首先要确保网络设备的安全配置，保证非授权用户不能访问任意一台计算机、路由器和防火墙。 2.2.1 合理划分VLAN VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需要的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，一个VLAN内部的广播和单薄流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN在交换机上的实现方法，可以大致划分为4类：第一是基于端口划分的VLAN；第二是基于MAC地址划分VLAN；第三是基于网络层划分VLAN；第四是基于IP组播划分VLAN。 以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，以上运行机制带来的网络安全是好处是显而易见的：第一，信息只有到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。第二，通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。 2.2.2 防火墙与IDS 安装防火墙进行安全保护，它是一种在校园内部网和Internet之间实施的信息安全防范系统技术，通过检测、限制、更改跨越防火墙的数据流，可以有效地对外屏蔽校园内部网络的信息，从而对系统结构及其良性运行等实现安全防护。IDS所采用的不是被动防御的策略，而是主动监视、检测和识别在进行的或已经成功的入侵行为，并及时报告给网络管理者。由于IDS系统除了报告外，本身不能对入侵采取任何的防御措施。 2.2.3 路由器访问控制列表 路由器是内部网和Internet的连接，是信息出入的必经之路，对网络的安全具有举足轻重的作用，路由器本身就可以对数据包进行过滤和有效地防止外部用户对校园网的安全访问，可以限制网络流量，也可以限制校园网内的某些用户或设备使用网络资源。不同VLAN之间的访问只能通过路由器或路由模块来完成，因此路由设备可以作为控制VLAN之间访问的初级屏障，因此，我们可以利用路由器来提高网络的安全性。 2.3