中学校园网安全防护体系的设计与实现.pdfVIP

中学校园网安全防护体系的设计与实现 钟 甜 (广西桂林市恭城民族中学，广西 桂林 542500) 摘 要：校园网正逐渐成为中学的关键信息基础设施，其安全性越来越重要。基于校园网的应用现状和安全威胁 ，提 出了一个 切合实际的校 园网安全防护体 系设计与建设方案。该方案创建 了一个集区域分割、边界防护、全网监控、终端安全和运行维护 等五个层次于一体的安全防护体 系，有效地提 高了校园网的安全性。 关键词：中学校园网；网络安全；边界防护 ；终端安全 Abstract： The campusnet a,ndconstructionproject ^ 誊 的安全功能 ，做到与中学校园网相一致的适度防护，讲求 机防护，从而达到了可控 、可管、可查的 目标，有效保障 实效，切合实际，选择稳定成熟的网络安全技术与设备 ， 了校园网络的安全运行。 来确保校园网的安全稳定运行。 区域分割即网络体系结构设计 中的三区设立，根据应 2．2网络体系结构 用需求和安全需求，将网络划分为外网区、上网区和内网 网络体系与安全防护体系一并设计 ，才能构建一个安 区等三个不同的区域，以实施不同的安全策略。这里独立 全的网络。这里 ，本方案将中学校园网在逻辑上划分为三 的上网区设计，既实现了校园网与国际互联网的连接，对 大功能区：外网区、上网区和内网区。其中，外网区指的 上网区实施特别的保护，又能够有效保证内网区的安全。 是与国际互联网直接相连的部分，即接入路由器所在的部 边界防护是指在校 园网的三个区域之 间部署防火墙， 分；上网区是指对国际互联网提供网络服务和校内用户连 对过往的网络流量进行访问控制，以构筑校园网的第一道 接国际互联网的区域 ；内网区则是中学的内部局域网，为 安全防线。该防火墙不但应具备网络层的数据包控制能力， 校内信息共享和办公 自动化的平 台。三个区之间设计有强 还应具备应用层的数据包控制功能即内容安全，从而对校 大的访问控制措施，来提高上网区和内网区的安全性。 园网实施较全面的防护。它应执行如下较为严格的安全策 对于上网区，教师和学生能够且 只能够在该区域访问 略，来保护校园网的安全：(1)只允许国际互联网用户访 国际互联网，互联网的用户也只能够访问或通过授权后访 问上网区的学校网站服务器 ，对上 网区的其他上网主机不 问该区域。本方案将校园网用户连接国际互联网的行为限 能访问，更不允许访问校 园网的内网区；(2)上 网区的主 制在上网区，实行三区设计，主要基于如下三个原因： 机 只被允许访问国际互联网，但服务器不允许有主动访问 (1)来 自国际互联 网的安全威胁非常多，病毒、蠕虫、 国际互联 网的连接 ；(3)校 园网的内网区只能访问上网区 木马层出不穷，如果不对上网区域做 出限制，而是所有区 的学校网站服务器和资源服务器 ，不能访问国际互联网。 域都能够连接国际互联网，那么网络威胁将会很容易在校 全网监控即对整个校园网实施监控 ，以及时发现违反 园网中泛滥，从而影响到网络的正常使用； 安全策略的行为或入侵行为。如果有条件，部署网络入侵 (2)中学教师和学生对网络知识和 网络安全知识的掌 检测系统 (简称 IDS)是一个稳妥的方案。但对于中学校 握甚少，容易遭受攻击，且很可能对已发生的攻击没有意 园网来说，由于 IDS存在较多的误报 ，且安全管理人员 识 ； 的相关经验和技术不足 ，可能还不能很好地利用 IDS。如 果这样 ，那么部署 网络安全审计系统是一个