构建安全校园网策略.docVIP

构建安全校园网策略 　　摘要：针对目前常见的校园网安全威胁，建立可行、有效的安全策略是必要的，计算机网络信息安全是一个复杂的系统工程，国际上普遍认为：它不仅涉及到技术、设备、人员管理等范畴，还应该依法律规范作保证，只有各方面结合起来，相互弥补，不断完善，才能有效地实现网络信息安全。本文只从技术的角度探讨校园网信息安全的对策。 　　关键字：校园网网络安全 　　中图分类号：TN711文献标识码：A 文章编号： 　　近几年校园网络发展迅速，承载了越来越多的应用。相应地其安全性问题也日益凸显，如何构建安全校园网成为我们思考的问题。 　　一、校园网存在的安全风险分析 　　校园网的安全威胁既有来自校内的，也有来自校外的，经过分析、研究，我认为校园网大多存在以下的安全隐患：1、人员因素；2、灾难因素；3、逻辑问题：可能的软件错误；物理或网络问题，用户不恰当的操作请求而导致错误等；4、硬件故障：常见的磁盘故障；I/O控制器故障、电源故障、受射线、腐蚀或磁场影响而引起的硬件设备故障；5、网络故障：网卡或驱动程序问题、交换器堵塞、网络设备和线路引起的网络链接问题、辐射引起的不稳定问题；6、威胁数据保密性的主要因素：(1)直接威胁：如偷窃，通过伪装使系统出现身份鉴别错误等；(2)线缆连接：通过线路或电磁辐射进行网络接入，借助一些恶意工具软件窃听、登陆专用网络、冒名顶替；(3)身份鉴别：口令窃取或破解，非法登录；(4)编程：通过编写恶意程学进行数据破坏；（5）系统漏洞：操作系统提供的服务不受安全系统控制，造成不安全服务；在更改配置时，没有同时对安全配置做相应的调整；CPU和防火墙中可能存在由于系统设备、测试等原因留下的后门等。 　　二、构建安全校园网的设计策略 　　针对以上可能存在的安全风险，下面介绍几种个人认为的安全对策。 　　1、访问控制策略 　　 利用访问控制识别网络用户的身份，并依据不同用户身份，给予不同的网络访问权限或阻止其进入校园网系统，按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。当用户???入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。用户在其合法的访问授权之外无其他的访问特权，有效防止了网络因超权限访问而造成的损失。网络访问控制策略不仅能阻止网络用户的非法访问，而且能够在很大程度上减少病毒及恶意代码的危害。 　　2、防火墙策略 　　利用防火墙技术解决内外网络边界安全，防止外部攻击，保护内部网络（禁止外部网络访问内部网络）；可通过IP地址、协议类型、端口等进行数据包过滤；内外网络可采用两套IP地址，实现双向地址转换功能，在内外网之间建立一道牢固的安伞屏障，其中www、E-mail、FTP、DNS等服务器连接在防火墙的“孤立区”(即为不信任系统提供服务的孤立网段。它阻止内网和外网直接通信，以保证内网安全)，与内、外网口进行隔离，内网口连接校园网内交换机，外网通过路由器与Internet连接，这样，通过Internet进来的外网用户只能访问到对外公开的一些服务(如www、E-mail、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使用，并能够对发生在网络中的安全事件进行跟踪和审计；建立支持安全服务器网络（DMZ区），允许内外网络访问DMZ区，但禁止DMZ区访问内部网络；通过IP与MAC地址绑定防止IP盗用，避免乱用网络资源；防止IP欺骗；开启黑白名单功能，实现URL过滤，过滤不健康网站；提供应用代理服务，隔离内外网络。 　　3、入侵检测系统策略 　　建立入侵检测系统，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。利用入侵检测根据系统的安全策略从不同的系统资源收集信息，分析反映误用或异常行为的信息，对检测的行为作出自动的反应，并报告检测过程的结果。采用分布式入侵检测与病毒防护系统，保护整个网络所支持的分布式主机集合。在每个网段上安装一台网络入侵检测与病毒防护系统，可以实时监视各个网段的访问请求，并及时将信息反馈给控制台，这样全网任何一台主机受到攻击时系统都可以及时发现。在认证方面，采用建立校园认证中心来确保相互信任问题。根据网络的系统结构，构建一个与整个网络的系统结构相对应的安全认证中心(CA系统)，通过CA签发的数字证书，使通过网络进行数据交换的各方都有合法的身份，在数据交换的各个环节，各方都可验证对方数字证书的有效性，从而解决相互信任问题。同时保证各种数据交换中信息的保密性、数据的完整性、不可否认性等。 　　4、使用虚拟局域网(VLAN)技术 　　VLAN(Virtual Local Ar