校园网络安全系统建设“三道关”.docVIP

校园网络安全系统建设“三道关” 　　校园网络系统是学校重要的现代化基础设施, 广大教师在使用网络的过程中，几乎都受到过来自网络的各种攻击，互联网上蠕虫、拒绝服务等新的攻击手段层出不穷，病毒的入侵、网站恶意代码、ARP攻击、有害信息干扰等也时有发生。因此，如何构筑可靠的校园网络安全体系，成了当前学校急需考虑的问题。 　　校园网安全系统的建设是一个庞大而复杂的工程，不可能在短时间内完成，也不能有一个完整而周全的解决方案。我们只能是想方设法使学校的网络更加安全，尽量减少因为网络安全带来的损失。在WPDRRC模型中，外围连接的依次是预警（Warning）、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Restore)、反击(Counterattack)六个环节，内层是人、策略、技术三个逐步扩展的同心六边形（如上图）。将安全策略变为安全现实，人是核心，策略是桥梁，技术是保证。下面，我们主要从技术保障、安全策略、人员素质等三个方面，谈谈对学校网络安全系统建设的一些建议和做法。 　　第一道关――硬件技术保障是防线 　　通过添加硬件防火墙或者“计算机+软件”式的防火墙，在内部网与外部网之间、专用网与公用网之间构造起第一道保护屏障，最大限度地阻止网络中的黑客入侵网络。防火墙对通过的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。防火墙是一个安全策略的检查站，所有进出的信息都必须通过防火墙，使可疑的访问被拒绝于门外。 　　现在笔者所在区域大部分学校都采用“海蜘蛛”作为路由器，目前使用的是“海蜘蛛”V6.1.0，此版特别适用于校园等对网络应用高要求的环境。专门解决校园网电脑中毒、相互攻击、上网缓慢等现象。此设备能够轻松实现以下功能。 　　用户安全管理：支持各种防火墙策略。提供DNS/IP/网址/关键字过滤功能。支持“PPPoE认证+Web认证+验证码”的三重防护，有效地防止ARP、DoS类攻击。 　　安全隔离每个用户：采用一户一线，杜绝用户间互相攻击的现象，即使个别电脑中毒也不会对周围用户产生任何影响。 　　智能QoS功能：能对P2P下载、在线视频等高带宽应用采用智能化QoS流量控制，有效防止了这些应用对其他用户网络的影响。方便对小区内用户提供高质量的网络服务。 　　长期稳定运行：路由系统基于linux内核，能在长时间不间断的情况下稳定运作。 　　完善的备份支持：支持定时关机重启，远程备份路由配置文件，简化了管理员的工作任务。 　　日常网络的监管采用《傲科天蓝蓝安全设备》，可以轻松实现：日志审计、信息过滤、行为管理、内容监控、P2P下载控制、流量管理、策略管理、数据安全管理等功能。 　　通过采用各种防火墙技术和网络监管设备的防护，为校园网的安全建立起第一道安全防线，为学校网络安全提供有力的技术保障。当然，各所学校的具体情况和网络规模有所不同，采用的校园网安全系统也应有所差别，不可能按照同样的方法，但是可以采用同样的模式。 　　第二道关――网络安全策略是桥梁 　　校园网使用者或者说接入点越来越多，随之而来的网络安全问题也会越来越多，合理的、优化的网络安全策略可以有效地降低安全风险，在技术上实现网络系统的安全管理，制定有关网络安全管理的规章制度，确保网络系统安全、可靠地运行。网络安全策略主要涉及以下几个方面。 　　物理安全策略：主要包括机房网络和办公网络的物理隔离、机房环境的建设、防火防盗、电磁干扰、非法用户入侵等。 　　访问控制策略：主要包括重要数据的加密、服务器密码的安全性、密码定期更新、用户权限的控制、对于目录的访问权限、敏感数据的控制、用户验证机制等。 　　VLAN划分策略：当学校网络规模较大时，建议对学校的网络进行合理地划分VLAN，划分可以按照基于端口、基于MAC地址、基于网络层协议、根据IP组播、按策略、按用户定义、非用户授权划分VLAN等多种划分方式。划分VLAN的目的主要是避免用户之间的相互干扰，根据学校用户的特点，可以根据学科进行划分、根据课程表进行划分，可以有效地隔离用户干扰和进行流量控制。 　　网络安全管理策略：为保障校园网的正常运行，规范各项操作，通过建立各项规章制度、规范用户操作、安全等级管理、管理范围、有关人员的操作流程、机房管理制度、定期维护制度及应急预案等措施，以起到明确职责，责任到人、有理有据、保障有力，将网络安全的风险降到最低，从内部管理上防范网络安全事故的发生。 　　第三道关――人员素质提升是核心 　　人员素质的提升对校园网的安全起着非常关键的作用，我们这里讲的人员主要包括两