如何构建多层次校园网安全体系研究.docVIP

如何构建多层次校园网安全体系研究 　　【摘要】本文从分析目前校园网络所面临的威胁入手，全面介绍了利用多种安全防范措施建立多层次的校园网络安全系统。 　　【关键词】多层次；校园网；安全体系；防范 　　 　　随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀,网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠），如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。 　　 　　一、校园网络安全所面临的威胁 　　 　　校园网络不同于其它类型的网络，校园网需要提供开放的网络资源，同时又要保证整个校园网络的安全。与其他网络一样，校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前，针对网络的攻击主要来自两个方面，一是来自外部公网的攻击，另一方面是来自内部的攻击。对于大型校园网而言，由于其内部用户众多，来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例，而造成的破坏性大大超过外部攻击。由此可见，校园网络上常见的安全威胁主要有以下几类。 　　1. 非法使用：资源被非授权的用户（也称非法用户）或以非授权的方式（非法权限）使用。例如攻击者通过猜测账户和密码，从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件，如考试试卷等。 　　2. 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器（如Web、DNS、FTP、E-mail等）不断发起连接或请求响应，进行DoS或DDos攻击，致使服务器负荷过重而不能处理合法任务。 　　3. 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 　　4. 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作，而使数据的一致性被破坏。 　　5. 病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。 　　 　　二、多层次校园网安全防范体系 　　 　　为了保证校园网关键资产数据的安全性，保证校园网络的畅通性，保证各类信息的准确性，就成为校园网管理者面临的问题。 　　1 、构建防火墙系统 　　防火墙技术是保证网络安全最早、也是最广泛使用的产品，曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展，防火墙已经不是网络安全的万能产品，无法100%地防范网络攻击，但是有效的防火墙可以有效地避免和防止大部分的攻击。 　　① 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容，包括协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从不被允许的服务就是被禁止的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口，如80、21、25等。 　　② 配置防火墙，过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。 　　③ 通过配置边界防火墙对HTTP网址过滤和网页内容过滤，一般情况下多配置HTTP网址过滤（加入需要过滤的网址列表），来管理师生员工上网的行为，提供工作的效率，保证正常的数据流量，屏蔽各种垃圾信息，从而保证内部网络的绿色环境。 　　④ 定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量，可以保证校园网内的资源利用最大化。 　　2、配置包过滤的路由策略 　　在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL（Access Control List），开放从内向外的任何访问，从外到内仅允许访问特定服务器的特定端口，拒绝某些特定端口的数据包通过来限制病毒传播的区域，尽量减小网络病毒的影响。 　　3、在校园网络中使用用户接入控制技术 　　用户接入控制技术只允许合法的、值得信赖的端点设备接入网络，而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生，并自动实现事件响应，最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益，防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等