校园网络安全保障体系构建.docVIP

校园网络安全保障体系构建 　　随着计算机网络技术的迅猛发展，网络的社会化和国际化使人类社会的生活方式发生了重大变化，互联网已经成为各项社会生活赖以存在的基础设施。网络与信息系统发展到越高的阶段，人们对它的依赖性就越强，因此信息安全的要求也就越高。然而，互联网中存在计算机病毒的泛滥、有害内容的传播、计算机黑客的入侵等一系列网络安全问题，解决这些问题刻不容缓。 　　近年来，国家对教育信息化工作非常重视，教育科研网、校校通、农远工程等重大项目带动了教育系统的网络全面建设，数以万计的校园网如雨后春笋般的建立起来。伴随着网络的建设，各种教育教学应用也大面积的铺开，电子政务、远程教育、数字图书馆、教育资源库等建设方兴未艾。在这样的大形势下，网络的安全问题也就成了无法回避的问题。本文将着重介绍构建校园网络安全保障体系的几个重要的技术手段和应用系统，针对校园网络对安全的特殊需要，提出一个多重机制相结合、多层次的网络安全解决机制。通过这些技术手段和安全措施构建网络的多重屏障，给校园网络提供一个安全的运行环境，带给学生一个绿色的网上空间。 　　这个安全保障体系的主要构成包括：防火墙系统、入侵监测系统、网站防护系统、网站防篡改恢复系统、绿色上网系统。下面就为大家介绍一下几个系统的主要特性： 　　一、防火墙系统 　　防火墙是网络的第一道屏障，也是最常见的应用，主要功能是通过严格的访问控制，使一个网络不受来自另一个网络的攻击。防火墙是一种技术，同时也是一种产品，一般分为基于硬件实现和基于软件实现两种方式，根据安全策略需要的各种控制规则，阻止或通过访问对象连接的地址或传输的数据包。 　　防火墙的工作原理是：建立在一个服务器或主机的机器上，也称“堡垒主机”，它是一个多边的路由协议。这个堡垒主机连接在两个不同的网络上，一边与内部网络连接，另一边与互联网相连。其主要作用是防止未经授权的来自互联网或者对互联网的访问，并为安全管理提供详细的系统活动记录。 　　从技术实现上来划分，防火墙主要包括网络级包过滤防火墙和应用级代理防火墙。包过滤技术是网络级防火墙的一种基本安全控制技术，用来检查进出网络的哪些数据包可通过或拒绝。因此，包过滤防火墙至少有一个包过滤检查模块，它只针对数据包头部中的地址与协议信息内容，来鉴别并控制点与点、点与网络、网络与网络之间的相互通信和访问，但不传输数据内容。代理技术是面向应用级防火墙的一种常用技术，它提供代理服务的主体对象是有能力访问互联网的主机，使那些无法访问互联网的主机通过代理也可以访问互联网。当外网通过代理访问内网时，内网只接受代理提出的服务请求和内容，内网本身禁止直接与外部网络或其他节点的直接请求与应答联系。它的优点是应用层网关可提供良好的服务功能，代理服务可隐蔽内部IP地址，安全性更好。 　　防火墙的安装配置是一门技术性很强的工作，需要专门的工程技术人员和安全管理人员来指导。对不同类型的防火墙产品和网络结构保护系统，以及所使用的配套软件，如：过滤软件、代理软件、NAT(网络地址转换器)软件和管理软件、内网与外网的出口、连接Web服务器的设置等细节都要了如执掌。对需要配置的过滤规则、代理规则以及NAT规则等都要做到严格、规范，尽可能万无一失，这是能否真正保护网络系统的关键。 　　 　　二、入侵检测系统 　　 　　防火墙通过严格的访问控制功能来防范非法访问，在复杂的网络系统中，这些策略是不充分的。同时，防火墙本身也存在一些漏洞，它无法防止绕过防火墙设备的其他途径攻击，不能防范已感染病毒文件和软件的传输，不能防范诸如数据驱动型的攻击。因此要提高网络的安全性，就要对通过防火墙的数据进行进步的检测，判断其是否具有入侵行为等非法操作。 　　入侵检测技术就是一种分析判断入侵行为，并对其进行防范的技术，它在安全系统中的作用越来越大，是一个不可缺少的网络安全技术。入侵检测通常是指对入侵行为的发觉或发现，通过计算机网络或系统中某些检测点测试结果收集到的信息进行分析比较，从中发现网络或系统运行是否有异常现象和违反安全策略的行为发生。 　　入侵检测的步骤大致分为两方面：一是收集信息。多方位收集检测对象的原始信息，包括系统、网络、数据及用户活动的状态和行为。保证真实性、可靠性和完整性。二是数据分析。根据采集到的原始信息，进行最基本的模式匹配、统计分析和完整性分析，模式匹配和统计分析用于实时的入侵检测，完整性分析则更多用于事后分析。 　　入侵检测的方法很多，目前较为常见的主要是按分析方法来划分：一是异常检测模型，二是误用检测模型。异常检测模型给定正常操作所具有的稳定特性作参照，当用户活动与正常行为发生较大或者重大偏差时，即被认为是异常入侵现象。误用检测模型首先收集正常操作的行为特征，并建立相关的特征库。当监测的用户或系统行为与