校园网一体化安全防护的研究.docVIP

校园网一体化安全防护的研究 　　摘要:安全问题是校园网络建设和使用中面临的重大课题,本论文从网络安全产品的部署角度出发,阐述了校园网一体化安全防护技术的思路,并对其具体内容做了较为详细的论述。 　　关键词:校园网 一体化 安全防护 统一威胁管理 　　中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)21-0020-03 　　 　　一、问题的提出 　　 　　互联网自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多网络协议和应用没有提供必要的安全服务,比如电子邮件使用的SMTP协议没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的Telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。[1] 作为学校重要基础设施的校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到教学、科研、管理和对外交流的顺利进行。目前,随着网络应用的进一步深入,网络上所面临的攻击也越来越频繁。同时,随着学校网络规模的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。[2] 　　 　　二、校园网常见的安全威胁及应对措施 　　 　　校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。 　　1.蠕虫病毒泛滥 　　网络上蠕虫病毒的危害越来越严重,发作越来越频繁。而且,蠕虫病毒往往与黑客技术相结合,计算机中毒发作后,导致拒绝服务攻击,严重的甚至造成全网服务中断。有些病毒还具有黑客程序的功能,一旦侵入我们的计算机系统,病毒控制者就可以非常容易地从入侵的系统中窃取信息,并远程控制这些系统。 　　需要建立一套完善的防毒网关,加强多级进入点的安全保护,并对网络安全管理进行规范,才能对病毒进行有效的防护。 　　2.校内用户在校外不安全访问学校内网 　　校园网用户在校外要能安全地访问到校园网,获取其数据,如工资报表、科研成果、研究资料和论文等。这些数据的安全性要求比较高,要充分考虑远程登录校园网的安全问题。 　　需要建立VPN网关,通过隧道技术、加密协议和安全密钥来实现校内用户在校外对学校内网的安全访问。 　　3.Web攻击 　　随着Web 2.0交互应用程序的出现,Web得到了迅速发展,但通过Web发起的攻击也越来越多。Web上大量的恶意软件和犯罪软件嵌入到无辜的第三方站点中。网络欺诈也继续发展,其攻击行为更复杂。 　　需要建立上网行为管理,对流氓软件、恶意软件和数据泄露等Web安全进行有效的防范。 　　4.外网对内网的不安全访问 　　在校园网中,来自校园网外部的攻击越来越频繁。如何在校园网内部和校园网外部之间建立一道安全的保护屏障,以保护校园网内部网络免受外部非法用户的入侵是我们一直在努力做的工作。 　　防火墙是校园网络安全的第一道屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。 　　5.黑客攻击 　　随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入校园网络实在是太容易了。 　　为此,应部署入侵检测(防御)系统,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现(防御)各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 　　以上介绍的五种威胁,如果都要解决,现在常用的做法是购买相应的安全产品,分别加以部署,如图1所示。 　　随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。基于这个特点,原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对校园网络的安全保护。为了校园网络的安全,学校通常被迫部署多台、多种安全设备。并且随着新安全威胁的出现,还需要再部署更多的安全设备。新增加安全域时有时需要重新建设安全系统。这样一种部署方式,将带来如下的问题: 　　安全系统由此变得异常复杂; 　　复杂的安全系统将使整个信息系统的稳定性降低; 　　多台设备的加入,也就加入了多个可能的故障点; 　　新增的安全域通常需要独立、重复建设安全系统; 　　管理成本高,管理难度大,维护困难。 　　 　　三、校园网一体化安全防护 　　 　　按照上面的部署方法,我们部署了那么多的安全产品,还是有很多用户在抱怨。事实证明:拥有了网络安全产品不等于就拥有了安全,真正的安全还需要好的安全管理。现在,越来越多的网络安全解决方案