校园网络管理与信息安全解决方案(调研报告).doc
《校园网络管理与信息安全解决方案(调研报告).doc》由会员分享,可在线阅读,更多相关《校园网络管理与信息安全解决方案(调研报告).doc(7页珍藏版)》请在冰豆网上搜索。
校园网络管理与信息安全现状
调研报告
一概述
随着信息化程度的提高,计算机网络得到了飞速发展,校园网络信息化也逐步发展起来了。
而高校校园信息化建设工作的整体推进,应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流,都需要切实做好校园网络安全体系建设,建立事故预警机制,做好善后处理工作,结合硬件、软件,采取各种技术措施,建立一个基于管理措施和多种技术的高校校园网络安全体系,确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏,管理内部用户对外部资源的合法访问,全面做好校园信息化的安全保卫工作。
保证校园内外信息资料顺畅的交流,面对校园网络中的种种安全威胁,必须采取及时有效的措施来解决。
二对当前校园网络现状的研究分析
当前校园网络普遍面临着网络规模大,设备多。
从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备等问题。
校园网通常是双出口结构,分别与Cerner、Internet互联。
而且用户种类丰富。
不同用户对网络功能的要求不同。
教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。
学生区主要是接入INTERNET的需求。
应用系统丰富。
校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。
这些应用之间互相隔离。
还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。
各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。
三校园网主要面临的安全威胁
1计算机病毒破坏
计算机病毒已经成为影响校园网络安全的重要因素,它不仅影响系统的正常运行、破坏系统软件及文件系统、使整个网络运行效率下降,甚至造成计算机和整个网络系统的瘫痪。
制病毒在校园网中的广泛传播:
一是在网关处禁止常见病毒的入侵,关闭校园网络对外的可能产生病毒入侵的端口;二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品,在整个校园网内采取病毒防范措施;三是查找到病毒宿主机,对其实施隔离措施,将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀;四是对服务器等重要设备设定安全策略,监控系统状态,有效防范校园网络内的病毒和恶意入侵。
2校园网络设备管理不健全
校园网络涉及硬件的设备分布在整个校同内,管理起来有一定的难度。
从网络设备所处层级看,校园网网络层级一般可分为核心层、汇聚层、接入层,要确保各个层级的安全,网络设备本身的安全可靠是前提,否则网络设备所配置的安全策略就失去了其意义。
为了集中管理存放在校内各楼宇中的交换机设备,学校一般会购置具备远程管理功能的交换机,也同样是出于集中管理的目的,网络管理者往往会将交换机的远程登陆帐户设置成一模一样或者就干脆采用设备的出厂默认值,如果攻击者获取到设备的登陆帐号,将会给用户和网络管理带来无法想象的威胁。
暴露在外面的设施,可能遭到有意或无意的损坏,这就会造成校园网络全部或部分瘫痪的严重后果,而且大多数校园网络信息化设备投入由于资金投入不足,致使校园网络建设方面存在着各种开放式的安全隐患。
3计算机系统漏洞
入侵者攻击校园网主要是利用软件或攻击代码对网络软件或硬件的安全漏洞加以攻击,获得相应权限后,非法获取目标主机的资源,也可能会在控制目标主机后,以其为跳板(俗称肉鸡),对其他计算机或网络实施攻击和非法访问并隐藏真实身份。
终端系统漏洞主要有三个方面:
一是普通计算机和服务器操作系统等软件漏洞。
校园网中广泛使用的网络操作系统主要是Windows操作系统,也有较少部分的其他类型操作系统,这些系统都存在各种各样的安全漏洞,许多计算机病毒都是利用操作系统的漏洞进行传染的。
二是校园网络硬件设备漏洞。
连接校园网络各基础设施的硬件设备(如交换机、防火墙等),基本工作原理是运行存储在芯片中的程序,实现一系列功能,这些程序或多或少的都会存在一些漏洞,这些漏洞给入侵者提供了攻击网络的可能。
三是校园网站、各单位基于WEB的业务管理系统等代码漏洞。
校园网络上运行着大量的网站和众多的业务管理系统,对校内和校外提供丰富多彩的工作、学习和娱乐等内容,但这些站点的代码在编写过程中,存在很多不严谨的地方,甚至有些程序设计人员可能会在代码中留下一些后门程序,这给攻击者留下了攻击的途径。
4用户对校园网网络资源的滥用
实际上有相当一部分的因特网访问是与正常的工作无关的,有人利用校园网资源从事商业活动或大量的视频、软件资源下载服务,有人甚至去访问一些不健康的甚至反动站点,从而导致大量非法内容或垃圾邮件甚至一些木马程序的进入,占用了大量珍贵的网络资源,严重浪费了校园网资源,造成流量堵寨、子网速度慢等问题。
5校园网安全管理制度缺失
随着校同内对计算机虚用的需求,接入校园网的计算机日益增加,校园网安全管理制度缺失问题也越发严重。
校园网经常会发生计算机病毒泛滥、信息丢失数据损坏、网络被攻击、系统瘫痪等严重情况。
校园网的建设普遍存在着重运行、轻管理的现象。
而且当前很多高校校园网络建设存在重硬件、轻软件及重运行、轻管理的两种极端现象,网络建设者通常将网络系统作为一项纯技术工程来实施,没有建立一套完善的安全管理方案,网络管理员只需将精力集中于日常的简单事务管理上,如上网线路的故障维护、账号的开通和维护、服务器的日常管理和业务应用系统的日常维护等,网络规范化、安全化管理严重不足,很少关注和研究网络入侵手段、防范措施、安全机制等内容。
6网络管理者和使用者的安全技术能力低
虽然高校校园网络建设者和使用者具备足够的安全意识,但可能会陷于安全技术能力不足的缺憾。
网络管理者不具备丰富的安全管理经验和技术能力,就无从谈起对网络的安全保障,至多只能防范和处理一些简单的安全威胁,遇到重大问题,通常只能求助于校外专业人士。
网络使用者的安全技术能力更是严重不足,绝大多数的用户只是简单的使用计算机和网络,安全防范措施一般只是安装杀毒软件,期望杀毒软件能解决所有安全问题,但这往往是不可能的。
四网络安全解决方案设计
1身份认证
对于每一个入校园网的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名、密码、用户PC机的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号,通过以上的信息的绑定,可以避免了个人信息被盗用,当安全事故发生的时候,只要能够发现肇事者的一项信息就可以准确定位到该用户,便于事情的处理。
2部署网络防病毒系统
网络管理者一般应通过四种策略来防范和控制病毒在校园网中的广泛传播:
一是在网关处禁止常见病毒的入侵,关闭校园网络对外的可能产生病毒入侵的端口;二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品,在整个校园网内采取病毒防范措施;三是查找到病毒宿主机,对其实施隔离措施,将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀;四是对服务器等重要设备设定安全策略(如固定端口开放、审核策略、网络访问许可策略等),监控系统状态,有效防范校园网络内的病毒和恶意入侵。
3防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所以的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP,造成网络通讯的混乱。
4设置漏洞管理系统
设置漏洞管理系统,能够有效避免由漏洞攻击导致的安全问题。
它从漏洞的整个生命周期着手,在周期的不同阶段采取不同的措施,是一个循环、周期执行的工作流程。
对用户网络中的资产进行自动发现并按照资产重要性进行分类;自动周期对网络资产的漏洞进行评估并将结果自动发送和保存;采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;根据漏洞修复方案,对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避;对修复完毕的漏洞进行修复确认:
定期重复上述步骤。
通过漏洞管理将网络资产按照重要性进行分类,自动周期升级并对网络资产进行评估,最后自动将风险评估结果自动发送给相关责任人,大大降低人工维护成本。
漏洞管理系统包括硬件平台和管理控制台,部署在网络的核心交换机处,对整个网络中的资产提供漏洞管理功能。
5设置防火墙保护网络安全
防火墙系统是一种建立在现在同学网络技术和信息安全技术基础的应用性安全技术产品,是一种使用较早的,也是目前使用较广泛的网络安全防范产品。
防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理。
在需要隔离的网络区域之间设置防火墙。
典型地,在Internet与校园网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。
将WWW、MAIL、FTP、DNS等服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
6设置WEB应用防护系统
高校网络安全体系中,需要新型的技术和设备来应对WEB攻击,保证网站安全,维护高校声誉;为广大师生等用户提供持续优质服务。
这种新型的技术就是WEB防火墙。
传统的边界安全设备,如防火墙,局限于自身的产品定位和防护深度,不能有效地提供针对Web应用攻击完善的防御能力。
Web应用防火墙(WebApplicationFirewall,简称:
WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。
基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
7定期对服务器进行备份和维护
为防止不能预料的系统故障或用户不小心的非法操作,系统管理管理员需要定期备份服务器上的重要系统文件。
比如用户账户。
文件资料可以用RAID方式进行每周备份,重要的资料还应用保存在另外的服务器上或者备份在光盘中。
监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。
8加强校园管理
校园网络安全保障是一个硬件、软件和人力资源有机结合的整体,三方面相辅相成,缺一不可。
因此,在有足够可靠的安全软硬件的前提下,必须加强校园网络管理人员安全技术能力和安全管理能力的培养,鼓励其参加相关的技术培训,拓展专业能力,建立一支职责明确、技术全面、知识丰富的网络管理人才队伍,全力保障校园网络安全。
另一方面,应制定有关规章制度,确定安全管理等级和安全管理范围,制定有关网络操作使用规章制度,制定网络系统的维护制定和应急措施,构建安全管理平台,组成安全管理子网,安装统一的安安全管理软件,如网络设备管理系统、网络安全设备管理软件,实现校园网的安全管理。
校园网面临着一系列的安全问题受到来自外部和内部的攻击。
目前国内许多高校存在校区分散的状况,各校区间通信的安全连接还存在问题。
计算机网络安全取决于安全技术与网络管理两大方面。
同时校园网络安全问题是一个较为复杂的系统工程,需要在充分了解现有网络安全状况的前提下,通过管理和技术两个
升级会员 