校园网网络安全解决方案.docx
《校园网网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《校园网网络安全解决方案.docx(17页珍藏版)》请在冰豆网上搜索。
校园网网络安全解决方案
摘 要
随着计算机网络的发展,特别是INTERNET的日益普及,“校园网”就随着全国各高等院校计算机网络的建设而引起了人们的广泛关注。
近年来,有很多中、小学也加入到校园网络建设的行列,建设和使用校园网络已成为一种普遍趋势。
随着校园网建设的快速发展,学校对网络的依赖性越来越强,同时,网络应用也是日新月异。
这就给校园网建设提出了网络的安全和可运行性提出了新的要求。
现在校园网络维护的建设已成为现代教育机构的必然选择。
关键词校园网,计算机,维护,网络安全
一、校园网概况介绍
XX大学校园的校园网的建设对于为教育系统培养高级教学和管理人才,以及对学校自身的教学、科研和服务有着重要的意义。
校园网信息系统是校园网的数字神经中枢,合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境,同时通过各院校之间的互联互通,将会极大的提高教育行业整体的工作效率和教育质量。
(1)系统建设总目标与规划
XX学校校园的校园网的建设对于为教育系统培养高级教学和管理人才,以及对学校自身的教学、科研和服务有着重要的意义。
具此XX学校校校园网建设总目标和规模设计思想如下:
1)建成校园网络系统,实现校区内各办公室、各学院和各系的互连;
2)提供远程的拨号访问服务;
3)建立网络中心,实现网络运行中心和网络信息中心;
4)实现校园网与Internet的互连;
5)实现校园网的网管系统,实现有效的配置管理、失效管理、安全管理、计费管理和性能管理;
6)建立基于高性能QOS/COS的多媒体教学系统和以信息交换、信息发布和查询应用为主的网络应用基础环境,为校领导决策、日常行政管理和教学保障及管理提供先进的支持手段。
(2)系统建设的技术要求
校园网工程的主要技术路线为:
1)采用成熟先进的技术;
2)统一技术规范、标准和方案,统一设备选型,统一组织实施;
3)网络协议采用统一的TCP/IP协议栈,采用统一的前台应用软件;
4)网络系统采用千兆的路由交换主干和VLAN等技术进行组网互连;
5)系统必须满足标准化的要求,以实现开放性、可扩展性,增强与异构网络的互连能力;
6)重要部件、链路和文档,要有备份,保证系统的24小时运转;
7)重视数据的安全与保密,建立完善的网络安全管理系统。
(三)校园网总体设计的实施原则
校园网整个系统必须分步实施,充分考虑各阶段的情况,进行统一规划和设计。
建校园网络系统,应尽可能地采用成熟先进的主流技术和产品,保证系统的相当长时间内的先进性。
XX学校校园网应具有良好的开放性。
好的开放性依靠标准化来实现,所以应使用符合主流国际标准和大型知名厂商的解决方案和设备;同时制订统一的体系结构,遵循统一的通信协议标准。
网络基础设施和服务器系统最终是为应用服务和提供支持的,所以应用系统和服务在整个信息系统的建设中应置与非常重要的地位。
具此,校园网建设的总体设计原则为:
1、开放原则
2、经济实用原则
3、可靠原则
4、安全原则
5、先进原则
6、高效原则
7、灵活原则
8、可扩展性
2、安全需求分析
(1)校园网安全现状
学校现有网络环境主要为了满足电子化教学应用(包括多个教学使用的电子化教室)和校内办公环境的使用。
网络中包括200左右个信息节点,并通过一台代理服务器访问互联网。
同时,网络中还存在一台共享的应用服务器。
信息化程度的提高,极大地促进了教育事业的发展,但是随之而来的却是信息安全问题。
校园网以广域网络作为支撑平台,如何保障网络安全成为不可避免的重大问题。
在校园网中,无论是有意的攻击,还是无意的误操作,都将会给信息系统带来不可估量的损失。
攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。
内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险。
这些都使信息安全问题越来越复杂。
面对计算机网络中的种种安全威胁,必须采取有力的措施来保证安全。
无论是在局域网还是在广域网中,网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
在校园网中,应防患于未然,一旦出了事,亡羊补牢,恐怕为时已晚。
根据网络安全监测软件的实际测试情况显示,一个没有安全防护措施的大型网络,其安全漏洞可达1500个左右。
目前的网络中虽然采用一些安全产品,有一套安全制度,但由于各种客观和主观的原因仍然存在种种安全上的问题。
同时,由于网络的安全状况随着时间变化而变化,因此在作全网安全考虑时,除了合理的使用和配置各种安全软件、硬件产品以外,日常的检测和后续的服务也越来越受到重视。
(2)网络安全分析
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。
安全运营中心(SecurityOperationCenter)是针对传统管理方式的一种重大变革。
它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。
总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。
(3)网络安全的重要性
网络安全是阻碍网络发展的一个重要因素,在校园网络的建设中,网络安全也是需要重点考虑的一个方面。
网络安全主要分为内部网络安全和外部网络安全,现在大多数网络建设都使用防火墙,但多数防火墙都只能对外网安全进行控制。
如同一个国家有一支强大的抵御外敌入侵的国防军队,但却没有警察是不可思议的。
网络在边界有强大的防火墙,而网络内部却没有很好的监控就不能算作一个安全网络。
如今内部网络的应用越来越复杂,内部网络上大多数的应用是很重要的,甚至是严格保密的,一旦出现涉密、破坏的事件,将产生严重后果。
这些都使得内网安全问题变得越来越重要和突出。
现在网络的真正安全应该是来自于网络的内部。
顶联网络通过长期的努力提出了内网病毒防范和内部网络安全监控两种行之有效的内部网络解决方案。
(四)校园网安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。
一般来讲,校园网网络信息系统需要解决如下安全问题:
1.局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现;
2.在连接Internet时,如何在网络层实现安全性;
3.应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵;
4.如何实现广域网信息传输的安全保密性;
5.加密系统如何布置,包括建立证书管理中心、应用系统集成加密等;
6.如何实现远程访问的安全性;
7.如何评价网络系统的整体安全性;
8.基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:
访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
三、校园网的安全规划设计
(一)建立相关机构
建立相关机构,有计划地培养网络管理员及培训部门用户学会使用信息制作,发布的工具建网单位应该设有一个“网络信息化领导小组”对网络的该实施起指导和决策作用,按照建网单位的网络规模,按不同时期的需要,配置专业的网络管理员,针对网络技术应用的日新月异,加上校园网络信息资源建设的繁重的任务,要加强对师生的应用培训,适应网络新技术的应用及安全控制,保证网络的正常运行和安全。
(2)网络的规划设计
网络的规划设计是一个系统建立和优化的过程,建设网络的根本目的是在Internet 上进行资源共享与通信,要充分发挥投资网络效益,需求分析成了网络规划中的重要内容,它提供了网络设计应达到的目标,并有助于设计者更好的理解网络应该具有的性能;结合学校的办学规模,管理需求和师生对教学科研的需要,确立一个能较高的网络计算平台。
同时,经过系统的需要分析网络的设计者还能更好地作出决策,评价现有的网络,提供移植的功能及给所有校内师生更为合适的资源。
(3)校园网络的设计模式
一个良好的设计方案除体现出网络的优越性能之外,还体现在应用的实用性,网络的安全性,易于管理性和未来的可扩展性。
因此,设计时要考虑以下问题:
1.要适应未来特定网络的扩展和拓补结构的变化;
2.要能为特定的师生用户组提供访问路径;
3.要保证网络能不间断地运行。
4.当网络扩大和应用增加时,变化的网络结构要能应付相应的宽带要求;
5.使用频率较高的应用能够支持网上大多数的师生用户。
随着IT技术架构地逐步完善,商业客户所考虑的是怎么利用现有的系统去进行整合、优化,提升其IT运营效率,为此它将带来IT专业服务的发展。
另一方面,随着宽带、无线技术的普及所引发的是网络服务市场的增长,因此未来我国信息服务市场的两个增长引擎就是专业服务和网络服务。
在专业服务领域,最值得关注的亮点是运营管理外包服务、IT咨询及系统集成。
集成和教育的增长相对比较平稳,整个专业服务市场年均复合增长率是23.9%,而高达38.5%的网络服务市场增长亮点包括搜索引擎、网络游戏、短信服务。
(4)组网技术的选择
目前,可用于校园LAN(局域网)的技术有Ethernet(以太网)、FastEthernet(快速以太网)、GigabitEthernet(千兆位以太网)、Token-Ring(令牌环网)、FDDI(光纤分布式数据接口)和ATM(异步传输模式)。
从网络应用、维护、安全和扩展方面而言,FastEthernet和ATM在实际应用中得到了广泛的采用。
同时,GigabitEthernet技术已成为大型FastEthernet的升级目标。
虽然FastEthernet和GigabitEthernet因采用CSMA/CD的介质访问控制方式而广泛地存在着“广播风暴”的问题,但可以更好的传输介质和交换设备予于克服,其实出的优点是兼容先前的设备投资,师生的网络应用及培训更易进行,网络的可管理性和扩展性也很好。
ATM是一种快速分组交换技术,它在WAN(广域网)上体现的强大功能和在LAN上的成功应用,均以事实说明了它的技术的先进性。
在ATM中,不同速率的各种数据,如语音、图像、视频都被分成标准的53字节的信元,以光纤作为传输通道,避免了以太网中的“广播风暴”,提升了网络的整体性能。
但是ATM不兼容以往的以太网投资,其管理和操作有异于传统的以太网平台,故不适用于以太网的升级改造。
4、校园网的安全策略设计
近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。
同时,校园网络的应用水平也在不断提高。
规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。
下图是比较普遍的校园网拓扑结构。
基于此图,我们从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。
(1)网络安全出现的问题
在校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。
校园网安全状况直接影响着学校的教学活动。
在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,各种各样的安全问题开始困扰网络管理人员。
由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。
主要表现在:
1.不良信息的传播,
2.病毒的危害,
3.非法访问,
4.恶意破坏,
5.口令入侵。
威胁安全的因素:
1.物理因素,
2.技术因素,
3.管理因素,
4.使用者因素,
5.宣传教育因素。
(2)安全管理的策略
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。
网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。
为保证校园网络的安全性,一般采用以下一些策略:
1设备安全
在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。
将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。
各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。
对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格管理。
2技术保证
目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。
针对校园网来说,我们觉得最主要应该采取以下一些技术措施:
1、运用内容过滤器和防火墙,2、运用VLAN技术,3、杀毒软件。
3网络的管理
这种管理除了建立起一套严格的安全管理规章制度外,还必须培养一支具有安全管理意识的网管队伍。
网管人员需要建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的使用登记制度,则可对网络用户和服务账号进行精确的控制。
定时对校园网系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。
4用户教育
除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外,还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。
对于非法访问和黑客攻击事件,一旦发现要严肃处理。
(三)建立安全小组
为确保安全保障体系行之有效,确保安全策略得到持之以恒地贯彻执行,必须有相应的组织保障,为此建议专门成立信息安全领导小组、信息安全专家咨询小组、信息安全技术响应小组。
✓建议根据国家有关法律法规制定规章制度,并严格执行。
✓我国有关计算机安全的法律法规目录如下:
✧中华人民共和国保守国家秘密法
✧中华人民共和国计算机信息系统安全保护条例
✧中华人民共和国计算机信息网络国际联网管理暂行规定
✧中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
✧公安部关于对与国际联网的计算机信息系统进行备案工作的通知
✧计算机信息网络国际联网安全保护管理办法
✧计算机信息网络国际联网出入口信道管理办法
✧中国公用计算机互联网国际联网管理办法
✧中国公众多媒体通信管理办法
✧计算机软件保护条例
✧商用密码管理条例
✧计算机信息系统国际联网保密管理规定
✧计算机病毒防治管理办法
✧国家金融信息系统安全总体纲要
✓除专门成立三个信息安全小组各司其职外,建议根据需要外聘部分专家提供信息安全战略咨询,还应在签定信息安全实施合同时,明确规定提供信息安全方案和信息安全产品的厂商,履行各种常规安全服务和应急响应服务。
5、网络安全方案的设计
上述分析的几点是当今校园网普遍面临的安全隐患。
特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。
同时,校园网络的应用水平也在不断提高。
规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。
下图是比较普遍的校园网拓扑结构。
基于此图,我们从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。
(一)物理层安全
保证XX学校校园网络网络系统的物理安全,防范因为物理介质、信号辐射等造成的安全风险,保证信号传输的完整性、保密性和可靠性。
从技术的角度,我们建议XX学校校园网络必须采取物理线路加固、线路冗余、设备冗余等技术,确保数据传输的可靠性。
同时采用的安全设备也要求采用HA架构,提高设备的容错能力;此外,加强对网络设备的冗余设计,特别是对重要数据的存储和备份等措施,加强异地备份的能力和强度。
由于物理安全措施的实施存在技术、政策等方面的局限,本方案不再对其进行单独的设计。
管理上应生成关于机房操作维护人员岗位职责,进出要害部门、机房的规章制度,发生火灾时业务紧急处理流程,停电故障时业务紧急处理流程等相关安全规定。
(二) 系统安全
解决了重要服务器、网络设备的安全隐患发现和解决以及管理员维护主机系统、网络系统的身份认证问题。
技术上建议通过漏洞扫描服务器进行定期漏洞扫描和评估,及时了解专网内的重要主机设备和网络设备的安全现状和安全隐患;通过安全加固及时解决重要主机设备和网络设备的安全问题;通过强身份认证系统解决管理员维护重要主机和网络设备时的身份认证和安全审计问题。
管理上应生成安全信息收集发布制度,Patch定期发布安装制度,主机设备安全标准,主机维护人员岗位职责,用户帐号及口令管理规定等一系列安全标准和制度。
(三)网络层安全
校园网中局域网数目较多,根据需要多个网络可能要互相联接。
正是这种多网的互联,使我们对网络层的安全要极度重视。
定义一个网络或各网络内不同安全等级的部分为不同的安全域。
安全域之间的连接处叫网络边界。
在网络边界和内部引入了访问控制措施。
技术上对XX学校校园网络进行安全域划分,在边界采用防火墙进行访问控制,在安全域的内部建议采用联想入侵检测测进行监控,并和防火墙进行联动,严格限制跨域的非法访问并监控内部的攻击行为。
管理上应生成防火墙安全标准与配置守则,安全配置标准,通用网络服务安全标准,网络设备安全标准,产品安全配置标准,网络维护人员岗位职责等一系列安全标准和制度。
(四)应用层安全
解决应用系统的安全问题。
应用安全是指用户在网络上的应用系统的安全,包括OA平台、各种应用系统、WEB、FTP、邮件系统、DNS等网络基本服务、业务系统、办公自动化系统、公文交换系统、政务系统等。
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。
但一些通用的应用程序,如WebServer程序,FTP服务程序,E-mail服务程序,浏览器,MSOffice办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。
(五)管理层安全
建立网络安全管理组织,结合实际情况建立完整的一系列安全策略以及安全策略的发布、执行、审查、修订的相关流程。
同时采用了安全集中管理平台,对XX学校校园网络部署的防火墙、入侵检测、防病毒进行统一的管理,对XX学校校园网络的安全策略进行统一的下发,对XX学校校园网络的安全事件进行统一的整理和归纳,确保专网系统的整体安全。
实现管理层的安全主要注意以下几点:
1、建立安全管理平台。
主要是指将各种安全系统或设备集中控管、综合分析。
2、建立、健全安全管理体制。
校园网用户较多,一定要建立一套合理可行的安全管理制度。
只有制度和设备的完美结合才能真正提高校园网的安全水平。
3、提高全员的安全意识。
6、校园网络实施
(一)实现高效安全的网络访问控制
一个有效的NAC(网络访问控制)方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。
NAC的一个关键特性是访问的安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。
网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。
而且,它保证用户只能访问被授权使用的资源。
下面我们看一些实现有效的网络访问控制的具体措施:
1、选择一个网络访问控制方法和一种客户端技术
●IEEE802.1X
●Web身份验证
●MAC身份验证
2、选择一个网络架构设备
网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。
这些设备可以直接控制客户端与网络的连接。
考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。
3、选择RADIUS服务器
远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。
RADIUS定义了三种公共的部件:
●访问客户
●网络接入(访问)服务器
●RADIUS服务器
即使有多种多样的应用环境,也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。
在这方面,应该根据网络中的所用的应用环境选择自己的RADIUS服务器。
这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。
4、选择EAP方法(如果使用802.1x的话)
只有在使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。
需要考虑两个因素:
客户对网络的验证和网络对客户的验证。
5、布置并安排网络分段
要设计网络分段,这些分段应适合于网络的各种各样的应用环境。
在网络中的一个有限区域内引入访问控制。
6、集成所有的网络段
一旦你部署了网络中各种不同的分段,就可以通过将所有的分段集成到一个统一的总体中来实施优化。
7考虑采用身份驱动管理
身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。
(二)建立证书管理中心
CA是证书的签发机构,它是PKI的核心。
CA是负责签发证书、认证证书、管理已颁发证书的机关。
它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
在PKI体系中,为了确保用户的身份及他所持有密钥的正确匹配,公钥系统需要一个可信的第三方(TrustedThirdPart,TTP)充当认证中心(CertificationAuthority,CA)来确认公钥拥有者的真正身份,签发并管理用户的数字证书。
认证中心保证了数字证书中列出的用户名称与证书中列出的公开密钥一一对应关系,解决了公钥体系中公钥的合法性问题。
认证中心对数字证书的数字签名操作使得攻击者不能伪造和篡改数字证书。
认证中心CA是PKI体系的核心。
(三)加密技术
随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。
病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。
现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。
7、
参考文献
[1]王达:
《网管员必读——网络组建》(第2版),电子工业出版社,2007年;
[2]张琦:
《案例精解企业级网络构建》,电子工业出版社,2008年;
[3]马时来:
《计算机网络实用技术教程》(第2版),清华大学出版社,2007年;
[4]戴有炜:
《WindowsServer2003网络专业指南》,清华大学出版社,2004年;
[5]史秀璋:
《计算机网络工程》(第2版),中国铁道出版社,2006年;
[6]石硕:
《交换机/路由器及其配置》(第二版),电子工业出版社,2007年;
[7]龙冬阳:
《网络安全技术及应用》,华南理工大学出版社,2006年;
[8]石志国,薛为民,尹浩:
《计算机网络安全教程》,北方交通大学出版社,2011年;
[9]杨富国:
《网络设备安全与防火墙》,北京交通大学出版社,2005年;
[10]鲁立,龚涛:
《计算机网络安全》,机械工业出版社,2011年。
升级会员 