校園網(wǎng)信息安全策略分析

樓曉峰 夏玲軍

[摘要]在歸納現(xiàn)有網(wǎng)絡(luò)信息安全技術(shù)的基礎(chǔ)上,把校園網(wǎng)絡(luò)信息安全措施分為以防火墻技術(shù)、入侵檢測技術(shù)等為代表的硬件級(jí)措施和以病毒防御、身份確認(rèn)等為代表的軟件級(jí)措施,在校園網(wǎng)上實(shí)現(xiàn)以防火墻技術(shù)為核心的硬件級(jí)保護(hù)和以防病毒技術(shù)為核心的軟件級(jí)保護(hù)相結(jié)合的軍校校園網(wǎng)絡(luò)信息安全防護(hù)體系。

[關(guān)鍵詞]校園網(wǎng)網(wǎng)絡(luò)信息安全信息安全信息安全措施

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1120037-01

一、引言

網(wǎng)絡(luò)信息安全是當(dāng)今信息安全的核心研究領(lǐng)域,其涉及的基本技術(shù)主要有:防火墻技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、信息加密技術(shù)、信息確認(rèn)技術(shù)等。目前,企業(yè)網(wǎng)絡(luò)信息安全由于電子商務(wù)的需要已經(jīng)有了較深入研究,而校園網(wǎng)絡(luò)信息安全研究則不夠深入?？紤]到學(xué)校信息資源中既有需要保密的人事財(cái)務(wù)信息、教學(xué)科研信息、檔案信息,也有具備一定透明度的可查詢信息和共享信息,校園網(wǎng)絡(luò)信息安全可簡化層級(jí)、強(qiáng)化重點(diǎn),其技術(shù)措施可按硬件級(jí)措施和軟件級(jí)措施架構(gòu)。茲探討如下:

二、校園網(wǎng)安全隱患

校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動(dòng)。在網(wǎng)絡(luò)建成的初期,安全問題可能還不突出,隨著應(yīng)用的深入,校園網(wǎng)上各種數(shù)據(jù)會(huì)急劇增加,各種各樣的安全問題開始困擾網(wǎng)絡(luò)管理人員。

(一)安全的表現(xiàn)形式

由于學(xué)校是以教學(xué)活動(dòng)為中心的場所,網(wǎng)絡(luò)的安全問題也有自己的特點(diǎn)。主要表現(xiàn)在:1.不良信息的傳播,目前Internet上各種信息良莠不齊,有關(guān)色情、暴力、反動(dòng)內(nèi)容的網(wǎng)站泛濫;2.病毒的危害,計(jì)算機(jī)病毒是校園網(wǎng)安全最大的威脅因素,有著巨大的破壞性。尤其是通過計(jì)算機(jī)網(wǎng)絡(luò)傳播的病毒,其傳播速度、影響面、清除難度、破壞力等都不是單機(jī)病毒所能比擬的,這是目前校園網(wǎng)安全問題主要的困擾;3.非法訪問,校園網(wǎng)在接入Internet后,便面臨著內(nèi)部和外部黑客雙重攻擊的危險(xiǎn),而尤以內(nèi)部攻擊為甚;4.惡意破壞;5.口令入侵。

(二)威脅安全的因素

威脅校園網(wǎng)安全的因素主要有以下幾個(gè)方面:1.物理因素,主要是指硬件本身及其外圍環(huán)境影響;2.技術(shù)因素,校園網(wǎng)技術(shù)涉及到網(wǎng)絡(luò)技術(shù)、防火墻、病毒防護(hù)、數(shù)據(jù)恢復(fù)與備份等多種技術(shù);3.管理因素,正確規(guī)范管理是保證校園網(wǎng)安全的重要措施;4.使用者因素,盡量避免使用者不合理操作帶來的不安全隱患;5.宣傳教育因素。

三、安全防范技術(shù)

校園網(wǎng)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為保證校園網(wǎng)絡(luò)的安全性,除了規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),構(gòu)建校園內(nèi)部虛擬專用網(wǎng)(VPN),通過使用VPN技術(shù),即附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù),可以使分布于不同地理位置上的校園網(wǎng)各節(jié)點(diǎn)之間進(jìn)行數(shù)據(jù)交換,有效避免重要數(shù)據(jù)遭受惡意用戶竊取,從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸,一般還采用以下一些防范技術(shù)。

(一)硬件級(jí)措施

在網(wǎng)絡(luò)信息安全技術(shù)中,防火墻技術(shù)、入侵防御技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)等可歸為硬件級(jí)措施。這些措施的特點(diǎn)是一般需要硬件支持并由建網(wǎng)單位統(tǒng)一實(shí)施,而不需要客戶端配合。在硬件級(jí)措施支持下,可實(shí)現(xiàn)校園網(wǎng)與公網(wǎng)之間的強(qiáng)制性隔斷,從而實(shí)現(xiàn)校園網(wǎng)絡(luò)信息相對(duì)安全,用防火墻硬件措施屏蔽了Internet公網(wǎng)上的有害信息和黑客入侵,這是校園常采用的必備防護(hù)設(shè)備。

入侵檢測從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并分析這些信息,對(duì)有違反安全策略的行為和遭到襲擊的跡象進(jìn)行報(bào)警,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))。其優(yōu)點(diǎn)是在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測保護(hù)。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。可用于對(duì)一些服務(wù)器/微機(jī)進(jìn)行有害信息和黑客入侵的檢測、審計(jì)。入侵防役設(shè)備是串接在所保護(hù)的設(shè)備前端,對(duì)網(wǎng)絡(luò)行為進(jìn)行檢測分析,對(duì)所保護(hù)的設(shè)備有害及可疑行為進(jìn)行主動(dòng)阻斷攔截,主要用于對(duì)重要服務(wù)器防止有害信息和黑客入侵的進(jìn)行及時(shí)主動(dòng)的防御,因而,保證了Intranet校園內(nèi)網(wǎng)的一定的安全。

校園網(wǎng)絡(luò)的硬件級(jí)較好的部署時(shí)在網(wǎng)絡(luò)出口處設(shè)置一防火墻,對(duì)網(wǎng)絡(luò)出口的邊界進(jìn)行了安全隔離,制定相應(yīng)的訪問控制策略,在重要的服務(wù)器前設(shè)置入侵防御,對(duì)重要服務(wù)器進(jìn)行有害信息和黑客入侵的防御。但是這些措施無法發(fā)現(xiàn)夾雜在網(wǎng)絡(luò)正常訪問中的惡意流量,還會(huì)存在很大的安全隱患,這就需要網(wǎng)絡(luò)系統(tǒng)和每臺(tái)服務(wù)器/計(jì)算機(jī)利用軟件做好自身的防護(hù),提升抗危害能力。

(二)軟件級(jí)措施

由于傳統(tǒng)的防火墻技術(shù)和攻擊檢測系統(tǒng)僅僅檢查數(shù)據(jù)包的特定部分,而當(dāng)前的安全威脅來自網(wǎng)絡(luò)的各個(gè)層面,且不少來自網(wǎng)絡(luò)通信的數(shù)據(jù)部分,例如病毒常通過以下途徑感染和傳播:

1.訪問載有病毒的網(wǎng)頁:互聯(lián)網(wǎng)中的很多網(wǎng)頁都被嵌入木馬等病毒,一旦訪問載有病毒的網(wǎng)頁,病毒將通過網(wǎng)絡(luò)傳播的校園網(wǎng)內(nèi)部,輕則感染并破壞客戶機(jī),重則感染網(wǎng)內(nèi)的其他機(jī)器乃至造成網(wǎng)絡(luò)癱瘓。

2.收發(fā)病毒郵件:電子郵件已成為日常生活中不可或缺的部分,但同時(shí)電子郵件頁成為病毒傳播的最大載體,大量的垃圾郵件以及欺騙郵件已嚴(yán)重影響入場工作和生活,如之前在網(wǎng)絡(luò)上大肆爆發(fā)的“熊貓燒香”病毒,給網(wǎng)絡(luò)安全造成嚴(yán)重的威脅。

因此,黑客可能了解網(wǎng)絡(luò)在數(shù)據(jù)層面的安全漏洞,采取通過病毒、蠕蟲或其他攻擊行為,對(duì)網(wǎng)絡(luò)資源造成不同程度的損害,尤其是通過病毒,蠕蟲(PE_LOOKED.KO)、特洛伊木馬(TROJ_Generic)、和后門程序(PE_LOOKED.JY)達(dá)到攻擊和破壞目的。

所以,在網(wǎng)絡(luò)安全技術(shù)中有必要采取病毒技術(shù)、信息加密技術(shù)、信息確認(rèn)技術(shù)等軟件級(jí)措施,以配合硬件級(jí)測試構(gòu)成完善的信息安全防護(hù)體系。軟件級(jí)措施的特點(diǎn)時(shí)一般不需要專門硬件支持但需要客戶端配合,通過在服務(wù)器端安裝網(wǎng)絡(luò)版的服務(wù)Server軟件,在客戶端安裝Client軟件實(shí)現(xiàn)S/C模式的安全操作,例如要實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下的病毒防治,僅靠單機(jī)版的殺毒軟件是不可能的,必須安裝網(wǎng)絡(luò)版的殺毒軟件,這樣才能實(shí)現(xiàn)殺毒軟件的遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒的功能。在軟件級(jí)措施的支持下,可實(shí)現(xiàn)校園網(wǎng)與公網(wǎng)之間的交換信息排查,有效隔離帶病毒信息,身份不符用戶信息等,實(shí)現(xiàn)校園網(wǎng)絡(luò)信息安全。

還有統(tǒng)一的身份認(rèn)證系統(tǒng)。身份認(rèn)證技術(shù)是指向系統(tǒng)出示自己的身份證明,系統(tǒng)查明用戶是否具有所請(qǐng)求資源的存儲(chǔ)和使用權(quán),用戶必須通過認(rèn)證才能獲得權(quán)限之內(nèi)的訪問資源。建立了全網(wǎng)統(tǒng)一的身份認(rèn)證系統(tǒng),不僅有效地防止了IP地址的盜用,而且有效的避免黑客攻擊,從而在整體上提高了用戶信息的安全性和可靠性,這也是實(shí)現(xiàn)數(shù)字化信息化校園的基礎(chǔ)。目前較

為可行的方式為分級(jí)授權(quán),可以為不同的用戶開放不同權(quán)限,比如校管理層擁有網(wǎng)絡(luò)全部訪問權(quán)限。一般的教師擁有一定權(quán)限,這部分可以精確到個(gè)人,也就是實(shí)行實(shí)名精確到個(gè)人的授權(quán),對(duì)于普通學(xué)生開放受限的GUEST帳戶,分級(jí)管理保障信息的安全。

同時(shí),我們對(duì)不同的信息進(jìn)行分類管理:對(duì)機(jī)密信息嚴(yán)格規(guī)定只能用于不聯(lián)網(wǎng)的計(jì)算機(jī),決不上網(wǎng);專用內(nèi)部信息使用專網(wǎng)連接,與校網(wǎng)分離,有的還設(shè)置加密傳遞;校內(nèi)公開信息限校內(nèi)訪問,與Internet公眾網(wǎng)間設(shè)置防火墻隔離。開展定期檢查,以提高安全意識(shí)。

(三)網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)

數(shù)據(jù)是整個(gè)校園網(wǎng)信息安全的核心。設(shè)備可以替換,但數(shù)據(jù)被破壞或丟失,其損失無法計(jì)量。所以設(shè)計(jì)一套完整的數(shù)據(jù)備份和恢復(fù)系統(tǒng)是校園網(wǎng)迫切需要的。它要考慮多方面因素,如備份/恢復(fù)數(shù)據(jù)量大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離及數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時(shí)所要求的恢復(fù)速度、備援中心的管理及投入資金等。

四、小結(jié)

綜上所述,現(xiàn)有網(wǎng)絡(luò)信息安全技術(shù)包括防火墻技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、信息加密技術(shù)、信息確認(rèn)技術(shù)等,校園網(wǎng)絡(luò)信息安全措施可通過綜合以防火墻技術(shù)、入侵檢測技術(shù)等為代表的硬件級(jí)措施和以病毒防御、身份確認(rèn)等為代表的軟件級(jí)措施來實(shí)現(xiàn)。在學(xué)校的校園網(wǎng)上實(shí)踐的以防火墻技術(shù)為核心的硬件級(jí)保護(hù)和以防病毒技術(shù)為核心的軟件級(jí)保護(hù)相結(jié)合的校園網(wǎng)絡(luò)信息安全防護(hù)體系證明了這一點(diǎn)。

參考文獻(xiàn):

[1]MichaelE.whitman等著,齊立博譯,信息安全原理(第二版),清華大學(xué)出版社,2006,3(1).

[2]馮登國,國內(nèi)外信息安全現(xiàn)狀及發(fā)展趨勢(摘編),信息網(wǎng)絡(luò)安全,20O7(1):9-11.

[3]熊心志,計(jì)算機(jī)網(wǎng)絡(luò)信息安全初探,計(jì)算機(jī)科學(xué),2006,55(B12):60-62.

[4]李俊婷等,計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)措施,計(jì)算機(jī)與網(wǎng)絡(luò),2007(15):45-46.

[5]鄧志宏等,基于PKI的網(wǎng)絡(luò)信息安全模型的研究與設(shè)計(jì),計(jì)算機(jī)工程與設(shè)計(jì),2007,28(2):549-550,594.

[6]段友祥等,基于cA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)實(shí)踐,計(jì)算機(jī)工程與設(shè)計(jì),2006,27(6):1014-101.

[7]沈吉鋒等,校園網(wǎng)安全防范策略,中國科教創(chuàng)新導(dǎo)刊,2009,2:165.