關(guān)于院校網(wǎng)絡(luò)安全建設(shè)的思考

（無錫商業(yè)職業(yè)技術(shù)學(xué)院信息工程學(xué)院，江蘇 無錫 214153）

1 了解學(xué)校網(wǎng)絡(luò)不安全的各種現(xiàn)象

通過校園網(wǎng)站，人們可以了解學(xué)校概況、規(guī)劃、招生、研究成果，同時，人們可以在校園網(wǎng)上進(jìn)行學(xué)術(shù)交流等。校園網(wǎng)雖然在促進(jìn)教育事業(yè)發(fā)展起到了劃時代的推進(jìn)作用，但是也帶來了信息安全問題。如何保障網(wǎng)絡(luò)安全[1]成為不可避免的重大課題，無論是有意的攻擊，還是無意的試探性操作，都會給信息系統(tǒng)帶來嚴(yán)重的損失。攻擊者竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令和數(shù)據(jù)庫的信息，修改數(shù)據(jù)庫內(nèi)容；更有甚者，攻擊者可以大量刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點、釋放計算機(jī)病毒，安插流氓軟件等等。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)在全方位地考慮杜絕各種不同的威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前有許多網(wǎng)絡(luò)安全產(chǎn)品，并且提供了一套安全技術(shù)[3]和安全制度，但由于各種客觀和主觀的原因，種種安全上的問題仍然困擾人們。同時，由于網(wǎng)絡(luò)不安全因素隨著黑客技術(shù)和時間的變化，考慮網(wǎng)絡(luò)安全時，不但要考慮合理的使用和配置軟件安全產(chǎn)品、硬件安全產(chǎn)品以外，還要考慮對嚴(yán)格的管理及日常的檢測。

2 舉例介紹校園網(wǎng)

學(xué)校通過10M的VPN線路與下面的5個分校連接，通過100M的光纖連接到Internet網(wǎng)絡(luò)上。在學(xué)校的網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)設(shè)備產(chǎn)品類型包括RG路由器、RG防火墻、RG核心交換機(jī)、RG工作組交換機(jī)、網(wǎng)卡等，服務(wù)器操作系統(tǒng)主要為Windows2003 和 Linux，工作站系統(tǒng)平臺有：WinXP/2000 Professional等。主要的服務(wù)器為：郵件服務(wù)器、Sqlserver數(shù)據(jù)庫服務(wù)器、Apache互聯(lián)網(wǎng)服務(wù)器、Pro FTP文件傳輸服務(wù)器等等。 學(xué)校本部網(wǎng)絡(luò)的服務(wù)器分成兩個部分，一部分是對外提供服務(wù)的WEB服務(wù)器群、DNS服務(wù)器和郵件服務(wù)器，另一部分是對內(nèi)提供服務(wù)的教學(xué)管理系統(tǒng)服務(wù)器、數(shù)據(jù)庫服務(wù)器、代理服務(wù)器等。通過RG核心交換機(jī)連接到網(wǎng)通主干交換機(jī)，接入因特網(wǎng)。

3 校園網(wǎng)存在的安全隱患

（1）考慮對外WEB服務(wù)器的安全性，考慮內(nèi)部交換機(jī)隨時可能受到來自內(nèi)部用戶的掃描、窺探和攻擊；

（2）考慮網(wǎng)絡(luò)病毒擴(kuò)散，杜絕蔓延到整個校園網(wǎng)；

（3）考慮防火墻，硬件防火墻的配置和使用很重要，，網(wǎng)站會經(jīng)常癱瘓；

（4）選擇合適的網(wǎng)絡(luò)工具對整個網(wǎng)絡(luò)的安全狀況及時做出檢測和評估；

（5）關(guān)閉不必要的系統(tǒng)服務(wù)，減少受攻擊的機(jī)會。

4 詳細(xì)考慮硬件安全措施

某校與銳捷網(wǎng)絡(luò)公司合作，采用RG防火墻、RG入侵檢測系統(tǒng)、RG內(nèi)容過濾系統(tǒng)[4]，建立完整科學(xué)的網(wǎng)絡(luò)管理策略與技術(shù)保護(hù)措施，搭建可行的校園網(wǎng)安全系統(tǒng)框架：

（1）利用RG防火墻將內(nèi)部網(wǎng)絡(luò)、對外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

（2）利用RG防火墻建立網(wǎng)絡(luò)各主機(jī)和對外服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

（3）利用RG防火墻對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行規(guī)則控制，使非法訪問在到達(dá)主機(jī)前被拒絕；利用防火墻加強(qiáng)合法用戶的許可訪問認(rèn)證，同時在不影響用戶正常使用網(wǎng)絡(luò)的基礎(chǔ)上盡量最低限度開放用戶的訪問權(quán)限；

（4）利用RG防火墻全面監(jiān)視對公共服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

（5）利用RG防火墻及各服務(wù)器上的審計記錄，形成完善的審計體系，建立二級防線；

（6）在學(xué)校本部和各分校，利用RG-IDS入侵檢測系統(tǒng)，監(jiān)測對內(nèi)、對外服務(wù)器的訪問,對服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被阻斷；

（7）在學(xué)校網(wǎng)絡(luò)中心使用RG VPN管理系統(tǒng)，對各分校的探測器進(jìn)行統(tǒng)一管理；

（8）在Internet出口處，使用RG-ACE應(yīng)用控制引擎系統(tǒng)對不允許的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)控，過濾阻斷；

圖1 銳捷(RG)全局安全網(wǎng)絡(luò)解決方案圖

5 利用軟件安全措施

（1）部署入侵檢測系統(tǒng)

RIDS-100入侵檢測系統(tǒng)[5]是由瑞星公司自主開發(fā)研制的新一代網(wǎng)絡(luò)安全產(chǎn)品，它集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為管理員事后分析的依據(jù)；如果情況嚴(yán)重，RIDS-100可以發(fā)出實時報警，使得管理員能夠及時采取應(yīng)對措施，另外RIDS-100入侵檢測系統(tǒng)可以與防火墻聯(lián)動，自動配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。

（2）瑞星網(wǎng)絡(luò)版殺毒產(chǎn)品的部署

在學(xué)校網(wǎng)絡(luò)中心的Windows 2005服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，負(fù)責(zé)管理500多個主機(jī)網(wǎng)點。在15個分支機(jī)構(gòu)分別安裝瑞星殺毒軟件網(wǎng)絡(luò)版的客戶端，安裝完瑞星殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒；

學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作，網(wǎng)絡(luò)中心定期地、自動地到瑞星網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其他500多個主機(jī)網(wǎng)點的客戶端與服務(wù)器端，并自動對瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

6 網(wǎng)絡(luò)安全管理制度

校園網(wǎng)絡(luò)安全管理要從技術(shù)和管理兩方面入手，由技術(shù)部門和管理部門聯(lián)合制定校園網(wǎng)管理制度，包括總則、辦法、守則、處罰規(guī)定等事項，要全校上下宣傳、學(xué)習(xí)、理解，達(dá)到不折不扣地執(zhí)行。 常言說：“三分技術(shù)，七分管理”。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，不建立一套安全機(jī)制[2]不能完善地實施安全管理。安全技術(shù)是配合安全管理的輔助措施。建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實有效的措施，保證制度的執(zhí)行，對校園網(wǎng)安全是不可缺少的。

[1]王其良.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京大學(xué)出版社,2006.11.

[2]陳波.計算機(jī)系統(tǒng)安全原理與技術(shù)[M].機(jī)械工業(yè)出版社,2006,1.

[3]許治坤,王偉,郭添森,等.網(wǎng)絡(luò)滲透技術(shù)[M].電子工業(yè)出版社,2005,5.

[4]http://www.ixpub.net/thread-708876-1-1.html.

[5]http://down.soft2008.com.cn/idc/127/130/1424.html.