校园网风险 一级戒备 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年05月24日 14:30 赛迪网--中国计算机用户 | ||||||||||
【赛迪网讯】校园网的安全问题是一个较为复杂的系统工程,要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是循序渐进、不断完善的过程。 在应用逐步深化的今天,网络的安全问题已经成为了焦点。五年前,校园网络要是断了,影响并不大。如今一旦网络出问题很可能导致学生上不了课、吃不了饭,这些全部是
人是最薄弱的环节 网络安全的主要威胁可以分为外部入侵和内部攻击两种形式,校园网的问题主要是内部攻击。在高校这个特殊的集体中,学生、教师成为校园网庞大的用户群,根据用户行为可以划分为三类:非法用户接入、合法用户有意破坏和合法用户无意破坏。 1.用户非法接入问题:目前流行的方法是采用全面的身份认证系统解决。在网络中心组建Radius(远程身份验证拨号用户服务)认证计费服务器,同时在用户电脑中安装相应的客户端软件。 用户在接入网络的时候,其账户名、口令、客户端软件、IP地址、MAC地址、交换机端口等信息都会形成绑定。此种方法不仅杜绝代理的产生,而且确保接入的惟一性。 2.合法用户有意破坏问题:学生有可能会尝试一些攻击行为和病毒传播,在病毒或攻击发出大量报文的时候,一般会被网络中的IDS(入侵检测系统)设备抓到。IDS会与身份认证系统做匹配,找到该用户在哪个端口上,认证系统可以警告用户或者联动交换机,将该用户直接隔离或者“踢”下线。 3.合法用户无意破坏问题:大多数情况是用户在不知情的情况下被安装了木马,或者感染了病毒,随即在网络中发作。这种情况需要给终端用户分发安装杀毒软件,或者采取远程安装、隔离到安全区域或不允许上网的措施。 对于校园网内用户进行有效管理,能够从很大程度上降低网络安全的威胁。为此应加强对校园网用户的安全意识教育,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。对于非法访问和黑客攻击事件,一旦发现要严肃处理。 同时,也要加强对校园网安全技术和管理人员的培训,使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。 建立综合的安全体系 校园网的安全问题是一个较为复杂的系统工程,要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是循序渐进、不断完善的过程。 在目前的情况下,我们应当全面考虑综合运用防火墙、入侵检测、防毒软件等多项技术,互相配合、加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高校园网络的安全性,从而建立起一套真正适合学校计算机网络的安全体系。 网络结构要合理 网络结构布局的合理与否,影响着网络的安全性。在内部局域网中可以通过交换机划分VLAN(虚拟局域网),校园网可以划分为教学子网、办公子网、宿舍子网等,应根据各子网的安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。 阻挡网络入侵 防火墙在校园网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许对外界访问,从而保护内部网免受非法用户的入侵。 防火墙主要有如下几类: 一是包过滤型防火墙,这类防火墙是必须的,尤其是对于使用静态IP地址的校园网;二是应用代理型防火墙,对用户身份进行鉴别,并提供比较详细的日志和审计信息;三是复合型防火墙,即前两类的结合。 那么我们究竟应该在哪些地方部署防火墙呢?首先,应该把防火墙安装在内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果内部网络规模较大,并且设置有 (VLAN)虚拟专用网,则应该在各个VLAN之间设置防火墙;第三,通过公网连接的校本部与各分校区之间也应该设置防火墙。 虽然网络防火墙在网络安全中起着不可替代的作用,但它也有自身的弱点。防火墙不能防病毒,不能对内网的攻击进行防御,对新的网络安全问题也无能为力,对网络环境中日新月异的攻击手段缺乏主动的反应。 对数据进行控制 建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间。定期查看防火墙访问日志,对防火墙的管理员权限严格控制。 在系统中使用两个包过滤路由器,在内部网络和Internet之间建立一个被隔离的子网,在子网内构成一个“缓冲地带”,两个路由器一个控制校园网内数据流,另一个控制Internet数据流,校园网和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。 可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。 监测威胁事件的过程 IDS作为动态的网络安全防御技术,提供对内部攻击、外部攻击的实时保护,使得网络安全系统在受到危害之前拦截和响应入侵,为网络安全人员提供主动的防御手段。 可以通过对计算机网络和系统进行监测,从而发现违反安全策略事件的过程。在校园网中构架成一套完整立体的主动防御体系,需要同时采用基于网络和基于主机的入侵检测系统。 首先,在校园网比较重要的网段中放置基于网络的入侵检测产品,它的功能是实时分析进出网络数据流,对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击,也可以对付来自外部网络的攻击行为。 其次,在重要的主机上(如WWW服务器、E-mail服务器和FTP服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。 阻止病毒传播 校园网防病毒工作主要包括预防计算机病毒入侵、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。 在校园网中需建立统一集中的病毒防范体系,特别是针对重要的网段和服务器,要进行彻底堵截。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。 它应具有以下一些特征: 第一,能够支持所有的主流平台,并实现软件安装、升级、配置的中央管理; 第二,要能保护校园网所有可能出现的病毒入口,也就是说要支持所有可能用到的Internet协议及邮件系统; 第三,具有较强的防护功能,可以对数据、程序进行有效保护。(n101) 作者:那罡 |