浅谈校园网络安全体系设计

浅谈校园网络安全体系设计【摘要】随着校园网络工程的进一步深入实施，学校网络数字化、教育信息化已经成为当今现代化教育的发展方向。校园网络作为高校重要的基础设施，承担着学校管理、教学、科研和对外交流等多种角色，校园网安全与否也直接影响着学校能否开展正常的教学活动。目前校园网内普遍存在比较大的安全漏洞，因此设计出合理的校园网络安全体系结构就显得十分必要和紧迫。【关键字】校园网网络安全网络安全体系由于高校校园网络安全系统是一个分层次的结构，因此校园网络的安全防护也要采用分层次的防护措施，即一个完整的校园网络安全系统解决方案应该覆盖校园网络的各个层次。根据学校网络的应用现状和网络的结构，下面从物理层安全、网络层安全、系统层安全、应用层安全等几个层次分别提出相应的安全方案。1.物理层安全设计物理安全具体的包括：通信线路的安全，包括防盗、抗干扰、防止电磁泄露等；物理设备的安全包括防盗、防毁、防电磁信息辐射泄露、抗电磁干扰等；机房环境的安全包括温度、湿度、烟尘、通风、防雷等。针对校园网络物理层目前存在的安全隐患，为了改善学校校园网络运行的物理环境，需要从以下几个方面进行改进：1）完善供配电系统；2）完善防静和电防雷系统；3）完善消防系统；4）增设校园网中心机房门禁系统；5）增设校园中心机房的监控系统。2.网络层安全设计网络层的安全问题主要体现在网络方面的安全性，包括身份认证、网络资源的访问控制、远程接入的安全、数据传输的保密与完整性、域名系统的安全、入侵检测的方式、路由系统的安全、设备防病毒等。其目的是限制非法用户破坏系统数据，窃取网络中传输的数据；以保证对网络设备的安全配置。网络层主要的安全措施有：利用防火墙进行内网和Internet边界的隔离与访问控制；利用入侵检测系统，在防火墙边界隔离的基础上，与防火墙进行联动，进一步对传输的数据进行全面的检测与分析，从而阻止潜在的攻击行为；利用VPN虚拟专用网技术，实现对数据的加密传输，并确保数据传输的完整性、机密性；抗泛洪（DDOS）攻击，防范因大规模的DDOS攻击，而导致服务器拒绝服务。解决网络层和传输层的通信安全是校园网网络层安全的重点，它包括四个层次：内部VLAN之间的隔离与访问控制、Internet上的数据传输安全、接入安全和出口边界安全。1）内部VLAN之间的隔离与访问控制。校园网内部子网的隔离采用的是VLAN技术来实现的。通过在交换机上划分VLAN将整个校园网络划分为几个不同的子网段，实现不同子网之间隔离。这样，不同子网之间就相互独立，一个子网内的问题就不会扩散到整个网络。2）Internet上的数据传输安全：增加VPN设备，VPN是对校园内部网的扩展，它可以帮助远程用户，如为校外教师或外出人员与校园内部网建立安全的隧道连接。3）用户端接入安全：在校园网接入控制安全中，身份认证必须首先考虑的。要保证每一个接入校园网内用户是可信的和合法的。4）出口边界安全：为保证网络出口与Internet接入的安全，在边界出口处部署了一台专业的防火墙，为了保证整个网络的安全，我们在校园网核心交换机和防火墙之间部署了一台高性能路由器。如果条件允许，还可以在校园网络中增加入侵检测系统，通过与防火墙的联动，能够构建一个全面的实时检测入侵并及时响应的安全系统。3.系统层安全设计系统层的安全问题主要来自校园网络内用户使用的操作系统的安全，如Windows2003、WindowsXP、Windows7等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。针对用户操作系统存在的安全问题，需要从以下几个方面改进：1）操作系统及时更新补丁。在目前常用的操作系统中，没有任何一个操作系统是绝对安全的，所有的操作系统都会有或多或少的漏洞，漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，漏洞受编程人员的能力、经验和当时安全技术所限，因此是不可避免的，即使经过了很多人长期的测试仍然不可能完全避免漏洞的存在，保障操作系统安全的办法只有通过不断的及时更新补丁才能实现。2）关闭多余的服务。操作系统在安装的过程中，默认是安装了多种服务程序，实际上很多的服务程序都存在一定的安全漏洞，再计算机上运行这些服务程序会增加系统的不安全因素，因此，必须主动关闭那些不用的服务程序。3）口令安全。在校园网络环境中，口令是用来确认用户身份，决定访问权限的重要手段，访问交换机、路由器、防火墙、应用程序、操作系统、数据库等都需要合法的口令。所以尽量不要使用缺省账号，或给系统的缺省账号改名，设置复杂的口令密码。为系统的账号和口令文件设置严格的访问权限控制，防止未授权用户获得口令文件。4.应用层安全设计应用层安全包括应用系统访问控制安全、应用系统的桌面安全、应用系统数据传输安全。保障应用层安全主要是利用网络安全设备、应用系统和先进的应用安全控制技术，对应用系统中的数据进行安全保护，确保能够在数据库级、文档级和字段级限制非法用户的访问。针对校园网络应用层的应用现状，应用层安全需要从以下几个方面实现：1）加强日志的审计：定期对日志服务器进行审计，以便发现可能存在的攻击，或者定期查询网络管理人员操作的历史记录。通过详细记录用户行为，可以记录用户对路由器的配置管理的操作信息。定期对日志信息进行分析能够让我们尽早的警惕可疑行为，及时杜绝安全隐患；当安全策略中的漏洞引起系统出现安全故障时，可根据日志信息进行系统分析和事件追踪，找出安全漏洞。2）完善备份和恢复：采用先进成熟的备份软件，定期对数据进行备份，用来防止由于意外造成的数据损坏和丢失。3）建立数据中心：采用高性能的磁盘阵列对现有的关键数据进行存储整合，构架一个独立的存储平台，同时对关键服务器进行统一管理。因此，构建一个高效的校园信息网络安全防御系统，保证校园网络畅通和网络用户的安全，是校园信息化建设的关键问题。目前，校园网络的安全形势是非常严峻的。一方面学校要能够保证网络的安全运行，另一方面又要能提供丰富多样的网络资源，保障办公、教学以及师生规范上网的多种需求。因此，校园网安全成为了一个值得深入研究的课题。