校园网络管理及信息安全解决实施方案

河北金融学院校园网络管理与信息安

全解决方案TOC\o"1-5"\h\z摘要 1\o"CurrentDocument"概述 1\o"CurrentDocument"对当前校园网络现状的研究分析 1\o"CurrentDocument"三河北金融学院网络拓扑图 2四校园网主要面临的安全威胁 24.1计算机病毒破坏 2\o"CurrentDocument"4.2校园网络设备管理不健全 3\o"CurrentDocument"4.3计算机系统漏洞 3\o"CurrentDocument"用户对校园网网络资源的滥用 4\o"CurrentDocument"校园网安全管理制度缺失 4\o"CurrentDocument"4.6网络管理者和使用者的安全技术能力低 5五网络安全解决方案设计 55.1身份认证 5\o"CurrentDocument"5.2部署网络防病毒系统 6\o"CurrentDocument"5.3防止IP地址盗用和ARP攻击 6\o"CurrentDocument"5.4设置漏洞管理系统 6\o"CurrentDocument"5.5设置防火墙保护网络安全 7\o"CurrentDocument"5.6设置WEB应用防护系统 8\o"CurrentDocument"5.7定期对服务器进行备份和维护 8\o"CurrentDocument"5.8加强校园管理 9\o"CurrentDocument"六结束语 9\o"CurrentDocument"参考文献 10摘要:随着信息技术的不断发展，网络安全已成为一个不可忽视的问题。而校园网络的安全是一个普遍存在较为复杂的系统工程，需要引起每个使用校园网的人足够的重视并全方位地加以防范•本文针对目前校园网面临的现状进行了分析。列举出了影响校园网安全的主要因素，并提出了解决方案。关键词校园网络网络安全网络安全措施解决方案概述随着信息化程度的提高，计算机网络得到了飞速发展，校园网络信息化也逐步发展起来了。而高校校园信息化建设工作的整体推进，应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流，都需要切实做好校园网络安全体系建设，建立事故预警机制，做好善后处理工作，结合硬件、软件，采取各种技术措施，建立一个基于管理措施和多种技术的高校校园网络安全体系，确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏，管理内部用户对外部资源的合法访问，全面做好校园信息化的安全保卫工作。保证校园内外信息资料顺畅的交流，面对校园网络中的种种安全威胁，必须采取及时有效的措施来解决。对当前校园网络现状的研究分析当前校园网络普遍面临着网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备等问题。校园网通常是双出口结构，分别与Cerner、Internet互联。而且用户种类丰富。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。学生区主要是接入INTERNET的需求。应用系统丰富。校园网单位众多，有很多基于局域网的应用，如多媒体教学系统，图书馆管理系统，学生档案管理系统，财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。三河北金融学院网络拓扑图靛蜥蟾中。唇牲小¥连靛蜥蟾中。唇牲小¥连四校园网主要面临的安全威胁4.1计算机病毒破坏计算机病毒已经成为影响校园网络安全的重要因素，它不仅影响系统的正常运行、破坏系统软件及文件系统、使整个网络运行效率下降，甚至造成计算机和整个网络系统的瘫痪。制病毒在校园网中的广泛传播：一是在网关处禁止常见病毒的入侵，关闭校园网络对外的可能产生病毒入侵的端口；二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，在整个校园网内采取病毒防范措施；三是查找到病毒宿主机，对其实施隔离措施，将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀；四是对服务器等重要设备设定安全策略，监控系统状态，有效防范校园网络内的病毒和恶意入侵。4.2校园网络设备管理不健全校园网络涉及硬件的设备分布在整个校同内，管理起来有一定的难度。从网络设备所处层级看，校园网网络层级一般可分为核心层、汇聚层、接入层，要确保各个层级的安全，网络设备本身的安全可靠是前提，否则网络设备所配置的安全策略就失去了其意义。为了集中管理存放在校内各楼宇中的交换机设备，学校一般会购置具备远程管理功能的交换机，也同样是出于集中管理的目的，网络管理者往往会将交换机的远程登陆帐户设置成一模一样或者就干脆采用设备的出厂默认值，如果攻击者获取到设备的登陆帐号，将会给用户和网络管理带来无法想象的威胁。暴露在外面的设施，可能遭到有意或无意的损坏，这就会造成校园网络全部或部分瘫痪的严重后果，而且大多数校园网络信息化设备投入由于资金投入不足，致使校园网络建设方面存在着各种开放式的安全隐患。4.3计算机系统漏洞入侵者攻击校园网主要是利用软件或攻击代码对网络软件或硬件的安全漏洞加以攻击，获得相应权限后，非法获取目标主机的资源，也可能会在控制目标主机后，以其为跳板（俗称肉鸡），对其他计算机或网络实施攻击和非法访问并隐藏真实身份。终端系统漏洞主要有三个方面：一是普通计算机和服务器操作系统等软件漏洞。校园网中广泛使用的网络操作系统主要是Windows操作系统,也有较少部分的其他类型操作系统，这些系统都存在各种各样的安全漏洞，许多计算机病毒都是利用操作系统的漏洞进行传染的。二是校园网络硬件设备漏洞。连接校园网络各基础设施的硬件设备（如交换机、防火墙等），基本工作原理是运行存储在芯片中的程序，实现一系列功能，这些程序或多或少的都会存在一些漏洞，这些漏洞给入侵者提供了攻击网络的可能。三是校园网站、各单位基于WEB的业务管理系统等代码漏洞。校园网络上运行着大量的网站和众多的业务管理系统，对校内和校外提供丰富多彩的工作、学习和娱乐等内容，但这些站点的代码在编写过程中，存在很多不严谨的地方，甚至有些程序设计人员可能会在代码中留下一些后门程序，这给攻击者留下了攻击的途径。4.4用户对校园网网络资源的滥用实际上有相当一部分的因特网访问是与正常的工作无关的，有人利用校园网资源从事商业活动或大量的视频、软件资源下载服务，有人甚至去访问一些不健康的甚至反动站点，从而导致大量非法内容或垃圾邮件甚至一些木马程序的进入，占用了大量珍贵的网络资源，严重浪费了校园网资源，造成流量堵寨、子网速度慢等问题。4.5校园网安全管理制度缺失随着校同内对计算机虚用的需求，接入校园网的计算机日益增加，校园网安全管理制度缺失问题也越发严重。校园网经常会发生计算机病毒泛滥、信息丢失数据损坏、网络被攻击、系统瘫痪等严重情况。校园网的建设普遍存在着重运行、轻管理的现象。而且当前很多高校校园网络建设存在重硬件、轻软件及重运行、轻管理的两种极端现象，网络建设者通常将网络系统作为一项纯技术工程来实施，没有建立一套完善的安全管理方案，网络管理员只需将精力集中于日常的简单事务管理上，如上网线路的故障维护、账号的开通和维护、服务器的日常管理和业务应用系统的日常维护等，网络规范化、安全化管理严重不足，很少关注和研究网络入侵手段、防范措施、安全机制等内容。4.6网络管理者和使用者的安全技术能力低虽然高校校园网络建设者和使用者具备足够的安全意识，但可能会陷于安全技术能力不足的缺憾。网络管理者不具备丰富的安全管理经验和技术能力，就无从谈起对网络的安全保障，至多只能防范和处理一些简单的安全威胁，遇到重大问题，通常只能求助于校外专业人士。网络使用者的安全技术能力更是严重不足，绝大多数的用户只是简单的使用计算机和网络，安全防范措施一般只是安装杀毒软件，期望杀毒软件能解决所有安全问题，但这往往是不可能的。五网络安全解决方案设计5.1身份认证对于每一个入校园网的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名、密码、用户PC机的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号，通过以上的信息的绑定，可以避免了个人信息被盗用，当安全事故发生的时候，只要能够发现肇事者的一项信息就可以准确定位到该用户，便于事情的处理。5.2部署网络防病毒系统网络管理者一般应通过四种策略来防范和控制病毒在校园网中的广泛传播：一是在网关处禁止常见病毒的入侵，关闭校园网络对外的可能产生病毒入侵的端口；二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，在整个校园网内采取病毒防范措施；三是查找到病毒宿主机，对其实施隔离措施，将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀；四是对服务器等重要设备设定安全策略（如固定端口开放、审核策略、网络访问许可策略等），监控系统状态，有效防范校园网络内的病毒和恶意入侵。5.3防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改WP地址，所以的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP，造成网络通讯的混乱。5.4设置漏洞管理系统设置漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。对用户网络中的资产进行自动发现并按照资产重要性进行分类；自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认：定期重复上述步骤。通过漏洞管理将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。5.5设置防火墙保护网络安全防火墙系统是一种建立在现在同学网络技术和信息安全技术基础的应用性安全技术产品，是一种使用较早的，也是目前使用较广泛的网络安全防范产品。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理。在需要隔离的网络区域之间设置防火墙。典型地，在Internet与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW、MAIL、FTP、DNS等服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。5.6设置WEB应用防护系统高校网络安全体系中，需要新型的技术和设备来应对WEB攻击，保证网站安全，维护高校声誉；为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。Web应用防火墙（WebApplicationFirewall,简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。5.7定期对服务器进行备份和维护为防止不能预料的系统故障或用户不小心的非法操作，系统管理管理员需要定期备份服务器上的重要系统文件。比如用户账户。文件资料可以用RAID方式进行每周备份，重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况，删除过期和无用的文件，确保服务器高效运行。5.8加强校园管理校园网络安全保障是一个硬件、软件和人力资源有机结合的整体，三方面相辅相成，缺一不可。因此，在有足够可靠的安全软硬件的前提下，必须加强校