军校网络安全体系的研究与应用

军校网络安全体系的研究与应用摘要：针对军校网络的主要功能和特点，提出了网络安全设计的目标和原则；从多方面详细讨论了网络安全的防护策略和关键技术。从军校网络总体规划建设实际出发，分析了军校网络安全需求，应用具体的网络安全相关技术，实施了军校网络安全体系部署方案，并对方案整体运行情况进行了评价。关键词：网络安全;安全策略;安全技术;军队校园网1军校网络安全概述军队院校的校园网络有着军队网络和校园网络的双重特点。从保密要求来看，军校的网络中承载着许多涉密的信息；从网络应用的角度来看，军校的网络又跟普通的校园网一样，需要开放、便利的网络服务。军队院校下属部门较多，校园网络作为军队院校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。1.1军校网络的功能与特点军校网络具有教学、管理以及其它一些网络应用等功能，从功能架构上来分，大致分为对内、对外和信息中心3部分。对内部分主要是指校园Intranet，主要包括院校机关、教员办公楼、多媒体教室、机房、电子图书馆和各专修室的内部网络连接，它主要服务于院校的教学和管理；对外部分包括与军事信息综合网和其它兄弟院校及单位的连接，提供信息共享服务等；而网管中心则是这两部分的桥梁和核心，担负着整个校园网络系统的管理和安全工作。军校网络是一种特殊的网络，除了具有基本广域网应有的功能与特点外，还具有网络规模巨大、计算机系统管理比较复杂、用户群体比较活跃等特点。1.2军校网络安全风险从网络部件的安全风险因素分析，网络系统的易欺骗性和易被监控性，加上薄弱的认证环节以及局域网服务的缺陷和系统主机的复杂设置与控制，使得计算机网络容易遭受威胁和攻击；网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。从网络软件的安全威胁因素来看，网络软件的漏洞及缺陷容易被利用，从而对网络进行入侵和损坏；计算机病毒不断侵入网络并繁殖。大多数军校网管还是采用单一、被动、缺乏主动性、灵活性的安全策略，根本无法适应现行的网络规范。此外网络管理方面，责权不明，安全管理制度不健全及缺乏可操作性等因素都可能引起网络安全的风险。1.3军校网络安全的设计目标和原则对军校网络，网络信息安全的主要目标应表现为系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性6个方面。具体来讲就是确保信息经网络传输到目的计算机时没有任何改变或丢失，使信息的机密性、完整性及可使用性得到保护；设备要具有最大的可靠性，网络具有监控、分析和自动响应等功能，同时网络安全领域的相关指数都要正常。根据上述目标，我们制定以下设计原则：(1)先进性与现实性。技术上的先进性将保证处理数据的高效率。(2)系统与软件的可靠性。对可靠性的考虑，可以充分减少或消除因意外或事故造成的损失。(3)系统安全性与保密性。要从内部访问控制和外部防火墙两方面保证校园网系统的安全。(4)易管理与维护。要尽量使用图形化的管理界面和简洁的操作方式，提供强大的网络管理功能。(5)易扩充性。校园网的建设要方便扩充和升级。2军校网络安全防护策略及关键技术2.1网络安全防护策略网络安全策略是军队院校在网络安全工作中的法律。网络安全工作要有法可依，它使网络建设和管理过程中的安全工作避免盲目性。在网络安全的实施中，还应该先对网络安全管理有个清晰的概念，然后制定翔实的安全策略。概括起来，网络安全策略包括：环境安全策略、信息加密策略、网络防病毒策略、系统备份与灾难恢复、网络安全管理策略等。2.2网络安全关键技术网络安全关键技术包括很多，如防火墙（Firewall）技术是抵抗黑客入侵和防止未授权访问的最有效手段之一；网络加密技术是一种常用网络安全手段；入侵检测技术是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术；计算机病毒防护技术是网络安全的一个重要领域；身份认证技术是保证网络安全的重要技术手段，其主要功能是在通信过程中保证通信双方的身份始终都是可信赖的；VPN技术是在公共网络上建立安全专用隧道的技术，等等。3军校网络安全体系的应用3.1军校网络安全需求军队院校网络内部要保护网络设备的正常运行，维护主要业务系统的安全，是校园网络的基本安全需求。根据军队院校网络的现状，目前具体的网络需求包括有：(1)建立一个以光纤为主干、覆盖全校的宽带网，主干1000M，100M至桌面。需要考虑网络运行的高效、可靠、安全以及智能化管理的方便。(2)实现校园Intranet同军事综合信息网的互联互通，校内可以方便快捷地访问军内外信息，以满足查询、通讯、资源共享、远程教学等需要；建立学院自主的服务器组群。(3)建立网络教学系统，提供教员电子备课、课件制作、多媒体演示、学生多媒体交互学习、网络考试、自动教学评估等功能。(4)建立基于网络的教育管理及自动化办公系统，包括行政、教学教务、科研、后勤、财务等系统，以满足学院管理现代化的需要。3.2网络安全总体设计校园网络总体规划建设是一项庞大的技术性很强的综合工程，一般需要经过网络调研、系统设计、可行性分析、设备选型、工程招标、硬件施工、软件环境的建立、人员培训、联调测试和系统验收等9个阶段。要有安全维护运行体系框架设计，安全运行与维护体系的重点是保障信息系统的运行安全。3.3网络安全部署方案（1）防火墙技术采用安全性最好的被屏蔽子网结构．外部路由器起到保护周边网的作用。在网络中，选择实施DMZ区域设计方案来保护校园网络。（2）在校园网与外部网络之间设置Cisco入侵测系统（IDSM-2），它与防火墙并行接入网络中，监测来自网络的攻击行为。当有入侵行为时，主动通知防火墙阻断攻击源；此外还可部署基于网络的SymantecClientSecurity，从而帮助网络管理员更好地完成网络防病毒工作；在校园网络中，还应部署身份认证系统，通过安全管理平台,网络管理员可以为网络中的主机设备定义一个统一的网络安全接入标准，只有满足这个接入标准的主机才能接入并使用网络。使用IPRMS（IP资源管理系统）来进行IP地址绑定；在数据备份及恢复系统中，采用NEO2000磁带库，同时连接至多个不同的服务器，分别运行不同操作系统和磁带应用，对所有服务器数据进行备份。（3）通过一些安全配置，使服务器的安全性得到进一步提高。当然，还有其它安全防范措施，如：过滤不良网络信息、拒绝垃圾邮件等。4结束语军校网络完全遵循安全体系的设计目标及原则，并实施上述网络安全部署方案，综合运用各种安全措施后，确实能提高军校网络的安全性，使校园网络具高可靠性、开放性、兼容性及可扩展性等特性。从实际运行情况来看，效果良好