校园网网络安全分析及防范对策浅析

2010-08-15 00:42陈善为
网络安全技术与应用 2010年11期
关键词:防病毒校园网服务器

陈善为

宝鸡文理学院教育科学与技术系 陕西 721016

0 引言

网络信息化程度的提高,极大地促进了校园信息化建设的发展,校园网络的合理使用不仅能促进现代校园的教学改革、提高科研质量、改善教学环境,同时通过相互之间的互联互通,能极大的促进教育行业整体的工作效率和教育质量。但随着网络应用的深入,校园网所面临的安全问题也日益严峻,影响着学校的教学、管理、科研活动,给校园网的安全和可运营性提出了新的要求,因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。

1 校园网网络安全面临的威胁

1.1 恶意病毒威胁

恶意病毒程序可以通过网上下载、电子邮件、盗版光盘或U盘,mp3、数码相机等移动存储设备等传播途径潜入校园网。可能造成信息泄露、文件丢失、破坏数据、毁损硬件、阻塞网络,甚至造成整个校园网络传输中断和系统瘫痪。

1.2 资源共享的信息泄露

校园网络主要承担教学、科研、办公任务,因此经常要部署共享网络资源,便于师生之间的资源共享,由于缺少必要的访问控制策略和保密意识淡薄,就可能有意、无意的把重要信息,特别是科研成果长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。

1.3 对应用服务器的恶意攻击

校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。针对校园网应用服务器的网络攻击,往往具有影响范围广、损失大、后续处理难度高的特点,是目前校园网管理最关注的安全问题。校园网中较易受攻击的应用服务器主要是DNS服务器、Web应用服务器和邮件服务器。内外网恶意用户可能利用一些工具对网络及服务器发起DoS、DDoS攻击,增大校园网流量,导致网络及服务不可用,甚至系统崩溃,给校园网带来经济和声誉损失。

1.4 校园网内部的攻击

由于内部用户对网络的结构和应用模式相对比较了解,很多学生,尤其是理工科学生对网络新技术充满好奇和实践欲望,他们经常有意无意的攻击校园网系统,干扰校园网的安全运行。校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的黑客攻击。

1.5 校园网安全管理缺陷

校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、网络被攻击、系统瘫痪等严重后果。

2 校园网络防范措施

针对校园网面临的主要的安全威胁,一个具有高安全性的校园网应该需要从以下几个方面进行综合防范。

2.1 建立涵盖校园网络的病毒防御体系

未来网络威胁的特征是:病毒传播的速度越来越快、从发现漏洞到利用漏洞进行攻击之间的间隔越来越短。最有效的病毒防范就是主动预防,即部署整体的网络安全解决方案代替简单的反病毒解决方案。不仅要对进入校园网内部的请求进行病毒扫描和内容过滤,而且还要在内部用户访问外部网络、进行内部应用之前,在本地网络边界进行病毒扫描和内容过滤,从而防止用户的关键业务受到病毒、恶意代码的破坏,提高网络的安全性和可用性。具体部署可在网络中心机房建立防病毒监测与控制中心,配置防病毒管理和分发服务器;实现计算机终端防病毒软件统一的安装、统一的管理和病毒库的更新;针对在校园网出入口的流量,在校园网出口处设置网关防病毒系统。对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶意程序和病毒进行查杀扫描,对通过SMTP发送的外部和内部邮件的附件、消息体进行病毒的过滤。

2.2 建立内外有别的网络安全隔离体系

通过防火墙的流量过滤和访问控制技术,有利于提高网络抵抗黑客攻击的能力和系统的安全性。针对内外网还可采取其他措施:隔离内部不同网段,建立VLAN;内外网络采用两套IP地址,网络地址实行转换;通过IP地址与 MAC地址对应,防止IP欺骗;基于用户和IP地址的网络计费和流量统计与控制;提供应用代理服务,隔离内外网络;提供准入控制;支持透明接入和VPN及其管理。

2.3 构建全方位的内部网络监控机制

在不影响网络正常运行的情况下,增加内部网络监控机制,对服务器、网络、业务流程等进行全面监测,动态地监测网络内部活动并做出及时的响应,可以最大限度地保护网络资源。在校园网关键部位安装网络入侵检测系统,通过端口镜像对计算机网络或主机中的若干关键信息的收集和分析,实现网络传输信息的实时检测,对网络和信息系统访问的异常行为进行监测和报警;配备Web、E-mail、BBS的安全监测系统,网络监听系统等。通过监控手段,增强网络安全的自我适应性和反应能力,从而保证网络服务的正常提供;通过使用网管软件、日志分析软件、MRTG和 Sniffer等工具,形成一个从实时监控到离线审计在内,功能较完整、覆盖面较广的监控管理系统。

2.4 建立完善完备的数据备份机制

同构构建完善的网络数据备份系统,使校园网络系统具备容灾备份机制,在最短的时间内恢复整个网络应用。应具备以下功能:计算机网络数据备份自动化;对数据形成分门别类的介质存储,使数据的保存更细致、科学;以备份服务器为中心,对各种平台的应用系统及其他信息数据进行集中备份,系统管理员可以在任意一台工作站上管理、监控、配置备份系统,实现分布处理、集中管理。

2.5 建立虚拟专用网(VPN)和专用通道

使用 VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。VPN在网络层对数据传输进行加密,优于针对具体链路类型的链路层传输加密。主要应用在内联网、网间网中,对专线连接使用网关对网关模式。使用安全VPN 可以有效地解决网际互联的安全传输问题。

2.6 建立完整的网络安全服务机制

为了确保整个网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及配套的专业措施。

3 结束语

校园网的安全问题是一个较为复杂的系统工程,不能仅仅依靠防火墙、防病毒软件等单个的系统,而需要结合校园网络的实际安全需求,并将各种安全技术和管理手段结合在一起,把不安全的因素降到最少,才能生成一个高效、通用、安全的网络系统。

[1]William stallings.密码编码学与网络安全.原理与实践[M].北京:电子工业出版社.2001.

[2]刘钦创.高校校园网的安全现状与对策[J].现代计算机.2005.

[3]新建.校园网的安全现状和改进对策[J].网络安全技术与运用.2007.

[4]黄国敬.银行网络系统安全防护措施[J].计算机安全.2004.

猜你喜欢
防病毒校园网服务器
数字化校园网建设及运行的几点思考
防病毒肺炎
通信控制服务器(CCS)维护终端的设计与实现
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
高速公路信息安全系统防病毒和终端管理技术应用
浅谈计算机防病毒软件的作用机制
NAT技术在校园网中的应用
中国服务器市场份额出炉
得形忘意的服务器标准