关于院校网络安全建设的思考

（无锡商业职业技术学院信息工程学院，江苏 无锡 214153）

1 了解学校网络不安全的各种现象

通过校园网站，人们可以了解学校概况、规划、招生、研究成果，同时，人们可以在校园网上进行学术交流等。校园网虽然在促进教育事业发展起到了划时代的推进作用，但是也带来了信息安全问题。如何保障网络安全[1]成为不可避免的重大课题，无论是有意的攻击，还是无意的试探性操作，都会给信息系统带来严重的损失。攻击者窃听网络上的信息、窃取用户的口令和数据库的信息，修改数据库内容；更有甚者，攻击者可以大量删除数据库内容、摧毁网络节点、释放计算机病毒，安插流氓软件等等。无论是在局域网还是在广域网中，网络的安全措施应在全方位地考虑杜绝各种不同的威胁，确保网络信息的保密性、完整性和可用性。目前有许多网络安全产品，并且提供了一套安全技术[3]和安全制度，但由于各种客观和主观的原因，种种安全上的问题仍然困扰人们。同时，由于网络不安全因素随着黑客技术和时间的变化，考虑网络安全时，不但要考虑合理的使用和配置软件安全产品、硬件安全产品以外，还要考虑对严格的管理及日常的检测。

2 举例介绍校园网

学校通过10M的VPN线路与下面的5个分校连接，通过100M的光纤连接到Internet网络上。在学校的网络系统中，网络设备产品类型包括RG路由器、RG防火墙、RG核心交换机、RG工作组交换机、网卡等，服务器操作系统主要为Windows2003 和 Linux，工作站系统平台有：WinXP/2000 Professional等。主要的服务器为：邮件服务器、Sqlserver数据库服务器、Apache互联网服务器、Pro FTP文件传输服务器等等。 学校本部网络的服务器分成两个部分，一部分是对外提供服务的WEB服务器群、DNS服务器和邮件服务器，另一部分是对内提供服务的教学管理系统服务器、数据库服务器、代理服务器等。通过RG核心交换机连接到网通主干交换机，接入因特网。

3 校园网存在的安全隐患

（1）考虑对外WEB服务器的安全性，考虑内部交换机随时可能受到来自内部用户的扫描、窥探和攻击；

（2）考虑网络病毒扩散，杜绝蔓延到整个校园网；

（3）考虑防火墙，硬件防火墙的配置和使用很重要，，网站会经常瘫痪；

（4）选择合适的网络工具对整个网络的安全状况及时做出检测和评估；

（5）关闭不必要的系统服务，减少受攻击的机会。

4 详细考虑硬件安全措施

某校与锐捷网络公司合作，采用RG防火墙、RG入侵检测系统、RG内容过滤系统[4]，建立完整科学的网络管理策略与技术保护措施，搭建可行的校园网安全系统框架：

（1）利用RG防火墙将内部网络、对外服务器网络和外网进行有效隔离，避免与外部网络直接通信；

（2）利用RG防火墙建立网络各主机和对外服务器的安全保护措施，保证系统安全；

（3）利用RG防火墙对网上服务请求内容进行规则控制，使非法访问在到达主机前被拒绝；利用防火墙加强合法用户的许可访问认证，同时在不影响用户正常使用网络的基础上尽量最低限度开放用户的访问权限；

（4）利用RG防火墙全面监视对公共服务器的访问，及时发现和阻止非法操作；

（5）利用RG防火墙及各服务器上的审计记录，形成完善的审计体系，建立二级防线；

（6）在学校本部和各分校，利用RG-IDS入侵检测系统，监测对内、对外服务器的访问,对服务请求内容进行控制，使非法访问在到达主机前被阻断；

（7）在学校网络中心使用RG VPN管理系统，对各分校的探测器进行统一管理；

（8）在Internet出口处，使用RG-ACE应用控制引擎系统对不允许的网络应用行为进行监控，过滤阻断；

图1 锐捷(RG)全局安全网络解决方案图

5 利用软件安全措施

（1）部署入侵检测系统

RIDS-100入侵检测系统[5]是由瑞星公司自主开发研制的新一代网络安全产品，它集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使得管理员能够及时采取应对措施，另外RIDS-100入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。

（2）瑞星网络版杀毒产品的部署

在学校网络中心的Windows 2005服务器上安装瑞星杀毒软件网络版，负责管理500多个主机网点。在15个分支机构分别安装瑞星杀毒软件网络版的客户端，安装完瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒；

学校网络中心负责整个校园网的升级工作，网络中心定期地、自动地到瑞星网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其他500多个主机网点的客户端与服务器端，并自动对瑞星杀毒软件网络版进行更新。

6 网络安全管理制度

校园网络安全管理要从技术和管理两方面入手，由技术部门和管理部门联合制定校园网管理制度，包括总则、办法、守则、处罚规定等事项，要全校上下宣传、学习、理解，达到不折不扣地执行。 常言说：“三分技术，七分管理”。安全管理是保证网络安全的基础，不建立一套安全机制[2]不能完善地实施安全管理。安全技术是配合安全管理的辅助措施。建立一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施，保证制度的执行，对校园网安全是不可缺少的。

[1]王其良.计算机网络安全技术[M].北京大学出版社,2006.11.

[2]陈波.计算机系统安全原理与技术[M].机械工业出版社,2006,1.

[3]许治坤,王伟,郭添森,等.网络渗透技术[M].电子工业出版社,2005,5.

[4]http://www.ixpub.net/thread-708876-1-1.html.

[5]http://down.soft2008.com.cn/idc/127/130/1424.html.