基于纵深防御思想的校园网安全研究

朱爱军

（湖南科技职业学院，湖南 长沙 410004）

基于纵深防御思想的校园网安全研究

朱爱军

（湖南科技职业学院，湖南 长沙 410004）

在分析校园网建设现有网络资源及应用的基础上，提出了以防火墙技术、入侵检测技术、漏洞扫描技术、防病毒技术、安全评估技术为核心的完整的安全解决方案。通过该方案的提出和实现，提高校园网建设的安全防护系数。

校园网；安全；防御

1．引言

为了解决高职院校校园网面临的安全问题，需要在网络中的各个环节都采取必要的安全防范措施，通过多种安全防范技术和措施的综合运用，才能更有效地保证校园网的信息和网络安全。

校园网信息与网络的安全问题主要包括物理实体安全和系统运行安全两个方面，本文将重点介绍如何应用相应网络安全技术构建高职院校信息网络的问题以及几种关键技术在高职院校信息网中的应用和配置。

2．病毒防范

计算机病毒问题是网络用户面临的首要问题，高职院校信息网在建设和维护的过程中同样也不断受到病毒的破坏和影响。由于使用和管理的不完善，客户机经常感染计算机病毒，并多次影响到各级局域网的正常工作，甚至引起局域网的瘫痪。为保护服务器和网络中的工作站免受计算机病毒的侵害，同时也是为了建立一个集中有效的防病毒控制机制，需要应用基于网络的防病毒技术。基于网络的防病毒技术可以在网络的各个环节上实现对计算机病毒的防范。安装了基于网络的防病毒软件后，不但可以防范主机受到病毒的感染，同时通过这些主机传递的文件也可以避免被病毒侵害，并且可以建立一个集中有效的防病毒控制机制，从而保护计算机信息网络的安全。

在杀毒软件的选择过程中，我们结合了校园信息网络结构与单位教师、学生网络安全的知识水平、杀毒产品本身的易用性和可定制性、杀毒产品的技术、服务支持等售后服务以及公安部对现有市场上网络防病毒产品进行的测评报告，采用北京瑞星科技股份有限公司的瑞星杀毒软件企业版。

由于校园网络与互联网是物理隔离的，但杀毒软件必须通过升级才能保证最新、最强的杀毒能力，为了保证杀毒系统的智能升级，我们采用通过物理转换设备在校园网内部建立瑞星公司升级的镜像网站，实现病毒代码和查杀引擎的升级。病毒库通过互联网上的瑞星网站首先被复制到信息网内部的瑞星镜像网站上，然后系统中心登陆镜像网站更新后再往下面发送升级信息。

3．访问控制

作为高校，各类用户历来对信息网内的各种信息感兴趣，尤其是在高校招生或者学生毕业的时候，部分不法份子为取得不正当利益，入侵高校服务器，严重危害高校网络安全。同时，由于单位内部严格的等级制度，对于不同级别不同职务的人员，所应了解和掌握的单位信息也是有很大区别的。校园网提供了通过计算机远程获取敏感信息甚至保密信息的途径。我们必须加强对信息网的访问控制管理，杜绝敏感信息的泄露。

在校园网设置防火墙后，所有从其它局域网访问该网的主机以及网内对服务器的访问请求都首先到达防火墙。防火墙可以通过分析这些数据包的性质控制网络中对主机的访问。由于在访问主机时，实行了用户与源IP的绑定，并对各用户的访问权限作了规定。主机在与外界进行通讯时是在应用层而非在网络层完成的。如果有不法分子通过入侵电信专线或桥接电信专线的方法入侵总队信息网的话，防火墙首先会根据网络制定的安全策略对来访的数据进行用户与源IP绑定审查，对不符合要求的访问一律拒绝，于是来自外网和非法用户的攻击行为不能到达校园网的主机服务器。对于一些特定的服务请求，防火墙还可以进行其它的强制认证手段、密级验证等，只有来自合法主机的合法操作在通过认证之后才能到达要访问的主机[1]。通过以上几种方式的过滤，基本上可以保证到达网络内部主机的访问都是安全合法的。由此可以有效地防止非法访问，保护重要主机上的数据，提高网络的安全性。

防火墙选择所考虑的因素和入侵检测基本一致，同时结合各安全产品之间兼容性原则，我们选择了北京天融信公司生产的网络卫士防火墙4000（NGFW4000）。该产品可以通过其TOPSEC（Talent Open Platform for Security）网络安全开放平台标准API接口与天阗IDS进行联动。NGFW4000是天融信网络卫士系列防火墙的中端产品，是一款成熟的广受市场认同的主流产品，具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、VLAN、DHCP等协议，适用于网络结构复杂、应用丰富的政府、军工、学校、中型企业等网络环境，该产品完全满足校园信息网络的需求。

4．入侵检测

校园网设置了防火墙后，可以解决多数的网络安全问题，但是防火墙并不是万能的。有些攻击行为仅仅依靠防火墙是不能防范的，比如攻击行为是从内部网络上发起的，那么对主机的访问就不需要通过防火墙，防火墙也就不能对主机进行保护了。而对于校园信息网，非法或超权限访问的用户更多的是来自单位内部的人员。所以寻求一种新的防范技术加强对防火墙以外功能的补充是很有必要的。入侵检测技术是近年出现的新型网络安全技术，入侵监测系统处于防火墙之后对网络活动进行实时检测，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它试图发现入侵者或识别出对计算机的非法访问行为，并对其进行隔离。入侵检测系统能发现其它安全措施无法发现的攻击行为，反追踪攻击源，进行犯罪事实证据的收集。因此在网络上配备入侵检测系统可以进一步提高网络的安全级别。

入侵检测的主要技术有：模式匹配，异常检测，协议分析，我们在选择入侵检测系统时，主要考虑如下的因素[2]：(1)系统的价格；(2)特征库升级与维护的费用。像防病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法；(3)最大可处理流量(包/秒PPS)。由于高职院校信息网要求的带宽较高，需要支持远程视频同步，需要高速的入侵检测引擎。故而性能是一个非常重要的指标；(4)该产品是否容易被躲避；(5)运行与维护系统的开销；(6)产品支持的入侵特征数；(7)是否通过国家权威机构的评测。主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。最终在综合各方面的因素后，在硬件方面我们选择了北京启明星辰信息技术有限公司生产的天阗NS200，与之配套的软件则是天阗千兆入侵检测与管理系统V6.0。

5．安全评估

计算机漏洞[3]是指计算机系统具有的某种可能被入侵者利用的属性，安全漏洞(Security Hole)通常又称作脆弱性(vulnerability)。计算机漏洞是系统的一种特性，恶意的主体(攻击者或攻击程序)能够利用这种特性，通过已授权的手段和方式获得对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。如果不法份子利用计算机漏洞对信息网进行攻击，造成的后果将是难以想象的。“居安思危，防患于未然”，我们应该积极主动查找系统的漏洞，主动发现网络自身存在的安全隐患，先于入侵者发现并修复系统的漏洞，这也是解决网络安全的基本方法之一。

扫描器对网络安全很重要，它能揭示一个网络的薄弱点。在任何一个现有的平台上都有几百个熟知的安全脆弱性。在大多数情况下，这些漏洞都是唯一的，仅影响一个网络服务。人工测试单台主机的漏洞是一项极其繁琐的工作，而扫描程序能轻易解决这些问题。扫描程序开发者利用可得到的常用攻击方法并把它们集成到整个扫描中，这样使用者就可以通过分析输出的结果发现系统的漏洞。

我们可以在本校园信息网向总部连接的路由器的外部设立一台安全分析工作站或在内部网络分支机构交换机的外部设立一台这样的工作站，平时关闭，需要时可以从多角度对整个网络进行全方位的漏洞分析扫描，并给出安全性建议，以便于系统管理员及时堵住系统安全漏洞。要求各级网络管理员定时进行安全扫描检测，保障系统安全。

在漏洞扫描器的选择上，我们同样选择了北京启明星辰信息技术有限公司开发的“天镜”网络漏洞扫描与评估系统。该系统是一套基于Windows平台的漏洞扫描软件，它包括了网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、风险评估和安全建议等功能，帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。该系统具有强大的漏洞检测能力和检测效率、贴切用户需求的功能定义、灵活多样的检测方式、详尽的漏洞修补方案和友好的报表系统，并支持在线升级。

在交换机的选型上，我们选择了港湾FlexHammer5210系列交换机。该系列交换机是为了满足高安全、多业务承载、高性能的网络环境开发的新一代智能多层交换机，具备传统三层交换机大容量、高性能等优点，同时还具有领先的安全特性，适合作为关注业务、服务、关注网络安全的中小型城域网汇聚三层交换机、小区核心汇聚层交换机和企业级大客户接入层交换机。

6．结语

本文以传统的安全体系和设计原则为基础，在纵深防御技术模型的基础上，提出了基于主动防御思想的高职院校信息网安全防护体系。从病毒防范、入侵检测、访问控制和安全评估四个方面出发，提出安全防护体系的需求、设计原则、部署的特点。通过对产品的性能、价格和易用性等方面的比较，选取了适合高职院校信息网的安全产品，并以此为基础，构建信息网完整的安全解决方案。

[1]谢希仁．计算机网络（第二版）[M]．北京：电子工业出版社，1999．

[2]陈向阳，肖迎元等．网络工程规划与设计[M]．北京：清华大学出版社，2007．

[3]戴宗坤等．信息系统安全[M]．北京：金城出版社，2002．

[4]Lars Klander．挑战黑客-网络安全的最终解决方案[M]．陈永剑等译．北京：电子工业出版社，2000．

[5]胡道元，闵京华编著．网络安全[M]．北京：清华大学出版，2004.

[6]徐国哎，杨义先，胡正名．安全局域网的设计和实现[J]．计算机工程与应用，2001，8：30-31．

Research on the Campus Network Security Based on Defense in Depth

ZhuAijun
(Hunan Vocational College of Science and Technology,Hunan 410004,Changsha)

Based on the analysis of the campus network construction resource and application,this paper proposes a security solution with the firewall technology,intrusion detection technology,vulnerability scanning technology,anti-virus technology and safety assessment technology as the core.This solution can improve the safety coefficient of the campus network construction.

campus network;security;defense

朱爱军,男，湖南邵东人，硕士，讲师，研究方向：计算机网络，网络安全。