昆明消防指挥学校金盾网安全防护体系的研究

周洁

摘 要：信息技术对军校教育产生了前所未有的巨大冲击，昆明消防指挥学校金盾网的安全防护体系也需要随之不断完善，研究我校金盾网的脆弱性，从金盾网安全管理制度和安全技术两方面入手进行研究，建立完善的安全防护系统，确保系统安全稳定运行。

关键词：金盾网；安全防护体系；信息化

1991年爆发的海湾战争第一次将信息化作战发挥到了极致，掀起了世界性新军事变革大潮，这也促使我国军事理论从以机械化战争为核心向以信息化战争为核心转变，十八大政府工作报告中提到要全面加强军队革命化现代化正规化建设，坚定不移把信息化作为军队现代化建设发展方向，推动信息化建设加速发展。与此同时，在军队全面进行信息化建设的过程中，网络安全问题日益严峻，提高军队网络安全防御能力，建立完善的军队网络安全防御体系刻不容缓。

90年代末，我国政府为适应全球信息化趋势，启动政府信息化系统工程——“十二金”工程。“金盾工程”（公安信息化）作为其中之一，自1998年开始实行。消防信息化对实现消防业务办公自动化和消防业务信息共享和综合利用，提高消防部队预防和扑救火灾以及处置其它灾害事故的实战能力，优化消防业务工作流程，实现消防业务管理科学化、规范化，提高工作质量和管理水平等方面，都起到了积极作用。与此同时，由于网络协议的开放性、系统的通用性、计算机自身的脆弱性及在系统平台搭建中的一些不稳定因素不可避免的产生了一些安全问题，这些安全问题将有可能导致病毒传播、非法入侵、信息泄漏甚至整个平台崩溃。因此，如何预防和解决信息化建设中存在的安全问题，使网络更好的服务于当前的消防工作，是信息化建设中亟待解决的问题。

在信息化建设的浪潮中，信息技术对军校教育产生了前所未有的巨大冲击，从教育理念、教育目标到教育环境、教育模式、教育管理，都在这场冲击中发生着变革。我校作为一所培养消防部队基层指挥人才的专业学校，也响应消防部队信息化建设的号召，紧跟网络建设发展的步伐，全面推进我校信息化建设。随着我校规模逐年扩大，信息化建设全面铺开，我校金盾网的安全防护体系也需要随之不断完善。

1 我校金盾网脆弱性分析

根据我校金盾网软硬件部署情况，将我校金盾网脆弱性分析如下：

1.1 软件弱点

第一：首先我校金盾网覆盖面较大，金盾网终端数量大，每台终端根据应用需要都运行着操作系统和一定数量的应用软件，无论是操作系统还是应用软件都由大量的计算机代码构成的。研究表明，正常情况下，每一千行计算机代码，存在5到15个漏洞，假设在我校金盾网终端中运行的这数百万计的计算机代码行中，存在的漏洞中只有一小部分和网络安全相关，这一小部分漏洞中又只有一小部分可以被攻击者利用，那么这样的安全漏洞也有几千个，攻击者往往就是利用刚才所述的漏洞进行攻击，入侵系统的。

第二：我校金盾网终端均安装了“一机两用”监控软件，严禁任何终端同时接入金盾网和互联网，终端不能通过互联下载安装系统和软件补丁，这也成为了我校金盾网终端系统和软件升级难的原因之一，加之使用人员还没有养成良好的使用习惯，网络安全意识还比较淡漠，没有及时在金盾网上下载补丁、升级和更新病毒库，这就不可避免的造成了软件漏洞，让攻击者有机可乘，为病毒传播提供了温床。

1.2 硬件弱点

我校金盾网硬件均使用国产硬件，有效杜绝了国外敌对势力利用可编程硬件，人为在硬件上设置“后门”进行攻击。

1.3 配置弱点

第一：我校的金盾网配置了复杂访问控制策略的防火墙进行保护，防火墙配置了几百条规则用于拒绝和允许各种流量， 由于规则数量较大，准确无误的配置规则对网络管理人员自身的素质要求较高，两方面因素增加了配置错误的几率。

第二：我校金盾网处于建设阶段，各种网络安全措施在不断的完善，网络管理人员对于新的网络安全措施中的硬件配置规则掌握不全面，不熟练，也造成了配置上的弱点。

第三：由于我校网络管理人员自身业务水平的局限性增加了出现配置错误的几率。

1.4 策略弱点

无论何种网络，所遵循的安全策略是基本相同的，由安全策略的不完善引发的安全问题具有一定的普遍性，近年来，各种网络策略弱点屡屡被曝光，我校网络管理人员可以通过各种渠道及时掌握网络安全资讯，调整我校金盾网安全策略，从而避免策略弱点导致的安全问题。

1.5 使用弱点

我校严格执行《公安消防部队计算机信息系统保密管理暂行规定》等网络安全的规章制度，并结合我校实际制定了具体的工作制度。但由于金盾网覆盖面广，终端数量大，干部、士兵以及学员都有一定的权限使用金盾网，使用人员网络安全意识参差不齐、使用经验不足违反了安全策略，造成使用弱点。

2 金盾网安全防护体系的改善

巩固和改善我校金盾网安全防护体系是一个长期的、专业化的、不断发展变化的任务。以技术手段为主，以制度建设为辅，两者相结合，有效的维护我校金盾网的安全、稳定和有效运行。

2.1 金盾网安全管理制度的改善

⑴建立健全物理安全制度。我校金盾网覆盖教学楼、办公楼和各学员大队，网络设备分布广泛，管理存在一定难度，一旦线路和设备遭到破坏，将引起网络中断；包含敏感数据的设备被盗或电磁泄漏，将造成信息的泄露，造成无可弥补的损失，所以维护我校金盾网的物理安全是维护我校金盾网安全最基础的环节。在信息中心等重点环节安装门禁系统，可有效防止无关人员有意无意的造成机房安全事故；配备视频监控系统，全面监视网络设备和线路的安全，可有效防止人为破坏和盗窃等安全事故的发生。为了防止我校金盾网敏感数据通过电磁辐射泄露，根据信息的重要性和防护成本，采取一定的电磁波防护措施；使用磁带、磁盘存放柜，并采取物理保护措施，对载有机密以上内容的磁盘、磁带，需保存在防磁屏蔽容器内；室内采用六类屏蔽双绞线，消除电磁泄漏的隐患，室外远程传输采用光纤。机房内的所有设备、物体表面的磁场强度允许范围在800A/m内，以防磁场强度超标对存储介质上的信息造成破坏。

⑵网络安全日常管理制度。据调查数据表明，80%的网络攻击都来源于网络内部，规范内部用户的网络行为，制定相应的处罚制度，从源头上消除安全隐患是保障我校金盾网安全最为行之有效的制度手段。信息中心、教研室和各学员大队都应建立一套责任落实、目标明确的管理制度，制定出具体安全操作制度、安全监测记录制度以及软件升级制度，将日常的安全管理工作落实到人，部门领导承担起督促的责任。严格按《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》，对我校网上违规行为进行查处，制定责任追究方案，规范责任追究程序，明确责任追究部门，加大通报力度，制定具体的处罚细则，建立督促整改制度。

⑶建立网络安全管理人才的培训制度。提高我校网络管理人员的业务素质，培养网络技术人才也是提高金盾网安全的重要手段。先进的安全防范设施只有由精通网络安全管理技术的人员使用才能发挥作用。我校未来应该和实力雄厚的安全公司、厂家积极沟通交流，定期开展网络安全知识讲座，普及网络安全知识，提高全员网络安全意识；对本身具有计算机网络专业知识的人员进行定期培训，使之了解网络安全形势动态，掌握网络安全先进技术，培养优秀的网络安全管理人才为我校信息化建设注入新鲜的血液。

2.2 金盾网安全技术的改善

⑴防火墙系统部署的改善。鉴于我校金盾局域网和整个金盾广域网的交流联系越来越密切，需要重新考虑一些服务器放置的位置，例如WEB服务器，如果直接将其暴露于防火墙外，无疑是不安全的；现状是：将其放置在防火墙后，防火墙的配置原则是：允许Web信息通过端口80到达Web服务器，这样的配置可以防止攻击者直接攻击网络内部，但是攻击者可以通过端口80攻击Web服务器并获得远程超级用户权限，进而通过Web服务器攻击内部网络。目前，虽然在整个金盾网广域网的内部还没有发生严重的攻击事件，但从整个网络环境上看，网络安全形势严峻，其次从发展变化的角度看，必须未雨绸缪，基于以上理由，提出新的防火墙部署方案。

该部署方案最大的特色就是设置了DMZ（停火区），DMZ的安全性高于外部网络（除我校金盾网以外的金盾网），低于内部网络（我校内部金盾网）。在DMZ中放置公共服务器，例如WEB、FTP、SMTO、POP3、MAIL等服务器，这些服务器只承担代理数据访问职责并不涉及敏感数据，将数据库系统、应用程序等涉及敏感数据的服务器保护在内网当中。内部网络即可访问DMZ又可访问外部网络，但对访问DMZ做一定的限制，防止内部用户对DMZ进行攻击；一般情况下，对于内部网络和外部网络，DMZ均可访问，但是为了保持内部网络的高安全级别，严格限制DMZ访问内部网络，在必要的情况下，只将内部网络某些特定端口的访问权限授予DMZ；严禁外部网络访问内部网络。设置DMZ的优点显而易见，为内部网络设置了一道保护屏障，任何攻击者企图攻击内部网络必须先突破此道屏障，这显然比直接攻击内部网络要困难的多。

目前，很流行部署双防火墙，层次结构为外部防火墙、DMZ、内部防火墙、这种部署方案的动机在于用内部防火墙来弥补外部防火墙的漏洞，但是防火墙如果没有达到预期的安全效果，问题是在于防火墙的安全配置策略有漏洞或者不完善，部署双层防火墙并不会增加安全性，并且有成本高、管理复杂等一系列问题，基于以上分析，建议我校未来的防火墙部署方案采取以下部署方案，如图：

⑵认证系统的改善。随着信息化建设的推进，将从公安部自上而下按照行政层级建立层级式的证书中心CA，部局二级证书中心为我校设立的三级证书中心颁发身份证书，我校证书中心CA为本信息系统的使用人员颁发证书。同时，我校也将部署总队级权限管理中心，为我校信息系统提供分配和回收用户权限等服务，对我校金盾网系统资源进行访问控制，并且可以实现上下级用户权限的转换以实现与其他各级信息系统的互通。我校金盾网信息系统将逐步实现使用者每人配备一个身份认证设备，以实现身份认证和权限管理的配合。对于认证系统来说，如何正确使用证书关系到整个金盾网信息系统的安全，鉴于证书使用的重要性，提出以下建议：

定期开展网络安全讲座，普及数字证书安全使用方法以及相关管理规定，提高全员网络安全意识；完善数字证书管理机制，建立专门数字证书管理台账，责任落实到人，“谁使用，谁负责”，数字证书一旦遗失，及时上报注销，尽可能降低网络安全风险；对本部门挂职、借调、转业、退休人员数字证书的上缴和变更要做出具体的规定；定期撰写我校数字证书使用情况报告书，分析存在问题，清理从未使用的数字证书，提高数字证书的使用率，充分发挥数字证书的作用。

⑶终端安全系统的改善。调查显示，在全球计算机网络遭受的攻击和破坏当中，八成来源于网络内部，而防火墙，入侵检测系统等传统的安全防护手段往往对来源于网络内部的攻击和破坏束手无策。我国通常采用制度监管的方式监控和审计内部网络行为，而国外多采用了先进的技术手段监管内部网络行为，效果更为明显。我校金盾网终端分布范围广，使用人员杂，人员网络安全意识参差不齐，网络终端安全问题较为突出。从网络终端入手，建立牢固的终端安全体系，才能形成全面立体的安全防护系统。

我校的终端安全体系中除按照规定部署“一机两网”监控软件、补丁分发管理系统和桌面管理系统以外，还部署了“360安全卫士8.1企业定制版”和“病毒防治系统，下面重点分析后两者。

第一：病毒防治系统部署情况

我校网络终端数量大，任何一台终端感染病毒，都将威胁整个网络的安全，影响网络正常运行的性能，建立完善的病毒防治系统是我校网络安全防护系统中必不可少的环节。病毒防治系统查杀潜伏病毒、保护系统抵御攻击、将安全风险降低。我校共设置三个网段，每个网段由一台病毒防治服务器负责，负责训练部网段的病毒防治服务器和负责学员队机关的病毒防治服务器均安装了瑞星杀毒软件服务器端，负责多媒体教学网段的病毒防治服务器安装了卡巴斯基杀毒软件服务器端，各终端上均安装防病毒客户端软件。这三台病毒服务器定期升级病毒库和主程序，然后再升级各自负责的防病毒客户端，形成了体系化的病毒防治系统。我校多媒体终端分布于教学楼各层的每间教室，承担了我校绝大多数的教学工作，此外还承担了转播教育等一系列日常工作，接触人员多，使用频繁，感染病毒的风险大，感染病毒的种类杂，在负责这一网段的病毒防治服务器上安装卡巴斯基杀毒软件，是鉴于该软件在世界杀毒软件排行榜位居首位，杀毒性能卓越，可实现真正意义上的带毒杀毒，使用它在这一病毒形势严峻的网段，更能确保全面的查杀病毒。但卡巴斯基杀毒软件的缺点也是显而易见，运行时大量占用内存，升级频繁，影响系统运行速度和功能，鉴于此，在使用人员相对单纯的训练部网段和机关各学员大队网段安装了瑞星杀毒软件服务器端的病毒服务器进行管理和控制，既可以保证查杀病毒的需要，又能确保系统性能的稳定。

第二：360安全卫士8.1企业定制版部署情况

安装360安全卫士8.1企业定制版的主要目的在于便于我校信息中心的网络管理人员监管我校所有的计算机终端和我校终端用户主动维护计算机终端安全运行环境，360安全卫士在查杀插件、木马，修复系统，修补漏洞方面功能非常强大，弥补其他终端安全手段的不足，巩固终端安全系统。

[参考文献]

[1]贺雪晨.信息对抗与网络安全.清华大学出版社（第2版），2010，5.

[2]陈益均，张小蓉.立体化的校园网安全体系.计算机安全，2008，（5）：67-69.

[3]周凌.基于校园网的入侵检测系统的研究.计算机教学和教育信息化，2008，（1）：91-94.

⑵网络安全日常管理制度。据调查数据表明，80%的网络攻击都来源于网络内部，规范内部用户的网络行为，制定相应的处罚制度，从源头上消除安全隐患是保障我校金盾网安全最为行之有效的制度手段。信息中心、教研室和各学员大队都应建立一套责任落实、目标明确的管理制度，制定出具体安全操作制度、安全监测记录制度以及软件升级制度，将日常的安全管理工作落实到人，部门领导承担起督促的责任。严格按《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》，对我校网上违规行为进行查处，制定责任追究方案，规范责任追究程序，明确责任追究部门，加大通报力度，制定具体的处罚细则，建立督促整改制度。

⑶建立网络安全管理人才的培训制度。提高我校网络管理人员的业务素质，培养网络技术人才也是提高金盾网安全的重要手段。先进的安全防范设施只有由精通网络安全管理技术的人员使用才能发挥作用。我校未来应该和实力雄厚的安全公司、厂家积极沟通交流，定期开展网络安全知识讲座，普及网络安全知识，提高全员网络安全意识；对本身具有计算机网络专业知识的人员进行定期培训，使之了解网络安全形势动态，掌握网络安全先进技术，培养优秀的网络安全管理人才为我校信息化建设注入新鲜的血液。

2.2 金盾网安全技术的改善

⑴防火墙系统部署的改善。鉴于我校金盾局域网和整个金盾广域网的交流联系越来越密切，需要重新考虑一些服务器放置的位置，例如WEB服务器，如果直接将其暴露于防火墙外，无疑是不安全的；现状是：将其放置在防火墙后，防火墙的配置原则是：允许Web信息通过端口80到达Web服务器，这样的配置可以防止攻击者直接攻击网络内部，但是攻击者可以通过端口80攻击Web服务器并获得远程超级用户权限，进而通过Web服务器攻击内部网络。目前，虽然在整个金盾网广域网的内部还没有发生严重的攻击事件，但从整个网络环境上看，网络安全形势严峻，其次从发展变化的角度看，必须未雨绸缪，基于以上理由，提出新的防火墙部署方案。

该部署方案最大的特色就是设置了DMZ（停火区），DMZ的安全性高于外部网络（除我校金盾网以外的金盾网），低于内部网络（我校内部金盾网）。在DMZ中放置公共服务器，例如WEB、FTP、SMTO、POP3、MAIL等服务器，这些服务器只承担代理数据访问职责并不涉及敏感数据，将数据库系统、应用程序等涉及敏感数据的服务器保护在内网当中。内部网络即可访问DMZ又可访问外部网络，但对访问DMZ做一定的限制，防止内部用户对DMZ进行攻击；一般情况下，对于内部网络和外部网络，DMZ均可访问，但是为了保持内部网络的高安全级别，严格限制DMZ访问内部网络，在必要的情况下，只将内部网络某些特定端口的访问权限授予DMZ；严禁外部网络访问内部网络。设置DMZ的优点显而易见，为内部网络设置了一道保护屏障，任何攻击者企图攻击内部网络必须先突破此道屏障，这显然比直接攻击内部网络要困难的多。

目前，很流行部署双防火墙，层次结构为外部防火墙、DMZ、内部防火墙、这种部署方案的动机在于用内部防火墙来弥补外部防火墙的漏洞，但是防火墙如果没有达到预期的安全效果，问题是在于防火墙的安全配置策略有漏洞或者不完善，部署双层防火墙并不会增加安全性，并且有成本高、管理复杂等一系列问题，基于以上分析，建议我校未来的防火墙部署方案采取以下部署方案，如图：

⑵认证系统的改善。随着信息化建设的推进，将从公安部自上而下按照行政层级建立层级式的证书中心CA，部局二级证书中心为我校设立的三级证书中心颁发身份证书，我校证书中心CA为本信息系统的使用人员颁发证书。同时，我校也将部署总队级权限管理中心，为我校信息系统提供分配和回收用户权限等服务，对我校金盾网系统资源进行访问控制，并且可以实现上下级用户权限的转换以实现与其他各级信息系统的互通。我校金盾网信息系统将逐步实现使用者每人配备一个身份认证设备，以实现身份认证和权限管理的配合。对于认证系统来说，如何正确使用证书关系到整个金盾网信息系统的安全，鉴于证书使用的重要性，提出以下建议：

定期开展网络安全讲座，普及数字证书安全使用方法以及相关管理规定，提高全员网络安全意识；完善数字证书管理机制，建立专门数字证书管理台账，责任落实到人，“谁使用，谁负责”，数字证书一旦遗失，及时上报注销，尽可能降低网络安全风险；对本部门挂职、借调、转业、退休人员数字证书的上缴和变更要做出具体的规定；定期撰写我校数字证书使用情况报告书，分析存在问题，清理从未使用的数字证书，提高数字证书的使用率，充分发挥数字证书的作用。

⑶终端安全系统的改善。调查显示，在全球计算机网络遭受的攻击和破坏当中，八成来源于网络内部，而防火墙，入侵检测系统等传统的安全防护手段往往对来源于网络内部的攻击和破坏束手无策。我国通常采用制度监管的方式监控和审计内部网络行为，而国外多采用了先进的技术手段监管内部网络行为，效果更为明显。我校金盾网终端分布范围广，使用人员杂，人员网络安全意识参差不齐，网络终端安全问题较为突出。从网络终端入手，建立牢固的终端安全体系，才能形成全面立体的安全防护系统。

我校的终端安全体系中除按照规定部署“一机两网”监控软件、补丁分发管理系统和桌面管理系统以外，还部署了“360安全卫士8.1企业定制版”和“病毒防治系统，下面重点分析后两者。

第一：病毒防治系统部署情况

我校网络终端数量大，任何一台终端感染病毒，都将威胁整个网络的安全，影响网络正常运行的性能，建立完善的病毒防治系统是我校网络安全防护系统中必不可少的环节。病毒防治系统查杀潜伏病毒、保护系统抵御攻击、将安全风险降低。我校共设置三个网段，每个网段由一台病毒防治服务器负责，负责训练部网段的病毒防治服务器和负责学员队机关的病毒防治服务器均安装了瑞星杀毒软件服务器端，负责多媒体教学网段的病毒防治服务器安装了卡巴斯基杀毒软件服务器端，各终端上均安装防病毒客户端软件。这三台病毒服务器定期升级病毒库和主程序，然后再升级各自负责的防病毒客户端，形成了体系化的病毒防治系统。我校多媒体终端分布于教学楼各层的每间教室，承担了我校绝大多数的教学工作，此外还承担了转播教育等一系列日常工作，接触人员多，使用频繁，感染病毒的风险大，感染病毒的种类杂，在负责这一网段的病毒防治服务器上安装卡巴斯基杀毒软件，是鉴于该软件在世界杀毒软件排行榜位居首位，杀毒性能卓越，可实现真正意义上的带毒杀毒，使用它在这一病毒形势严峻的网段，更能确保全面的查杀病毒。但卡巴斯基杀毒软件的缺点也是显而易见，运行时大量占用内存，升级频繁，影响系统运行速度和功能，鉴于此，在使用人员相对单纯的训练部网段和机关各学员大队网段安装了瑞星杀毒软件服务器端的病毒服务器进行管理和控制，既可以保证查杀病毒的需要，又能确保系统性能的稳定。

第二：360安全卫士8.1企业定制版部署情况

安装360安全卫士8.1企业定制版的主要目的在于便于我校信息中心的网络管理人员监管我校所有的计算机终端和我校终端用户主动维护计算机终端安全运行环境，360安全卫士在查杀插件、木马，修复系统，修补漏洞方面功能非常强大，弥补其他终端安全手段的不足，巩固终端安全系统。

[参考文献]

[1]贺雪晨.信息对抗与网络安全.清华大学出版社（第2版），2010，5.

[2]陈益均，张小蓉.立体化的校园网安全体系.计算机安全，2008，（5）：67-69.

[3]周凌.基于校园网的入侵检测系统的研究.计算机教学和教育信息化，2008，（1）：91-94.

⑵网络安全日常管理制度。据调查数据表明，80%的网络攻击都来源于网络内部，规范内部用户的网络行为，制定相应的处罚制度，从源头上消除安全隐患是保障我校金盾网安全最为行之有效的制度手段。信息中心、教研室和各学员大队都应建立一套责任落实、目标明确的管理制度，制定出具体安全操作制度、安全监测记录制度以及软件升级制度，将日常的安全管理工作落实到人，部门领导承担起督促的责任。严格按《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》，对我校网上违规行为进行查处，制定责任追究方案，规范责任追究程序，明确责任追究部门，加大通报力度，制定具体的处罚细则，建立督促整改制度。

⑶建立网络安全管理人才的培训制度。提高我校网络管理人员的业务素质，培养网络技术人才也是提高金盾网安全的重要手段。先进的安全防范设施只有由精通网络安全管理技术的人员使用才能发挥作用。我校未来应该和实力雄厚的安全公司、厂家积极沟通交流，定期开展网络安全知识讲座，普及网络安全知识，提高全员网络安全意识；对本身具有计算机网络专业知识的人员进行定期培训，使之了解网络安全形势动态，掌握网络安全先进技术，培养优秀的网络安全管理人才为我校信息化建设注入新鲜的血液。

2.2 金盾网安全技术的改善

⑴防火墙系统部署的改善。鉴于我校金盾局域网和整个金盾广域网的交流联系越来越密切，需要重新考虑一些服务器放置的位置，例如WEB服务器，如果直接将其暴露于防火墙外，无疑是不安全的；现状是：将其放置在防火墙后，防火墙的配置原则是：允许Web信息通过端口80到达Web服务器，这样的配置可以防止攻击者直接攻击网络内部，但是攻击者可以通过端口80攻击Web服务器并获得远程超级用户权限，进而通过Web服务器攻击内部网络。目前，虽然在整个金盾网广域网的内部还没有发生严重的攻击事件，但从整个网络环境上看，网络安全形势严峻，其次从发展变化的角度看，必须未雨绸缪，基于以上理由，提出新的防火墙部署方案。

该部署方案最大的特色就是设置了DMZ（停火区），DMZ的安全性高于外部网络（除我校金盾网以外的金盾网），低于内部网络（我校内部金盾网）。在DMZ中放置公共服务器，例如WEB、FTP、SMTO、POP3、MAIL等服务器，这些服务器只承担代理数据访问职责并不涉及敏感数据，将数据库系统、应用程序等涉及敏感数据的服务器保护在内网当中。内部网络即可访问DMZ又可访问外部网络，但对访问DMZ做一定的限制，防止内部用户对DMZ进行攻击；一般情况下，对于内部网络和外部网络，DMZ均可访问，但是为了保持内部网络的高安全级别，严格限制DMZ访问内部网络，在必要的情况下，只将内部网络某些特定端口的访问权限授予DMZ；严禁外部网络访问内部网络。设置DMZ的优点显而易见，为内部网络设置了一道保护屏障，任何攻击者企图攻击内部网络必须先突破此道屏障，这显然比直接攻击内部网络要困难的多。

目前，很流行部署双防火墙，层次结构为外部防火墙、DMZ、内部防火墙、这种部署方案的动机在于用内部防火墙来弥补外部防火墙的漏洞，但是防火墙如果没有达到预期的安全效果，问题是在于防火墙的安全配置策略有漏洞或者不完善，部署双层防火墙并不会增加安全性，并且有成本高、管理复杂等一系列问题，基于以上分析，建议我校未来的防火墙部署方案采取以下部署方案，如图：

⑵认证系统的改善。随着信息化建设的推进，将从公安部自上而下按照行政层级建立层级式的证书中心CA，部局二级证书中心为我校设立的三级证书中心颁发身份证书，我校证书中心CA为本信息系统的使用人员颁发证书。同时，我校也将部署总队级权限管理中心，为我校信息系统提供分配和回收用户权限等服务，对我校金盾网系统资源进行访问控制，并且可以实现上下级用户权限的转换以实现与其他各级信息系统的互通。我校金盾网信息系统将逐步实现使用者每人配备一个身份认证设备，以实现身份认证和权限管理的配合。对于认证系统来说，如何正确使用证书关系到整个金盾网信息系统的安全，鉴于证书使用的重要性，提出以下建议：

定期开展网络安全讲座，普及数字证书安全使用方法以及相关管理规定，提高全员网络安全意识；完善数字证书管理机制，建立专门数字证书管理台账，责任落实到人，“谁使用，谁负责”，数字证书一旦遗失，及时上报注销，尽可能降低网络安全风险；对本部门挂职、借调、转业、退休人员数字证书的上缴和变更要做出具体的规定；定期撰写我校数字证书使用情况报告书，分析存在问题，清理从未使用的数字证书，提高数字证书的使用率，充分发挥数字证书的作用。

⑶终端安全系统的改善。调查显示，在全球计算机网络遭受的攻击和破坏当中，八成来源于网络内部，而防火墙，入侵检测系统等传统的安全防护手段往往对来源于网络内部的攻击和破坏束手无策。我国通常采用制度监管的方式监控和审计内部网络行为，而国外多采用了先进的技术手段监管内部网络行为，效果更为明显。我校金盾网终端分布范围广，使用人员杂，人员网络安全意识参差不齐，网络终端安全问题较为突出。从网络终端入手，建立牢固的终端安全体系，才能形成全面立体的安全防护系统。

我校的终端安全体系中除按照规定部署“一机两网”监控软件、补丁分发管理系统和桌面管理系统以外，还部署了“360安全卫士8.1企业定制版”和“病毒防治系统，下面重点分析后两者。

第一：病毒防治系统部署情况

我校网络终端数量大，任何一台终端感染病毒，都将威胁整个网络的安全，影响网络正常运行的性能，建立完善的病毒防治系统是我校网络安全防护系统中必不可少的环节。病毒防治系统查杀潜伏病毒、保护系统抵御攻击、将安全风险降低。我校共设置三个网段，每个网段由一台病毒防治服务器负责，负责训练部网段的病毒防治服务器和负责学员队机关的病毒防治服务器均安装了瑞星杀毒软件服务器端，负责多媒体教学网段的病毒防治服务器安装了卡巴斯基杀毒软件服务器端，各终端上均安装防病毒客户端软件。这三台病毒服务器定期升级病毒库和主程序，然后再升级各自负责的防病毒客户端，形成了体系化的病毒防治系统。我校多媒体终端分布于教学楼各层的每间教室，承担了我校绝大多数的教学工作，此外还承担了转播教育等一系列日常工作，接触人员多，使用频繁，感染病毒的风险大，感染病毒的种类杂，在负责这一网段的病毒防治服务器上安装卡巴斯基杀毒软件，是鉴于该软件在世界杀毒软件排行榜位居首位，杀毒性能卓越，可实现真正意义上的带毒杀毒，使用它在这一病毒形势严峻的网段，更能确保全面的查杀病毒。但卡巴斯基杀毒软件的缺点也是显而易见，运行时大量占用内存，升级频繁，影响系统运行速度和功能，鉴于此，在使用人员相对单纯的训练部网段和机关各学员大队网段安装了瑞星杀毒软件服务器端的病毒服务器进行管理和控制，既可以保证查杀病毒的需要，又能确保系统性能的稳定。

第二：360安全卫士8.1企业定制版部署情况

安装360安全卫士8.1企业定制版的主要目的在于便于我校信息中心的网络管理人员监管我校所有的计算机终端和我校终端用户主动维护计算机终端安全运行环境，360安全卫士在查杀插件、木马，修复系统，修补漏洞方面功能非常强大，弥补其他终端安全手段的不足，巩固终端安全系统。

[参考文献]

[1]贺雪晨.信息对抗与网络安全.清华大学出版社（第2版），2010，5.

[2]陈益均，张小蓉.立体化的校园网安全体系.计算机安全，2008，（5）：67-69.

[3]周凌.基于校园网的入侵检测系统的研究.计算机教学和教育信息化，2008，（1）：91-94.