校園網(wǎng)分層安全控制方案-教育文博

校園網(wǎng)分層安全控制方案-教育文博

導讀：近年來，我國現(xiàn)代教育技術(shù)得到了飛速的發(fā)展，園區(qū)網(wǎng)建設(shè)和網(wǎng)絡(luò)教學不斷普及。但是，對于大多數(shù)網(wǎng)站和園區(qū)網(wǎng)來說，網(wǎng)絡(luò)管理員對于網(wǎng)絡(luò)安全重視不夠，對于網(wǎng)絡(luò)本身存在的缺陷知之甚少。其實，網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)教學及其它網(wǎng)絡(luò)應(yīng)用的前提和基礎(chǔ)，是網(wǎng)絡(luò)使用者不得不面對的問題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛，計算機網(wǎng)絡(luò)安全問題變得尤為突出。

近年來，我國現(xiàn)代教育技術(shù)得到了飛速的發(fā)展，園區(qū)網(wǎng)建設(shè)和網(wǎng)絡(luò)教學不斷普及。但是，對于大多數(shù)網(wǎng)站和園區(qū)網(wǎng)來說，網(wǎng)絡(luò)管理員對于網(wǎng)絡(luò)安全重視不夠，對于網(wǎng)絡(luò)本身存在的缺陷知之甚少。其實，網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)教學及其它網(wǎng)絡(luò)應(yīng)用的前提和基礎(chǔ)，是網(wǎng)絡(luò)使用者不得不面對的問題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛，計算機網(wǎng)絡(luò)安全問題變得尤為突出。

今年年初，從美國的Yahoo！網(wǎng)站開始，美國、歐洲及我國的一些著名網(wǎng)站不斷遭到黑客的攻擊，參與這次大規(guī)模攻擊的主機分別來自于加州大學、斯坦福大學的主機和Internet上的主機，這使人們對信息安全問題更加關(guān)注，同時也證明了作為Internet基礎(chǔ)的大學網(wǎng)絡(luò)是不安全的，防止園區(qū)網(wǎng)上的計算機被入侵，建立完善的網(wǎng)絡(luò)安全方案、保護核心資源已迫在眉睫。一、網(wǎng)絡(luò)安全的主要威脅影響網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來，主要有六個方面構(gòu)成對網(wǎng)絡(luò)的威脅：

1、人為失誤：一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應(yīng)進入網(wǎng)絡(luò)的人上網(wǎng)等，都會對網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。

2、病毒感染：從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑，病毒很容易地通過代理服務(wù)器以軟件下載、郵件接收等方式進入網(wǎng)絡(luò)，然后對網(wǎng)絡(luò)進行攻擊，造成很大的損失。

3、來自網(wǎng)絡(luò)外部的攻擊：這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。

4、來自網(wǎng)絡(luò)內(nèi)部的攻擊：在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后，查看機密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運行。

5、系統(tǒng)的漏洞及“后門”：操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。另外，遍程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。

6、隱私及機密資料的存儲和傳輸：機密資料存儲在網(wǎng)絡(luò)系統(tǒng)內(nèi)，當系統(tǒng)受到攻擊時，如不采取措施，很容易被搜集而造成泄密。同樣，機密資料在傳輸過程中，由于要經(jīng)過多個節(jié)點，且難以查證，在任何中介網(wǎng)站均可能被讀取。因而，隱私和機密資料的存儲及傳輸也是威脅網(wǎng)絡(luò)安全的一個重要方面。由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)和安全控制體系來堵塞安全漏洞。在園區(qū)網(wǎng)的建設(shè)中，尤其需要采用分層安全控制方案以保證信息的安全。二、分層安全控制方案在園區(qū)網(wǎng)安全方面，可以采用多種技術(shù)從不同角度來保證信息的安全。然而，單純的防護技術(shù)可能會導致系統(tǒng)安全的盲目性，這種盲目是對整個園區(qū)網(wǎng)系統(tǒng)的某個或某些方面的安全采取了安全措施而對其它方面有所忽視。因而，在園區(qū)網(wǎng)安全上，我們采用分層控制方案，將整個網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)傳輸控制層、內(nèi)外網(wǎng)間訪問控制層、園區(qū)網(wǎng)內(nèi)部訪問控制層、操作系統(tǒng)及應(yīng)用軟件層和數(shù)據(jù)存儲層，進而對各層的安全采取不同的技術(shù)措施。（一）外部網(wǎng)絡(luò)傳輸控制層：外部網(wǎng)絡(luò)是指園區(qū)網(wǎng)路由器和防火墻之外的公用網(wǎng)。當前網(wǎng)絡(luò)技術(shù)發(fā)展迅速，因特網(wǎng)四通八達，網(wǎng)上黑客手段多種多樣，為了保證安全，可以從四個方面采取措施：1、虛擬專網(wǎng)（VPN）技術(shù)：對于從專線連接的外部網(wǎng)絡(luò)用戶，采用虛擬專網(wǎng)（VPN）技術(shù)，它使架設(shè)于公眾網(wǎng)絡(luò)上的園區(qū)網(wǎng)使用信道協(xié)議及相關(guān)的安全程序進行保密，還可以采用點對點協(xié)議、加密后送出資料及加密收發(fā)兩端網(wǎng)絡(luò)位置等措施使虛擬專網(wǎng)更加可靠。

2、身份認證技術(shù)：對于撥號進入園區(qū)網(wǎng)的用戶進行嚴格控制，在撥號線路上加裝保密機，使無保密機的用戶無法撥通；通過用戶名和口令的認真檢查用戶身份；利用回撥技術(shù)再次確認和限制非法用戶的入侵。

3、加密技術(shù)：在外部網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程中，采用密碼技術(shù)對信息加密是最常用的安全保護手段。目前廣泛使用的有對稱算法和非對稱算法兩類加密算法，兩種方法結(jié)合使用，加上數(shù)字簽名、數(shù)字時間戳、數(shù)字水印及數(shù)字證書等技術(shù)，可以使通信安全得到保證。

4、物理隔離：公共網(wǎng)絡(luò)及因特網(wǎng)上黑客日益猖獗，加上我國使用的計算機及網(wǎng)絡(luò)設(shè)備的軟硬件產(chǎn)品大多數(shù)是進口的，安全上沒有很好的保證，因而將外部網(wǎng)絡(luò)中的因特網(wǎng)與專用網(wǎng)絡(luò)如軍用網(wǎng)實現(xiàn)物理隔離，使之沒有任何連接，可以使園區(qū)網(wǎng)與外部專用網(wǎng)絡(luò)連接時，園區(qū)網(wǎng)與Internet無物理聯(lián)系在安全上較為穩(wěn)妥。（二）內(nèi)外網(wǎng)間訪問控制層在園區(qū)網(wǎng)和外部網(wǎng)絡(luò)之間，可以采用以下技術(shù)來對外部和園區(qū)網(wǎng)網(wǎng)間的訪問進行控制：1、防火墻：是硬件和軟件的組合，他在內(nèi)部網(wǎng)和外部網(wǎng)間建立起一個安全網(wǎng)關(guān)，過濾經(jīng)過的數(shù)據(jù)包，決定是否將它們轉(zhuǎn)送到目的地。它能夠控制網(wǎng)絡(luò)進出的信息流向，提供園區(qū)網(wǎng)使用狀況和流量的審計、隱藏內(nèi)部IP地址及園區(qū)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié)。

2、防毒網(wǎng)關(guān)：防火墻無法防止病毒的傳播，因而需要安裝基于Internet網(wǎng)關(guān)的防毒軟件，具體可以安裝到代理服務(wù)器上，以防止Internet病毒及Java程序?qū)ο到y(tǒng)的破壞。

3、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)：當園區(qū)網(wǎng)內(nèi)部主機與外部相連時，使用同一IP地址；相反，外部網(wǎng)絡(luò)與園區(qū)網(wǎng)主機連接時，必須通過網(wǎng)關(guān)映射到園區(qū)網(wǎng)主機上。它使外部看不到園區(qū)網(wǎng)，從而隱藏內(nèi)部網(wǎng)絡(luò)，達到保密作用，同時，它還可以解決IP地址的不足。

4、代理服務(wù)及路由器：可以根據(jù)設(shè)置地址、服務(wù)、內(nèi)容等要素來控制用戶的訪問，代理服務(wù)器及路由器起訪問的中介作用，使園區(qū)網(wǎng)和外部網(wǎng)絡(luò)間不能直接訪問，從而保證內(nèi)部關(guān)鍵信息的安全。

5、安全掃描：可以通過各種安全掃描軟件對系統(tǒng)進行檢測與分析，迅速找到安全漏洞并加以修復。目前有多種軟件可以對設(shè)備進行掃描，檢查它們的弱點并生成報表。

6、入侵檢測：可以采用一些安全產(chǎn)品對網(wǎng)絡(luò)上流動的數(shù)據(jù)包進行檢查，識別非法入侵和其它可疑行為，并給予及時的響應(yīng)及防護。（三）園區(qū)網(wǎng)內(nèi)部訪問控制層在園區(qū)網(wǎng)內(nèi)部，非法用戶的登錄和對數(shù)據(jù)的非法修改更加不易查出。當用戶安全意識差、口令選擇或保存不慎、帳號轉(zhuǎn)借和共享都會對網(wǎng)絡(luò)安全造成極大的威脅，從園區(qū)網(wǎng)內(nèi)部訪問控制層進行安全防護，可采取五種措施。

1、用戶的身份認證：用戶入網(wǎng)訪問控制分為三步，即用戶名的驗證；用戶口令的驗證；用戶帳號的驗證。用戶口令是入網(wǎng)的關(guān)鍵，必須經(jīng)過加密，用戶還可采用一次一密的方法，或者使用智能卡來驗證用戶身份。同時，可將用戶與所用的計算機聯(lián)系起來，使用戶用固定的計算機上網(wǎng)，以減少用戶的流動性，加強管理。

2、權(quán)限控制：這是針對網(wǎng)絡(luò)非法操作提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源及用戶可執(zhí)行的操作。

3、加密技術(shù)：為存放秘密信息的服務(wù)器加裝密碼機，對園區(qū)網(wǎng)上傳輸?shù)拿孛苄畔⒓用?，以實現(xiàn)秘密數(shù)據(jù)的安全傳輸。

4、客戶端安全防護：首先，應(yīng)切斷病毒傳播的途徑，降低感染病毒的風險；其次，使用的瀏覽器必須確保符合安全標準，使客戶端的工作站得到安全保證。

5、安全檢測：使用安全檢測和掃描軟件對網(wǎng)絡(luò)設(shè)備和客戶端工作站進行檢測和分析，查找安全漏洞并加以修復，使用防病毒軟件進行病毒查找和殺毒工作。（四）操作系統(tǒng)及應(yīng)用軟件層操作系統(tǒng)是整個園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因而必須采取措施保證操作系統(tǒng)平臺的安全。安全措施主要包括：采用安全性較高的系統(tǒng)，對系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測等。1、采用安全性較高的系統(tǒng)：美國國防部技術(shù)標準把操作系統(tǒng)安全等級分為D1、C1、C2、B1、B2、B3、A級，安全等級由低到高，目前主要的操作系統(tǒng)等級為C2級。在使用C2級系統(tǒng)時，應(yīng)盡量使用C2級的安全措施及功能，對操作系統(tǒng)進行安全配置。在極端重要的園區(qū)網(wǎng)系統(tǒng)中，應(yīng)采用B級操作系統(tǒng)。

2、加密技術(shù)：對操作系統(tǒng)中某些重要的文件進行加密，防止非法出版的讀取及修改。

3、病毒的防范：在園區(qū)網(wǎng)主機上安裝防病毒軟件，對病毒進行定時或?qū)崟r的病毒掃描及檢測，對防病毒軟件進行及時升級以發(fā)現(xiàn)和殺滅新型的病毒。

4、安全掃描：通過對園區(qū)網(wǎng)主機進行一系列設(shè)置和掃描，對系統(tǒng)的各個環(huán)節(jié)提供可靠的分析結(jié)果，為系統(tǒng)管理員提供可靠性和安全性分析報告，對系統(tǒng)進行及時升級以彌補漏洞及關(guān)閉“后門”。

5、入侵檢測：安裝基于主機的入侵檢測系統(tǒng)，可檢查操作系統(tǒng)日志和其它系統(tǒng)特征，判斷入侵事件，在非法修改主頁時自動作出反應(yīng)，對已入侵的訪問和試圖入侵的訪問進行跟蹤記錄，并及時通知系統(tǒng)管理員，使管理員可對網(wǎng)絡(luò)的各種活動進行實時監(jiān)視。（五）數(shù)據(jù)存儲層數(shù)據(jù)存儲在服務(wù)器或加密終端上，數(shù)據(jù)存儲的安全性是系統(tǒng)安全性的重要組成部分。對數(shù)據(jù)的安全保護措施可以采用以下幾種方式：1、使用較安全的數(shù)據(jù)庫系統(tǒng)：目前的大多數(shù)數(shù)據(jù)庫系統(tǒng)是基于C2安全等級的。使用時，應(yīng)盡量使用C2級安全措施及功能。在重要的園區(qū)網(wǎng)系統(tǒng)中，在B級操作系統(tǒng)的基礎(chǔ)上采用B級數(shù)據(jù)庫系統(tǒng)。

2、加密技術(shù)：對于要求保密的數(shù)據(jù)，采用加密的方法進行存儲。加密存儲可以通過連接在服務(wù)器或終端機上的加密機完成。

3、數(shù)據(jù)庫安全掃描：采用安全掃描軟件對數(shù)據(jù)庫進行掃描和檢測，為數(shù)據(jù)庫管理系統(tǒng)找出存在的漏洞，以便及時升級系統(tǒng)、彌補漏洞。

4、存儲介質(zhì)的安全：可以通過磁盤鏡像、