近年來,網絡變得越來越流行。是人們工作、學習、生活的便捷工具和豐富資源。然而,我們不得不註意到,網絡雖然強大,但也有其脆弱和易受攻擊的壹面。據美國聯邦調查局統計,美國每年因網絡安全問題造成的經濟損失高達75億美元,全球平均每20秒就發生壹起互聯網計算機入侵事件。在我國,每年黑客入侵和計算機病毒破壞也造成巨大的經濟損失。人們在利用網絡優勢的同時,也不能忽視網絡安全。作為學校,如何建立壹個相對安全的校園網絡系統值得我們關註和研究。
校園網絡安全體系的建立主要依靠三個方面:壹是威嚴的法律;第二,技術先進;三是嚴格管理。
從技術角度來看,目前常用的安全措施有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由、網絡殺毒等。這些技術對防止非法入侵系統起到了壹定的防禦作用。代理和防火墻作為壹種隔離內外網絡的技術,被廣泛應用於校園網絡安全建設中。
網絡現狀
我們學校是市裏的壹所壹流中學。目前有兩個網絡教室,200多臺教學辦公電腦。校園網壹期工程建立了面向全校教學和科研的計算機信息網絡,實現了校園計算機聯網,信息資源共享,並通過中國公眾互聯網(CHINANET)與國際互聯網互聯。校園網絡結構為:校園內建築之間的連接采用多模光纖,以網管中心為中心,輻射到其他建築和樓棟。3Com 4900交換機是核心交換機;次級開關是3Com 3300。
潛在的安全隱患
當時,校園網的安全隱患和漏洞有:
1.校園網通過CHINANET與互聯網相連。在享受互聯網便利的同時,也面臨著被攻擊的風險。
2.校園網也存在很大的安全隱患。由於內部用戶熟悉網絡結構和應用模式,來自內部的安全威脅更大。現在網絡上黑客攻擊工具泛濫,學生個體的心理特點決定了利用這些工具進行攻擊的可能性。
3.目前的操作系統存在安全漏洞,對網絡安全構成威脅。我們學校網絡服務器上安裝的操作系統是Windows2000 Server,其通用性和可操作性使其成為最不安全的系統:自身系統的漏洞,瀏覽器的漏洞,IIS的漏洞,這些都對原有的網絡安全構成威脅。
4.隨著計算機應用在校園中的廣泛普及,越來越多的節點接入校園網,而這些節點大多沒有采取壹定的防護措施,隨時可能造成病毒泛濫、信息丟失、數據損壞、網絡攻擊、系統癱瘓等嚴重後果。
因此,構建壹個必要的信息安全防護體系,建立有效的網絡安全機制顯得尤為重要。
措施和解決方案
根據我校校園網的結構特點及其面臨的安全風險,我們決定采取以下安全方案和措施。
首先,安全代理部署
安全代理(ISA)部署在校園網的Internet和intranet之間,具有防火墻的功能,在intranet和intranet之間形成壹道安全屏障。其中,WWW、MAIL、FTP、DNS在安全代理中連接外部服務器,與內外網隔離。那麽,通過互聯網進來的公共用戶只能訪問壹些公共服務(如WWW、MAIL、FTP、DNS等。),既保護內網資源不被外部未授權用戶非法訪問或破壞,又防止內部用戶濫用外部不良資源,還可以跟蹤和審計網絡中發生的安全事件。可以根據以下原則配置安全客戶端設置,以提高網絡安全性:
1.根據校園網的安全策略和安全目標,規劃和設置正確的安全過濾規則,對IP包的內容進行審查,包括協議、端口、源地址、目的地址、流向等項目,嚴格禁止從公網對校園網進行不必要的非法訪問。總的來說,遵循的是“合則兩利,開則俱用”的原則。
2.安全代理被配置為過濾掉具有內部網絡地址的進入互聯網的IP分組,以防止源地址偽造和源路由類型攻擊;過濾掉使用非法IP地址離開內部網絡的IP數據包,以防止內部網絡發起的外部攻擊。
3.在安全代理上建立內網計算機IP地址和MAC地址的對應表,防止IP地址被盜用。
4、定期查看安全代理訪問日誌,及時發現攻擊行為和不良上網記錄,並將日誌保存90天。
5.允許通過配置網卡來設置安全代理,以提高安全代理管理的安全性。
第二,入侵檢測系統的部署
入侵檢測能力是衡量壹個防禦系統是否完整和有效的重要因素。壹個強大完整的入侵檢測系統可以彌補防火墻相對靜態防禦的不足。實時檢測來自外網和校園網的各種行為,及時發現各種可能的攻擊企圖,並采取相應的措施。具體來說,就是將入侵檢測引擎連接到中央交換機。入侵檢測系統集入侵檢測、網絡管理和網絡監控功能於壹體,能夠實時捕獲內外網之間傳輸的所有數據。利用內置的攻擊特征庫和模式匹配、智能分析等方法,檢測網絡上的入侵行為和異常現象,並將相關事件記錄在數據庫中,作為網絡管理員事後分析的依據。如果情況嚴重,系統可以實時報警,以便學校管理者及時采取措施。
第三,漏洞掃描系統
目前最先進的漏洞掃描系統用於定期檢查工作站、服務器、交換機等的安全性。,並根據檢查結果向系統管理員提供詳細可靠的安全分析報告,對提高網絡安全整體水平有重要依據。
第四,諾頓在線殺毒產品部署
在這個網絡反病毒方案中,我們要達到的最終目的是杜絕病毒在整個局域網內的感染、傳播和攻擊。為了實現這壹點,我們應該在全網範圍內病毒可能感染和傳播的地方采取相應的反病毒措施。同時,為了有效、快速地實施和管理全網反病毒系統,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布式查殺等多種功能。
1.在學校網絡中心配置高效的Windows2000服務器,安裝諾頓軟件網絡版系統中心,負責管理200多個主機站點的計算機。
2.在各種管理和教學單位的200多臺主機上安裝諾頓防病毒軟件網絡版的客戶端。
3.安裝諾頓殺毒軟件網絡版後,在管理員控制臺將網絡中的所有客戶端設置為定期殺毒檢查,以確保所有客戶端即使在沒有互聯網連接的情況下也能定期檢查本機的殺毒。
4.網絡管理中心負責升級整個校園網絡。為了安全和管理方便,網絡中心的系統中心定期自動獲取最新的升級文件(包括病毒定義代碼、掃描引擎、程序文件等。)從諾頓網站下載,然後自動將最新的升級文件分發到其他200多個主機網點的客戶端和服務器上,自動更新諾頓殺毒軟件的網絡版,讓全校的殺毒數據庫始終處於最新狀態。
5.劃分內部虛擬專用網絡(VLAN),為內部有效的VLAN設置合法的地址池,為不同的VLAN開放相應的端口,防止廣播風暴。
6.實時升級Windows2000 Server、IE等軟件補丁,減少漏洞;實行個人辦公電腦實名登記制度。
七、安全管理
俗話說“三分技術,七分管理”,安全管理是保障網絡安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了壹套校園網絡安全管理模式,制定了詳細的安全管理制度,如機房管理制度、病毒防範制度、上網規定等。同時要註意人身安全,防止暴力損壞設備,防火、防雷、防潮、防塵、防盜等。,並采取切實有效的措施保證制度的實施。
近年來,通過上述措施的逐步實施,我校校園網能夠安全正常地運行,為學校教育教學的順利開展提供了有力的協助,並且越來越好。