校园网络信息安全技术方案的研究
【摘要】我国校园网建设日渐增多,网络信息安全对保证校园自身的运行以及最大限度地发挥校园网的作用是不可替代的。信息技术的安全体系必须集成多种安全技术实现,文章探讨了虚拟网络技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等在校园建设的应用。
【关键词】网络;信息技术;信息安全 1、 校园息安全现状
随着校园网络互联的迅速扩大,网络应用的增加,学校越来越关心整个校园息安全问题。在现有的网络和应用系统中,基本未采用任何安全措施 ,主机仅仅靠PASSWD来维持自身安全,并且主机操作系统和应用系统的安全漏洞也未作任何处理,系统管理上也存在着诸如ROOT用户无口令或长期不改口令等许多问题,这一切都形成了严重的安全问题,严重的威胁着校园网的安全。在近来的网络监控中,也常发现有系统和主机被试图入侵的情况,对辖内的系统和主机的检查扫描中发现了大量的安全漏洞,并且有许多安全漏洞是很难避免和根除的。另外,通过网络进行传播的计算机及网络病毒严重影响校园网正常运行。 2、 信息安全威胁
以下安全问题均可能对校园网的正常运行造成严重威胁:校园网内部应用系统与其它系统未进行物理隔离、与其他单位的互联未进行物理隔离、对计算机和网络病毒未采用充分手段进行防御、对存在的已知安全漏洞缺乏评估。一般学校没有能力采用技术和行政手段对是否受到入侵进行监控审计和监控措施。同时缺乏强有力的认证系统。 3、 学校对信息网络安全的需求
一个安全运行的校园网,以下的基本安全要求是必须满足的:内部网与其它信息系统使用防火墙隔离、与互联的其它网络使用防火墙隔离;网络管理员必须对辖内信息系统的安全状况进行周期性评估,并根据评估结果采用相应措施;网络系统能够监视、记录黑客可能发起的攻击;必须有全面的病毒防御体系,以阻止病毒的传播,恢复已被病毒感染的设备及数据;同时有完善的备份系统,敏感系统在公网上的传输必须加密。 4、 校园息安全技术的应用
网络安全技术发展到今天,已经有成熟的方案来对付来自各方面的安全威胁。信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。 4.1 虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此,防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。 4.2 防火墙技术
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, Sequence Insert, teardrop, sync-flood , IP spoofing 攻击等。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提
供内络通讯。 4.3 入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门。入侵者可能就在防火墙内。由于性能的,防火墙通常不能提供实时的入侵检测能力,保护措施单一。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测机采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先他能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。 4.4 安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙,安全监控系统互相配合能够提供高安全性的网络。安全扫描工具源于Hacker在入侵网络系统是采用的工具。商品的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议,通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。 4.5 伪装技术
伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。 4.6 病毒防护
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
病毒的传播途径大约分为:通过ftp,电子邮件传播;通过软盘、光盘、磁带传播;通过Web浏览传播,主要恶意的Java控件及ActiveX控件网站;通过群件系统传播等。病毒防护的主要技术如下:1.阻止病毒的传播:在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件;2.在桌面PC安装病毒监控软件检查和清除病毒。
4.7 电子邮件系统安全
电子邮件系统也是信息网与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。如刚刚发现的电子邮件附件超长文件名导致的安全漏洞能够非法获取客户的本地数据或破坏本地的数据系统。
加强电子邮件系统的安全性,通常有如下办法:设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站。同样为该服务器安装实施监控和过滤系统。该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。 4.8 操作系统安全
校园网内通常会运行许多种(版本)操作系统,联网功能也许是目前最重要的功能之一。联网的计算机就有可能受到攻击。市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,出来不断地增加安全不定外,还需要:周期检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)基于系统的安全监
控系统和使用增强的认证手段如使用数字证书或IC卡对用户进行认证。 5、 总结
以上几种技术,在建设校园网时,可以综合起来考虑,交叉使用,这样对保证校园息网络的安全会起到良好的作用,实践证明,这些方案是可行的。 【参考文献】
[ 1 ]程文娟,网络入侵检测技术研究[ J ].淮南师范学院学报,1999.(2) [ 2 ]邵丽,我国信息化建设中的网络安全问题[ J ].微型机与应用,1999,(4) [ 3 ]申蔚,校园网建设的实践与思考[ J ].网络世界,2000,(48)
