首页 -> 2007年第1期

校园网络的安全性策略

作者:薛彩菊




  目前,大多数学校网络建设经费投入严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。同时,校园网电子邮件系统极不完善,无任何安全管理和监控的手段。网络病毒泛滥,造成网络性能急剧下降,重要数据丢失。缺乏集中管理、统一升级、统一监控的针对网络的防病毒体系。此外,校园网络上的用户网络安全意识淡薄,没有制订完善的网络安全管理制度。
  
  一、技术方面
  
  1.防火墙技术
  防火墙是实现网络安全最基本、最经济、最有效的安全措施之一,其特征是通过在网络边界建立相应的网络通信监控系统,通过监测、限制、更改跨越防火墙的数据流,并通过制定严格的安全策略,实现内外网络或内部网络不同信任域之间的隔离与访问控制,进而实现对应用系统的安全保护。设置防火墙,可实现外网与校园内网的隔离。
  
  2.入侵检测系统
  入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E mail),从而防止针对网络攻击行为。入侵检测系统一般包括控制台和探测器(网络引擎):控制台用于管理所有探测器(网络引擎);探测器(网络引擎)用于监控进出网络的访问行为并根据控制台的指令执行相应行为。配置入侵检测系统,可实时监控外来入侵和内部用户的非授权操作。
  
  3.漏洞扫描技术
  漏洞扫描技术是一种弥补入侵检测系统不足的技术手段,用以自动检测系统的脆弱点,发现安全漏洞,及时进行修补,并可提供相应的安全建议,是一种非常积极的安全防护技术。如配备操作系统安全扫描系统,有利于发现操作系统可能存在的安全漏洞,从而提高了更新配置或升级的针对性。关闭一些不经常用的端口,从而减少受攻击的漏洞。定期对系统漏洞进行扫描和修补,确保系统的正常运行。
  
  4.身份认证技术
  认证技术有多种,如PKI公钥基础设施数字证书,主要用于确认数据信息的身份信任、完整性、不可否认性和秘密性。通过对外来用户的身份验证来保证外来访问的安全。
  
  5.病毒防御
  杀毒系统可以预防、扫描和杀除计算机病毒,防止病毒的传播扩散。“预防”——通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,当有病毒入侵时会对用户提示,从而阻止计算机病毒进入计算机系统和对系统进行破坏;“扫描”——通过对计算机病毒特征的判断(如自身校验、关键字、文件长度的变化等),对文件进行全方位扫描,确定病毒的类型,检测出病毒;“杀除”——通过对计算机病毒代码的分析,来杀除计算机病毒。
  
  二、管理方面
  
  在反病毒软件中,防火墙等构成的网络防御体系足以对抗网外的攻击。
  建立全校统一的身份认证系统。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
  严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
  针对来自校园网内的威胁,学校必须对学生进行网络安全教育的同时,进行道德教育,防止校园网内用户的相互攻击,从而引起网络故障和数据丢失。
  (责任编辑 陈国庆)