大學(xué)校園網(wǎng)絡(luò)安全防范
現(xiàn)在互聯(lián)網(wǎng)越來(lái)越流行,很多大學(xué)都建設(shè)了自己互聯(lián)網(wǎng)網(wǎng)站,方便把學(xué)校的內(nèi)容都在網(wǎng)上查找,但是,校園網(wǎng)站的安全問(wèn)題也是尤為重要。在這里,學(xué)習(xí)啦小編為大家介紹某大學(xué)的校園網(wǎng)絡(luò)安全解決方案,希望能幫助到大家。
1、項(xiàng)目背景
隨著信息化程度的提高,越來(lái)越多的學(xué)(院)校建了校園網(wǎng)和網(wǎng)站,把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在網(wǎng)站,讓更多的人了解自己的校園,甚至在網(wǎng)上即時(shí)進(jìn)行學(xué) 術(shù)交流等。在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天,xxx大學(xué)作為一個(gè)高等院校,為了方便學(xué)術(shù)交流、校友聯(lián)絡(luò)、招生報(bào)名、研究成果的發(fā)布等,建設(shè)自己的網(wǎng)站和郵件系統(tǒng)是必須的。在當(dāng)前的信息互動(dòng)交流中,電子郵件的應(yīng)用憑借其快速、靈活的特點(diǎn),在整個(gè)互聯(lián)網(wǎng)絡(luò)應(yīng)用中有著舉足輕重的地位。xxx大學(xué)提供給師生優(yōu)質(zhì)的電子郵件服務(wù),不僅僅可以更好地利用現(xiàn)有網(wǎng)絡(luò)資源為廣大師生服務(wù),還可以充分向海內(nèi)外樹(shù)立和宣傳xxx大學(xué)的品牌形象,同時(shí)也方便了校友與母校的聯(lián)絡(luò)。
信息化程度的提高,極大地促進(jìn)了教育事業(yè)的發(fā)展,但是隨之而來(lái)的卻是信息安全問(wèn)題。xxx大學(xué)校園網(wǎng)以廣域網(wǎng)絡(luò)作為支撐平臺(tái),如何保障網(wǎng)絡(luò)安全成為不可避免的重大問(wèn)題。在xxx大學(xué)校園網(wǎng)中,無(wú)論是有意的攻擊,還是無(wú)意的誤操作,都將會(huì)給信息系統(tǒng)帶來(lái)不可估量的損失。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息、竊取用戶的口令和數(shù)據(jù)庫(kù)的信息;還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名;更有甚者,攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)、釋放計(jì)算機(jī)病毒等等。內(nèi)部工作人員能較多地接觸內(nèi)部信息,工作中的任何不小心都可能給信息安全帶來(lái)危險(xiǎn)。這些都使信息安全問(wèn)題越來(lái)越復(fù)雜。
面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的種種安全威脅,必須采取有力的措施來(lái)保證安全。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地杜絕各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。在xxx大學(xué)校園網(wǎng)中,應(yīng)防患于未然,一旦出了事,亡羊補(bǔ)牢,恐怕為時(shí)已晚。根據(jù)網(wǎng)絡(luò)安全監(jiān)測(cè)軟件的實(shí)際測(cè)試情況顯示,一個(gè)沒(méi)有安全防護(hù)措施的大型網(wǎng)絡(luò),其安全漏洞可達(dá)1500個(gè)左右。目前的網(wǎng)絡(luò)中雖然采用一些安全產(chǎn)品,有一套安全制度,但由于各種客觀和主觀的原因仍然存在種種安全上的問(wèn)題。同時(shí),由于網(wǎng)絡(luò)的安全狀況隨著時(shí)間變化而變化,因此在作全網(wǎng)安全考慮時(shí),除了合理的使用和配置各種安全軟件、硬件產(chǎn)品以外,日常的檢測(cè)和后續(xù)的服務(wù)也越來(lái)越受到重視。
2、網(wǎng)絡(luò)簡(jiǎn)況
根據(jù)校園網(wǎng)拓?fù)鋱D,xxx大學(xué)通過(guò)10M的線路與下面的八個(gè)分校連接,通過(guò)10M的專線連接到Internet網(wǎng)絡(luò)上。
在xxx大學(xué)的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)設(shè)備產(chǎn)品類型包括路由器、防火墻、核心交換機(jī)、工作組交換機(jī)、以太網(wǎng)卡等,服務(wù)器平臺(tái)主要為T(mén)urboLinux,工作站系統(tǒng)平臺(tái)有:Win95/98/Me/XP/2000 Professional/NT Workstation等,主要的服務(wù)器為:Powermail郵件服務(wù)器、Oracle數(shù)據(jù)庫(kù)服務(wù)器、Apache互聯(lián)網(wǎng)服務(wù)器、Pro FTP文件傳輸服務(wù)器等等。
根據(jù)xxx大學(xué)本部服務(wù)器部署拓?fù)鋱D,本部網(wǎng)絡(luò)的服務(wù)器分成兩個(gè)部分,一部分是對(duì)外提供服務(wù)的WEB服務(wù)器群、DNS服務(wù)器和郵件服務(wù)器,另一部分是對(duì)內(nèi)提供服務(wù)的教學(xué)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、代理服務(wù)器等。對(duì)外提供服務(wù)的服務(wù)器接到了到CNCNet的防火墻的非軍事化區(qū),而對(duì)內(nèi)提供服務(wù)的服務(wù)器直接接到了主干交換機(jī)上。
xxx大學(xué)校園網(wǎng)的財(cái)務(wù)專網(wǎng),是通過(guò)網(wǎng)通提供的虛擬專網(wǎng)連接起來(lái)的一個(gè)單獨(dú)的廣域網(wǎng)絡(luò),它通過(guò)財(cái)務(wù)信息發(fā)布服務(wù)器與整個(gè)校園網(wǎng)建立聯(lián)系。
3、系統(tǒng)分析
xxx大學(xué)校園網(wǎng)絡(luò)在規(guī)劃時(shí),已考慮到了安全方面的問(wèn)題,也采取了一些措施來(lái)保障網(wǎng)絡(luò)的安全,如使用防火墻、MPLS虛擬專用網(wǎng)等等。但是,這些安全措施是不完備的。
(1) 校園網(wǎng)只考慮了對(duì)外服務(wù)器的安全性,對(duì)內(nèi)服務(wù)器則是暴露在內(nèi)部交換機(jī)上,隨時(shí)可能受到來(lái)自內(nèi)部用戶的掃描、窺探和攻擊;
(2) 整個(gè)網(wǎng)絡(luò)沒(méi)有采取防病毒措施,如果病毒擴(kuò)散,將會(huì)迅速蔓延到整個(gè)網(wǎng)絡(luò),后果不堪設(shè)想;
(3) 在目前只有CNCNet出口的情況下,所有的服務(wù)器都接到一臺(tái)防火墻的DMZ上,從系統(tǒng)效率來(lái)看,這樣是不合適的,如果將來(lái)接到了CerNet上,可以考慮將一部分業(yè)務(wù)如郵件移到CerNet出口處的防火墻的DMZ區(qū)上。
根據(jù)安全評(píng)估和檢測(cè)的結(jié)果,發(fā)現(xiàn)有以下問(wèn)題:
(4) 首先,整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)復(fù)雜,服務(wù)器繁多,網(wǎng)絡(luò)管理員沒(méi)有合適的工具及時(shí)對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況及時(shí)做出評(píng)估,無(wú)法防患于未然;
(5) 其次,我們?cè)趯?duì)各服務(wù)器進(jìn)行掃描的時(shí)候發(fā)現(xiàn),有些服務(wù)器打開(kāi)了多余的服務(wù),攻擊者可以通過(guò)它們威脅服務(wù)器的安全;
(6) 最后,有些服務(wù)程序本身存在漏洞,這些漏洞可以通過(guò)升級(jí)服務(wù)程序或者對(duì)服務(wù)器進(jìn)行設(shè)置進(jìn)行彌補(bǔ)。
因此,我們不僅要采用新的安全設(shè)備和技術(shù)手段來(lái)加固現(xiàn)有的網(wǎng)絡(luò)系統(tǒng),而且還要使用專業(yè)的安全服務(wù)對(duì)現(xiàn)有的服務(wù)器進(jìn)行安全改造,全方位提高網(wǎng)絡(luò)的安全性。
4、方案實(shí)施
我們綜合采用防火墻、入侵檢測(cè)、內(nèi)容過(guò)濾和安全評(píng)估技術(shù),建立xxx大學(xué)校園網(wǎng)安全系統(tǒng)框架:
(1) 建立完整可行的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理策略與技術(shù)組織措施;
(2) 利用防火墻將內(nèi)部網(wǎng)絡(luò)、對(duì)外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離,避免與外部網(wǎng)絡(luò)直接通信;
(3) 利用防火墻建立網(wǎng)絡(luò)各主機(jī)和對(duì)外服務(wù)器的安全保護(hù)措施,保證系統(tǒng)安全;
(4) 利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制,使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕;利用防火墻加強(qiáng)合法用戶的訪問(wèn)認(rèn)證,同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限控制在最低限度內(nèi);
(5) 利用防火墻全面監(jiān)視對(duì)公開(kāi)服務(wù)器的訪問(wèn),及時(shí)發(fā)現(xiàn)和阻止非法操作;
(6) 利用防火墻及各服務(wù)器上的審計(jì)記錄,形成一個(gè)完善的審計(jì)體系,在策略之后建立第二條防線;
(7) 在本部和各分校,利用入侵檢測(cè)系統(tǒng),監(jiān)測(cè)對(duì)內(nèi),對(duì)外服務(wù)器的訪問(wèn);
(8) 在本部和各分校,利用入侵檢測(cè)系統(tǒng),對(duì)服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制,使非法訪問(wèn)在到達(dá)主機(jī)前被阻斷;
(9) 在本部使用入侵檢測(cè)系統(tǒng)的控制臺(tái),對(duì)各分校的探測(cè)器進(jìn)行統(tǒng)一管理;
(10) 在Internet出口處,使用NetHawk網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控和內(nèi)容過(guò)濾;
(11) 在本部部署RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng),定期對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估,及時(shí)彌補(bǔ)出現(xiàn)的漏洞;
(12) 使用安全加固手段對(duì)現(xiàn)有服務(wù)器進(jìn)行安全配置,保障服務(wù)器本身的安全性;
(13) 加強(qiáng)網(wǎng)絡(luò)安全管理,提高校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)