大學校園網(wǎng)絡安全防范

　　現(xiàn)在互聯(lián)網(wǎng)越來越流行，很多大學都建設了自己互聯(lián)網(wǎng)網(wǎng)站，方便把學校的內(nèi)容都在網(wǎng)上查找，但是，校園網(wǎng)站的安全問題也是尤為重要。在這里，學習啦小編為大家介紹某大學的校園網(wǎng)絡安全解決方案，希望能幫助到大家。

　　1、項目背景

　　隨著信息化程度的提高，越來越多的學(院)校建了校園網(wǎng)和網(wǎng)站，把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在網(wǎng)站，讓更多的人了解自己的校園，甚至在網(wǎng)上即時進行學 術交流等。在網(wǎng)絡信息技術高度發(fā)展的今天，xxx大學作為一個高等院校，為了方便學術交流、校友聯(lián)絡、招生報名、研究成果的發(fā)布等，建設自己的網(wǎng)站和郵件系統(tǒng)是必須的。在當前的信息互動交流中，電子郵件的應用憑借其快速、靈活的特點，在整個互聯(lián)網(wǎng)絡應用中有著舉足輕重的地位。xxx大學提供給師生優(yōu)質(zhì)的電子郵件服務，不僅僅可以更好地利用現(xiàn)有網(wǎng)絡資源為廣大師生服務，還可以充分向海內(nèi)外樹立和宣傳xxx大學的品牌形象，同時也方便了校友與母校的聯(lián)絡。

　　信息化程度的提高，極大地促進了教育事業(yè)的發(fā)展，但是隨之而來的卻是信息安全問題。xxx大學校園網(wǎng)以廣域網(wǎng)絡作為支撐平臺，如何保障網(wǎng)絡安全成為不可避免的重大問題。在xxx大學校園網(wǎng)中，無論是有意的攻擊，還是無意的誤操作，都將會給信息系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡上的信息、竊取用戶的口令和數(shù)據(jù)庫的信息;還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認自己的簽名;更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡節(jié)點、釋放計算機病毒等等。內(nèi)部工作人員能較多地接觸內(nèi)部信息，工作中的任何不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。

　　面對計算機網(wǎng)絡中的種種安全威脅，必須采取有力的措施來保證安全。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。在xxx大學校園網(wǎng)中，應防患于未然，一旦出了事，亡羊補牢，恐怕為時已晚。根據(jù)網(wǎng)絡安全監(jiān)測軟件的實際測試情況顯示，一個沒有安全防護措施的大型網(wǎng)絡，其安全漏洞可達1500個左右。目前的網(wǎng)絡中雖然采用一些安全產(chǎn)品，有一套安全制度，但由于各種客觀和主觀的原因仍然存在種種安全上的問題。同時，由于網(wǎng)絡的安全狀況隨著時間變化而變化，因此在作全網(wǎng)安全考慮時，除了合理的使用和配置各種安全軟件、硬件產(chǎn)品以外，日常的檢測和后續(xù)的服務也越來越受到重視。

　　2、網(wǎng)絡簡況

　　根據(jù)校園網(wǎng)拓撲圖，xxx大學通過10M的線路與下面的八個分校連接，通過10M的專線連接到Internet網(wǎng)絡上。

　　在xxx大學的網(wǎng)絡系統(tǒng)中，網(wǎng)絡設備產(chǎn)品類型包括路由器、防火墻、核心交換機、工作組交換機、以太網(wǎng)卡等，服務器平臺主要為TurboLinux，工作站系統(tǒng)平臺有：Win95/98/Me/XP/2000 Professional/NT Workstation等，主要的服務器為：Powermail郵件服務器、Oracle數(shù)據(jù)庫服務器、Apache互聯(lián)網(wǎng)服務器、Pro FTP文件傳輸服務器等等。

　　根據(jù)xxx大學本部服務器部署拓撲圖，本部網(wǎng)絡的服務器分成兩個部分，一部分是對外提供服務的WEB服務器群、DNS服務器和郵件服務器，另一部分是對內(nèi)提供服務的教學服務器、數(shù)據(jù)庫服務器、代理服務器等。對外提供服務的服務器接到了到CNCNet的防火墻的非軍事化區(qū)，而對內(nèi)提供服務的服務器直接接到了主干交換機上。

　　xxx大學校園網(wǎng)的財務專網(wǎng)，是通過網(wǎng)通提供的虛擬專網(wǎng)連接起來的一個單獨的廣域網(wǎng)絡，它通過財務信息發(fā)布服務器與整個校園網(wǎng)建立聯(lián)系。

　　3、系統(tǒng)分析

　　xxx大學校園網(wǎng)絡在規(guī)劃時，已考慮到了安全方面的問題，也采取了一些措施來保障網(wǎng)絡的安全，如使用防火墻、MPLS虛擬專用網(wǎng)等等。但是，這些安全措施是不完備的。

　　(1) 校園網(wǎng)只考慮了對外服務器的安全性，對內(nèi)服務器則是暴露在內(nèi)部交換機上，隨時可能受到來自內(nèi)部用戶的掃描、窺探和攻擊;

　　(2) 整個網(wǎng)絡沒有采取防病毒措施，如果病毒擴散，將會迅速蔓延到整個網(wǎng)絡，后果不堪設想;

　　(3) 在目前只有CNCNet出口的情況下，所有的服務器都接到一臺防火墻的DMZ上，從系統(tǒng)效率來看，這樣是不合適的，如果將來接到了CerNet上，可以考慮將一部分業(yè)務如郵件移到CerNet出口處的防火墻的DMZ區(qū)上。

　　根據(jù)安全評估和檢測的結(jié)果，發(fā)現(xiàn)有以下問題：

　　(4) 首先，整個網(wǎng)絡的結(jié)構(gòu)復雜，服務器繁多，網(wǎng)絡管理員沒有合適的工具及時對整個網(wǎng)絡的安全狀況及時做出評估，無法防患于未然;

　　(5) 其次，我們在對各服務器進行掃描的時候發(fā)現(xiàn)，有些服務器打開了多余的服務，攻擊者可以通過它們威脅服務器的安全;

　　(6) 最后，有些服務程序本身存在漏洞，這些漏洞可以通過升級服務程序或者對服務器進行設置進行彌補。

　　因此，我們不僅要采用新的安全設備和技術手段來加固現(xiàn)有的網(wǎng)絡系統(tǒng)，而且還要使用專業(yè)的安全服務對現(xiàn)有的服務器進行安全改造，全方位提高網(wǎng)絡的安全性。

　　4、方案實施

　　我們綜合采用防火墻、入侵檢測、內(nèi)容過濾和安全評估技術，建立xxx大學校園網(wǎng)安全系統(tǒng)框架：

　　(1) 建立完整可行的網(wǎng)絡安全、網(wǎng)絡管理策略與技術組織措施;

　　(2) 利用防火墻將內(nèi)部網(wǎng)絡、對外服務器網(wǎng)絡和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡直接通信;

　　(3) 利用防火墻建立網(wǎng)絡各主機和對外服務器的安全保護措施，保證系統(tǒng)安全;

　　(4) 利用防火墻對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕;利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內(nèi);

　　(5) 利用防火墻全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和阻止非法操作;

　　(6) 利用防火墻及各服務器上的審計記錄，形成一個完善的審計體系，在策略之后建立第二條防線;

　　(7) 在本部和各分校，利用入侵檢測系統(tǒng)，監(jiān)測對內(nèi)，對外服務器的訪問;

　　(8) 在本部和各分校，利用入侵檢測系統(tǒng)，對服務請求內(nèi)容進行控制，使非法訪問在到達主機前被阻斷;

　　(9) 在本部使用入侵檢測系統(tǒng)的控制臺，對各分校的探測器進行統(tǒng)一管理;

　　(10) 在Internet出口處，使用NetHawk網(wǎng)絡行為監(jiān)控系統(tǒng)進行網(wǎng)絡活動實時監(jiān)控和內(nèi)容過濾;

　　(11) 在本部部署RJ-iTop網(wǎng)絡隱患掃描系統(tǒng)，定期對整個網(wǎng)絡的安全狀況進行評估，及時彌補出現(xiàn)的漏洞;

　　(12) 使用安全加固手段對現(xiàn)有服務器進行安全配置，保障服務器本身的安全性;

　　(13) 加強網(wǎng)絡安全管理，提高校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術