校园网络安全解决方案
互联网自94年进入中国以来,得到了迅速的发展和极为广泛的应用,位于教育与科研前沿阵地的主力军-高校,责无旁贷的成为了互联网这一新技术和最有力推进者,从94年国家批复立项的中国教育与科研网工程起,高校的网络发展和网络技术的提高一直走在全国各行业的前头,大量的新技术在高校首先得到研究和应用并得以全面推广,中国教育与科研网和各高校的校园网络培养出了一批又一批网络的高级技术人才,为中国的科技事业和网络高级技术人才的培养做出了重大的贡献。但随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等等已经屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题;另一方面,高校是思想政治和意识形态的重要阵地,境外的敌对势力和其他有害青少年身心健康的内容和意识形态也尤其针对高
校开展了各种各样的宣传和蛊惑手段,而网络这一高科技的产物,在带给学生和老师的生活带来便利的同时毫无例外的成为了这些有害思想和内容的一个重要传播媒介,尤其从近一年多,“法轮功”等邪教组织也在利用先进的信息网络技术,传播其歪理邪说这一事例说明,解决网络安全问题刻不容缓。
一、校园网络的安全问题
大多数校园网络安全问题主要集中在以下几个方面: 1.
网络安全方面的投入严重不足,没有系统的网络安全设施
配备
大多数高校网络建设经费严重不足,有限的经费也主要投在网络设备上,对于网络安全建设一直没有比较系统的投入。校园网还基本处在一个开放的状态,没有任何有效的安全预警手段和防范措施。
2.
学校的上网场所管理较混乱
各校园网内有一批直接接入校园网的机房平时提供给学生和教职员工上网、学习。这在很大程度上缓解了大量学生对网络的渴求而学生自身由于没有计算机或者宿舍联网环境不够理想之间
的矛盾,为促进校园网内互联网的普及,做出了很大的贡献。但是,由于缺乏统一的管理软件和监控、日志系统,这些机房的管理基本处在各自为政的状态。绝大多数的机房的登记管理制度存在严重漏洞,上网用户的身份无法唯一识别;另外,由于机房的计算机为了管理上的方便,基本上都投入了大批资金安装了还原卡,计算机关机后启动即恢复到初始状态,但这在安全管理上就形成了很大的漏洞,无法按照安全部门要求保留至少三个月以上的上机和上网日志;更有甚者,个别机房甚至私自接入了互联网,绕开了学校的统一管理和国家相关部门的监管,存在极大的安全隐患。 3.
电子邮件系统极不完善,无任何安全管理和监控的手段
电子邮件是几乎所有使用互联网的用户都要使用的而且是最常用到的一个功能,但同时也是有害的思想和内容最常使用的一种传播手段,近些时候,通过电子邮件系统散发反动,色情言论和材料以及散步谣言等情况愈发严重。因此,电子邮件系统必须做为网络安全建设的重点突破口。,但大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,由于是免费的软件,既不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合公安部门提出的安全邮件系统的要求,出现问题无法及时有效的解决
4.网络病毒泛滥,造成网络性能急剧下降,很多重要数据丢失,损失不可估量。
网络在提供给大家的方便的同时,也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合,网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网络资源;造成网络性能急剧下降;从近期的“红色代码”、“尼姆达”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。而病毒防范的措施也不能仅仅靠原来单机的方式,必须是一种集中管理,统一升级,统一监控的针对网络的防病毒体系。
5. 网络安全意识淡薄,没有指定完善的网络安全管理制度 校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,以福建省省网中心之一的福州大学网络中心做过的统计,该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;另外,没有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因。
综上所述,校园网络安全的形势非常严峻,各校主管领导和具体管理者、责任人应该要给予充分的重视和支持。为能彻底解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,福大网络中心根据多年网络管理和安全经验,并且参照国家标准和技术发展方向,提出了以下校园网络安全解决办法。
二、校园网络安全解决方案
1. 规范出口的管理
实施校园网的整体安全架构,必须对原有的网络架构进行改
造,首先需要解决的就是多出口的问题。出口如果不进行规范管理,校园网络安全体系就无法得以实施。因此,做为校园网络管理机构必须将所有的校园网络出口统一管理,严禁私自开后门的情况出现,为安全的实施提供最基础的保障。
2. 配备完整的系统的网络安全设备
校园网络虽然比较复杂,但从整体技术架构来看,还是属于局域网范畴,因此,在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外需要注意的是,校园网络现在基本上都是高速网络,因此配置安全设备既要考虑到功能同时也必须考虑性能,将配置安全设备后对
网络性能的影响尽可能的降到最低。据此要求,校园网络需要配备以下安全设备:
1) 高性能的硬件防火墙 2) 旁路监听型的入侵检测系统 3) 漏洞扫描系统 4) 安全审计系统
5) 旁路监听型不良内容过滤系统 6) 覆盖全校范围的网络版防病毒系统 7) 网络故障检测以及网络故障诊断设备
通过配置以上安全产品可以实现对校园网络进行系统的防
护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3. 解决用户上网身份问题,建立全校统一的身份认证系统
校园网络基础安全设施配备后,必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,用户身份如果得不到落实,即便发现了安全问题也大多只能不了了之。同时全校的统一身份认证系统,是学校信息化建设中必须要考虑的一个非常重要建设内容。各校园网络管理部门对身份认证系统的技术选型应该要慎之又慎。现在的校园网内的一些应用系统或多或少的有具有一定的身份认证功能,但从安全性、通用性、及时性和权威性来看,都不能令人满意,而且
存在很大的安全隐患。为此,必须建立基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
4.严格规范上网场所的管理,集中进行监控和管理
校园网络建设从教学科研的角度出发,应该鼓励建设更多的公
众上网场所,给学校师生提供了解网络和通过网络学习、工作的方便。但从安全管理的角度来看,对于众多上网场所的管理,只有使用统一的机房管理软件、集中身份认证并且进行集中的管理和监控,才可以有效的保证网络安全。现在,大多校园内的上网场所管理基本处在“网络管理孤岛”的状态,大量的上网用户身份无法鉴别,在这些上网场所的行为也基本上是不受控制的;另外,上网场所采用“还原卡”的方式可以简化了机房管理,但这给安全管理带来了麻烦。根据有关部门规定,上网场所的上网日志要保存至少三个月。因此,要解决用户上网身份认证、上网日志保存和查询的问题,最有效的解决办法就是采用集中身份认证、集中管理监控的方式,具体来说有以下两个步骤:
1) 用户使用网络首先通过统一的校级身份认证系统确认,非合法用户无法使用校园网络
2) 合法用户上网的行为受到统一的监控并且上网行为日志集中保存在中心服务器上。这样既可以不给机房管理增加负担,同时也可以提供至少三个月以上的日志备
查。另外,由于是将访问日志直接传送到中心监控服务器上,这保证了这个记录的严肃性和准确性。
4. 改造电子邮件系统,提供多种安全监控和管理功能
大多校园网络使用的免费的电子邮件系统,由于功能和性能等多方面的差距,已经明显不适应用户使用和网络安全对邮件系统的要求;另外,在安全管理方面,无法提供及时的监控和日志,对一些有害信息无法进行过滤,也成为了校园网络安全管理的主要隐患。从网络安全以及网络应用的要求来看,改造校园网络电子邮件系统是势在必行的。关于邮件系统的具体参数指标可以参照公安部门对提供邮件服务单位的具体要求(榕公九【2002】15号文件)。
5. 根据相关部门的要求,配备专门的安全管理人员,出台网
络安全管理制度
网络安全建设是“三分设备,七分管理”,没有切实可行的安全保障体系和制度,网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度越深,网络安全的形式就越严峻,这也从近几年互联网络安全问题频频出现得到印证。而网络安全的技术又是非常复杂和广泛的,现状还是“道高一尺,魔高一丈”,这样,管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。另外,
学校必须颁布网络行为规范和具体处罚条例,这样才能有效的控制和减少内部网络的隐患。
互联网络的飞速发展,对校园网络中师生的生活和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,校园网络的应用才能健康、高速的发展。
福州大学计算机网络中心
二零零二年八月
因篇幅问题不能全部显示,请点此查看更多更全内容