第24卷第2期2010年4月 河南财政税务高等专科学校学报Journal of Henan College of Finance &Tax a tion Vol .24.No .2Apr .2010　[收稿日期]3[作者简介]侯峰(3—),女,河南许昌人,河南财政税务高等专科学校助教。

校园网的安全性分析侯　峰(河南财政税务高等专科学校现代教育中心,河南郑州450002)[摘　要]高校校园网大都采用先进的网络技术,网络应用普及,用户群密集而且活跃,安全问题也十分突出。

校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案,力争使校园网成为一个全面、有效、系统的安全工程。

[关键词]校园网;安全性;网络技术;网络安全风险[中图分类号]TP393.18 [文献标识码]A [文章编号]1008-5793(2010)02-0084-05 新一代数字化校园的建设,使大学成为全面创新型人文教育基地,成为整个知识经济的“核心发动机”,成为引导终身教育的网络社区。

但是随着校园网的建设和网络应用的扩大,网络安全风险也变得更加严重和复杂。

校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案。

一、校园网的物理安全第一,引入分层网络设计的方法将一个较大规模的校园网络系统划分为几个较小的部分,它们之间既相对独立又互相关联。

优良的网络拓扑结构是校园网稳定可靠运行的基础。

现在的移动通信网络3G (第三代移动通信)就运用了分块结构,将复杂的网络清晰地划分为功能明确的小块,再具体地完成其相应的业务。

现将其应用到校园网中,可将其网络拓扑结构分为核心层、分布层及接入层(如图1所示)。

核心层的规划目标为处理高速数据流,实现数据分组交换。

分布层负责聚合路由路径,收敛数据流量,将大量低速的链接(与接入层设备的链接)通过少量宽带的链接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量。

接入层则将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。

对于复杂的高校校园网规划而言,分层拓扑结构是最有效的,它的优点在于,它把一个大问题分解成几个小问题,将局部拓扑结构改变所产生的影响降至最小,减少路由器必须存储和处理的数据量,提供良好的路由聚合数据流收敛。

第二,引入冗余设计以克服单点故障。

设计冗余可以减少跳(hop )数、设置备用系统与备用线路,以绕过那些故障点,减少可用的路径数量,增加核心层可承受的故障数量。

另外,冗余还能提供安全的方法以防止服务丢失。

第三,划分VA LN 。

V LAN 即虚拟局域网,用路由器相连,它允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域,每一个VLA N 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。

这样就可以实现将不同层的物理设备在逻辑上相隔离,使之不能通信,以减少网络风暴以及来自系统内部的安全威胁。

2010-0-0219848图1　网络拓扑结构图 二、校园网的操作安全操作安全包括正确使用用户权限,正确运用系统软硬件,正确操作终端或服务器等。

访问控制、授权管理、数据备份与数据恢复等是控制操作安全的有效方法。

访问控制是实现既定安全策略的系统安全技术,通过访问控制服务可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。

系统安全的根本目标是数据资料的安全,而数据资料是由它的使用者进行存取和维护的。

传统的数据存取和维护都是以新的数据覆盖旧的数据,对于数据是无心的错误或有心的更改,一个管理者无法有效地查出蛛丝马迹。

因此,对数据的存取控制是系统安全的一个重要方面,可以引用授权管理来解决此问题。

操作失误等原因导致数据损失时,数据恢复就显得十分重要。

无论是数据被清空或硬盘驱动器出现故障,还是格式化误删除或病毒引起的数据损失等情况,只要在存储介质没有严重受损的情况下,大部分数据仍然可以被恢复。

当然做好日常的数据备份也是非常必要的。

三、校园网的信息安全(一)防病毒系统病毒与恶意代码是当前网络信息安全最大的威胁,在整个校园网的电子邮件系统、文件服务器系统、数据库服务器系统、网络客户端系统以及网关和路由器系统等建立防病毒系统是十分必要的。

第一是电子邮件防毒。

在邮件服务器上进行安全管理,能很好地解决病毒通过邮件以及通过公共文件复制进行传播的问题。

使用安全的邮件服务器,所有进出邮件服务器的邮件或者共享文件先被保存到临时目录,然后通过扫毒引擎进行扫描,发现病毒后进行相应处理,之后再放到相应的邮箱和文件夹中。

处理方式包括清除、隔离、删除、不处理并通过E-m ail报警等方式通知发件人和管理员,同时还可以提供详细的日志以备检查和参考。

第二是文件服务器或数据库服务器防毒。

校园网内的重要服务器通常安装了N T Ser ver或者W in2000Server。

由于重要服务器经常交换大量数据和文件,要保障服务器本身不被病毒侵害,就需要在这些服务器上安装相应的防病毒软件。

第三是网络终端防毒。

病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入。

所以,校园网络最妥善的防病毒方案应当考虑解决终端的防病毒问题。

如果病毒在局域网内的所有终端58传播之前就被清除,网络管理员的工作量就减少了很多。

第四是网关或路由器防毒。

网关防毒是对采用htt p、ftp、s m t p协议进入内部网络的文件进行病毒扫描和恶意代码过滤,从而实现对整个网络的病毒防范。

首先需要扫描和过滤文件,然后再转到相应的服务器和客户端,所有的访问对用户来说是透明的,对整个网络的性能影响很小。

(二)安全审计系统信息安全的另一个重要方面就是审计。

审计是对那些可能危及系统安全的系统级属性进行连续评估,报告并跟踪企图对系统进行破坏的行为。

定期进行系统审计可以为网络管理者提供关于系统安全状态的一个整体评价,大多数入侵手段可以被这些检查模拟出来。

一些用于网络入侵的工具也可以被用来对系统进行审计。

在接入外网的路由器上实现安全审计,可将学校电脑分为若干网络教室或组别,实时监控全校师生的网上行为,提供每台电脑的上网记录和统计分析以及校园网中浏览不良信息的详细记录。

其强大的分析报告功能既可以全方位阻挡色情和反动网上的资讯对学生的毒害,也可以帮助学校根据教学需要设置上网内容和控制上网时间,实现校园网的集中管理和控制。

四、校园网的网络安全校园网的网络安全是各安全要素的核心,包括网络硬件、软件和协议的保护以及网络上传输信息的保护。

设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一,其拓扑结构图如图2所示。

防火墙设置在不同网络或网络安全域之间信息的唯一出入口,可以过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警,起到保护网络和外部网络的隔离作用。

图2　校园网拓扑结构图网络间信息的传输是通过协议达成的,协议的安全是网络安全的重点,安全的协议是可靠传输的前68提。

TCP和U DP端口需要在客户端和服务器之间连接,用来提供可靠的数据连接,常见的有用于FTP服务的21端口,Telne t服务的23端口,S MTP服务的25端口以及HTTP服务的80端口等。

有人把服务器比作房子,端口就是通向不同房间(服务)的门,对于入侵者来说,了解房子开了几扇门,是什么样的门,门后面有什么就显得至关重要。

入侵者会对可能存在漏洞的门(端口)进行攻击,一种是利用现有端口中的安全漏洞进行攻击,另一种就是种植木马,利用木马开辟的后门进入主机。

所以针对TCP/UDP端口漏洞的安全防御需要,首先要关闭闲置的和有潜在危险的端口,其次要利用“TCP/I P筛选”功能限制服务器的端口,还应该利用防火墙来预防端口扫描。

安全网关基于SS L安全套接层协议的传输信道是用户身份识别、用户访问权限控制、数据传输安全、数据完整性保护、对访问过程的完整记录等功能的集成设备。

有的安全网关还集成了防火墙、防毒网关、I DS、网络监控设备和VP N等多种设备的功能。

五、校园网的人员安全从一个组织产生、管理、传播及保护信息的各个环节来看,人在其中起决定性作用,应当把这个幕后主角“人”纳入信息安全的定义中去。

信息安全中对人的有效管理称为“人力防火墙”。

对人的管理包括法律、法规与安全政策的约束,安全指南的帮助,安全意识的提高,安全教育与培训,人力资源管理措施以及安全文化熏陶,建立“人力防火墙”是实现有效信息安全的基础。

“人力防火墙”并不是要代替传统的技术手段,它只是一种人的原有价值的回归。

如果把“信息安全”比作一辆马车,那么“信息安全框架”就是马车的车架,“人力防火墙”与“技术防火墙”就是马车上的两个轮子,“信息系统审计”就是驾车的马夫,这几个因素有机结合在一起,才能形成一个较为完整的防御体系,控制好“信息安全”这辆在信息高速公路上飞奔的马车。

六、校园网的管理安全管理是网络安全中最重要的部分。

责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

当网络出现攻击行为或受到其他安全威胁(如内部人员的违规操作等)时,无法进行实时的检测、监控、报告与预警,同时,当事故发生后又无法提供黑客攻击行为的追踪线索及破案依据,这就是缺乏对网络的可控性与可审查性。

网络管理人员必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

同时建立全新的网络安全机制或制定严格的管理制度,例如《用户授权实施细则》《口令字及账户管理规范》《权限管理制度》等。

此外,可在各个终端或主机服务器中建立身份认证系统来提高管理的效率和安全性。

身份认证系统基于PKI理论体系构建,由认证服务器、管理服务器、终端安全认证组件等组成。

认证的内容有消息认证、身份认证和数字签名。

身份认证系统如图3所示。

图3　身份认证系统87七、校园网的辐射安全所有机器产生的非预期信号可能将信息泄露到安全域之外,计算机及其外部设备在工作时通过电磁波将有用信息泄漏出去的过程称为计算机电磁泄漏。

电磁泄露有两种形式,一种是以电磁波的形式辐射出去,称为辐射泄漏。

另一种是通过各种线路和金属管道传导出去,称为传导泄漏。

按照麦克斯韦电磁场理论,任何交变电磁场都会向四周空间辐射电磁信号,任何载有交变电磁信号的导体都可作为发射天线。

计算机是采用高速脉冲数字电路工作的。

因此,只要处于工作状态就会向机器外辐射含有信息的电磁波。

TE MPEST瞬时电磁脉冲发射监测技术可防止电磁泄漏。

其解决措施主要有使用低辐射设备、利用噪声干扰源、电磁屏蔽、滤波技术和光纤传输等。