1、校園網(wǎng)安全防御策略摘要：校園網(wǎng)絡(luò)在帶給我們便捷通信、自由交流、海量信息的同時(shí)，也存在著不可忽視的安全隱患與潛在威脅。對(duì)校園網(wǎng)絡(luò)存在的各種安全威脅進(jìn)行深入研究后，基于目前的網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)出切實(shí)可行的防御措施，以確保校園網(wǎng)絡(luò)的安全運(yùn)行。關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防御策略1校園網(wǎng)絡(luò)的安全狀態(tài)校園網(wǎng)絡(luò)是互聯(lián)網(wǎng)絡(luò)的有機(jī)組成部分，同時(shí)又是師生員工教學(xué)、科研、管理、服務(wù)、文化娛樂(lè)等服務(wù)的特殊支撐平臺(tái)，各種各樣的應(yīng)用軟件在校園網(wǎng)中廣泛使用。而Windows系統(tǒng)本身存在很多的系統(tǒng)安全漏洞，被廣泛使用的FTP服務(wù)器也存在嚴(yán)重的緩沖區(qū)溢出漏洞。因此，校園網(wǎng)絡(luò)運(yùn)行中普遍存在計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、黑客攻擊、垃圾郵件、

2、不健康內(nèi)容傳播、非法的訪問(wèn)等各種安全問(wèn)題。校園網(wǎng)絡(luò)既是學(xué)習(xí)研究平臺(tái)，又是大學(xué)文化建設(shè)的窗口。學(xué)生對(duì)新技術(shù)有好奇、好學(xué)的心理，在校園網(wǎng)上測(cè)試、使用各種各樣的網(wǎng)絡(luò)安全技術(shù)和工具（掃描工具、系統(tǒng)漏洞探測(cè)工具），這些都嚴(yán)重影響著校園網(wǎng)絡(luò)的安全；學(xué)生正處于成長(zhǎng)期，不健康內(nèi)容（色情的、反動(dòng)的）也會(huì)對(duì)他們的成長(zhǎng)產(chǎn)生不利的影響；校園網(wǎng)提供各種服務(wù)，而提供服務(wù)的部門(mén)安全意識(shí)不統(tǒng)一，各種服務(wù)器自身存在安全威脅；教師、學(xué)生與外界頻繁的Email聯(lián)系，使得垃圾郵件非常多（甚至有90%是垃圾郵件），這些也加劇了校園網(wǎng)的安全威脅。2校園網(wǎng)絡(luò)安全防御體系與關(guān)鍵設(shè)備技術(shù)校園網(wǎng)絡(luò)安全防御體系校園網(wǎng)絡(luò)中安全產(chǎn)品和技術(shù)一般都會(huì)涉及

3、到諸如防火墻、入侵檢測(cè)系統(tǒng)、物理網(wǎng)絡(luò)隔離、數(shù)據(jù)備份及網(wǎng)絡(luò)防病毒等相關(guān)內(nèi)容，典型的一般安全防御體系如圖1所示。校園網(wǎng)絡(luò)安全一般安全部署中的安全防御與應(yīng)急措施是基于網(wǎng)絡(luò)分層體系結(jié)構(gòu)，其所采用的不同相關(guān)技術(shù)與設(shè)備如下：物理層與數(shù)據(jù)鏈路層：設(shè)備備份、數(shù)據(jù)備份、服務(wù)備份、VLAN劃分等；網(wǎng)絡(luò)層：防火墻、入侵檢測(cè)系統(tǒng)（IDS）、內(nèi)網(wǎng)包過(guò)濾等；傳輸層：IP和MAC地址綁定等；應(yīng)用層：日志審計(jì)、身份認(rèn)證、網(wǎng)絡(luò)防病毒、垃圾郵件過(guò)濾等。校園網(wǎng)絡(luò)安全防御關(guān)鍵設(shè)備及技術(shù)防火墻及技術(shù)功能：為網(wǎng)絡(luò)通信、數(shù)據(jù)傳輸提供更有保障的安全性。分類：狀態(tài)檢測(cè)防火墻（動(dòng)態(tài)檢查網(wǎng)絡(luò)連接和包）、應(yīng)用程序代理防火墻（與特定應(yīng)用程序配合使用）

4、。性能：最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲以及自身安全性。產(chǎn)品：Juniper的NetScreenCisco的Pix、天融信防火墻、天網(wǎng)防火墻。入侵檢測(cè)與防御及技術(shù)功能：及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，并阻止其進(jìn)一步發(fā)展。檢測(cè)技術(shù)：基于誤用檢測(cè)技術(shù)（檢測(cè)與異常規(guī)則相匹配的網(wǎng)絡(luò)行為）、基于異常檢測(cè)技術(shù)（檢測(cè)偏離了正常規(guī)則的網(wǎng)絡(luò)行為）。核心技術(shù)：模式匹配、基于統(tǒng)計(jì)方法、預(yù)測(cè)模式生成等。性能：降低誤報(bào)率、漏報(bào)率。產(chǎn)品：CA的IntrusionDetection,啟明星辰的天闐IDS等。防病毒及技術(shù)功能：及時(shí)發(fā)現(xiàn)病毒并清除,阻止病毒進(jìn)一步傳播、擴(kuò)散。核心技術(shù)：特征代碼匹配、病毒特征自動(dòng)發(fā)現(xiàn)、啟發(fā)式

5、搜索等。產(chǎn)品：Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等。反垃圾郵件及技術(shù)功能：過(guò)濾、阻止大量的非正常的電子郵件。反垃圾郵件機(jī)理：IP地址、域名、郵件地址黑白名單方式；基于垃圾郵件行為模式識(shí)別模型；Domainkeys方式；基于PKI的方式對(duì)郵件發(fā)送者進(jìn)行驗(yàn)證,對(duì)郵件信息進(jìn)行加密保護(hù),對(duì)收信人實(shí)現(xiàn)防抵賴機(jī)制；基于信頭、信體、附件的內(nèi)容過(guò)濾方式。產(chǎn)品：防垃圾郵件網(wǎng)關(guān),如冠群金辰的Kill赤霄郵件過(guò)濾網(wǎng)關(guān)；防垃圾郵件防火墻,如博威特的梭子魚(yú)垃圾郵件防火墻。內(nèi)容過(guò)濾及技術(shù)功能：阻止不健康、反動(dòng)信息的復(fù)制、傳播。過(guò)濾方法：基于關(guān)鍵字、權(quán)重關(guān)鍵字；基于URL的過(guò)濾；基于文字內(nèi)容的深度搜索

6、產(chǎn)品：一般在防病毒網(wǎng)關(guān)、反垃圾郵件系統(tǒng)中集成。3校園網(wǎng)絡(luò)深度安全防御措施圖1所示的校園網(wǎng)絡(luò)安全部署在一定程度上對(duì)安全攻擊作出了一定防范，但安全風(fēng)險(xiǎn)依然存在：核心交換機(jī)存在單點(diǎn)失效危險(xiǎn)、網(wǎng)絡(luò)設(shè)備存在性能瓶頸、鏈路未能實(shí)現(xiàn)冗余、內(nèi)網(wǎng)重要信息未能屏蔽等，這些問(wèn)題都可能導(dǎo)致校園網(wǎng)絡(luò)受到威脅甚至癱瘓。整合現(xiàn)有安全技術(shù)與安全產(chǎn)品，對(duì)校園網(wǎng)絡(luò)增加一定的經(jīng)費(fèi)投入，構(gòu)建深度安全防御體系如圖2所示。在保留一般安全防御手段的同時(shí)（重要部門(mén)物理網(wǎng)絡(luò)隔離、應(yīng)用防火墻、VLAN劃分等），校園網(wǎng)絡(luò)匯聚部分實(shí)現(xiàn)了設(shè)備的冗余和鏈路的冗余，較好地避免了單點(diǎn)失效和鏈路故障所導(dǎo)致的網(wǎng)絡(luò)性能下降甚至癱瘓的可能。同時(shí)，在網(wǎng)絡(luò)出口增加了網(wǎng)

7、絡(luò)地址轉(zhuǎn)換設(shè)備，盡可能屏蔽掉內(nèi)網(wǎng)過(guò)多的信息，以避免受到黑客攻擊。此外，無(wú)需過(guò)多應(yīng)用相關(guān)安全產(chǎn)品，節(jié)約了成本。4結(jié)論安全是一種意識(shí)，沒(méi)有任何技術(shù)可以確保校園網(wǎng)絡(luò)不受到任何的安全威脅。網(wǎng)絡(luò)安全可以說(shuō)是“三分技術(shù)，七分管理”。鑒于此，學(xué)校領(lǐng)導(dǎo)及校園網(wǎng)絡(luò)管理人員應(yīng)加強(qiáng)全校師生員工網(wǎng)絡(luò)安全意識(shí)的普及并加強(qiáng)網(wǎng)絡(luò)相關(guān)規(guī)章制度的建立健全，努力做到：（1）配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控。2）建立全校統(tǒng)一的身份認(rèn)證機(jī)制，對(duì)學(xué)生宿舍計(jì)算機(jī)進(jìn)行IP地址綁定，上網(wǎng)用戶必須辦理上網(wǎng)登記手續(xù)，BBS實(shí)行實(shí)名制（3）規(guī)范出口管理，嚴(yán)格控制私自連接外網(wǎng)。（4）監(jiān)控用戶的上網(wǎng)行為，專人負(fù)責(zé)對(duì)各個(gè)網(wǎng)站、BBS內(nèi)容進(jìn)行監(jiān)控，及時(shí)阻止有害信息傳播，各網(wǎng)站、BBS保留日志，并建立周報(bào)制度。（5）各級(jí)管理機(jī)構(gòu)設(shè)定網(wǎng)絡(luò)安全員，負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作。同時(shí)，加強(qiáng)對(duì)用戶的教育和培訓(xùn)。（6）制定校園網(wǎng)絡(luò)安全管理制度，落實(shí)網(wǎng)絡(luò)中心各管理人員責(zé)任，定期培訓(xùn)各級(jí)網(wǎng)絡(luò)管理員。加強(qiáng)對(duì)學(xué)生用戶的教育，對(duì)違反規(guī)章制度的人員提出警告，停止其使用網(wǎng)絡(luò)，對(duì)其進(jìn)行批評(píng)教育，