随着校园网的建立,基于校园网的教学、科研和管理的应用系统相继建成和使用,使得人们对网络的依赖性日益增大,校园网的网络安全问题也日益显得突出。为此,笔者就校园网的网络物理安全、访问控制、信息加密和安全管理策略等方面进行一些探讨。

<!--[if !supportLists]--><!--[endif]-->引言

 搞好校园网建设,构建信息化教育环境,是教育现代化的重要组成部分。二十一世纪是全球信息化、网络化的时代,以现代化的教育技术手段取代原有的落后教学手段,实现网络教学、远程教学、教育资源共享是时代的需要。但随着校园网的建成和使用,如何保障网络教学的正常进行,教学资源的合法访问,使网络免受***、病毒、恶意软件和其他不良意图的***就显得尤为重要。因此,校园网网络就必须要有足够强的安全措施。然而无论是在校园网网络内部还是在外部互联网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,必须制定相应网络安全策略,同时该策略还应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

 

<!--[if !supportLists]--><!--[endif]-->计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁,即所谓的软威胁;二是对网络中设备的威胁,即所谓的硬威胁。影响计算机网络的安全因素很多,有意的、无意的、人为的、自然的以及外来***对网络系统资源的非法使用等,归结起来,针对网络安全的威胁主要有以下几种:

<!--[if !supportLists]-->2.1 <!--[endif]-->***者:***者包括***、破坏者和其他从外部试图非法访问内部网络的网络用户。这些访问者或者有特定的目的,或者只是基于兴趣和好奇心,都会对校网信息形成威肋。并且,由于互联网的广泛应用,更多的***工具和破坏程序被共享,许多青少年对此兴趣极高,形成了一大批潜在的***者。

<!--[if !supportLists]-->2.2 <!--[endif]-->病毒和有害代码:便利的网络环境使病毒成为网络信息安全的另一个重要威胁,病毒不仅破坏程序和数据,还会严重影响网络效率,甚至破坏设备;特洛依***为***者所利用进行网络***和刺探,操作系统或应用软件的后门也被开发者利用进行***和破坏。目前病毒与***技术的结合,使得病毒的危害更进一层,不仅仅针对计算机,同时也针对网络,今年初的利用SQL Server漏洞的"蠕虫王"病毒就几乎使得全国计算机网络瘫痪。

<!--[if !supportLists]-->2.3 <!--[endif]-->内部教职员工与学生:其实更为重要的安全威胁来自网络内部,由于误操作、好奇或泄愤,内部教职员工和学生会对校园网中关键信息安全和完整性构成威胁。尤其是学生,具有较高的网络水平和学习能力,极强烈的好奇心和争胜欲望,为了炫耀或者学习实践,对网络有比较大的***性。

<!--[if !supportLists]-->2.4 <!--[endif]-->系统和应用的安全漏洞:网络设备、操作系统和应用软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是***进行***的首选目标。除此之外,软件和硬件的配置/设置不当同样会造成相当严重的安全问题。

<!--[if !supportLists]-->2.5 <!--[endif]-->用户安全意识:用户对信息安全认识不足,对安全的简单理解和关注不足,对安全设备的利用和投入不足、不及时,都会构成校网信息安全缺陷。

<!--[if !supportLists]-->2.6 <!--[endif]-->其他安全威胁:包括自然灾害、物理设备故障以及其他破坏网络基础设施和数据的意外事故。

 

<!--[if !supportLists]--><!--[endif]-->校园网网络的安全策略

针对上述情况,根据校园网网络的实际安全需求,笔者认为校园网的网络安全策略应考虑以下几个方面:

<!--[if !supportLists]-->3.1 <!--[endif]-->物理安全策略:制定该策略在于保护校园网网络系统中网络基础设施(包括网络设备和物理链路等)免受自然灾害、人为破坏和搭线***,并建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生,同时要确保计算机网络系统有一个良好的电磁兼容工作环境。其中包括:设立实物安全周界,实物进入控制,设施安全考虑(防尘、防火、防洪、防雷等),安全区域内工作的规范规程,传送和储存区域的隔离,设备供电安全,通信电缆安全(防搭线),设备维护、运行日志以及电磁屏蔽、抑制和防止电磁泄漏等相关制度与技术均可酌情采用。

<!--[if !supportLists]-->3.2 <!--[endif]-->访问控制策略:这是网络安全防范和保护的主要策略,主要目的是保证网络资源不被非法用户获取和使用。可以说它是保证网络安全最重要的核心策略之一,包括网络访问控制、网络的权限控制、目录级安全控制、文件属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和网络安全基础设施控制等。对于校园网而言,主要做好网络访问控制,网络服务器安全控制、网络监测和锁定控制及网络安全基础设施的控制。在其中对用户口令的管理尤为重要,须加强对此类非技术因素的管理。

<!--[if !supportLists]-->3.2.1 <!--[endif]-->网络访问控制:主要是为了正确区分外部网络用户身份,以便针对不同用户和用户的不同存取要求授予其不同权限,禁止非法用户进入校园网系统。主要控制策略如下:按照来访者的IP地址区分用户,最好是能对来访者身份进行验证(内部有条件的可采用802.1x技术实现来访者的用户名、身份、MAC地址、IP地址及交换机端口五元素绑定来确认来访者身份);要支持TCP等面向连接的通讯也要支持如UDP等非连接的通讯;要控制教学及办公资源的访问权限及访问时限;对病毒及恶意代码等要提供良好的访问控制策略及有效的安全保障。

<!--[if !supportLists]-->3.2.2 <!--[endif]-->网络服务器安全控制:主要包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等;限制并严格控制系统实用程序的使用;保护用户的强制警报;高风险区或服务的高风险系统终端闲置时限控制以及对高风险应用的限时访问。

<!--[if !supportLists]-->3.2.3 <!--[endif]-->网络监测和锁定控制:网管员应对校园网网络进行实时监控,按规定的周期建立并保存例外事件或其他安全相关事件的审核日志。并对监控结果定期进行评审。对可疑网络活动应予以检测记录,隔离未知应用,建立安全资源区,并安装智能报警程序。

<!--[if !supportLists]-->3.2.4 <!--[endif]-->网络安全基础设施的控制:包括到防火墙,***检测等设施的控制,通过防火墙隔离校园网的内网与外网,并将重要服务器群置入其DMZ区等方法来阻断来自校园网内外部网络的***。同时与***检测配合,将与其连动,实时防护以进一步加强安全性。

<!--[if !supportLists]-->3.3 <!--[endif]-->信息加密策略:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。由于网上重要信息的泄漏大都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完整性得不到保证。在校园网上可能造成对教务管理、公文报送等重要信息截获和篡改。应利用加密设备或软件对传输数据进行加密,使得在网上传输的数据以密文方式传输。即使在传输过程中被截获,也无法获取真实信息。同时由于加密机制可对数据传输过程中的完整性、真实性进行鉴别,保证数据的保密性、完整性及可靠性。因此校园网中的内部办公网、涉密网以及与上级单位(如:省教育厅)相连时可采用加密数据进行传输。

<!--[if !supportLists]-->3.4 <!--[endif]-->网络安全管理策略:网络安全系统只能提供技术手段和措施,但人为等非技术因素也是不容忽视的,因此该策略主要是针对安全管理体制而设。包括确定校园网安全管理等级、安全管理范围、制订有关校网网络操作使用规程和人员出入校网主控机房的管理制度、制定校园网网络系统的维护制度和应急措施、确定校网信息安全管理的一般责任和具体责任,包括报告安全事故以及违反安全策略的后果等。

 

<!--[if !supportLists]--><!--[endif]-->结束语:

随着计算机通信技术和教育现代化的不断发展,校园网网络将日益成为学校日常教学、教研和管理工作必不可缺的基础设施。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于加强网络安全性,确保校园网的正常运行显得十分重要。