大学校园网络安全防范

　　现在互联网越来越流行，很多大学都建设了自己互联网网站，方便把学校的内容都在网上查找，但是，校园网站的安全问题也是尤为重要。在这里，学习啦小编为大家介绍某大学的校园网络安全解决方案，希望能帮助到大家。

　　1、项目背景

　　随着信息化程度的提高，越来越多的学(院)校建了校园网和网站，把校园的介绍、规划、招生、研究成果等发布在网站，让更多的人了解自己的校园，甚至在网上即时进行学 术交流等。在网络信息技术高度发展的今天，xxx大学作为一个高等院校，为了方便学术交流、校友联络、招生报名、研究成果的发布等，建设自己的网站和邮件系统是必须的。在当前的信息互动交流中，电子邮件的应用凭借其快速、灵活的特点，在整个互联网络应用中有着举足轻重的地位。xxx大学提供给师生优质的电子邮件服务，不仅仅可以更好地利用现有网络资源为广大师生服务，还可以充分向海内外树立和宣传xxx大学的品牌形象，同时也方便了校友与母校的联络。

　　信息化程度的提高，极大地促进了教育事业的发展，但是随之而来的却是信息安全问题。xxx大学校园网以广域网络作为支撑平台，如何保障网络安全成为不可避免的重大问题。在xxx大学校园网中，无论是有意的攻击，还是无意的误操作，都将会给信息系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者，攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。

　　面对计算机网络中的种种安全威胁，必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。在xxx大学校园网中，应防患于未然，一旦出了事，亡羊补牢，恐怕为时已晚。根据网络安全监测软件的实际测试情况显示，一个没有安全防护措施的大型网络，其安全漏洞可达1500个左右。目前的网络中虽然采用一些安全产品，有一套安全制度，但由于各种客观和主观的原因仍然存在种种安全上的问题。同时，由于网络的安全状况随着时间变化而变化，因此在作全网安全考虑时，除了合理的使用和配置各种安全软件、硬件产品以外，日常的检测和后续的服务也越来越受到重视。

　　2、网络简况

　　根据校园网拓扑图，xxx大学通过10M的线路与下面的八个分校连接，通过10M的专线连接到Internet网络上。

　　在xxx大学的网络系统中，网络设备产品类型包括路由器、防火墙、核心交换机、工作组交换机、以太网卡等，服务器平台主要为TurboLinux，工作站系统平台有：Win95/98/Me/XP/2000 Professional/NT Workstation等，主要的服务器为：Powermail邮件服务器、Oracle数据库服务器、Apache互联网服务器、Pro FTP文件传输服务器等等。

　　根据xxx大学本部服务器部署拓扑图，本部网络的服务器分成两个部分，一部分是对外提供服务的WEB服务器群、DNS服务器和邮件服务器，另一部分是对内提供服务的教学服务器、数据库服务器、代理服务器等。对外提供服务的服务器接到了到CNCNet的防火墙的非军事化区，而对内提供服务的服务器直接接到了主干交换机上。

　　xxx大学校园网的财务专网，是通过网通提供的虚拟专网连接起来的一个单独的广域网络，它通过财务信息发布服务器与整个校园网建立联系。

　　3、系统分析

　　xxx大学校园网络在规划时，已考虑到了安全方面的问题，也采取了一些措施来保障网络的安全，如使用防火墙、MPLS虚拟专用网等等。但是，这些安全措施是不完备的。

　　(1) 校园网只考虑了对外服务器的安全性，对内服务器则是暴露在内部交换机上，随时可能受到来自内部用户的扫描、窥探和攻击;

　　(2) 整个网络没有采取防病毒措施，如果病毒扩散，将会迅速蔓延到整个网络，后果不堪设想;

　　(3) 在目前只有CNCNet出口的情况下，所有的服务器都接到一台防火墙的DMZ上，从系统效率来看，这样是不合适的，如果将来接到了CerNet上，可以考虑将一部分业务如邮件移到CerNet出口处的防火墙的DMZ区上。

　　根据安全评估和检测的结果，发现有以下问题：

　　(4) 首先，整个网络的结构复杂，服务器繁多，网络管理员没有合适的工具及时对整个网络的安全状况及时做出评估，无法防患于未然;

　　(5) 其次，我们在对各服务器进行扫描的时候发现，有些服务器打开了多余的服务，攻击者可以通过它们威胁服务器的安全;

　　(6) 最后，有些服务程序本身存在漏洞，这些漏洞可以通过升级服务程序或者对服务器进行设置进行弥补。

　　因此，我们不仅要采用新的安全设备和技术手段来加固现有的网络系统，而且还要使用专业的安全服务对现有的服务器进行安全改造，全方位提高网络的安全性。

　　4、方案实施

　　我们综合采用防火墙、入侵检测、内容过滤和安全评估技术，建立xxx大学校园网安全系统框架：

　　(1) 建立完整可行的网络安全、网络管理策略与技术组织措施;

　　(2) 利用防火墙将内部网络、对外服务器网络和外网进行有效隔离，避免与外部网络直接通信;

　　(3) 利用防火墙建立网络各主机和对外服务器的安全保护措施，保证系统安全;

　　(4) 利用防火墙对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝;利用防火墙加强合法用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;

　　(5) 利用防火墙全面监视对公开服务器的访问，及时发现和阻止非法操作;

　　(6) 利用防火墙及各服务器上的审计记录，形成一个完善的审计体系，在策略之后建立第二条防线;

　　(7) 在本部和各分校，利用入侵检测系统，监测对内，对外服务器的访问;

　　(8) 在本部和各分校，利用入侵检测系统，对服务请求内容进行控制，使非法访问在到达主机前被阻断;

　　(9) 在本部使用入侵检测系统的控制台，对各分校的探测器进行统一管理;

　　(10) 在Internet出口处，使用NetHawk网络行为监控系统进行网络活动实时监控和内容过滤;

　　(11) 在本部部署RJ-iTop网络隐患扫描系统，定期对整个网络的安全状况进行评估，及时弥补出现的漏洞;

　　(12) 使用安全加固手段对现有服务器进行安全配置，保障服务器本身的安全性;

　　(13) 加强网络安全管理，提高校园网系统全体人员的网络安全意识和防范技术