摘要:
高校在建设的时候,网络规划、网络安全设计等都是根据当时的实际情况再预计未来一段时间的扩展性来设计,许多网络系统、设备等到目前为止已经开始落后。网络数据的井喷与网络应用的飞速发展,更是进一步考验高校现有网络的安全性、可靠性和稳定性。虽然,许多高校随着时代的不断发展,也在不断地更新换代新的设备,但是更换新一代的设备只是性能上的进一步提升,对于数据处理、转发是跟得上时代的发展,不过对于网络安全来说却远远不足。
关键词:
网络安全;校园网;策略
1校园网络基础网络架构
早期大部分高等院校校园建设的时候,信息化规划跟不上学校教育的扩展,许多高等院校的基础网络架构都是简单的层次化网络结构(见图1):接入层、汇聚层、核心层级联,再通过防火墙出口外部网络,同时保证外部网络对内部网络的威胁被阻止,相对高级一些的设计还可能包括IDS(入侵检测系统),随着学校的不断发展,一步步在原有的基础网络上添加新设备来丰富网络组成,并提供更多的网络服务。
2传统网络攻击过程
在从前,主要的网络安全威胁来自基于各种漏洞而进行的网络攻击和下载带病毒的软件包而导致的系统病毒感染。而这些传统的网络攻击手段之后,才是在被攻破的系统中留下木马、后门,或者破坏、窃取数据。这些传统的攻击手段是层层递进式的(见图2),从攻击的开始到结束以递进的形式进行,如果前面的步骤无法实现,则整个网络攻击过程将会中断。这些传统的网络攻击包括诸如DoS攻击、DDoS攻击、系统入侵、网络渗透等。不断重复这样的一个网络攻击过程,当累积到一定的量后所组成的网络僵尸大军将对整个网络造成非常严重的影响。
3传统校园网络安全防范体系
根据传统的网络攻击过程,在许多的院校的基础网络中都会加入相应的网络安全防范措施,这些网络安全防范措施就构成了常见的校园网络安全防范体系。而在传统的高校校园网络安全防范体系中,将网络安全防御定义为外部网络、内部网络和用户3个层次,而每个层次中有针对该层次的网络安全设备和措施。对于外部网络这一个层面,直接面对的是防火墙,很多的院校网络都采用防火墙作网络出口,承担着网关与防火墙的双重功能。采用防火墙作为外部网络与内部网络的边界,可以有效地阻止大部分来自于外部网络的恶意攻击,保证内部网络的稳定。在防火墙之后部署一台入侵防御系统,可以进一步检测可能避过防火墙的安全检测而进入网络的恶意流量。在内部网络这个层面,传统的网络安全体系中一般没有什么网络安全设备,在这个层次主要采用的是基于策略的网络安全措施,也就是所谓的软设备。通过网络设备中进行软件层面的安全策略设计,保证内部网络流量的正常稳定的转发。例如,采用访问控制列表来对网络进行一些控制,不允许学生访问教师网络资源;使用QoS功能保证数据的高效转发,设置安全端口,MAC与IP地址的绑定,甚至更高级的基于802.1x的认证。到了用户层面,主要确保的是操作系统的安全,因为很多恶意的攻击软件、病毒、木马或入侵软件都是基于操作系统漏洞进行渗透破坏的,所以在用户这个层面,针对操作系统要打好操作系统的补丁、安装功能强大的杀毒软件,开启操作系统自带的软件防火墙或者杀毒软件的防火墙,进一步,加强用户层面的安全性。即使用有瞒过防火墙,混过入侵防护系统的漏网之鱼,也可以在用户层面进行补救。采用这种传统的网络安全体系进行网络安全的设计部署,在以前的网络时代还是有很好的效果的,但是,现今进入了网络时代2.0,新的技术、新的威胁层出不穷,此时旧的网络安全体系在网络安全防护上表现得就有些捉襟见肘了。校园网络需要推陈出新,结合现在的校园网络及互联网络的发展趋势,设计更合适更合理的网络安全解决方案。
4传统网络安全策略应用分析
传统校园网络安全解决方案使用的网络安全策略应用是基于不同层面进行区分的,针对不同层面分别部署相对应的网络安全设备或网络安全策略。这种网络安全策略应用主要是针对从外部网络进入内部网络的流量进行检测控制,正如防火墙功能一样,定义了外部非安全区域、内部安全区域和DMZ区域,然后给这些区域定义安全等级和默认策略。这种安全体系的设计对于以前的网络攻击过程(见图4)来说是可以满足校园网络安全的需求的。在以前的网络环境中,攻击主要来自外部,内部的安全等级是可信的,所以外部的攻击流量经过防火墙后,基本上已经抵御了,再经过IPS或IDS设备后,到达用户层面时还要经过操作系统或杀毒软件防火墙后,可以成功攻击目标的恶意行为已经降到了可接受层面范围。所以,从前的校园网络安全情况比现在相对要好一些。如图4的攻击过程示意所示,基于原有的网络安全策略应用对于起源自外部网络的攻击可以做到有效防范,但是正如前文提到的,现在越来越多的现象是,内部用户通过其他途径感染了自动下载代码或木马端等恶意源后,从内部发起攻击或者自动下载各式各样病毒木马直接破坏用户操作系统,并以此为跳板,从内部网络感染、攻击其他用户主机、学校服务器等设备,导致学校网络受到严重影响进一步影响学校的正常教学秩序。原有的校园网络安全策略应用基于单向防护、由3个独立层面以递进的方式构建的校园网络防御系统,其性能已经无法适应现时复杂多样化的校园网络环境。因此,针对这个旧的网络安全策略应用的不足,需要一个更合适更优秀的校园网络安全策略。
5传统网络安全策略架构分析
在院校用的旧的校园网络解决方案中,采用的基础架构简单实用,在从前的网络时代,无论是外部网络还是内部网络的数据流量都不并是很大,而且那时候无论是师生的日常生活还是教学活动中,对网络的依赖程度也不高。不过,随着人们对网络的依赖性的不断加强,以及信息化教学的广泛推广,校园网络中产生了越来越多的数据,并且日常教学也有绝大部分是基于网络的。这个时候,传统的网络架构就存在不足,主要体现在网络单点故障现象导致的网络中断而影响师生的生活学习和学校的教学秩序。现在新规划的校园网络中,校园网络基础架构相对复杂,但是性能和安全性都有所提升。现有校园网络基本上都是基于双网络核心热备以提高网络的安全性和可靠性的设计,根据学校的需求,可以选择在关键节点部署双机热备提供安全可靠性,避免了原有基础网络架构的不足。
6网络安全策略应用技术分析
经过调查了解,现在校园网络中采用的技术有很多都不符合标准,例如密码的复杂性,这个最基本的一条都做不到。另外,学校管理中使用的技术不足,如管理网络设备使用telnet协议而不是采用ssh,对管理流量与数据流量没有区分控制,无线网络的加密算法采用容易破解的算法等等。这些技术细节上的不足,也会导致校园网络安全受到威胁。因此,在新的网络安全策略应用中,应该注意相关网络安全技术的使用是否符合安全等级的要求。
7传统高校校园网络安全策略应用的优点
对于传统的高校校园网络安全解决办法来说,好处就是学校的信息化建设方案相对简单,管理相对便捷,在数据量以及网络依赖性不高的院校,或资金不足的院校具有一定的参考作用。
8传统高校校园网络安全策略应用的缺点
对于传统的高校校园网络安全解决办法来说,弊端就是学校校园网络安全受到严重威胁,来自校园网络外部、内部、系统自身产生的安全威胁汇集起来使用整个校园网络的复杂性、不稳定性大大增加,最后导致网络安全性大大降低。
作者:周怡燕 单位:南华工商学院
[参考文献]
[1]邹县芳,孙道德.高校校园网络安全问题及策略研究[J].阜阳师范学院学报:自然科学版,2010(27):87-90.
[2]杜芸.高校校园网网络安全隐患与解决策略探析[J].信息安全与技术,2015(6):13-15.
[3]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(7):160-161.
[4]杜波.高校校园网络信息安全技术与策略研究[J].中国校外教育,2011(6):165-166.
[5]王涛.高校校园网络安全策略分析[J].硅谷,2009(9):174.
