大学校园网网络安全问题的分析与对策
作系统的漏洞进行传播的,例如,“冲击波”病毒是利用操作系统的RPC漏洞进行传播。面对这种情况,我们可以安装一些系统修复功能的软件来保护计算机,是危险系数降到最低。
软件程序缺陷和漏洞对互联的计算机系统是个灾难。利用系统漏洞的攻击Blaster等都无一例外使得校园网甚至是整个Internet陷于瘫痪状态。由于补 丁程序是这类问题的唯一根本解决方案,加之各类补丁程序数量规模巨大,所以出现了漏洞补丁管理和发布这样的安全应用系统。校园网内以Windows系统为主,而Windows系统漏洞的危害较严重,大学可在校园网内专门设置系统漏洞补丁管理和发布器。用于对校园内的 Windows系统进行统一管理,从本地服务器下载更新补丁程序。此应用系统采用的是微软免费的Microsoftsoftware Update Service系统。用户规模近一万,系统负荷,流量都相对比较大,本系统的管理功能很弱,但基本符合校园网松散的安全管理模式,所以能够满足校园网的需求。而且其分析统计功能能够详细地列出每个受管理系统的补丁程序更新状况,实用性很强。另外,为避免补丁程序更新不及时或其它意外因素,对重大的漏洞补丁程序以传统的网络公告方式发布并提供直接下载,有效地避免恶性安全事件的大范围发生。下面我们介绍某个大学采用的漏洞扫描系统,该扫描系统的特点: (1)可以动态地分析目标系统的安全脆弱性;根据不同的对象类型,自动寻找匹配的扫描策略进行下一步的分析扫描。
(2)远程在线升级;远程下载升级模块,自动完成升级过程
(3)灵活的策略配置;可按照特定的需求配置多种扫描策略和扫描参数,实现不同内容、不同级别、不同程度、不同层次的扫描。
(4)多种形式的报表;全面详细的分析报告能力,可根据用户的不同需求提供不同层次的报告,并提供安全补丁供应商的 热连接,快速及时的修补漏洞。
(5)实用的模拟攻击工具;系统提供用于测试的模拟攻击工具,较好反映了黑客实际攻击的必经之路,同时对被测试系统的测试力度可控,不会为系统带来危害。
(6)合理的结构化设计;模块的继承性,使得系统具有很大的可扩展空间应用结构该系统选用网络版漏洞扫描程序可扫描任何基于TCP/IP的网络主机,无论
13
大学校园网网络安全问题的分析与对策
网络核心是采用FDDI,ATM还是千兆以太网,只要目标主机支持TCP/IP协议,就可对其进行扫描,其系统扫描内容如下:WEB服务、FTP服务、守护进程、电子邮件服务、CGI—BIN、浏览器设置、RPC攻击、特定的强力攻击选项、拒绝服务攻击检测、安全区检测、NT用户策略、NETBIOS、NT注册表、NT服务、SNMP、缓冲溢出检测、NFS检测、IP欺骗、特洛伊木马、后门程序检测、共享/DCOM类。 3.2.5 基于全局性的病毒防御策略
采用校园网全局病毒防护技术,首先安装网络版防病毒软件,服务器统一管理,客户端登陆主机时自动从下载病毒库更新,双向监测常见病毒及木马程序,实现对服务器、网络设备、客户端的安全保护,这样可以有效地管理可控范围内病毒的传播。对于不可控范围内的主机比如学生宿舍区,可以通过接入端口防御、校园网主页广泛宣传、免费下载免疫程序软件等措施。计算机用户要增强网络安全意识,不要轻易使用盗版和存在安全隐患的软件;不要随便打开陌生邮件,尤其是邮件附件中的exe和com等可执行文件,即使要查看也需要先保存再进行杀毒软件的扫描确定安全了再打开;不要浏览一些可信度不高的网站,比如色情、暴力、反动等网站;也不要随便共享文件和文件夹,即使要共享也得先设置好权限。坚持做好这些方面,实现全局的病毒防御。
(1)垃圾邮件过滤系统和防病毒邮件网关
对于大量泛滥的广告邮件采用基于行为分析的垃圾邮件过滤系统,即通过识别垃圾邮件的行为,如(分析邮件路由逻辑,反响验证ip地址域,辨别仿冒邮件地址等行为特征)进行过滤。事实证明通过这种基于行为方式的过滤,垃圾邮件会大幅度地降低。根据对校园网邮件系统的统计,最后能达到用户的邮件只占邮件总量的 5 - 1 0%。而且即使是过滤后的邮件,垃圾邮件也能占到一定的比例。这部分被漏掉的垃圾邮件一是由于系统不对内容做判断,另一方面是为有一些行为没能被识别出来造成的。
病毒邮件同样是垃圾邮件而且占相当大的比例。由于病毒极强的传染力导致邮件系统成了散播病毒的源头,严重威胁着邮件接收者的终端系统。因此,在校园网邮件系统的前端我们部署了邮件防病毒网关。凡是进入邮件系统的邮件都要经防病毒网关的过滤后被送到用户邮箱中。
(2)桌面防毒系统
目前计算机病毒充分利用了网络和黑客攻击技术使得病毒的传播性,感染性
14
大学校园网网络安全问题的分析与对策
和攻击性急剧增强,造成严重的安全事件。由于病毒种类繁多,数量达数十万之多。如果接入网络的桌面系统不安装防病毒系统,感染病毒是无法避的。校园网作为一个管理实体,拥有众多的终端桌面用户和服务器系统。如果防病毒完全是分散的无管理的个体行为,效果并不十分理想。许多防护系统形同虚设,给校园网带来了严重的安全隐患。运用桌面防毒系统,对校园网的桌面防病毒系统进行集中管理,实现自动从服务器获取新的病毒定义。实时具备最新的防护功能,无须用户在干预。对移动的用户,可通过校内代理以手动方式从服务器获得最新的病毒定义。另外,通过管理端不仅可清楚地了解网络中感染病毒主机的比率情况,而且还可明确主机感染了何种病毒 3.2.6 基于网络安全隔离策略
防火墙作为一种将内外网隔离的技术,普遍应用于校园网安全建设中。合理使用防火墙可以构筑内外网之间的安全屏障,有效地将内部网和外部网隔离开来,有效的提高网络抵抗外部的恶意攻击能力。防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接 都强制性地经过这一保护层接受检查过滤,只有被授权的通信才允许通过 。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时,防火墙还可以对网络存取访问进行记录和统计,对可疑动作告警,以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种,一种是分组过滤技术,一种是代理服务技术。分组过滤基于路由器技术,其机理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址分组,从而保护内部网络。代理服务技术是由一个高层应用网关作为代理服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器连接。代理服务技术可使内、外网络信息流动受到双向监控 。
根据大学网络整体安全考虑,采用两套彼此独立的防火墙安排在互连区,即教育网与校园网的接口处和INTERNET网与校园网的接口处。其配置方案如下:防火墙1对教育网与校园网进行隔离;防火墙2对INTERNET网与校园网之间进行隔离,其中WWW邮件等对外服务器放在防火墙的DMZ区与内网间进行隔离。
(1)防火墙设置原则
建立合理有效的安全过滤原则,对网络数据包的协议、端口和源目的地址、
15
大学校园网网络安全问题的分析与对策
流向进行审核,严格控制外网用户非法访问。防火墙2的DMZ区访问控制则只打开服务所必须的HTTP、1WP、SMTP、POP3以及所需其他服务以防范外部来的拒绝服务攻击。对办公网用户也要进行流量控制,对内网的用户访问外网时间进行限制;防火墙设置中将IP地址MAC地址绑定,防止IP地址欺骗;定期查看防火墙访问日志。对防火墙的管理员权限严格控制。
(2)防火墙的主要功能
状态检测包过滤:基于状态检查的包过滤技术,快速实现基于源 目的IP地址、服务、用户、组、时间的精细粒度的访问控制。
网络地址翻译:静态或动态地址翻译,端口翻译,以及负载均衡。 全透时的应用代理:HTTP、FYP、TELNET、SMTP等代理。 身份认证:支持内置的认证数据库,完成主动认证。
系统管理:WEBUI模式配置方式、命令行配置方式、LCD按钮配置方
式,对管理员进行分级。
VPN功能:多种加密方法建立专用隧道,支持多种认证中心。 3.2.7 基于RAID技术的安全策略
对于一所高校来说数据是无价的,在校园网系统中服务器可灵活使用RAID技术.RAID技术将多个磁盘组织成一个整体,并行读取数据,使计算机性能得到改善,同时提供了系统容错,使数据得到保护,RAID分为多个级别,每种级别决定了系统在性能、冗余、容量等方面有所不同。校园网中服务器主要采用RAID1镜像(即容错)功能进行数据保护。RAID1采用两块硬盘互为镜像,在服务器运行过程中数据被分别写到两个硬盘中。如果有一个硬盘受到病毒的侵害或物理损坏,另一个镜像硬盘上的数据还可以使用。这样就避免了由于硬盘数据的丢失而使系统完全破坏的风险。 3.2.8 数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。对信息隐藏而言,可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在,难以截获机密信息 ,从而能保证机密信息的安全。随着网络技术和信息技术的广泛应用,信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向,它是
16
