前言
1993年的校园网建设以来,近年来发展迅速。尤其是2000年后商业网站的热潮带动了校园网的发展。校园网不仅包含局域网和广域网、网站和网页的建设,也开始关注网络平台上运行的应用系统,如远程教育系统、多媒体点播系统、校园一卡通系统、电子图书馆系统等,也就是说,不再仅仅是将学校"接入"网络,而是尽可能地将学校的运作"搬"到网上来,实现校园教学、科研、后勤等各个领域的"数字化"。把校园"搬"上网络,让数字"走"进生活,正成为我国越来越多高校和中小学校的选择。校园网的网络安全的问题也成了各个学校最重视的问题之一。
安全分析
校校通工程的实施,一方面是国家教育发展的必然趋势,同时也是教育行业自身依据当前教育形势发展而提出的需求。校校通工程的实施将会极大的推动学校信息化建设的步伐,使学校的教育方式和教学效果迈上一个新的台阶。
为了进一步完善网络,并对原有的网络进行完全改造,根据教育网络安全建设的要求,总结其安全需求如下:
网络安全方案要求:
在Internet出口处加装防火墙,保护内部网络和中立区,并能进行内部上网管理;
在重要网段建立入侵检测系统、防病毒系统;
针对重要业务工作站进行特别保护;
自动地监控网络的数据流、主机的日志等,对可疑的事件给予检测和响应, 在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为;
用户和服务器资源集中管理系统。
以上各项系统最好能有机配合,协同工作。
教育网络系统中,从设备上看,有路由器、交换机、服务器,还有工作站;从软件上说,主要是Windows操作系统,还有WWW、 FTP、Mail、DNS和数据库等各种开放的服务以及各种各样的应用程序和各种通信软件等等。
从硬件上说,各台路由器、服务器是教育网络安全单元,这每个点的安全性,都必须予以保障。防火墙的安全保护,主要是基于面的,而这些服务器每一个应用程序,每一个服务,和每一个文件的安全,是需要通过彻底的安全检测分析,全面的安全漏洞测试,和细致的服务和文件扫描后,根据发现的安全问题,进行修补和安全配置后,才有可能解决的。服务器如此,路由器和其它设备也如此。路由器被入侵,大到可以使整个网络瘫痪,小到可以伪造一个假的网站。
从软件上说,由于程序运行是基于系统的,程序的安全性和系统安全性息息相关,任何一个程序有漏洞,完全可能导致整个系统被控制,而文件的泄露,也可能引起系统的密码被破解。所以,完全有必要从软件、硬件和系统管理的角度上,对每一台服务器、工作站、交换机和路由器进行一个全面的安全扫描,对文件、账号、密码、系统信息、应用程序、服务、操作系统的每一个可能的安全问题都解决,才有可能保证每一个点的安全。
解决方案
我们为网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。
基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以入侵检测系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。
整个安全系统拓扑图如下:
·按上图,在校园出口配置天网防火墙,在有效的保护内网安全的同时,也提供了强大的数据处理和交换能力。在安全策略方面,一方面只允许合法的访问进入内部子网。
·在内网通过天网防火墙建立DMZ区和天网安全服务器来保护应用服务器群。在安全策略方面,先关闭全部服务和端口,再开放部分服务和端口。例如:只开放Web服务器的80端口,邮件服务器的25和110端口。
·在重要网段安装入侵检测系统和天网防病毒系统,这样就可以有效的监控和保护网络。
