校园网络安全保障体系的构建
随着计算机网络技术的迅猛发展,网络的社会化和国际化使人类社会的生活方式发生了重大变化,互联网已经成为各项社会生活赖以存在的基础设施。网络与信息系统发展到越高的阶段,人们对它的依赖性就越强,因此信息安全的要求也就越高。然而,互联网中存在计算机病毒的泛滥、有害内容的传播、计算机黑客的入侵等一系列网络安全问题,解决这些问题刻不容缓。
近年来,国家对教育信息化工作非常重视,教育科研网、校校通、农远工程等重大项目带动了教育系统的网络全面建设,数以万计的校园网如雨后春笋般的建立起来。伴随着网络的建设,各种教育教学应用也大面积的铺开,电子政务、远程教育、数字图书馆、教育资源库等建设方兴未艾。在这样的大形势下,网络的安全问题也就成了无法回避的问题。本文将着重介绍构建校园网络安全保障体系的几个重要的技术手段和应用系统,针对校园网络对安全的特殊需要,提出一个多重机制相结合、多层次的网络安全解决机制。通过这些技术手段和安全措施构建网络的多重屏障,给校园网络提供一个安全的运行环境,带给学生一个绿色的网上空间。
这个安全保障体系的主要构成包括:防火墙系统、入侵监测系统、网站防护系统、网站防篡改恢复系统、绿色上网系统。下面就为大家介绍一下几个系统的主要特性:
一、防火墙系统
防火墙是网络的第一道屏障,也是最常见的应用,主要功能是通过严格的访问控制,使一个网络不受来自另一个网络的攻击。防火墙是一种技术,同时也是一种产品,一般分为基于硬件实现和基于软件实现两种方式,根据安全策略需要的各种控制规则,阻止或通过访问对象连接的地址或传输的数据包。
防火墙的工作原理是:建立在一个服务器或主机的机器上,也称“堡垒主机”,它是一个多边的路由协议。这个堡垒主机连接在两个不同的网络上,一边与内部网络连接,另一边与互联网相连。其主要作用是防止未经授权的来自互联网或者对互联网的访问,并为安全管理提供详细的系统活动记录。
从技术实现上来划分,防火墙主要包括网络级包过滤防火墙和应用级代理防火墙。包过滤技术是网络级防火墙的一种基本安全控制技术,用来检查进出网络的哪些数据包可通过或拒绝。因此,包过滤防火墙至少有一个包过滤检查模块,它只针对数据包头部中的地址与协议信息内容,来鉴别并控制点与点、点与网络、网络与网络之间的相互通信和访问,但不传输数据内容。代理技术是面向应用级防火墙的一种常用技术,它提供代理服务的主体对象是有能力访问互联网的主机,使那些无法访问互联网的主机通过代理也可以访问互联网。当外网通过代理访问内网时,内网只接受代理提出的服务请求和内容,内网本身禁止直接与外部网络或其他节点的直接请求与应答联系。它的优点是应用层网关可提供良好的服务功能,代理服务可隐蔽内部IP地址,安全性更好。
防火墙的安装配置是一门技术性很强的工作,需要专门的工程技术人员和安全管理人员来指导。对不同类型的防火墙产品和网络结构保护系统,以及所使用的配套软件,如:过滤软件、代理软件、NAT(网络地址转换器)软件和管理软件、内网与外网的出口、连接Web服务器的设置等细节都要了如执掌。对需要配置的过滤规则、代理规则以及NAT规则等都要做到严格、规范,尽可能万无一失,这是能否真正保护网络系统的关键。
二、入侵检测系统
防火墙通过严格的访问控制功能来防范非法访问,在复杂的网络系统中,这些策略是不充分的。同时,防火墙本身也存在一些漏洞,它无法防止绕过防火墙设备的其他途径攻击,不能防范已感染病毒文件和软件的传输,不能防范诸如数据驱动型的攻击。因此要提高网络的安全性,就要对通过防火墙的数据进行进步的检测,判断其是否具有入侵行为等非法操作。
入侵检测技术就是一种分析判断入侵行为,并对其进行防范的技术,它在安全系统中的作用越来越大,是一个不可缺少的网络安全技术。入侵检测通常是指对入侵行为的发觉或发现,通过计算机网络或系统中某些检测点测试结果收集到的信息进行分析比较,从中发现网络或系统运行是否有异常现象和违反安全策略的行为发生。
入侵检测的步骤大致分为两方面:一是收集信息。多方位收集检测对象的原始信息,包括系统、网络、数据及用户活动的状态和行为。保证真实性、可靠性和完整性。二是数据分析。根据采集到的原始信息,进行最基本的模式匹配、统计分析和完整性分析,模式匹配和统计分析用于实时的入侵检测,完整性分析则更多用于事后分析。
入侵检测的方法很多,目前较为常见的主要是按分析方法来划分:一是异常检测模型,二是误用检测模型。异常检测模型给定正常操作所具有的稳定特性作参照,当用户活动与正常行为发生较大或者重大偏差时,即被认为是异常入侵现象。误用检测模型首先收集正常操作的行为特征,并建立相关的特征库。当监测的用户或系统行为与标准库中的记录相匹配时,系统就认为这种行为是入侵现象。
当前,很多防火墙设备也集成了入侵检测功能,满足小型和简单的网络的基本需求。但是为了解决大型和复杂的网络的需求,更全面地检测入侵行为,提高安全性和检测效率,就必须使用专业的入侵检测系统。入侵检测系统通过入侵事件定位、入侵风险评估、网络异常流量监测等系统来综合检测和防范入侵行为,进一步提高网络的安全性。
三、网站防护系统
网站是网络的窗口,由于它处于互联网这样一个相对开放的环境中,各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷,病毒木马和恶意代码网上肆虐,黑客入侵和篡改网站的安全事件时有发生,校园网中的网站也同样面临这样的问题。
网站防护系统就是一套针对网站遇到的各种黑客入侵、非法访问、网站篡改等问题,通过相应的防护措施对网站进行整体防护的安全系统,它一般由软件和硬件共同实现。
网站频遭破坏的主要原因在于网站整体安全性差,缺乏必要的日常维护,有的网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。针对各种破坏网站的方式,网站防护系统提供了保护网站的各项功能,主要功能包括:一是恶意代码主动防御。对系统中所有的可执行文件代码(例如:EXE、DLL、COM等)进行控制,所有可执行文件代码在加载运行之前都需要先经过检验,只有通过验证的代码才可以加载。二是网页文件过滤驱动保护。网站管理员可以将需要保护的网页文件设定为受控对象,对于每一个受保护的对象,管理员为其设定一个对象相关授权码。即使是系统管理员,系统也禁止其对于受保护对象做任何特定操作,从而有效阻止对系统静态网页的篡改。对于Web服务(例如:IIS、APACHE)的相关配置文件也采用同样的方式进行保护,防止通过修改配置文件达到篡改网页的目的。三是防SQL注入功能。通过高效的UIKL过滤技术,把SQL注
入的关键字过滤掉,从而有效地避免网站服务器受到SQL注入攻击。四是抗网络攻击能力。作为一种网络安全防护设备,网站防护系统本身也应该具备一定的抗攻击能力。
四、网站防篡改恢复系统
互联网是个开放的网络,网站发布的信息一天24小时都在被查询、阅读、下载或转载。网站内容复制容易,转载速度快,网页如果被篡改后果难以预料。虽然网站防护系统采取了多种措施来保护网站不受攻击,但是并不是100%保证网站不被篡改。一旦网站被篡改,如何及时地恢复就变成一个重要的问题。传统方法中,管理员只能用恢复服务器配置、恢复文件内容等办法来处理。但是有些攻击看篡改内容很频繁、方式很隐蔽,甚至在系统中留下后门以便今后继续攻击,因此问题变得更加复杂,给管理员恢复系统提出了更高的要求。管理员迫切需要一个对网站的篡改行为进行实时恢复的工具,网站防篡改恢复系统应运而生。
网站防篡改恢复系统一般采取事前阻止、事发监控报警、事后自动实时恢复等多重保护机制,提供文件监控保护功能,保证文件系统的内容及权限不被篡改,一旦被篡改能及时恢复。用户不需额外增加软硬件投资以切实保护用户既有投资,极少占用系统资源以保证网站访问者的感受,仅需安装服务器、通过控制台发号施令可保证管理员上传更新等多数维护习惯不被改变。
目前市场上的网站防篡改恢复系统很多,在选择的时候应主要考虑以下几个因素:一是实时性。系统必须实现对网页的实时监控与恢复。二是低耗性。系统在监控过程中尽量少地占用系统资源,不影响用户正常服务。三是安全性。被篡改的文件,在恢复过程中不能被外部访问。四是易扩展性。一个管理服务器可以管理多个WEB网站,新增加监控站点不需要做任何配置。五是易用性。管理员管理和网站的更新维护要方便,支持批量更新整个网站或者更新指定的目录和文件。
五、绿色上网系统
互联网上的网站琳琅满目、五花八门,在带给人们丰富信息的同时,也存在着各种各样的问题。它的开放性是一把双刃剑,一方面给了我们更大的信息空间,另一方面不良信息也带给社会极大的负面影响。尤其是针对未成年人,如何给他们一个绿色的上网环境,是摆在全社会、摆在每个教育工作者面前的一个严峻的问题。绿色上网系统就是这样一款为未成年人提供的软件系统,为孩子们带来健康、安全的网络环境。
国家相关法律明确规定,经营性网吧不得向未成年人提供上网服务,一般情况下,学生上网主要是在学校的校园网和家庭中,因此对这两个网络环境的防护就成为给学生提供绿色上网环境的重要工作。
绿色上网系统一般分为网络版和单机版两类。网络版是针对校园网和计算机教室这样的网络环境。通过管理服务器对整个网络的访问行为进行监控、对不良的访问进行限制的系统。在不影响学生对网络的正常使用前提下,管理员在管理终端设定配置,便可监控、管理整个网络环境中的计算机。根据需要配置不同年级学生能访问的站点,分析特定学生组或个人的互联网操作行为,提供学生上网分析报告,便于教师指导学生的上网行为。单机版是安装在学生家庭的软件,通过对上网计算机进行访问权限的控制,达到避免未成年人访问不良网站的目的。家长可以根据相应的标准,限定孩子能够访问的站点,限定孩子每天的上网时间,提供完整的上网访问日志,使孩子的网上行为都在家长掌握之中,以便对孩子上网行为进行正确的引导。
综上所述,通过防火墙系统的访问控制、入侵检测系统的入侵行为检测、网站防护系统对网站提供的全方位保护、网站防篡改恢复系统对网站内容的实时监控和恢复、绿色上网系统对学生上网行为的规范,这些安全机制组合在 起,能够为校园网络提供一个较为安全的运行环境。这些安全屏障侧重点各有不同,针对各种不同的安全问题,各自发挥着效应。随着人们安全意识的不断提高,各种安全技术水平的不断完善,各类安全产品的逐渐成熟,相信互联网的安全问题将逐步得到解决,校园网络必将更为安全和有效率,带给教师、学生更多的便利。
编辑:陈钺
上一篇:预防网络依赖