構(gòu)建中小學(xué)安全校園網(wǎng)絡(luò)解決方案

2019-11-04 21:16:27

字體：大中小

供稿：網(wǎng)友

　　隨著當(dāng)代信息技術(shù)向中小學(xué)教育的擴展，隨著多媒體計算機在教學(xué)過程中的應(yīng)用越來越普遍，校園網(wǎng)絡(luò)的建設(shè)提到了重要的議事日程。從當(dāng)今世界發(fā)達國家教育信息化發(fā)展的經(jīng)驗來看，從單機發(fā)展到網(wǎng)絡(luò)，是中小學(xué)教育信息化發(fā)展的必然趨勢。因此，在當(dāng)前我國發(fā)達地區(qū)的基礎(chǔ)教育信息化發(fā)展過程中，以校園網(wǎng)絡(luò)的建設(shè)為核心與基礎(chǔ)，加快教育現(xiàn)代化的進程，實現(xiàn)我國基礎(chǔ)教育改革發(fā)展中的跳躍式發(fā)展，這是全面貫徹素質(zhì)教育的要害性步驟。

　　中小學(xué)校園網(wǎng)主要的安全風(fēng)險

　　1.主要應(yīng)用服務(wù)的安全風(fēng)險

　　應(yīng)用服務(wù) 系統(tǒng)中各個節(jié)點有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給學(xué)校內(nèi)部相關(guān)治理機構(gòu)使用。不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。

　　E-Mail 由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞，郵件服務(wù)器成為進行遠程攻擊的首選目標之一。如利用公共的郵件服務(wù)器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用sendmail的漏洞直接入侵到郵件服務(wù)器的主機等。

　　WWW 利用HTTP服務(wù)器的一些漏洞，非凡是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很輕易地獲得系統(tǒng)的控制權(quán)。在校園網(wǎng)絡(luò)內(nèi)存、在各種WWW服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。

　　FTP 一些FTP服務(wù)器的缺陷會使服務(wù)器很輕易被錯誤地配置，從而導(dǎo)致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導(dǎo)致最終的入侵。有些服務(wù)器版本帶有嚴重的錯誤，比如可以使任何人獲得對包括root在內(nèi)的任何賬號的訪問。

　　2.Windows操作系統(tǒng)安全風(fēng)險

　　Windows NT的安全機制的基礎(chǔ)是所有的資源和操作都受到選擇訪問控制的保護，可以為同一目錄的不同文件設(shè)置不同的權(quán)限。這是NT的文件系統(tǒng)的最大特點。NT的安全機制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過一定的設(shè)置使文件和其他資源免受在存放的計算機上工作的用戶和通過網(wǎng)絡(luò)接觸資源的用戶的威脅（破壞、非法的編輯等）。安全機制甚至包含基本的系統(tǒng)功能，例如設(shè)置系統(tǒng)時鐘。對用戶賬號、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。通過一系列的治理工具，以及對用戶賬號、口令的治理，對文件、數(shù)據(jù)授權(quán)訪問，執(zhí)行動作的限制，以及對事件的審核可以使Windows NT達到C2級安全。

　　在網(wǎng)絡(luò)中，有三種方式可以訪問NT服務(wù)器：

　　一是通過用戶賬號、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器答應(yīng)的權(quán)限內(nèi)對資源進行訪問、操作。這種方式的可控制性較強，可以針對不同的用戶。

　　二是在局部范圍內(nèi)通過資源共享的形式訪問服務(wù)器。這種方式建立在NETBIOS的基礎(chǔ)之上，通過對共享資源的共享權(quán)限的控制達到安全保護，但不能針對不同的用戶。當(dāng)一個用戶在通過共享對某一個資源進行操作時（這時共享權(quán)限有所擴大），其他用戶可以趁虛而入，造成對資源的破壞。

　　三是在網(wǎng)絡(luò)中通過TCP/ip協(xié)議，對服務(wù)器進行訪問。目前典型應(yīng)用有FTP、HTTP、WWW等。通過對文件權(quán)限的限制和對IP的選擇，對登錄用戶的認證可以在安全性上做到一定的保護。

　　由于Windows NT系統(tǒng)的復(fù)雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞，一些國際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得治理員的權(quán)限，而另一些漏洞則可以被用來實施拒絕服務(wù)攻擊。　

　　3.治理的安全風(fēng)險

　　治理系統(tǒng)的安全風(fēng)險除了上面提到的系統(tǒng)風(fēng)險之外，系統(tǒng)之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、治理難度大，存在各種服務(wù)，哪些服務(wù)對哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。必須防止內(nèi)部不相關(guān)人員非法訪問安全程度要求高的數(shù)據(jù)，而且整個系統(tǒng)的正常運行也是保證校園網(wǎng)絡(luò)系統(tǒng)日常工作正常進行的一個十分重要的方面。必須限制治理系統(tǒng)內(nèi)各個部門之間的訪問權(quán)限，維護各個系統(tǒng)的安全訪問。而由于整個系統(tǒng)是一個體系，任何一個點出現(xiàn)安全問題，都可能給相關(guān)人員帶來損失。

　　中小學(xué)校園網(wǎng)安全解決方案

　　1.安全網(wǎng)絡(luò)部署

　　通過清華紫光比威全系列產(chǎn)品可搭建一個安全的中小學(xué)校園網(wǎng)絡(luò)，確保學(xué)生的身心健康。本方案中使用了清華紫光比威如下的網(wǎng)絡(luò)產(chǎn)品：

　　·清華紫光比威防火墻系統(tǒng)UF1003

　　·清華紫光比威入侵檢測系統(tǒng)UnisIDS 100

　　·清華紫光比威路由器系統(tǒng)BE2620

　　·清華紫光比威交換機系統(tǒng)BS5124TM

　　·清華紫光比威交換機系統(tǒng)BitNOVA 3242FM

　　·清華紫光比威郵件安全系統(tǒng)UnisInspector 3000。

　　該方案包括如下內(nèi)容：

　　在教育部部署清華紫光比威郵件安全系統(tǒng)，為如圖1所示的校校通網(wǎng)絡(luò)提供郵件服務(wù)；中小學(xué)校園網(wǎng)用戶可通過中心集中提供的郵件系統(tǒng)使用Email服務(wù)。

　　在教育部部署清華紫光比威郵件安全系統(tǒng)，為如圖1所示的校校通網(wǎng)絡(luò)提供郵件安全服務(wù)；可通過郵件的內(nèi)容過濾、防垃圾郵件和防病毒郵件的途徑保障學(xué)生身心健康。

　　在出口通過UF1003防火墻系統(tǒng)實現(xiàn)內(nèi)外隔離，UF1003提供VPN、DHCP、NAT池、PPPoE等功能模塊，完全滿足校校通用戶對網(wǎng)絡(luò)隔離的需求。

　　內(nèi)網(wǎng)部署清華紫光比威網(wǎng)絡(luò)入侵檢測系統(tǒng)UnisIDS 100，對內(nèi)部用戶訪問網(wǎng)絡(luò)進行安全審計；同時也為防火墻提供有效的補充。

　　通過BSSN.VISA架構(gòu)實現(xiàn)全網(wǎng)絡(luò)安全聯(lián)動，完全確保校校通用戶的安全問題。

　　2.BSSN.VISA全網(wǎng)安全聯(lián)動

　　BSSN.VISA(Versatile Integrated Security Architecture)，是下一代互動安全網(wǎng)絡(luò)架構(gòu)，如圖2所示。在VISA體系架構(gòu)中，清華紫光比威系列產(chǎn)品（防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隱患掃描系統(tǒng)、郵件安全系統(tǒng)、路由器、交換機和訪問控制網(wǎng)關(guān)等）通過VISP(Versatile Integrated Security PRotocol)協(xié)議實現(xiàn)產(chǎn)品聯(lián)動，為教育用戶提供一個完善的安全網(wǎng)絡(luò)。

　　有效防范外部入侵

　　網(wǎng)絡(luò)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)外部黑客對內(nèi)部網(wǎng)絡(luò)進行網(wǎng)絡(luò)入侵、非法訪問和越權(quán)資源使用等事件；可立即通過VISP協(xié)議聯(lián)動到出口位置的防火墻系統(tǒng)或路由器系統(tǒng)；執(zhí)行模塊自動添加相應(yīng)策略，將入侵者IP地址進行封禁指定時間，使外部入侵者無法通過防火墻或路由器系統(tǒng)。

　　在聯(lián)動過程中，所有聯(lián)動信息都將傳遞給監(jiān)控中心模塊，實現(xiàn)安全聯(lián)動審計。

　　有效防范內(nèi)部入侵

　　為了解決內(nèi)部人員的入侵和非法訪問，部署入侵檢測系統(tǒng)和訪問控制網(wǎng)關(guān)。BSSN.VISA通過VISP可使入侵檢測系統(tǒng)、隱患掃描系統(tǒng)、訪問控制網(wǎng)關(guān)和交換機系統(tǒng)有效的安全聯(lián)動。

　　網(wǎng)絡(luò)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)內(nèi)部人員進行網(wǎng)絡(luò)入侵、非法訪問和越權(quán)資源使用等事件；可立即通過VISP協(xié)議聯(lián)動到內(nèi)部相應(yīng)的交換機系統(tǒng)；交換機通過關(guān)閉端口的方式禁止本人員的網(wǎng)絡(luò)訪問。　

　　

　　圖1 中小學(xué)校園網(wǎng)安全解決方案

　　

　　

　　圖2 互動安全網(wǎng)絡(luò)結(jié)構(gòu)圖

　　

上一篇：網(wǎng)絡(luò)接入技術(shù)系列談之ADSL

下一篇：家庭網(wǎng)絡(luò)電視的使用及共享方式