校园网安全风险分析与防范对策

发布时间：2022-10-26 18:30:05 浏览数：次

打开文本图片集

目前，校园网作为信息化应用的重要载体，所面临的安全问题越来越复杂，安全风险正在飞速增加，如黑客攻击、蠕虫病毒、间谍软件、垃圾邮件等。如何化解校园网内黑客的入侵、病毒的侵袭和其他不良意图的攻击，保障信息化应用系统的稳定运行及其数据的安全可靠，已经成为校园网管理的首要任务。

● 校园网的安全风险分析

安全的校园网不仅要保护网络设备安全和应用系统安全，更要保证网络稳定畅通。因此，在对校园网进行整体安全风险分析时，可按照以下模型来进行综合分析（如图1）。

1.网络边界安全风险

校园网网络边界可分为外部和内部边界两类。

外部边界主要指校园网平台的互联网边界和教育城域网边界。互联网边界主要用于提供基于互联网的各种应用，直接服务社会各界用户，其使用环境复杂，面临的安全风险极大。各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。在此边界应采取严格的安全防护手段，维护整个校园网不被外部侵入。教育城域网边界主要是教育主管部门和兄弟学校等教育行业用户，它们内部有类似的应用系统，因此必须严格控制相关系统的访问权限，保障学校应用服务及数据的安全性。

内部边界是指在校园网内部可以划分出多个网络安全域，包括服务器区、多媒体教学区、维护管理区等。这些安全域之间存在着边界，为更加有针对性地对各安全域进行防护，应在不同的边界采取不同的防护措施。

2.计算区域安全风险

校园网内部运行着服务器和大量的计算机终端设备，服务器非常容易成为黑客和蠕虫病毒攻击的主要目标，这也就意味着服务器的安全风险等级较高；而校园的计算机终端设备往往部署较为分散，难以统一管理，广大教师和学生的信息化水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。

总体来说，计算区域内的计算机终端设备防护措施有以下几种。

(1)终端行为管理

终端泄密、非授权访问、内部攻击等都对校园网数据中心安全造成威胁。各类终端和服务器系统的补丁管理同样重要，不及时给系统打漏洞补丁会造成蠕虫以及不怀好意者的入侵。

(2)终端病毒防护

当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常教学开展。因此必须采取有效手段进行查杀，阻止病毒蔓延危害整个校园网。

(3)网络入侵行为检测

通过部署安全设施，实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现应用层的安全防护，保护核心信息资源免受攻击危害。

(4)安全加固配置

无论是审计、入侵检测或是防杀病毒，某种意义上来说都是被动防御。如在危险来临之前就能主动加固系统，进行全面的安全配置，增强系统本身的抵御能力，则能在校园网实际管理中发挥十分重要的作用。

3.应用系统安全风险

校园网内运行着多种应用系统，这些应用系统真正从主体内容构成了信息化平台，为学校提供了高效率的信息化应用。一旦这些应用系统受到攻击或破坏，会立即影响学校的正常教育教学，需要重点防护。应用系统所面临的主要安全风险包括以下几个方面。

①病毒威胁：计算机病毒可以直接破坏操作系统和数据文件，使应用系统无法正常运行。

②自身漏洞：由于设计或程序上的缺陷，应用系统可能存在各种漏洞，如Web应用服务的安全漏洞，可能导致Web服务器容易被黑客攻击，使得Web服务器无法提供正常的Web应用访问服务。

③安全策略：重要的应用系统（尤其是数据库）是否配置了适当的安全策略，来确保应用系统的安全，如数据库的用户密码管理、数据审计策略等。

④人员误操作：操作人员的不当操作可能威胁到应用系统，如越权访问应用系统、违规占用网络资源等。

4.管理系统风险

为了不断应对来自校园内外部的安全挑战，校园网先后部署了众多的安全设备和安全系统，由于安全产品型号和品牌不一、物理部署位置分散、校园网管理人员能力水平差异大。网络管理员难以对安全设备进行集中管理，并及时地部署安全策略，全面地掌握运行风险。因此，当网络出现攻击或受到其他安全威胁时，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

● 校园网的安全防范对策

结合上述分析，校园网网络边界层面风险威胁到网络基础平台，计算区域层面风险威胁到计算基础设施（服务器和终端），应用系统层面风险威胁到各种应用系统，管理系统层面风险则贯穿于以上所有层面，威胁到全网的安全。因此，校园网安全规划时应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。校园网安全防范对策拓扑如图2所示。

教育城域网边界部署千兆防火墙作为出口安全网关，互联网边界则部署UTM综合安全网关产品。UTM能够为校园网提供多层次主动安全防御，保护校园网免受病毒、蠕虫、木马、垃圾邮件以及未知攻击等混合威胁的侵害。

两台千兆IPS产品分别保护服务器区域和计算机终端区域。IPS作为一种在线部署的安全产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出警告。

在服务器区域前端部署应用交付系统。应用交付系统能够极大地提高校园核心应用和互联网访问的可视性、可用性及安全性，降低校园网网络基础设施和数据中心的成本和复杂性。应用交付系统利用链路及服务器负载均衡技术“寻找”最快传输路径，利用端到端精确流量控制技术“封堵”带宽杀手流量，利用网络加速技术“疏导”关键应用流量。

集中运行监控，统一风险管理。“关键业务运行监控技术”实现对防火墙、IPS入侵检测、UTM综合网关、核心交换机等网络设备和业务应用系统的集中智能管理，可以大大降低校园网的管理难度，实时掌握各设备的部署情况、运行状况、设备的接入、断开变动；集中采集安全设备、网络设备的安全日志和事件，并进行统一存储、备份、管理和统计分析，协助网络管理员实时监测网络中的攻击行为和安全风险，及时调整安全设备策略，积极应对安全威胁，从而实现对校园网进行全面的监控、分析、处理、维护。

维护校园网安全是一个动态发展的过程，要建立完善的安全管理机构及安全管理制度，不断改进网络安全规划，提高全体人员的网络安全意识和防范技术，才能保证校园网安全防范体系的良性发展。

推荐访问:校园网对策防范风险分析