求实校园安全需求分析及解决方法

求实校园安全需求分析及解决方法1网络攻击防御需求高校校园网络连接INTERNET，因此从安全角度看，可以划分为两大区域，内部网络和外部网络。在内外网之间必须有安全隔离措施，对数据的流动进行控制。首先内部网络是私有网络，其访问ITNERNET的流量必须隐藏真实地址，而转换为公网地址；其次，网络边界要有适当的访问控制策略，既需要控制内部网络可以访问INTERNET的流量，更需要严格控制INTERNET可以访问内部网络的流量，以防止黑客攻击和非法访问。因而只允许INTERNET访问校园网对其开放的服务，如、EMAIL等，其他服务全部禁止。对通过INTERNET到校园内网应用如OA系统的连接，采用IPSECVPN或者SSLVPN技术，以保证数据安全性。即使被黑客窃听，也无法解密。采用流量监听和阻断恶意流量机制，对网络进行保护。监视和分析用户及系统的活动，识别反映已知进攻的活动模式并向管理员报警。2系统安全漏洞管理需求高校有大量的应用服务器和网络设备，以及应用程序和数据库系统。众所周知，在服务器和网络设备操作系统（包括WINDOWS,类UNIX），应用协议（如TCP/IP），应用程序中，存在很多安全漏洞。蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。如果对系统中的各种漏洞不能及时发现和修复，就有很大的被攻击的风险，造成很大的损失，例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。所以要有漏洞管理机制，及时扫描和修复系统安全漏洞保护网络安全。解决方法：使用360企业版，在控制台统一进行漏洞修复。3网络防病毒需求高校校园网用户众多，网络环境复杂，病毒入口点非常多，如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。一个良好的网络防病毒方案应该达到如下目标：要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作，整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段。同时为了网络管理人员有效、快捷地实施和管理整个网络的防病毒体系，应能实现简易、自动、智能和强制执行防病毒策略的维护管理方式。网络实施防病毒系统应力求达到在整个内部网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系，保护校园网络免遭来自外部和内部病毒的威胁和破坏，从根本上杜绝病毒的发作和传播，有效地保护学校内部资源。同时，该方案还必须是一个使用方便的，灵活的和全自动的系统，可以完全自动的升级；可以在本网的任何地方管理全网；等等。最后，它还必须是一个易于扩充和修正的方案，能方便的适应将来网络扩充时可能的变更。特别地，校园网需要很好地防范ARP欺骗病毒。ARP欺骗病毒是目前高校校园网中比较泛滥的一种病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到校园网络的正常运行。因此，必须有合适的措施应对ARP欺骗病毒对网络的危害，保证网络的持续可用性。解决方案：使用360杀毒控制台控制办公区病毒流动同时在教室以及机房安装冰点还原精灵以及杀毒软件（定时升级），同时对于arp防御我们采用终端加硬件控制的方式，我们网络设备为全套思科设备可开启防护功能，终端也开启arp防火墙。4WEB应用安全需求据权威机构IDC调查显示，Web应用越来越丰富的同时，针对Web服务器的攻击也与日俱增。SQL注入、网页篡改、网页挂马、应用层DDOS等安全事件，频繁发生。WEB攻击一旦得逞，将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。对于高校而言，门户网站是其对外宣传的窗口和内部交流的平台，网站的安全直接影响学校的声誉。因此，必须杜绝网页篡改，网站拒绝服务等安全事件的发生。解决方案：我们采用端口控制，只开放80端口，同时使用防火墙。5内容安全管理需求随着计算机网络在经济和生活各个领域的迅速普及，网络发展从连通时代到应用时代的转变，如何保证网络内容安全，净化网络环境，规范上网行为，符合国家法规要求，是广大机构迫切需要解决的问题。有不良影响或危害的网络行为有：1、利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；2、因访问不良网站而遭受恶意代码、间谍软件及钓鱼式攻击等，影响机构网络正常运行；3、随意使用P2P下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；4、浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；5、随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生；根据调查数据显示，以上事件呈逐年上升趋势，导致机构工作效率降低、重要敏感信息泄露、业务应用无法正常运行、网络带宽资源滥用、不良反动言论传播甚至面临国家法律风险等，给机构造成严重的经济损失和巨大的网络信息安全风险。尤其高校作为高等教育机构的特殊性质，更需要营造健康的网络环境，屏蔽色情、暴力等不良网站；同时，对学生的上网行为也要有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散。解决方案：使用AWall网桥模式管理。屏蔽游戏炒股网站，屏蔽与上班不符的网站，同时禁止p2p下载。6INTERNET接入用户控制需求高校面向学生区，家属区提供INTERNET接入服务。对每帐户只允许接入一个用户，以便合理收费，防止非授权接入INTERNET。但在实际运营中出现以下情况：1、利用代理服务器软件或者SOHO路由器实现多人利用同一帐号上网。2、IP，MAC地址假冒。有的认证方式是通过IP、MAC地址确定物理端口是否合法，在认证端如果收到合法的IP和MAC地址信息就认为这是合法的用户，许多学生就会利用这种方式的弱点，把自己计算机的IP和MAC修改成合法的地址，这样自己就能使用网络资源。因此，校园网INTERNET需要一个有效的用户接入认证机制，应对代理或IP地址假冒的挑战。我通过可管理交换机控制接入数量，同时通过macip绑定方式拒绝非法接入。同时现在在威顿试用期间，同时我们可以让用户安装于为安装的进行完全隔离。7完善安全管理制度的需求“三分技术，七分管理”。实施安全应管理先行，安全组织体系的建设势在必行。应在学校建立网络安全建设领导委员会，该委员会应由一个主管领导，网络管理员，安全操作员等人员组成。主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合。网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略。安全操作员负责安全系统的具体实施。另外，在学校网络中心应建立安全专家小组，负责安全问题的重大决策。