教育系統(tǒng)安全防護解決方案
1.教育信息系統(tǒng)概述
隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,校園網(wǎng)絡(luò)建設(shè)也一直走在網(wǎng)絡(luò)發(fā)展的前端。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全問題日益突出。近兩年來,黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見不鮮,而且一次比一次破壞力大,對網(wǎng)絡(luò)安全造成的威脅也越來越大,一旦網(wǎng)絡(luò)存在安全隱患,遭受重大損失在所難免。在高校校園網(wǎng)中,網(wǎng)絡(luò)管理者對于網(wǎng)絡(luò)安全普遍缺乏重視,但是隨著網(wǎng)絡(luò)環(huán)境的惡化,以及一次次付出慘重代價的教訓(xùn),高校校園網(wǎng)的管理者已經(jīng)將安全因素看作網(wǎng)絡(luò)建設(shè)、改造的關(guān)鍵環(huán)節(jié)。
國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因:在舊網(wǎng)絡(luò)時期,一方面因為意識與資金方面的原因,以及對技術(shù)的偏好和運營意識的不足,普遍都存在“重技術(shù)、輕安全、輕管理”的傾向,高校網(wǎng)絡(luò)建設(shè)者在安全方面往往沒有太多的關(guān)注,常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉,有些學(xué)校甚至什么也不放,直接面對互聯(lián)網(wǎng),這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等,這些安全隱患發(fā)生任何一次對整個網(wǎng)絡(luò)都將是致命性的。
隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,一方面校園網(wǎng)已從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò),校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題;另一方面,高校是思想政治和意識形態(tài)的重要陣地,確保學(xué)生的身心健康,使他們具備一個積極向上的意識形態(tài),必須使學(xué)生盡可能少地接觸網(wǎng)絡(luò)上的不良信息。因此,解決網(wǎng)絡(luò)安全問題刻不容緩。
2.校園信息系統(tǒng)安全分析及建議
校園網(wǎng)從結(jié)構(gòu)上講,可以分成核心、匯聚和接入3個層次;從網(wǎng)絡(luò)類型可以劃分為教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點是底下的接入方式非常多,包括撥號上網(wǎng)、寬帶接入、無線上聯(lián)等各種形式接入的用戶類型也非常復(fù)雜,有學(xué)生、教職工以及校內(nèi)商業(yè)機構(gòu)的辦公人員。另外,校園網(wǎng)通常是雙出口結(jié)構(gòu),可以通過ChinaNet,也可以通過CERNET達到互聯(lián)網(wǎng)。多層次、業(yè)務(wù)復(fù)雜的特點使得網(wǎng)絡(luò)安全顯得尤為重要。
此外,高校校園網(wǎng)還存在一個經(jīng)常被忽視但是越來越嚴(yán)重的現(xiàn)象,很多高校用戶反映:現(xiàn)在有相當(dāng)數(shù)量的學(xué)生的計算機相關(guān)技術(shù)水平非常高,甚至超乎管理人員的想象,在這種情況下,高校如何能夠保證網(wǎng)絡(luò)的安全運行,同時又能提供豐富的網(wǎng)絡(luò)資源,達到辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。很多時候,校園網(wǎng)的安全隱患更多地是來自于校園網(wǎng)內(nèi)部。相比來自外部的攻擊,來自網(wǎng)內(nèi)的攻擊更為可怕,威脅更大。由此可見,目前很多高校校園網(wǎng)的安全環(huán)境可以用“內(nèi)外交迫”來形容。
校園網(wǎng)絡(luò)與一般的企業(yè)網(wǎng)絡(luò)有很大的區(qū)別。因為一般的來說,除了學(xué)校內(nèi)涉及科研的主機以外,網(wǎng)絡(luò)中其他位置并沒有重要的數(shù)據(jù)信息。而校園網(wǎng)的功能也主要是保證整個網(wǎng)絡(luò)通訊的順暢。對于通訊中的數(shù)據(jù)安全,一般由使用線路的單位或個人自己負(fù)責(zé)。所以我們可以看出,校園網(wǎng)信息網(wǎng)的安全需求一是要保障整個通訊鏈路的安全;二次是保護校園網(wǎng)內(nèi)重要科研服務(wù)器以及辦公網(wǎng)絡(luò)的安全。
經(jīng)過對校園系統(tǒng)的安全風(fēng)險和安全需求分析,我們提出通過部署防火墻對兩個安全區(qū)域進行隔離。在主干交換機上部署入侵檢測設(shè)備、漏洞掃描設(shè)備,在內(nèi)網(wǎng)部署防病毒系統(tǒng)和內(nèi)網(wǎng)管理中心系統(tǒng)于一體的安全解決方案,希望能幫助校園系統(tǒng)有效抵御來自外部和內(nèi)部網(wǎng)絡(luò)的非法攻擊。