摘 要:本文从校园网络的物理安全、信息安全、管理机制三个方面入手,提出打造"绿色校园网"的若干技术对策,以期为校园网络的建设发展提供一些技术层面的支持建议。
关键词:校园网络 安全 监管 技术对策
1994年,中国正式成为互联网的接入国家,在其后短短十余年间,网络已经对我们的生活习惯、思维方式、价值观念带来了巨大的冲击,网络作为继广播、报纸、电视之后的新兴媒体,不仅已经发展成为一个新兴的产业,而且成为具有文化教育功能的新领域。从这一点来看,对处于担负培养适应时代需求的新型人才的我国各级学校而言,必然应该将校园网络的建设、应用、管理作为学校教学、管理工作的新领域、新阵地。随着各级学校信息网络硬件和校园网络建设与应用逐渐成熟和完善,校园网络日益成为在校学生网络生活的主要平台,在校学生的网络生活是否健康,直接关系着网络文明乃至整个未来社会文明的进程。
校园网络与Internet相连接,在复杂的网络环境下,蠕虫、病毒、木马等各种病毒横行,网络的可用性和安全性一直在经受各种考验。一方面,校园网络运行的多种应用系统和数据库服务,可能面临着黑客攻击、数据丢失、系统瘫痪的风险。安全管理机制、网络安全策略和防护意识不足也会给校园网络安全带来风险。另一方面,互联网信息浩如烟海、良莠不齐,在校学生单纯、敏感,在信息开放性前所未有的互联网时代,极易受外界影响甚至被恶意误导。如何保障校园网络的正常运转,引导学生获取优良信息、避免接触不良信息是校园网络运行、管理的重要任务。因此,在校园网络安全监管等方面,网络技术人员应该勤思考、深研究、广试验,在技术层面上研究探索保障网络物理安全、过滤不良信息、实施舆情监控的技术手段,确保校园网络的洁净,实现建设"绿色校园网"的目标。本文拟从三个方面提出打造"绿色校园网"的技术对策:
一、采用防火墙、入侵检测、用户认证等安全对策技术,保障校园网络物理安全。
一般来说,校园网络存在有着物理层安全风险(如因地震、水灾或人为破坏造成网络设备故障及数据丢失)、链路层安全风险 (常见的有ARP攻击和DHCP欺骗,几乎每一个校园网都遭遇过ARP病毒攻击)、网络层安全风险(如IP地址欺骗、端口扫描威胁)、传输层安全风险(如UDP淹没攻击、端口扫描攻击)、操作系统安全风险(因为主流os存在安全漏洞,故易被攻击)、应用系统安全风险(病毒攻击、间谍软件、网络钓鱼等)以及管理的安全风险(如口令泄露、管理制度不严密、审计不力)。
解决校园网络安全的主要技术措施如下:
1、防火墙部署:防火墙技术是网络基础设施不可分割的组成部分,也是构成安全网络不可或缺的部分。防火墙有很强的防攻击能力,它按照一定的规则检测进入内网的信息,只允许匹配数据通过,实施中可采用软件防火墙或硬件防火墙。
2、入侵检测技术(IDS):由于防火墙是被动防御,无法防止内部的非法访问,因此,可同时配备入侵检测系统(IDS)。IDS可识别针对网络的恶意行为,能进行事前警告、始终防御、时候取证,是动态防御技术手段,和静态防御的防火墙技术配合,能对网络进行有效的全面防御。
3、虚拟专用网技术VPN:虚拟专用网技术也叫隧道技术,是在公用网络中建立专用的、安全的、稳定的通信网络。如财务专用网络可用VPN技术;两个校区间的网络互联也可以采用VPN连接。
4、用户认证技术: 用户认证技术是构建校园网络安全的关键技术。认证技术能识别、验证信息系统用户身份的合法性和真实性,授权用户按制定的安全策略访问资源,非法访问者则被拒之门外。
5、数据备份与恢复:重要数据的丢失和损坏会造成重大损失。因此,应建立数据备份与恢复系统,通常借助备份服务器进行重要数据备份。
另外还加强防止网页篡改、计算机病毒防范、流量控制、审计跟踪、数据容灾等安全管理系统的建设;以及关闭不必要且易被攻击的网络端口,例如23端口、21端口以及135端口。
二、采用"上网行为管理"软件监管网络舆情,保障校园网络信息安全。
互联网上充斥着色情、暴力、邪教、反动等不良言论,甚至存在网络诈骗等犯罪现象。而在校学生思想单纯、好奇敏感、勇于探索,但思辨力较差,缺乏判断力和自控力。在互联网大环境下,校园网络管理者要增强主动渗透意识,抢占网络新阵地,发挥方向引导作用。此外,根据公安部82号令提出"必须利用信息安全技术留存组织的相关上网记录"的要求,如何监管网络信息、净化校园网络环境,是校园网络信息安全建设迫切需要,也是选择使用"上网行为管理"软件的重要原因。
"上网行为管理"软件能够实现事前的身份认证和准确定位、事中的上网行为控制、事后的完整日志审计。身份认证、行为控制、日志审计等功能屏蔽非法信息、不良信息,同时拦截非法信息,防止再传播,净化网络环境,规范学生上网行为,达到绿色上网的目的。
1、事前的身份认证实现实名上网。
根据学生校园网络账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、VLAN进行绑定,确保用户的唯一性,避免资源盗用,同时掌握学生真实身份,确保上网实名制。
2、事中的上网行为控制屏蔽非法网站和不良信息,规范学生上网行为。
实时监测学生的浏览访问状况,如果出现访问非法URL、使用代理服务器、更改IP地址等对非正常使用网络的情况,可强制其下线,由此来规范学生的上网行为。
限制URL访问,针对网页访问进行控制,对正常合法地址不做限制,对非法的访问信息进行拦截和阻断,屏蔽阻断反动论坛、色情网站、钓鱼网站、恶意代码网站,确保学生上网去向合法。
敏感关键字过滤,禁止学生通过搜索引擎搜索、浏览含有敏感关键字的黄赌毒、反政府、邪教犯罪非法网站;禁止学生通过论坛、博客、微博、emai、QQ、MSN散布、传播反动、色情等不良言论。
3、事后的完整日志审计记录学生上网信息,便于事后追踪与教育。
上网行为审计:即对网站浏览行为的审计,可记录浏览网站的用户IP地址 网站主题、URL地址及子链接、浏览时间。
网页发帖审计:记录用户的源地址、目标地址、发帖网址、发帖时间,发帖内容,支持对特定时间及关键字的查询功能。
Email审计:支持SMTP、POP3及各种网页邮件的审计,记录收发email的源地址、收发帐号、邮件内容、附件、收发时间。
聊天内容审计:可记录MSN、QQ软件相关信息,记录非加密MSN的聊天内容。
网络搜索审计:对各类主流搜索引擎有搜索过滤和搜索关键字审计功能,切断不良网站源头。
其他审计:文件传输、web视频、数据库访问、P2P下载等。
日志审计记录学生上网的详细信息及完整的网络访问记录,通过报表分析、数据挖掘技术可有效的识别学生的上网行为,探讨未来学生上网趋势,为网络思想政治工作提供参考数据,杜绝网络违法行为,减少网络安全威胁。一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。同时在需要时可提供必要的司法依据。
三、建立安全管理机制,技术监管和行政管理双管齐下,确保校园网络全面安全。
校园网络管理工作者要以高度的责任感和认真务实的态度加强日常网络安全管理,预防不良信息的传播,技术监管和行政管理双管齐下,为学校师生提供可靠、良好的网络使用环境。
1、切实执行网络信息上传审批制度。
做到"谁发布,谁负责",对上网信息规范化管理,对各类留言板、BBS论坛应采取询查制度,确保无反动、有害言论发布。
2、建立校园网信息安全事故处理应急预案。
及时、果断处置网上突发事件 ,如发生信息安全事故要及时发应、紧急处理,把损失和不良影响降到最小程度。同时,建立、发布网络信息安全管理相关制度,做到"有章可循,有法可依"。
3、建设学生思想政治教育专题网站。
利用网上舆论引导、网络文化建设等多渠道、多形式对学生普及网络信息安全知识,加强网络德育教育,提高学生网络文明素质,增强法制意识、自律意识,做到依法上网、文明上网、科学上网,形成自觉抵制不良信息的良好氛围,从根本上遏制校园内部不良信息的产生和传播。
校园网络已经广泛成为在校学生学习生活的重要平台,校园网络所连接的国际互联网既不是颠覆学生正确思想观念的洪水猛兽,也不是教书育人的救世主。关键在于校园网络的管理者必须适应新的变化,以科学严谨的态度、求真务实的精神、踏实肯干的作风,在互联网时代背景下探索校园网络安全监管的新思路、新方法。从技术层面为建设"绿色校园网"提供支持保障,让校园网络在学生教育培养上发挥出积极的推动作用。
