随着当代信息技术向中小学教育的扩展,随着多媒体计算机在教学过程中的应用越来越普遍,校园网络的建设提到了重要的议事日程。从当今世界发达国家教育信息化发展的经验来看,从单机发展到网络,是中小学教育信息化发展的必然趋势。因此,在当前我国发达地区的基础教育信息化发展过程中,以校园网络的建设为核心与基础,加快教育现代化的进程,实现我国基础教育改革发展中的跳跃式发展,这是全面贯彻素质教育的要害性步骤。
中小学校园网主要的安全风险
1.主要应用服务的安全风险
应用服务 系统中各个节点有各种应用服务,这些应用服务提供给学校内部相关治理机构使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统,使得系统数据丢失、数据更改、获得非法数据等。
E-Mail 由于邮件服务器软件的众多广为人知的安全漏洞,邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎;利用sendmail的漏洞直接入侵到邮件服务器的主机等。
WWW 利用HTTP服务器的一些漏洞,非凡是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,未经授权的操作者可以很轻易地获得系统的控制权。在校园网络内存、在各种WWW服务,这些服务协议或多或少存在安全隐患。
FTP 一些FTP服务器的缺陷会使服务器很轻易被错误地配置,从而导致安全问题,如被匿名用户上载的木马程序,下载系统中的重要信息(如口令文件)并导致最终的入侵。有些服务器版本带有严重的错误,比如可以使任何人获得对包括root在内的任何账号的访问。
2.Windows操作系统安全风险
Windows NT的安全机制的基础是所有的资源和操作都受到选择访问控制的保护,可以为同一目录的不同文件设置不同的权限。这是NT的文件系统的最大特点。NT的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁(破坏、非法的编辑等)。安全机制甚至包含基本的系统功能,例如设置系统时钟。对用户账号、用户权限及资源权限的合理组合,可以有效地保证安全性。通过一系列的治理工具,以及对用户账号、口令的治理,对文件、数据授权访问,执行动作的限制,以及对事件的审核可以使Windows NT达到C2级安全。
在网络中,有三种方式可以访问NT服务器:
一是通过用户账号、密码、用户组方式登录到服务器上,在服务器答应的权限内对资源进行访问、操作。这种方式的可控制性较强,可以针对不同的用户。
二是在局部范围内通过资源共享的形式访问服务器。这种方式建立在NETBIOS的基础之上,通过对共享资源的共享权限的控制达到安全保护,但不能针对不同的用户。当一个用户在通过共享对某一个资源进行操作时(这时共享权限有所扩大),其他用户可以趁虚而入,造成对资源的破坏。
三是在网络中通过TCP/ip协议,对服务器进行访问。目前典型应用有FTP、HTTP、WWW等。通过对文件权限的限制和对IP的选择,对登录用户的认证可以在安全性上做到一定的保护。
由于Windows NT系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞,一些国际上的安全组织已经发布了大量的安全漏洞,其中一些漏洞可以导致入侵者获得治理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。
3.治理的安全风险
治理系统的安全风险除了上面提到的系统风险之外,系统之间存在很大的安全隐患。系统结构复杂、治理难度大,存在各种服务,哪些服务对哪些人是开放的、哪些是拒绝的都没有一定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据,而且整个系统的正常运行也是保证校园网络系统日常工作正常进行的一个十分重要的方面。必须限制治理系统内各个部门之间的访问权限,维护各个系统的安全访问。而由于整个系统是一个体系,任何一个点出现安全问题,都可能给相关人员带来损失。
中小学校园网安全解决方案
1.安全网络部署
通过清华紫光比威全系列产品可搭建一个安全的中小学校园网络,确保学生的身心健康。本方案中使用了清华紫光比威如下的网络产品:
·清华紫光比威防火墙系统UF1003
·清华紫光比威入侵检测系统UnisIDS 100
·清华紫光比威路由器系统BE2620
·清华紫光比威交换机系统BS5124TM
·清华紫光比威交换机系统BitNOVA 3242FM
·清华紫光比威邮件安全系统UnisInspector 3000。
该方案包括如下内容:
在教育部部署清华紫光比威邮件安全系统,为如图1所示的校校通网络提供邮件服务;中小学校园网用户可通过中心集中提供的邮件系统使用Email服务。
在教育部部署清华紫光比威邮件安全系统,为如图1所示的校校通网络提供邮件安全服务;可通过邮件的内容过滤、防垃圾邮件和防病毒邮件的途径保障学生身心健康。
在出口通过UF1003防火墙系统实现内外隔离,UF1003提供VPN、DHCP、NAT池、PPPoE等功能模块,完全满足校校通用户对网络隔离的需求。
内网部署清华紫光比威网络入侵检测系统UnisIDS 100,对内部用户访问网络进行安全审计;同时也为防火墙提供有效的补充。
通过BSSN.VISA架构实现全网络安全联动,完全确保校校通用户的安全问题。
2.BSSN.VISA全网安全联动
BSSN.VISA(Versatile Integrated Security Architecture),是下一代互动安全网络架构,如图2所示。在VISA体系架构中,清华紫光比威系列产品(防火墙、入侵检测系统、网络隐患扫描系统、邮件安全系统、路由器、交换机和访问控制网关等)通过VISP(Versatile Integrated Security PRotocol)协议实现产品联动,为教育用户提供一个完善的安全网络。
有效防范外部入侵
网络入侵检测系统一旦发现外部黑客对内部网络进行网络入侵、非法访问和越权资源使用等事件;可立即通过VISP协议联动到出口位置的防火墙系统或路由器系统;执行模块自动添加相应策略,将入侵者IP地址进行封禁指定时间,使外部入侵者无法通过防火墙或路由器系统。
在联动过程中,所有联动信息都将传递给监控中心模块,实现安全联动审计。
有效防范内部入侵
为了解决内部人员的入侵和非法访问,部署入侵检测系统和访问控制网关。BSSN.VISA通过VISP可使入侵检测系统、隐患扫描系统、访问控制网关和交换机系统有效的安全联动。
网络入侵检测系统一旦发现内部人员进行网络入侵、非法访问和越权资源使用等事件;可立即通过VISP协议联动到内部相应的交换机系统;交换机通过关闭端口的方式禁止本人员的网络访问。
图1 中小学校园网安全解决方案
图2 互动安全网络结构图
