构筑牢不可破的校园网络安全体系

核心提示： 1、校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，构筑牢不可破的校园网络安全体系(2)，也面临着遭遇攻击的风险，2、校园网内部也存在很大的安全隐患，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，由于内部用户对网

1、校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等，这些系统安全风险级别不同，例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞；Unix由于其技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、Unix自身的病毒等等，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

解决方案及具体实现

根据中央财经大学校园网的结构特点及面临的安全隐患，我们在广泛征集各方意见、悉心比较的基础上，决定采用北京瑞星公司设计的校园网络安全体系方案。瑞星公司在系统、科学地分析计算机网络OSI模型的基础上，确定了以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。

一、防火墙部署

我们在Internet与校园网内网之间部署一台瑞星RFW-100防火墙，成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性：