- 项目背景
1.1 校园网络安全背景
随着信息技术的快速发展,校园网络已经成为教育、科研和管理的重要平台。校园网络的普及极大地提高了教育的效率和质量,但同时也带来了一系列安全问题。首先,网络攻击的威胁日益增加。黑客利用各种手段对校园网络进行攻击,包括但不限于DDOS攻击、SQL注入、跨站脚本攻击等,这些攻击可能导致校园网络服务中断,影响正常的教学和科研活动。
其次,数据泄露问题也日益严重。校园网络中存储了大量的敏感信息,如学生的个人信息、教师的研究成果等。一旦这些信息被非法获取,不仅会侵犯个人隐私,还可能对学校的声誉和师生的权益造成损害。此外,恶意软件的传播也是校园网络安全面临的挑战之一。恶意软件包括病毒、木马、勒索软件等,它们通过各种渠道传播,一旦感染校园网络,可能导致数据丢失、系统瘫痪等严重后果。
除了技术层面的威胁,校园网络安全还面临着管理上的挑战。许多学校在网络安全管理上缺乏有效的制度和规范,网络安全意识不强,技术防护措施不足,这些都为网络攻击和数据泄露提供了可乘之机。此外,随着移动设备的普及,校园网络的接入点增多,管理难度也随之增加。
近年来,全球范围内的高校频繁遭受网络攻击事件。其中不乏一些世界名校,由此也可见完善校园内的网络安全是亟待解决的问题,具体实例如下:
(一)“国防七校”西北工业大学遭受境外网络攻击
据央视新闻9月5日消息,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。该校电子邮件系统遭受网络攻击,报警后经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。据悉,该校电子邮件系统发现一批以科研评审,答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。国家技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,经综合研判分析,初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”。调查发现,“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。
(二)香港中文大学用Zoom考试遭数名攻击者入侵传播色情内容
2020年4月,香港中文大学使用视频会议软件Zoom举行通识课程考试,在考试开始约 10 分钟后,聊天室突然有几名日本籍和印度籍人士加入,而且有印度人一直模仿讲师的口音讲话。有学生表示,当时一直有人讲粗口,更有人用「分享屏幕」功能,在聊天室内播放成人影片及印度歌曲MV,以至学生无法正常进行考试。讲师随后立即中止考试,要求学生对着镜头展示自己的学生证,再呈交考试答案。有学生担心自己的个人信息也被这些黑客看到了。Zoom的安全问题也成为2020上半年公众讨论的热点。
(三)美国圣地亚哥联合学区遭遇网络钓鱼,50万学生与员工数据被泄露
2018年12月,圣地亚哥联合学区(SDUSD)逾50万学生与50名员工个人数据在安全入侵事件中遭遇泄露。据悉,一名黑客向SDUSD的人员发送了鱼叉式网络钓鱼,意欲引诱受害者暴露凭证以便访问该地区网络服务。攻击者访问了学生与员工的姓名、出生日期、邮件与家庭地址、电话号码、社保号码或州学生身份证号码等个人信息。黑客还访问了某些员工的薪水支票、工资与直接存款信息、汇款路径号码及银行账户号码等财务信息。据SDUSD称,该事件发生于2018年1月,这意味着黑客已窃取长达12个月的信息。该事件发生后,受影响员工账户已重置密码。
1.2 中国高校网络安全的具体要求
首先,高校需要遵循《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规,实施严格的安全防护措施。这包括对信息系统(网站)进行统一的IP地址和域名分配,建立校园局域网出口的集中管理机制,以及实行实名认证制度,规范外来访客的网络访问管理。
此外,高校应建立网络流量监测机制,以便及时发现并识别网络攻击行为,屏蔽不良网络信息,提升校园局域网的安全态势感知能力。同时,高校还需健全应急管理机制,建立网络安全事件的协同处置机制,确保各类网络故障和安全事件能够得到快速响应和有效处置。
在技术层面,高校应采用新的网络安全技术和方法,加强与外部机构的沟通和协作,构建一个更加安全、可靠、智能的网络安全防护体系。这涉及到数据安全治理,需要平衡数据保护与应用发展,建立数据安全治理体系,解决数据泄露事件频发的问题。
高校还需关注人工智能等新兴技术带来的网络安全和数据安全隐患。随着AI技术的深入应用,网络攻击的方式和手段也在不断演变,呈现出分布式、智能化和自动化的特点。因此,高校在数据的采集、建设和使用过程中,需要加强监管,确保数据的合法来源和脱敏使用。
供应链安全也是高校网络安全的重要组成部分。随着信息技术的发展,高校网络产品和服务的供应链变得日益复杂,供应链安全问题可能波及整个供应链的各个环节。因此,高校在供应链安全方面要严格把关,确保系统实施经过专家论证,系统上线经过源代码检查和安全检测,并经过试运行后才能正式上线。
最后,高校需要推动全员形成网络安全意识,从顶层设计出发,统领全校信息化和网络安全全局。这包括加强网络安全责任体制的落实,确保各部门主管责任和技术部门运维工作的执行,以及与高新公司合作,提供专业的产品和安全服务,形成网络安全工作运行与年度考核的机制。随着相关法律法规的制定和施行,高校未来的整体防护能力将会越来越强。
1.3 五邑大学校园网络现状
五邑大学有一个功能全面的WEB网站,这个网站的主要用途包括发布各种校园信息、开展在线教学活动以及共享各类教学和学习资源。网站的建设和运行极大地方便了师生之间的信息交流和资源共享,提高了教学效率和学习体验。
该网站部署在一台位于校园局域网内的服务器上,服务器的内网IP地址是192.168.10.1。为了确保用户能够顺利访问和管理员能够便捷地管理服务器,这台服务器开放了多个重要的网络端口。其中,80端口用于HTTP协议的网络请求,使得用户能够通过浏览器访问网站内容;3389端口用于远程桌面连接,管理员可以通过这个端口进行远程管理和维护服务器;21端口用于FTP文件传输,方便管理员和用户上传和下载文件;445端口用于SMB文件共享协议,使得局域网内的其他设备可以通过共享文件夹访问服务器上的资源;139端口则用于NetBIOS服务,提供网络基本输入输出系统的支持。
为了使得校园外部的用户也能够访问这个网站,服务器通过一台路由器与外部互联网连接。路由器采用了一对一NAT(网络地址转换)技术,将服务器的内网IP地址192.168.10.1映射到一个公网IP地址103.32.56.77。这样一来,外部用户只需要通过公网IP地址即可访问到五邑大学的WEB网站,而不会暴露内部网络的具体结构和细节。这种设置不仅确保了服务器的安全性,还使得访问变得更加便捷和高效。通过这样的网络配置,五邑大学的WEB网站能够为全校师生及其他外部用户提供可靠的服务,支持学校的教学和管理工作。
1.4 现存问题和面临的挑战
(1) 网络边界防护不足:目前,五邑大学的网络边界缺乏足够的安全防护措施,容易成为外部攻击的目标。由于缺乏高效的防火墙和安全策略,系统面临着来自外部的各种威胁,包括但不限于未授权访问、分布式拒绝服务(DDoS)攻击和恶意软件入侵。这种防护不足使得攻击者可以轻易地找到并利用网络边界的漏洞,从而对内部系统进行攻击和破坏。
(2) 入侵检测系统缺失:当前网络中未部署入侵检测系统(IDS),导致无法及时发现和响应各种网络攻击行为。入侵检测系统是一种关键的安全机制,可以实时监控网络流量和系统活动,识别异常和潜在威胁。在缺乏这一系统的情况下,任何网络攻击都可能在未被察觉的情况下成功实施,给学校的网络安全带来严重隐患。
(3) 远程办公存在高风险:由于远程桌面服务直接暴露在公网中,远程办公的安全性存在较大风险。攻击者可以通过各种方式尝试访问远程桌面服务,如暴力破解、钓鱼攻击和漏洞利用。这种配置不仅增加了系统被攻破的可能性,还可能导致敏感信息泄露和重要数据丢失。
(4) 安全检测工作不到位:缺乏定期的漏洞扫描和渗透测试,无法及时发现和修复系统中的安全漏洞。漏洞扫描和渗透测试是发现系统弱点和潜在漏洞的重要手段,通过这些测试,可以提前识别和修复安全问题,防止攻击者利用这些漏洞进行攻击。目前的检测工作不到位,使得系统中的安全漏洞长期存在,增加了被攻击的风险。
1.5 项目实施目标
本项目旨在为五邑大学设计并实施一套全面的网络安全建设和加固方案,以解决当前存在的问题和面临的挑战,从而提升整体网络安全水平,保护关键业务系统和敏感数据的安全。通过实施这些安全措施,五邑大学不仅可以大幅提升整体网络安全水平,还能为日常教学和管理提供更加可靠的保障。具体来说,这些措施将带来以下几个方面的改进和效益:
(1)边界安全的提升:在强化边界安全方面,部署防火墙和严格的安全策略将有效阻止未经授权的访问。防火墙作为网络安全的第一道防线,可以对进出校园网络的数据流进行细致的过滤,阻止任何可疑或恶意的流量进入内网。同时,安全策略的实施将为网络访问行为设定明确的规范和限制,减少因人为疏忽或恶意行为带来的安全风险。通过这种多层次的边界防护措施,学校的网络边界将变得更加坚固和安全,能够有效抵御外部威胁的侵入。
(2)入侵检测系统的引入:部署入侵检测系统(IDS)将显著提高对网络攻击的检测和响应能力。通过网络入侵检测系统(NIDS)对整个网络流量进行实时监控,可以及时发现异常流量和潜在的攻击行为。而主机入侵检测系统(HIDS)则通过监控各个主机上的活动,识别和阻止任何可疑的操作和访问。IDS系统能够在攻击发生的初期就发出警报,并采取相应的防御措施,减少攻击带来的损害和影响。通过这种主动监控和快速响应机制,学校的网络安全将得到全面提升。
(3)远程办公安全保障:对于远程办公和在线教学的安全保障,实施虚拟专用网络(VPN)和多因素认证(MFA)是必不可少的措施。VPN技术将对所有远程访问的数据进行加密,确保数据在传输过程中的机密性和完整性,防止数据被截获和篡改。多因素认证(MFA)通过增加身份验证的难度,有效防止账户被非法访问。即使攻击者获取了密码,也难以通过MFA完成登录,从而保护用户的账户安全。这些措施不仅确保了远程办公的安全性,还为在线教学提供了一个安全稳定的环境。
(4)定期安全检测和维护:定期进行漏洞扫描和渗透测试是保持系统安全性的重要手段。通过使用先进的安全检测工具,对系统进行全面扫描,可以及时发现潜在的安全漏洞和弱点。渗透测试则通过模拟真实攻击,验证系统防御的有效性,并找出防御中的不足之处。发现漏洞后,立即进行修复,确保系统始终处于最佳的安全状态。同时,定期审查和更新安全策略和防护措施,能够及时应对新出现的安全威胁,保持网络安全的领先地位。
(5)提升网络安全意识:除了技术上的改进,提升全校师生的网络安全意识也是项目的重要目标之一。通过开展网络安全培训和宣传活动,让师生了解基本的网络安全知识和防护措施,增强他们的安全意识和自我保护能力。这些培训和宣传活动可以包括网络安全讲座、实战演练、在线课程和安全提示等多种形式。通过这些活动,师生不仅能掌握基本的安全技能,还能了解最新的安全威胁和防护技术,从而在日常使用网络时更加谨慎和安全。
(6)综合效益和长期影响:通过上述措施的实施,五邑大学的网络安全水平将得到显著提升,整个网络环境将变得更加安全、可靠。师生在使用校园网络进行教学、科研和管理工作时,将不再担心数据泄露和系统被攻击,能够更加专注于学术和管理事务。长期来看,这些安全措施将为学校的发展提供坚实的保障,促进学校信息化建设的稳步推进,提升学校在信息安全领域的声誉和影响力。
- 需求分析
3.1 网络架构分析
图3.1 网络现状
-
-
- 互联网服务供应商 (ISP):ISP为学校网络提供了关键的互联网连接,是学校与外部网络沟通的桥梁。通过边界路由器(R),ISP与学校内部网络实现了稳定的数据传输。
- 边界路由器(R):位于学校网络的边缘,负责管理进出网络的数据流量。它利用DHCP协议为内部设备自动分配IP地址,并设置ACL来筛选掉恶意流量,以保障网络安全。此外,边界路由器还配置了静态NAT,允许外部用户仅能访问学校网站。
- 服务器层 (COM):学校内部的服务器层部署了Web服务器、FTP服务器和DNS服务器,为学生和教职工提供了丰富的网络服务。其中,Web服务器通过NAT转换技术,将内网地址192.168.10.1映射为公网地址103.32.56.77,允许外部用户通过80端口访问学校网站。
- 核心交换层 (AC1):负责连接不同楼宇的汇聚交换机 (SWT),提供高速数据传输。使用 VLAN 技术将网络划分成多个虚拟网络,例如 VLAN100、VLAN200、VLAN70 等,提高网络安全性。配置静态 NAT 转换,将内网 IP 地址转换为外网 IP 地址,使内部设备能够访问互联网。
- 汇聚交换层 (SWT):位于网络架构的中间层,负责将来自接
-
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
