随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。

　　方案内容

　　具体方案内容包括如下四个方面：

　　1)构建涵盖校园网所有入网设备的病毒立体防御体系

　　在网络中心机房建立防病毒监测与控制中心，配置防病毒管理和分发服务器;各二级网站配置最新版本防火墙，各用户终端通过与防病毒管理与分发服务器进行网络互连，由服务器统一配置最新版本的防杀病毒软件，并实现定时升级与更新。防病毒包括四个方面：计算机终端防病毒、文件和数据库服务器防病毒、邮件服务器防病毒和网关防病毒。

　　计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。但工作站防病毒对网络的依赖较强，必须同时有其它工具配合;文件和数据库服务器的防病毒软件同样能够及时有效地发现、抵御病毒的攻击和彻底清除病毒，尤其针对文件系统的宏病毒等。服务器的防病毒软件还具有以下功能：实时病毒监控功能、远程安装、远程调用、病毒代码自动更新、病毒活动日志、多种报警通知的方式;邮件服务器的防病毒软件能够对经过的邮件中的病毒进行实时查杀，确保经由邮件服务器的附件随时处于病毒的免疫状态。

　　针对在校园网出入口的流量，在校园网出口处设置网关防病毒系统。对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的Java/ActiveX程序和病毒进行查杀扫描，对通过SMTP发送的外部和内部邮件的附件、消息体进行病毒的过滤。

　　病毒防御体系的主要功能如下：

　　(1)蠕虫过滤：蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞发起动态攻击。病毒防御体系可以根据蠕虫的特点实行多层次处理，在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。

　　(2)病毒过滤：对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒，基于专门的病毒引擎进行查杀。对于邮件病毒，可以定义对病毒的处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。

　　(3)垃圾邮件过滤：垃圾邮件类型大致可以分为以下四种类型：邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件;使用Open Relay主机发送的垃圾邮件(Open Relay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件。

　　病毒防御体系按照协议特征对数据包进行分析、重组及解码，按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。

　　(4)内容过滤：支持对邮件关键字、附件文件类型进行过滤，通过定义可信或不可信的URL并进行过滤，可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤，防止敏感信息的侵扰和扩散。

　　2)建立全天候监控的网络信息入侵检测体系

　　在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。

　　入侵检测系统(IDS)是新一代动态安全防范技术，通过对计算机网络或主机中的若干关键信息的收集和分析，从中发现是否有违反安全策略的行为和被攻击的迹象。它是一种集检测、记录、报警和响应于一体的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。入侵检测系统是对防火墙的必要补充，可对网络资源进行实时检测，及时发现入侵者，预防合法用户对资源的误操作，与其它安全产品一起构筑立体的安全防御体系。

　　入侵检测系统的工作流程可分为数据采集、数据分析和做出响应三部分。IDS首先采集来自网络系统不同节点携带网络入侵行为的数据，例如系统日志、网络数据包、文件与用户活动的状态和行为;接着通过模式匹配、异常检测和完整性分析等技术，对数据进行分析以寻找入侵者;最后，一旦确认存在入侵，IDS就进入响应过程，并在日志、报警和安全控制等方面做出反应。

　　入侵检测系统的主要功能包括：

　　(1)对网络入侵行为的检测：包括普通入侵检测和服务拒绝型攻击探测引擎。可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些入侵的企图，就会进行报警。支持基于网络异常状况的检测方式，提供大容量的入侵检测特征库，每一个漏洞都提供了详细的说明和解决方法。能够基于时间、地点、用户帐号以及协议类型、攻击类型等制定安全策略。

　　能够对攻击进行及时报警，并且能够主动切断攻击，由此产生的日志通过工作区切换功能进行存储和转发，支持无IP设置，使得攻击者无法访问IDS的安全工作站。

　　(2)对会话进行记录或拦截：可以对所有的TCP/IP会话进行记录或拦截。记录的数据可以以ASCII码、HEX十六进制等多种方式察看，以便用户察看细节。对于telnet会话，提供“回放”功能，用户只要通过鼠标简单地选择回放，该telnet过程就会与实际发生时完全一样的发生重现出来;对于Web会话，可同步地显示浏览器的内容，同步监视用户的活动。对于会话还可以定义规则进行拦截，使得会话中断，从而达到禁止某些通信实施的功能。

　　3)建立高效可靠的内网安全管理体系

　　只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。

　　内网安全管理体系可以实现：

　　(1)网络隔离度保障：监控移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查，违规接入内部网络;监测内网计算机绕过防火墙等设备，违规接入网络的行为;监控物理隔离的网络内部设备违规接入Internet的行为;监控违反规定将专网专用的计算机带出网络进入到其它网络的行为;可提供IP和MAC地址绑定功能;

　　(2)客户端防病毒软件及应用软件管理：统一监控网络内的防病毒软件安装情况和升级情况，了解网络中的病毒软件安装状况，必要时可通过此系统强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理(如安装软件，禁止使用特定软件，删除软件等)。

　　(3)病毒引入点确定：在网络出现病毒、蠕虫攻击等安全问题时，对安全事件源的实时、快速、精确定位、并可进行远程阻断隔离操作的问题。在大规模病毒(安全)事件发生后，帮助网管确定病毒或黑客事件源头，以做到事后分析、责任查处和加强安全预警的问题。

　　(4)非正常终端阻止入网：软件阻断模式一般采用C/S模式和分布式技术进行软件阻断，可跨网段，跨VLAN，穿透防火墙进行阻断。网络管理人员可在管理端精确定位异常终端，并通过ARP地址干扰技术进行阻断。

　　(5)网络资源有效管理：统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警，在必要时可直接阻断。

　　对IP地址使用情况进行监视和管理;网络管理员可精确统计网络计算机入网设备，了解当前网络IP资源使用，以取代原始的数据资料记载的手段，增强了设备管理信息的实时性、准确性。

　　提供入网设备精确定位功能，精确定位发生安全问题的终端设备所在地点和使用人等，以增加安全应急反应速度，简化网络管理员的工作。

　　(6)客户端流量分析和排序：基于主机方式对网络中客户端流量、分支网络带宽流量进行分析，防止非法入侵、滥用网络资源。可由网络管理人员设定流量的阈值参数，当流量(含出、入或总流量)超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客户端流量异常，从而快速分析是否是网络安全事故。

　　4)建立虚拟专用网(VPN)和专用通道

　　使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。

　　VPN在网络层对数据传输进行加密，优于针对具体链路类型的链路层传输加密。主要应用在内联网、网间网中，对专线连接使用网关对网关模式。使用安全VPN 可以有效地解决网际互联的安全传输问题。

　　安全VPN 系统具有下述特点功能：具有符合国家密码管理委员会规定的密码协议、密码算法和密钥管理制度;安全VPN 设备能支持透明的信息加解密和认证功能;系统具有集中统一的网络管理功能，能够集中在线监控管理、密钥能自动生成、分发、更新;加密产品具有很高的自身安全性;采用IP 层数据保护技术，适应于不同的数据链路接入;能保证数据传输中的机密性、完整性，用户远程登录时的身份认证及实现基于个人身份的访问权限控制。