前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的學(xué)校網(wǎng)絡(luò)安全措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞 無線網(wǎng)絡(luò);高校網(wǎng)絡(luò)系統(tǒng);安全措施;防范
1 引言
網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,為教學(xué)科研作出了巨大的貢獻。但是網(wǎng)絡(luò)安全問題也一直困擾著高校。目前病毒、黑客猖獗,而學(xué)校的科研資料等相關(guān)資料都非常重要,因此網(wǎng)絡(luò)安全尤其重要。當前許多企事業(yè)單位都已經(jīng)采用了無線網(wǎng)絡(luò)。了解無線網(wǎng)安全隱患,再結(jié)合高校
自身網(wǎng)絡(luò)的特點,提出合理有效的安全防范措施,確保高校網(wǎng)絡(luò)安全。
2 無線網(wǎng)通訊協(xié)議和安全措施
2.1 通訊協(xié)議
無線網(wǎng)絡(luò)通訊協(xié)議主要有以下幾個:
(1).802.11b 協(xié)議:價格低廉、高開放性,支持A d H o c (點對點)和Infrastructure(基本結(jié)構(gòu))兩種工作模式。
(2).802.11g協(xié)議:傳輸速率高,可以達到54M傳輸速率,加強型的802.11g 產(chǎn)品已經(jīng)步入無線百兆時代,兼容802.11b 協(xié)議。
(3).藍牙:主要是應(yīng)用在筆記本電腦中,目前大部分無線網(wǎng)絡(luò)產(chǎn)品都支持藍牙。
(4).WEP 協(xié)議:WEP 協(xié)議為了保證802.11b協(xié)議數(shù)據(jù)傳輸?shù)陌踩远朴喌陌踩珔f(xié)議,該協(xié)議通過對傳輸?shù)臄?shù)據(jù)加密,保證無線局域網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩浴?/p>
2.2 安全措施
無線網(wǎng)絡(luò)中主要存在的威脅是截獲或修改傳輸數(shù)據(jù)。如果攻擊者可以訪問網(wǎng)絡(luò),則可以插入惡意計算機來截獲、篡改兩個客戶端的通信。
無線網(wǎng)絡(luò)覆蓋的安全性對無線網(wǎng)絡(luò)是最為關(guān)心的問題之一,網(wǎng)絡(luò)覆蓋區(qū)域內(nèi),難免有非法用戶接入無線網(wǎng)絡(luò)。現(xiàn)在所有W L A N 產(chǎn)品均實現(xiàn)了一定程度的安全措施,目前常用的有M A C 地址訪問限制,數(shù)據(jù)傳輸加密等方法。
(1).AP 端的MAC 地址訪問限制,拒絕未經(jīng)過登記許可的無線客戶端設(shè)備鏈接;
(2).128 bits WEP 數(shù)據(jù)加密,確保數(shù)據(jù)傳播途徑中的安全;
(3).無線設(shè)備自身的安全防范措施。
3 高校無線網(wǎng)安全措施
3.1 用戶劃分
高校網(wǎng)絡(luò)建設(shè)中,已經(jīng)應(yīng)用了無線網(wǎng)絡(luò)建設(shè),將來普及面更廣,無線用戶數(shù)量眾多。
從現(xiàn)有的網(wǎng)絡(luò)環(huán)境和用戶分析,可以劃分成以下用戶群:
(1).固定用戶群:機關(guān)辦公、機房電腦、教學(xué)樓、實驗室等用戶群。
(2).活動用戶群:教師個人電腦、學(xué)生自用電腦等用戶群。
(3).臨時用戶群:學(xué)術(shù)交流會臨時電腦用戶群。
用戶群的劃分,有利于無線網(wǎng)絡(luò)接入Internet 網(wǎng)采取不同的安全策略,確保整個高校的無線網(wǎng)絡(luò)安全。
3.2 安全防范措施
高校無線網(wǎng)絡(luò)的安全防范措施,除了WEP 數(shù)據(jù)加密協(xié)議外,應(yīng)根據(jù)不同的用戶群,采取不同的安全防范措施。
(1).固定用戶群
1)MAC 地址綁定,限制非法用戶訪問。這種策略適合高校固定用戶群,網(wǎng)絡(luò)信息中心可以統(tǒng)一分配IP,配置MAC 地址的過濾策略,確保無線網(wǎng)絡(luò)的安全。
(2).活動用戶群
1)端口訪問控制技術(shù)。該技術(shù)是無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當工作站STA 與訪問點AP 連接后,使用AP 的服務(wù)要經(jīng)過802.1x 的認證。如果認證通過,AP 為STA 打開這個邏輯端口,否則禁止接入。802.1x 要求工作站安裝802.1x客戶端軟件,訪問點要內(nèi)嵌802.1x 認證,同時還作為Radius 客戶端,將用戶的認證信息轉(zhuǎn)發(fā)給Radius 服務(wù)器。802.1x 除提供端口訪問控制之外,還提供基于用戶的認證系統(tǒng)及計費。
2)A P 隔離。類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,只能訪問AP 連接的固定網(wǎng)絡(luò),從而提供安全的I n t e r n e t 接入。
(3).臨時用戶群
1)啟用密碼訪問限制,非密碼用戶不能訪問無線網(wǎng)。此方法可以確保授權(quán)用戶能訪問網(wǎng)絡(luò)。特別適合臨時場所使用,比如會議等。
4 結(jié)束語
高校無線網(wǎng)絡(luò)的建設(shè),既帶來了方便,同時也帶來安全隱患。無線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和安全措施的完善,為高校提供了安全、可靠的網(wǎng)絡(luò)環(huán)境。
關(guān)鍵詞 校園網(wǎng);網(wǎng)絡(luò)信息;安全措施;分析
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)97-0230-02
1校園網(wǎng)安全特性分析
通常來講,信息安全重點關(guān)注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞,出現(xiàn)了信息泄露、被篡改、濫用的現(xiàn)象。信息網(wǎng)絡(luò)的安全特性主要有完整性、可用性、保密性以及未授權(quán)使用資源的安全威脅,這些安全特性也是校園網(wǎng)的安全特性。
目前,不少學(xué)校的校園網(wǎng)中使用的網(wǎng)絡(luò)沒有設(shè)置防護系統(tǒng),也沒有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)別,可以說安全策略和安全措施的設(shè)置絲毫沒有受到學(xué)校的重視。
主要表現(xiàn)在網(wǎng)絡(luò)的應(yīng)用管理系統(tǒng)較為分散、沒有設(shè)置完善的防毒策略、沒有采取數(shù)據(jù)備份措施以及尚未建立集中的身份驗證系統(tǒng)等等。
在教育信息化速度日益加快的今天,學(xué)校中的很多工作都需要通過網(wǎng)絡(luò)來完成,例如管理、科研方面的工作,除此之外,校內(nèi)的諸多業(yè)務(wù)系統(tǒng)都需要通過校園網(wǎng)來建立,如教務(wù)系統(tǒng)、人事系統(tǒng)、辦公系統(tǒng)以及財務(wù)系統(tǒng)等。如果校園網(wǎng)網(wǎng)絡(luò)信息的安全問題再得不到足夠的重視,將會給校園網(wǎng)埋下嚴重的安全隱患。
2校園網(wǎng)網(wǎng)絡(luò)信息安全風險分析
校園網(wǎng)具有網(wǎng)絡(luò)連接形式復(fù)雜、設(shè)備種類數(shù)量多以及操作系統(tǒng)平臺不一致的特點,這就給校園網(wǎng)的網(wǎng)絡(luò)信息的安全帶來了很多威脅,風險主要來自一些幾個方面。
2.1互聯(lián)網(wǎng)導(dǎo)致的風險
校園網(wǎng)絡(luò)的構(gòu)建幾乎都需要用到Internet技術(shù),并且還需要連接到互聯(lián)網(wǎng)上。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源,同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。
這樣的網(wǎng)絡(luò)構(gòu)建方式對于提高學(xué)校的知名度、擴大學(xué)校的影響力具有十分重要的作用。然而互聯(lián)網(wǎng)具有網(wǎng)絡(luò)信息的開放性和共享性,這就導(dǎo)致了網(wǎng)絡(luò)信息存在一定的安全隱患,學(xué)校在獲得知名度的同時,也會出現(xiàn)一些安全問題。
互聯(lián)網(wǎng)上的信息都不能完全信任,因為網(wǎng)絡(luò)信息的安全性無法保證,是否會出現(xiàn)網(wǎng)絡(luò)攻擊更難以預(yù)料,這就需要學(xué)校在使用校園網(wǎng)時切實做好安全防范工作,預(yù)防和化解存在的安全風險。
2.2內(nèi)部導(dǎo)致的風險
據(jù)相關(guān)統(tǒng)計顯示,有將近75%的網(wǎng)絡(luò)信息安全事件都是源于內(nèi)部??梢姡瑑?nèi)部網(wǎng)絡(luò)存在的安全風險十分嚴重。
因為內(nèi)部人員比其他人員更熟悉內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu),這就容易出現(xiàn)網(wǎng)絡(luò)內(nèi)部人員攻擊內(nèi)部網(wǎng)絡(luò)的事件,或者內(nèi)部人員與外部人員聯(lián)手攻擊網(wǎng)絡(luò),亦或是內(nèi)部人員將網(wǎng)絡(luò)信息隨意泄露出去的行為,這都可能會給校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)帶來破壞性的打擊。
特別是近年來校園網(wǎng)絡(luò)的迅速發(fā)展,并且和一般性的局域網(wǎng)絡(luò)不同,校園網(wǎng)使用的用戶中網(wǎng)絡(luò)高手較多,更需要切實做好校園網(wǎng)的安全預(yù)防工作。
2.3病毒導(dǎo)致的安全風險
病毒是一種非法程序,它是為了達到某種企圖而秘密編寫的,它的復(fù)制能力非常強。病毒能夠給計算機網(wǎng)絡(luò)帶來毀滅性的破壞。
尤其是目前互聯(lián)網(wǎng)的發(fā)展速度日新月異,使用電子郵件系統(tǒng)的用戶變得越來越多,致使網(wǎng)絡(luò)成為了病毒擴散的重要載體,并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見,校園網(wǎng)的網(wǎng)絡(luò)信息在病毒肆意蔓延的環(huán)境下存在著諸多安全隱患。
2.4管理導(dǎo)致的安全風險
在網(wǎng)絡(luò)安全中,管理占據(jù)著十分重要的地位。不少學(xué)校都將學(xué)校的建設(shè)放在重要的位置,而不太重視學(xué)校的管理工作,尤其是網(wǎng)絡(luò)安全管理。
可見,出現(xiàn)網(wǎng)絡(luò)安全的一個重要原因就是學(xué)校沒有制定完善的安全管理制度。
如,校園網(wǎng)的網(wǎng)絡(luò)用戶沒有樹立較強的安全意識,校園網(wǎng)缺乏完善的管理制度,校園網(wǎng)絡(luò)管理員設(shè)置不合理以及用戶口令設(shè)置不恰當?shù)鹊龋@些都給校園網(wǎng)帶來了嚴重的安全隱患。
2.5系統(tǒng)導(dǎo)致的安全風險
由系統(tǒng)導(dǎo)致的安全風險主要來自于數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)。大多數(shù)校園網(wǎng)一般使用三種系列的操作系統(tǒng),它們是Linux、Unix以及Windows,使用程度最高的系列是最后一種。
不言而喻,每一種操作系統(tǒng)都不可能是完美的,或多或少都會存在一些未知和已知的安全問題,并且國家安全組織也對系統(tǒng)中存在的大量漏洞給予了披露。系統(tǒng)中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網(wǎng)絡(luò)系統(tǒng)中,進而破壞網(wǎng)絡(luò)系統(tǒng),還有些漏洞能夠為病毒的入侵提供便利的條件等等。
總之,系統(tǒng)中存在的風險也嚴重威脅著校園網(wǎng)的網(wǎng)絡(luò)信息的安全。
3保護校園網(wǎng)信息安全的對策
3.1重視網(wǎng)絡(luò)安全規(guī)劃
注重對校園網(wǎng)實施安全規(guī)劃的目標是為了從系統(tǒng)性的角度對網(wǎng)絡(luò)中的安全問題進行全面性的思考。網(wǎng)絡(luò)安全規(guī)劃的內(nèi)容比較多,主要有病毒防御、加密技術(shù)、訪問攔截、認證技術(shù)以及攻擊檢測技術(shù)等安全預(yù)防措施;安全服務(wù);安全管理制度,如工作流程、網(wǎng)絡(luò)工作人員以及維護保障制度等;安全防范策略;應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)的分布情況、數(shù)據(jù)庫系統(tǒng)設(shè)置的位置;內(nèi)部網(wǎng)絡(luò)的邏輯劃分以及外部網(wǎng)絡(luò)的邏輯劃分;安全評估、數(shù)據(jù)備份與恢復(fù)措施、減災(zāi)措施以及實施計劃等。
在校園網(wǎng)建設(shè)規(guī)劃的同時,要同時做好校園網(wǎng)的信息規(guī)劃工作,并將其列入到校園網(wǎng)建設(shè)規(guī)劃中的重要事項當中。
3.2對網(wǎng)絡(luò)區(qū)域進行科學(xué)合理地劃分
站在安全的角度考慮,校園網(wǎng)對網(wǎng)絡(luò)區(qū)域進行科學(xué)合理地劃分是十分有必要的。在對網(wǎng)絡(luò)區(qū)域進行劃分時,需要充分考慮整體的安全規(guī)劃以及信息安全密級,運用邏輯思維對內(nèi)網(wǎng)和外網(wǎng)進行劃分,劃分出安全區(qū)域(內(nèi)網(wǎng)區(qū)域)、不安全區(qū)域以及非軍事區(qū)(DMZ),然后還要考慮到學(xué)校對網(wǎng)絡(luò)的需求情況,對虛擬專用網(wǎng)(VLAN)進行合理地劃分,如圖1所示。
圖1網(wǎng)絡(luò)區(qū)域的劃分
校園網(wǎng)的內(nèi)部網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域,這個區(qū)域是不允許外部用戶進行訪問的,因為其擁有較高的安全等級。
該區(qū)域運行的系統(tǒng)主要有OA系統(tǒng)以及各種應(yīng)用系統(tǒng),而這個區(qū)域應(yīng)該存放的服務(wù)器主要有數(shù)據(jù)庫服務(wù)器以及不同種類的內(nèi)部服務(wù)器。
內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶都可以對非軍事區(qū)進行訪問。這個區(qū)域能夠為外界提供Ftp服務(wù)、Web服務(wù)以及Email服務(wù)等多種服務(wù)。
因此,也需要為這個區(qū)域制定一些安全防護措施。校園網(wǎng)防火墻以外的網(wǎng)路接口處外部的區(qū)域被規(guī)定為了不安全區(qū)域。在認真分析了校園網(wǎng)用戶的特征之后,總結(jié)出該結(jié)構(gòu)具有的特征如下:
1)通過校園網(wǎng)的入侵檢測系統(tǒng)和防火墻,校園網(wǎng)用戶都能對互聯(lián)網(wǎng)進行訪問,使廣大校園網(wǎng)的用戶能夠方便地使用網(wǎng)絡(luò);
2)DMZ(demilitarized zone)與外部區(qū)間之間設(shè)有防火墻,能夠為校園網(wǎng)提供信息過濾以及訪問控制等防護措施。非軍事區(qū)域內(nèi)提供的所有網(wǎng)絡(luò)服務(wù),內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶都能夠享受,即都能夠?qū)υ搮^(qū)域進行訪問。
因此,需要在分析非軍事區(qū)域的特點,為其制定出行之有效的安全防護措施。在這些安全措施制定期間,要對內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶做出一些規(guī)定,對開放服務(wù)不設(shè)置權(quán)限,但是對內(nèi)網(wǎng)的各種服務(wù)需要暫時設(shè)置一些權(quán)限,不能允許內(nèi)外網(wǎng)用戶進行訪問;
3)內(nèi)網(wǎng)區(qū)域具有較高的安全級別,在對其進行設(shè)置安全防護措施時,可以同時利用入侵檢測系統(tǒng)和防火墻,使二者進行相互配合,建立健全安全防御體系。
3.3運用行之有效的網(wǎng)絡(luò)安全防御技術(shù)
3.3.1防火墻安全技術(shù)
防火墻這種網(wǎng)絡(luò)設(shè)備能夠?qū)W(wǎng)絡(luò)之間的訪問起到一定的控制作用,它主要是通過攔截認證資格的用戶進入內(nèi)部網(wǎng)絡(luò)、篩選不安全信息的方式,以達到保護內(nèi)部網(wǎng)絡(luò)的目的,實質(zhì)上防火墻是一種位于內(nèi)外網(wǎng)之間的安全防御系統(tǒng)。然而防火墻這種安全技術(shù)無法控制內(nèi)部出現(xiàn)的沒有認證授權(quán)
就進行訪問的狀況。所以比較適合應(yīng)用于相對較為獨立的內(nèi)部網(wǎng)絡(luò),并且和外網(wǎng)的連接的途徑受到一定的限制、網(wǎng)路服務(wù)種類比較集中的網(wǎng)絡(luò)。
在對外界入侵者進行防御時,防火墻應(yīng)用的技術(shù)主要有應(yīng)用網(wǎng)關(guān)、數(shù)據(jù)包過濾以及服務(wù)等,以達到維護校園網(wǎng)絡(luò)安全的目的。
3.3.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)可以提高網(wǎng)絡(luò)數(shù)據(jù)的安全系數(shù),避免出現(xiàn)重要數(shù)據(jù)信息被濫用、篡改以及泄露的現(xiàn)象,從而為網(wǎng)絡(luò)的安全運行提供一個良好的環(huán)境。
而那些沒有運用加密技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)容易在運行時受到外界的阻攔,給信息使用者帶來極大的經(jīng)濟損失。數(shù)據(jù)加密技術(shù)主要有三大類:對稱型加密技術(shù)、不可逆加密技術(shù)以及不對稱型加密技術(shù)。
總之,在網(wǎng)絡(luò)上應(yīng)用這三大類加密技術(shù)可以為網(wǎng)絡(luò)運行創(chuàng)造出一種安全可靠的環(huán)境。
3.3.3網(wǎng)絡(luò)入侵檢測技術(shù)
網(wǎng)絡(luò)入侵是指通過不合法的手段企圖使信息系統(tǒng)的完整性、機密性以及可信性受到嚴重破壞的任何網(wǎng)絡(luò)活動,對網(wǎng)絡(luò)環(huán)境的安全性造成了嚴重的威脅。
而入侵檢測(Intrusion Detection)技術(shù)能夠?qū)W(wǎng)絡(luò)的外部環(huán)境進行檢測,而且還能對網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動進行檢測,極大程度上提高了其安全性。網(wǎng)絡(luò)入侵技術(shù)通過利用新型的攻守結(jié)合戰(zhàn)略來對相關(guān)數(shù)據(jù)進行檢測,并及時驗證其是否具有合法利用特權(quán),并且還能搜集相關(guān)證據(jù),借此來追究入侵者的非法行為。
IDS是入侵檢測技術(shù)中常用的一種能夠為管理者提供安全可靠信息的檢測系統(tǒng),它能夠及時地檢測到網(wǎng)絡(luò)運行中出現(xiàn)的可疑或不安全因素,然后將其真實地告訴網(wǎng)絡(luò)管理者,以便于采取有效的措施進行防御。
市場上比較常見的IDS產(chǎn)品綜合采
用三個基本方法來檢測網(wǎng)絡(luò)入侵:即為追蹤分析、網(wǎng)包分析及實時活動監(jiān)控。
參考文獻
[1]鄧長春.淺談網(wǎng)絡(luò)信息安全面臨的問題和對策[J].電腦與電信,2007(3).
[2]陳文冠,曹亮,陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究,2007(2).
Abstract: Presented the complexity, chaotic and the risk based on the present Secondary vocational school campus net use, this article elaborated the campus network security's present situation, and synthesized the network security technology and the safety control, proposed that a set suited in the campus network security measure.
關(guān)鍵詞:中職校園網(wǎng) 網(wǎng)絡(luò)安全 防范措施
Key word: Duty campus net Network security Measure
隨著學(xué)校信息化建設(shè)的推進,中職學(xué)校組建校園網(wǎng)已作為學(xué)校教育、教學(xué)、科研和辦公的重要基礎(chǔ)設(shè)施,在校園管理和日常教學(xué)中扮演著越來越重要的角色。但隨著校園網(wǎng)絡(luò)的發(fā)展,校園網(wǎng)絡(luò)安全問題也日趨突出。如何保證中職學(xué)校網(wǎng)絡(luò)能正常的運行,成為各中職學(xué)校越來越重視的問題。
一、計算機網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。廣義來說,凡涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。
二、加強中職學(xué)校校園網(wǎng)絡(luò)安全管理的必要性
加強中職學(xué)校校園網(wǎng)絡(luò)安全管理建設(shè),一是關(guān)系到學(xué)校的整體形象。二是關(guān)系到學(xué)校的整體利益。目前在各類學(xué)校的網(wǎng)絡(luò)中都存儲著大量的信息資料,一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題,造成信息的丟失或不能及時流通,都將帶來難以彌補的損失。所以在校園網(wǎng)絡(luò)建設(shè)的同時,我們更應(yīng)該重視網(wǎng)絡(luò)系統(tǒng)在運行時的安全管理問題。
三、目前中職學(xué)校校園網(wǎng)絡(luò)的安全現(xiàn)狀
1、網(wǎng)絡(luò)信息安全意識淡薄
因為思想觀念與資金方面的原因,中職學(xué)校在網(wǎng)絡(luò)安全設(shè)備上的投入一般都較少,這就給病毒、黑客提供了充分施展身手的空間。同時,校園網(wǎng)沒有健全、規(guī)范的網(wǎng)絡(luò)安全管理制度,缺乏網(wǎng)絡(luò)安全管理人員,網(wǎng)絡(luò)的安全運行很難得到保障。
2、操作系統(tǒng)存在安全漏洞
操作系統(tǒng)的安全是整個信息系統(tǒng)的基礎(chǔ),由于操作系統(tǒng)的重要地位及不安全因素,攻擊者常常以操作系統(tǒng)為主要攻擊目標?,F(xiàn)在中職學(xué)校網(wǎng)絡(luò)服務(wù)器和終端計算機的操作系統(tǒng)都有不同程度的安全漏洞與隱患。這些操作系統(tǒng)的安全隱患對校園網(wǎng)絡(luò)的安全而言是極大的威脅。
3、病毒入侵破壞網(wǎng)絡(luò)資源
校園網(wǎng)絡(luò)在提供給大家方便的同時,也變成了病毒傳播最快捷的途徑。直接導(dǎo)致校園網(wǎng)用戶的隱私和大量重要數(shù)據(jù)外泄,還會使校園網(wǎng)的部分帶寬被病毒占用,使網(wǎng)絡(luò)速度驟降。
4、黑客威脅引發(fā)安全隱患
黑客是指利用不正當手段竊取計算機網(wǎng)絡(luò)系統(tǒng)的口令和密碼,從而非法進入計算機網(wǎng)絡(luò)的人。黑客攻擊不僅來自“外網(wǎng)”,還可能來自校園網(wǎng)絡(luò)內(nèi)部,中職學(xué)生往往在好奇心的驅(qū)動和自我實現(xiàn)價值的刺激下,在校園網(wǎng)絡(luò)充當 “黑客”一顯身手。
5、數(shù)據(jù)泄露影響教學(xué)秩序
校園網(wǎng)絡(luò)上運行各種數(shù)據(jù)庫系統(tǒng),如教學(xué)資源庫、學(xué)生選課系統(tǒng)、考試系統(tǒng),學(xué)生成績管理系統(tǒng)等。因安全措施不夠嚴密,而致使數(shù)據(jù)庫的口令泄露,數(shù)據(jù)被非法取出和復(fù)制,造成信息的泄露,使得基于網(wǎng)絡(luò)的正常教學(xué)管理秩序受到?jīng)_擊破壞。
四、校園網(wǎng)絡(luò)安全防范措施
(一)網(wǎng)絡(luò)安全技術(shù)
通過使用不同的網(wǎng)絡(luò)安全技術(shù),來保證校園網(wǎng)絡(luò)的安全,這主要包括:
1、精心配置防火墻
防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列軟硬件的組合,它在中職校園網(wǎng)與Internet 網(wǎng)絡(luò)之間執(zhí)行訪問控制策略,決定哪些內(nèi)部站點允許外界訪問和允許訪問外界, 從而保護內(nèi)部網(wǎng)免受非法用戶的入侵。
2、入侵檢測
人侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù), 是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
3、防病毒系統(tǒng)
對于計算機病毒, 采用已有的殺毒軟件, 可以順利地清除一部分已知病毒, 這無疑是一種最便捷的方法。但是, 由于病毒層出不窮, 單靠殺毒是不夠的, 更重要的是在日常工作中建立科學(xué)的防范制度。
4、安全漏洞掃描技術(shù)
隨著針對系統(tǒng)“漏洞”攻擊的增多,作為操作系統(tǒng)的使用者, 要經(jīng)常留意這方面的信息, 一有“補丁”程序, 要馬上進行安裝。
(二)網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全體系的核心,在整個網(wǎng)絡(luò)安全體系中起到管理、協(xié)調(diào)和決策的作用。網(wǎng)絡(luò)安全管理應(yīng)具有以下主要功能:
1、用戶身份認證
網(wǎng)絡(luò)身份認證是確定用戶身份的合法性。身份認證可以對網(wǎng)絡(luò)用戶的身份進行鑒別,根據(jù)其權(quán)限開放相應(yīng)服務(wù),在出現(xiàn)網(wǎng)絡(luò)安全問題時,身份認證系統(tǒng)可以提供肇事者的身份資料,通過這些資料幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問題。
2、安全審計和日志
通過網(wǎng)絡(luò)安全管理平臺,將全網(wǎng)系統(tǒng)的安全日志、安全事件集中收集管理,以實現(xiàn)事件和日志的集中分析、審計和報告。安全審計和日志通過一些特定的、預(yù)先定義的規(guī)則來發(fā)現(xiàn)日志中潛在的問題,它可以用來對網(wǎng)絡(luò)安全攻擊進行取證,也可以發(fā)現(xiàn)潛在的攻擊征兆,確保任何安全事件得到及時的響應(yīng)和處理。
3、建立安全評估策略
校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù),而需要仔細考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
4、數(shù)據(jù)的備份與恢復(fù)
學(xué)校應(yīng)該定期對所有服務(wù)器資料,特別是數(shù)據(jù)服務(wù)器,系統(tǒng)日志進行備份。最好使用專業(yè)的備份軟件,它可以通過優(yōu)化數(shù)據(jù)的傳輸率來提高備份的速度。
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時,由于意識薄弱與經(jīng)費投入不足等方面的原因,比如將原有的單機互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機房設(shè)計不合理,溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴重不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善
學(xué)校師生對網(wǎng)絡(luò)安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識,不能安全地配置和管理網(wǎng)絡(luò);學(xué)校機房的登記管理制度不健全,允許不應(yīng)進入的人進入機房;學(xué)校師生上網(wǎng)身份無法唯一識別,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計算機安裝還原卡或使用還原軟件,關(guān)機后啟動即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作,在網(wǎng)絡(luò)上運行時,這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計算機病毒、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性,傳播到網(wǎng)絡(luò)服務(wù)器,進而在整個網(wǎng)絡(luò)上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺電腦中毒,就會堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴重時會造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢非常嚴峻,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運行,同時又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時配置一臺服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對服務(wù)器進行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器,服務(wù)器會檢查用戶的訪問請求是否符合規(guī)定,才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣,既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計算機信息,整個校園網(wǎng)絡(luò)只有服務(wù)器是可見的,從而大大增強了校園網(wǎng)絡(luò)的安全性。(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合,通常被用來進行網(wǎng)絡(luò)安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān),對網(wǎng)絡(luò)數(shù)據(jù)進行過濾(允許/拒絕),控制數(shù)據(jù)包的進出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實時/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動情況的監(jiān)控分析,通過日志分析,獲取時間、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對網(wǎng)絡(luò)攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系,建立一整套網(wǎng)絡(luò)軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對病毒進行定時的掃描檢測及漏洞修復(fù),定時升級文件并查毒殺毒,使整個校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對校園師生用戶設(shè)置用戶名和口令加密驗證,加強對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機、防火墻、服務(wù)器的配置均設(shè)有口令加密保護,賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進行操作,合理設(shè)置網(wǎng)絡(luò)共享文件,對各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機登錄日志、交換機及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等,定時對其進行審查分析,及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個網(wǎng)絡(luò),通過設(shè)置命令,對每個子網(wǎng)進行單獨管理,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個網(wǎng)絡(luò)環(huán)境下,計算機能安全運行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段,但仍會有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難,對網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要手段。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時,IDS能檢測和發(fā)現(xiàn)入侵行為并報警,通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性。
(八)增強網(wǎng)絡(luò)安全意識、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實際情況,對師生進行網(wǎng)絡(luò)安全防范意識教育,使他們具備基本的網(wǎng)絡(luò)安全知識。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等)。安排專人負責校園網(wǎng)絡(luò)的安全保護管理工作,對學(xué)校專業(yè)技術(shù)人員定期進行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性,并安排專業(yè)技術(shù)人員定期對校園網(wǎng)進行維護。
三、結(jié)論
校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程,長期以來,從病毒、黑客與防范措施的發(fā)展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔負著學(xué)校教學(xué)、教研、管理和對外交流等許多重要任務(wù)。校園網(wǎng)的安全問題,直接影響著學(xué)校的教學(xué)活動。文章結(jié)合十幾年來校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗,對如何加強校園網(wǎng)絡(luò)安全作了分析和探討。
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;防范措施;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件,將校園內(nèi)計算機和各種終端設(shè)備有機地集成在一起,用于教學(xué)、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網(wǎng)的正常運行。隨著“校校通”工程的深入實施,學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患,建立一套切實可行的校園網(wǎng)絡(luò)防范措施,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計算機網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等??茖W(xué)校學(xué)報,2002(8).
6、李衛(wèi).計算機網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
關(guān)鍵詞:校園網(wǎng)絡(luò); 安全管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-3315(2013)04-104-001
隨著“校校通”工程的深入開展,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,校園網(wǎng)的安全問題,直接影響著學(xué)校的教學(xué)活動。
一、校園網(wǎng)絡(luò)
1.網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時,由于意識薄弱與經(jīng)費投入不足等方面的原因,網(wǎng)絡(luò)安全方面的投入嚴重不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等,使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施。
2.網(wǎng)絡(luò)上傳播的病毒危害
網(wǎng)絡(luò)病毒和黑客軟件的結(jié)合,網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶的隱私和重要數(shù)據(jù)外泄,同時還極大地消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)性能急劇下降,甚至造成整個局域網(wǎng)嚴重堵塞和癱瘓。
3.學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善
學(xué)校師生對網(wǎng)絡(luò)安全知識知道甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識,不能安全地配置和管理網(wǎng)絡(luò);學(xué)校師生上網(wǎng)身份無法唯一識別,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志,這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
4.網(wǎng)絡(luò)設(shè)備管理不善造成的損壞
在校園網(wǎng)中,網(wǎng)絡(luò)設(shè)備分布在整個校園內(nèi),如果這些設(shè)備沒有任何保護措施或保護措施不當,那么就有可能被人有意或無意地損壞。網(wǎng)絡(luò)設(shè)施一旦遭到破壞,就會造成校園網(wǎng)局部或全部癱瘓。
5.黑客的攻擊與入侵
網(wǎng)絡(luò)中的黑客指的是網(wǎng)絡(luò)中的非法用戶。非法用戶的攻擊入侵也是校園網(wǎng)存在的一個安全問題。
二、校園網(wǎng)絡(luò)的安全防范措施
1.教師、學(xué)生的網(wǎng)絡(luò)安全教育
要想營造一個安全的校園網(wǎng)絡(luò)環(huán)境,必須對使用者――教師和學(xué)生進行定期或者不定期的網(wǎng)絡(luò)安全相關(guān)知識的培訓(xùn)和教育。通過這些培訓(xùn)和教育,使得他們能夠了解到一些對網(wǎng)絡(luò)、計算機產(chǎn)生危害的行為,并能及時的改正這些行為。
2.計算機軟、硬件的安全措施
2.1網(wǎng)絡(luò)及數(shù)據(jù)的安全。(1)防火墻。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān),能最大限度地防止惡意或非法訪問存在,有效的阻止破壞者對計算機系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(2)無線網(wǎng)絡(luò)密碼。無線網(wǎng)絡(luò)是一種開放性的網(wǎng)絡(luò)系統(tǒng),如果該無線網(wǎng)絡(luò)沒有設(shè)置登陸密碼,任何人都可以通過它連接到該網(wǎng)絡(luò)內(nèi),往往給一些別有用心的人以可乘之機,這明顯有著很大的安全隱患。因此任何一個無線網(wǎng)絡(luò)都應(yīng)該設(shè)置一個比較安全的加密模式和一個比較復(fù)雜的密碼,以保證無線網(wǎng)絡(luò)的安全。(3)VLAN(虛擬局域網(wǎng))技術(shù)。VLAN(虛擬局域網(wǎng))技術(shù)的應(yīng)用。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。(4)數(shù)據(jù)備份與恢復(fù)。數(shù)據(jù)備份應(yīng)該是全方位,多層次的。備份數(shù)據(jù)應(yīng)該做到定時、定期,并采用網(wǎng)絡(luò)、單機、刻盤等綜合、多元的方式進行備份。良好的備份和恢復(fù)機制,可以在系統(tǒng)崩潰或其他原因造成損失時,盡快的恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。(5)訪問與控制。授權(quán)控制不同用戶對信息資源的訪問權(quán)限,即那些用戶可以訪問那些資源以及可訪問的用戶各自具有的權(quán)限。對網(wǎng)絡(luò)的訪問與控制進行技術(shù)處理是維護系統(tǒng)安全的、保護系統(tǒng)資源的一項重要技術(shù),也是對付黑客的關(guān)鍵一環(huán)。(6)校園網(wǎng)絡(luò)安全管理制度。要落實建立安全責任制度和工作章程,如軟件定期升級、安全系統(tǒng)定期巡查,有安全記錄和事件通報制度。制定嚴格的網(wǎng)絡(luò)安全規(guī)則,對進出網(wǎng)絡(luò)的信息進行嚴格限定,并建立突發(fā)事件應(yīng)急處置方案,同時還應(yīng)盡量減少暴露在互聯(lián)網(wǎng)上的系統(tǒng)和服務(wù)的數(shù)量。
2.2服務(wù)器的安全設(shè)置。校園網(wǎng)中的服務(wù)器為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供他們所需的基本的服務(wù)和相應(yīng)端口。此外事件日志的記錄、組策略的安全等等,都需要網(wǎng)絡(luò)管理員精心設(shè)置,才能保證服務(wù)器系統(tǒng)的安全。
2.3教師辦公用機和計算機房計算機的安全設(shè)置。相對于服務(wù)器來說,教師辦公用機和計算機房計算機的安全設(shè)置要簡單的多。首先,刪除系統(tǒng)的默認共享;其次,安裝殺毒軟件;再次,每臺機器的每個分區(qū)上,都應(yīng)該建立一個autorun.inf文件夾,并設(shè)置為系統(tǒng)、只讀、隱藏屬性,可以防范一些autorun病毒的傳播,對于教師們的U盤和移動硬盤,也可以逐步幫他們建立起來;最后,對設(shè)置好的C盤做一個ghost鏡像,并用光盤、U盤、移動硬盤或者數(shù)據(jù)服務(wù)器進行備份,方便在系統(tǒng)崩潰時進行一鍵恢復(fù)。作為計算機房的計算機,由于是給學(xué)生用,除了以上的設(shè)置外,還應(yīng)禁用USB接口,安裝護花使用或者綠壩這樣的健康軟件,且關(guān)閉網(wǎng)絡(luò)共享,用硬件還原卡保護重要的系統(tǒng)和數(shù)據(jù)分區(qū)。
3.校園網(wǎng)站網(wǎng)頁的安全
作用校園網(wǎng)站網(wǎng)頁,無論是購買還是網(wǎng)絡(luò)上下載的免費版本,都應(yīng)該注意安全性。及時更新補丁或者下載更新的版本、網(wǎng)絡(luò)公司的后續(xù)服務(wù)、復(fù)雜的管理員帳戶和密碼、數(shù)據(jù)庫的加密設(shè)置以及防暴庫的設(shè)置,都必不可少,這樣才能完全營造一個安全的校園網(wǎng)絡(luò)環(huán)境。
三、結(jié)論
校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程,長期以來,從病毒、黑客與防范措施的發(fā)展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
參考文獻:
[1]王達.網(wǎng)管員必讀――網(wǎng)絡(luò)安全(第2版),電子工業(yè)出版社,2007
[2]王文壽,王珂.網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]清華大學(xué)出版社,2006
【關(guān)鍵詞】校園網(wǎng) 安全問題 分析 對策
高校是計算機網(wǎng)絡(luò)誕生的搖籃,也是最早應(yīng)用網(wǎng)絡(luò)技術(shù)的地方。校園網(wǎng)是當代高校重要基礎(chǔ)設(shè)施之一,是促進學(xué)校提升教學(xué)質(zhì)量、提高管理效率和加強對外交流合作的重要平臺,校園網(wǎng)的安全狀況直接影響著學(xué)校的各項工作。在校園網(wǎng)建設(shè)初期,網(wǎng)絡(luò)安全問題可能還不突出,但隨著應(yīng)用的不斷深入和用戶的不斷增加,高校校園網(wǎng)上的數(shù)據(jù)信息急劇增長,各種各樣的安全問題層出不窮。“校園網(wǎng)既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標”[1],校園網(wǎng)絡(luò)安全已經(jīng)引起了各高校的高度重視。本文對高校校園網(wǎng)的安全問題進行了分析,并探討了加強高校校園網(wǎng)安全管理的對策。
1 高校校園網(wǎng)安全問題分析
1.1 高校校園網(wǎng)的特點
與其它局域網(wǎng)相比,高校校園網(wǎng)自身的特點導(dǎo)致網(wǎng)絡(luò)安全問題嚴重、安全管理復(fù)雜。其特點可以概括為兩個方面:
(1)用戶群體的特點。高校校園網(wǎng)用戶群體以高校學(xué)生為主。一方面,用戶數(shù)量大、網(wǎng)絡(luò)水平較高。隨著高校的擴招,現(xiàn)在各高校的在校學(xué)生規(guī)模越來越大,校園網(wǎng)用戶少則幾千,多則幾萬,而且往往比較集中。高校學(xué)習(xí)以自主性學(xué)習(xí)為主,決定了高校學(xué)生可供自主支配的時間寬裕。通過學(xué)習(xí),高校學(xué)生普遍掌握了一定的計算機基礎(chǔ)知識和網(wǎng)絡(luò)知識,其計算機水平比普通商業(yè)用戶要高,而且他們對網(wǎng)絡(luò)新技術(shù)充滿好奇,勇于嘗試,通常是最活躍的網(wǎng)絡(luò)用戶。另一方面,用戶網(wǎng)絡(luò)安全意識、版權(quán)意識普遍較為淡薄。高校學(xué)生往往對網(wǎng)絡(luò)安全問題的嚴重后果認識不足、理解不深,部分學(xué)生甚至還把校園網(wǎng)當成自己的“練兵場”,在校園網(wǎng)上嘗試各種攻擊技術(shù)。另外,由于資金不足和缺乏版權(quán)意識等原因,導(dǎo)致高校學(xué)生在校園網(wǎng)上大量使用盜版軟件和盜版資源。攻擊技術(shù)的嘗試和盜版軟件的傳播既占用了大量的網(wǎng)絡(luò)帶寬,又給網(wǎng)絡(luò)安全帶來了極大的隱患。
(2)校園網(wǎng)建設(shè)和管理的特點。一方面,校園網(wǎng)建設(shè)需要投入大量的經(jīng)費,少則幾百萬,多則幾千萬,而高校的經(jīng)費普遍是比較緊張的,有限的投入往往用于擴展網(wǎng)絡(luò)規(guī)模、增加網(wǎng)絡(luò)應(yīng)用這些師生都能看到成果的方面,而往往忽視或輕視師生不容易看到成果的網(wǎng)絡(luò)安全方面。由于投入少,缺少必要的網(wǎng)絡(luò)安全管理設(shè)備和軟件,致使管理和維護出現(xiàn)困難。另一方面,各高校為了學(xué)校的教學(xué)、科研、管理以及學(xué)生學(xué)習(xí)生活的需要,目前基本上都建立了千兆主干、百兆桌面,甚至萬兆主干、千兆桌面的校園網(wǎng),高帶寬的校園網(wǎng)給校園網(wǎng)用戶帶來了方便,但同時也大大增加了網(wǎng)絡(luò)完全管理的難度。
1.2 當前高校校園網(wǎng)面臨的主要網(wǎng)絡(luò)安全問題和威脅
(1)安全漏洞。校園網(wǎng)內(nèi)普遍存在用戶操作系統(tǒng)漏洞和應(yīng)用軟件安全漏洞,這些漏洞影響用戶系統(tǒng)的正常使用和網(wǎng)絡(luò)的正常運行,對網(wǎng)絡(luò)安全構(gòu)成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導(dǎo)致災(zāi)難性的后果。
(2)病毒和攻擊。網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多校園網(wǎng)用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大,已經(jīng)嚴重影響到了校園網(wǎng)的正常使用。
(3)濫用網(wǎng)絡(luò)資源。在校園網(wǎng)內(nèi),用戶濫用網(wǎng)絡(luò)資源的情況嚴重,有私自開設(shè)服務(wù)器,非法獲取網(wǎng)絡(luò)服務(wù)的,也有校園網(wǎng)用戶非法下載或上載的,甚至有的用戶每天都不斷網(wǎng),其流量每天都達到幾十個G,占用了大量的網(wǎng)絡(luò)帶寬,影響了校園網(wǎng)的其它應(yīng)用。
(4)不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學(xué)生而言,危害是非常大的。網(wǎng)絡(luò)上的信息良莠不齊,其中有違反人類道德標準或法律法規(guī)的,如果不對這些信息加以過濾和處理,學(xué)生就會有在校園網(wǎng)內(nèi)瀏覽、賭博、暴力等不健康網(wǎng)頁的機會。要確保高校學(xué)生健康成長、積極向上,就必須采取措施對校園網(wǎng)絡(luò)信息進行過濾和處理,使他們盡可能少地接觸網(wǎng)絡(luò)上的不良信息。
(5)垃圾郵件。垃圾郵件對校園網(wǎng)的破壞性很大,它占用網(wǎng)絡(luò)帶寬,造成郵件服務(wù)器擁塞,進而降低整個網(wǎng)絡(luò)的運行效率,同時也是網(wǎng)絡(luò)病毒、攻擊和不良信息傳播的重要途徑之一?,F(xiàn)在雖然很多高校都建立了電子郵件服務(wù)器為校園網(wǎng)用戶提供郵件服務(wù),但由于缺乏郵件過濾軟件以及缺少限制郵件轉(zhuǎn)發(fā)的相關(guān)管理制度,使郵件服務(wù)器成為了垃圾郵件的攻擊對象和中轉(zhuǎn)站,大大增大了校園網(wǎng)的網(wǎng)絡(luò)流量,浪費了大量的校園網(wǎng)帶寬,造成校園網(wǎng)用戶收發(fā)郵件速度慢,甚至導(dǎo)致郵件服務(wù)器崩潰。
(6)惡意破壞。惡意破壞主要是指對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)的破壞。設(shè)備破壞是指對網(wǎng)絡(luò)硬件設(shè)備的破壞?,F(xiàn)在各高校校園網(wǎng)的設(shè)備數(shù)量多、類型雜、分布比較分散,管理起來非常困難,個別用戶可能出于某些目的,會有意或無意地將它們損壞。系統(tǒng)破壞是指利用黑客技術(shù)對校園網(wǎng)絡(luò)各系統(tǒng)進行破壞,如:修改或刪除網(wǎng)絡(luò)設(shè)備的配置文件、篡改學(xué)校主頁等等。而這兩個方面的破壞均會影響校園網(wǎng)的安全運行,造成校園網(wǎng)絡(luò)全部或部分癱瘓,甚至造成網(wǎng)絡(luò)安全事故。
2 加強高校校園網(wǎng)安全管理的對策
高校校園網(wǎng)絡(luò)安全管理是一項復(fù)雜的系統(tǒng)工程,要提高網(wǎng)絡(luò)安全,必須根據(jù)實際情況,從多個方面努力。
2.1 加強網(wǎng)絡(luò)安全管理制度建設(shè)
“三分技術(shù)、七分管理”,網(wǎng)絡(luò)安全尤為如此。各高校要根據(jù)校園網(wǎng)的實際情況,制定并嚴格執(zhí)行有效的安全管理制度。如:校園網(wǎng)網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)主干管理與維護制度、校園網(wǎng)非主干維護制度、網(wǎng)絡(luò)安全管理崗位職責、網(wǎng)絡(luò)運行管理制度、主頁維護管理制度、校園網(wǎng)信息與管理制度、病毒防治管理制度、重要數(shù)據(jù)備份與管理制度等。此外,為更加有效控制和減少校園網(wǎng)絡(luò)的內(nèi)部隱患,各高校必須制定網(wǎng)絡(luò)行為規(guī)范和違反該規(guī)范的具體處罰條例。
2.2 做好物理安全防護
物理安全防護是指通過采用輻射防護、屏幕口令、狀態(tài)檢測、報警確認、應(yīng)急恢復(fù)等手段保護網(wǎng)絡(luò)服務(wù)器等計算機系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實體免受自然災(zāi)害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞②。如:將防火墻、核心交換機以及各種重要服務(wù)器等重要設(shè)備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設(shè)備、主干設(shè)備以及接入交換機等設(shè)備落實到人,進行嚴格管理。物理安全防護是確保校園網(wǎng)絡(luò)系統(tǒng)正常工作、免受干擾破壞的最基本手段。
2.3 加強對用戶的教育和培訓(xùn)
通過網(wǎng)絡(luò)安全教育使用戶對校園網(wǎng)絡(luò)所面臨的各類威脅有較為系統(tǒng)、全面的認識,明確這些威脅對他們的危害,增強他們的網(wǎng)絡(luò)安全意識,讓所有校園網(wǎng)用戶都來關(guān)心、關(guān)注網(wǎng)絡(luò)安全。通過對校園網(wǎng)用戶的培訓(xùn),使他們能盡量保證自己使用的計算機安全,能處理一些簡單的安全問題,從而減少網(wǎng)絡(luò)安全事故的發(fā)生。遇到網(wǎng)絡(luò)安全問題時,能做好記錄并及時向有關(guān)部門報告。
2.4 提高網(wǎng)絡(luò)管理人員技術(shù)水平
高水平的網(wǎng)絡(luò)管理人員能夠根據(jù)校園網(wǎng)的實際安全狀況,通過對校園網(wǎng)的重要資源設(shè)置使用權(quán)限與口令、通過對相應(yīng)網(wǎng)絡(luò)安全設(shè)備尤其是核心設(shè)備進行系統(tǒng)配置以有效地保證校園網(wǎng)系統(tǒng)的安全。因此要保證校園網(wǎng)的安全運行,就需要培養(yǎng)一支具有較高安全管理意識的網(wǎng)絡(luò)管理員隊伍,提高他們維護網(wǎng)絡(luò)安全的警惕性和應(yīng)對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現(xiàn)有網(wǎng)絡(luò)管理技術(shù)人員的培訓(xùn),提高他們應(yīng)對網(wǎng)絡(luò)安全問題的能力和水平;二是要引進高水平的網(wǎng)絡(luò)安全管理技術(shù)人員,提升網(wǎng)絡(luò)管理技術(shù)人員整體技術(shù)水平。
2.5 規(guī)范出口、入口管理
為適應(yīng)管理和工作的需要,現(xiàn)在高校校園網(wǎng)都有多個網(wǎng)絡(luò)出口(如:教育網(wǎng)、電信網(wǎng)等),要實施校園網(wǎng)的整體安全策略,首先就要對多出口進行統(tǒng)一管理,以解決校園網(wǎng)多出口帶來的安全問題,使校園網(wǎng)絡(luò)安全體系能夠得以實施,為校園網(wǎng)的安全提供最基礎(chǔ)的保障,如:不同出口間的隔離,封鎖病毒端口,阻止入侵者的攻擊,應(yīng)用ACL拒絕IP地址欺騙等。
2.6 配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)
為減少來自校園網(wǎng)內(nèi)外的攻擊和破壞,需要在校園網(wǎng)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。
2.7 建立全校統(tǒng)一的身份認證系統(tǒng)
身份認證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ),是校園網(wǎng)上信息安全的第一道屏障,是保證校園網(wǎng)內(nèi)各應(yīng)用系統(tǒng)安全運行的依靠。各高校要建立基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng),對校園網(wǎng)用戶上網(wǎng)進行身份認證。這樣不僅可以阻止非法用戶的上網(wǎng)行為,而且也能統(tǒng)一監(jiān)控合法戶上網(wǎng)的行為。
2.8 建立更安全的電子郵件系統(tǒng)
目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現(xiàn)郵件系統(tǒng)的管理與維護,有的電子郵件系統(tǒng)判別垃圾郵件的準確率接近百分之百。各高校要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證校園網(wǎng)的郵件系統(tǒng)安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現(xiàn)狀。
2.9 做好備份和應(yīng)急處理
對校園網(wǎng)來說,一套完整的備份和恢復(fù)方案是迫切需要的。備份既指對校園網(wǎng)重要數(shù)據(jù)的備份,也指核心設(shè)備和線路的備份[3]。對網(wǎng)頁服務(wù)器,要配置網(wǎng)頁防篡改系統(tǒng),以防止網(wǎng)頁被更改;對校園網(wǎng)中的核心設(shè)備的系統(tǒng)配置要進行備份,以便設(shè)備出故障時能及時恢復(fù);對校園網(wǎng)中的核心線路要留有冗余,以便線路出故障時能立即啟用冗余線路以保證校園網(wǎng)絡(luò)主干的運行。應(yīng)急響應(yīng)是校園網(wǎng)整體安全的重要組成部分,各高校的校園網(wǎng)絡(luò)管理部門要制定網(wǎng)絡(luò)安全的有關(guān)應(yīng)急處理措施和制度,以保證在出現(xiàn)網(wǎng)絡(luò)安全問題時要及時按照應(yīng)急處理措施處理以減少損失。
3 結(jié)束語
校園網(wǎng)的安全管理是一項復(fù)雜的系統(tǒng)工程,沒有一勞永逸的安全措施。各高校要在校園網(wǎng)的建設(shè)和管理過程中及時分析校園網(wǎng)中的安全問題,并研究方法,制訂措施,確保校園網(wǎng)正常、高效、安全地運行,為學(xué)校的教學(xué)、管理和科研服好務(wù)。
參考文獻
[1] 沙桂蘭.淺談校園網(wǎng)絡(luò)安全控制策略[M],電腦知識與技術(shù).2007,3.
[2] 高冰.網(wǎng)絡(luò)安全措施探討[M],東北財經(jīng)大學(xué)學(xué)報.2003,4.
【關(guān)鍵詞】網(wǎng)絡(luò)脆弱性 研究現(xiàn)狀 評估方法 定量 定性
隨著信息技術(shù)的迅猛發(fā)展,已應(yīng)用于人們生活和學(xué)習(xí)的各個方面。與此同時,計算機網(wǎng)絡(luò)安全問題也出現(xiàn)先在人們的眼簾。計算機網(wǎng)絡(luò)整體的安全情況,可以通過安全評估來充分反映其已經(jīng)存在的漏洞、潛在的威脅、可能受到的攻擊、整體系統(tǒng)的安全等級等一些問題。因此,計算機網(wǎng)絡(luò)脆弱性評估方法已成為計算機領(lǐng)域的重點研究對象之一。
1 網(wǎng)絡(luò)脆弱性評估研究的意義
計算機網(wǎng)絡(luò)脆弱性評估是一個復(fù)雜的過程,在此過程中需要考慮的方面很多。惡意的主體(攻擊者或者攻擊程序)能夠充分利用計算機網(wǎng)絡(luò)脆弱性這一特性,然后對網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的主機造成一些不小的損害,或者通過網(wǎng)絡(luò)中已授權(quán)的手段和方式來進一步進行對資源的未授權(quán)訪問。比如,現(xiàn)今那些網(wǎng)絡(luò)入侵事件十分肆虐。
網(wǎng)絡(luò)脆弱性評估的研究,首先可以夠彌補現(xiàn)有安全防護措施的不足?,F(xiàn)在計算機網(wǎng)絡(luò)的防護性措施有很多,例如:防火墻、入侵防護系統(tǒng)和檢測系統(tǒng)、病毒檢測和查殺工具等等。然而,雖然這些安全措施在網(wǎng)絡(luò)安全問題上起著不小的作用,但是同時也存在著局限性。這些措施通常是一種被動防護方式,釆取相應(yīng)的檢測作用通常是在安全事件發(fā)生的過程中或發(fā)生之后產(chǎn)生的。另外,這些安全措施對于未知攻擊沒有相應(yīng)的有效檢測手段,對于網(wǎng)絡(luò)內(nèi)部發(fā)起的那些攻擊也缺乏有效的防護效果。然而網(wǎng)絡(luò)的脆弱性評估,所進行的所有可能攻擊事件和攻擊路徑的預(yù)測是在對網(wǎng)絡(luò)安全狀況和脆弱性信息的綜合評判這一條件下進行的,是對網(wǎng)絡(luò)安全狀況在攻擊事件發(fā)生前的主動預(yù)測。另外,網(wǎng)絡(luò)脆弱性評估是針對整個網(wǎng)絡(luò)的安全分析,它的防護作用是在安全事件的整個過程中進行補充,因此不存在網(wǎng)絡(luò)界限的局限性。
另外,網(wǎng)絡(luò)脆弱性評估是一種類似滲透測試的過程,為建立完備、有效的安全機制提供依據(jù)。由于管理員或者主機用戶,在安全策略上存在著某些疏忽和欠缺,比如網(wǎng)絡(luò)的不當連接和不合理的信任關(guān)系,都為網(wǎng)絡(luò)安全埋下了隱患。而普通的防護措施根本難以發(fā)現(xiàn)這些漏洞。
2 網(wǎng)絡(luò)脆弱性評估技術(shù)研究現(xiàn)狀以及相關(guān)的問題
網(wǎng)絡(luò)安全性是否,主要是網(wǎng)絡(luò)其存在的脆弱性這一特點,導(dǎo)致了一系列的網(wǎng)絡(luò)安全問題,這些隱患主要存在于網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、主機操作系統(tǒng)等等。由于計算機網(wǎng)絡(luò)資源管理分散,并且那些用戶缺乏安全意識和一些有效的防護手段,所以各類軟硬件產(chǎn)品和網(wǎng)絡(luò)信息系統(tǒng)普遍存在脆弱性。網(wǎng)絡(luò)脆弱性分析是一項非常復(fù)雜的工作,因為工作中你必須得考慮到其漏洞之間的聯(lián)系、網(wǎng)絡(luò)服務(wù)的動態(tài)性、網(wǎng)絡(luò)主機之間的依賴性以及網(wǎng)絡(luò)聯(lián)接的復(fù)雜性。對此,網(wǎng)絡(luò)脆弱性評估的研究是十分有價值的。
3 計算機網(wǎng)絡(luò)脆弱性評估方法簡析
目前,計算機網(wǎng)絡(luò)脆弱性評估方法可以分為三種:定量的評估方法、定性的評估方法以及定性與定量相結(jié)合的綜合評估方法。
3.1 定量的評估方法
該評估方法就是對脆弱性進行評估運用數(shù)量指標,表述評估的結(jié)果使用的是直觀的數(shù)據(jù),這樣讓研究者可以更清楚地看到結(jié)果。采用定量分析方法使研究結(jié)果更科學(xué)、嚴密和深刻。一個數(shù)據(jù),有時候比一大堆那些文字更能夠說明的問題。然而,有時候的量化通常會把復(fù)雜的問題變得過于簡單化,一些風險因素也趁機出現(xiàn)了。
3.2 定性的評估方法
該方法主要是研究者,根據(jù)自身的知識、經(jīng)驗、歷史教訓(xùn)以及當時的、政策走向及特殊變例等非量化資料,然后對系統(tǒng)得脆弱性狀況做出判斷的過程。這就要求評估者的自身業(yè)務(wù)能力,主觀性很強,人起著主導(dǎo)的作用。這主要靠研究者的眼光和大腦,對調(diào)查對象加以深入了解后整理資料,然后進行分析做出調(diào)查結(jié)論,這樣使得評估的結(jié)論更全面、更深刻,避免了一些像定量的評估方法所帶來的風險因素。
3.3 定性與定量相結(jié)合的綜合評估方法
評估過程是科學(xué)、準確的,如果將定性分析和定量分析兩種方法簡單的割裂開來,避免兩種方法所帶來的不良風險,在一些復(fù)雜的計算機網(wǎng)絡(luò)脆弱性評估過程中,兩者綜合起來是最好的評估方法。
4 結(jié)語
計算機網(wǎng)絡(luò)脆弱性和安全性,在計算機領(lǐng)域一直是一個值得關(guān)注問題,因此計算機網(wǎng)絡(luò)脆弱性評估技術(shù)相當重要。計算機網(wǎng)絡(luò)脆弱性評估技術(shù),其實主要是在七方面進行考慮:基于規(guī)則的拓撲脆弱性分析、基于網(wǎng)絡(luò)中心性的計算機網(wǎng)絡(luò)脆弱性評估、基于模型的評估方法、基于貝葉斯網(wǎng)絡(luò)的評估方法、基于脆弱點依賴圖的脆弱性評估、運用層次分析法的網(wǎng)絡(luò)脆弱性評估、基于入侵路徑的網(wǎng)絡(luò)安全性評估。
參考文獻
[1]張茜.基于Petri網(wǎng)的網(wǎng)絡(luò)脆弱性評估技術(shù)研究[D].哈爾濱工程大學(xué),2010.
[2]蔡建強.基于博弈模型的網(wǎng)絡(luò)脆弱性評估的研究[D].華北電力大學(xué),2011.
[3]程葉霞.基于攻擊圖模型的網(wǎng)絡(luò)安全評估技術(shù)的研究[D].上海交通大學(xué),2012.
[4]王寧寧.計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)脆弱性的分析與評估技術(shù)研究[D].北京交通大學(xué),2011.
作者簡介
戴鍵強(1982-),男,江蘇省丹陽人,計算機技術(shù)領(lǐng)域工程碩士在讀,江蘇省丹陽中等專業(yè)學(xué)校中學(xué)一級,主要研究方向為計算機技術(shù)領(lǐng)域網(wǎng)絡(luò)方向等。
關(guān)鍵詞:網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全防火墻安全防護
一、校園網(wǎng)現(xiàn)狀
目前國內(nèi)校園網(wǎng)建設(shè)的蓬勃發(fā)展正在告訴我們這樣一個事實:未來教育將從傳統(tǒng)“課堂”教育向網(wǎng)上教育發(fā)展,而校園網(wǎng)的建設(shè)正是這一重大轉(zhuǎn)變的開端。教育也要“上網(wǎng)”在世界各發(fā)達國家,校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。現(xiàn)代教育的實施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。
隨著計算機網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長,一些機構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運作的同時,其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制,數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。
校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生,非更改考試成績;更改英語全國四、六級統(tǒng)考成績;更改考研成績;非法盜取學(xué)校招生、分配機密……
二、校園網(wǎng)中主要安全隱患
校園網(wǎng)中主要安全隱患主要為以下幾個方面:(1)病毒的危害。(2)黑客攻擊。(3)不良信息的傳播。(4)設(shè)備的損壞。
網(wǎng)絡(luò)必須有足夠強的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。
三、校園網(wǎng)絡(luò)安全
作為一種豐富學(xué)習(xí)資源、拓展教學(xué)空間、提高教育效率的有效手段,信息化為教育的創(chuàng)新與普及提供了新的突破口。與此同時,網(wǎng)絡(luò)社會與生俱來的不安全因素,如病毒、黑客、非法入侵,不健康信息等。也無時無刻不在威脅教育網(wǎng)絡(luò)的健康發(fā)展,成為教育信息化建設(shè)中不容忽視的問題。與其他網(wǎng)絡(luò)一樣,校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對網(wǎng)絡(luò)設(shè)備的危害。具體來說,危害網(wǎng)絡(luò)安全的主要威脅有:非授權(quán)訪問,冒充合法用戶,破壞數(shù)據(jù)的完整性,干擾系統(tǒng)正常運行,減慢系統(tǒng)的響應(yīng)時間等;病毒與惡意攻擊,線路竊聽。許多校園網(wǎng)絡(luò)由于意識與資金方面的原因,它們在安全方面往往沒有太多的設(shè)置,包括一些高校在內(nèi),常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就了事了,甚至什么也不放,直接面對互聯(lián)網(wǎng),這就給病毒、黑客提供了充分施展身手的空間。
四、校園網(wǎng)安全防御措施
1.防火墻設(shè)置
防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列軟硬件的組合,它在校園網(wǎng)與Internet網(wǎng)絡(luò)之間執(zhí)行訪問控制策略,決定哪些內(nèi)部站點允許外界訪問和允許訪問外界,從而保護內(nèi)部網(wǎng)免受外部非法用戶的入侵。設(shè)計防火墻的目的就是不讓那些來自不受保護的網(wǎng)絡(luò)如因特網(wǎng)上的多余的未授權(quán)的信息進入專用網(wǎng)絡(luò),如LAN或WAN,而仍能允許本地網(wǎng)絡(luò)上的你以及其他用戶訪問因特網(wǎng)服務(wù)。大多數(shù)防火墻就是一些路由器,它們根據(jù)數(shù)據(jù)報的源地址、目的地址、更高級的協(xié)議,專用標準或安全策略來過濾進入網(wǎng)絡(luò)的數(shù)據(jù)報。
2.采用入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
3.漏洞掃描系統(tǒng)
基于網(wǎng)絡(luò)系統(tǒng)漏洞庫,漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫,將掃描結(jié)果與漏洞庫相關(guān)數(shù)據(jù)匹配比較得到漏洞信息;漏洞掃描還包括沒有相應(yīng)漏洞庫的各種掃描,比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測等,這些掃描通過使用插件(功能模塊技術(shù))進行模擬攻擊,測試出目標主機的漏洞信息。
解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
4.網(wǎng)絡(luò)病毒的防范
在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)(校園網(wǎng)絡(luò))的全方位防病毒產(chǎn)品。校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務(wù)器平臺的郵件,防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使校園網(wǎng)絡(luò)免受病毒的侵襲。
隨著教育信息化的發(fā)展,各個學(xué)校大量使用筆記本電腦及各種手持無線設(shè)備。而無線局域網(wǎng)(WirelessLAN,WLANl有著傳統(tǒng)有線局域網(wǎng)(LAN)所沒有的優(yōu)點,如建網(wǎng)靈活,可擴展性好,支持終端的移動性,支持在特殊場合(無法或很難架設(shè)網(wǎng)線)的應(yīng)用。但由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介,而無線網(wǎng)絡(luò)信號可以傳播到預(yù)期以外的地域,給入侵者有機可乘,特別是使用外接增益天線,可以遠程竊聽網(wǎng)絡(luò)中的數(shù)據(jù),安全問題堪憂。我校無線局域網(wǎng)已經(jīng)使用了一段時間,積累了一些經(jīng)驗,因此,下文對校園無線網(wǎng)絡(luò)的安全防護方法作一下探討。
二、校園無線網(wǎng)絡(luò)的安全防護
1.安全規(guī)劃與配置
(1)規(guī)劃好天線安裝位置
布設(shè)校園無線網(wǎng)絡(luò)時,選擇好天線位置,也可使用定向天線,背向?qū)W校的方向就不易收到無線信號,學(xué)校一側(cè)也可以收到更強的信號。
(2)在沒有使用的時候關(guān)閉網(wǎng)絡(luò)
安裝時可將無線收發(fā)設(shè)備的電源與教學(xué)樓的電源裝于同一線路上,在晚上夜自習(xí)結(jié)束離開教室后,關(guān)閉電源時也同時關(guān)閉無線信號。
(3)AP隔離規(guī)劃
類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全與有線網(wǎng)隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò),相當于無線中的局域網(wǎng)。
(4)配置無線入侵檢測系統(tǒng)
用于無線局域網(wǎng)的入侵檢測系統(tǒng),可用來監(jiān)視分析用戶的活動,判斷入侵事件的類型,檢測非法的網(wǎng)絡(luò)行為,對異常的網(wǎng)絡(luò)流量進行報警。
(5)應(yīng)用VPN技術(shù)
無線接入網(wǎng)絡(luò)VLANfAP和VPN服務(wù)器之間的線路)從局域網(wǎng)把VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。VPN服務(wù)器提供網(wǎng)絡(luò)的認證和加密,并應(yīng)用于局域網(wǎng)網(wǎng)絡(luò)內(nèi)部,具有較好的擴充、升級性能,可應(yīng)用于較大規(guī)模的校園無線網(wǎng)絡(luò)。
(6)配置無線控制器+HTAP集中式WLAN管理設(shè)備
較新的WLAN網(wǎng)絡(luò)架構(gòu),用戶對FITAP的管理是通過無線控制器來完成,更改服務(wù)策略設(shè)定和安全策略設(shè)定只需要登錄到指定的無線控制器就可以完成設(shè)置,無線控制器會自動把新的配置下發(fā)到指定的FITAP。
2.使用中的安全措施
(1)修改管理員密碼和用戶名
修改無線AP設(shè)置中的默認用戶名和密碼,盡量設(shè)置復(fù)雜的、較長的密碼,最好是字母與數(shù)字并存。
(2)啟用無線AP的連接密碼
升級到WPA2(WiFi Protected Accessl加密協(xié)議。將安全設(shè)置改為“個人WPA2協(xié)議”并且勾選“TKIP+AES”運算法則。最后在“共享密鑰”中輸入密碼,保存修改。
(3)采用身份驗證和授權(quán)
Windows Server 2003內(nèi)的IAS,可用來架設(shè)Radius服務(wù)器??蛻舳嗽谑褂镁W(wǎng)絡(luò)之前必須先輸入用戶名、密碼等認證信息,并只有在認證通過時才開放該客戶端的網(wǎng)絡(luò)使用權(quán)限。
(4)修改默認系統(tǒng)SSID
改變默認的SSID,可以使你區(qū)別于其它未受保護的網(wǎng)絡(luò),還可以使你的用戶不會因此錯連接到其它的網(wǎng)絡(luò)中,從而就不會將你的數(shù)據(jù)暴露于黑客的嗅探器下。
(5)禁止SSID網(wǎng)絡(luò)廣播
SSID參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點廣播出去的,禁止這個廣播后,我們必須把SSID名稱告訴各位用戶,在無線接收設(shè)備上設(shè)置好才能連接上無線AP。
(6)使用MAC地址過濾與固定IP
這個方法要求登記學(xué)校里所有使用無線上網(wǎng)設(shè)備的MAC地址,來更新無線AP中的MAC地址列表。這樣就只有經(jīng)過登記的合法設(shè)備可以訪問你的網(wǎng)絡(luò)了。如果能關(guān)閉DHCP服務(wù),為學(xué)校里的每臺電腦分配固定的靜態(tài)IP地址,然后再把這個IP地址與無線終端的MAC地址進行綁定,這樣就可以得到雙重保險。
參考文獻:
[1]李園,王燕鴻,無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施[J].現(xiàn)代電子技術(shù),2007,(5):91-94
[2]王秋華,章堅武,淺析無線網(wǎng)絡(luò)實施的安全措施[J].中國科技信息,2005,(17):18