- 相關(guān)推薦
校園網(wǎng)信息安全及防范策略
導(dǎo)讀:隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用,校園網(wǎng)在學(xué)校的教學(xué)和管理中發(fā)揮著越來越重要的作用,為師生工作、學(xué)習(xí)、生活提供了極大的方便,正在悄然改變著傳統(tǒng)的教學(xué)和管理模式。但是,它的安全問題日漸突顯:計(jì)算機(jī)病毒的侵害、黑客的攻擊、數(shù)據(jù)的篡改和丟失等等網(wǎng)絡(luò)安全隱患,對校園網(wǎng)信息安全構(gòu)成了極大的威脅。
關(guān)鍵詞:校園網(wǎng),信息安全,防范策略
1.引言
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用,校園網(wǎng)在學(xué)校的教學(xué)和管理中發(fā)揮著越來越重要的作用,為師生工作、學(xué)習(xí)、生活提供了極大的方便,正在悄然改變著傳統(tǒng)的教學(xué)和管理模式。但是,它的安全問題日漸突顯:計(jì)算機(jī)病毒的侵害、黑客的攻擊、數(shù)據(jù)的篡改和丟失等等網(wǎng)絡(luò)安全隱患,對校園網(wǎng)信息安全構(gòu)成了極大的威脅。隨著網(wǎng)絡(luò)用戶的快速增長,校園網(wǎng)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。在校園網(wǎng)建設(shè)和運(yùn)行過程中必須針對不同的安全威脅制定相應(yīng)的防范措施,以確保建立一個(gè)安全、穩(wěn)定高效的校園網(wǎng)絡(luò)系統(tǒng)。
2.校園網(wǎng)面臨的安全威脅
2.1 操作系統(tǒng)漏洞。這是造成校園網(wǎng)自身缺陷的原因之一。目前常用的操作系統(tǒng)Windows2000/XP、UNIX、Linux等都存在著一些安全漏洞, 對網(wǎng)絡(luò)安全構(gòu)成了威脅。如Windows2000/XP的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等。加上系統(tǒng)管理員或使用人員對復(fù)雜的系統(tǒng)和自身的安全機(jī)制了解不夠,配置不當(dāng),從而形成安全隱患。
2.2 內(nèi)部用戶的惡意攻擊。這是校園網(wǎng)安全受到威脅的另一個(gè)主要原因。學(xué)校是計(jì)算機(jī)使用者集中的地方,學(xué)生中不乏高手;同時(shí),學(xué)生的好奇心重,摹仿力強(qiáng),即使水平不高,也可以用從網(wǎng)上下載的專門軟件對他人的計(jì)算機(jī)進(jìn)行攻擊。據(jù)統(tǒng)計(jì),校園網(wǎng)約有70%的攻擊來自內(nèi)部用戶,相對于外部攻擊者來說,內(nèi)部用戶更具有得天獨(dú)厚的破壞優(yōu)勢。
2.3 保密意識(shí)淡薄。在校園網(wǎng)中內(nèi)部用戶的非授權(quán)訪問,是校園網(wǎng)安全受到威脅的主要原因之一,最容易造成系統(tǒng)資源和重要信息的泄漏或被篡改。一些校園網(wǎng)為了簡單省事,計(jì)算機(jī)的命名經(jīng)常按部門名稱命名,計(jì)算機(jī)的管理員賬號(hào)也不作任何修改而采用默認(rèn)賬號(hào),甚至不設(shè)登錄密碼,這等于給攻擊者大開方便之門,讓攻擊者能輕而易舉地發(fā)現(xiàn)自己感興趣的目標(biāo)而隨意進(jìn)入,對保密內(nèi)容隨意瀏覽,更為危險(xiǎn)的是,有的數(shù)據(jù)非授權(quán)就可以任意改動(dòng),根本無安全可言。
2.4 計(jì)算機(jī)病毒的侵害。計(jì)算機(jī)病毒是由某些人利用計(jì)算機(jī)軟、硬件系統(tǒng)編制的具有特殊功能的惡意程序。影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓, 是影響高校校園網(wǎng)絡(luò)安全的主要因素。
2.5黑客的攻擊。 除了面臨來自內(nèi)部的攻擊之外,校園網(wǎng)還要防范來自外部黑客的攻擊。外部黑客是利用黑客程序,針對系統(tǒng)漏洞,在遠(yuǎn)程控制計(jì)算機(jī),甚至直接破壞計(jì)算機(jī)系統(tǒng)。黑客通常會(huì)在用戶的計(jì)算機(jī)中植入一個(gè)木馬病毒,與黑客程序內(nèi)外勾結(jié),對計(jì)算機(jī)安全構(gòu)成威脅進(jìn)而危及網(wǎng)絡(luò)。
3.保障校園網(wǎng)安全的關(guān)鍵技術(shù)
3.1防火墻技術(shù)
防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。在防火墻設(shè)置上我們應(yīng)按照以下配置來提高網(wǎng)絡(luò)安全性:
根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表,防止IP地址被盜用。在局域網(wǎng)的入口架設(shè)千兆防火墻,并實(shí)現(xiàn)VPN的功能,在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。定期查看防火墻訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。允許通過配置網(wǎng)卡對防火墻設(shè)置,提高防火墻管理安全性。
3.2入侵檢測系統(tǒng)
入侵檢測系統(tǒng)是幫助網(wǎng)絡(luò)管理者及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異常現(xiàn)象,并能進(jìn)行告警、跟蹤、定位的實(shí)時(shí)檢測系統(tǒng);也是通過對網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析,展示網(wǎng)絡(luò)總體的安全態(tài)勢的安全管理工具。入侵檢測系統(tǒng)可以彌補(bǔ)防火墻相對靜態(tài)防御的不足,是防火墻的合理補(bǔ)充。防火墻屬于被動(dòng)的靜態(tài)安全防御技術(shù),對于網(wǎng)絡(luò)中日新月異的攻擊手段缺乏主動(dòng)的反應(yīng),而入侵檢測屬于動(dòng)態(tài)的安全技術(shù),能幫助系統(tǒng)主動(dòng)應(yīng)對來自網(wǎng)絡(luò)的各種攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng),提高了校園網(wǎng)信息系統(tǒng)的安全性。入侵檢測系統(tǒng)掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng),監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量,提供實(shí)時(shí)報(bào)警,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
3.3漏洞掃描系統(tǒng)
采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。要求每臺(tái)主機(jī)系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補(bǔ)丁、保護(hù)好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機(jī)不提供諸如FTP、HTTP等公共服務(wù),盡量關(guān)閉它們。
3.4網(wǎng)絡(luò)版殺毒軟件
為了在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,這種防病毒手段應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。
部署網(wǎng)絡(luò)版殺毒軟件就可以較好的解決這個(gè)問題。例如:在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的服務(wù)器,安裝一個(gè)網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心,負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī),在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完后,在管理員控制臺(tái)對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)查殺毒。網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件網(wǎng)站上獲取最新的升級(jí)文件,然后自動(dòng)將最新的升級(jí)文件分發(fā)到其它各個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端,并自動(dòng)對網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。
采取這種升級(jí)方式,一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步,使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒能力;另一方面,由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是由程序來自動(dòng)、智能完成,就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。
4.校園網(wǎng)信息安全的防范策略
4.1 物理安全
保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。一般分為兩個(gè)方面: 首先是要保護(hù)校園網(wǎng)中的計(jì)算機(jī)、服務(wù)器、路由器、交換機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;其次則是確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。
4.2 訪問控制策略
訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一,它的主要任務(wù)是保證校園網(wǎng)絡(luò)資源不被非法使用和非法訪問。一般主要分三個(gè)方面:首先是入網(wǎng)訪問控制,在使用和訪問網(wǎng)絡(luò)教學(xué)資源時(shí),網(wǎng)絡(luò)系統(tǒng)軟件要求用戶輸入用戶名和用戶口令,系統(tǒng)進(jìn)行對入網(wǎng)用戶的識(shí)別和驗(yàn)證是防止非法訪問的第一道防線;其次是用戶權(quán)限控制,用戶權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施,不同級(jí)別的用戶應(yīng)設(shè)置不同的權(quán)限,以此來控制用戶可以訪問哪些資源;第三是網(wǎng)絡(luò)監(jiān)測和鎖定控制,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)對網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的訪問,服務(wù)器應(yīng)報(bào)警,以引起管理員的注意。同時(shí)對非法訪問次數(shù)進(jìn)行記錄,并能自動(dòng)鎖定,以保系統(tǒng)安全。
4.3 信息加密策略
利用加密算法對敏感的信息加密, 可以防止被非法人員竊析。現(xiàn)在有一些加密軟件可以加密郵件、文件等。利用這些加密軟件可以有效的保護(hù)數(shù)據(jù)、文件、口令和控制信息在網(wǎng)絡(luò)中的安全傳輸。論文參考。
4.4 備份和鏡像技術(shù)
網(wǎng)絡(luò)系統(tǒng)的備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份,以便在網(wǎng)絡(luò)遭到破壞時(shí),快速、全面地恢復(fù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。論文參考。核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息備份包括對網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用,也在人侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用。論文參考。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作, 若其中一個(gè)出現(xiàn)故障, 另一個(gè)仍可以繼續(xù)工作。
4.5 網(wǎng)絡(luò)安全管理規(guī)范
網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中, 除采用技術(shù)措施之外, 加強(qiáng)網(wǎng)絡(luò)的安全管理, 制定有關(guān)的規(guī)章制度, 對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括: 確定安全管理等級(jí)和安全管理范圍; 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。
5. 結(jié)束語
校園網(wǎng)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,不能僅僅依靠某一方面的安全策略,而需要仔細(xì)考慮系統(tǒng)的安全需求,網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問題,又有管理方面的問題,應(yīng)加強(qiáng)從網(wǎng)絡(luò)信息安全技術(shù)和網(wǎng)絡(luò)信息安全管理兩個(gè)方面來進(jìn)行網(wǎng)絡(luò)信息安全部署,盡可能的為校園網(wǎng)提供安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。
參考文獻(xiàn):
[1] 張武軍. 高校校園網(wǎng)安全整體解決方案研究. 電子科技.2006 年第3 期.
[2] 朱海虹.淺談網(wǎng)絡(luò)安全技術(shù).科技創(chuàng)新導(dǎo)報(bào),2007,32:32.
[3] 符彥惟.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù).清華大學(xué)出版社。2008.9
【校園網(wǎng)信息安全及防范策略】相關(guān)文章:
校園網(wǎng)信息安全策略10-05
淺析高校校園網(wǎng)信息安全的現(xiàn)狀與防范10-08
校園網(wǎng)網(wǎng)絡(luò)信息安全問題與策略論文10-08
校園網(wǎng)的信息安全論文10-08
管控校園網(wǎng)信息安全10-08