論文導(dǎo)讀:隨著計算機(jī)技術(shù)����、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用����,校園網(wǎng)在學(xué)校的教學(xué)和管理中發(fā)揮著越來越重要的作用,為師生工作����、學(xué)習(xí)、生活提供了極大的方便,正在悄然改變著傳統(tǒng)的教學(xué)和管理模式����。但是,它的安全問題日漸突顯:計算機(jī)病毒的侵害�、黑客的攻擊、數(shù)據(jù)的篡改和丟失等等網(wǎng)絡(luò)安全隱患����,對校園網(wǎng)信息安全構(gòu)成了極大的威脅。
關(guān)鍵詞:校園網(wǎng)�,信息安全,防范策略
1.引言
隨著計算機(jī)技術(shù)�����、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用�,校園網(wǎng)在學(xué)校的教學(xué)和管理中發(fā)揮著越來越重要的作用,為師生工作���、學(xué)習(xí)�����、生活提供了極大的方便,正在悄然改變著傳統(tǒng)的教學(xué)和管理模式。但是��,它的安全問題日漸突顯:計算機(jī)病毒的侵害�����、黑客的攻擊����、數(shù)據(jù)的篡改和丟失等等網(wǎng)絡(luò)安全隱患,對校園網(wǎng)信息安全構(gòu)成了極大的威脅�����。隨著網(wǎng)絡(luò)用戶的快速增長��,校園網(wǎng)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題��。在校園網(wǎng)建設(shè)和運(yùn)行過程中必須針對不同的安全威脅制定相應(yīng)的防范措施�,以確保建立一個安全、穩(wěn)定高效的校園網(wǎng)絡(luò)系統(tǒng)��。
2.校園網(wǎng)面臨的安全威脅
2.1 操作系統(tǒng)漏洞�����。這是造成校園網(wǎng)自身缺陷的原因之一。目前常用的操作系統(tǒng)Windows2000/XP����、UNIX、Linux等都存在著一些安全漏洞, 對網(wǎng)絡(luò)安全構(gòu)成了威脅�����。如Windows2000/XP的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞�����、瀏覽器的漏洞���、IIS的漏洞����、病毒木馬等���。加上系統(tǒng)管理員或使用人員對復(fù)雜的系統(tǒng)和自身的安全機(jī)制了解不夠����,配置不當(dāng)�����,從而形成安全隱患。
2.2 內(nèi)部用戶的惡意攻擊����。這是校園網(wǎng)安全受到威脅的另一個主要原因��。學(xué)校是計算機(jī)使用者集中的地方���,學(xué)生中不乏高手�;同時����,學(xué)生的好奇心重,摹仿力強(qiáng)�,即使水平不高,也可以用從網(wǎng)上下載的專門軟件對他人的計算機(jī)進(jìn)行攻擊��。據(jù)統(tǒng)計����,校園網(wǎng)約有70%的攻擊來自內(nèi)部用戶,相對于外部攻擊者來說���,內(nèi)部用戶更具有得天獨(dú)厚的破壞優(yōu)勢�。
2.3 保密意識淡薄。在校園網(wǎng)中內(nèi)部用戶的非授權(quán)訪問�,是校園網(wǎng)安全受到威脅的主要原因之一,最容易造成系統(tǒng)資源和重要信息的泄漏或被篡改��。一些校園網(wǎng)為了簡單省事���,計算機(jī)的命名經(jīng)常按部門名稱命名����,計算機(jī)的管理員賬號也不作任何修改而采用默認(rèn)賬號����,甚至不設(shè)登錄密碼,這等于給攻擊者大開方便之門����,讓攻擊者能輕而易舉地發(fā)現(xiàn)自己感興趣的目標(biāo)而隨意進(jìn)入,對保密內(nèi)容隨意瀏覽����,更為危險的是,有的數(shù)據(jù)非授權(quán)就可以任意改動�,根本無安全可言���。
2.4 計算機(jī)病毒的侵害。計算機(jī)病毒是由某些人利用計算機(jī)軟����、硬件系統(tǒng)編制的具有特殊功能的惡意程序。影響計算機(jī)系統(tǒng)的正常運(yùn)行�、破壞系統(tǒng)軟件和文件系統(tǒng)���、破壞網(wǎng)絡(luò)資源�����、使網(wǎng)絡(luò)效率急劇下降����、甚至造成計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓, 是影響高校校園網(wǎng)絡(luò)安全的主要因素����。
2.5黑客的攻擊。 除了面臨來自內(nèi)部的攻擊之外��,校園網(wǎng)還要防范來自外部黑客的攻擊�。外部黑客是利用黑客程序��,針對系統(tǒng)漏洞��,在遠(yuǎn)程控制計算機(jī)�,甚至直接破壞計算機(jī)系統(tǒng)���。黑客通常會在用戶的計算機(jī)中植入一個木馬病毒���,與黑客程序內(nèi)外勾結(jié),對計算機(jī)安全構(gòu)成威脅進(jìn)而危及網(wǎng)絡(luò)����。
3.保障校園網(wǎng)安全的關(guān)鍵技術(shù)
3.1防火墻技術(shù)
防火墻是網(wǎng)絡(luò)安全的屏障。一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性��,并通過過濾不安全的服務(wù)而降低風(fēng)險�。在防火墻設(shè)置上我們應(yīng)按照以下配置來提高網(wǎng)絡(luò)安全性:
根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則��,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議��、端口�����、源地址、目的地址��、流向等項目�����,嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的����、非法的訪問。將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包�,這樣可以防范源地址假冒和源路由類型的攻擊�����;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包�����,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊��。在防火墻上建立內(nèi)網(wǎng)計算機(jī)的IP地址和MAC地址的對應(yīng)表���,防止IP地址被盜用�。在局域網(wǎng)的入口架設(shè)千兆防火墻���,并實現(xiàn)VPN的功能,在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障�����,VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。定期查看防火墻訪問日志����,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄��。允許通過配置網(wǎng)卡對防火墻設(shè)置,提高防火墻管理安全性�����。
3.2入侵檢測系統(tǒng)
入侵檢測系統(tǒng)是幫助網(wǎng)絡(luò)管理者及時���、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異?��,F(xiàn)象����,并能進(jìn)行告警��、跟蹤�、定位的實時檢測系統(tǒng);也是通過對網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析���,展示網(wǎng)絡(luò)總體的安全態(tài)勢的安全管理工具。入侵檢測系統(tǒng)可以彌補(bǔ)防火墻相對靜態(tài)防御的不足��,是防火墻的合理補(bǔ)充。防火墻屬于被動的靜態(tài)安全防御技術(shù),對于網(wǎng)絡(luò)中日新月異的攻擊手段缺乏主動的反應(yīng),而入侵檢測屬于動態(tài)的安全技術(shù)�,能幫助系統(tǒng)主動應(yīng)對來自網(wǎng)絡(luò)的各種攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,包括安全審計、監(jiān)視��、攻擊識別和響應(yīng),提高了校園網(wǎng)信息系統(tǒng)的安全性�����。入侵檢測系統(tǒng)掃描當(dāng)前網(wǎng)絡(luò)的活動����,監(jiān)視和記錄網(wǎng)絡(luò)的流量�,根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量�,提供實時報警�,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性��。
3.3漏洞掃描系統(tǒng)
采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站���、服務(wù)器�����、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告��,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)��。要求每臺主機(jī)系統(tǒng)必須正確配置�,為操作系統(tǒng)打夠補(bǔ)丁�����、保護(hù)好自己的密碼��、關(guān)閉不需要打開的端口�,例如:如果主機(jī)不提供諸如FTP���、HTTP等公共服務(wù)���,盡量關(guān)閉它們。
3.4網(wǎng)絡(luò)版殺毒軟件
為了在整個局域網(wǎng)內(nèi)杜絕病毒的感染�、傳播和發(fā)作,應(yīng)該在整個網(wǎng)絡(luò)內(nèi)采取相應(yīng)的防病毒手段���。同時為了有效���、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系,這種防病毒手段應(yīng)能實現(xiàn)遠(yuǎn)程安裝�、智能升級、遠(yuǎn)程報警�、集中管理、分布查殺等多種功能。
部署網(wǎng)絡(luò)版殺毒軟件就可以較好的解決這個問題���。例如:在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的服務(wù)器��,安裝一個網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心,負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點的計算機(jī)�,在各主機(jī)節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完后�,在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)查殺毒�����。網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作����。由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件�����,然后自動將最新的升級文件分發(fā)到其它各個主機(jī)網(wǎng)點的客戶端與服務(wù)器端�,并自動對網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。
采取這種升級方式����,一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步���,使整個校園網(wǎng)都具有最強(qiáng)的防病毒能力;另一方面�,由于整個網(wǎng)絡(luò)的升級、更新都是由程序來自動�����、智能完成����,就可以避免由于人為因素造成網(wǎng)絡(luò)中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。
4.校園網(wǎng)信息安全的防范策略
4.1 物理安全
保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提�。一般分為兩個方面: 首先是要保護(hù)校園網(wǎng)中的計算機(jī)、服務(wù)器����、路由器、交換機(jī)等硬件實體和通信鏈路免受自然災(zāi)害��、人為破壞和搭線攻擊�;其次則是確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境。
4.2 訪問控制策略
訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一����,它的主要任務(wù)是保證校園網(wǎng)絡(luò)資源不被非法使用和非法訪問�。一般主要分三個方面:首先是入網(wǎng)訪問控制���,在使用和訪問網(wǎng)絡(luò)教學(xué)資源時��,網(wǎng)絡(luò)系統(tǒng)軟件要求用戶輸入用戶名和用戶口令�,系統(tǒng)進(jìn)行對入網(wǎng)用戶的識別和驗證是防止非法訪問的第一道防線����;其次是用戶權(quán)限控制�����,用戶權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施����,不同級別的用戶應(yīng)設(shè)置不同的權(quán)限,以此來控制用戶可以訪問哪些資源�;第三是網(wǎng)絡(luò)監(jiān)測和鎖定控制,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控����,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的訪問,服務(wù)器應(yīng)報警���,以引起管理員的注意�����。同時對非法訪問次數(shù)進(jìn)行記錄�,并能自動鎖定����,以保系統(tǒng)安全。
4.3 信息加密策略
利用加密算法對敏感的信息加密, 可以防止被非法人員竊析?��,F(xiàn)在有一些加密軟件可以加密郵件���、文件等。利用這些加密軟件可以有效的保護(hù)數(shù)據(jù)����、文件、口令和控制信息在網(wǎng)絡(luò)中的安全傳輸��。論文參考�。
4.4 備份和鏡像技術(shù)
網(wǎng)絡(luò)系統(tǒng)的備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份�,以便在網(wǎng)絡(luò)遭到破壞時���,快速�����、全面地恢復(fù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行���。論文參考。核心設(shè)備的備份主要包括核心交換機(jī)�����、核心路由器�、重要服務(wù)器等��。數(shù)據(jù)信息備份包括對網(wǎng)絡(luò)設(shè)備的配置信息��、服務(wù)器數(shù)據(jù)等的備份��。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用�����,也在人侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用。論文參考�。鏡像技術(shù)是指兩個設(shè)備執(zhí)行完全相同的工作, 若其中一個出現(xiàn)故障, 另一個仍可以繼續(xù)工作。
4.5 網(wǎng)絡(luò)安全管理規(guī)范
網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中, 除采用技術(shù)措施之外, 加強(qiáng)網(wǎng)絡(luò)的安全管理, 制定有關(guān)的規(guī)章制度, 對于確保網(wǎng)絡(luò)安全�����、可靠地運(yùn)行將起到十分有效的作用�。網(wǎng)絡(luò)的安全管理策略包括: 確定安全管理等級和安全管理范圍; 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度�;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。
5. 結(jié)束語
校園網(wǎng)信息安全是一項復(fù)雜的系統(tǒng)工程�,不能僅僅依靠某一方面的安全策略,而需要仔細(xì)考慮系統(tǒng)的安全需求�����,網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問題�����,又有管理方面的問題�����,應(yīng)加強(qiáng)從網(wǎng)絡(luò)信息安全技術(shù)和網(wǎng)絡(luò)信息安全管理兩個方面來進(jìn)行網(wǎng)絡(luò)信息安全部署�,盡可能的為校園網(wǎng)提供安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境�����。
參考文獻(xiàn):
[1] 張武軍. 高校校園網(wǎng)安全整體解決方案研究. 電子科技.2006 年第3 期.
[2] 朱海虹.淺談網(wǎng)絡(luò)安全技術(shù).科技創(chuàng)新導(dǎo)報��,2007�����,32:32.
[3] 符彥惟.計算機(jī)網(wǎng)絡(luò)安全實用技術(shù).清華大學(xué)出版社�。2008.9
|
