时间:2023-03-23 15:13:47
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全小论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词网络安全系统安全网络运行安全内部网络安全防火墙
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考文献
1.局域网组建与维护DIY.人民邮电出版社,2003.05
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
1.1加强网络安全教育,增强校园网用户安全意识及防护技能
目前,所有高校基本都普及了校园网络,高校学生在校园内部随处都可以上网,教师和其它人员的工作也离不开网络的辅助,高校内部的网络端口日益增多,上网的人数也是与日俱增,其中大多数人并不具备网络安全方面相关知识,这为高校信息安全埋下了隐患,信息安全方面的教育势在必行。用户的流动性强是校园网用户群体的一个显著特征,因此,学生的信息安全教育是一项重要并且需要长期坚持的工作。学校应将信息安全知识和防护技能的培训纳入学生计算机基础课程中,并将有关的教学内容、实验与学校的信息安全工作联系起来,在实现教学目标的同时,也可以起到对学校信息安全的促进与保障作用。目前,高校虽然已经普遍开设了计算机应用基础课程,仍然有必要选择性地开设网络安全课程或专题讲座,宣传网络安全知识和网络道德教育,提高所有学生和教师的网络安全意识,并且可以开展有针对性的实践技能培训,提高学生和教师的网络防护技能。新形势下,高校学生应当具备一定的网络基础知识,让学生学会正确对待各类网络信息、合理使用网络资源的能力,形成正确的价值观,维护网络道德规范。此外,对校园网中其他用户的信息安全教育与培训也是一项需要长期坚持的工作。
1.2加强校园网安全维护,增强网络管理人员的安全意识和技能
校园网信息安全既有管理方面的漏洞,也有技术层面的风险。专业的网络管理人员负责整个校园网络的维护、网络系统的更新、升级及新技术的研发。建立一支既懂管理又有技术的信息安全人才队伍是很有必要的,保障网络的信息安全首先应当提升这部分专业人士的安全意识及专业技术水平,定期进行培训和考核。其次要从技术层面做好信息安全防御工作。使用必要的网络安全防护技术,如:身份认证技术、入侵检测技术、防火墙技术、防病毒网关技术、垃圾邮件过滤系统以及安全审计等技术来防御来自外部或内部的攻击,有效地对校园网的进行防护。另外,现在市场上网络安全的新产品、新技术非常多,也可以为校园网提供更好的保护功能。
1.3建立健全校园网安全保障体系
健全的信息安全管理体制,对于在管理层面维护信息安全至关重要。除了建立一支高素质的网络管理专业技术人员队伍外,还必须建立一套严格的管理规章制度。有了技术水平足够高的设备、软件支持,再加上有针对其网络建设和应用设计的完善的规章制度,整个网络安全体系才有了根本保障。此外,在科学合理的信息安全管理机制中,应急响应机制尤为重要,因为,没有绝对安全的网络系统,关键在于发现或发生安全风险时,能否及时正确做出应对,进行防御,采取措施消除风险,或将损失降到最低,使网络系统能够快速恢复正常运行。
2结语
校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。
2校园网络安全防范设计方案
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1利用备份链路优化校园网的容错能力
备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2计算机防火墙的合理应用
计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3VPN的构建
VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。
2.4网络层其他安全技术
网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1应用VLAN技术提升网络安全性能
VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2利用网络存储技术,确保网络数据信息安全
校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。
3.3配置交换机端口控制非法网络接入
交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4总结
要求重要部门(校领导、财务、机房重地)文件夹进行加密,主要提供给单个用户使用,对放置机密文件的文件夹进行加密,打开时需要输入密码。
USB接口加密,在重要部门机器安装屏蔽USB设备或绑定USB存储设备,对于绑定以外的USB设备无法识别。四、实施认证机制通过多层交换机设置配置VLAN的路由接口,使任意两个VLAN相互之间均能进行通信,实现网络资源的共享。随着网络的规模不断扩大升级,网络使用者的管理越来越难,给校园网稳定、高效和安全运行带来了新的隐患,这种通过在VLAN间使用访问控制策略,加强了网络的整体安全性。网络交换机的控制通过访问控制列表进行包过滤(PacketFiltering):对每个数据包按照用户所定义的项目进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不涉及会话的状态,也不分析数据,只分析数据包的包头信息。如果配置的规则合理,在这一层能够过滤掉很多有安全隐患的数据包。以太网交换机支持多种访问控制列表,并把这些访问控制列表分为四类:基本访问控制列表、高级访问控制列表、接口访问控制列表和基于二层的访问控制列表。在定义访问控制列表时,必须定义其类型。如果是用数字对访问控制列表进行标识,则可以通过不同的数字范围来表示不同的列表类型。如(1)1~99:基本访问控制列表(ba-sic),(2)100~199:高级访问控制列表(advanced),(3)1000~1999:接口访问控制列表(interface),(4)200~299:基于二层的高级访问控制列表。在学校的办公网络中,每一个VLAN对应一个唯一的IP子网,管理者可以根据VLAN的子网地址进行IP过滤,创建扩展的IP访问列表,实现各个部门之间的访问控制。
计算机病毒的预防查杀
购买正版瑞星网络杀毒软件,重要部门装机时必须安装正版杀毒软件,建议其它部门安装正版杀毒软件。其它地方除安装有硬盘还原卡、全盘保护的教室终端和学生机房外,校园网内所有的终端都必须安装杀毒软件。同时,指定专人定期、经常对各处机器进行杀毒软件升级,打补和查杀病毒。
严格执行数据备份
为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。校园网服务器选用热插拔硬盘、RAID5格式;在服务器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000¥),将常用数据存储在服务器硬盘,不常用的数据存储在这台PC的硬盘中;利用Win2000Sserver自带的备份工具对服务器中的有效数据定期备份,放在备份PC的硬盘上;对教务室和财务室的电脑也要求定期备份;将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩,然后刻成光盘存档。
对不良信息过滤
购买信息过滤软件,在技术上避免师生有意无意地浏览带有暴力、黄色、内容的网络信息。比如选用“蓝眼睛智能信息过滤系统”之类的由公安部等部门监制的信息过滤工具,以期达到净化校园网网络信息的目的。当非法的网络地址被访问到,或者应该被过滤的由系统监测到的信息在传播时,过滤工具除了中断信息的交流外,还会记录相关信息,以备查询和明确责任。同时,加强对学校师生的法制教育和道德培养,使他们自觉不主动上网浏览、下载、传播这类非法信息。另外,还要使用过滤工具对公共电脑或校内办公电脑上传输的信息进行过滤,杜绝信息的非法传播。
入侵检测
1、在校园网中较重要的服务器网段中配置S100等产品,进行网络的入侵检测。不停地检测和监视各个网段中的各种数据包,对每个可疑的数据包进行详细的特征分析。如果数据包信息与入侵检测系统中的某些规则或特征相吻合,入侵检测系统立即会发出警报,甚至直接切断网络连接信号。
2、在校园网中的重要主机,如财务室电脑、教务室电脑等上面安装基于网络主机入侵检测的系统S120,对主机所在网络的实时连接,以及系统检测日志进行分析、判断,如果其中主体的活动可疑,入侵检测系统也立即会采取相应措施。
3、同时使用基于主机和基于网络的入侵检测系统,使它们实现优势互补,构架成一套立体而又完整的主动防御体系。
4、对校园网中的部分重点主机进行高级的安全设置,去除不必要的访问,并在必要的网络访问周围建立严格的访问控制权限,避免有意者的非法入侵和破坏。
其它方面的措施
从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。
1.1动态防御
网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。
1.2主机安全
主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。
1.3备份和恢复
数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。
1.4安全审计
网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。
1.5安全测试与配置
由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:
1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。
1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。
1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。
2网站群安全防范措施
单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。
3网站群保障体系构建效果
一、校园网络安全隐患
1.安全管理有缺陷
主要是由于网络管理员安全意识淡薄、防盗工作不到位,容易造成信息丢失。例如,管理员在进行信息加密时,除预留原始文件外,还需备份处理,防止文件丢失,但是实际管理员过于信任网络环境,未对数据信息实行备份,导致原始数据丢失后,无法进行二次copy,大量信息不能被及时还原,导致信息处于不安全的环境中,有可能随时遭遇篡改、窃取的威胁。
2.网络的安全漏洞
计算机网络内,由于存在部分安全漏洞,或者部分软件含有设计缺陷,导致其成为恶意攻击和入侵的途径,此类型的安全漏洞,遭遇攻击时,不易察觉。例如:TCP/IP,其在认证方面,存在漏洞,部分攻击者对用户计算机中的TCP/IP实行软件解析,快速分析信息传输路径,发起恶意攻击或拦截,导致计算机拒绝各类服务。
3.网络的外界攻击
外界攻击主要包括:木马植入、黑客攻击以及病毒入侵。病毒与木马是黑客入侵最常用的方式,一般黑客会自行编写程序,攻击用户计算机,有目的地对用户信息进行复制、监视或破坏,当黑客达到一定目的后,会以木马、病毒的方式,致使计算机无法进行正常工作,由于病毒隐蔽性高、破坏能力强,最终导致系统瘫痪,降低安全度。
二、造成这些现状的原因
1.网络安全维护的投入不足
网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。
2.网络管理员责任心不强
很多学校的网络管理员都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人原因,造成工作热情不高、责任心不强,所以也就不会花很多心思去维护网络、维护硬件。
3.盗版资源泛滥
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。
三、对策措施
校园网受到的安全威胁是不可避免的,但是我们可以采取有效的措施确保网络信息安全。通常情况下,一般采用以下措施来保障校园网的安全性:
1.及时安装漏洞补丁
软件和系统具有漏洞是不可避免的,这是因为设计者和程序员不可能考虑到所有方面。但是,黑客会轻易通过漏洞对计算机信息网络造成严重影响。我们普通用户在使用计算机网络时,应该及时更新系统最新补丁,这样黑客就不会有机可乘。同时,我们也可以通过QQ管家或者360安全卫士等更新软件和下载扫描漏洞。
2.采购配备必要软件
校园网络安全软件主要有:防火墙、杀毒软件、存取控制、身份认证、加密措施、数据的完整性控制和安全协议等内容。但针对中小学校园网特点,以下软件是必须配备的。(1)过滤器和防火墙软件。由于校园网主要面对学生和教职工,因此对一些涉及黄赌毒、暴力、等不良网站必须严加防范,而过滤器软件可以有效屏蔽这些不良网站;防火墙软件主要包含了用户认证、动态的封包过滤、预警模声、应用服务、IP防假冒、网络地址转接等方面内容,可以将校园网与外网十分有效地隔离开来,切实保障校园网络不受未经授权的外部侵入。(2)使用杀毒软件。杀毒软件有个人版和网络版,选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。网络版杀毒软件有如下优点:A.集中式管理、分布式杀毒效率高;B.采用数据库技术、LDAP技术;C.多引擎支持,杀毒速度更快;D.从入口处拦截病毒;E.全面解决方案;F.扩展性比较高;G.可以进行远程安装或分发安装。国内外比较知名的网络版杀毒软件有卡巴斯基、诺顿、江民、瑞星等厂商,根据校园的实际需要,选择合适的厂商。
3.更换管理员账户
管理员账户是计算机用户中拥有最大权限的用户,能够对计算机的所有重要信息做出更改或设置。如果黑客在入侵的过程中获取了管理员账户的密码,那么计算机中所有用户的信息都会受到威胁。为了防止黑客轻易窃取管理员账户,管理员的密码应该复杂,而且要不定期予以更换。
校园网的安全问题是一个较为复杂的系统工程,需要全方位防范。防范不能一味地被动,更要主动进行。除了要有相关的硬件和技术保障外,还需要相关的制度保障和校方的重视。当然,关于校园网更多的信息安全应用技术的开发和应用,还有待于广大网络信息安全工作人员的共同努力,才能最终实现校园网信息的安全防护应用。
1.1网络攻击
开放性的互联网环境很容易成为网络攻击的对象,老师和同学在网络上完成查阅资料、下载程序、邮件收发、访问网页等教学活动,庞大的使用人群造就了校园网络环境的相对复杂,使用者的网络安全意识薄落,在下载资料或浏览网页时打开来历不明的电子邮件及文件,或则在下载相关学习资料时附带下载安装诸多不知名的软件、游戏程式病毒,进而造成网络环境的安全问题。网络攻击使服务器无法正常工作,使数据库信息丢失或者破坏其完整性,导致校园网络系统出现混乱,这些攻击行为影响了高校应用系统的正常。
1.2系统漏洞
由于专业建设的需求,学生需要掌握的专业软件也就增多,高校实验室电脑会安装多种软件和应用程序,操作系统本身就有很多管理模块,因此在操作系统中不可避免会有各种漏洞,漏洞就给计算机病毒及非法入侵者就轻松地攻入实验室网络开了后门。高校网络一般采用Linux、Unix以及Windows三种操作系统,每种操作系统都会存在一些安全问题,及时随时更新的漏洞补丁,仍存在有些漏洞能够使攻击者通过管理员账号攻入网络,破坏网络系统,严重威胁着校园网的网络信息的安全。1.4人为因素由于网络的安全的知识薄弱,不当的网络操作、不规范的网络使用行为会导致病毒传播,大量占用网络资源,破坏网络设备,给校园网络带来安全隐患。网络管理员在日常网络维护工作中,由于服务器和数据接入端的设置不合理、用户权限设计不恰当等都会校园网带来了严重的安全隐患。
2网络安全防护对策
在校园数字化建设的进程中,计算机网络安全问题显得尤为突出,因此,要解决网络中的安全问题,需要从加强学校网络安全教育、健全网络安全管理体制和加强技术人员的培养等方面来展开工作。
2.1加强学校网络安全教育
开展网络安全专题讲座,开辟网站专栏,张贴安全知识布告栏等途径加强网络安全的宣传,同时在计算机应用课程授课时加大网络安全章节内容的介绍,使学生了解基本的网络防护技能。通过进行网络道德的教育,让师生建立起网络安全的意识,养成良好的网络使用习惯,使广大师生参与到学校的网络安全管理和监督过程中来,每一位用户在使用校园网的同时,明确自己对于校园网络信息安全防护的责任。
2.2健全网络安全管理体制
采用实名制登录方式,通过对用户身份识别,密码验证,权限访问控制等有效措施对校园网络的使用进行保护,按照网络使用用户类别及权限,分为教师、行政和学生用户,根据不同的访问身份设置访问权限,用户半小时没有使用自动断网以防止信息泄露。防火墙能够提高内部网络的安全性,并通过过滤不安全的服务协议而降低访问风险,防火墙体系设计采用多层防范系统,进行实现全面的网络保护,同时做到系统漏洞的及时监测与修补,才能够很好地抵制外界的网络攻击,营造安全的校园网络环境完善网络日志情况,做好服务器数据的备份,落实各操作系统的配置、使用、修复和网络安全防范技术措施,对于服务器上重要的数据信息,要定时进行系统备份或者文件加密处理,防止来自网络攻击或认为物理操作损坏造成的数据丢失;定期对学校的网络运行环境和安全情况进行检测、监管,及时发现安全隐患,对存在的系统漏洞和管理上制度上的缺失及时进行修补和完善;系统一旦遇到突发状况,立即开启系统响应机制,采取有效的对策措施,将风险和损失降低到最小。
2.3加强技术人员的培养
培养具有信息安全管理意识的网络管理队伍,维护系统数据库,严格管理系统日志。加强网络管理人员的队伍建设要不断提升网络管理员的技术水平,支持相关人员接受网络安全方面的培训学习活动,提升网络防御能力,提高网站、网络管理人员水平。
3结语
购物车(0)
