導(dǎo)語(yǔ):在校園網(wǎng)絡(luò)安全論文的撰寫旅程中�,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
1.1真實(shí)性所謂的真實(shí)性�,是指用戶在對(duì)網(wǎng)絡(luò)系統(tǒng)使用的網(wǎng)絡(luò)痕跡,都是真實(shí)可靠地存在于現(xiàn)實(shí)中�,所用用戶都無(wú)法抵賴自己對(duì)于網(wǎng)絡(luò)功能的使用和調(diào)用。任何的操作都可以通過(guò)原始的操作記錄來(lái)進(jìn)行證實(shí)和確定�,操作存在真實(shí)性。
1.2可控性可控性指的是�,網(wǎng)絡(luò)系統(tǒng)自身具備對(duì)于網(wǎng)絡(luò)信息的傳播和內(nèi)容的審核具備控制和調(diào)整的能力,因?yàn)槌鲇趪?guó)家安全�,社會(huì)公共管理秩序的需求,有必要對(duì)于網(wǎng)絡(luò)上的信息進(jìn)行控制和調(diào)整�,以確保公民和國(guó)家的信息安全和保障。尤其是這對(duì)網(wǎng)絡(luò)中實(shí)行的社會(huì)犯罪�,情報(bào)收集�,信息竊取等都需要對(duì)網(wǎng)絡(luò)的信息進(jìn)行嚴(yán)格的管理和控制。
2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)中的運(yùn)用
2.1防火墻技術(shù)所謂防火墻技術(shù)�����,指的就是校園網(wǎng)絡(luò)針對(duì)網(wǎng)絡(luò)所設(shè)置的權(quán)限和用戶訪問(wèn)權(quán)限的所有的硬件和軟件的總和,可以視為是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的保護(hù)性防御設(shè)置�����,其最為根本的功能就是�����,針對(duì)一些非法的訪問(wèn)和登陸進(jìn)行有效的阻斷和隔離�����,是校園網(wǎng)絡(luò)安全性的基本保障措施和功能�����。其主要體現(xiàn)在�����,防火墻可以針對(duì)外網(wǎng)的一些具有不安全性的用戶訪問(wèn)進(jìn)行識(shí)別和拒絕隔斷�����,同時(shí)采取調(diào)整防火墻的安全等級(jí),還可以對(duì)一些具有危害性的信息和內(nèi)容進(jìn)行屏蔽和阻斷�����,尤其是識(shí)別網(wǎng)絡(luò)上安全性較低的網(wǎng)路時(shí)�����,能夠主動(dòng)提出警報(bào)�����,并組織用戶訪問(wèn)這些危險(xiǎn)性的網(wǎng)站�����,減少了病毒的傳播和入侵�����。同時(shí)還可以對(duì)于外網(wǎng)訪問(wèn)校園網(wǎng)絡(luò)的信息進(jìn)行登記和備份�����,以便于針對(duì)訪問(wèn)信息的統(tǒng)計(jì)和監(jiān)控�����。這樣在日后的數(shù)據(jù)分析過(guò)程中�����,能夠有效發(fā)現(xiàn)系統(tǒng)中存在的漏洞�����,尤其是發(fā)現(xiàn)用戶的操作存在非法性�����,時(shí)�����,能夠及時(shí)并主動(dòng)對(duì)其進(jìn)行提醒和警報(bào)�����。如果校園網(wǎng)絡(luò)防火墻技術(shù)和NAT技術(shù)有效地結(jié)合起來(lái)�����,還能夠?qū)τ谛@網(wǎng)絡(luò)的結(jié)構(gòu)性進(jìn)行隱蔽,大大增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全性�����,并且這種結(jié)合能夠非常有效地解決校園網(wǎng)絡(luò)中�����,用戶群較大�����,IP不足的問(wèn)題�����,極大地提升了校園網(wǎng)絡(luò)的使用效率和通暢性�����。
2.2VPN技術(shù)VPN技術(shù)的運(yùn)用�����,能夠在校內(nèi)用戶和校外網(wǎng)絡(luò)連接的過(guò)程中�����,形成一道安全監(jiān)測(cè)的通道,那些只有符合設(shè)定的目標(biāo)用戶�����,才能夠通過(guò)通路進(jìn)行順利的訪問(wèn)和登陸�����,其余的非法登陸和連接都會(huì)被視為非法操作而進(jìn)行阻斷�����,這樣能夠大大提升校園網(wǎng)絡(luò)的安全性�����,同時(shí)對(duì)校內(nèi)用戶的危險(xiǎn)性操作也做出了控制和規(guī)范�����。該技術(shù)可以通過(guò)校內(nèi)的驗(yàn)證碼技術(shù)�����、登陸用戶驗(yàn)證等技術(shù)來(lái)區(qū)分有資格的用戶身份�����,將具備資格的用戶和非法用戶區(qū)分開(kāi)來(lái)再連接到服務(wù)器�����,并采用信息加密技術(shù)�����,有效地保證了通過(guò)驗(yàn)證的用戶信息的安全性和完整性�����,實(shí)現(xiàn)了校園網(wǎng)的密匙管理�����。
2.3發(fā)現(xiàn)入侵的檢測(cè)技術(shù)該技術(shù)的運(yùn)用�����,對(duì)于校園網(wǎng)絡(luò)的安全性具有非常重大的意義�����,尤其是對(duì)于校園網(wǎng)路中的一些不規(guī)范,非法的操作行為進(jìn)行檢測(cè)�����,一旦發(fā)現(xiàn)之后及時(shí)發(fā)出網(wǎng)絡(luò)警報(bào)�����,并對(duì)其危險(xiǎn)的操作做出網(wǎng)絡(luò)分析�����,檢測(cè)出用戶在未授權(quán)的情況下所進(jìn)行的越權(quán)操作行為�����,并及時(shí)對(duì)其進(jìn)行控制和終止�����。同時(shí)�����,對(duì)于系統(tǒng)中的漏洞進(jìn)行進(jìn)行的提醒和備注�����,以便于網(wǎng)絡(luò)維護(hù)人員及時(shí)對(duì)網(wǎng)絡(luò)漏洞進(jìn)行修改�����,因此入侵的檢測(cè)技術(shù)對(duì)于網(wǎng)絡(luò)的安全性而言�����,具有非常主動(dòng)的防御功能�����。它對(duì)于維護(hù)校園網(wǎng)絡(luò)數(shù)據(jù)的穩(wěn)定性和安全性�����,都具有非常重要的意義�����。
2.4控制訪問(wèn)技術(shù)該技術(shù)的運(yùn)用,主要是針對(duì)采取非法性的操作和訪問(wèn)�����,一般而言�����,用戶需要登錄校園網(wǎng)�����,首先需要登錄校園網(wǎng)的訪問(wèn)控制臺(tái)�����,經(jīng)過(guò)正確的口令登錄和識(shí)別之后才能獲得相應(yīng)的訪問(wèn)權(quán)限和身份�����。一旦登錄輸入不正確或者不具備登錄資格�����,將被拒絕訪問(wèn)�����,因此那些不具備資格的非法訪問(wèn)用戶都不會(huì)獲得相應(yīng)的授權(quán)和進(jìn)入訪問(wèn)入口�����。
2.5數(shù)據(jù)恢復(fù)和備份技術(shù)該技術(shù)的運(yùn)用�����,一般是對(duì)校園網(wǎng)絡(luò)信息安全性的事后保障和后期安全性保障�����,一旦發(fā)生了網(wǎng)絡(luò)安全性事件�����,校園網(wǎng)絡(luò)系統(tǒng)受到了入侵�����,信息受到了刪除或者篡改�����,可以調(diào)用系統(tǒng)自卑的數(shù)據(jù)恢復(fù)功能來(lái)對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)的恢復(fù),但是數(shù)據(jù)的恢復(fù)是基于數(shù)據(jù)被定期備份在數(shù)據(jù)庫(kù)中的�����。因此�����,校園網(wǎng)絡(luò)的管理員可以定期對(duì)校園網(wǎng)絡(luò)中的信息數(shù)據(jù)進(jìn)行備份�����,并在數(shù)據(jù)庫(kù)中建立索引�����,一旦有需要恢復(fù)的時(shí)候�����,可以及時(shí)按照所需的索引來(lái)快速查找到所需要回復(fù)的信息內(nèi)容�����。這種歸檔的數(shù)據(jù)處理模式能夠保證校園網(wǎng)絡(luò)的數(shù)據(jù)信息在一段的時(shí)間內(nèi)的完整性和自我修復(fù)能力�����,是校園網(wǎng)絡(luò)安全性的有效保障�����。
3總結(jié)
第2篇
隨著網(wǎng)絡(luò)應(yīng)用的深入�����,學(xué)院校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸突出�����,大量的網(wǎng)絡(luò)病毒攻擊校園網(wǎng)絡(luò)�����,比如網(wǎng)絡(luò)釣魚�����、僵尸網(wǎng)絡(luò)等�����。主要的安全隱患有以下幾種:
(1)計(jì)算機(jī)系統(tǒng)漏洞。目前�����,校園網(wǎng)中被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS�����,存在各種各樣的安全問(wèn)題�����,服務(wù)器�����、操作系統(tǒng)�����、防火墻�����、TCP/IP協(xié)議等方面都存在大量安全漏洞�����。
(2)病毒的破壞�����。病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行�����、破壞系統(tǒng)軟件和文件系統(tǒng)�����、使網(wǎng)絡(luò)效率下降�����、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓�����,是影響校園網(wǎng)絡(luò)安全的主要因素�����。
(3)來(lái)自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為�����。校園網(wǎng)與Internet相連�����,在享受Internet方便快捷的同時(shí)�����,也面臨著遭遇攻擊的風(fēng)險(xiǎn)�����。
(4)校園網(wǎng)內(nèi)部的攻擊�����。
2Honeynet技術(shù)在校園網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用
根據(jù)學(xué)院實(shí)際情況和校園網(wǎng)總體設(shè)計(jì)需求�����,為了更好地防御校園網(wǎng)中的各類網(wǎng)絡(luò)木馬、病毒(僵尸網(wǎng)絡(luò)�����、網(wǎng)絡(luò)釣魚等)�����,部署了Honeynet系統(tǒng)�����,但由于整個(gè)校園內(nèi)部網(wǎng)絡(luò)威脅較為嚴(yán)重�����,各種病毒較為猖獗�����,校園網(wǎng)常被病毒感染�����,因此部署的Honeynet系統(tǒng)主要是監(jiān)控校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊�����。為了更好地采集信息�����,充分發(fā)揮Honeynet系統(tǒng)在校園網(wǎng)安全防護(hù)中的主動(dòng)防御功能�����,將Honeynet系統(tǒng)放到黑客容易訪問(wèn)到的地方�����。根據(jù)實(shí)際校園環(huán)境的要求�����,筆者部署一個(gè)帶有不同操作系統(tǒng)的Honeynet�����,這個(gè)蜜網(wǎng)存在著各種各樣的漏洞�����,以吸引攻擊者進(jìn)行有效的訪問(wèn),從而獲取訪問(wèn)信息的和其日志記錄并加以深入分析和研究�����。通過(guò)使用虛擬軟件(VMWare)和物理計(jì)算機(jī)建立一個(gè)混合虛擬Honeynet�����,從而減少了物理計(jì)算機(jī)的需要�����。宿主主機(jī)的二個(gè)網(wǎng)卡設(shè)置:一個(gè)是設(shè)置作為虛擬控制機(jī)�����,并通過(guò)虛擬網(wǎng)橋連接Honeywall�����,另一個(gè)設(shè)置連接校園內(nèi)網(wǎng)路由器�����。這里把eth1的IP設(shè)為192.168.1.2�����,而把eth2的IP設(shè)為192.168.1.3�����,這樣管理機(jī)和虛擬Honeypot就不在同一個(gè)網(wǎng)段上�����,保證了管理機(jī)的安全性�����。在本次Honeynet系統(tǒng)中所有主機(jī)都可以通過(guò)ssh或MYSQL連通”firewall”�����;所有主機(jī)都可以連接到Honeynet系統(tǒng)�����;Honeynet允許連接到任意主機(jī)�����;除次之外,所有的通信都被攔截�����,同時(shí)防火墻允許通過(guò)的數(shù)據(jù)均被記錄�����。當(dāng)完成對(duì)虛擬Honeynet系統(tǒng)的配置后�����,需要對(duì)其進(jìn)行測(cè)試�����,看是否能夠正常運(yùn)行�����,首先測(cè)試虛擬機(jī)蜜罐和宿主主機(jī)之間的網(wǎng)絡(luò)連接�����,包括(1)宿主主機(jī)和蜜罐上通過(guò)互相ping對(duì)方的IP地址測(cè)試網(wǎng)絡(luò)連通性�����,經(jīng)測(cè)試網(wǎng)絡(luò)連通性正常�����。(2)在Honeynet網(wǎng)關(guān)上監(jiān)聽(tīng)I(yíng)CMPping包是否通過(guò)外網(wǎng)口和內(nèi)網(wǎng)口�����。 通過(guò)測(cè)試后�����,說(shuō)明虛擬機(jī)蜜罐和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接(通過(guò)Honeynet網(wǎng)關(guān)eth0和eth1所構(gòu)成的網(wǎng)橋)沒(méi)有問(wèn)題�����。對(duì)Honeynet網(wǎng)關(guān)的遠(yuǎn)程管理進(jìn)行測(cè)試�����,需要使用SecureCRT軟件�����,遠(yuǎn)程ssh連接Honeynet網(wǎng)關(guān)管理口,經(jīng)過(guò)測(cè)試表示該虛擬Honeynet可用�����。
3結(jié)束語(yǔ)
第3篇
[關(guān)鍵詞]校園網(wǎng)安全分析解決方案
一�����、校園網(wǎng)絡(luò)安全隱患綜合分析
1.物理層的安全問(wèn)題
校園網(wǎng)需要各種設(shè)備的支持�����,而這些設(shè)備分布在各種不同的地方�����,管理困難�����。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓�����,如室外通信光纜�����、電纜等�����,分布范圍廣�����,不能封閉式管理;室內(nèi)設(shè)備也可能發(fā)生被盜�����、損壞等情況�����。
物理層的安全問(wèn)題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力�����,使得網(wǎng)絡(luò)設(shè)備�����,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網(wǎng)不能正常運(yùn)行�����。物理安全是制訂校園網(wǎng)安全解決方案時(shí)首先應(yīng)考慮的問(wèn)題�����。
2.系統(tǒng)和應(yīng)用軟件存在的漏洞威脅
在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬(wàn)別�����,這些威脅�����,而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會(huì)導(dǎo)致計(jì)算機(jī)可能成為黑客攻擊校園網(wǎng)的后門�����。
3.計(jì)算機(jī)病毒入侵和黑客攻擊
計(jì)算機(jī)病毒是校園網(wǎng)安全最大的威脅因素�����,有著巨大的破壞性�����。尤其是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播的病毒�����,其傳播速度快�����、影響大�����、殺毒難等都不是單機(jī)病毒所能相比的�����。校園網(wǎng)在接入Internet后�����,便面臨著內(nèi)部和外部黑客雙重攻擊的危險(xiǎn)�����,尤以內(nèi)部攻擊為主。由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解�����,特別是在校學(xué)生�����,學(xué)校不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為�����,學(xué)生會(huì)經(jīng)常的監(jiān)聽(tīng)或掃描學(xué)校網(wǎng)絡(luò)�����,因此來(lái)自內(nèi)部的安全威脅更難應(yīng)付�����。
4.內(nèi)部用戶濫用網(wǎng)絡(luò)資源
校園網(wǎng)內(nèi)部用戶對(duì)校園網(wǎng)資源的濫用�����,有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻�����、音頻�����、軟件等資源下載�����,占用了大量的網(wǎng)絡(luò)帶寬�����。特別是近幾年興起的BT�����、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬�����,給正常的校園網(wǎng)應(yīng)用帶來(lái)了極大的威脅�����。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網(wǎng)絡(luò)安全最重要的部分�����,要保證校園網(wǎng)絡(luò)正常�����,首先要保證硬件能夠正常使用�����。通常情況下可采取的措施主要有:減少自然災(zāi)害(如火災(zāi)�����、水災(zāi)�����、地震等)對(duì)計(jì)算機(jī)硬件及軟件資源的破壞�����,減少外界環(huán)境(如溫度、濕度�����、灰塵�����、供電系統(tǒng)�����、外界強(qiáng)電磁干擾等)對(duì)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行可靠性造成的不良影響�����。
2.訪問(wèn)控制策略
訪問(wèn)控制方面的策略任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用或訪問(wèn)�����。包括入侵監(jiān)測(cè)控制策略�����、服務(wù)器訪問(wèn)控制策略�����、防火墻控制策略等多個(gè)方面的內(nèi)容�����。
(1)防火墻控制策略
防火墻控制策略維護(hù)網(wǎng)絡(luò)安全最重要的手段�����。防火墻是具有網(wǎng)絡(luò)安全功能的路由器�����,對(duì)網(wǎng)絡(luò)提供的服務(wù)和訪問(wèn)定義�����,并實(shí)現(xiàn)更大的安全策略�����。它通常用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)不受來(lái)自外部的非法或非授權(quán)侵入的邏輯裝置�����。
(2)入侵監(jiān)測(cè)控制策略
入侵監(jiān)測(cè)控制策略就是使用入侵監(jiān)測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)�����。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystems)專業(yè)上講就是依照一定的安全策略��,對(duì)網(wǎng)絡(luò)����、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視����,盡可能發(fā)現(xiàn)各種攻擊企圖��、攻擊行為或者攻擊結(jié)果����,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性����。
(3)服務(wù)器訪問(wèn)控制策略
服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問(wèn)�����,在所需要的網(wǎng)絡(luò)訪問(wèn)周圍建立訪問(wèn)控制。另外對(duì)用戶和賬戶進(jìn)行必要的權(quán)限設(shè)置�����。一是要限制數(shù)據(jù)庫(kù)管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限�����。二是取消默認(rèn)賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫(kù)�����。
3.病毒防護(hù)策略
病毒主要由數(shù)據(jù)破壞和刪除��、后門攻擊��、拒絕服務(wù)�����、垃圾郵件傳播幾種方式的對(duì)網(wǎng)絡(luò)進(jìn)行傳播和破壞��,照成線路堵塞和數(shù)據(jù)丟失損毀����。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對(duì)校園網(wǎng)絡(luò)整體有效防護(hù)的解決辦法�����。
4.不良信息的防護(hù)策略
Internet上存在大量的不良信息��,校園網(wǎng)絡(luò)因?yàn)镮nternet連接����,學(xué)生有可能無(wú)意中接觸這些信息而在校園網(wǎng)上傳播�����,造成惡劣的影響����?����?梢园惭b非法信息過(guò)濾系統(tǒng)��,設(shè)置非法IP過(guò)濾和非法字段過(guò)濾有效屏蔽Internet上的不良信息�����。
5.建立安全評(píng)估策略
校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù),而需要仔細(xì)考慮系統(tǒng)的安全需求��,建立相應(yīng)的管理制度����,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個(gè)高效����、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)����。使用安全評(píng)估工具是進(jìn)行安全評(píng)估的一種手段,可以對(duì)各方面進(jìn)行檢測(cè)和反饋信息收集����,進(jìn)而制定策略。
三�����、結(jié)束語(yǔ)
高校校園網(wǎng)絡(luò)的安全性越來(lái)越受到重視����,網(wǎng)絡(luò)環(huán)境的復(fù)雜性����、多變性�����,以及信息系統(tǒng)的脆弱性����,決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面�����。需要仔細(xì)考慮系統(tǒng)的安全需求����,建立相應(yīng)的管理制度����,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個(gè)高效��、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)��。
參考文獻(xiàn):
[1]KurousJF����,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍����,李雪安.高校校園網(wǎng)安全整體解決方式研究[J].電子科技,2006��,(3):64-67.
[3]��,王紀(jì)鳳�����,尚玉蓮����,等.防火墻與入侵監(jiān)測(cè)系統(tǒng)在高校校園網(wǎng)中的應(yīng)用[J].泰山醫(yī)學(xué)院學(xué)報(bào),2007��,(11):906-907.
第4篇
關(guān)鍵詞:數(shù)字化校園網(wǎng)��,安全隱患,安全機(jī)制��,安全實(shí)施
數(shù)字化校園是在校園網(wǎng)的基礎(chǔ)之上�����,以計(jì)算機(jī)網(wǎng)絡(luò)和信息數(shù)字化技術(shù)為依托����,利用先進(jìn)的信息手段和工具,來(lái)支撐學(xué)校的教學(xué)和管理信息流����,實(shí)現(xiàn)了教育、教學(xué)����、科研、管理��、技術(shù)服務(wù)等校園信息的收集��、處理�����、整合�����、存儲(chǔ)�����、傳輸�����、應(yīng)用等方面的全部數(shù)字化����,使教學(xué)資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。
一����、高校數(shù)字化校園網(wǎng)的安全隱患分析
高校校園網(wǎng)的應(yīng)用以及服務(wù)主要是面向?qū)W生,學(xué)生經(jīng)常玩游戲����、下電影、瀏覽未知以及可能存在安全隱患的網(wǎng)站��、接收陌生人的電子郵件、用聊天軟件時(shí)隨意接受陌生人傳送的文件��,這些安全隱患都有可能導(dǎo)致校園網(wǎng)病毒泛濫��;觀看網(wǎng)上直播����,嚴(yán)重影響網(wǎng)絡(luò)速度,甚至阻塞網(wǎng)絡(luò)運(yùn)行��;同時(shí)高校的學(xué)生人數(shù)較多����,學(xué)生對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也參差不齊:很多學(xué)生認(rèn)為網(wǎng)絡(luò)中的安全威脅就是計(jì)算機(jī)病毒。所以�����,整個(gè)校園網(wǎng)中的大部分用戶��,對(duì)網(wǎng)絡(luò)中存在的安全威脅還是沒(méi)有一個(gè)清晰��、系統(tǒng)的認(rèn)識(shí)�����。
經(jīng)過(guò)調(diào)查��、分析�����、研究��,高校校園網(wǎng)存在以下安全隱患:
1.校園網(wǎng)直接與因特網(wǎng)相連����,所以會(huì)遭受黑客以及網(wǎng)絡(luò)安全缺陷方面的攻擊;
2.校園網(wǎng)內(nèi)部安全隱患�����;
3.用戶接入點(diǎn)數(shù)量大����,使用率高,隨時(shí)有可能造成病毒泛濫��、信息丟失����、數(shù)據(jù)損壞��、網(wǎng)絡(luò)被攻擊��、系統(tǒng)癱瘓等嚴(yán)重后果����;
4.缺乏統(tǒng)一管理����;
5.網(wǎng)絡(luò)中心負(fù)荷量大:絕大部分網(wǎng)絡(luò)管理功能都是由網(wǎng)絡(luò)中心來(lái)完成的,包括校園網(wǎng)絡(luò)的建設(shè)維護(hù)����、網(wǎng)絡(luò)使用的政策制定以及相關(guān)費(fèi)用的收取����;
總之,實(shí)施一個(gè)科學(xué)��、合理的安全機(jī)制數(shù)字化校園網(wǎng)�����,對(duì)校園網(wǎng)的正常運(yùn)行起著至關(guān)重要的作用。
二��、數(shù)字化校園網(wǎng)安全機(jī)制的實(shí)施
為了有效地解決校園網(wǎng)將會(huì)遇到的種種網(wǎng)絡(luò)安全問(wèn)題����,需要在網(wǎng)絡(luò)中的各個(gè)環(huán)節(jié)都采取必要的安全防范措施�����,通過(guò)多種安全防范技術(shù)和措施的綜合運(yùn)用��,從而來(lái)保證校園網(wǎng)能夠高性能��、高安全性的正常運(yùn)行��。
1����、防火墻的實(shí)施
防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問(wèn)的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一����。
防火墻是一種保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備;同時(shí)防火墻也是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合�����。它通過(guò)監(jiān)測(cè)、限制�����、更改跨越防火墻的數(shù)據(jù)流�����,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息����、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)����。論文格式,安全實(shí)施��。在邏輯上����,防火墻是一個(gè)分離器,一個(gè)限制器�����,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng)��,保證內(nèi)部網(wǎng)絡(luò)的安全����。
可根據(jù)具體的校園網(wǎng)實(shí)際環(huán)境,在防火墻上設(shè)置如下安全策略:
1)解決內(nèi)外網(wǎng)絡(luò)邊界安全����,防止外部攻擊��,保護(hù)內(nèi)部網(wǎng)絡(luò)(禁止外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò))�����;2)根據(jù)IP地址����、協(xié)議類型、端口等進(jìn)行數(shù)據(jù)包過(guò)濾�����;3)內(nèi)外網(wǎng)絡(luò)采用兩套IP地址,實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能����;4)支持安全服務(wù)器網(wǎng)絡(luò)(DMZ區(qū)),允許內(nèi)外網(wǎng)絡(luò)訪問(wèn)DMZ區(qū)��,但禁止DMZ區(qū)訪問(wèn)內(nèi)部網(wǎng)絡(luò)�����;5)通過(guò)IP與MAC地址綁定防止IP盜用�����,避免亂用網(wǎng)絡(luò)資源�����;6)防止IP欺騙��;7)防DDoS攻擊��;8)開(kāi)啟黑白名單功能��,實(shí)現(xiàn)URL過(guò)濾����,過(guò)濾不健康網(wǎng)站��;9)提供應(yīng)用服務(wù)�����,隔離內(nèi)外網(wǎng)絡(luò)��;10)具有自身保護(hù)能力�����,可防范對(duì)防火墻的常見(jiàn)攻擊;11)啟動(dòng)入侵檢測(cè)及告警功能����;12)學(xué)生訪問(wèn)不良信息網(wǎng)站后的日志記錄,做到有據(jù)可查����;13)多種應(yīng)用協(xié)議的支持,等等��。
2����、網(wǎng)閘的實(shí)施
安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接��,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備�����。安全隔離網(wǎng)閘可以在保證安全的前提下����,使用戶可以瀏覽網(wǎng)頁(yè)�����、收發(fā)電子郵件����、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)之間交換數(shù)據(jù),并可以在網(wǎng)絡(luò)之間交換定制的文件�����。論文格式����,安全實(shí)施����。
可根據(jù)具體的校園網(wǎng)實(shí)際環(huán)境��,在網(wǎng)閘上設(shè)置如下安全策略:
1)阻斷內(nèi)外網(wǎng)絡(luò)的物理連接����,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò)����;2)剝離內(nèi)外網(wǎng)絡(luò)傳輸?shù)腡CP/IP以及應(yīng)用層協(xié)議,避免因?yàn)門CP/IP以及應(yīng)用層協(xié)議造成的漏洞����; 3)內(nèi)外網(wǎng)絡(luò)采用一套IP地址,實(shí)現(xiàn)指定協(xié)議通訊功能�����; 4)允許內(nèi)網(wǎng)訪問(wèn)外網(wǎng)特定服務(wù)����、應(yīng)用(HTTP��,F(xiàn)TP,F(xiàn)ILE��,DB等)����;5)允許外網(wǎng)指定機(jī)器訪問(wèn)內(nèi)網(wǎng)特定應(yīng)用(FILE,DB等)����;6)防止IP欺騙; 7)防DDoS攻擊��;8)具有自身保護(hù)能力�����,可防范常見(jiàn)DoS����、DDoS攻擊; 9)多種應(yīng)用協(xié)議的支持����,等等。
3����、 防病毒的實(shí)施
計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響是災(zāi)難性的��。計(jì)算機(jī)病毒的傳播方式已經(jīng)由在單機(jī)之間傳播轉(zhuǎn)向到各個(gè)網(wǎng)絡(luò)系統(tǒng)之間的傳播��,一旦病毒侵入到某一局域網(wǎng)并發(fā)作����,那么造成的危害是難以承受的��。病毒和防病毒之間的斗爭(zhēng)已經(jīng)進(jìn)入了由“殺”病毒到“防”病毒的時(shí)代����。只有將病毒拒絕于內(nèi)部網(wǎng)之外,或者及時(shí)查殺內(nèi)部網(wǎng)的病毒��,以此防范病毒在網(wǎng)絡(luò)內(nèi)泛濫傳播����,才能保證數(shù)據(jù)的真正安全。論文格式��,安全實(shí)施����。
我們結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)病毒的特征��,給出以下防范防治策略:
1)阻止外網(wǎng)的病毒入侵(這是病毒入侵最常見(jiàn)的方式�����,因此在兩個(gè)或多個(gè)網(wǎng)絡(luò)邊界之間�����,在網(wǎng)關(guān)處進(jìn)行病毒攔截是效率最高�����,耗費(fèi)資源最少的措施�����,但只能阻擋來(lái)自外部病毒的入侵)��;2)阻止網(wǎng)絡(luò)郵件/群件系統(tǒng)傳播病毒(在郵件系統(tǒng)上部署防病毒體系)��;3)設(shè)置文件服務(wù)器防病毒保護(hù)�����;4)最終用戶:病毒絕大部分是潛伏在計(jì)算機(jī)網(wǎng)絡(luò)的客戶端機(jī)器上,因此在網(wǎng)絡(luò)內(nèi)對(duì)所有的客戶機(jī)也要進(jìn)行防毒控制�����;5)內(nèi)容保護(hù):為了能夠在第一時(shí)間主動(dòng)的阻止新型病毒的入侵�����,在防病毒系統(tǒng)中對(duì)附加內(nèi)容進(jìn)行過(guò)濾和保護(hù)是非常必要的�����;6)集中管理:通過(guò)一個(gè)監(jiān)控中心對(duì)整個(gè)系統(tǒng)內(nèi)的防毒服務(wù)和情況進(jìn)行管理和維護(hù)�����,這樣可以大大降低維護(hù)人員的數(shù)量和維護(hù)成本��,并且縮短了升級(jí)��、維護(hù)系統(tǒng)的響應(yīng)時(shí)間�����。
4、學(xué)生宿舍區(qū)域802.1x認(rèn)證
考慮到認(rèn)證效率�����、接入安全����、管理特性等多方面的因素��,對(duì)于學(xué)生宿舍區(qū)域的用戶接入建議采用已經(jīng)標(biāo)準(zhǔn)化的802.1x認(rèn)證方式:
1)網(wǎng)絡(luò)環(huán)境復(fù)雜�����,接入用戶數(shù)量巨大:建議采用分布式的用戶認(rèn)證方式��,把認(rèn)證分散到樓棟匯聚交換機(jī)上去完成����,如果發(fā)生故障,不至于會(huì)影響到整個(gè)網(wǎng)絡(luò)的所有用戶����;2)網(wǎng)絡(luò)流量大,認(rèn)證用戶數(shù)量大:所采用的認(rèn)證方式要具有很高的效率�����,以保證用戶能及時(shí)通過(guò)認(rèn)證,在網(wǎng)絡(luò)流量大����,認(rèn)證用戶數(shù)多時(shí)不會(huì)對(duì)設(shè)備的性能產(chǎn)生影響,以保證整個(gè)網(wǎng)絡(luò)高效����、穩(wěn)定的運(yùn)行;3)某些用戶技術(shù)層次高�����,存在對(duì)網(wǎng)絡(luò)安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對(duì)網(wǎng)絡(luò)的影響����,因此所采用的認(rèn)證方式要能夠有比較高的安全性,能防止如DHCP的惡意攻擊等安全功能����。
5、數(shù)據(jù)存儲(chǔ)方案的實(shí)施
數(shù)字化校園是計(jì)算機(jī)技術(shù)的一個(gè)新興應(yīng)用領(lǐng)域��,涉及的內(nèi)容非常廣泛��,包括資料數(shù)字化、海量存儲(chǔ)及數(shù)據(jù)管理�����、全方位查詢檢索�����、多渠道等技術(shù)��,提供包括電子圖書��、視頻�����、音頻及其他多種形式的媒體資料等等����。在數(shù)字化校園環(huán)境下�����,各種數(shù)字信息的增長(zhǎng)非常迅猛����,同時(shí),數(shù)字信息存儲(chǔ)的容量需求越來(lái)越大��。
因此�����,設(shè)計(jì)一種高容量�����、可擴(kuò)充的存儲(chǔ)技術(shù)方案也是校園網(wǎng)絡(luò)安全的重點(diǎn)��?�?梢匀菁{��、甚至可以無(wú)限制地容納更多信息的“海量”存儲(chǔ)技術(shù):如NAS存儲(chǔ)��、SAN存儲(chǔ)等應(yīng)用支撐平臺(tái)解決方案��,在系統(tǒng)結(jié)構(gòu)上滿足用戶未來(lái)的應(yīng)用需求����,同時(shí)合理使用用戶投資����,建立滿足用戶現(xiàn)有需求的系統(tǒng)��,并且易于擴(kuò)展的系統(tǒng)��,來(lái)幫助用戶解決在數(shù)據(jù)存儲(chǔ)和應(yīng)用需求方面所面臨的挑戰(zhàn)�����。
三��、總結(jié)
隨著Internet技術(shù)突飛猛進(jìn)的發(fā)展����,網(wǎng)絡(luò)的應(yīng)用范圍和領(lǐng)域迅速擴(kuò)大�����,新的網(wǎng)絡(luò)技術(shù)����、安全技術(shù)不斷推陳出新,黑客技術(shù)也逐漸多元化�����,導(dǎo)致安全問(wèn)題日益突出。在計(jì)算機(jī)網(wǎng)絡(luò)里�����,安全防范體系的建立不是一勞永逸的����,沒(méi)有絕對(duì)的安全��,我們只能不斷的采用新的網(wǎng)絡(luò)技術(shù)��,以及新的安全設(shè)備與技術(shù)����,這樣才有可能將網(wǎng)絡(luò)中威脅降到最低限度。論文格式�����,安全實(shí)施�����。
防火墻����、網(wǎng)閘��、病毒防范是信息安全領(lǐng)域的主流技術(shù)�����,這些網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全的建設(shè)起到至關(guān)重要的作用,任何一個(gè)網(wǎng)絡(luò)或者用戶都不能夠忽視����。論文格式����,安全實(shí)施��。到目前為止��,盡管相關(guān)研究人員已經(jīng)在理論和實(shí)踐方面都作了大量的工作����,而影響校園網(wǎng)的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新��。論文格式��,安全實(shí)施�����。要確保網(wǎng)絡(luò)的安全就只有根據(jù)實(shí)際情況��,在安全技術(shù)上采用最新的技術(shù)成果����,及時(shí)調(diào)整安全策略����,有效整合現(xiàn)有安全資源,并且不斷引入新的安全機(jī)制��,才能保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展����,確保數(shù)字化校園網(wǎng)的有效性和先進(jìn)性��。
參考文獻(xiàn):
[1]焦中明.高校數(shù)字化校園建設(shè)的幾個(gè)問(wèn)題.贛南師范學(xué)院學(xué)報(bào)
[2]徐立.我國(guó)高校校園網(wǎng)建設(shè)的研究.中南大學(xué)碩士論文
[3]沈培華.數(shù)字校園的五個(gè)層次.計(jì)算機(jī)世界
[4]趙思輝.數(shù)字化校園基礎(chǔ)平臺(tái)體系架構(gòu).福建電腦
[5]宋金玲.數(shù)字校園的相關(guān)技術(shù)及方法研究.中國(guó)礦業(yè)大學(xué)
[6]曾力煒,徐鷹.關(guān)于數(shù)字化校園建設(shè)的研究.計(jì)算機(jī)與現(xiàn)代化
[7]占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案.農(nóng)機(jī)化研究
[8]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究.電子科技
第5篇
關(guān)鍵詞: 安全隱患����; 全網(wǎng)動(dòng)態(tài)安全體系模型��; 信息安全化�����; 安全防御
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security����, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network����, puts forward the solution of each layer of the modern campus network security�����, and applies it to all aspects of the modern campus network�����, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR�����; information security�����; security defense
0 引言
隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加�����,在享受高速互聯(lián)網(wǎng)帶來(lái)無(wú)限方便的同時(shí)��,我們也被各種層次的安全問(wèn)題困擾著?����,F(xiàn)代校園網(wǎng)絡(luò)安全是一個(gè)整體系統(tǒng)工程��,必須要對(duì)現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析����,綜合運(yùn)用先進(jìn)的安全技術(shù)和產(chǎn)品,制定相應(yīng)的安全策略,建立一套深度防御體系[1]��,以自動(dòng)適應(yīng)現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全需求����。
1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析
現(xiàn)代校園網(wǎng)作為信息交換平臺(tái)重要的基礎(chǔ)設(shè)施,承擔(dān)著教學(xué)��、科研����、辦公等各種應(yīng)用,信息安全隱患重重�����,面臨的安全威脅可以分為以下幾個(gè)層面�����。
⑴ 物理層的安全分析:物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施�����、通信線路等遭受自然災(zāi)害��、意外或人為破壞����,造成現(xiàn)代校園網(wǎng)不能正常運(yùn)行。在考慮現(xiàn)代校園網(wǎng)安全時(shí)�����,首先要考慮到物理安全風(fēng)險(xiǎn)�����,它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提保障��。
⑵ 網(wǎng)絡(luò)層的安全分析:網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間����,是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路,網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計(jì)��,所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅����。
⑶ 系統(tǒng)層的安全分析:現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性,并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差越來(lái)越小��,這就使得所有操作系統(tǒng)本身的安全性給整個(gè)現(xiàn)代校園網(wǎng)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn)。
⑷ 數(shù)據(jù)層的安全分析:數(shù)據(jù)審計(jì)平臺(tái)的原始數(shù)據(jù)來(lái)源各種應(yīng)用系統(tǒng)及設(shè)備��,采集引擎實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、操作系統(tǒng)����、應(yīng)用服務(wù)等事件收集,采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互�����,主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊��。
⑸ 應(yīng)用層的安全分析[2]:為滿足學(xué)校教學(xué)����、科研、辦公等需要�����,在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用��,用戶提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或篡改等存在很多的信息安全隱患,主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用軟件系統(tǒng)采購(gòu)自第三方��,直接使用造成諸多安全要素����。
⑹ 管理層的安全分析:人員有各種層次��,對(duì)人員的管理和安全制度的制訂是否有效��,影響由這一層次所引發(fā)的安全問(wèn)題��。
⑺ 非法入侵后果風(fēng)險(xiǎn)分析:非法入侵者一旦獲得對(duì)資源的控制權(quán)�����,就可以隨意對(duì)數(shù)據(jù)和文件進(jìn)行刪除和修改�����,主要有篡改或刪除信息、公布信息����、盜取信息����、盜用服務(wù)����、拒絕服務(wù)等�����。
2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出
全網(wǎng)動(dòng)態(tài)安全體系模型[3](APPDRR)從建立全網(wǎng)自適應(yīng)的�����、動(dòng)態(tài)安全體系的角度出發(fā)��,充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面��,如風(fēng)險(xiǎn)分析(Analysis)��、安全策略(Policy)����、安全防護(hù)(Protection)、安全檢測(cè)(Detection)�����、實(shí)時(shí)響應(yīng)(Response)、數(shù)據(jù)恢復(fù)(Recovery)等����,并強(qiáng)調(diào)各個(gè)方面的動(dòng)態(tài)聯(lián)系與關(guān)聯(lián)程度。現(xiàn)代校園網(wǎng)安全模型如圖1所示�����,該模型緊緊圍繞安全策略構(gòu)建了五道防線:第一道防線是風(fēng)險(xiǎn)分析��,這是整體安全的前提和基礎(chǔ)�����;第二道防線是安全防護(hù)��,阻止對(duì)現(xiàn)代校園網(wǎng)的入侵和破壞�����;第三道防線是安全監(jiān)測(cè)��,及時(shí)跟蹤發(fā)現(xiàn)��;第四道防線是實(shí)時(shí)響應(yīng)��,保證現(xiàn)代校園網(wǎng)的可用性和可靠性�����;第五道防線是數(shù)據(jù)恢復(fù)����,保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù),并把災(zāi)難降到最低程度��。
3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究
為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全����,結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實(shí)際需求,現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合��,建立一個(gè)立體的�����、完善的�����、多層次的現(xiàn)代校園網(wǎng)安全防御體系,主要技術(shù)有加解密技術(shù)��、防火墻技術(shù)�����、防病毒系統(tǒng)����、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)�����、身份認(rèn)證系統(tǒng)����、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等����,如圖2所示。
3.1 加解密技術(shù)
現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)����,許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開(kāi)信息�����。為確保特殊信息在各校區(qū)和部門之間交換過(guò)程中的保密性����、完整性、可用性�����、真實(shí)性和可控性�����,需運(yùn)用先進(jìn)的對(duì)稱密碼算法����、公鑰密碼算法、數(shù)字簽名技術(shù)����、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。
3.2 防火墻技術(shù)
防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素�����,是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則��,對(duì)進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測(cè)��、限制和過(guò)濾����,只允許匹配規(guī)則的數(shù)據(jù)通過(guò),并能夠記錄相關(guān)的訪問(wèn)連接信息����、通信服務(wù)量以及試圖入侵事件,以便管理員分析檢測(cè)��、迅速響應(yīng)和反饋調(diào)整�����。
3.3 防病毒系統(tǒng)
抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞��,并通過(guò)以下兩種有效的手段進(jìn)行相應(yīng)地控制:一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播��,采用蜜罐技術(shù)����、隔離技術(shù)等;二是殺毒技術(shù)����,使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實(shí)時(shí)檢測(cè)和殺毒技術(shù)�����,讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害�����。
3.4 虛擬專用網(wǎng)
虛擬專用網(wǎng)(全稱為Virtual Private NetWork����,簡(jiǎn)稱VPN)指的是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接��,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全����、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展�����,由若干個(gè)不同的站點(diǎn)組成的集合,一個(gè)站點(diǎn)可以屬于不同的VPN��,站點(diǎn)具有IP連通性�����,VPN間可以實(shí)現(xiàn)防問(wèn)控制[4]��。使用VPN的學(xué)校不僅提升了效率����,而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)��,各校區(qū)均可以安全訪問(wèn)到主校區(qū)網(wǎng)��。使用VPN數(shù)據(jù)加密傳輸����,保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?�。VPN按OSI參考模型分層來(lái)分類有:①數(shù)據(jù)鏈路層有PPTP�����、L2F和L2TP;②網(wǎng)絡(luò)層有GRE��、IPSEC�����、 MPLS和DMVPN�����;③應(yīng)用層有SSL�����。
3.5 入侵防護(hù)技術(shù)
入侵防護(hù)技術(shù)包含入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)����。IDS可以識(shí)別針對(duì)現(xiàn)代校園網(wǎng)資源或計(jì)算機(jī)的惡意企圖和不良行為,并能對(duì)此及時(shí)作出防控�����。IDS不僅能夠檢測(cè)未授權(quán)對(duì)象(人或程序)針對(duì)系統(tǒng)的入侵企圖或行為�����,同時(shí)能監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作,提高了現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全保護(hù)����。IPS幫助系統(tǒng)應(yīng)對(duì)現(xiàn)代校園網(wǎng)的有效攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)����、監(jiān)視、進(jìn)攻識(shí)別和及時(shí)響應(yīng))����,提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。
3.6 身份認(rèn)證系統(tǒng)
現(xiàn)代校園網(wǎng)殊部門(如檔案�����、財(cái)務(wù)����、招生等)要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]��,應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺(tái),加強(qiáng)用戶的身份認(rèn)證����,防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn)以及越權(quán)操作�����,加強(qiáng)口令的管理�����。
3.7 數(shù)據(jù)備份系統(tǒng)
在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運(yùn)行的必要手段��,可保證在災(zāi)難突發(fā)時(shí)�����,系統(tǒng)及業(yè)務(wù)有效恢復(fù)?�,F(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺(tái)能實(shí)時(shí)對(duì)整個(gè)校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份��,備份策略采用完全備份與增量備份相結(jié)合的方式�����。
3.8 預(yù)警防控系統(tǒng)
現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對(duì)整個(gè)校園網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測(cè)����、修復(fù)和升級(jí)��,嚴(yán)格履行國(guó)家標(biāo)準(zhǔn)的信息安全管理制度����,構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制��,能實(shí)行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置��,調(diào)控多層面分布式的安全問(wèn)題����,提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力,加強(qiáng)對(duì)現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力�����,切實(shí)建立起一個(gè)方便快捷��、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)����,實(shí)現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。
4 現(xiàn)代校園網(wǎng)絡(luò)安全問(wèn)題的解決方案
通過(guò)對(duì)現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究,針對(duì)現(xiàn)代校園網(wǎng)的安全隱患��,提出現(xiàn)代校園網(wǎng)絡(luò)安全問(wèn)題的各層解決方案��。
⑴ 物理層安全:主要指物理設(shè)備的安全����,機(jī)房的安全等����,包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份�����、防災(zāi)害能力��、防干擾能力�����、設(shè)備的運(yùn)行環(huán)境和不間斷電源保障等��。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國(guó)相關(guān)國(guó)家標(biāo)準(zhǔn)執(zhí)行��。
⑵ 網(wǎng)絡(luò)層安全:針對(duì)現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分,并按照這些安全功能需求設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6]����,采用核心交換機(jī)的訪問(wèn)控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實(shí)現(xiàn)信息安全化�����。
⑶ 系統(tǒng)層安全:現(xiàn)代校園網(wǎng)管理平臺(tái)的主機(jī)選擇安全可靠的操作系統(tǒng)����,采取以下技術(shù)手段進(jìn)行安全防護(hù):補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)����、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)��。
⑷ 數(shù)據(jù)層安全:主要使用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行監(jiān)控管理����,對(duì)審計(jì)記錄結(jié)果進(jìn)行保存,檢索和查詢�����,按需審計(jì);同時(shí)還能夠?qū)ξkU(xiǎn)行為進(jìn)行報(bào)警及阻斷����,并提供對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的統(tǒng)計(jì)和分析,實(shí)現(xiàn)分析結(jié)果的可視化����,能夠針對(duì)數(shù)據(jù)庫(kù)性能進(jìn)行改進(jìn)提供參考依據(jù)。
⑸ 應(yīng)用層安全:應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證����、信息和服務(wù)資源的訪問(wèn)控制和訪問(wèn)資源的加密��,并通過(guò)審計(jì)和記錄機(jī)制�����,確保服務(wù)請(qǐng)求和資源訪問(wèn)的防抵賴��。
⑹ 管理層安全:現(xiàn)代校園網(wǎng)應(yīng)依法來(lái)制訂安全管理制度��,提供數(shù)據(jù)審計(jì)平臺(tái)�����。一方面,對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄����,及時(shí)發(fā)現(xiàn)非法入侵行為。另一方面����,當(dāng)事故發(fā)生后,提供黑客攻擊行為的追蹤線索及破案依據(jù)����,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的可控性與可審查性。
5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系
現(xiàn)代校園網(wǎng)絡(luò)安全問(wèn)題的各層解決方案綜合應(yīng)用到實(shí)際工作環(huán)境中�����,在配套安全管理制度規(guī)范下[7]�����,現(xiàn)代校園網(wǎng)可實(shí)現(xiàn)全方位多層次的信息安全化管理����,配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險(xiǎn)分析����、風(fēng)險(xiǎn)控制及安全風(fēng)險(xiǎn)評(píng)估��、安全策略和布署處置����、預(yù)警防控系統(tǒng)��、安全實(shí)時(shí)監(jiān)控系統(tǒng)��、數(shù)據(jù)審計(jì)平臺(tái)����、數(shù)據(jù)存儲(chǔ)備份與恢復(fù)等動(dòng)態(tài)自適應(yīng)的防御體系��,可有效防范�����、阻止和切斷各種入侵者��,構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障��。
6 結(jié)束語(yǔ)
信息安全化是現(xiàn)代校園網(wǎng)實(shí)施安全的有效舉措����,并建立一套切實(shí)可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施����,提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力��,發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)����、科研和辦公管理的作用。現(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時(shí)伴隨著種種不確定的安全因素��,時(shí)時(shí)威脅現(xiàn)代校園網(wǎng)的健康發(fā)展�����,要至始至終保持與時(shí)俱進(jìn)的思想�����,適時(shí)調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備����。
參考文獻(xiàn)(Reference):
[1] [美]Sean Convery著,王迎春��,謝琳,江魁譯.網(wǎng)絡(luò)安全體系結(jié)
構(gòu)[M].人民郵電出版社�����,2005.
[2] Cbris McNab著����,王景新譯.網(wǎng)絡(luò)安全評(píng)估[M].中國(guó)電力出版
社,2006.
[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)
位論文��,2010.
[4] Teare D.著��,袁國(guó)忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京
人民郵電出版社.2011.
[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].
電子科技大學(xué)碩士學(xué)位論文�����,2015.5.
[6] 彭勝偉.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].無(wú)線互聯(lián)技術(shù)��,
2012.11.
第6篇
論文摘要:當(dāng)今社會(huì)����,信息技術(shù)高速發(fā)展�����,各行各業(yè)都離不開(kāi)網(wǎng)絡(luò)。各學(xué)校也越來(lái)越重視校園網(wǎng)絡(luò)建設(shè)��,網(wǎng)絡(luò)已經(jīng)悄然無(wú)聲的走進(jìn)了校園�����。如何建設(shè)和管理好校園網(wǎng)絡(luò)��,保證校園網(wǎng)絡(luò)的安全�����,已成為校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)����。如何讓校園網(wǎng)絡(luò)在病毒肆虐的時(shí)代穩(wěn)固運(yùn)行,保證學(xué)校信息化�����、數(shù)字化網(wǎng)絡(luò)環(huán)境暢通��,已成為網(wǎng)管員的首要責(zé)任��。
在網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用下,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用����,網(wǎng)絡(luò)的優(yōu)勢(shì)勢(shì)不可擋:加快信息處理、提高工作效率��、實(shí)現(xiàn)資源共享��、降低勞動(dòng)強(qiáng)度����。但是當(dāng)網(wǎng)絡(luò)給學(xué)校帶來(lái)方便的同時(shí),網(wǎng)絡(luò)安全這一問(wèn)題是否被學(xué)校重視��。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)��、網(wǎng)絡(luò)技術(shù)�����、通信技術(shù)��、密碼技術(shù)��、信息安全技術(shù)��、應(yīng)用數(shù)學(xué)����、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科�����。網(wǎng)絡(luò)安全從本質(zhì)上說(shuō)就是網(wǎng)絡(luò)上的信息安全����。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不受偶然的或者惡意的原因而遭到破壞、更改����、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行����,網(wǎng)絡(luò)服務(wù)不中斷。本文從以下方面闡述校園網(wǎng)絡(luò)的安全管理:
一�����、設(shè)備安全
暢通的網(wǎng)絡(luò)環(huán)境、安全的網(wǎng)絡(luò)設(shè)備����,為校園網(wǎng)絡(luò)的信息化、數(shù)字化提供了最基礎(chǔ)的硬件保障�����。這里除了信息網(wǎng)絡(luò)設(shè)備的供電����、防水、防雷電��、溫濕度�����、防鼠和防盜等常規(guī)安全之外����。還要強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備的配置安全。主要包括:
(一)對(duì)網(wǎng)絡(luò)設(shè)備設(shè)置8位以上復(fù)雜密碼�����,并需要根據(jù)業(yè)務(wù)需求分配合適的管理用戶和權(quán)限��。目前大多數(shù)安全問(wèn)題�����,是由于密碼過(guò)于簡(jiǎn)單����、密碼管理不嚴(yán),使“入侵者”乘虛而入��。因此密碼口令的有效管理是非常重要的��。
(二)設(shè)置獨(dú)立的設(shè)備管理虛擬局域網(wǎng)�����,把網(wǎng)管設(shè)備使用的IP地址與普通用戶使用的IP地址段分開(kāi)��,并指定專用電腦進(jìn)行接入管理和監(jiān)控����。
二、劃分VLAN
對(duì)校園網(wǎng)絡(luò)合理的劃分VLAN����。VLAN就是虛擬局域網(wǎng)。目前大多數(shù)學(xué)校都配備了三層交換機(jī)和可管理的二層交換機(jī)����,可是還有相當(dāng)一部分學(xué)校把這些設(shè)備當(dāng)作普通的交換機(jī)使用,沒(méi)有進(jìn)行VLAN的劃分�����。這樣一方面是對(duì)設(shè)備資源的浪費(fèi)��,另一方面更是降低了網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)性能��。
采用虛擬局域網(wǎng)有如下優(yōu)勢(shì):有效抑制網(wǎng)絡(luò)上的廣播風(fēng)暴�����;增加網(wǎng)絡(luò)的安全性�����;集中化的管理控制��。基于端口的虛擬局域網(wǎng)是最實(shí)用的虛擬局域網(wǎng)�����,它保持了最普通�����、常用的虛擬局域網(wǎng)成員定義方法�����,配置也相當(dāng)直觀簡(jiǎn)單��,不同的虛擬局域網(wǎng)之間進(jìn)行通信需要通過(guò)路由器或具有路由功能的三層交換機(jī)����。因此�����,有條件的學(xué)校首先就應(yīng)該充分利用已有的硬件資源����,采用VLAN技術(shù)構(gòu)筑高效安全的網(wǎng)絡(luò)基礎(chǔ)環(huán)境��。
三��、流量監(jiān)控��、協(xié)議分析��、網(wǎng)絡(luò)審計(jì)
使用專業(yè)設(shè)備如:網(wǎng)康��。可以進(jìn)行監(jiān)控流量��、協(xié)議分析及網(wǎng)絡(luò)審計(jì)�����。
此類設(shè)備可以方便地配置于網(wǎng)絡(luò)內(nèi)部�����,用來(lái)預(yù)測(cè)網(wǎng)絡(luò)的性能和發(fā)展趨勢(shì)�����;實(shí)時(shí)檢測(cè)校園網(wǎng)絡(luò)內(nèi)部終端的流量狀況����、分析網(wǎng)絡(luò)的異常流量����;提供全網(wǎng)的IP地址�����、機(jī)器名、MAC地址等信息完備的地址表��,方便網(wǎng)絡(luò)的分析和管理����;能對(duì)網(wǎng)絡(luò)訪問(wèn)事件作統(tǒng)一記錄����、分析����;還可生成各種報(bào)表用于存檔。有利于早期發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為����,預(yù)防不良網(wǎng)絡(luò)行為的發(fā)生。
另外在網(wǎng)絡(luò)管理當(dāng)中����,要貫徹實(shí)名制,既用機(jī)器使用者的真實(shí)姓名作為計(jì)算機(jī)命名的管理模式��,直接監(jiān)控到個(gè)人��,當(dāng)出現(xiàn)異常時(shí)可以準(zhǔn)確定位��,快速響應(yīng)。
四����、部署防火墻
防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性����,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻����,這會(huì)使網(wǎng)絡(luò)環(huán)境變得更為安全����。在防火墻設(shè)置上我們按照以下原則配置用來(lái)提高網(wǎng)絡(luò)安全性:
第一��、根據(jù)校園網(wǎng)安全目標(biāo)和安全策略��,規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則����,審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議��、端口�����、源地址��、目的地址�����、流向等項(xiàng)目�����,嚴(yán)禁來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的����、非法的訪問(wèn)?�?傮w上遵從“不被允許的服務(wù)就是被禁止的”原則��。
第二����、將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包。這樣可以防范源地址假冒和源路由類型的攻擊����;過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包,這樣可以防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊�����。
第三����、定期查看防火墻訪問(wèn)日志�����,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄�����。
五�����、部署入侵防御系統(tǒng)
為了彌補(bǔ)防火墻的不足�����,可使用入侵防御系統(tǒng):如IPS����。他能夠及時(shí)識(shí)別攻擊程序����、有害代碼及其克隆和變種�����,盡量將病毒擋在校園網(wǎng)之外。另外��,對(duì)于已經(jīng)傳入校園網(wǎng)內(nèi)的病毒��,必須防止其擴(kuò)散����,可以利用核心交換機(jī)的訪問(wèn)控制列表,屏蔽掉某些可能被病毒利用的端口�����。這樣就可以控制病毒�����,使其只能在某一子網(wǎng)內(nèi)傳播��,而不至于在校園網(wǎng)內(nèi)大范圍擴(kuò)散��。 轉(zhuǎn)貼于
另外還可以在交換機(jī)上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表����,實(shí)現(xiàn)專人專用,防止IP地址被盜用�����。
六、服務(wù)器的安全
校園網(wǎng)的服務(wù)器為用戶提供各種應(yīng)用�����,但是應(yīng)用提供得越多�����,系統(tǒng)就存在越多的漏洞�����,也就有更多的危險(xiǎn)��。因此從安全角度考慮��,應(yīng)將不必要的服務(wù)關(guān)閉.只向用戶提供他們所需的基本服務(wù)����。例如:我們?cè)谛@網(wǎng)服務(wù)器中對(duì)用戶只提供WEB服務(wù)功能,而沒(méi)有必要向用戶提供FTP功能��。這樣��。在對(duì)服務(wù)器配置時(shí)����,只開(kāi)放WEB服務(wù),而將FTP服務(wù)禁止����。如果要開(kāi)放FTP功能,則要規(guī)定端口�����、賬號(hào)及密碼�����,向指定的用戶開(kāi)放�����。因?yàn)橛脩敉ㄟ^(guò)FTP可以上傳資源��,如果給了用戶可執(zhí)行權(quán)限��,那么�����,通過(guò)運(yùn)行上傳的某些程序,就可能使服務(wù)器受到攻擊�����。所以����,控制好服務(wù)器的用戶群體也是保障網(wǎng)絡(luò)安全的一個(gè)重要因素。
七����、部署防病毒
校園網(wǎng)內(nèi)部署防病毒系統(tǒng),并且定時(shí)升級(jí)病毒庫(kù)��。部署防病系統(tǒng)是為了防止因某個(gè)客戶端的病毒或木馬程序在校園網(wǎng)中流竄����,從而干擾網(wǎng)絡(luò)主干����、傳染其他的客戶端。部署防病毒能夠在源頭上保障校園網(wǎng)絡(luò)的安全。在選擇防病毒軟件時(shí)應(yīng)選用口碑比較好的名牌產(chǎn)品����。
八����、定時(shí)更新
任何一個(gè)操作系統(tǒng)、防病毒軟件��、防火墻系統(tǒng)�����、入侵檢測(cè)系統(tǒng)��、路由交換設(shè)備等網(wǎng)絡(luò)節(jié)點(diǎn)��、系統(tǒng)或多或少都存在著各種漏洞�����。系統(tǒng)漏洞的存在就成為網(wǎng)絡(luò)安全的首要問(wèn)題��。發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員的主要任務(wù)����。當(dāng)然�����,從系統(tǒng)中找到漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的.但是及早地發(fā)現(xiàn)有報(bào)告的漏洞����,并進(jìn)行補(bǔ)丁升級(jí)卻是我們應(yīng)該做的�����。經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站��,密切關(guān)注我們所有使用的軟件和服務(wù)程序的最新版本和安全信息��,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)��。網(wǎng)絡(luò)管理員應(yīng)該養(yǎng)成勤打補(bǔ)丁的習(xí)慣�����。
九�����、規(guī)范管理
以上提及的安全管理辦法只是對(duì)網(wǎng)絡(luò)設(shè)備和硬件所說(shuō),為校園網(wǎng)絡(luò)提供技術(shù)手段和措施��,但是還需要制定一系列的信息網(wǎng)絡(luò)規(guī)章制度來(lái)規(guī)范網(wǎng)絡(luò)管理員的操作流程��,提高網(wǎng)絡(luò)管理員的安全意識(shí)和責(zé)任����。包括制定網(wǎng)絡(luò)安全管理范圍規(guī)章制度����、制訂有關(guān)校園網(wǎng)網(wǎng)絡(luò)操作使用規(guī)程、制定人員出入校園網(wǎng)主控機(jī)房的管理制度��、制定校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施����、確定校園網(wǎng)信息安全管理的一般責(zé)任和具體責(zé)任,以及規(guī)定出現(xiàn)安全事故以及違反安全策略的后果等��。
網(wǎng)絡(luò)管理的規(guī)范程度直接反映一個(gè)網(wǎng)絡(luò)的應(yīng)用保障系數(shù)��,通過(guò)以上幾個(gè)方面的管理����,并結(jié)合定期的內(nèi)部網(wǎng)絡(luò)的掃描巡檢,科學(xué)的管理分工制度,要把一個(gè)網(wǎng)絡(luò)管好����、用好不難。
相信隨著校園網(wǎng)絡(luò)管理和校園網(wǎng)絡(luò)安全不斷優(yōu)化發(fā)展����。必然會(huì)給校園信息化、數(shù)字化應(yīng)用提供暢通環(huán)境��,校園網(wǎng)絡(luò)的效益將會(huì)越來(lái)越大�����。也必將會(huì)進(jìn)一步提高學(xué)校的教學(xué)質(zhì)量和管理效率��,使學(xué)校成為一所具有先進(jìn)的信息化網(wǎng)絡(luò)環(huán)境和數(shù)字化應(yīng)用的現(xiàn)代化學(xué)校��。
參考文獻(xiàn):
[1]黃開(kāi)枝����,孫巖.網(wǎng)絡(luò)防御與安全對(duì)策[M].北京:清華大學(xué)出版社
[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第2版)[M].北京:清華大學(xué)出版社
第7篇
1 適應(yīng)新技術(shù)發(fā)展,建設(shè)“泛在”的校園網(wǎng)絡(luò)�����,滿足各類用戶需求
經(jīng)過(guò)20多年的發(fā)展,我國(guó)高校的數(shù)字校園建設(shè)經(jīng)歷了從系統(tǒng)應(yīng)用到系統(tǒng)集成的發(fā)展過(guò)程�����,而隨著新技術(shù)的不斷發(fā)展����,尤其是物聯(lián)網(wǎng)技術(shù)、無(wú)線移動(dòng)網(wǎng)絡(luò)技術(shù)的不斷演進(jìn)����,更加重視用戶的應(yīng)用體現(xiàn)��,表現(xiàn)在用戶對(duì)數(shù)字校園使用的便捷性��,對(duì)各種事務(wù)操作的便利性上來(lái)����。這種轉(zhuǎn)變,對(duì)新一代數(shù)字校園中網(wǎng)絡(luò)基礎(chǔ)設(shè)施也即校園網(wǎng)絡(luò)的硬件條件提出了更高的要求����,這些要求體現(xiàn)在:
一是運(yùn)行更加高速、快捷����。校園網(wǎng)絡(luò)的發(fā)展從最早的百兆以太網(wǎng)�����、ATM網(wǎng)已全面發(fā)展為以萬(wàn)兆主干的以太網(wǎng)絡(luò)為主體的校園網(wǎng)絡(luò)體系��,校園網(wǎng)絡(luò)的運(yùn)行效率�����、運(yùn)行穩(wěn)定性有了質(zhì)的飛躍�����。二是無(wú)線網(wǎng)絡(luò)的全覆蓋成為校園網(wǎng)絡(luò)發(fā)展的趨勢(shì)����。為了適應(yīng)掌上電腦�����、移動(dòng)終端�����、手機(jī)用戶應(yīng)用群不斷擴(kuò)大的趨勢(shì),建立覆蓋整個(gè)校園��,穩(wěn)定��、可靠的無(wú)線網(wǎng)絡(luò)成為校園網(wǎng)絡(luò)建設(shè)與發(fā)展的重點(diǎn)與方向����。三是對(duì)校園網(wǎng)絡(luò)的安全性提出了更高的提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN. C OM,歡迎您的光臨要求。由于數(shù)字校園的建設(shè)����,將整個(gè)院校內(nèi)部各種人、財(cái)�����、物的數(shù)據(jù)聯(lián)網(wǎng)����,這一方面為學(xué)校的決策管理提供了最直接的數(shù)據(jù)支撐��,另一方面也對(duì)信息安全提出了更高的要求��。如何在保證信息安全的基礎(chǔ)上提高應(yīng)用效益成為校園網(wǎng)絡(luò)建設(shè)與管理者不得不考慮的問(wèn)題�����。
基于新一代數(shù)字校園對(duì)校園網(wǎng)絡(luò)提出的更高要求,在進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)時(shí)�����,必須要進(jìn)行充分考慮��。
第一����,在網(wǎng)絡(luò)架構(gòu)上,要充分認(rèn)識(shí)到有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的關(guān)系�����,將兩者作為互相補(bǔ)充的有機(jī)整體�����,綜合考慮建設(shè)����、運(yùn)維的成本,安全性與穩(wěn)定性等各種要素����,綜合衡量網(wǎng)絡(luò)建設(shè)的類型與使用范圍�����。第二����,在網(wǎng)絡(luò)鏈路中需要設(shè)計(jì)一定的冗余����。通過(guò)雙鏈路或多鏈路架構(gòu)的方式在一定程度上解決網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性問(wèn)題。第三�����,考慮到校園內(nèi)各種用戶應(yīng)用層次的不同����,對(duì)校園網(wǎng)資源的使用權(quán)限也要有所不同;在進(jìn)行校園網(wǎng)建設(shè)時(shí)��,需要同時(shí)考慮到安全體系的建設(shè)��,不僅僅是加裝必要的安全防護(hù)設(shè)備����,同時(shí)還需要在網(wǎng)絡(luò)設(shè)備的選擇上做好必要的準(zhǔn)備。第四��,云計(jì)算技術(shù)的持續(xù)發(fā)展��,為高校的信息化建設(shè)與發(fā)展提供了機(jī)遇�����,校園網(wǎng)絡(luò)也必須要考慮到未來(lái)的發(fā)展����,尤其是虛擬桌面、云終端等網(wǎng)絡(luò)應(yīng)用對(duì)校園網(wǎng)的要求更高����,需要充分論證與規(guī)劃,以適應(yīng)新技術(shù)的發(fā)展與應(yīng)用��。
2 基于云計(jì)算技術(shù)����,建設(shè)集中化、虛擬化的數(shù)字校園數(shù)據(jù)中心
云計(jì)算以其超強(qiáng)的計(jì)算能力以及高可靠性、安全性等優(yōu)勢(shì)在各個(gè)領(lǐng)域都掀起了應(yīng)用�����。高校的數(shù)字校園�����,由于其功能的日益完善��,所涉及領(lǐng)域的應(yīng)用更加深入��,對(duì)數(shù)據(jù)中心的存儲(chǔ)以及計(jì)算能力提出了更高的要求�����,傳統(tǒng)的數(shù)據(jù)中心在一定程度上已經(jīng)無(wú)法滿足日益增長(zhǎng)的計(jì)算��、存儲(chǔ)需求��。因此�����,為其引入新型的��、更具可控性�����、可擴(kuò)容以及超強(qiáng)計(jì)算能力的云計(jì)算技術(shù)����,成為新一代數(shù)字校園在進(jìn)行數(shù)據(jù)中心建設(shè)時(shí)需要考慮的問(wèn)題。
2.1 通過(guò)服務(wù)器虛擬化滿足各種新功能的需求
在傳統(tǒng)的數(shù)字校園數(shù)據(jù)中心建設(shè)中�����,采用服務(wù)器集群的方式����,由于數(shù)字校園各種功能部署的需要,需要采用幾十臺(tái)甚至上百臺(tái)單片服務(wù)器才能滿足。而通過(guò)服務(wù)器虛擬化技術(shù),可以有效��、充分地利用服務(wù)器資源����,通過(guò)將單臺(tái)服務(wù)器虛擬出多臺(tái)的方式����,有效解決服務(wù)器的硬件投入過(guò)大、單臺(tái)利用效率低下和管理維護(hù)以及運(yùn)行成本過(guò)高等問(wèn)題。通常服務(wù)器CPU占用率一般不超過(guò)15%����,而虛擬化后物理主機(jī)的CPU使用率將提高到60~80%。
2.2 通過(guò)數(shù)據(jù)的集中存儲(chǔ)�,適應(yīng)數(shù)字校園大數(shù)據(jù)、智能化發(fā)展的需求
云計(jì)算在進(jìn)行服務(wù)器虛擬化的同時(shí)�,要求數(shù)據(jù)中心提供強(qiáng)大的集中存儲(chǔ)功能。而數(shù)字校園也需要將各個(gè)部門的數(shù)據(jù)統(tǒng)一集中到一個(gè)平臺(tái)中來(lái)��,不但要便于數(shù)據(jù)的統(tǒng)一采集與調(diào)度�,更需便于數(shù)據(jù)的管理與維護(hù)。因此�,通過(guò)建設(shè)必要的數(shù)據(jù)存儲(chǔ)體系,包括容災(zāi)備份體系建設(shè)等方面�����。
2.3 堅(jiān)持在原有基礎(chǔ)上的“揚(yáng)棄”��,以滿足需求為目標(biāo)建設(shè)數(shù)據(jù)中心
在進(jìn)行數(shù)據(jù)中心建設(shè)時(shí)應(yīng)充分考慮院校內(nèi)已經(jīng)建成或者正在運(yùn)行的各種系統(tǒng)��、各種物理資源的價(jià)值�����,而不是完全拋棄,應(yīng)當(dāng)將其納入到云計(jì)算數(shù)據(jù)中心建設(shè)中來(lái)統(tǒng)一考慮����,充分利用現(xiàn)有資源,進(jìn)行必要的整合與集成�,做好資產(chǎn)的保護(hù)��。
與此同時(shí)�,還應(yīng)當(dāng)注意到云計(jì)算數(shù)據(jù)中心所帶來(lái)的一些負(fù)面影響。一是由虛擬服務(wù)器應(yīng)用帶來(lái)的資源過(guò)度利提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN. C OM,歡迎您的光臨用�����,要以保障穩(wěn)定運(yùn)行為前提���,提前作好充分的論證��。二是要防止虛擬主機(jī)的隨意蔓延��。由于增加一臺(tái)服務(wù)器的配置不再像以往那樣��,需要通過(guò)采購(gòu)��、安裝����、部署等一系列過(guò)程,只需要數(shù)據(jù)中心通過(guò)技術(shù)虛擬出一個(gè)主機(jī)即可����,這也可能導(dǎo)致各種主機(jī)的不斷擴(kuò)張,因此����,還需要加強(qiáng)對(duì)服務(wù)器需要的管理與審批。
3 以智能感知�、自動(dòng)交換、主動(dòng)推送為目標(biāo)����,加強(qiáng)數(shù)字校園平臺(tái)建設(shè)
數(shù)字校園建設(shè)為院校教學(xué)科研與日常管理等活動(dòng)提供強(qiáng)有力的支撐,本質(zhì)上是利用現(xiàn)代化的手段對(duì)信息進(jìn)行獲取����、加工和處理,為以教學(xué)科研為中心的院校各項(xiàng)活動(dòng)提供保障��。因此���,對(duì)校園內(nèi)信息的獲取����、處理與利用,在進(jìn)行新一代數(shù)字校園設(shè)計(jì)與建設(shè)時(shí)應(yīng)作為重中之重來(lái)進(jìn)行考量��。
3.1 充分利用物聯(lián)網(wǎng)技術(shù)��,建設(shè)“智能感知”的數(shù)字校園數(shù)據(jù)采集體系
隨著物聯(lián)網(wǎng)技術(shù)的不斷成熟��,射頻識(shí)別���、紅外感應(yīng)、全球定位��、激光掃描等信息傳感技術(shù)的應(yīng)用越來(lái)越廣�����,為數(shù)字校園中的對(duì)人�����、財(cái)���、物的自動(dòng)感知與信息采集提供了廣闊的應(yīng)用前景���。在高校重點(diǎn)可以從幾個(gè)方面來(lái)展開(kāi)�����。
一是智能教室�����、實(shí)驗(yàn)室的管理�。伴隨高校數(shù)字化建設(shè)水平的提升���,對(duì)大量不同的教室、實(shí)驗(yàn)室設(shè)備進(jìn)行有效管理是急需解決的課題����。二是智能文檔管理�����。圖書文獻(xiàn),包括由于各種原因無(wú)法通過(guò)電子文檔進(jìn)行流轉(zhuǎn)的公文��、各種檔案資料的管理等�,通過(guò)加貼FRID標(biāo)簽等方式,可以準(zhǔn)確掌握這些重要文檔資料的流向,讓無(wú)聲的東西變成 “有聲”的�����,便于查找利用。 三是智能校園安保系統(tǒng)����。將物聯(lián)網(wǎng)技術(shù)與安保系統(tǒng)進(jìn)行結(jié)合,在原有校園視頻監(jiān)控系統(tǒng)的基礎(chǔ)上����,讓固定的財(cái)物能夠隨時(shí)發(fā)送位置��、狀態(tài)信息��,便于及時(shí)了解其去向��,也為各種物資的有效利用提供方便�����。四是遠(yuǎn)程水電管理系統(tǒng)。通過(guò)物聯(lián)網(wǎng)技術(shù)���,可以及時(shí)發(fā)現(xiàn)水電的開(kāi)關(guān)狀態(tài),了解實(shí)時(shí)的使用情況,通過(guò)校園網(wǎng)可以有效管理路燈����、室內(nèi)照明以及公共水房等資源�����,從源頭上做到環(huán)保節(jié)能����。
3.2 以應(yīng)用集成為主線��,建立自動(dòng)交換的數(shù)據(jù)共享體系
傳統(tǒng)的數(shù)字校園一般采用系統(tǒng)集成的方式����,將高校內(nèi)部各種應(yīng)用系統(tǒng)通過(guò)數(shù)據(jù)�����、身份����、門戶集成等方式統(tǒng)一到一個(gè)平臺(tái)上���。從表面上看����,各種系統(tǒng)已經(jīng)統(tǒng)一在數(shù)字校園內(nèi)�����,但在其內(nèi)核應(yīng)用層面��,還沒(méi)有做到真正的統(tǒng)一�����,尤其是底層數(shù)據(jù)的交換�����,有些復(fù)雜的觸發(fā)機(jī)制需要人工干預(yù)。而在新一代數(shù)字校園的建設(shè)中�,應(yīng)當(dāng)摒棄傳統(tǒng)觀念,真正從“做事”的角度出發(fā)�����,以應(yīng)用為主線����,劃分出清晰的數(shù)據(jù)流���、事務(wù)流����,根據(jù)數(shù)據(jù)的流向�����、事務(wù)的處理流程來(lái)規(guī)劃數(shù)字校園的各項(xiàng)功能��,從底層數(shù)據(jù)庫(kù)的設(shè)計(jì)開(kāi)始�����,做好數(shù)據(jù)的統(tǒng)一規(guī)劃,確保高校內(nèi)部各個(gè)層面的應(yīng)用都能做到真正的數(shù)據(jù)共享���。
3.3 通過(guò)訂閱���、推送平臺(tái),建立主動(dòng)推送的信息應(yīng)用體系
傳統(tǒng)的數(shù)字校園的信息門戶���,雖然會(huì)根據(jù)用戶身份的不同����,有一些差異化的設(shè)計(jì)�,但是實(shí)際上這些差異是有限的提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN. C OM,歡迎您的光臨、不全面的����。新一代的數(shù)字校園,這些差異化應(yīng)當(dāng)與數(shù)據(jù)訂閱機(jī)制�����、身份認(rèn)證平臺(tái)實(shí)施聯(lián)動(dòng)�����,將共享數(shù)據(jù)庫(kù)中與用戶相關(guān)的信息及時(shí)推送到用戶的門戶中去。推送的方式����,可以根據(jù)信息的重要程度、用戶的身份特征等進(jìn)行區(qū)別����。通過(guò)數(shù)據(jù)訂閱與信息推送體系的建設(shè),在最大程度上解決無(wú)法找到合適信息以及“垃圾”信息泛濫等問(wèn)題���。
4 強(qiáng)化管理,統(tǒng)一建設(shè)��,建設(shè)安全���、可靠的數(shù)字校園運(yùn)行平臺(tái)
自從互聯(lián)網(wǎng)進(jìn)入實(shí)際運(yùn)用以來(lái)�����,網(wǎng)絡(luò)安全始終是各方關(guān)注的重點(diǎn)����,尤其是前期“棱鏡”監(jiān)控事件進(jìn)入公眾視野����,國(guó)家采取了加強(qiáng)對(duì)互聯(lián)信息的管控等一系列措施,對(duì)網(wǎng)絡(luò)安全提出了更高的要求��。 因此����,在進(jìn)行新一代數(shù)字校園建設(shè)時(shí),信息安全也應(yīng)當(dāng)作為重要的一個(gè)環(huán)節(jié)���。
4.1 適應(yīng)網(wǎng)絡(luò)安全新形勢(shì)��,將安全體系建設(shè)真正統(tǒng)一納入到數(shù)字校園工程建設(shè)中來(lái)
從網(wǎng)絡(luò)初期建設(shè)開(kāi)始�,有關(guān)部門就對(duì)信息安全提出了一系列的要求��,但由于網(wǎng)絡(luò)安全一定程度上并不能產(chǎn)生直接的效益��,許多院校在進(jìn)行數(shù)字校園乃至網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)建設(shè)時(shí)雖然將網(wǎng)絡(luò)安全納入了方案�,但實(shí)際操作中則是能省就省,存在著重應(yīng)用輕安全的觀念����。
在進(jìn)行新一代數(shù)字校園建設(shè)時(shí)����,由于各種上網(wǎng)的信息涉及面廣���,這些信息對(duì)某些有心人而言都是具有一定的應(yīng)用價(jià)值�����。尤其是一些重點(diǎn)高校����,加強(qiáng)網(wǎng)絡(luò)安全體系建設(shè)不能僅僅是停在口頭上����、寫在書面上��,而應(yīng)當(dāng)真正做到實(shí)際工作中���,將之統(tǒng)一納入到數(shù)字校園建設(shè)中來(lái)�����,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施��、數(shù)字中心建設(shè)����,以及數(shù)字校園各種應(yīng)用系統(tǒng)的開(kāi)發(fā)與應(yīng)用等環(huán)節(jié),充分考慮到信息的安全��,通過(guò)統(tǒng)一的設(shè)計(jì)���、統(tǒng)一的建設(shè)�����,有效地從源頭上管控信息安全����。
4.2 強(qiáng)化制度保障��,統(tǒng)一數(shù)據(jù)采集與應(yīng)用標(biāo)準(zhǔn)��,有效管制各種信息的采集與應(yīng)用
新一代的數(shù)字校園�,從設(shè)計(jì)與建設(shè)理念上來(lái)說(shuō),許多信息的采集都需要自動(dòng)安全��,智能采集����。而在管理與應(yīng)用層面�,更加強(qiáng)調(diào)的是身份認(rèn)證體系與應(yīng)用權(quán)限�,采用主動(dòng)推送的方式進(jìn)行。這對(duì)數(shù)字校園的建設(shè)者與管理者來(lái)說(shuō)���,必須從開(kāi)始階段就做好信息的甄別工作��,通過(guò)嚴(yán)格的規(guī)則制度�����,確定哪些信息通過(guò)何種方式采集與提供使用�����,同時(shí)也應(yīng)當(dāng)根據(jù)不同人員的身份特征�����,強(qiáng)化信息的應(yīng)用范圍控制,確保把好數(shù)字校園內(nèi)各種信息的入口與出口關(guān)����,始終繃緊信息安全之弦����。
4.3 堅(jiān)持內(nèi)外有別�、上下有別,強(qiáng)化數(shù)據(jù)應(yīng)用與下載的管控�,確保信息安全
數(shù)字校園的身份認(rèn)證體系是決定每個(gè)用戶提供、使用信息的依據(jù)�����,在加強(qiáng)數(shù)字校園的信息安全體系建設(shè)時(shí)��,必須堅(jiān)持做到內(nèi)外有別�����、上下有別�����,即區(qū)分校內(nèi)����、校外用戶,領(lǐng)導(dǎo)��、教職員工與學(xué)生有自己的不同的信息提供與獲取權(quán)限。要做到這些�����,應(yīng)當(dāng)從幾個(gè)方面來(lái)著手��。
一是加強(qiáng)身份認(rèn)證系統(tǒng)的建設(shè)與管理�����。不僅對(duì)身份認(rèn)證系統(tǒng)的選擇要更加科學(xué)����,注重其安全性;而且要加強(qiáng)對(duì)用戶身份變更等信息的更新維護(hù)����,確保每個(gè)用戶都能獲取與其身份相對(duì)應(yīng)的信息。二是區(qū)別一般信息與提供論文寫作和寫作服務(wù)lunwen. 1KEJI AN. C OM,歡迎您的光臨保密信息的管理與使用���。這是通常的信息安全管理措施�����,對(duì)信息的涉密程度進(jìn)行區(qū)分��,通過(guò)邏輯子網(wǎng)等方式加以管控��,有些甚至需要與公共的校園網(wǎng)絡(luò)進(jìn)行安全隔離����,確保安全��。三是區(qū)別不同用戶對(duì)象的使用方式�����。對(duì)重要的用戶�,即信息使用級(jí)別較高的校園網(wǎng)用戶,應(yīng)當(dāng)控制其使用方式����。
新技術(shù)的應(yīng)用為數(shù)字校園的建設(shè)與應(yīng)用提供了廣闊的前景,但也帶來(lái)了更大的挑戰(zhàn)�,在物聯(lián)網(wǎng)技術(shù)、云計(jì)算技術(shù)以及移動(dòng)互聯(lián)網(wǎng)等為數(shù)字校園使用效益的發(fā)揮提供更大的舞臺(tái)的同時(shí)����,也應(yīng)當(dāng)根據(jù)各個(gè)院校的實(shí)際情況,綜合考量新技術(shù)應(yīng)用的范圍與規(guī)模�����,以最大的性價(jià)比獲取最大的使用效益。
第8篇
【關(guān)鍵詞】校園網(wǎng)絡(luò)���;網(wǎng)絡(luò)安全����;防范體系
【中圖分類號(hào)】G40-057 【文獻(xiàn)標(biāo)識(shí)碼】B 【論文編號(hào)】1009―8097(2011)11―0066-05
引言
隨著國(guó)內(nèi)高校新一輪信息化建設(shè)的不斷深入���,高校校園網(wǎng)規(guī)模越來(lái)越大��,承載的應(yīng)用系統(tǒng)越來(lái)越多�,校園網(wǎng)絡(luò)的結(jié)構(gòu)也變得越來(lái)越龐大和復(fù)雜����。隨著人才培養(yǎng)、科學(xué)研究等各項(xiàng)工作對(duì)校園網(wǎng)的依賴性不斷增加���,校園網(wǎng)及各類應(yīng)用系統(tǒng)的服務(wù)質(zhì)量也應(yīng)不斷提高標(biāo)準(zhǔn)和要求��,作為一個(gè)使用成熟技術(shù)和成熟設(shè)備的園區(qū)網(wǎng)絡(luò)�����,網(wǎng)絡(luò)安全是影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要因素�����。
但目前各高校的校園網(wǎng)“重建設(shè)�����,輕管理”的現(xiàn)象仍然十分普遍�。在社會(huì)信息化發(fā)展的大潮中��,各高校都已清楚地認(rèn)識(shí)到校園網(wǎng)在學(xué)校各項(xiàng)工作中的基礎(chǔ)地位���,因此在校園網(wǎng)硬軟件系統(tǒng)建設(shè)上進(jìn)行了大量的投入��,而正是硬件和軟件系統(tǒng)的大規(guī)?���?焖僭鲩L(zhǎng)����,使得對(duì)網(wǎng)絡(luò)的管理難以跟上建設(shè)的步伐,而網(wǎng)絡(luò)管理是軟性的工作,是不能夠通過(guò)統(tǒng)計(jì)報(bào)表看得出問(wèn)題或成績(jī)的��,因此網(wǎng)絡(luò)管理工作很難引起學(xué)校領(lǐng)導(dǎo)的重視��。但在實(shí)際工作中��,相對(duì)滯后的網(wǎng)絡(luò)管理會(huì)導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的頻頻發(fā)生����,反言之,網(wǎng)絡(luò)安全防范也是網(wǎng)絡(luò)管理的重要內(nèi)容�����。
本文根據(jù)目前高校校園網(wǎng)絡(luò)存在的安全隱患來(lái)分析其成因�����,并在實(shí)際工作經(jīng)驗(yàn)的基礎(chǔ)上提出構(gòu)建一套基于分層控制的“IAAPNS”網(wǎng)絡(luò)安全防范體系����,自底向上、由內(nèi)到外�����、從技術(shù)到管理層面排查高校校園網(wǎng)絡(luò)中潛在的安全威脅并給出防護(hù)建議。
一 高校校園網(wǎng)絡(luò)的安全隱患及成因
目前高校校園網(wǎng)絡(luò)的主干網(wǎng)都是基于TCP/IP協(xié)議的以太網(wǎng)�,與其他類型的Intranet網(wǎng)絡(luò)相比有其自身的特點(diǎn),相應(yīng)的安全隱患也就有其特定的成因�����。目前國(guó)內(nèi)高校校園網(wǎng)絡(luò)普遍存在的安全隱患和漏洞主要來(lái)自以下幾個(gè)方面:
1 校園面積廣闊��,網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理困難
經(jīng)過(guò)兼并和擴(kuò)張�,高校的校區(qū)面積動(dòng)輒上千畝����、幾千畝,許多高校還有地域上獨(dú)立的新老校區(qū)����,作為樓宇間連線的光纖布線遍布校區(qū)各處,而且往往跟其他強(qiáng)電或弱電線纜共用走線溝槽����。對(duì)這些光纖的管理要涉及基建、后勤等多個(gè)部門��,需要協(xié)調(diào)的工作也很繁雜���,如果缺少一個(gè)明確的安全管理體系���,就不容易分清工作界限����,在出現(xiàn)突發(fā)故障后往往互相推諉�,導(dǎo)致難以在短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)暢通。
另外一方面���,校園內(nèi)樓宇繁多�,樓字里每幾層都會(huì)有樓層網(wǎng)絡(luò)設(shè)備間放置匯聚層或接入層網(wǎng)絡(luò)設(shè)備����,這些設(shè)備間的數(shù)量眾多,但往往安全防范措施簡(jiǎn)易����,門鎖形同虛設(shè),甚至有些設(shè)備間連門都沒(méi)有�����,極易出現(xiàn)人為破壞或私拉亂接網(wǎng)線的情況���,嚴(yán)重影響網(wǎng)絡(luò)的運(yùn)行安全�����。除此以外��,雷擊等外界原因也容易造成對(duì)網(wǎng)絡(luò)設(shè)備的破壞��。
2 網(wǎng)絡(luò)設(shè)備種類繁多�����,不利于統(tǒng)一管理
校園網(wǎng)的建設(shè)一般是分批建設(shè)�,不同批次�����、不同層次的網(wǎng)絡(luò)設(shè)備使用的規(guī)格��、品牌往往不盡相同�����,而這些網(wǎng)絡(luò)設(shè)備的管理軟件大多都是基于私有MIB庫(kù)進(jìn)行開(kāi)發(fā)����,這就造成了很難有一套統(tǒng)一的全網(wǎng)管理軟件����。病毒或黑客對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊時(shí)�,就很難在第一時(shí)間發(fā)現(xiàn)和應(yīng)對(duì),常常是在設(shè)備癱瘓之后才意識(shí)到出現(xiàn)了問(wèn)題�����、進(jìn)行緊急恢復(fù)���。
3 網(wǎng)絡(luò)終端數(shù)量眾多�����,安全措施薄弱
一般高校的學(xué)生人數(shù)都是以萬(wàn)計(jì)�����,教師以干計(jì)�����,密集的用戶群意味著網(wǎng)絡(luò)終端的數(shù)量巨大���,絕大多數(shù)網(wǎng)絡(luò)終端以計(jì)算機(jī)為主����,隨著無(wú)線的普及��,智能手機(jī)和平板電腦也成為重要的網(wǎng)絡(luò)終端設(shè)備�。數(shù)量眾多的用戶使用計(jì)算機(jī)或手機(jī)的技術(shù)水平差異很大,尤其是文科專業(yè)的師生對(duì)計(jì)算機(jī)的使用掌握得并不熟練�,未裝防火墻和殺毒軟件的計(jì)算機(jī)比比皆是。而高校校園網(wǎng)只要一處出現(xiàn)漏洞����,整個(gè)網(wǎng)絡(luò)就無(wú)安全可言。近年來(lái)智能手機(jī)上也出現(xiàn)了不少的病毒和木馬程序����,智能手機(jī)的系統(tǒng)安全問(wèn)題正變得日益嚴(yán)重��。
4 系統(tǒng)軟件本身并不安全
在目前的校園網(wǎng)環(huán)境中����,個(gè)人終端裝機(jī)占有率最高的仍然是Windows操作系統(tǒng),由于使用面廣�����,研究其漏洞的人也就更多,不少黑客都是利用其系統(tǒng)漏洞侵入用戶的計(jì)算機(jī)�,再以這些被控制的計(jì)算機(jī)作為跳板,攻擊整個(gè)網(wǎng)絡(luò)��。
與個(gè)人計(jì)算機(jī)相比��,服務(wù)器操作系統(tǒng)漏洞更具有災(zāi)難性���。服務(wù)器的操作系統(tǒng)種類較多����,除Windows之外還有Linux���、Solaris等Unix系列的操作系統(tǒng)���,而高校網(wǎng)絡(luò)管理人才隊(duì)伍中,對(duì)此類操作系統(tǒng)熟悉的人員比例不高����,包括打補(bǔ)丁、差錯(cuò)、優(yōu)化在內(nèi)的各種操作系統(tǒng)管理手段很難周全到位��。除了操作系統(tǒng)本身�����,其上所運(yùn)行的各類服務(wù)軟件(如IIS����、Tomc~等)也存在安全漏洞問(wèn)題,需要管理人員投入大量的精力進(jìn)行研究和學(xué)習(xí)�����。
5 應(yīng)用系統(tǒng)的安全漏洞
由于建設(shè)成本的考慮�����,高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供商的層次差異很大�����,有些就是自行組織教師或?qū)W生進(jìn)行開(kāi)發(fā)��,缺少軟件開(kāi)發(fā)過(guò)程中各個(gè)層次的安全規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)��,使得應(yīng)用系統(tǒng)層面的漏洞層出不窮�����,這些漏洞很容易成為黑客攻擊最直接的目標(biāo)��。還有些高校在建立Web網(wǎng)站時(shí)使用了開(kāi)源程序���,這類系統(tǒng)的漏洞更是容易被利用��,甚至不懂黑客原理的用戶經(jīng)過(guò)幾分鐘的學(xué)習(xí)便可以掌握攻擊方法����。
二 高校校園網(wǎng)絡(luò)的安全防范體系
由此可見(jiàn)���,形成高校校園網(wǎng)絡(luò)安全隱患的原因是多層次的��,也是相互關(guān)聯(lián)的����,但目前各高校的網(wǎng)絡(luò)管理部門往往采用的是“頭痛醫(yī)頭�����、腳痛醫(yī)腳”的“救火式”解決辦法,只從某個(gè)方面或某個(gè)層次來(lái)應(yīng)對(duì)�。網(wǎng)絡(luò)管理人員每天都在疲于解決各種突發(fā)性的網(wǎng)絡(luò)安全事故,但問(wèn)題還是與日俱增�����,網(wǎng)絡(luò)服務(wù)質(zhì)量和用戶滿意度仍然處于較低的水平�����,這種“費(fèi)力不討好”的現(xiàn)象迫使我們?nèi)ニ伎几玫慕鉀Q方案�����。
為此����,針對(duì)目前高校校園網(wǎng)絡(luò)的安全現(xiàn)狀和威脅,結(jié)合實(shí)際工作經(jīng)驗(yàn)��,我們運(yùn)用系統(tǒng)論的分析方法�����,提出構(gòu)建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security�,網(wǎng)絡(luò)安全集成關(guān)聯(lián)架構(gòu)策略�����,同時(shí)也是體系中六個(gè)層次的英語(yǔ)詞組首字母組合)的網(wǎng)絡(luò)安全防范體系,為高校校園網(wǎng)絡(luò)安全提供一套完整的解決方案��,以求由點(diǎn)到面����、由“標(biāo)”到“本”地系統(tǒng)地解決校園網(wǎng)絡(luò)的安全問(wèn)題。該體系從六個(gè)層次和角度來(lái)闡述網(wǎng)絡(luò)安全的內(nèi)容���,并分析每個(gè)層次可能存在的隱患以及相應(yīng)的應(yīng)對(duì)策略����,其中自底向上的五個(gè)層次分別是物理安全���、網(wǎng)絡(luò)安全�、系統(tǒng)安全��、應(yīng)用安全和信息安全�����,管理安全則融合、穿插于這五個(gè)層次之中���。整個(gè)安全體系的示意圖如圖l所示����。
該體系將現(xiàn)行的高校校園網(wǎng)絡(luò)安全性劃分為5個(gè)橫向?qū)哟魏?個(gè)縱向?qū)哟?��,?個(gè)橫向?qū)哟沃?,最底層的物理安全是基礎(chǔ)�����,網(wǎng)絡(luò)安全是關(guān)鍵���,系統(tǒng)安全��、應(yīng)用安全��、信息安全是重點(diǎn)����,管理安全是保障����。下面分別對(duì)六個(gè)層次的內(nèi)容�、隱患來(lái)源以及應(yīng)對(duì)措施進(jìn)行詳細(xì)闡述����。
1 物理安全(Physical Security)
物理安全��,主要工作是防止物理通路的損壞�����、竊聽(tīng)和對(duì)物理通路的攻擊(干擾等)���。保證高校校園網(wǎng)絡(luò)和信息系統(tǒng)各種設(shè)備的物理安全是網(wǎng)絡(luò)整體安全的前提���,通常包括環(huán)境安全(系統(tǒng)所在環(huán)境的安全保護(hù))、設(shè)備安全和媒體安全三個(gè)部分��?����?垢蓴_�����、防竊聽(tīng)是物理安全措施制定的重點(diǎn)。目前�,物理實(shí)體的安全管理已有大量標(biāo)準(zhǔn)和規(guī)范,如GB9361-88《計(jì)算機(jī)場(chǎng)地安全要求》�、GFB2887-88《計(jì)算機(jī)場(chǎng)地技術(shù)條件》、GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》等�。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來(lái)自于各種自然災(zāi)害��、惡劣的場(chǎng)地環(huán)境���、電磁輻射和干擾��、網(wǎng)絡(luò)設(shè)備的自然老化等���。這些無(wú)目的離散事件有時(shí)會(huì)直接或間接地威脅網(wǎng)絡(luò)的安全,影響信息的存儲(chǔ)和交換�����。人為破壞則主要來(lái)自于高校校園網(wǎng)周邊內(nèi)外的人為性的損壞�����,這些損壞有時(shí)是主觀故意的(如學(xué)生發(fā)泄對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的不滿而對(duì)網(wǎng)絡(luò)設(shè)備或線路進(jìn)行故意損壞),有時(shí)是客觀意外的(如園區(qū)周邊建筑施工導(dǎo)致挖斷網(wǎng)絡(luò)線路)�。
面對(duì)以上威脅,為保證網(wǎng)絡(luò)的正常運(yùn)行���,在物理安全層次上應(yīng)重點(diǎn)考慮兩個(gè)方面:
(1)校園網(wǎng)規(guī)劃��、設(shè)計(jì)�����、建設(shè)時(shí)將物理安全作為重點(diǎn)工作對(duì)待,適當(dāng)提高安全標(biāo)準(zhǔn)�,為網(wǎng)絡(luò)設(shè)備或線路搭建防護(hù)設(shè)施、建立安全控制區(qū)域����,盡量降低自然威脅可能帶來(lái)的風(fēng)險(xiǎn)。
(2)加強(qiáng)巡查�,將重點(diǎn)網(wǎng)絡(luò)設(shè)備或線路所在地定為安全巡邏必到點(diǎn),定期安排保衛(wèi)人員在巡邏時(shí)查看網(wǎng)絡(luò)設(shè)備或線路的外觀和運(yùn)行狀態(tài)(如各種狀態(tài)指示燈是否正常等)�,降低人為破壞的幾率。
2 網(wǎng)絡(luò)安全(Network Security)
網(wǎng)絡(luò)安全主要包括鏈路安全���、傳輸安全和網(wǎng)絡(luò)訪問(wèn)安全三個(gè)部分�����。鏈路安全需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)��,主要針對(duì)共用信道的傳輸安全�����;傳輸安全需要保證信息的完整性��、機(jī)密性���、不可抵賴性和可用性等�;網(wǎng)絡(luò)訪問(wèn)安全需要保證網(wǎng)絡(luò)架構(gòu)�����、網(wǎng)絡(luò)訪問(wèn)控制���、漏洞掃描���、網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽(tīng)、篡改��、重放��、流量分析等攻擊��。
(2)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)問(wèn)題���、錯(cuò)誤的路由配置�、網(wǎng)絡(luò)設(shè)備與主機(jī)的漏洞��、病毒等���。
相應(yīng)地應(yīng)對(duì)措施主要有:
(1)在局域網(wǎng)內(nèi)可以采用劃分VLAN(虛擬局域網(wǎng))來(lái)對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽(tīng)可能����;若是遠(yuǎn)程網(wǎng),可以采用鏈路加密等手段�����。
(2)加強(qiáng)網(wǎng)絡(luò)邊界的訪問(wèn)控制。對(duì)于有明顯安全等級(jí)差別的網(wǎng)絡(luò)區(qū)域盡量增加防火墻設(shè)備進(jìn)行隔離�。如在校園內(nèi)網(wǎng)、服務(wù)器區(qū)域之間設(shè)置防火墻��;校園網(wǎng)出口處、與Intemet之間設(shè)置防火墻�����。
(3)在交換機(jī)上啟用DHCP-Snooping技術(shù)�����,使任何接入校園網(wǎng)的計(jì)算機(jī)只能動(dòng)態(tài)獲得IP地址�����,同時(shí)杜絕未經(jīng)批準(zhǔn)建立的網(wǎng)站通過(guò)私自手工設(shè)置靜態(tài)IP地址來(lái)架設(shè)服務(wù)器。
(4)使用IDS(入侵檢測(cè)系統(tǒng))。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)��,目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段�����,如記錄證據(jù)用于跟蹤和恢復(fù)��、斷開(kāi)網(wǎng)絡(luò)連接等���。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊,其次它能夠阻止攻擊者的入侵。當(dāng)檢測(cè)到有網(wǎng)絡(luò)攻擊或入侵時(shí)�����,可以實(shí)時(shí)發(fā)出報(bào)警��,并詳細(xì)保存相關(guān)證據(jù),以便用于追查或系統(tǒng)恢復(fù)���。
(5)對(duì)網(wǎng)絡(luò)安全進(jìn)行定期檢測(cè)�����,以實(shí)現(xiàn)安全的持續(xù)性���?���?梢岳寐┒磼呙桀惖墓ぞ哕浖ㄆ趯?duì)系統(tǒng)進(jìn)行掃描,根據(jù)掃描結(jié)果進(jìn)行安全性評(píng)估,通過(guò)評(píng)估報(bào)告指出系統(tǒng)存在的安全漏洞���,組織專家討論后給出補(bǔ)救措施和安全策略��。
(6)建立網(wǎng)絡(luò)防病毒系統(tǒng)����。在校園網(wǎng)中部署網(wǎng)絡(luò)版的防病毒系統(tǒng)����,統(tǒng)一管理服務(wù)器和各類網(wǎng)絡(luò)終端的防毒軟件,定時(shí)自動(dòng)升級(jí)與維護(hù)�����,以保護(hù)全網(wǎng)不被病毒侵害��。通過(guò)對(duì)網(wǎng)絡(luò)中的病毒掃描集中控制�,建立各種定時(shí)任務(wù),統(tǒng)一集中觸發(fā)�����,然后由各被管理機(jī)器運(yùn)行����,同時(shí)可對(duì)日志文件的各種格式進(jìn)行控制。在管理服務(wù)器上建立了集中的病毒分發(fā)報(bào)告��、各被管機(jī)器的病毒掃描報(bào)告��、所安裝軟件的版本等報(bào)告,所有病毒掃描狀態(tài)信息都可由控制臺(tái)得到�。
3 系統(tǒng)安全(System Security)
系統(tǒng)安全即運(yùn)行在網(wǎng)絡(luò)上的服務(wù)器�、交換機(jī)��、路由器����、客戶端主機(jī)等具有完整網(wǎng)絡(luò)操作系統(tǒng)的設(shè)備的操作系統(tǒng)的安全�。這一層次的安全威脅主要來(lái)自因操作系統(tǒng)本身的設(shè)計(jì)缺陷被攻擊者利用從而引發(fā)的后果�����。對(duì)于高校校園網(wǎng)絡(luò)而言�,半數(shù)以上的攻擊往往屬于這一層次����。這一層次的主要應(yīng)對(duì)措施主要有:
(1)更新操作系統(tǒng)����、安裝補(bǔ)丁程序�。任何操作系統(tǒng)都有漏洞���,因此����,系統(tǒng)管理員的主要工作內(nèi)容之一就是監(jiān)控運(yùn)行在網(wǎng)絡(luò)上的各類設(shè)備的狀態(tài)�,發(fā)現(xiàn)異常應(yīng)當(dāng)及時(shí)解決���、排除故障���。對(duì)于交換機(jī)、路由器等設(shè)備而言,主要是更新操作系統(tǒng)的版本�����,這一類設(shè)備主要用于數(shù)據(jù)交換,因此其內(nèi)置固化的操作系統(tǒng)往往功能簡(jiǎn)單����、體積很小,廠商的常規(guī)做法是新版本的系統(tǒng)��,因此只需直接刷新即可�����。對(duì)于服務(wù)器��、客戶端主機(jī)等設(shè)備�,因其主要是用于數(shù)據(jù)處理�,操作系統(tǒng)功能復(fù)雜����、體積龐大�,廠商通常是一些補(bǔ)丁程序來(lái)進(jìn)行更新,因此直接安裝即可。
(2)優(yōu)化系統(tǒng)?,F(xiàn)代操作系統(tǒng)往往是多功能����、多模塊��、多組件的����,可能一項(xiàng)系統(tǒng)設(shè)置可能會(huì)影響多個(gè)功能,也可能多個(gè)選項(xiàng)來(lái)共同作用于一個(gè)功能�。因此�,對(duì)操作系統(tǒng)進(jìn)行優(yōu)化是一項(xiàng)非常必要的工作�����,甚至個(gè)別系統(tǒng)的個(gè)別選項(xiàng)如果不加以優(yōu)化可能會(huì)被攻擊者利用��,從而產(chǎn)生威脅�。實(shí)際當(dāng)中包括關(guān)閉不需要的服務(wù)和端口并建立監(jiān)測(cè)日志等�����。
(3)實(shí)行“最小授權(quán)”原則��,分配正確和合適的權(quán)限��。僅僅保持系統(tǒng)的版本最新�、并做了優(yōu)化是不夠的����,試想如果網(wǎng)絡(luò)上的設(shè)備被設(shè)置了“123456”這樣的密碼���,而且使用這個(gè)密碼登錄后還是最高權(quán)限的系統(tǒng)用戶帳號(hào)�����,那么整套網(wǎng)絡(luò)和信息系統(tǒng)的危險(xiǎn)可想而知�����。實(shí)行“最小授權(quán)”原則(網(wǎng)絡(luò)中的帳號(hào)設(shè)置�、服務(wù)配置����、主機(jī)間信任關(guān)系配置等為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度)�,關(guān)閉網(wǎng)絡(luò)安全策略中沒(méi)有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度��、及時(shí)刪除不必要的帳號(hào)等措施可以將系統(tǒng)的危險(xiǎn)大大降低����。例如��,根據(jù)需要設(shè)置帳號(hào)和權(quán)限��,并為帳號(hào)設(shè)置強(qiáng)密碼策略是必須完成的工作,如至少應(yīng)該在8位以上�����,而且不要設(shè)置成容易猜測(cè)的密碼����,并強(qiáng)制用戶每個(gè)月更改一次密碼等等�。
(4)及時(shí)查殺服務(wù)器系統(tǒng)中的病毒���、木馬和后門程序�����。
4 應(yīng)用安全(Application Security)
應(yīng)用安全主要是針對(duì)網(wǎng)絡(luò)中提供的各種功能和服務(wù)而提出的����,例如Web服務(wù):E-Mail服務(wù)�����、數(shù)據(jù)庫(kù)服務(wù)���、各種業(yè)務(wù)系統(tǒng)、各種信息系統(tǒng)等等。應(yīng)用安全的威脅主要有:應(yīng)用系統(tǒng)缺陷�、非法入侵等���。這一層次的主要應(yīng)對(duì)措施有:
(1)及時(shí)升級(jí)和更新各應(yīng)用軟件和信息系統(tǒng)�����,降低因軟件設(shè)計(jì)缺陷引起的風(fēng)險(xiǎn)�。若應(yīng)用軟件或業(yè)務(wù)系統(tǒng)是高校自行開(kāi)發(fā)��,系統(tǒng)的使用部門(往往是業(yè)務(wù)部門)應(yīng)聯(lián)系開(kāi)發(fā)人員及時(shí)跟進(jìn)����,發(fā)現(xiàn)漏洞及時(shí)修補(bǔ)����。
(2)對(duì)應(yīng)用軟件和信息系統(tǒng)實(shí)行身份認(rèn)證和安全審計(jì)����。
與系統(tǒng)安全類似����,應(yīng)用軟件和信息系統(tǒng)也應(yīng)對(duì)使用者進(jìn)行分類�、分配權(quán)限�����、認(rèn)證身份并審計(jì)各種操作。例如可以按照需要在高校校園網(wǎng)內(nèi)部建立基于PKI的身份認(rèn)證體系(有條件還可以建立基于PMI的授權(quán)管理體系)�,實(shí)現(xiàn)增強(qiáng)型身份認(rèn)證�����,并為實(shí)現(xiàn)內(nèi)容完整性和不可抵賴性提供支持�����。在身份認(rèn)證機(jī)制上還可以考慮采用IC卡�、USB-Key��、一次性口令�����、指紋識(shí)別器��、虹膜識(shí)別器等輔助硬件實(shí)現(xiàn)雙因子或多因子的身份認(rèn)證功能。同時(shí)�����,還應(yīng)特別注意對(duì)移動(dòng)用戶撥入的身份認(rèn)證和授權(quán)訪問(wèn)控制。
5 信息安全(Information Security)
信息安全注重的是網(wǎng)絡(luò)上各類數(shù)據(jù)、信息的內(nèi)容安全���。這一層次可能的威脅和相應(yīng)的應(yīng)對(duì)措施有:
(1)植入惡意代碼或其他有害信息��。一部分攻擊者經(jīng)常采用的攻擊方法是掃描網(wǎng)段找到有漏洞的主機(jī)��,接著使用黑客軟件或攻擊程序進(jìn)行刺探���,在獲得系統(tǒng)權(quán)限后將惡意代碼植入到在該主機(jī)上運(yùn)行的各應(yīng)用軟件或信息系統(tǒng)中,待其他用戶正常使用時(shí)發(fā)作,或修改頁(yè)面的內(nèi)容造成不良影響�����。針對(duì)這種情況�,可以部署網(wǎng)頁(yè)防篡改系統(tǒng),減少Web站點(diǎn)的內(nèi)容被惡意更改植入惡意代碼或其他有害信息����。
(2)垃圾郵件和病毒的傳播�����。目前,電子郵件已經(jīng)成為垃圾信息和病毒的主要傳播途徑之一�,采用垃圾郵件網(wǎng)關(guān)并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點(diǎn)是垃圾郵件識(shí)別模塊和反病毒模塊需要經(jīng)常性升級(jí)���,在查殺和攔截上有一定的滯后性。
(3)負(fù)面輿論導(dǎo)向����。高校歷來(lái)是思想碰撞的場(chǎng)所��,網(wǎng)絡(luò)作為新興載體己經(jīng)發(fā)揮著越來(lái)越大的作用�,因此��,輿情監(jiān)督和正面輿論導(dǎo)向?qū)⒅饾u成為高校信息安全的重點(diǎn)工作內(nèi)容�。除了采取技術(shù)手段進(jìn)行監(jiān)督管理外,高校的信息化管理部門還應(yīng)與宣傳部門一道培養(yǎng)輿論導(dǎo)向的專業(yè)人員或?qū)W生,主動(dòng)將信息安全的風(fēng)險(xiǎn)降到最低����。
6 管理安全(Administration Security)
目前�����,部分高校的網(wǎng)絡(luò)管理人員及其用戶的安全意識(shí)總的來(lái)說(shuō)較為淡薄�����,且大多數(shù)高校的網(wǎng)絡(luò)管理制度不完善、管理技術(shù)落后���、管理機(jī)構(gòu)不健全����。上述因素不僅使得校園網(wǎng)絡(luò)性能下降��、運(yùn)行成本提高����,而且還會(huì)造成大量非正常訪問(wèn)�,導(dǎo)致整個(gè)網(wǎng)絡(luò)資源浪費(fèi)�����,帶來(lái)極大的安全隱患�,使得網(wǎng)絡(luò)受到攻擊的概率大幅提高�。
管理安全是整個(gè)防范體系的主線和基礎(chǔ)��,貫穿于整個(gè)體系的始終�����。如果僅有安全技術(shù)方面的防范�����,而無(wú)配套的安全管理體系,也難以保障網(wǎng)絡(luò)安全的�����。必須制訂相應(yīng)的安全管理制度��,對(duì)安全技術(shù)的實(shí)施落實(shí)到具體的執(zhí)行者和執(zhí)行程度����。
網(wǎng)絡(luò)安全工作可以說(shuō)是一項(xiàng)群體性的工作���,網(wǎng)絡(luò)用戶的安全意識(shí)是網(wǎng)絡(luò)安全的決定因素����,對(duì)校園網(wǎng)絡(luò)用戶安全意識(shí)的教育是安全防范體系中至關(guān)重要的環(huán)節(jié)�,是形成高校校園網(wǎng)絡(luò)安全體系的基礎(chǔ)�����。尤其是在病毒泛濫的大環(huán)境下�����,需要通過(guò)定期培訓(xùn)、及時(shí)通過(guò)各種手段病毒預(yù)警通知��、監(jiān)督和促使用戶盡快打補(bǔ)丁等方法��,達(dá)到增強(qiáng)師生用戶的安全意識(shí)�,提高必要的安全防范技能的目的。
以上便是我們提出的網(wǎng)絡(luò)安全防護(hù)體系的六個(gè)層次�,除管理安全層次外�,其余五層與TCP/IP協(xié)議的層次類似��,上一層的安全是建立在其下一層的安全基礎(chǔ)之上��,下一層的安全是上一層安全的重要保障�����,層次之間環(huán)環(huán)相扣�����,不留安全死角��。
本體系中的六個(gè)層次也基本涵蓋了高校網(wǎng)絡(luò)管理工作的方方面面,將網(wǎng)絡(luò)安全工作的思路分層次清晰化����,具有極強(qiáng)的實(shí)用價(jià)值和指導(dǎo)作用�����。
三 應(yīng)用效果
重慶理工大學(xué)從2001年開(kāi)始大規(guī)模建設(shè)校園網(wǎng)絡(luò)���,2003年開(kāi)始建設(shè)數(shù)字化校園系統(tǒng)��。校園網(wǎng)按照核心層���、匯聚層和接入層三個(gè)層次進(jìn)行規(guī)劃設(shè)計(jì),共有各類網(wǎng)絡(luò)設(shè)備600多臺(tái)���,接入信息點(diǎn)18000個(gè)�����,活躍用戶大約2萬(wàn)人����,各類服務(wù)器40多臺(tái)����,安裝有Windows��、Linux和Solaris等操作系統(tǒng)��,數(shù)據(jù)庫(kù)以O(shè)racle和SQL Server為主。數(shù)字化校園系統(tǒng)覆蓋辦公�、教務(wù)、學(xué)工����、人事��、財(cái)務(wù)����、后勤等各個(gè)方面的工作,共計(jì)有各類系統(tǒng)模塊80余個(gè)���。在大規(guī)模的硬件和軟件系統(tǒng)建設(shè)前期,缺乏對(duì)網(wǎng)絡(luò)安全的系統(tǒng)認(rèn)識(shí),在遭遇網(wǎng)絡(luò)安全事故時(shí)����,常常只能采取臨時(shí)性的應(yīng)對(duì)措施。隨著網(wǎng)絡(luò)和系統(tǒng)規(guī)模的不斷擴(kuò)大��,網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要根源�,網(wǎng)絡(luò)信息中心的員工幾乎天天都在疲于應(yīng)對(duì)各類突發(fā)性的網(wǎng)絡(luò)安全事件���。
學(xué)校從2008年開(kāi)始總結(jié)網(wǎng)絡(luò)安全工作的經(jīng)驗(yàn)與教訓(xùn)��,運(yùn)用系統(tǒng)工程的分析方法,從整體和系統(tǒng)的角度提出網(wǎng)絡(luò)安全防范方案�,形成了“IAAPNS”網(wǎng)絡(luò)安全防范體系����,并應(yīng)用到校園網(wǎng)的建設(shè)與維護(hù)工作中���,經(jīng)過(guò)三年多的運(yùn)行�,學(xué)校校園網(wǎng)絡(luò)安全工作進(jìn)得了明顯的成績(jī)(如圖2所示):
對(duì)網(wǎng)絡(luò)設(shè)備攻擊(包括病毒)而導(dǎo)致網(wǎng)絡(luò)故障的次數(shù)由2008年的334次降到2010年的65次��,2011年上半年為19次;利用操作系統(tǒng)漏洞(包括Web服務(wù)器漏洞)攻擊成功次數(shù)由2008年的46次降到2010年的6次�,2011年上半年為2次;利用應(yīng)用軟件的安全漏洞攻擊成功次數(shù)由2008年的125次降到2010年的43次,2011年上半年為15次���。
隨著網(wǎng)絡(luò)安全防范工作的加強(qiáng)�����,網(wǎng)絡(luò)服務(wù)質(zhì)量明顯提升����,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%����,2011年上半年為78%���。
第9篇
論文摘要:隨著高校信息化建設(shè)水平的不斷提高��,無(wú)線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分����。該文對(duì)校園無(wú)線網(wǎng)接入進(jìn)行研究�����,并對(duì)校園無(wú)線網(wǎng)絡(luò)的安全進(jìn)行了分析�,最后給出了一種適合校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全解決方案。
1引言
在過(guò)去的很多年����,計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜��,構(gòu)成有線局域網(wǎng)���。但有線網(wǎng)絡(luò)在實(shí)施過(guò)程中工程量大����,破壞性強(qiáng)��,網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)�。為了解決這些問(wèn)題����,無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展����,逐漸得到的普及和發(fā)展����。
在校園內(nèi)�����,教師與學(xué)生的流動(dòng)性很強(qiáng)��,很容易在一些地方人員聚集���,形成“公共場(chǎng)所”�����。而且隨著筆記本電腦的普及和Intemet接入需求的增長(zhǎng)����,無(wú)論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性�,使有線網(wǎng)絡(luò)無(wú)法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求,造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸�����。
將無(wú)線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)��,在某些場(chǎng)所�����,如網(wǎng)絡(luò)教室�,會(huì)議室,報(bào)告廳��、圖書館等區(qū)域��,可以率先覆蓋無(wú)線網(wǎng)絡(luò)��,讓用戶能真正做到無(wú)線漫游����,給工作和生活帶來(lái)巨大的便利����。隨后�,慢慢把無(wú)線的覆蓋范圍擴(kuò)大,最后做到全校無(wú)線的覆蓋����。
2校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀
在無(wú)線網(wǎng)絡(luò)技術(shù)成熟的今天����,無(wú)線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求�����,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性�����,它已經(jīng)逐漸成為一種潮流����,成為眾多校園網(wǎng)解決方案的重要選擇之一�����。隨著校園網(wǎng)無(wú)線網(wǎng)絡(luò)的建成�����,在學(xué)校的教室����、辦公室����、會(huì)議室�、甚至是校園草坪上,都有不少的教師和學(xué)生手持筆記本電腦通過(guò)無(wú)線上網(wǎng)����,這都源于無(wú)線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍,使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能�����。但在使用無(wú)線網(wǎng)絡(luò)的同時(shí)�,無(wú)線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)��。目前無(wú)線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種:①基于MAC地址的認(rèn)證����。基于MAC地址的認(rèn)證就是MAC地址過(guò)濾����,每一個(gè)無(wú)線接入點(diǎn)可以使用MAC地址列表來(lái)限制網(wǎng)絡(luò)中的用戶訪問(wèn)����。實(shí)施MAC地址訪問(wèn)控制后,如果MAC列表中包含某個(gè)用戶的MAC地址���,則這個(gè)用戶可以訪問(wèn)網(wǎng)絡(luò)����,否則如果列表中不包含某個(gè)用戶的MAC地址�����,則該用戶不能訪問(wèn)網(wǎng)絡(luò)�。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無(wú)線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法����。如果用戶有正確的共享密鑰,那么就授予該用戶對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)權(quán)。③802.1x認(rèn)證�����。802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議���,它是個(gè)二層協(xié)議�,需要通過(guò)802.1x客戶端軟件發(fā)起請(qǐng)求,通過(guò)認(rèn)證后打開(kāi)邏輯端口�,然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)�。
可以說(shuō),校園網(wǎng)的不少無(wú)線接入點(diǎn)都沒(méi)有很好地考慮無(wú)線接入的安全問(wèn)題,就連最基本的安全����,如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒(méi)有設(shè)置,更不用說(shuō)像802.1x這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了�。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)�����,會(huì)搜索到很多無(wú)線接入點(diǎn)�����,這些接入點(diǎn)幾乎沒(méi)有任何的安全防范措施����,可以非常方便地接入����。試想,如果讓不明身份的人進(jìn)入無(wú)線網(wǎng)絡(luò)��,進(jìn)而進(jìn)入校園網(wǎng)����,就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅��。
3校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全解決方案
校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)建成后��,怎樣才能有效地保障無(wú)線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問(wèn)題����,一是數(shù)據(jù)管理的問(wèn)題,要維護(hù)MAC數(shù)據(jù)庫(kù)��,二是MAC可嗅探����,也可修改�����;如果采用共享密鑰認(rèn)證���,攻擊者可以輕易地搞到共享認(rèn)證密鑰�;802.1x定義了三種身份:申請(qǐng)者(用戶無(wú)線終端)��、認(rèn)證者(AP)和認(rèn)證服務(wù)器�。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間����,認(rèn)證者只起到了橋接的作用����。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份�����,然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證����,認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者�����。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信�����。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善�����,IEEE802.11i和WAPI都參考了802.1x的機(jī)制�。802.1x選用EAP來(lái)提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)�。最常用的EAP認(rèn)證方法有EAP-MD5、EAP-TLS和PEAP等��。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持��。在大多數(shù)情況下����,選擇無(wú)線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證,或基于證書驗(yàn)證�����。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS��;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)�����,該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中�����,也稱作PEAP-EAP-MSCHAPv2���。
考慮到校園群體的特殊性����,為了保障校園無(wú)線網(wǎng)絡(luò)的安全,可對(duì)不同的群體采取不同的認(rèn)證方法��。在校園網(wǎng)內(nèi)���,主要分成兩類不同的用戶���,一類是校內(nèi)用戶,一類是來(lái)訪用戶���。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要�����,他們要求能夠隨時(shí)接入無(wú)線網(wǎng)絡(luò)����,訪問(wèn)校園網(wǎng)內(nèi)資源以及訪問(wèn)Internet�����。這些用戶的數(shù)據(jù),如工資���、科研成果���、研究資料和論文等的安全性要求比較高����。對(duì)于此類用戶,可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證����。來(lái)訪用戶主要是來(lái)校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶����。這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高�����,對(duì)他們來(lái)說(shuō)最重要的就是能夠非常方便而且快速地接入Intemet����,以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類用戶�,可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無(wú)線網(wǎng)絡(luò)�����。
如圖所示,開(kāi)機(jī)后��,來(lái)訪用戶先通過(guò)DHCP服務(wù)器獲得IP地址�。當(dāng)來(lái)訪用戶打開(kāi)瀏覽器訪問(wèn)Intemet網(wǎng)站時(shí),強(qiáng)制Porta控制單元首先將用戶訪問(wèn)的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站�����,用戶只能訪問(wèn)該網(wǎng)站中提供的服務(wù)���,無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部的其他受限資源�,比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書館期刊全文數(shù)據(jù)庫(kù)等��。如果要訪問(wèn)校園網(wǎng)以外的資源��,必須通過(guò)強(qiáng)制Portal認(rèn)證.認(rèn)證通過(guò)就可以訪問(wèn)Intemet。對(duì)于校內(nèi)用戶��,先由無(wú)線用戶終端發(fā)起認(rèn)證請(qǐng)求�,沒(méi)通過(guò)認(rèn)證之前,不能訪問(wèn)任何地方��,并且不能獲得IP地址����?���?赏ㄟ^(guò)數(shù)字證書(需要設(shè)立證書服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證,既可以防止非法用戶使用網(wǎng)絡(luò)���,也可以防止用戶連入非法AP�����。雙向認(rèn)證通過(guò)后���,無(wú)線用戶終端從DHCP服務(wù)器獲得IP地址����。無(wú)線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰�,運(yùn)用所協(xié)商的加密算法進(jìn)行通信,并且可以重新生成新的密鑰���,這樣就很好地保證了數(shù)據(jù)的安全傳輸�����。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全��,具有一定的現(xiàn)實(shí)意義�。來(lái)訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高����。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)�����。采用此種方式�,對(duì)來(lái)訪用戶來(lái)說(shuō)簡(jiǎn)單��、方便��、快速����,但安全性比較差��。雖然用戶名和密碼可以通過(guò)SSL加密,但傳輸?shù)臄?shù)據(jù)沒(méi)有任何加密��,任何人都可以監(jiān)聽(tīng)���。當(dāng)然�,必須通過(guò)相應(yīng)的權(quán)限來(lái)限制和隔離此類用戶,確保來(lái)訪用戶無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部資料�,從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全�����,安全性要求比較高��。802.1x認(rèn)證方式安裝設(shè)置比較麻煩��,設(shè)置步驟也比較多����,且要有專門的802.1x客戶端��,但擁有極好的安全性�����,因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)證方式�����,以保障傳輸數(shù)據(jù)的安全�����。
4結(jié)束語(yǔ)
校園網(wǎng)各區(qū)域分別覆蓋無(wú)線局域網(wǎng)絡(luò)以后��,用戶只需簡(jiǎn)單的設(shè)置就可以連接到校園網(wǎng)�����,從而實(shí)現(xiàn)上網(wǎng)功能��。特別是隨著迅馳技術(shù)的發(fā)展��,將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)的建設(shè)?,F(xiàn)在��,不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無(wú)線覆蓋��。但在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí)��,由于對(duì)無(wú)線網(wǎng)絡(luò)的安全不夠重視����,對(duì)校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全考慮不夠。在這點(diǎn)上��,學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭���,做好無(wú)線網(wǎng)絡(luò)的安全管理工作��,并完成全校無(wú)線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證���,做到無(wú)線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無(wú)縫對(duì)接���,確保無(wú)線網(wǎng)絡(luò)的高安全性���。
參考文獻(xiàn):
