發布時間:2023-10-11 16:23:20
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的校園網絡安全及防范措施樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
【關鍵詞】校園網絡 安全管理 黑客入侵與防范
一、闡述黑客起源
黑客在早期所體現出的褒義詞,所指的是針對計算機程序擁有較大潛力的電腦研究人員。黑客所體現出的含義主要是因為不夠健全的計算技術,在一定層面上進行分析,計算機安全維護方面是需要黑客去建立的。
可是,在現如今,黑客所指的卻是貶義詞,是通過計算機開展入侵或者破壞的專用名詞,對于破壞計算機程序的應稱之為駭客,可是因為駭客的產生,將黑客這一名詞在極大程度上玷污,所以現代人將駭客和黑客混合成一個整體,越來越多的人將黑客定義為破壞網絡運行的人[1]。
二、在校園網絡中入侵的黑客群體與目的分析
(一)入侵校園網絡中的黑客群體
校園網和企業網絡有著一定的不同之處,校園網是經營性質巨大的網絡,存儲在校園網中的數據不會產生較大的利益度,入侵到校園網中,不能夠像入侵到金融網絡后可以獲取商業秘密。在校園的網絡當中主要運行的數據都是教師辦公,或者學生私人的數據等,因此在校園網中入侵的群體基本上是年輕人居多[2]。
(二)入侵校園網絡中的目的分析
1.想要顯示自身的知名度,錄用入侵他人計算機或者學校內部系統,凸顯自身的能力。這一系列的人員對于他人的數據或者資料不會盜用,可是會將自己入侵的憑證留下,又或者以留言的方式,讓他人注意到自己。
2.對學校數據庫進行入侵,以達成刪除或者修改學習成績或者個人資料的目的。
3.校園網中所具備的防范意識以及安全性方面較弱,和大型的金融企業是不能夠比擬的,因此可以當做初次涉及黑客的人群,一個實驗的起步平臺。
4.黑客入侵人員,往往是校園網絡中的內部用戶,對于校園內部感興趣的人員窺探其隱私,對其私人的計算機用非正常的手段攻入。
三、黑客入侵校園網的手段和防范措施
(一)惡意代碼的入侵
在網絡中搜尋想要得知的信息時,不可避免地會誤入到某些不夠正規意義下的網站,對于瀏覽人員的注冊表會隨意的更改,也就是對于IE的默認主頁直接意義的修改,對注冊表進行鎖定,還可能對鼠標的右鍵菜單等要素進行修改。在一定程度上,大規模的惡意代碼基本上都是利用對注冊表的修改而將目的達成。具體的防范措施就是,把注冊表作為重點,有針對性的安裝監控功能極佳的防護性軟件,將備份注冊表的工作做好。對于不健康的網站不去訪問,也不能夠盲目的對未知情況下的軟件進行下載[3]。
(二)網絡嗅探的程序
所謂的網絡嗅探具體所指的就是,利用經常用到的網絡數據包收集的方式,所表現出的基本原理,主要是對利用網卡形式的數據包,開展完善的解碼和捕獲,要將鏈路層協議作為起始端,充分的開展分析解碼的流程,持續到應用層方面的協議時停止,到最后所取得的數據包內部,一般會擁有想要使用的信息,例如:口令或者賬號等。最正確的防范措施,需要通過對混雜模式網卡的檢測工具,對嗅探器進行細致檢測,例如:AntiSniff就是對嗅探器的檢測工具。能夠保證網絡擁有嗅探器需要滿足兩個層面:
1.反常的網絡寬帶。利用相應的寬帶控制器,能夠在一定程度上隨時的查出當下分布網絡寬帶的狀況,若機器被占用的寬帶時間較長,就說明此機器監聽的可能性極大,其中也能夠通過網絡通訊速度的更改來斷定被監聽的可能性。
2.較高的網絡通訊丟包率。利用網管的軟件,能夠對傳送信息報的狀況清晰看到,ping是較為簡單的命令。能夠告知丟失了多少成分的包。若是正常意義下的網絡結構,然而丟失了40%左右的數據包,導致數據包不能夠正常的發送的制定位置。在這樣的情況下,就說明他人的監聽正在進行,主要是因為嗅探器對數據包的攔截所造成的。
(三)IIS漏洞的入侵
因為現階段逐漸的普及了寬帶的應用,為計算機安裝IIS較為便利。可是,IIS所存在的不同程度漏洞會影響計算機的運作。想要對計算機進行遠程的攻擊,只需要對IIS中的webdavx3漏洞程序以及對telnet命令充分應用,就能夠以遠程的形式攻擊擁有IIS的計算機。具體的防范措施就是,對微軟官方的站點嚴格重視,在第一時間對IIS漏洞補丁正確安裝。
(四)木馬的入侵
所謂木馬,就是特洛伊木馬的簡稱,該詞語是在古希臘神話中起源到現在,計算機范疇當中是服務器的相關程序,黑客時常會用到木馬的入侵程序,此程序能夠以遠程的方式控制他人計算機。若客戶機對服務器要求連接,服務器中的程序就會開展相應的運行。具體的防范措施就是,首先將防范的意識提升,對于他人發送的軟件不能夠盲目的運作。此外,還需要對木馬查殺軟件及時的安裝,將木馬的特征庫有效的更新。
(五)對用戶的欺騙
供給人員經常會通過欺詐性的手段,利用電子郵件開展財務數據的詐騙,例如:口令、賬戶名等信息。詐騙人員經常會以信用卡公司或者知名銀行的頭銜,對“上鉤”的用戶進行信息詐騙。具體的防范措施就是,不能夠對網絡上所突然彈出的對話框輕易相信,例如:在交易的過程中,一定要核實明確該網站的信譽度,不能夠將中獎信息當做自身的運氣,一定要以謹慎的態度面對網絡上的全部信息。
根據以上的論述,對于校園中網絡安全工作的保證就是將網絡安全管理團隊建立健全。同時要做到不制造非法的入侵途徑,在信息垃圾方面也需要極力遏制,對校園網絡秩序的維護需要自覺遵守,積極的將優質的網絡安全運行環境營造出來,以此來實現校園網在服務、教學以及科研方面的積極作用。
參考文獻:
[1]孔凡士.高校校園網絡安全管理策略[J].信陽師范學院學報:哲學社會科學版,2013,12(09):123-124.
關鍵詞:高效校園網絡 安全問題 對策與防范
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2015)11-0000-00
目前,高校校園網隨著計算機技術的不斷發展,也在不斷的進行更新或重建,成為了當代高效教學、科研及管理一體化運行的基礎設施之一。同時,高校校園網絡隨著用戶及網絡數據的大量增加,多種多樣的安全問題也逐漸凸顯,如何建立一個穩定安全的校園網絡體系,使校園網免受病毒、黑客及其它不良企圖的侵襲成為了各高校高度重視的問題,所以,本文就高校校園網的安全問題以及安全防范措施進行了探討分析。
1高校校園網網絡安全現狀與問題
1.1高校校園網網絡特點
高校校園網的特點主要表現在用戶群體和管理建設兩個方面。一方面,高校校園網的使用人群是以學生為主,學生不僅數量較多,而且具有較高的計算機水平,是比較活躍的集中型用戶,此外,學生使用校園網絡時沒有足夠的網絡安全及版權意識,校園網絡平臺更像是學生練習網絡技術的練兵場,且受資金和版權等因素的影響,也導致學生使用的網絡資源以盜版為主,給校園網帶來了極大的安全隱患;另一方面,校園網的建設所需經費較多,且大部分經費被用于網絡擴建,從而導致網絡安全管理及維護方面缺少資金,而且大容量、高帶寬的校園網在帶來便捷的同時,也使安全管理增加了難度。
1.2高校校園網網絡安全問題分析
高校校園網絡的安全問題主要集中在安全漏洞、病毒攻擊、網絡資源濫用、不良信息傳播等幾個方面。操作系統或應用軟件的安全漏洞的存在,容易給黑客或病毒入侵的機會,經常會導致較為嚴重的網絡問題;而一旦網絡被病毒攻擊,由于病毒具有發病和傳播速度都較快的特性,經常會造成病毒泛濫,不僅會威脅用戶計算機安全運行,還會導致網絡資源浪費及堵塞,因此,及時安裝好和更新殺毒軟件和病毒庫是非常必要的;校園網由于其獨特的用戶群體和管理特點,存在著較為嚴重的網絡資源濫用現象,表現為私設服務器、非法下載或上傳、流量長期大量使用等;同樣,高效校園網絡中也有許多的不良信息,對于數量巨大的學生使用群體影響嚴重,直接影響著大學生的世界觀和人生觀,因此,高效校園網安全建設必須對網絡信息加以過濾處理,以確保校園網絡對高校學生的積極影響。
2高校校園網網絡安全對策與防范
2.1物理安全策略
物理安全防護是保證計算機系統安全運行的基本措施,主要是通過輻射電磁防護、屏幕口令、應急恢復、狀態檢測等手段對計算機網絡的環境、設備及設施、介質等的安全進行一定的防范,防止地震、火災等自然災害或一些人為操作錯誤導致計算機網絡系統被破壞,一般在進行高校校園網絡建設時,依照相關文件資料采取相應的安全防護措施即可。
2.2訪問控制策略
訪問控制是高校校園網拒絕網絡資源非法使用和不正常訪問的主要措施,主要包括網絡權限控制、文件屬性安全控制、網絡端口、節點安全控制、網絡信息過濾等方面,是確保網絡用戶安全使用網絡的有效措施,例如校園網通過控制VPN用戶的訪問權限級別,以虛擬加密IP通道實現私有包或網絡協議包等在網絡上的傳輸,可以使用戶獲得相應的網絡資源的同時,最大限度的控制網絡安全問題,防止網絡防火墻防護不當問題發生。
2.3防火墻部署
防火墻是一種校園網中常用的網絡安全屏障,在被保護的內網連接網點上作為內外網之間的過濾檢測系統將內外網進行隔離,從而使來自于internet的信息和內部網絡的傳輸信息都要通過防火墻的過濾服務,進而降低網絡信息的不安全風險,在此過程中我們通過應用協議控制和相應的跟蹤、日志來確保內網環境的安全,防止信息外泄。例如以局域網入口防火墻來實現VPN功能,防火墻IP地址和MAC地址對應表防盜,防火墻日志定期查看等。
2.4架設入侵監測系統
入侵監測系統可以在不影響網絡運行性能的條件下,對網絡進行內部和外部的實時動態監視和保護,并及時記錄或禁止一些非正規網絡活動,防止網絡內外或誤操作攻擊和非法入侵,同時產生相應的報警信息,是一種積極主動的檢測未經授權用戶訪問網絡的網絡安全防護工具,在一定程度上與防火墻互相補充,作為第二道安全閥門,有效的防止了來自于網絡內外的攻擊,確保了高校校園網絡產品的安全。
2.5部署網絡防病毒系統
目前,病毒的傳播已經成為了一種廣泛的以互聯網為媒介的傳播方式多樣的網絡安全問題,現今病毒可以通過電子郵件或文件等渠道進行傳播,且攻擊手段也是包含了黑客、木馬等多種形式,一旦有計算機中毒,則病毒迅速傳播導致整個網絡癱瘓,造成非常惡劣的影響,尤其是校園網中計算機數量較大,其危害更是不可估量,所以,在校園網中建立網絡病毒控制、查殺服務器系統,實現全網多功能病毒防范是及其必要的。
2.5通過各種宣傳渠道提高大學生網絡安全意識
學生是校園網的用戶主體,所以,提高大學生的網絡安全意識是使校園網絡避免各種安全隱患問題威脅的重要手段,通過加強對大學生的網絡安全教育培訓或其它網絡安全宣傳渠道可以使同學們全面意識到網絡安全問題的危害,提升學生網絡使用安全技能,減少網絡事故的發生頻率,并學會處理一些簡單的網絡安全問題。
3結語
總而言之,高校校園網的安全防范問題是一項長期的復雜工程,為了避免各種網絡安全事故,各高校必須在校園網的安全管理問題上投入更多的精力,仔細分析可能出現網絡安全問題,并積極采取相應的安全防護措施。
參考文獻
[1]陸凱,張坤麗.高校校園網網絡安全問題的分析及對策[J].開封大學學報.
關鍵詞:學校;信息安全;網絡防范;保障措施
一、學校信息安全網絡防范的內涵及特征
1.校園網絡安全的基本內涵。校園網絡安全指的是在學校范圍內對已經接入互聯網的軟件、硬件、操作系統和相關數據庫實施的技術保護,從而保證它們不會被惡意攻擊或破壞。校園網絡由系統管理平臺、教學資源系統、學校管理系統、學生使用系統等部分組成。高中校園網絡主要用于教學信息,宣傳各種教研活動,以及對學生檔案、資料等進行管理。高中應當采用有效的技術手段促進校園網絡的正常有效運行。2.校園網絡安全的基本特點。高中校園網主要以局域網和網站的形式存在,具有安全風險日益提高,抗風險能力弱,損失無法彌補等特點。高中校園網絡的信息安全主要維護系統平臺的安全,信息傳輸過程的安全,信息內容的安全和對訪問權限進行設置。主要工作任務在于防止校園網系統出現崩潰或損壞等現象,設置好對不同權限用戶的訪問限制,有效對學生個人數據信息進行加密,切實保證信息的真實、有效、完整。由于高中校園網日漸龐大,傳輸量日漸增多,不僅要求高中校園網絡有較好的硬件設備,還要能根據學生的使用需求,為學生提供個性化的服務,一旦校園網絡安全出現問題,不僅影響正常教學活動的開展,而且很可能使學生個人的學籍檔案、一卡通財務數據、招生報考信息等重要資料丟失,造成難以想象的嚴重后果。
二、學校信息安全網絡防范的現狀及問題
1.高中互聯網的建設漏洞。計算機接入互聯網的目的是為實現信息資源的共享。在資源共享的過程中,給高中校園網極大增加了不安全因素。為了有效的控制學生對互聯網的使用,使高中互聯網資源更有利的向教學方向傾斜,高中的校園網絡平臺在系統設計上加裝了更多的限制,這些限制代碼或指令使學校網絡平臺更加復雜,很有可能存在著未被發現的問題,如果這些問題被黑客發現,就可能會對學校的網絡進行攻擊,輕則使整個網絡癱瘓,重則破壞教學數據信息。由于高中互聯網是多臺機器共用一根網線,只要一臺機器下載了病毒,那么很有可能相關多臺電腦都會受到牽連。2.病毒對校園網的攻擊。在上級教育主管部門的支持下,近年來高中校園網的硬件建設取得了較快的發展,但網絡安全技術仍沒有取得實質性的進展,校園網絡發展的越快,存在的風險和問題也就越高。目前,我國高中校園網不少都沒有安裝防火墻或是防火墻的級別太低,一旦有病毒入侵就會給整個網絡帶來極大的安全隱患,而且會大量的消耗網絡資源,使高中校園網絡擁堵等問題頻發。特別是在校園共用電腦,由于缺乏有效的隔離措施,任意U盤的隨意使用,隨意安裝來路不明的軟件,這些行為都可能為校園網帶來病毒,而且病毒傳播的隱蔽性強,學校網絡管理人員不易察覺。這種情況常常導致校園網絡防不勝防,極大的影響了學生和教師的正常使用,而且使高中校園網絡中的硬件設備有驚人的淘汰率和故障維修率。3.硬件設施設備的陳舊。雖然近年來我國高中階段的計算機硬件設備取得了快速發展,但主要集中在補齊上而不是更新上。國家對高中的投入,主要傾向于沒有計算機設備或硬件設備短缺的學校,學校已有計算機設備往往要使用十年以上才能達到報廢期。學校主要由上級教育主管部門撥付絕大部分資金,學校自己再自籌部分資金解決校園網絡的建設問題。硬件設備的不足,更新換代較慢,網絡建設過程上使用較低版本的校園網絡系統。這些問題常常導致高中的校園網絡處于半開放的狀態,網絡中的數據丟失甚至成為了常見現象,在這種情況下,對校園網絡安全預警和有效防范更是無從談起。
三、學校信息安全網絡防范存在問題原因
高中校園信息安全網絡防范工作面臨著嚴峻的挑戰,既有來自對高中網站的威脅,也有對校園網的應用系統的威脅。一旦發生招生考試信息被篡改,校園財務、教務信息錯誤等問題,都會造成嚴重的后果。從高中信息安全的建設來看,高中自身在管理上存在的問題,是網絡安全防范缺失的重要原因。1.網絡安全意識淡薄。高中校園網絡管理者素質,管理者的技術水平,廣大師生是否有意識的圍護校園網絡安全,都對校園信息安全防范起到重要作用。遺憾的是,我國高中的校園網絡建設往往都是一次性建設,一次性投入使用,學校及教育管理部門普遍對校園網絡安全不重視,認為學校不是部門,沒有必要在網絡安全上加大投入力度,學校能用于校園網的安全經費更是十分有限。學校管理者認為只要能接入互聯網就可以,通常只注重網絡速度快不快,能不能使學校正常的教學活動順利進行。還有的校領導通常認為網絡安全只是技術部門的事,與學校的運行沒有太大的關系。殊不知,一旦出現了類似于招生考試報名泄露事件,學生一卡通財務數據被篡改等問題,后果甚至將是學校難以承擔的。2.學校網絡技術水平有限。目前,我國大多數高中的網絡安全工作都由學校自己維護,由于高中的技術實力相較大學等高等院校有較大差距,因此高中的校園網絡也只能維持在保證硬件不損壞的水平上。但是,在高中校園數據的傳輸是依托公共網絡實現的,高中校園數據有較大的被截獲的風險。在日常管理維護中,高中主要依靠的是計算機教師。這些教師忙于教學一線任務,并非專業的計算機安全操作和管理員,他們只具備豐厚的理論知識,缺乏對計算機病毒的系統的研究,更無暇每天對校園網進行全天候監測。臨時性的校園網絡安全管理人員也不具備相關的專業知識,不能對校園網絡進行合理的維護,發現問題時的處置方式也較為隨意,還有的校園網自建立起就沒有更新過病毒庫,沒有對校園網系統進行必要的升級,學校各班級的終端計算機的系統漏洞長期得不到更新的現象十分普遍。3.管理制度不完善。高中校園信息安全網絡防范不僅有技術層面的原因,在管理制度上也存在著較大的問題,沒能建立起有效的校園網絡使用和維護管理制度,缺乏有效的校園網絡監督管理措施,不能有效的對相關的技術人員進行合理調配使用,校園網計算機使用無據可依,校園網的使用隨意性過大,有的班級為了防止出現網絡安全事故,長期將計算機與互聯網斷開,還有的班級在接入互聯的機器上隨意下載各種盜版軟件。而且,隨著高中大量學生不停的在使用公用計算機,使全校師生都遵守一項共同的校園網絡安全管理制度也變得越發困難,而且一旦出現網絡安全問題,也很難具體分清問題的源頭和責任,這使校園網絡安全防范工作變得更加困難。
四、保障學校信息安全的有效措施及對策
圍護高中校園網絡信息安全是一項系統的工作,不僅需要調動廣大師生的共同參與,更需要針對具體問題采用具體的監管措施,從而使高中校園網絡在充分依靠技術力量的前提下,使師生自覺的圍繞校園網絡安全。具體來說,保障學校信息安全的措施和應對方法有以下幾種可供選擇:1.加強對師生的有效引導。為了有效發揮全校師生在促進校園網絡安全上的合力,應當從圍護校園網絡安全的系統運行、數據保密、網絡使用等方面建立必要的規章制度,有條件的學校要建立專門的網絡安全監管部門,要對網絡安全責任進行明確的劃分,要建立起教師和學生共同參與的校園網絡安全監管體系,要多在校園內采用講座、論壇等方式,積極引導廣大師生提高網絡安全的防范意識,號召廣大師生不使用盜版軟件,不瀏覽不安全網站,不隨便共享文件,不輕易打開來歷不明郵件,不執行不明程序。2.對校園網站進行定期維護。高中校園網絡作為一個半開放的系統,不僅需要師生有正確的使用方法,還要定期的對校園局域網和網站進行定期的維護,要定期按照安全檢查制度逐一進行檢查,要針對學校各班級、教師辦公室、學校計算機房等的不同設備采用不同的檢查方式,切實做到檢查和維護工作有具體的可操作性。要定期為各班級和公共電腦下載安裝殺毒程序,要及時電及操作系統的漏洞補丁通知,要聘請專業人員定期來學校進行專業的技術維護,從而確保校園網絡在安全的環境下正常高效運行。3.對校園網進行層級限制。高中校園是全體師生的重要學習工具,是十分有限和珍貴的教育教學資源,為了保證校園網絡的有效性和安全性,應對校園網絡的訪問層級進行限制,要對校園網的可訪問區域進行加密限制,例如要將校園的重要信息變為亂碼的加密信息,要禁止對未經授權許可的人開放網絡系統,要對所有的網絡操作步驟進行可跟蹤調取,從而使網絡信息使用有可追溯的機制,這樣不僅限制了浪費校園網絡資源的現象發生,而且可以使校園網絡資源的利用效率更高,更有效促進學生安全文明的使用網絡。4.加強數據備份和保護工作。對最重要的信息進行保護和備份工作,可以在校園網絡出現安全問題時,將損失降低到最低程度。因此,高中校園網絡上的數據應當由專人進行定期備份,有條件的學校最好能備份兩份數據,一份用于使用更新,一份用于長期保存,同時還要定期對網絡上的數據進行恢復,從而保證校園網絡上數據的長期有效性,備份后的數據還要定期進行檢測,一旦出現網絡安全問題,可以及時對網絡上的數據進行恢復,以保證網絡流通數據的安全性。
結語
學校信息安全網絡防范的措施應當在現有技術條件下,采用有效的網絡安全防范管理制度,定期對校園網進行維護,對校園網使用進行層級限制,以及做好數據備份等方式盡可能的加強校園網絡安全,使校園網有效應對攻擊。
參考文獻
[1]邢惠麗.高校圖書館網絡信息安全問題研究[J].中國現代教育裝備,2008,(1):123-124.
高校在建設的時候,網絡規劃、網絡安全設計等都是根據當時的實際情況再預計未來一段時間的擴展性來設計,許多網絡系統、設備等到目前為止已經開始落后。網絡數據的井噴與網絡應用的飛速發展,更是進一步考驗高校現有網絡的安全性、可靠性和穩定性。雖然,許多高校隨著時代的不斷發展,也在不斷地更新換代新的設備,但是更換新一代的設備只是性能上的進一步提升,對于數據處理、轉發是跟得上時代的發展,不過對于網絡安全來說卻遠遠不足。
關鍵詞:
網絡安全;校園網;策略
1校園網絡基礎網絡架構
早期大部分高等院校校園建設的時候,信息化規劃跟不上學校教育的擴展,許多高等院校的基礎網絡架構都是簡單的層次化網絡結構(見圖1):接入層、匯聚層、核心層級聯,再通過防火墻出口外部網絡,同時保證外部網絡對內部網絡的威脅被阻止,相對高級一些的設計還可能包括IDS(入侵檢測系統),隨著學校的不斷發展,一步步在原有的基礎網絡上添加新設備來豐富網絡組成,并提供更多的網絡服務。
2傳統網絡攻擊過程
在從前,主要的網絡安全威脅來自基于各種漏洞而進行的網絡攻擊和下載帶病毒的軟件包而導致的系統病毒感染。而這些傳統的網絡攻擊手段之后,才是在被攻破的系統中留下木馬、后門,或者破壞、竊取數據。這些傳統的攻擊手段是層層遞進式的(見圖2),從攻擊的開始到結束以遞進的形式進行,如果前面的步驟無法實現,則整個網絡攻擊過程將會中斷。這些傳統的網絡攻擊包括諸如DoS攻擊、DDoS攻擊、系統入侵、網絡滲透等。不斷重復這樣的一個網絡攻擊過程,當累積到一定的量后所組成的網絡僵尸大軍將對整個網絡造成非常嚴重的影響。
3傳統校園網絡安全防范體系
根據傳統的網絡攻擊過程,在許多的院校的基礎網絡中都會加入相應的網絡安全防范措施,這些網絡安全防范措施就構成了常見的校園網絡安全防范體系。而在傳統的高校校園網絡安全防范體系中,將網絡安全防御定義為外部網絡、內部網絡和用戶3個層次,而每個層次中有針對該層次的網絡安全設備和措施。對于外部網絡這一個層面,直接面對的是防火墻,很多的院校網絡都采用防火墻作網絡出口,承擔著網關與防火墻的雙重功能。采用防火墻作為外部網絡與內部網絡的邊界,可以有效地阻止大部分來自于外部網絡的惡意攻擊,保證內部網絡的穩定。在防火墻之后部署一臺入侵防御系統,可以進一步檢測可能避過防火墻的安全檢測而進入網絡的惡意流量。在內部網絡這個層面,傳統的網絡安全體系中一般沒有什么網絡安全設備,在這個層次主要采用的是基于策略的網絡安全措施,也就是所謂的軟設備。通過網絡設備中進行軟件層面的安全策略設計,保證內部網絡流量的正常穩定的轉發。例如,采用訪問控制列表來對網絡進行一些控制,不允許學生訪問教師網絡資源;使用QoS功能保證數據的高效轉發,設置安全端口,MAC與IP地址的綁定,甚至更高級的基于802.1x的認證。到了用戶層面,主要確保的是操作系統的安全,因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統漏洞進行滲透破壞的,所以在用戶這個層面,針對操作系統要打好操作系統的補丁、安裝功能強大的殺毒軟件,開啟操作系統自帶的軟件防火墻或者殺毒軟件的防火墻,進一步,加強用戶層面的安全性。即使用有瞞過防火墻,混過入侵防護系統的漏網之魚,也可以在用戶層面進行補救。采用這種傳統的網絡安全體系進行網絡安全的設計部署,在以前的網絡時代還是有很好的效果的,但是,現今進入了網絡時代2.0,新的技術、新的威脅層出不窮,此時舊的網絡安全體系在網絡安全防護上表現得就有些捉襟見肘了。校園網絡需要推陳出新,結合現在的校園網絡及互聯網絡的發展趨勢,設計更合適更合理的網絡安全解決方案。
4傳統網絡安全策略應用分析
傳統校園網絡安全解決方案使用的網絡安全策略應用是基于不同層面進行區分的,針對不同層面分別部署相對應的網絡安全設備或網絡安全策略。這種網絡安全策略應用主要是針對從外部網絡進入內部網絡的流量進行檢測控制,正如防火墻功能一樣,定義了外部非安全區域、內部安全區域和DMZ區域,然后給這些區域定義安全等級和默認策略。這種安全體系的設計對于以前的網絡攻擊過程(見圖4)來說是可以滿足校園網絡安全的需求的。在以前的網絡環境中,攻擊主要來自外部,內部的安全等級是可信的,所以外部的攻擊流量經過防火墻后,基本上已經抵御了,再經過IPS或IDS設備后,到達用戶層面時還要經過操作系統或殺毒軟件防火墻后,可以成功攻擊目標的惡意行為已經降到了可接受層面范圍。所以,從前的校園網絡安全情況比現在相對要好一些。如圖4的攻擊過程示意所示,基于原有的網絡安全策略應用對于起源自外部網絡的攻擊可以做到有效防范,但是正如前文提到的,現在越來越多的現象是,內部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后,從內部發起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統,并以此為跳板,從內部網絡感染、攻擊其他用戶主機、學校服務器等設備,導致學校網絡受到嚴重影響進一步影響學校的正常教學秩序。原有的校園網絡安全策略應用基于單向防護、由3個獨立層面以遞進的方式構建的校園網絡防御系統,其性能已經無法適應現時復雜多樣化的校園網絡環境。因此,針對這個舊的網絡安全策略應用的不足,需要一個更合適更優秀的校園網絡安全策略。
5傳統網絡安全策略架構分析
在院校用的舊的校園網絡解決方案中,采用的基礎架構簡單實用,在從前的網絡時代,無論是外部網絡還是內部網絡的數據流量都不并是很大,而且那時候無論是師生的日常生活還是教學活動中,對網絡的依賴程度也不高。不過,隨著人們對網絡的依賴性的不斷加強,以及信息化教學的廣泛推廣,校園網絡中產生了越來越多的數據,并且日常教學也有絕大部分是基于網絡的。這個時候,傳統的網絡架構就存在不足,主要體現在網絡單點故障現象導致的網絡中斷而影響師生的生活學習和學校的教學秩序。現在新規劃的校園網絡中,校園網絡基礎架構相對復雜,但是性能和安全性都有所提升。現有校園網絡基本上都是基于雙網絡核心熱備以提高網絡的安全性和可靠性的設計,根據學校的需求,可以選擇在關鍵節點部署雙機熱備提供安全可靠性,避免了原有基礎網絡架構的不足。
6網絡安全策略應用技術分析
經過調查了解,現在校園網絡中采用的技術有很多都不符合標準,例如密碼的復雜性,這個最基本的一條都做不到。另外,學校管理中使用的技術不足,如管理網絡設備使用telnet協議而不是采用ssh,對管理流量與數據流量沒有區分控制,無線網絡的加密算法采用容易破解的算法等等。這些技術細節上的不足,也會導致校園網絡安全受到威脅。因此,在新的網絡安全策略應用中,應該注意相關網絡安全技術的使用是否符合安全等級的要求。
7傳統高校校園網絡安全策略應用的優點
對于傳統的高校校園網絡安全解決辦法來說,好處就是學校的信息化建設方案相對簡單,管理相對便捷,在數據量以及網絡依賴性不高的院校,或資金不足的院校具有一定的參考作用。
8傳統高校校園網絡安全策略應用的缺點
對于傳統的高校校園網絡安全解決辦法來說,弊端就是學校校園網絡安全受到嚴重威脅,來自校園網絡外部、內部、系統自身產生的安全威脅匯集起來使用整個校園網絡的復雜性、不穩定性大大增加,最后導致網絡安全性大大降低。
作者:周怡燕 單位:南華工商學院
[參考文獻]
[1]鄒縣芳,孫道德.高校校園網絡安全問題及策略研究[J].阜陽師范學院學報:自然科學版,2010(27):87-90.
[2]杜蕓.高校校園網網絡安全隱患與解決策略探析[J].信息安全與技術,2015(6):13-15.
[3]王超,林峰.高校校園網絡安全管理策略[J].科技資訊,2007(7):160-161.
【關鍵詞】高校校園網絡安全;具體問題;治理路徑
1認識高校校園網絡安全的重要意義
計算機技術的迅猛發展,使得人們從利用簡單的內部網絡聯機處理業務發展到利用互聯網計算機處理系統進行數據處理和資源共享,互聯網成為了人們生產生活所必備的工具。通過互聯網絡平臺,人們可以進行自由交流,建立各種社會關系。同時,網絡也成為社會生產總過程中生產、分配、交換、消費的重要媒介。時至今日,我國網民數量已經躍居世界第一。互聯網的迅速發展使高等教育在信息化基礎設施、資源建設、信息化應用、人才培養、管理體制等方面均發生了歷史性變革,高校運用互聯網進行教務管理,搭建教師服務器輔助教學,利用網絡的協作學習平臺輔助教學,彌補課堂教學不足。但與之相伴隨而來的卻是校園網絡安全問題。近年來,大學校園電信主干網絡不斷遭受到病毒入侵、黑客攻擊等威脅,導致校園網速過慢或者甚至造成了整個網絡的癱瘓,嚴重影響著學校辦公系統、學生的正常學習。高校校園網絡安全是指校園網絡系統硬件、軟件及系統數據受到保護而不因偶然的或者惡意的原因遭到破壞、更改、泄露,系統可正常運行,網絡服務不中斷。目前高校校園網絡存在的安全隱患主要有:第一,通信協議不安全。Internet數據傳輸基于TCP/IP通信協議進行,難以避免通信協議被竊取;第二,病毒感染并傳播。病毒能使網絡癱瘓、數據和文件丟失,在網絡上傳播的病毒通過公共匿名FTP文件傳送能夠使病毒附加彌漫;第三,傳遞偽信息。通過網絡傳播信息,信息的內容有可能被篡改。因為信息的來源和去向是否真實,內容是否被改動,以及是否泄露等無法用傳統的保護手段來運行;第四,系統配置問題。系統的安全配置不當會導致安全漏洞。例如防火墻軟件的配置不正確。因此,重視高校校園網絡安全,強化治理措施有著重要的意義。
2高校校園網絡安全存在的具體問題
高校校園網絡安全存在的具體問題具有一般網絡安全的共性,如網絡系統安全即計算機和網絡本身存在的安全問題;網絡信息安全即信息在網絡的傳遞過程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問題;網絡交易安全即商品交易過程中存在的交易主體真實性、資金的被盜用、合同的法律效應、交易行為被抵賴等問題,這些問題在高校校園網絡運用過程中時常發生。另外,高校校園網絡安全還具有獨特性,主要表現為:第一,網絡病毒肆虐。高校行政人員、教師和學生收發電子郵件、瀏覽網頁、使用U盤等移動存儲設備網絡的頻率較社會其他人員高很多,而網絡病毒編造者很容易讓使用者下載、傳播病毒,導致網絡病毒肆虐,嚴重影響校園網絡正常運行。第二,終端系統漏洞。不法分子通過網絡植入木馬、病毒等方式攻擊或控制電腦,竊取電腦中的重要資料和信息,甚至破壞系統。第三,網絡安全設施配備不足。大多數高校網絡建設經費嚴重不足,所撥的有限經費也是投在基本的網絡設備上,網絡安全建設方面投入很少,所以高校校園網幾乎處于開放狀態,安全預警和防范措施沒有跟上,致使校園網屢受攻擊。第四,網管缺位。高校網絡管理松散,制度松弛,社會閑雜人員趁機誘騙學生,借用學生證件混入機房,盜用他人賬號進行不法活動。第五,網管人員安全意識淡薄。網管人員只是注重設備的日常護理和簡單防范,多數不精于技術的學習和研究,對于技術性強的問題束手無策,因此導致網絡管理出現管而不理的局面。
3高校校園網絡安全治理的路徑
網絡技術是運行的硬件,網絡管理是運行的軟件,高校校園網絡安全治理必須從技術和管理兩方面入手,提高技術防范能力,加強制度管理。
3.1提高高校校園網絡技術治理
(1)強化防火墻。防火墻技術是通過加強網絡之間訪問,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。主要是通過對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態[1]。其技術運用是在校園網的入口處架設防火墻,實時對校園網絡進行監測分析,將檢測結果告知管理人員,有效保護內部網絡遭受外部攻擊。(2)安裝殺毒軟件。高校校園網絡使用十分普遍,網絡節點日益增多,多數節點未采取安全措施,部分用戶也只是私自下載不同版本的殺毒軟件,很容易造成病毒感染及傳播,網絡管理員必須安裝適應的殺毒軟件并須及時有效地升級、掃描系統。(3)數據加密。通過數據加密提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞。特別是高校的教務處、財務處等重要部門,必須采用相應的技術以保證數據的準確性、完整性。(4)訪問控制。對用戶訪問網絡資源權限進行嚴格認證和控制。如學生上網查詢課程成績需進行身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限等,是校園的網絡資源不會被未授權的非法用戶使用和訪問。(5)認證技術。用電子手段證明發送者和接收者身份及文件的完整性,確認雙方身份信息在傳送或存儲過程中未被篡改過。
3.2加強高校校園網絡規范管理
(1)規范出口管理。對原有網絡設施、機房環境、報警系統等管理制度進行升級改造,對校園教職工、學生進出網絡進行統一的管理。(2)強化網絡軟件安裝管理。要求所有計算機設備安裝高性能防火墻、合適的殺毒軟件,管理人員要及時發現網絡病毒入侵,及時向所有計算機用戶相關信息。(3)建立統一身份認證系統。要求高校管理機構、教學機構、教輔機構及其他部門建立上網身份認證制度,各部門必須有統一、對應的身份認證系統,保證只允許本部門職工才能查看各自對應的相關信息。(4)加強上網場所監管。建立嚴格的上網場所制度,要求教職工、學生使用統一的管理軟件、統一的身份認證系統進行上網,杜絕了非法用戶的入侵。(5)規范電子郵件傳遞方式。要求電子郵件用戶采用加密措施或簡單加密傳送文件或采用認證技術中的數字簽名機制來解決偽造、抵賴、冒充、篡改等問題。(6)加強網絡管理人才隊伍建設。加強網絡管理人員技能培訓,及時拓展專業技能,提高網絡管理能力。
【參考文獻】
[論文摘要]隨著高職院校數字校園建設的推進和信息系統的廣泛應用,網絡信息安全問題也隨之不斷涌現,這就要求我們必須對網絡危險信號的入侵有所預測。本文建立了一套高效、通用、安全的高職院校數字化校園網絡安全防控體系,確保高職院校數字化校園的網絡安全。
1 引言
隨著高職院校數字校園建設的推進和信息系統的廣泛應用,也產生了網絡信息安全的問題。信息時代,信息可以企業或個人受益,一些不法分子也會盜取破壞信息來謀利。因此,當今計算機網絡安全已經上升為焦點問題。
計算機網絡安全包括組成網絡系統的硬件、軟件及在網絡傳輸過程中信息的安全性,使其不遭受破壞。網絡安全既有技術方面的問題,也有管理方面的問題。本文建立一個高效、通用、安全的高職數字化校園網絡安全防控體系,進而提高工作效率,降低風險,減少不必要的損失。
2 高職數字化校園網絡安全防控體系
高職數字化校園網絡安全防控體系需要具有前瞻性,從而加強計算機的網絡安全性的防控。
2.1物理實體安全防控策略
物理實體安全策略目的是保護網絡服務器、計算機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊等。
(1)硬件環境。服務器機房的建設要嚴格按照國家統一標準進行建設。并將配電室、空調間、計算機機房等連接計算機系統的重要部門進行嚴格管理,同時配備防火、防水、防雷、防震、防盜、防磁等設備。
(2)設備維護。建立維護日志管理系統。對計算機及網絡設備定期檢修、維護,并作好檢修、維護日志記錄。對突發安全事故處理有應急預案,對主要服務器及網絡設備,需要指派專人負責,發生故障確保及時修復,力求所有設備處于最佳運行狀態。
(3)安全管理制度。制定健全的安全管理體制,不斷地加強計算機信息網絡的安全規范化管理力度,強化使用人員和管理人員的安全防范意識,盡可能地把不安全的因素降到最低,從而使廣大用戶的利益得到保障。
2.2網絡安全隔離防控策略
網絡安全隔離防控策略具體如下:
(1)路由器。網絡架構的第一層設備就是路由器,它也是黑客攻擊的首要目標。所以,路由器必須設置一定的過濾規則,用以濾掉被屏蔽的1p地址及服務。
(2)防火墻。防火墻是用于限制被保護校園網內部網絡與外部網絡之間進行信息存取、傳遞操作,是防止“黑客”進入網絡的防御體系。它所處的位置在內部網絡與外部網絡之間。它是根據連接網絡的數據包來進行監控的,掌管系統的各端口,對其進行身份核實,限制外部用戶進入內部網,同時過濾掉危及網絡的不安全服務,拒絕非法用戶的進入。如分布式防火墻。
(3)ids(入侵監測系統)。它是安裝在計算機網絡的關鍵部位,負責監測網絡上所有的包,用來實時監測網絡和信息系統訪問的異常行為。其目的就是捕捉危險或有惡意的動作.并及時發出警告信息。與防火墻的區別之處是按用戶指定的規則對端口進行實時監測、掃描,及時發現入侵者,能識別防火墻通常不能識別的攻擊,如來自企業內部的攻擊。
(4)網閘。它是物理隔離與信息交換系統,運用物理隔離網絡安全技術設計的安全隔離系統。當企業網內部的生產系統因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性時,物理隔離與信息交換系統能夠對內部網絡與不可信網絡進行物理隔斷,可以及時阻止各種已知和未知的網絡層和操作系統層攻擊,提供比防火墻、入侵檢測等技術更好的安全性能。
(5)訪問控制。它是網絡安全防控的核心策略之一,其目的是保證網絡資源不被非法使用和訪問。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。傳統的訪問控制策略包括自主訪問和強制訪問,為考慮網絡安全和傳輸流,目前采用的是基于對象和任務的訪問控制。
2.3網絡主機安全防控策略
網絡主機的安全防控策略對保護數字化校園的網絡安全至關重要,具體包括如下幾個方面:
(1)操作系統的安全。網絡主機操作系統的安全極為重要,首先要確保是正版的操作系統,并實時更新。然后要保證以下幾個內容:操作系統的裁剪,不安裝或刪除不必要使用的系統組件;操作系統服務裁剪,關閉所有不使用的服務和端口,并清除不使用的磁盤文件;操作系統漏洞控制,在內網中建立操作系統漏洞管理服務器。
(2)數據庫的備份與恢復。數據庫的備份與恢復可以確保數據安全性和完整性,備份策略包括只備份數據庫、備份數據庫和事務日志、增量備份。做好數據的備份是解決數據安全問題的最直接與最有效措施之一,如雙機熱備份、異地備份。
(3)密碼技術。它是信息安全核心技術,為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一。
(4)病毒防護。安裝病毒防火墻、殺病毒軟件,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。
(5)數字簽名與認證。應用系統須利用ca提供的數字證書進行應用級的身份認證,對文件和數據進行數字簽名和認證,保證文件和數據的完整性以及防止源發送者抵賴。
(6)虛擬機技術及其虛擬網絡環境。虛擬機是支持多操作系統并行在單個物理服務器上的一種系統,能夠提供更加有效的底層硬件使用。虛擬機能在同一臺電腦使用好幾個os,不但方便,而且可安全隔離。
3 結論
總之,高職院校數字化校園的發展及應用,方便了信息的共享、交流與獲取的同時,網絡安全的重要性也越顯突出。本文構建了一套網絡安全防控體系,全方位,多角度地實時防控,確保數字化校園的網絡安全。安全管理制度是安全的基石,技術是安全的保障,執行是安全的防線,從而提高網絡安全性,并不斷增強全意識,完善安全技術,補充安全策略,加強安全教育和安全管理,從而提高防范風險的能力。
參考文獻:
[1]熊晨潞.計算機網絡安全與防范措施的認識[j].華章,2008(18).
[2]吳建軍. 2010年計算機網絡安全前瞻[j].科技傳媒,2010(9).
[3]蘇姍娜.淺談計算機網絡安全[j].電工理工,2008(1).
關鍵詞:校園網;安全策略
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)18-4326-02
隨著“校校通”工程的建設,很多學校都相繼建成或正在建設校園網。校園網的投入使用,加快了信息處理速度,提高了勞動效率,實現資源共享,實現了管理網絡化和教學手段現代化。但是現在網絡環境復雜,網絡病毒和網絡攻擊肆虐,又加上校園網獨有的特點,校園網用戶眾多,校園網的安全也受到很大威脅。如何保證校園網不受攻擊和破壞,保證校園網的安全暢通,是各院校網絡管理的首要任務。
1 校園網絡的特點
校園網因其獨特的功能和用戶群體,呈現出與政府或企業網不同的特點,從而導致校園網的安全管理。
1)校園網的速度快和規模大。高校校園網是最早的寬帶網絡,主干網普遍使用千兆甚至萬兆,百兆交換到桌面的解決方案,它全面提升了整個校園網的網絡性能,滿足各種數據的通訊和網絡應用的需要。另外,在社會上,學生是網絡應用比較多的群體,因此,校園網的用戶群體一般也較大。正是由于高帶寬和大用戶量的特點,網絡安全問題一般蔓延快、對網絡的影響比較嚴重。
2)計算機系統比較復雜導致管理難度增大。校園網中的計算機系統的購置和管理情況非常復雜,學生的電腦一般是學生自己花錢購買、自己維護,而辦公電腦有的是是統一采購、有專門的技術人員負責維護,有的則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統實施統一的安全政策是非常困難的。由于沒有統一的系統維護人員、統一的資產管理和設備管理,使系統存在很多安全盲點,并且出現安全問題后通常無法分清責任。
3)活躍的用戶群體。學生通常是最活躍的網絡用戶,對于網絡中的新事物通常充滿好奇。如果沒有意識到后果的嚴重性,有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術,可能對網絡造成一定的影響和破壞。
4)開放的網絡環境。由于教學和科研的需要,校園網絡比其他網絡更加開放,管理更為寬松,使其安全隱患更為嚴重。比如,企業網可以限制一些Web的瀏覽,可以對某些電子郵件進行限制,可以進行流量限制,甚至禁止外部發起的連接進入防火墻,但是在校園網環境下通常是行不通的,否則一些新的應用、新的技術很難在校園網內部實施。
5)盜版資源泛濫。由于缺乏統一的管理,網絡資源豐富,盜版軟件、影視資源在校園網中的普遍使用,這些資源的使用占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。并且從網絡上下載的軟件中很可能隱藏木馬程序、后門等惡意代碼,下載到系統后被攻擊者侵入和利用,甚至被利用來作為攻擊源。
以上各種原因導致校園網既是大量攻擊的發源地,也是攻擊者最容易攻破的目標。
2 校園網面臨的安全隱患
1)計算機操作系統及軟件漏洞。
不管是目前應用最廣泛的微軟windows操作系統,還是開放源代碼的Linux或者Unix操作系統,都存在著系統安全漏洞。在網絡系統運行過程中,由于操作系統自身不夠完善,針對系統漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。
2)校園網用戶多,安全意識薄弱。
校園網的絕大多數用戶是學生,學生接受能力強,對新事物好奇心強,對網絡安全也造成一定危害。一方面,部分學生對網絡及網絡安全的了解少之又少,很容易感染病毒,被黑客攻擊。另一方面,有些學生具有很高的網絡水平和學習能力,在校園網中實驗不成熟的技術而不計后果,對校園網有比較大的攻擊性。
3)網絡病毒泛濫,網絡性能下降。
網絡的發展使資源的共享更加方便,移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失。也就是說,網絡在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發無不使成千上萬的用戶受到影響,再加之。近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。
特別是學校機房中,由于學生病毒防范意識薄弱,病毒更是泛濫成災,輕者感染移動存儲設備,重者導致系統不能正常使用。
4)網絡安全投入不足,沒有系統的網絡安全設備。
很多學校校園網建設中都存在建設經費不足的問題,有限的經費也主要投入到主要設備上,在網絡安全設備上的投入少之又少,甚至沒有什么措施,從而導致校園網完全暴漏在外網中,成為攻擊的對象。
綜上所述,校園網絡安全的形勢非常嚴峻,為能有效解決以上安全隱患和漏洞,根據校園網絡的特點以及面臨的安全問題,提出以下校園網安全解決辦法。
3 加強校園網的安全策略
1)網絡結構安全。
按照對網絡安全等級的標準,可以將網絡結構劃分為外部網(簡稱外網)、內部網(簡稱內網)、公共子網。
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制,以及對網絡安全進行檢測,以增強機構內部網的安全性。
2)主機安全檢查。
要保證網絡安全,進行網絡安全建設,首先要保證主機系統安全,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決內網安全問題。安裝操作系統和應用程序的安全補丁,并且采用更加安全的系統設置,系統的很多默認設置以及默認開放的端口都會成為黑客攻擊的突破口。例如對系統賬戶的管理,使用安全的密碼,關閉必須要的端口和服務等。
3)防火墻安全策略。
防火墻作為一種網絡隔離技術,已經被廣泛應于校園網中。防火墻根據內部設置的規則可以有效控制內外網的信息交換,從而阻斷不希望的用戶和信息,禁止非法用戶和不良信息進入校園網系統。主要控制策略如下:按照來訪者的IP地址區分用戶,最好是能對來訪者身份進行驗證;要支持TCP等面向連接的通訊也要支持如UDP等非連接的通訊;要控制教學及辦公資源的訪問權限及訪問時限;對病毒及惡意代碼等要提供良好的訪問控制策略及有效的安全保障。
4)反病毒技術。
計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并在網絡中進行自我復制,感染其他用戶和主機。特別是在網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。
5)備份和鏡像技術。
用備份和鏡像技術提高重要文件完整性。備份技術是最常用的提高數據完整性的措施,它是指對需要保護的數據在另一個地方制作一個來備份,一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執行完全相同的工作,若其中一個出現故障,另一個仍可以繼續工作。在網絡遭到破壞的情況下,使用備份和鏡像技術來有效保護重要的數據資源。
6)漏洞掃描系統。
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠一個人的技術和經驗尋找安全漏洞、做出評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
7)入侵檢測技術。
入侵檢測技術是一種根據相應的規則對網絡進行監視,從而發現可能存在的攻擊進行攔截,并且對攻擊源進行反攻。入侵檢測技術作為防火情的有效的補充,可以彌補防火墻相對靜態防御的不足,從而實現對網絡的安全防護。
4 校園網重點在于管理
俗話說,三分技術七分管理。對校園網的安全管理一方面靠技術,另一方面要靠制度的規范和約束。
計算機信息資源遭到攻擊很大一部分來源于企業內部,因為企業內部的人員安全意識淡薄造成的,因此應加強 企業內部網絡的管理。
1)制定詳盡的規章制度,并嚴格遵照執行。
2)加強人員控制,提高人員的安全防范意識。
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防范意識有關。
3)加強對移動存儲介質的管理。
據統計,很多信息泄露事件都是通過移動存儲介質泄露的,并且很多病毒也可以通過移動存儲設備傳播,因此對于一些重要主機上可以通過限制使用移動存儲介質防止信息泄露和病毒傳播。
5 總結
總之,校園網安全問題是一個復雜的、整體的系統工程,網絡中的任何薄弱環節都會被攻擊者利用。因此校園網的安全除了運用先進的網絡安全技術外還要加強對網絡的管理,從技術和管理兩方面入手加強校園網的安全。
參考文獻:
[1] 杜一寧,鄭俏.談高校校園網的安全問題及解決方法[J].電腦知識與技術,2010(17).
[2] 周盛軍.淺談高校校園網安全控制策略[J].浙年專修學院學報,2009(1).
[3] 王斌,孔璐.防火墻與網絡安全(入侵檢測和VPN)[M].北京:清華大學出版社,2004.
