学校网络安全培训范文

时间:2023-09-13 17:17:42

导语:如何才能写好一篇学校网络安全培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

学校网络安全培训

篇1

关键词:校园网络、安全维护、病毒防治

前言

目前,许许多多的中职院校都已建成了校园网,教师和学生都很享受着校园网所带来的从备课到发表论坛的种种方便。但是,随着计算机技术迅速发展的同时,计算机病毒也呈现出高速增长的态势,并且传播能力及破坏性越来越强,近年来,网络化病毒开始大肆侵袭,网络已成为计算机病毒快速、方便地传播的第一途径。在当前教育教学深化改革的攻坚时期,校园网络信息的安全维护正在逐渐成为各大院校计算机信息化管理研究的热门课题。

一、校园网络信息安全当前的危机

近几年,全球信息网络安全呈现出一些新特点,主要体现为:网络威胁形式多样,经济利益成为网络攻击的最大驱动力;网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级,黑客不光利用电子邮件和网站进行诈骗,具有“网络钓鱼”性质的病毒也开始出现,勒索软件、网络游戏、网络银行盗号木马等被广泛使用,都充分说明了经济利益已成为网络攻击的最大驱动力。然而,校园网中的计算机数量较多,但使用者的防毒水平参差不齐,管理措施的不到位,都造成校园网中计算机病毒常常肆意横行,干扰系统的正常运行,也造成计算机运行速度变慢、频繁死机,软件不能正常使用等现象,甚至造成数据被破坏、网络及服务器瘫痪等问题,严重影响正常的教学、科研等工作。 可见病毒防范已成为校园网日常管理中的一项非常重要的内容,必须从管理、技术和应急措施三方面互相配合,才能确保校园网的正常工作。

二、管理的改进方略

各大院校应根据学校实际建立病毒防治制度和病毒防治组织,将病毒防治工作落到实处。 然后,建立快速、有效的病毒应急体系,网络病毒不断发展的今天,病毒疫情更加呈现出突发性强、涉及范围广和破坏力高的特点。为了有效降低病毒的危害性,提高对病毒的防治能力,学校的病毒防治组织要注意国家计算机病毒应急处理中心的病毒疫情,以便在爆发病毒疫情时,及时做好预防工作,减少病毒造成的危害。加强网络安全培训:学校根据病毒防治制度,建立二级安全培训课程,采用分级培训,普通网络用户,通过一级安全培训提高安全防范意识,掌握基本的病毒防治技术。网络管理员通过二级培训全面了解掌握针对校园网系统的病毒防治技术和管理方法。建立病毒事故分析制度:对发生的病毒事故,要认真分析原因,找到病毒突破防治制度和防护技术的原因,及时提高病毒防治技术,并对调整后的病毒防治技术进行重新评估。建立系统恢复方案:系统恢复方案是为应急处理服务的,当发生病毒侵害造成网络及服务器瘫痪时,为尽量将病毒造成的损失减少到最低,要尽快恢复系统。系统恢复方案主要包括应急处理时必须到位的技术人员,技术人员在系统恢复中的岗位角色,系统恢复的操作步骤等。

病毒预防是指在病毒尚未入侵或刚刚入侵还未发作时,就进行拦截阻击或立即报警。要做到这一点,首先要清楚病毒的传播途径和寄生场所,然后对可能的传播途径严加防守,对可能的寄生场所实时监控,达到封锁病毒入口,杜绝病毒载体的目的。

数据备份能够有效的降低病毒的破坏性,还可以使受到病毒攻击的关键数据得以恢复。对于应用系统来说没有比数据备份更安全的措施了。网络是一个开放的环境,随时都可能受到硬件、软件、人为或客观因素造成的计算机系统拒绝服务。网络安全具有相对性。数据备份应当是动态备份,如可以采用raid或定时静态备份。进行备份时,为确保数据安全,应使备份数据与主机相分离,将重要数据备份到远程客户机上。

二、技术的防范建议

另外,除了采取必要的病毒防治措施外,我们日常工作中还需要培养良好的技术防范意识:

1:及时为WINDOWS打补丁,方法:打开IE――/工具(T)/――/ Win dows Update(U) / ――并按步骤更新原因:为WINDOWS打补丁是很很重要的,因为许多病毒都是根据WINDOWS的漏洞写出来的。 当然360的修复漏洞更方便,不过刚刚看到有网友说有时候不能及时检查出漏洞,不知道大家有没有遇到过。

2:不浏览不安全的网站,把“INTERNET 安全性 属性”的安全级别调高级。方法:双击IE右下方的小地球,按一下默认级别,向上移动滑块,然后确定。原因:禁止网页使用的控件,它就不能在你背后搞小动作了。说明:有些网页是要使用正常的控件的,比如听歌的看电影的网页等等,这时你得把‘INTERNET 安全性属性’调回中级。

3:下载后和安装软件前一定要杀毒,不明白那是什么东西不要打开他。原因:或许你下载的网站不会放病毒的软件,但不排除它可能被人入侵,然后被放置带病毒的软件,总之安全第一。说明:下载后安装前杀是个好习惯。下载软件最好去官方。华军的软件还经常有捆绑什么的,特别烦。

4:经常更新毒库杀毒。原因:病毒的发展是会不停止的,更新毒库才能杀新的病毒。 所以说啊,不是说装完了个杀毒软件就万事大吉了,不更新病毒库等于没装。

5:不要安装太多的IE的辅佐工具。原因:IE的辅佐工具之间可能有冲突,而且会占用一定的内存。说明:所谓请神容易送神难,在按‘确定’前一定要想清楚。

6:不需要安装太多的杀毒软件。原因:杀毒软件之间也可能有冲突,而且会占用较多的内存。说明:一般来说要‘求精不求多’,通常安装三样功能:防病毒、防火墙、防木马。

7:对电脑认识有一定水平的人可以对电脑的进行手动捡查方法:系统盘中的Autoexec.bat windows中的Msconfig.exe 和注册表中Run启动项说明(如果发现新的加载项目那你就得小心点了)。

8:重要文档不要放在系统盘中,而且要备份好。

9:有能力的可以为系统盘做一个映象文件。如果碰到新的病毒,连杀毒软件也没能为力,只得还原映象了。总结:及时打补丁,经常升毒库杀毒,不要打开不明的连接,上不安全的网站要调高级别,时常查看启动项,不要打开或安装来历不明的文件,做好备份。建个系统盘映象。

四、总结与展望

总之,没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网络的飞速发展,对校园网络中师生的工作和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为现代教育信息化的巨大阻碍。校园网络安全的重要性,已经提升到了必须要统一管理和严密防范的高度。我们校园计算机信息技术人员,只有很好的解决了网络安全问题,才能使未来校园网络的应用才能健康、高速的发展。■

参考文献

1、《计算机网络应用教程》 王洪、魏惠琴等著

2、《计算机网络安全技术》 蔡立军 编

3、《计算机病毒防治百事通》 陈立新 编

篇2

关键词:

校园网安全系统的建设目标是根据学校信息网络结构和应用模式,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,并提出相应的解决方案,制订相应的安全策略,编制安全规划,采用合理、先进的技术实施安全工程,加强安全管理,保证系统的安全性。

对于这样规模庞大、结构复杂、涉及人员众多的网络体系需要建立全网安全保障系统,针对不同的业务特征进行合理的安全保障,确保业务系统的安全运行。

我们在设计学校信息安全保障体系的过程中,借鉴IATF的信息安全保障体系模型构建学校信息安全保障体系的技术体系和管理体系,这些体系构成学校所需的安全体系。在技术体系和管理体系中的安全控制和对策的选择和定制中,采用“最佳实施”方法,通过列举满足实际需求和实际应用来构造安全保障体系。

在学校安全保障体系设计过程中,整体性一直是最核心的问题,因此为了保障安全体系具有一定的完整性,避免对安全问题的遗漏,需要在方法论中引入了安全框架模型。

安全保障体系框架示意图

上图中,最下层是安全体系要保护的对象,根据信息资产逻辑图,将保护对象分成计算区域、区域边界、通信网络和基础设施(指PKI/PMI/KMI中心和应急响应中心)等。计算区域部分主要指提供业务的网络服务,计算区域内部可以根据学校信息化的实际需求进一步细分为子区域,边界和通信网络。对不同区域、边界和通信网络,其安全需求是不同的。保护对象框架将学校信息系统的安全问题细分为一组结构化的安全需求。

通过将对策框架中的所有安全控制中的策略,组织,技术和运作分别提炼,组成相应的策略体系、组织体系、技术体系和运作体系。每个体系由对策框架组成,对策框架由一组安全控制组成,这些安全控制是根据保护对象中的安全需求设计和选择出来的。每一条安全控制都包含策略,组织,技术和运作四个要素。

在校园网的信息系统安全等级保护方面,国内尚未制定相关标准,但可以参考公安部制定的《信息系统安全等级保护基本要求》进行设计。基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

根据公安部《信息系统等级保护技术要求》中相应技术要求,以满足物理安全、网络安全、主机安全、应用安全、数据安全及存备份恢复等几方面的基本要求为前提。

在基于人、技术及运行的信息安全纵深防御体系中,对人的行为的控制是信息安全保障最主要的方面。下图所示为信息安全管理体系框架,该体系包括安全方针、安全策略、安全组织、人员安全、物理安全、安全制度与管理办法、安全标准与规范、安全政策、安全法律法规与标准、安全培训以及安全规范。

安全管理体系框架图

安全策略作为建立安全机制必须首要考虑的核心,它对安全措施的具体实践提供指导和支持。制定一套系统、科学的安全策略是指导学校等级化信息安全保障体系安全建设的重要内容。

建立安全组织机构、完善安全管理制度,建立有效的工作机制,做到事有人管,职责分工明确是有效防范由于内部人员有意无意对系统造成破坏的有效保障措施。

在组织安全方针、安全策略、安全制度与管理方法、安全标准与规范的建设过程中充分体现国家安全政策、安全法律法规与标准是组织充分保障信息系统安全的基础。国家安全政策、安全法律法规与标准从国家和行业的角度制约信息安全,组织必须遵循国家和相关主管部门关于信息系统安全方面的法律法规、政策和制度。

对内部人员进行有组织的安全培训、安全教育,规范人员行为、制定相关章程等对保障学校信息系统安全尤为重要。

篇3

关键词: 校园网站 安全威胁 安全现状 防护建议 防护措施

随着教育信息化的不断推进,各大院校都相继建成自己的校园网站并接入互联网,网站的安全问题日益突出。校园网站包含了学校重要的机密文件信息,如学院公文、学院财务、重要通知等。为了让所有人了解学校,通过浏览学校网站获知校园的相关信息,网站必须具有开放性。随之而来的信息安全问题也越来越突出,诸如各种病毒肆意泛滥;系统、软件的安全漏洞越来越多;黑客们通过不正当手段侵入他人计算机非法获得信息资料,给正常的校园网站带来不可估量的损失。因此,校园网站安全已经成为各高校越来越重视的问题。

职业技术学院是自治区唯一的综合性高等职业院校,地处西南边陲,校园网站的安全性要求更高。下面对我院校园网站面临的安全威胁和现状加以分析,并提出防护建议和防护措施。

一、校园网站安全威胁

(一)外部威胁

校园网站推广后,互联网上的所有人都可以通过连接校园网随意浏览、查看相关信息,而校园网和外网相连,每天都会有入侵者试图闯入网站服务器。然而校园网站因管理人员的意识和学院投入的资金的问题,普遍都存在轻安全、轻管理的倾向。校园网络建设者在安全方面往往没有太多关注,常常只是在内部网与互联网之间设一个防火墙就认为是非常安全的,有些学校甚至什么也不设置,直接面对互联网,这就给病毒、黑客提供了充分施展身手的机会。

(二)内部威胁

校园网站大部分时间是内部人员教师和学生访问,由于内部人员大多不是计算机专业的人员,也不是专门从事计算机安全方面的研究人员,其网络安全性意识相对薄弱,如果内部人员的主机成为肉机,用这台主机攻击校园网站,就是目前所有学校校园网站最大的安全威胁隐患。调查发现,50%以上的攻击都是来自防火墙内的人。校园网站内部用户有部分是学生,有些学生自认为水平较高,常常和其他同学一起攻击校园网站作为消遣娱乐。

二、校园网站的安全现状

(一)操作系统的安全问题

我院网站服务器系统目前还是使用windows server 2003操作系统,其漏洞相对比较多,必须随时打补丁修复漏洞,安全性不高、稳定性不好,容易当机,这样各种各样的安全问题,如木马、蠕虫等病毒都利用操作系统的后门和漏洞进行传染,破坏和更改网站服务器的内容。

(二)网站服务器和数据库服务器

为了方便管理,我院网站和数据库信息还是存放在一台服务器上的。而网站服务器是面向外界的,互联网用户和内网用户可以随时访问网站服务器,若网站服务器出现后门或漏洞,黑客则可以利用后门或漏洞攻击数据库服务器,可以随意篡改数据库信息,更改网站的内容,这样非常不安全,也会造成严重的后果甚至产生不良的社会影响。

(三)路由器设备

思科路由器因其配置方法简单,很多院校都使用思科路由器,我院也不例外,如果黑客利用入侵思科路由器来恶意篡改网站的内容,恶意篡改数据库的内容,不良信息,就很容易造成非常严重的后果。

三、校园网站安全防护建议

通过以上对校园网站安全问题的分析,整体而言,应该从防火墙、服务器、网关和路由器几个层面进行立体的安全防护。根据我院网站的实际情况,特提出以下几点解决方案。

(一)防火墙

作为网络安全防护的中坚力量,防火墙的作用能力为IT行业所熟悉。在安全策略中,防火墙是核心部分。它是通过程序限定对我们所用网络的访问,保护我们的计算机不受黑客的袭击,计算机中的信息不会遭到黑客的篡改、删除。一般常用的防火墙有瑞星防火墙、江民防火墙、天网防火墙、ARP防火墙等。我院应安装高配置高性能的防火墙,阻止各种扫描工具的嗅探和信息收集,甚至可以根据一些安全事件报告阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。

(二)服务器

购买高配置的服务器设备,把WEB网站服务器和数据库服务器分开,让其分别拥有独立的服务器。WEB网站服务器只是供互联网用户和内网用户浏览,数据库服务器不连接互联网,并且只允许内网中某台固定IP地址的主机能访问,且需要输入用户名和密码,其他主机都不能访问,避免内网中其他的主机成为肉机肆意攻击和篡改数据库的内容。数据库服务器使用阵列形式和冗余方式,避免数据库服务器万一出问题造成不可挽回的后果。

(三)网关

网关就像学校的大门一样,是校园网络连通到Internet的出入口,同时,也是大部分病毒和入侵行为的必经之地。所以把好这安全第一关,可以极大地减轻校园网内部的安全防范压力,起到事半功倍的作用。

(四)路由器

根据部分黑客空间报道,思科路由器有后门缺陷,我院处在自治区,安全维稳工作是所有工作的重中之重。网站的内容必须保证不被黑客恶意篡改成有损社会稳定的内容,故从校园安全稳定方面考虑最好选用中兴路由器,以提高网络的安全性。

四、校园网站安全防护措施

(一)提高管理人员安全意识

我院校园网站才建立投入使用几年,由现代教育中心人员在管理和维护,现代教育中心人员大多不是专门从事网站安全方面的工作人员,网站安全的首要任务就是提高管理网站人员的安全意识,提高管理人员的网络安全的能力。

(二)定期培训人员

要定期召开网络安全培训会议,增强全体教职员工的网络安全意识,不要随便让自己的主机暴露于黑客目标之下,定期加强学生网络安全意识教育。

(三)增加资金投入

要加强硬件设备建设,购买功能和性能较好的硬件防火墙,购买服务器能够对数据库进行阵列形式存储。聘请专业的网络安全管理人员对校园网进行安全管理和维护。

以上只是对我院网站安全的现状,提出一些看法。建立健全网站管理制度是校园网站安全的一项重要措施,健康正常的校园网站需要广大师生共同来维护。

参考文献:

[1]付忠勇.网络安全管理与维护.清华大学出版社,2009(6).

篇4

摘要: 随着信息的发展,网络安全问题已经引起越来越多人的关注。而校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。随着校园网应用的深入,校园网上各种数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络安全也逐步成为网络技术发展中一个极为关键的任务。从分析校园网信息安全需求入手,就校园网络系统控制安全措施提出笔者的几点浅见。 

 

关键词: 网络安全 安全需求 措施 

1 校园网的概念 

简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。 

2 校园网的特点 

校园网的设计应具备以下特点: 

1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。 

3 校园网络系统信息安全需求 

3.1 用户安全 

用户安全分成两个层次即管理员用户安全和业务用户安全。 

1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。 

2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。 

3.2 网络硬环境安全 

通过调研分析,初步定为有以下需求: 

1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。 

3.3 网络软环境安全 

网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。 

3.4 传输安全 

数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。

4 校园网络系统控制安全措施 

4.1 通过使用访问控制及内外网的隔离 

访问控制体现在如下几个方面: 

1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。 

篇5

论文摘要: 随着信息的发展,网络安全问题已经引起越来越多人的关注。而校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。随着校园网应用的深入,校园网上各种数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络安全也逐步成为网络技术发展中一个极为关键的任务。从分析校园网信息安全需求入手,就校园网络系统控制安全措施提出笔者的几点浅见。 

 

1 校园网的概念 

简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。 

2 校园网的特点 

校园网的设计应具备以下特点: 

1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。 

3 校园网络系统信息安全需求 

3.1 用户安全 

用户安全分成两个层次即管理员用户安全和业务用户安全。 

1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。 

2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。 

3.2 网络硬环境安全 

通过调研分析,初步定为有以下需求: 

1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。 

3.3 网络软环境安全 

网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。 

3.4 传输安全 

数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。 

4 校园网络系统控制安全措施 

4.1 通过使用访问控制及内外网的隔离 

访问控制体现在如下几个方面: 

1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。 

2)要配备相应的软硬件安全设备:在内部网与外部网之间,在不同网络或网络安全域之间信息的唯一出入口设置防火墙。设置防火墙就是实现内外网的隔离与访问控制,保护内部网安全的最主要、同时也是最快捷、最节省的措施之一。防火墙一般具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和报警。防火墙主要类型有包过滤型,包过滤防火墙就是利用ip和tcp包的头信息对进出被保护网络的ip包信息进行过滤,能依据我们制定安全防范策略来控制(允许、拒绝、监测)出入网络的信息流,也可实现网络ip地址转换(nat)、审记与实时告警等功能。因为防火墙安装在被保护网络与路由器之间的通道上,所有也对被保护网络和外部网络起到隔离作用。 

4.2 通过使用内部网不同网络安全域的隔离及访问控制 

主要是利用vlan技术来实现对内部子网的物理隔离。可以通过在交换机上划分vlan可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。因此就能防止影响一个网段的问题穿过整个网络传播。对于某些网络,一部分局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更加敏感,在不同的讥an段内划分信任网段和不信任网段,就可以限制局部网络安全问题对全部网络造成的影响。 

4.3 通过使用网络安全检测 

根据短板原理,可以说网络系统的安全性完全取决于网络系统中最薄弱的环节。最有效的方法就是定时对网络系统进行安全性分析,及时准确发现并修正存在的弱点和漏洞,能及时准确发现网络系统中最薄弱的环节,也能最大限度地保证网络系统安全。 

网络安全检测工具是一款网络安全性评估分析软件,其具备网络监控、分析功能和自动响应功能,能及时找出经常发生问题的根源所在;建立必要的循环过程确保隐患时刻被纠正;及时控制各种网络安全危险;进行漏洞分析和响应;进行配置分析和响应;进行认证和趋势分析。 

它的主要功能就是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议采用补救措施和安全策略,从而达到增强网络安全性的目的。 

 

参考文献: 

[1]刘俊、姜广明等,校园网络规划和实施[j].沈阳化工学院学报,2004年第一期. 

篇6

关键词:高校;数据中心;信息安全

我国近二十年来信息化建设飞速发展,各个行业对信息系统的依赖程度都在提高,信息化、数字化已经成为现代社会一个非常明显的进步标志。目前,信息技术在高校建设应用范围也越来越广,数据中心作为高校办学核心技术所在更是早就向数字化和信息化发展,由此导致信息系统的安全问题越来越突出,所以数据中心的信息安全建设日趋重要,以此提高数据中心对信息风险的防范能力。

1高校数据中心信息安全建设的重要性及隐患

高校数据中心是保障校内多个应用系统安全运行,保证学生身份认证和管理、日常办公、人事管理、财务管理、图书资料管理、教务选课等工作的前提条件,另外数据中心内存有学校各种重要的资料和关键的数据。保证这些资料数据的安全,保障各应用系统的安全运行是数据中心的一项重要职责,所以进行数据中心信息安全建设是确保高校数据安全的必然选择,其根本出发点和归宿是为了保证数据中心信息不丢失或者被盗[1]。然而,随着互联网技术日新月异的发展,数据中心存在安全隐患。这些安全隐患除了来自管理制度的不健全外,有来自于现有网络各种攻击技术手段,未被授权的访问可能会导致数据整体性和私密性遭到破坏,还有一些数据中心内部的操作,如新业务系统上线,系统升级等带来的网络宕机。各种安全产品、安全技术的简单堆砌并不能保证数据中心的安全,所以只有在安全策略的指导下,建立有机的、智能化的安全防范体系,才能有效地保障校园数据中心的关键业务和关键数据的安全[2]。

2高校数据中心信息安全建设的主要内容

2.1高校数据中心信息安全建设的主要技术手段

高校数据中心信息安全建设的主要技术手段有:防火墙、防病毒系统、入侵防御、漏洞扫描、CA认证、数据备份与容灾、个人桌面控制系统、监控与审计系统、不间断电源系统等。这些手段联合起来才可以确保组建成一个较为坚固的安全运行环境。

2.1.1防火墙

防火墙是信息安全体系中最重要的设备之一,对高校数据中心来说,它可以为内部办公的局域网以及外部网络提供安全屏障。它对流经的网络通信进行监测扫描,只有选择指定的网络应用协议才可以通过。另外,防火墙还强化了网络安全策略的配置和管理,对经过它的各种访问进行记录并做出日志,利用它提供的网络使用数据统计情况,当有可疑的访问发生时,能自动进行报警。我们还可以通过防火墙对内部网络进行划分,实现对内部网中的重点网段的隔离(如服务器的DMZ区),从而防止局部重点网络安全出现问题对全局网络造成伤害。

2.1.2防病毒系统、入侵防御、漏洞扫描

计算机病毒传播途径多,同时具有非授权性、隐蔽性、传染性、潜伏性、破坏性、可触发性等多重特点,杀伤力极大,不但能攻击系统数据区、文件和内存,而且还能干扰系统、堵塞网络等,单凭防火墙是无法保证数据中心的信息安全的,因此,部署防病毒系统、入侵检测(防御)、漏洞扫描是很有必要的。我们在网络中部署网络杀毒软件,定期对内网中所有服务器和客户端进行杀毒,并实时更新病毒库。还需要在网络入口处部署入侵防御系统,阻止各种尝试性闯入、伪装攻击、系统渗透、泄露、拒绝服务和恶意使用等各种手段的入侵。部署漏洞扫描系统就是每天定期扫描网络和操作系统中可能存在的漏洞,并立即告警,及时打补丁,把各种攻击消灭在萌芽状态。

2.1.3CA认证系统(身份认证、数据传输加密、电子签名、电子公章、时间戳等)

为数据中心信息的安全考虑,尤其是机密数据的电子政务系统必须采用CA认证。CA认证可以解决网络环境中可信的身份认证,并且可以解决信息机密性、信息完整性、身份认证实体性、行为不可否认性、授权有效性等问题。只有本人凭电子钥匙经过CA认证后才能登录系统访问机密数据,数据也只有经过CA加密才能在网络中传输,数据的接收方也必须经过CA认证,所有操作必须经过电子签名并加盖时间戳。这样,通过CA认证,数据中心中的数据的安全系数就得到了极大的提高。

2.1.4数据备份与容灾

为了提高服务器的安全性和持续稳定运行,在大多数模式下可以建立服务器集群,就是集群中所有的计算机拥有一个共同的名称,这样集群内任何一个系统上运行的服务可被所有的网络客户所使用。另外要建立容灾备份系统,这是对数据做好保护至关重要的,也是保证提供正常服务的最后一道防线。一旦有影响数据安全的情况发生,可以在最短的时间内恢复受损的数据。备份的方法也很多,有手动备份、自动备份、LAN备份、双机热备等。对于海量的空间数据,在资金许可的情况下,还可以考虑利用广域网进行数据远程异地备份,建立容灾中心,来确保数据的安全。

2.2高校数据中心信息安全的制度建设

想要建设成供任何一个系统,除了要配置较为完善的技术设备、软件支持外,还要建立一个与之适用的完善、合理的规章制度。高校数据中心信息安全的制度建设过程中,必须成立校内的信息安全小组,他们的主要任务就是从整体上规范安全建设,制定数据标准,贯彻执行和完善信息安全的规章制度,并且对日常工作进行认真检查、监督和指导。在实际工作中要认真研究各种相关制度,不断的对当前制度进行更新和完善,进一步确保信息数据的安全。

2.3高校数据中心信息安全建设的其他方面

数据中心的信息安全建设除了要建设各种软件防护系统、制定完善的制度外,安全管理也是其中一个非常重要的部分。安全管理贯穿整个安全防范体系,是安全防范体系的核心。代表了安全防范体系中人的因素。为了保障数据中心信息的安全,必须要进行安全操作培训工作,而这一工作的重要前提就是做好数据中心的安全管理工作。再好的技术如果没有能够落实到位,其高水平无法真正发挥作用。所以,建设高效的数据中心信息安全系统,必须要将安全管理落实到位。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理,使用者的安全意识是信息系统是否安全的决定因素,因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。具体实施的时候,首先对所有相关工作人员进行安全知识培训,要求所有相关人员对数据中心的安全有一个最充分全面的认识,从而在实际工作中更加主动、积极的去关注系统安全、信息安全,尽早消除各种隐患因素[3]。

3对目前高校数据中心信息安全建设的建议

3.1建立信息安全框架及安全组织机构

高校应建立信息安全框架,即制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。在大多数高校,网络信息管理中心是信息安全的主管部门和技术支持部门,身兼管理和技术两项职能,但学校往往赋予网络中心的只有技术支持的职能,没有真正意义上的管理职能,出现安全事故只解决技术问题,遗留的很多问题得不到明确的解决。因此,高校还应该建立专门负责信息安全管理的组织机构,该组织机构由学校主要领导负责,并由技术部门和管理部门的人员构成,其中包括网络中心的负责人,并由网络中心负责各部门间的协调和联络,制定安全政策和策略以及一系列体现安全政策的规章制度并监督执行,真正的发挥这类机构的作用。另外应该重视网络中心的人员配置情况,引进高层次的技术人才和管理人才,分别负责网络建设、管理和维护、信息资源建设、信息安全治理等工作,做到分工明确、责任到人,这样才能切实地提高数据中心的信息安全。

3.2加强信息安全的思想认识培养,树立信息安全意识

网络信息管理中心要充分发挥其管理职能,与学校保卫处、学工部、校团委等相关部门协调配合,积极在全校范围内开展有关信息安全的宣传活动,邀请信息安全方面的专家对师生、员工进行安全培训,定期举行关于信息安全的学术报告,将一些信息安全的实际案例放到中心、校园网站等等,加强对师生、员工的安全教育,将安全意识扩展为一种氛围,努力提高和强化校内的信息安全观念意识,确立信息安全管理的基本思想与策略,加快信息安全人才的培养。这就从强制性的安全策略转换为自主接受的安全策略文化,当然这也是实现信息安全目标的基本前提。

3.3确保信息安全得到成熟有效的技术保证,定期进行信息安全审核和评估

环境的不断变化决定了信息安全工作的性质是长期的、无尽头的,因此要求使用的安全产品在技术上必须是成熟的、有效的。对于高校数据中心信息安全,从技术角度来说,主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等三个方面。所以必须对网络系统进行科学的安全分析,结合具体应用,将上述三个方面密切结合,在网络信息系统中建立了一整套安全机制,实现从外到内的安全防护。另外,必须定期的对学校的信息安全过程进行严格的审核,并对学校的信息安全进行新的风险分析和风险评估,制定适合现状的信息安全策略。

4结语

校园数据中心是校园信息系统的核心枢纽,数据中心的信息安全保障体系应是一个包含安全政策法规、标准规范、组织管理、技术保障、基础设施、人才培养的多层次、全方位的系统。,充分利用现代社会先进的安全保护技术和高水平的安全管理技术对数据中心进行全面改造和升级,真正提高高校数据中心信息安全系数,同时,积极促进行业整体信息化应用水平的全面提高,为信息化发展保驾护航。

作者:邵美科 单位:东北财经大学

主要参考文献:

[1]顾瑞,张珍义,卢加元.高校数据中心的安全问题研究[J].中国教育信息化:高职教育,2008(11):59-60.

篇7

    在新加坡,“Cyberwellness”成为网络素养教育中的一个专业术语,被赋予了健康和安全地使用网络的含义。另一例子是,新加坡网络素养教育的先行者“触爱社区服务社”(TOUCHCommunityServices),是新加坡一家知名公益组织;其精通中英双语的一位华裔项目经理,将“Cyberwellness”翻译成“网络健全”,以试图包含网络健康和网络安全两大内容。[5]公益组织:新加坡网络素养教育的先行者在新加坡网络素养教育史上,公益组织扮演了先行者的角色,起到了推动网络素养教育兴起和发展的开拓性作用。新加坡公益组织的这种先行开拓性作用,主要体现在:首先,最早在新加坡发起网络素养教育的是一家公益组织;其次,新加坡其他公益组织积极跟进,互相合作,联手推进网络素养教育的发展;再次,新加坡公益组织与国际知名网络素养教育机构建立密切合作关系,在学习和借鉴国际先进经验的同时,也向国际社会输出自己独特的网络素养教育理念和实践。公益组织“父母网络顾问组”(ParentsAdvisoryGroupfortheInternet),最早在新加坡推出网络素养教育项目和活动,成为新加坡网络素养教育的拓荒者。新加坡网络素养教育的起源,大约可以追溯到上个世纪90年代末。1999年,一家名为“父母网络顾问组”(ParentsAdvisoryGroupfortheInternet)在新加坡正式成立,旨在教育公众和父母如何安全使用网络,使网络发挥积极和正面的作用。该组织是一家非营利性公益组织(Non-profitorganisation),各项教育活动主要由志愿者或合作机构开展和承办。短短几年时间,“父母网络顾问组”就吸引了数百名志愿服务者;他们来自各行各业,包括教育工作者、商界人士、退休人员和家庭全职主妇等。志愿者们自愿奉献,以引导孩子恰当和理性地使用网络为自己的使命,致力于为孩子们营造一个安全健康的网络使用环境。[6]作为新加坡网络素养教育的先行者,新加坡“父母网络顾问组”开展了一系列提升公众和父母网络素养的对外拓展性项目(Outreachprogrammes):1999年,创建了PAGi网站,用作志愿者与父母交流思想和发现问题的平台;2000年,在编写关于安全上网教程的基础上,面向父母开办了名为“安全网络之旅”(MakingtheInternetJourneySafe)的讲习班;同年还面向学校、业界和社区举行了安全上网主题的巡展(Roadshows)。[7]新加坡其他公益组织积极跟进,密切配合,使得萌芽状态中的网络素养教育很快在新加坡遍地开花。除了独力进行一些拓展性的网络素养教育项目和活动之外,新加坡“父母网络顾问组”还与其他组织、机构和团体合作,举办网络安全培训班,以期让更多的不同族群和语言背景的公众受益。据悉,“父母网络顾问组”的合作伙伴分别有:新加坡国家图书馆的下属教育培训公司“theONELearningPlace”、印度裔新加坡人的自团体“theSingaporeIndianDevelopmentAssociation”、马来裔新加坡人自助团体“MENDAKI”、新加坡草根组织“thePeople’sAssociation”、新加坡社区公益团体“TOUCHYouthServices”,等等。[8]新加坡“父母网络顾问组”与其他公益组织和团体的联手合作,使得健康上网和安全上网的理念,为更多族群的父母和孩子所认知和践行。新加坡公益组织还与欧美国家的网络素养教育机构合作,学习和借鉴国际先进做法,将之灵活地运用到新加坡网络素养教育的实践之中。

    新加坡公益组织早期的网络素养教育,是在国际相关组织的帮助下,通过互相合作的方式,才得以有效地展开的。例如,在美国网络素养教育相关组织“网络天使”(CyberAngels)的帮助下,新加坡“父母网络顾问组”组建了一个名为“网络妈妈和爸爸”(CyberMums&Dads)的团队,创建了一个网站,专门教育孩子如何安全上网。再如,美国的“在线因特网研究会”(TheOnlineInternetInstitute),前来新加坡面向父母和教育工作者开设了关于网络安全的讲座。另外,新加坡“父母网络顾问组”还加入了国际性组织“互联网内容评估协会”(theInternetContentRatingAssociation),从而获得了更多的向国际相关机构学习和交流的机会。2001年,“父母网络顾问组”还与新加坡“国家因特网咨询委员会”(TheNationalInternetAdvisoryCommittee)携手,举办了新加坡首个以网络安全为主题的国际性会议;该会议名为“安全冲浪2011”(SafeSurfing2001),来自世界各国的与会者代表达400多名。[9]“安全冲浪2011”这一国际性会议的召开,加深了新加坡政府对网络素养教育重要性的认识,使得新加坡网络素养教育从“民间呼呼和先行”的萌芽阶段,很快进入到“政府回应并积极介入”的发展阶段。与之相应地,新加坡民间公益组织,由此也完成了网络素养教育拓荒者的任务,开始肩负起网络素养教育政府合作伙伴的新使命。公益组织:新加坡政府推进网络素养教育的合作伙伴梳理新加坡网络素养教育的兴起和发展史,可以发现一个明显特点:公益组织是新加坡政府推进网络素养教育的重要合作伙伴;两者密切合作,共同努力,使网络素养教育呈现出良性发展态势。公益组织与新加坡政府的密切合作关系,主要体现在公益组织所开展的网络素养教育项目和活动,往往能得到新加坡政府职能部门的资助和支持。换句话说,以廉洁高效着称的新加坡政府,对公益组织推广网络素养教育的诉求,回应非常迅速,并注重发挥公益组织的特长和积极性。新加坡知名公益组织“触爱社区服务社”(TOUCHCommunityServices),堪称新加坡网络素养教育领域的翘楚;其与新加坡政府的一系列互动和合作项目,可以说是公益组织作为新加坡政府职能部门合作伙伴的典型例子。“触爱社区服务社”成立于1992年,所提供的公益范围非常广,服务对象包括儿童、青少年、老人、低收入家庭、病残者等。1998年,“触爱”创办人LawrenceKhong荣获新加坡总统授予“公共服务奖章”的最高勋衔。2001年“触爱”在其所设的“青年服务队”(YouthServicesGroup)之下,新设立了一个专门从事网络素养教育的服务中心,名为“触爱网络健全”(TouchCyberWellness,以下简称“触爱”),向在校学生和社会青少年提供网络健康使用培训和网瘾咨询等服务,成为新加坡媒体素养教育先行者之一。自成立至今,“触爱”已为新加坡超过280所的学校提供了网络健全教育课程,所服务的青年、父母、教育工作者、社会工作者和其他专业人士更超过80余万人数。“触爱”之所以能将其网络素养教育推广得如此成功,是与新加坡政府的支持和资助分不开的。也就是说,“触爱”的许多网络健全教育项目和活动,是在与新加坡政府职能部门的合作中顺利展开的。根据“触爱”网站资料,其与新加坡政府相关职能部门有过不少合作项目,其中主要有:2001年,“触爱”开发了一个名为“CRUSH”的项目,旨在帮助在校学生安全地浏览网页和使用网络;这一项目得到了新加坡媒体发展管理局(MediaDevelopmentAuthority)的资助。2004年,触爱”与媒体发展管理局再次合作,编写了网络健全教育大纲,以帮助其他教育机构和公益组织更好地传播健康上网的理念。2005年,“触爱”受媒体发展管理局委托,为其他政府授权的教育培训中心进行师资培训。2006年,“触爱”与新加坡国家青年理事会(NationalYouthCouncil)合作,专门为父母和教育工作者编写了一本《网络时代的离线指导》(TheOfflineGuidefortheOnlineGeneration)手册。2008年,“触爱”在新加坡社会发展、青年及体育部(MinistryofCommunity,Youth&Sports)的支持下,出版了《父母网络健全手册》(CyberWellnessHandbookforParents)一书,该书同时被新加坡教育部发送到政府学校小学三年级至中学3年级的父母手中。2011年,新加坡媒体发展局发起了“网络健全运动”(CyberWellnessCampaign),“触爱”成为该活动的独家讲授者和论坛主持者。[10]由于其出色的社会服务和公益活动,“触爱”荣获“2011年新加坡青年奖”(TheSingaproeYouthAward2011),该奖项是新加坡社会服务中社区和青年类的最高荣誉。“触爱”之外,新加坡其他公益组织也得到了新加坡政府职能部门或多或少的资助和支持(这里不再一一例举)。作为新加坡政府的重要合作伙伴,公益组织借力于政府,将网络素养教育推上了良好的发展轨道。公益组织:新加坡网络素养教育的“无冕导师”本着利他利民利国的精神,新加坡公益组织还承担起网络素养教育领域的“无冕导师”职责,促进了网络素养教育的健康发展。新加坡公益组织的“无冕导师”作用,主要体现在两大方面:一方面是“师资培训”,即为学校教师、私营教育机构讲员以及社会工作者,提供网络素养教育课程培训;另一方面是“教材编写”,即开发网络素养教育课程或项目,编写教材或指导手册,并将相关资料在网上公开,为有意进入网络素养教育领域的人士免费提供宝贵的学习资源。新加坡公益组织承担了大量的网络素养教育师资培训任务。例如,知名公益组织“触爱”,于2003年至2005年期间,在新加坡国家教育学院(NationalInstituteofEducation),培训了约2000名教育工作者,教导学员们从青少年的视角看待网络使用问题,了解网络沉迷的原因等。2005年,受新加坡政府职能部门媒体发展管理局委托,“触爱”培训了5家商业性的教育训练中心,以帮助他们能独立地为青少年提供关于健康安全上网的教育项目和咨询。2006年上半年,“触爱”培训了200名社会工作人员,使他们成为训练有素的从事网络素养教育人士。[11]另外,“触爱”还大量培训青年志愿者,从2001年到2005年期间,“触爱”共训练了600多名青年志愿者,这些志愿者是从上过网络健全项目的学生中挑选出来的,“触爱”称之为“网络健全大师”或“青年同领导师”(peermentors),负责指导学弟学妹们如何健康地上网,养成良好和理性的网络使用习惯。

    培训师资之外,公益组织还承担了网络素养教育的课程设计、教材编写、活动策划等工作。例如,“触爱”专门开发了一个网络素养教育的网站(planetcrush.org/),进入该网站,上面关于网络素养教育的网络教学资源十分丰富,包括:(1)教学参考书,如《父母网络健全手册》(CyberWellnessHandbookforParents)、《新加坡流行电子游戏父母指导手册》(Parents’GuidetoPopularGamesinSingapore)、《网络时代的离线指导》(TheOfflineGuidefortheOnlineGeneration)等;(2)教育项目,如学校教育项目(EducateSchoolProgramme)、青年体验项目(ExperienceYouthProgramme))、装备成人项目(Emp

篇8

从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。

1.1动态防御

网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。

1.2主机安全

主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。

1.3备份和恢复

数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。

1.4安全审计

网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。

1.5安全测试与配置

由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:

1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。

1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。

1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。

1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。

2网站群安全防范措施

单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。

3网站群保障体系构建效果

篇9

【 关键词 】 校园网;信息安全;管理措施

Application of Computer Information Safety Technology in the Campus Network

Zhi Hui

(Tianjin Hedong Education Center Tianjin 300170)

【 Abstract 】 The current status of campus network has been analyzed and the confronted safety problems summarized. Accordingly, the application of computer information safety technology as well as management measures in campus have been put forward, technically supporting safe operation of the campus network.

【 Keywords 】 campus network; information safety; management measures

1 引言

随着信息技术的飞速发展,我国大、中小学校园网的建设手段日趋成熟,大多数有条件的学校已建设了校园网,在学校教学、科研、对外交流等方面发挥重要的作用。在校园网建设取得重大成就的同时,随之而来的安全风险也在不断增加,如病毒传播、网络攻击、数据破坏等,这将制约着校园网的发展和正常运行。本文是在分析校园网建设面临的安全问题的基础上,利用计算机信息安全技术,提出校园网的信息安全技术应用,并从管理角度提出信息安全保护管理措施,为增强校园网建设的安全性提供技术支撑。

2 校园网的安全问题

校园网面临的安全问题主要表现在几个方面:在物理安全方面,无法对校园网的软硬件设备设施进行全面监管;在服务器操作系统的安全漏洞方面,存在一些已知和未知的漏洞或不合理的使用、配置和管理;在受到病毒攻击时,导致系统运行缓慢、文件丢失、信息泄露等问题;在黑客攻击方面,通过拒绝服务攻击或信息炸弹、非法操作等手段,获取服务器中的保密资料,或利用服务器欺骗信息,传播不良信息等;在管理方面,缺少人力、财力、物力的支撑及严格的信息安全管理制度。上述问题轻则造成使用上的不便,重则造成数据丢失、系统故障,直至整个校园网瘫痪。

3 计算机信息安全技术在校园网中的应用

计算机信息安全技术在校园网中的运用主要体现在物理安全、网络安全、主机安全、应用安全、数据安全等方面。

3.1 物理安全

校园网的物理安全主要考虑物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

(1)物理位置选择方面,根据学校实际情况,选择信息点密集的建筑物的二、三层或中间层作为主机房的建设场所,避开强电磁场干扰和火灾水灾隐患区。

(2)机房使用防火防盗门,内部铺设防静电地板,墙壁及顶棚进行不起尘处理,确保机房具备防尘、防潮、抗静电、阻燃、绝缘、隔热、降噪音的物理环境。

(3)机房的供电系统按强电和弱电系统分开进行敷设,且设备供电与动力、照明系统分开,同时配置不间断电源系统,采用独立双回路供电,防止停电造成网络通讯中断。

(4)机房安装室外的独立接地体,直流地、防静电地采用独立接地;交流工作地、安全保护地采用电力系统接地,所有的机柜均接地。

(5)建立有效的新风系统,采用工业空调,保证机房内相对稳定的温度和湿度。

(6)设置温感、烟感、报警器等装置,采用气体灭火剂作为消防设备。

(7)建设机房集中环境监控系统,对人员主要出入口及设备较为集中的房间进行监视。

(8)在机房中设立电子门禁系统,加强机房出入人员的管理。

3.2 网络安全

网络安全是利用路由器、交换机和相关网络设备支撑的、可以用于在本地或远程传输数据的网络环境的安全。

(1)根据职能、重要性及信息的重要程度划分不同的子网,包括主子网、子网、工作组网、服务器区等,在关键子网设立防火墙,防止来自内部或外部的恶意攻击。

(2)在网络边界处部署访问控制设备,具备明确的允许/拒绝的访问能力,控制颗粒度为端口级,对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。

(3)在网络系统中部署流量监控、流量控制、抗DDOS网关设备,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录和事件审计,对异常情况进行跟踪监视。

(4)对网络边界进行完整性检查,部署终端安全防护系统,对非授权设备私自接入网络和越权访问可进行检查、定位、阻断,并及时报告安全管理中心,做出相应处理。

(5)在网络边界处部署入侵防御系统,主要监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为,并记录其源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时及时报警。

3.3 主机安全

主机安全包括对各类服务器、终端和其他办公设备操作系统层面的安全风险。

(1)在校园网中部署漏洞扫描系统,定时对系统进行漏洞扫描,及时发现校园网中路由器、防火墙、交换机特别是重要服务器的漏洞情况,并进行漏洞修补。

(2)在校园网中部署安全监控审计系统,对内部网络访问行为、主机操作行为等的采集、分析和识别,并对网络活动的相关信息进行分析,加强校园网内部人员网络行为安全监控与审计。

(3)通过监控来自校园网内部和外部的用户活动,侦察系统中存在的安全威胁和违规行为,测试安全策略,协助分析攻击,可以为事后追踪提供支撑。

3.4 应用安全

应用安全是在主机安全的基础之上,是保护用户与主机安全的接口,在校园网安全管理中需要重点防护。

(1)在校园网部署身份认证管理系统,利用权限控制对校园网中用户的权限和登陆需求进行辨别,记录用户的登陆和操作信息,以此来加强校园网中访问控制与权限管理。

(2)对于校园网中新上线的应用系统,在系统设计和开发阶段,通过考虑身份鉴别、访问控制、安全审计等方面,实现应用系统的安全防护;对于校园网中现有的应用系统,通过技术、管理、培训等多种手段,提升现有系统的应用安全。

3.5 数据安全

数据资源是校园网正常运行的基础,是校园网安全的核心和重点,主要包括数据访问安全、数据存储安全、数据并发安全等。

(1)利用身份认证和权限控制,对用户进行身份鉴别,保证用户身份的唯一性,并限制用户访问的资源,防止用户越权使用。

(2)利用用户名密码和专用密钥等数据加密技术,对校园网中的敏感数据进行加密,保护校园网中的重要文件、数据和信息。

(3)在校园网中部署数据备份设备和应急容灾系统,利用数据备份技术,制定不同的备份策略,对校园网的数据信息进行备份;通过制定数据恢复措施,保证校园网在经历灾难后能够迅速恢复。

4 信息安全管理措施

信息安全管理措施是校园网安全的重要組成部分,是对校园网中一切人、设备、环境的状态管理与控制的方法,主要包括几项内容。

(1)组建专门的安全管理机构,依据信息安全管理制度,对校园网进行定期维护;利用校园网的监控软件,监视和记录校园网的运行情况,及时处理异常情况。

(2)建立信息安全管理制度,对进出入机房进行严格的使用登记,定期对校园网的运行安全进行评估,及时完善和修复隐患问题。

(3)加强校园网安全基础设备的建设,对运行时间长、老化的设备进行更新换代,合理配置和使用服务器等硬件设备,及时发现安全问题并进行预防和处理。

(4)定期举行网络安全培训,普及计算机信息安全知识和处置方法,提高管理人员和用户的安全意识。

5 结束语

本文针对校园网存在的安全问题,将计算机信息安全技术应用在校园网中,并提出信息安全管理措施,为增强校园网的安全管理提供支撑。在校园网建设和运行过程中,应将信息安全管理放在重要位置,有利于保证校园网信息的安全性,防止重要信息的泄露。

参考文献

[1] 姜贵平,薛进,刘贤喜等.校园网网络信息安全问题探讨[J].中国教育技术装备,2013年2月下 第06期(总第300期):47-49.

[2] 丛蓉,刘云飞,孟祥宇.一种基于多维分析的校园网安全模型教育技术应用与整合研究论文,2005,122-127.

[3] 孟晶.关于高校校园网络的信息安全性问题探究[J].数字化应户,2013(4):32.

篇10

关键词:高校;安全文化;文化建设;管理策略

一、安全文化和高校安全文化

安全本身就是一种文化,是人类一切文化的始祖。安全文化的概念最早出现于国际核安全咨询组(INSAG)对1986年切尔诺贝利事故的报告中,该报告提到“苏联核安全体制存在重大的安全文化的问题”。1991年出版的《安全文化》报告中,将安全文化定义为存在于单位和个人中的种种素质和态度的总和。我国自1991年开始引进、研究和推广安全文化,相继成立安全生产宣传教育中心等专门机构,开展“安全生产月”等活动,全民的安全意识和素质得到了普遍提高。参照《企业安全文化建设导则》(AQ/T9004-2008)中安全文化的定义[2],论文将高校安全文化定义为被高校全体师生共享的安全价值观态度、道德和行为规范组成的统一体。按照文化的结构层次,高校安全文化是多层次的复合体,由理念层、制度层、行为层、物质层组成。高校安全文化建设是将安全目标、安全宗旨、安全理念、安全管理哲学和安全价值等要素内化到全体师生的意识中,最终转化为全体师生遵章守矩的自觉行动。安全文化是高校安全管理的灵魂,高校是高水平人才培养的重要基地,高校安全文化深刻影响高校的可持续发展。优秀的高校安全文化是校园和谐稳定、师生工作学习的重要保障。高校应坚持统筹发展,将安全文化投入视为一种战略投入,这对高校建立良好社会形象具有重要的支撑作用。

二、G大学安全文化建设的现状分析

针对G大学安全管理的实际现状,结合PDCA的管理模式,借鉴《ISO45001:2018职业健康安全管理体系要求》国际标准的核心内容,从安全发展理念、安全管理制度、师生安全行为和安全设备设施等维度设计调查问卷,问卷发放采取“问卷星”线上调查的方式展开。本次发放学生卷305份,有效问卷305份;发放教师卷73份,有效问卷73份。重点调查数据的分析情况如表1、表2所示:结合表1、表2对于重点调查数据的统计,以下从安全理念、安全制度、安全行为和安全设备四个方面进行分析。在高校安全发展理念方面,G大学的大部分学生在高校安全理念方面有较好的认知,这和学校定期组织安全宣讲有直接关系。但教师对于高校安全理念、安全工作愿景了解程度为一般,这和教师较少参与学校定期的安全培训有关。学校对于安全管理的宣传,主要有校内宣传栏、学校网站、电子屏幕、专题培训等方式。在高校安全管理制度方面,G大学的学生对于学校体系化的安全管理模式并不了解,但对于安全制度的执行落实情况较为熟悉,该问题主要源于学生在校内学习、生活时间较长,对校园安全问题的整改落实较为熟悉。教师对于安全管理体系的建设有较多诉求,这源于教师的自身认知和专业水平。师生对于学校风险管控和隐患治理都有较好评价,这说明学校在进行“双重预防”机制建设方面取得了一定的成效。在高校师生安全行为方面,G大学的学生对安全风险有一定的认识,对于安全问题发生的原因,较多地归结为安全意识不强,超过一半的教师也认为安全意识不强是导致学生安全问题的主要原因。学校应通过丰富多彩的安全教育活动提升师生的安全行为,降低校园事故发生的可能性和严重性,目前开展的安全教育活动有安全知识竞赛、专项应急演练等。在高校安全设备设施方面,G大学的师生都认为学校在安全设备设施方面投入合理、运行状态良好,这说明学校在安全设备设施管理方面取得了一定的效果。另外,学生关注更多的是信息安全建设,这与目前社会存在的网络安全问题有一定的关联。较多的教师认为学校安全设备设施的信息化水平有待提高,这也是信息化时代的管理诉求。

三、G大学安全文化发展阶段分析

依据高校安全文化建设的四个阶段,通过对上述调查问题的分析,结合实地的调研访谈结果可知,G大学有较完善的安全管理体系,学校各层级对于安全管理有明确的思想认识,但师生安全文化意识和安全行为仍然是被动接受,因此G大学的安全文化发展处于依赖严格监督阶段,并逐步进入独立自主管理阶段。此阶段主要有以下几个管理特征:1.管理承诺各管理层从上到下对安全责任做出承诺,并表现较好。学校各管理层对安全管理十分重视,近年来不断完善安全文化建设的制度和体系。2.合法合规全体师生遵守安全规章制度,但自主性仍不足,对于校内的安全管理处于按章行事的水平。3.制度流程学校已建立必要的安全规章制度,但师生的执行往往是被动的。[3]师生对于安全的执行程度限于遵守已有的各项安全制度,但对于安全制度的持续改进未有进一步的认识。4.目标绩效学校各级的管理部门和教学部门通过不断强调校园安全的重要性,制订具体的安全目标和科学合理的管控措施,保证安全绩效的达成。学校日常重视安全宣传,制度化的监督巡查也有较好的执行。5.全员参与学校把安全视为一种组织价值,除了关注高校本身的安全绩效,同时对相关方进行安全管理,包括外来人员、承包商等。定期组织安全知识竞赛等活动,激发师生对于校园安全的参与意识,通过提交改进方案,及时评比、奖励等方式为安全文化建设注入动力。6.安全培训安全培训具有系统性和针对性,受训的对象包括全体师生、承包商等。培训目的在于培养全体师生的安全技巧和应急能力,不断改进自我安全行为。

四、G大学安全文化发展的对策建议

G大学的安全文化发展处于依赖严格监督阶段,为了提升G大学安全文化建设水平,结合高校安全文化的核心内容,从安全理念、安全制度、安全行为和安全设备四个方面提出相应的改进策略:1.安全系统理念学校领导做出表率,让各二级院系、职能处室、教研室和全体师生感受到学校领导层对安全承诺的自觉实践。学校领导在制订整体发展规划时,对安全发展应予以考虑,保证安全文化的资源投入。各级管理者积极参与安全培训,配合校领导定期进行安全检查和隐患排查治理。高校安全文化体系的建设,应更偏向人性化,以人为本,拒绝条条框框,从高校师生的角度去思考和探索更好的安全文化制度,切实保证高校师生的安全。2.安全管理制度为了保证安全管理制度的贯彻落实,对全体师生建立校内、校外相应的安全责任,明确各自相关的职责和权限,形成文件后,统一实施。高校应建立安全风险管理程序,通过组织相关领域的安全专家,识别涉及高校的各类安全风险,评估风险等级,判断风险可控性,制订风险措施,编制高校安全风险注册表,并对安全风险变更信息进行动态更新。师生自觉遵守安全制度,全面推进高校安全文化的建设。3.师生安全行为高校安全文化建设可通过安全教育、安全会议、安全培训、安全演练、安全月活动和安全知识竞赛等形式开展。高校安全文化建设需要有效的沟通方式,确保高校与上级主管部门、相关方,以及各级管理者与师生相互之间的沟通交流。鼓励全体师生主动上报不安全行为、不安全状态和不安全环境,高校安全责任部门及时处理和反馈。对于在安全文化建设中表现突出的部门和个人予以表彰宣传,通过树立安全模范和榜样起到良好的示范作用。4.安全设备设施制订高校安全设备设施管理制度,明确安全设备设施的责任人。对于校园建筑物、教学设施等定期进行安全检查,及时消除安全隐患,保证学校师生的人身安全。尤其应关注高校实验室安全,对于国内外已发生的各类实验室安全事故进行事故横展宣传,提高师生的安全意识和应急能力。高校的新建、改建、扩建设施应重点关注,保证符合国家标准、行业标准等安全技术要求,实现高校安全设备设施的本质安全化。

五、结语

安全作为高校一切活动实施的首要前提与基础,安全与稳定是高校正常运行的基本保证,高校安全研究的意义重大。安全文化是高校安全管理的灵魂,高校作为高水平人才培养的重要基地,高校安全文化则深刻影响高校的可持续发展。优秀的高校安全文化是校园和谐稳定、师生工作学习的重要保障。本文通过分析安全文化和高校安全文化的特点,对G大学安全文化建设现状进行实地调查研究,并结合高校安全文化建设的发展阶段,提出G大学安全文化建设的管理策略。高校应坚持统筹发展和安全发展,将安全文化投入视为一种战略投入,这对高校建立良好社会形象具有重要的支撑作用。

参考文献:

[1]张以瑾,刘博智,孙梦捷,等.大数据透视两会热点把脉“后疫情时代”教育走向:2020全国两会教育舆情分析报告[N].中国教育报,2020-05-30(3).

[2]企业安全文化建设导则(AQ/T9004-2008)[S].北京:煤炭工业出版社,2009.