网络安全体系建设范文

时间:2023-09-19 16:49:46

导语:如何才能写好一篇网络安全体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全体系建设

篇1

关键词:安全;信息化;规划

中图分类号:TP393 文献标识码:A

1 校园网安全运行现状与需求

1.1校园网安全建设现状分析

网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。随着高校的发展,用网人数的增加,校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设,重点是“建设”,强调网络的覆盖范围,出口带宽,基础应用等,而对网络安全的关注度不够,往往是“想起一个建一个,需要一个建~个”,没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高,网络安全体系的建设也在逐步受到学校各级领导的重视。

1.2校园网安全体系建设需求

网络安全建设一直是各高校网络建设的难点和薄弱环节,一方面,技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度;另一方面,校园网用户甚至是系统管理员的安全意识淡漠,以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此,网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度,在提高网络管理技术手段的同时,逐步增强用户的网络安全意识,构建稳定、安全、绿色的校园网。

2 网络安全体系建设规划

随着学校网络与信息化建设的逐步深入,网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系,是各高校在信息化过程中的重要任务之一。

2.1校园网安全建设规划

根据各高校网络建设规划,结合现有的网络安全技术手段,应从以下几个方面做好校园网安全建设工作。

2.1.1加强网络设施安全建设

网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏,机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件,因此。在信息化的建设中,保证设备的物理安全尤为重要。

建立机房、设备间的防火、防盗、监控和报警方案:

对一些关键设备。系统和链路,应设置冗余备份系统,避免网络设备因天灾或人为因素对网络造成的影响。

2.1.2终端安全防范措施

随着各高校网络覆盖范围的逐步增加,用网人数不断增多(如某高校校园网同时在线用户已经达到4500人),用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐,以及学生用户网络行为的不可控性,给网络安全带来了很大的隐患,因此需要从以下几个方面完善终端安全防范措施:

提供并推广可供全校师生员工使用的网络版杀毒软件,以及校内WSUS服务,逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识;

对校内突发的终端安全事故进行监控,及时提供必要的专杀工具、漏洞补丁:

提高技术人员的技术水平,采取相应的检测手段,利用先进的仪器设备,减少用户端安全事故的排查和定位时间。

2.1.3应用服务器安全措施

应用服务器是数字化校园的基础,是各个业务系统的载体,所以它的安全是至关重要的,因此,系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。

制定相关技术文档,规范应用服务器上线前的安全检查,督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等,并且定期扫描系统漏洞,更改系统密码。保证操作系统安全;

建立完善可靠的容灾恢复方案,对关键服务器采用双机热备方式,并且提供可靠的数据备份系统,如采用RAID技术以及利用磁带备份数据,确保事故发生时业务数据不丢失,系统能够快速恢复;

建立授权控制体系,对不同管理员设定不同的系统、数据库管理权限:

完善访问日志分析系统,定期对日志进行整理和分析,制定相应的安全策略。

2.1.4网络出口及边界安全

目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备,网络出口及边界的安全主要包括配置合理、全面的安全策略,以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面,需要在出口及边界设备的管理中做到以下几点:

建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名;

>制定详细的ACL策略,限制登录设备的IP地址;

采取NAT机制。在保证校内用户正常上网的同时,继续优化8812路由器的安全功能;

启用防火墙的防病毒功能,在源头阻断病毒入侵;

合理规划SSL VPN的用户权限;

建立IDS+IPS的联动机制。完善网络监控与入侵防范;

建立出入双向的访问日志系统。

2.1.5应用分析控制技术的应用

在网络安全管理中,网络流量、网络应用的分析至关重要,网络管理人员需要明确地知道网络中有哪些网络应用,各种应用在网络中所占的带宽以及是否存在不良应用,如图1。

随着上网人数的增多,网络出口不可避免地出现拥堵现象,因此,需要进一步对网络应用进行分析,并制定有效的控制策略。

实时记录出口带宽使用情况,对恶意占用带宽的应用进行限制,确保基本应用的高效运行;

对网络流量进行监控,利用相关协议分析工具对网络应用进行深层坎的分析。

2.2信息安全建设规划

信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。

2.2.1信息安全保障措施

通过一系列的措施,保证信息在传输和存储时的安全。

建立完善的实名上网制度,并且与各系统的日志配合,建立“上网ID+上网时间+上网IP+上网入”的一一对应关系;

建立合理的文件上传、审查制度,对关键数据采取数字签名技术,做到谁上传谁负责,安全事故责任到人;

对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控;

数字校园关键服务器问数据传输采取加密方式,防止网络窃听、数据泄露等安全事故的发生;

对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。

2.2.2数据安全建设

随着高校信息化建设的推进,各部门工作信息化的程度也将越来越高,如何保证数据安全,提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。

各部门需要制定MIS的相关管理制度:

制定MIS系统数据备份、灾难恢复方案;

定期对MIS漏洞进行修补。防止数据泄露。

2.3全局安全体系建设

根据对网络体系分层的概念,针对不同的层次制定不同的网络安全措施。做到有的放矢,从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN),如图2。

整合已建立的安全措施,增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描,保证连入网络的客户端的安全性,从而最大限度地降低网络安全风险:

建立统一的安全管理平台(SMP),通过下发警告消息,下发修复程序,下发阻断或者隔离策略等手段智能处理安全事件。

篇2

随着电子政务的飞速发展,其承载的政府管理和服务系统日趋庞杂,这就对电子政务网络系统的安全性提出了更高的要求。因此,建立与网络信息安全相适应的安全策略和安全设施,构筑完整的网络安全体系,是电子政务发展的一个重要内容。

2 电子政务网络面临的安全问题

(1)网络的规划缺乏合理性。由于技术和资金投入方面的原因,电子政务网络在规划建设时往往会在一些方面缺少前瞻性的考虑,而随着电子政务应用需求的与日俱增,这些问题直接表现为网络在功能上和性能上的相对滞后。

(2)网络病毒问题比较突出。病毒问题对电子政务网络的安全应用造成了很大的威胁,在实际中往往会忽视全网防毒的重要性,并且对未知病毒的防范上缺乏必要的措施。

(3)网络攻击事件日益增多。随着网络攻击技术的发展,对电子政务网络的攻击行为日益增多,包括物理通路窃听、链路数据被截获、非法用户入侵、政府网页被恶意篡改等等,都对电子政务网络的安全性提出了更高的要求。

(4)灾难恢复机制不够完善。在电子政务网络建设中,存在着单点故障的隐患,这些都是电子政务网络在安全防范和恢复能力方面存在的薄弱环节。

(5)网络安全管理相对滞后。电子政务网络的安全三分靠建设、七分靠管理,而在目前的电子政务网络建设中,与网络安全相关的规范、措施、预案相对较少,安全管理的意识还很淡薄。

3安全体系的设计

电子政务网络安全是个复杂的综合性问题,不能简单地理解成为一些安全产品的集合,而是要形成体系化的建设,可以从安全技术和安全管理两个方面实现:

(1)安全技术

安全技术是实现电子政务网络安全最直接、最普遍的方法,因而在电子政务网络安全保障上应考虑以下安全技术的应用:应用防火墙技术,隔离内外网络、控制访问权限,防止非法访问和恶意攻击;应用主动入侵防御技术保护核心服务器和内部网络,进行深层防御、精确阻断;应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估,保持网络系统安全的一致性和连续性;应用审计技术对业务数据流和人员上网行为进行审计,防止网络滥用情况的发生,进一步规范上网行为;应用流量分析技术,优化网络带宽,实现网络资源和网络应用的可控制性;应用网络负载均衡技术,提高不同网络之间访问速度;应用统一管理技术,实现对网络设备、服务器和基础设施的统一监测管理。

(2)安全管理

网络安全的核心是安全管理,安全管理是确保安全技术得以有效实施的保障,可以考虑两方面的措施:一是制定本地区、本部门的电子政务网络安全管理规范,充分发挥网络在信息化建设中的基础性作用,促进信息化建设健康、快速、协调发展;二是制定电子政务网络突发事件应急预案,建立起完善的电子政务网络系统保障和恢复应急工作机制,有效预防、及时控制和最大限度地消除突发网络事件的危害和影响,确保电子政务网络系统的安全、稳定运行。

4安全体系的建设原则

(1)完整性。单一的技术手段或管理手段对安全问题的发现、处理、控制等能力各有优劣,所以应该从整体安全性的角度考虑需要不同安全策略和安全设施之间的安全互补,提高对安全事件响应的准确性和全面性。

(2)经济性。安全体系建设要因地制宜,从本地区、本部门电子政务网络建设发展的实际出发,根据对安全方面的需求,制定合理的保护策略,使安全和投资达到均衡,做到低投入、高产出。

(3)动态性。网络的安全是一个全动态的过程,无论是安全产品的选用,还是安全策略的制定,都必须具有延续性和前瞻性,能够针对新的安全需求,不断地进行技术和设备的升级换代,进行安全策略的调整,以适应新的发展需要。

(4)标准性。在电子政务网络安全体系建设中,要遵守国家标准、行业标准以及国际相关的安全标准,这是构建系统安全的保障和基础。

(5)可操作性。安全体系的任何一个环节都应该有很好的可控性,包括安全产品的易用性、安全技术手段的针对性、安全管理制度规范的可实施性,确保安全体系建设能收到良好的实际效果。

5 结束语

网络安全是相对的,安全体系的建设也并非一劳永逸。随着电子政务的进一步发展,必然会对网络安全提出更高的要求,这就需要用动态的、前进的、创新的眼光来认识安全,定期进行安全评估、合理运用安全技术、加强安全管理措施,建立起更加完善的电子政务网络安全体系。

参考文献

篇3

网络武器民用化

将导致勒索成为最流行模式

齐向东在演讲中称,网络战“不费一枪一炮”,就能达到传统战争破坏政府、经济、社会正常秩序的系列目的,勒索病毒攻击就是这种形式。

在刚刚过去的6月底,勒索病毒变种Petya卷土重来,距Wannacry事件仅过去了一个多月。齐向东总结说,经过对比分析,勒索病毒变种有传播速度更快、破坏性更强以及目的性更复杂的趋势。

传播速度上,新病毒变种的传播速度达到了每10分钟感染5000余台电脑;破坏性上,大量基础设施遭到攻击,危害性极大;目的性上,“黑客”不再单纯地以盈利为目的,而是为了搞破坏,而带有国家背景的攻击极有可能隐藏在黑产面具的背后。

齐向东认为,以“永恒之蓝”勒索病毒为标志,网络攻击已经从过去的“弱感知”变成了“强感知”,大部分人从“围观者”被迫成为了“受害者”。同时,“网络武器民用化”的趋势将导致勒索成为未来最流行的模式。

“以前网络攻击的目的是破坏,但在大数据时代,用网络漏洞进行勒索不仅能快速地破坏企业和机构的基础设施,还能实现盈利。”齐向东说。安全行业将演变为

人才密集型的服务行业

面对越来越复杂的网络攻击,传统的安全防护思路和技术已经失效,建设全新的网络安全体系迫在眉睫。

齐向东表示,在建设全新的网络安全体系时,人的作用会越来越大,安全行业将演变为人才密集型的服务行业。原来用硬件设备和软件构成的、以防护为主的安全体系已经不适用了,取而代之的将是防护系统与安全人员应急处置相结合的新体系。

除了强调人的作用,齐向东认为,网络安全态势感知与应急响应是网络安全系统的核心。勒索病毒事件充分证明,安全应急响应的速度和质量,对保障网络安全至关重要,而态势感知系统能够自动感知预警,为应急响应提供保证。

此外,终端、网络、服务器三方联动的防护体系是应急响应结果的关键。齐向东说,360对100余家机构抽样统计表明,即便是大型的机构,建设了终端管控体系,也存在明显的安全死角,导致应急措施无法有效执行。如果能组成三方联动的防护体系最好,如果不能,至少三条线分别能自动响应,比如在云端“一键执行”统一安全策略,这能为响应赢得宝贵时间。

我国网络安全建设的投入

与美国相差15倍

齐向东认为,一直以来,我国在网络建设上存在着重业务应用、轻网络安全的现象。目前,我网络安全建设的投入与美国相差15倍,应尽快补齐。

“我国网络安全投资占整体信息化建设经费的比例不足1%,与美国的15%、欧洲的10%相比存在巨大差距。”齐向东说。

篇4

关键词:校园网络;建设;安全

随着科学技术的不断发展,以电子计算机为媒介的信息技术不断成熟,信息技术现在已经成为人们工作和生活中必不可少的一项生活需求。校园网络是整个校园区域内的电脑信息信号,通过链接从而形成网络。校园内的网络不仅仅能够使校园内各个角落中的网络节点联系在一起,方便管理,还能对校园内的资源进行有序和集中的整合,从而能够满足学校内教学、办公甚至科研等工作的需求。

一、校园网络存在的问题

随着校园网络的不断普及和发展,不可避免地出现很多问题,下面笔者将对校园网络中存在的问题进行分析。

校园网的网络资源是要求公开的,并且能够和互联网连接,所以就要求校园内的整个网络环境必须是安全的。因此,在校园网络的建设和日常维护中,如何保证校园网络的安全性就成为了最重要的问题。

1.系统安全

对于计算机来说,操作系统是非常重要的,它是保证计算机能够正常运行的基础,所有软件的运行和网络的浏览也都是在操作系统的平台上得以实现的。在目前广泛应用的操作系统中,每个系统的开发本身都存在着一定的漏洞,这些漏洞是非常大的安全隐患,如果没有对操作系统进行安全配置,那么就会对电脑内的文件及其他机密材料带来非常大的隐患。

2.互联网安全

互联网有着丰富的资源,也必定充斥着大量的计算机网络病毒,计算机网络病毒的传播速度非常快,并且覆盖的层面也非常广,如果学校没有采取适当的保护措施,那么计算机网络病毒对于校园网络所造成的伤害是非常巨大的,甚至有可能造成网络的瘫痪和报废。很多学校由于建设校园网的过程中接入了互联网,及时设置了防火墙,但是由于其他安全技术工作不到位,导致校园网络频繁地受到病毒的侵蚀和黑客的攻击。

3.客观因素

影响校园网络安全的还有很多客观因素,如设备的毁坏、自然灾害、通信光缆的损坏和雷电破坏、设备的老化及未及时更新等,都会造成整个校园网络出现安全事故。

二、校园网络安全维护策略

所谓网络安全,就是指网络硬件和软件以及网络中的数据系统能够得到良好的保护,从而不受恶意破坏,维持数据的保密性和系统的正常运行,保证网络服务不被中断。笔者根据自身实际工作经验,认为提高校园网络安全维护的策略应该从以下几个方面进行:

1.防火墙

网络防火墙能够区分公众网和内部网,它能够限制被保护的网络与互联网及其他网络之间的信息传递。在构架校园网络安全的工作中,防火墙是最重要的一道程序。在可适用校园网络安全的防火墙上,分为软件和硬件两种,它不仅仅能够控制两个网络之间的信息交换,还能够对网络的访问者进行监控和围堵,在整个校园网络安全的构建中是最为重要的。

2.入侵检测技术

入侵检测能够将电脑和网络上的恶意行为进行细致的识别,入侵检测技术就是基于这种识别能力的系统。入侵检测技术能够检测出外部用户在非授权情况下进行访问的行为,不仅能够计算出计算机系统安全的配置,还能够检测出违反技术安全政策的不法分子,从而给校园的网络提供一个良好、有序的环境,以隔绝没有访问权限的非法访问者。

3.认证技术

认证技术是计算机网络安全技术中一项重要的技术,现如今校园内网络使用的认证技术多为身份验证,认证技术能够为用户对网络的访问营造出一道良好的保障。首先,校园网络内的用户都拥有属于自己身份的安全认证权限,在对网络进行访问的时候,输入自己的认证信息,通过身份识别系统进行检查,检查通过方能够对网络进行访问,根据用户不同身份还能设计出不同的认证技术手段。另外,认证技术系统管理员也可以根据所需对数据库进行配置,从而建立好监控系统,这样能够更好地检测是否有入侵,从而保证网络的安全,这是最为基础的安全保证。

4.访问控制技术

访问控制技术是对用户身份定义的系统,这样能够限制校园用户访问某些不在权限之内的信息和资源,或者能够达到对于某些机密材料的限制访问工作。在网络安全中,访问控制是主要的工作,能够保证网络的资源不被恶意和非法使用,从而保证网络的安全。

校园网络在建成和管理中应注意良好的安全管理。由于网络的外部发展使得网络安全变得隐患多多,在校园网络的管理中,通过防火墙、入侵检测技术、认证技术、访问控制技术等安全技术能够较好地保证校园网络安全,进而实现校园网络正常、平稳地运行。

参考文献:

[1]乐宁丽.浅谈构建完善的校园网络安全防范体系[J].福建商业高等专科学校学报,2009(6).

篇5

关键词:网络安全;实验教学;课程体系

作者简介:廉龙颖(1981-),女,辽宁庄河人,黑龙江科技大学计算机学院,讲师。

基金项目:本文系黑龙江省高教学会十二五教研课题(项目编号:HGJXH C110918)、黑龙江科技学院青年才俊资助项目的研究成果。

中图分类号:G642.0 文献标识码:A 文章编号:1007-0079(2013)14-0089-02

“网络安全”课程是黑龙江科技学院(以下简称“我校”)针对网络工程专业本科生开设的一门专业主干课程。根据调查问卷显示,现代企业对所需网络安全人才的职业素质要求排序,第一为工程实践能力(87%),其次为工作责任心(9%)、团队协作能力(4%)。这些数据表明,“网络安全”课程必须强化实践能力培养,而培养实践能力的基础和重点来自于实验课程。实验教学直接影响到学生的实践能力和职业素质,加强实验课程体系建设,有利于为开展后续实践教学任务打下一个坚实的基础,有利于进一步推动大学生实践教学的改革和发展。

课程组通过对网络安全实验教学进行改革,建设了一套完整的网络安全实验课程体系,不仅提高了“网络安全”课程的教学质量,而且大大提高了学生的就业竞争能力,为学生今后从事网络安全管理以及网络安全产品研发打下了坚实的基础。本文以“网络安全”课程教学改革为出发点,搭建了网络安全实验教学软环境,阐述了网络安全教学内容设置情况,改革了实验教学方法,最终构建了适合我校特点的网络安全实验课程体系。

一、网络安全技术实验教学中存在的问题

“网络安全”是与实践结合非常紧密的应用型课程,2010年课程组对学生进行了抽样调查,如图1所示。根据抽样调查统计发现82.4%的学生缺乏实践能力,当遇到实际网络安全问题时想用理论知识解决但又不知如何使用。之所以导致这一状况,主要原因是网络安全实验教学过程中存在着实验软硬件环境落后,实验教学内容单一,实验教学方法守旧等问题,理论教学与实验教学严重脱节,能力培养未能具体落实,导致学生对一些网络安全的知识没有真正理解,同时也为开展后续的课程设计、工程实训以及毕业设计等实践环节带来一定的困难。

二、构建网络安全实验课程体系

1.实验教学环境建设

网络安全实验具有综合性、应用性、攻防性、工程性等特点,对实验环境提出了更高的要求。为全面提高“网络安全”课程教学质量,提高学生的网络安全实践能力,学校建设专业的网络安全实验环境是十分必要的。网络安全实验环境建设采用插件化无缝建设模式,建成后的实验教学环境拓扑结构如图2所示,各高校可根据实际教学情况进行个性化结构调整,为学生实验提供全方位的支持。网络安全实验环境应具备以下特点:

(1)实战性。实验环境中选取Web服务器、数据库服务器、邮件服务器等Internet中广泛应用的信息系统,模拟出复杂的企业网络结构作为网络攻防实战对象。

(2)真实性。在网络攻防实战对象中存在的各种漏洞均来源于真实的网络应用,各服务器系统应用不同的安全级别,以交互式体现网络攻击和防御过程。

(3)合作性。每个实验小组由五名学生组成,小组内部形成一个小型局域网,实验项目由小组协作完成,在培养学生独立思维能力的同时,注重增强学生的团队合作意识。

2.实验教学内容设置

实验教学内容包含网络安全基础、网络安全编程、隐藏IP技术、网络扫描与网络监听、网络攻击、网络后门与清除日志、病毒攻防、防火墙技术、入侵检测、信息加密等十大专题,为每一专题中的重点理论教学内容设计一个配套的具有综合性、典型性、真实性、障碍性的实验项目,实验项目的设计采用由演示到应用再到设计的“进阶式”方式。学生完成各种攻防式实验项目,不仅可以增强学生的学习兴趣,促进学生加深对理论知识的理解,还可以锻炼学生的工程实践能力。在实验教学项目的选取上应注重以下几点:

(1)综合性。将课程中的基本原理和方法与基本实验内容进行有机融合,设置综合的项目式实验教学内容,每个实验项目相对独立和完整,使学生能够对各种网络安全问题形成一种感性认识,通过完成实验项目,提高解决实际网络安全问题的能力。

(2)典型性。实验项目能突出某个网络安全理论在实践中的典型应用,通过完成这些典型实验项目,当学生在实际工作中遇到相似问题时,能够借鉴这些典型实验项目的解决方法。

(3)真实性。每个实验项目都从某一个网络安全事件入手,通过新闻视频对本项目所依托的真实案例进行阐述,从而引发学生浓厚的兴趣,引出实验目标。

(4)障碍性。在网络配置和服务器配置上使用多个网络安全技术进行保护,这样,学生在进行网络安全攻击实验时,将遇到一些实际的障碍,学生需要根据所学的网络安全知识来进行创造性的发挥,找出解决障碍的方法和途径。设计障碍性的实验项目,可以大大提高实验教学的吸引力,充分锻炼学生解决实际网络安全问题的能力。所开设的实验内容见表1。

实验项目从“攻击准备”开始,到“网络攻击”,再到“网络防御”,其中包括黑客攻击步骤以及网络安全防御方法,完整再现了一个“网络安全”课程的攻防体系,从而让学生在完成实验的过程中真正体会到一个网络安全工程师的工作过程。

3.实验教学方法实施

在实验教学方法实施过程中,采用开放性的方式进行,不强求实验进度、不要求实验结果,给学生一定的自由发挥的空间,重点考查学生的学习效果和实践能力。

(1)实验指导改“细”为“粗”。在实验课堂中,将采用学生为主体、教师适当引导和个别辅导的方式。教师仅提出实验项目需要解决的问题和达到的实验效果,不规定具体的实验步骤和方法,具体实验方案的设计、实验软件的选择、实验步骤的实施都由学生独立思考来完成,培养学生开放性思维,鼓励学生提出不同的解决方案,结合实验结果进行探讨。

(2)实验项目改“实”为“虚”。不对实验项目固定化、模式化,鼓励学生根据理论教学内容查阅资料、确定方案、选用软件、分析效果来自行设计实验步骤,在设计实验步骤的过程中培养学生发现、分析、解决问题的能力。

(3)成绩评定改“一”为“多”。在实验成绩评定中,摒弃单一的由教师评定成绩的方式,采用教师评定、学生互评以及学生自评相结合的方式,提高学生的积极性和主动性。

通过对网络安全实验课程体系的建设研究,建立以网络安全攻防体系为核心,以实验环境建设为基础,以实验项目为驱动,以改革实验教学方法为依托的实验课程体系,力求让学生体验实际网络安全攻防场景,充分发挥学生的创新潜能,真正锻炼出解决实际网络安全问题的能力。

三、结语

经过近3年的教学实践,“网络安全”课程的实验课程体系建设已取得初步成效。实践证明,建立完善的实验课程体系,开展攻防式的网络安全实验项目,不仅使理论课程与实验课程同步进行,实验项目和课程内容结合十分紧密,更重要的是拓宽了学生的知识面,激发了学生的学习热情,培养了学生的网络安全管理能力和工程素质。

参考文献:

篇6

关键词:企业;计算机网络;信息安全

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01

Network Security Problems in the Construction of Enterprise Informatization

Li Xiaoning

(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)

Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.

Keywords:Enterprises;Computer network;Information security

一、企业信息化建设中网络安全存在的问题

(一)安全漏洞

在计算机技术中,任何一种程序都有可能存在漏洞,当前各种操作系统以及相关软件都存在一些漏洞,几乎每一天都有漏洞被发现,此外,操作系统通常还存在一些隐藏的通道,而这些通道往往成为黑客的便利通道。与此同时,系统中还存在着一些通用服务,如果在安装程序的时候没有注意到这些,那么也会给黑客创造可乘之机。一些企业的竞争对手或者对企业心存不满的员工或客户都可能利用这些漏洞,对企业进行攻击,进而使得整个企业网络丧失相应的使用能力或丢失企业资料和秘密等,给企业的网络安全带来了巨大的安全隐患。

(二)计算机病毒感染

通常情况下,计算机病毒是通过下载或者电子邮件的形式进行传播,还有的可以通过即时的网络信息进行传播,可以说有计算机的地方,就会存在电脑病毒的问题。病毒通常具有传播快、影响巨大的特点,给企业的网络安全造成巨大的影响。这些年来,木马病毒是计算机病毒中的主要传播形式,根据有关的统计,木马病毒占到所有计算机病毒的四分之一以上。木马病毒是一种特殊的病毒形式,如果用户错将其按照应用软件来实用的话,所使用的电脑就会被移植上木马病毒,从而将电脑的控制权完全交到了黑客的手中,黑客能够通过木马盗取计算机上使用的一些银行密码、卡号、机密信息等,而且能够对计算机实施实时的监控、查看等,给企业的网络安全带来巨大的威胁。

(三)恶意攻击和非法入侵

在当前的企业网络信息安全问题中,黑客利用恶意攻击和非法入侵的手段阻止企业利用网络或进行网络商业活动的行为,已经成为让每一个企业头疼不已的问题。通常情况下,黑客通过恶意攻击和非法入侵的手段对企业造成的危害表现为:组织企业利用网络资源;利用大量信息来阻塞企业通信网络;植入木马等程序对企业的实时动态进行监控;复制、删除、盗取企业重要信息等。不管黑客的目的是什么,这样的入侵行为都会给企业带来巨大的影响,使得企业重要信息的泄露甚至是企业正常生产的停止。

(四)相关人员管理上的失误

对企业来说,由于相关人员管理上的失误也会给企业网络信息安全带来巨大的威胁。当前,许多企业缺乏网络信息安全的管理机制,而且相应的系统安全维护习惯欠缺。有的企业在发现病毒和漏洞的时候,并没有对其引起重视,只是采取简单的杀毒和修补等措施,相关员工的安全意识匮乏,没有对系统进行全面的维护,从而给黑客的入侵创造了机会。此外,有的企业在内部分工上存在不明了的情况,从而使得网络使用权限与行政管理出现矛盾。总之,由于管理上存在的问题,给企业的网络安全埋下了许多的隐患。

二、企业信息化建设中网络安全问题的解决措施

(一)加强相关人员的素质及意识

企业应该对其网络管理人员进行专业的技术培训,强化相关人员的能力,尤其是网络安全新技术方面的知识。另外,还应该对非技术人员进行培训,增加他们必要的网络安全常识和基本的网络防御知识。

(二)企业网络安全可以采用的相关技术

防火墙技术:通常防火墙技术分为网络防火墙和应用级防火墙两大类。前者的主要作用是防止整个企业网络中出现非法入侵等行为,而后者主要是对计算机中的应用程序进行必要的应用控制。大多数情况下采用应用网关或者服务器对二者进行区分。当前防火墙所采用的技术主要包括以下几种:屏蔽路由技术、基于技术、包过滤技术、动态防火墙技术。

虚拟专用网:虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个私有的连接。因此,从本质上说VPN是一个虚拟通道,它可用来连接两个专用网,通过可靠的加密技术方法保证其他安全性,并且是作为一个公共网络的一部分存在的。

加密技术:加密技术分为对称加密和非对称加密两类,对称加密技术有DES、3DES、IDEA,对称加密技术是指加密系统的加密密钥和解密密钥相同,也就是说一把钥匙开一把锁。非对称密钥技术主要有RSA.非对称密钥技术也称为公钥算法,是指加密系统的加密密钥和解密密钥完全不同,这种加密方式广泛应用于身份验证、数字签名、数据传输。

入侵检测技术:入侵检测技术的核心包括两个方面,一是如何充分并可靠地提取描述行为的特征数据;二是如何根据特征数据,高效并准确地判断行为的性质。它通过从计算机网络或计算机系统的关键点收集信息并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

总之,今后的企业信息化建设中,网络安全就显得尤为重要,如果企业不重视信息化的网络安全工作。信息化不仅无法提高企业的工作效率,还会让企业蒙受巨大的经济损失。

参考文献:

[1]黄现代.企业信息化建设中的网络安全问题研究[J].科技信息(学术版),2007,31

篇7

 

1 网络信息安全的内涵

 

网络信息安全定义是:计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因遭到破坏、篡改、泄露,防止非授权的单位使用[1]。网络系统能够保持服务不受中断,维持可靠运行。

 

不同的用户对网络信息安全的定义有所不同。作为普通民众,他们希望自己的隐私信息能够得到有效保护,不被他人窃取利用。对网络安全管理员来说,他们希望始终有权限管控自己的网络,并不受外界恶意入侵和破坏。对于国家安全部门而言,阻挡一切可能造成威胁的信息,并防止任何信息外泄是他们的工作目标。网络信息安全,离不开技术和治理两方面的努力。

 

2 目前网络安全的主要技术

 

2.1 防火墙

 

防火墙是一个或一组网络设备。防火墙的主要作用是加强两个或两个以上网络中的访问控制[2]。防火墙主要目的是保护网络不受外界攻击。通过对网络设定防火墙,能对来自外部网络的信息进行有效筛查,将安全的信息放行,将存在威胁的信息过滤。达到保护网络安全的目的。

 

防火墙具有以下特点:(1)网络之间的信息传递,都需要经过防火墙筛查;(2)只有符合安全策略的信息数据才能通过防火墙;(3)防火墙兼具保护和预防外部网络入侵的功能。虽然防火墙对保护网络安全具有良好效果,但其最大的缺陷在于会造成网络服务于网络间的数据传输速度大幅下降。这也是为了达到保护网络安全所必须付出的代价。

 

2.2 数据加密技术

 

当今时代,信息是一把双刃剑。它既能帮助团体或个人,令他们从中受益,同时也能成为威胁和破坏的工具。因此这就要求出现某种安全技术对信息进行有效保护,防止被恶意窃取或利用。

 

数据加密技术,是通过使用数字,对原有的信息进行重新组织。经过数字加密技术处理后的数据,除了合法使用者外,其他人难以将信息进行恢复。数据加密主要是对传输中的数据流进行加密。加密方法有线路加密与端对端加密两种。线路加密侧重于对传输线路加密,端对端加密是使用者在段的两头对信息进行加密处理,再经过TCP/IP数据包封装后通过互联网传输到目的地。到达目的地后收件人用相应的密匙对数据包解密,将信息恢复。

 

2.3 入侵检测系统

 

入侵检测技术是对外部网络入侵行为进行检测[3]。它通过不断收集和分析网络行为、安全日志并对数据进行审计,及时获取系统中关键点信息,检查网络或系统是否存在被恶意攻击或违反安全策略的行为。入侵检测的任务主要包括:(1)对系统中用户的各种活动进行监视;(2)检查网络系统存在的弱点;(3)将工作中的异常情况进行记录和报告;(4)对数据完整性进行检查;(5)遭受外来攻击时报警。

 

3 加强计算机网络信息安全对策

 

3.1 强化网络安全保障体系建设

 

强化网络安全保障体系建设,离不开多方面的共同努力。当前国家信息安全保障体系建设,应当围绕以下几方面:(1)深入研究和开发信息加密技术;(2)健全网络信息安全体系;(3)强化网络信息安全风险评估;(4)建立健全信息安全监控体系;(5)加大对信息安全应急处理工作的重视度。

 

在面对网络信息安全威胁时,作为普通用户应当提高自身网络安全意识。在学习必要的网络安全知识外,对来自外部网络的突然进攻应当保持冷静。作为企业用户,网络安全建设更加复杂,保护网络信息安全的意义也更为深远。首先,企业应当设计符合自身需要的安全策略,对重点对象提供有效保护。第二加强对用户访问权的控制,对非法用户的操作进行严格限制,保护企业信息不受侵犯。

 

3.2 构建信息安全体系的措施

 

目前我国信息安全保障水平偏低,构建有效的网络信息安全体系,需要社会各界的共同努力。没有通力合作,难以应对日益复杂的网络安全事件,而且网络信息安全技术涉及面广,技术难度大,单一组织或个人的网络安全技术难以满足各方面需求。

 

(1)加强国家宏观调控。吸收发达国家网络信息安全管理经验,建立具有国家权威的网络信息安全部门,由该部门对我国网络信息安全体系建设路线、方针进行统筹规划。

 

(2)完善相关法律法规。进一步完善我国相关网络安全法律法规,保障信息安全产业的权益,加大对危害信息安全行为的处罚力度。

 

(3)鼓励网络安全技术领域投资。从国家的角度,鼓励网络安全技术领域投资包括加大财政对信息安全产业的直接投入,和给予信息安全产业相关企业、团体政策支持和补贴,扩大其发展规模。

 

(4)加强信息安全技术创新。我国目前正掀起“大众创业,万众创新”的社会浪潮。在此背景之下,鼓励安全信息技术创新,并给予高额奖励,推动我国信息安全技术的发展。

 

4 结语

 

综上,目前网络信息安全正越来越受到关注。虽然目前有许多网络安全产品保护用户信息,但由于网络自身仍存在安全隐患,因而来自外部攻击难以从根本上消除。建立健全网络信息安全体系,对未来促进我国互联网发展将发挥巨大作用。

篇8

【关键词】网络安全;网络攻击;建设与规划;校园网

1、网络现状

扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。

2、安全威胁分析

目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。

2.1安全设备现状

Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。

2.2外部网络安全威胁

互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。

2.3内部网络安全威胁

内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。

3、安全改造需求分析

本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。

4、解决方案

网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。

4.1短期网络建设规划

4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。

4.2长期网络建设规划

网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。

5、结语

从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。

参考文献:

[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184

[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3

[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4

[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17

[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31

篇9

关键词 园区网;安全体系;规划;运维

中图分类号 TN9 文献标识码 A 文章编号 2095-6363(2015)09-0050-02

校园网络变得更加开放的同时,网络安全正经受更加严格的挑战,网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。

1 常见网络安全威胁类型

1)病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统,破坏某信息保密性和完整性,使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播,随着操作系统安全代码的日趋完善,目前主要靠欺骗性下载(如网站挂马或植入恶意代码)并被简单触发。

2)拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板,对目标发起洪水一般的非法请求,使得服务方难以接受正常访问请求或造成缓冲区溢出,服务被迫关闭甚至崩溃。

3)基于服务代码和服务漏洞的攻击。作为官方的网络窗口,运行于服务之上的网站代码并不总是安全的。事实上,国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站,对熟练的站点攻击者而言,仅需几分钟即可获得基本webshell,并据此进行权限提升。从互联网上下载的免费文章系统(如知名的动网模板),由于受到关注,攻击者更容易通过内部技术组织联络获取攻击手段。

笔者所在学校站点早期使用ACCESS数据库,攻击者便经常尝试直接下载数据库;升级为SQL SERVER数据库后,我们发现了大量的SQL注入攻击代码,如晚间的一次攻击尝试代码:

……

dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

从日志中很容易看出,攻击者尝试渗透数据库获取关键数值,并对注入代码做了简单伪装。

4)社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化,攻击者通过多种渠道了解目标,利用社会工程学手段分析以获得敏感信息,攻击更具效率,大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息,一旦个人信息被猜解,所在网络的安全风险便极大增加。

当代网络面临的安全风险越来越多,攻击不可避免,网络攻击的原理趋向复杂,而攻击者更容易获取更具威胁的自动化攻击工具,这意味着攻击变得愈发容易。

2 学校园区网安全体系的规划和建设

1)园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成,任何方面存在漏洞,都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程,即从硬件层面考虑,保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择,在底层系统层面进行合理配置,减少系统漏洞暴露,在提供服务时建立多层次风险防控和数据过滤措施,保证网络安全运行。

2)园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾,管理者应以保障网络服务正常提供为前提,评判网络安全风险,适度规划并保留升级弹性,以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络,对高风险区域应设置网络边界,并指定数据流动规则(ACL)。

3)网段规划。根据功能区分,通常将整个网络划分几个功能独立的子网,至少包括网络设备与网络管理区域、停火区(DMZ)、学生机房、办公区域以及普通联网用户区域等,各子网间保持物理或逻辑上的网段隔离,不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。

4)安全防护设备选择。传统网络安全体系基于P2DR模型,即策略、防护、检测和响应,设备组成一般包括终端安全(配置杀毒软件);ACL(设备、端口规则和数据流向规则);防火墙以及IDS/IPS(应用于DMZ);它可以实现对多数病毒和传统攻击的有效抵御,以包过滤为基本检测手段,具备部分协议检测能力;对网站注入、渗透等较新的攻击方式防御能力有限。

选择何种设备组建网络安防体系,取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上,根据本地网络运行特性有针对性增加管控设备,为保障带宽有效利用,针对内部用户可配置行为管理系统,对用户网络行为进行管控,对占据带宽资源和并发数资源的应用予以限制;针对WEB服务,可以配置WEB防护系统,对数据库注入、代码攻击、跨站脚本等作出有效防护;针对网络内部恶意行为,可以配置网络日志分析记录系统,在恶意行为发生时提供报警,在行为发生后提供记录。

3 学校园区网安全体系运维原则

1)安全网络要求全部终端用户参与。根据“木桶原理”,网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求,管理者应考虑网络不同区域的安全等级,制定对应安全策略,在不同区域间设立网络边界,保证任意区域故障不会蔓延至其他区域。

2)制度优先。防患于未然,网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态,制定安全事件责任制度,制定应急预案,制定各类安全事件和风险事件的相应制度,制定网络使用制度等;完善的制度是保障网络稳定运行的必要条件。

3)数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量,预估数据增量,考虑数据备份措施,必要时配备数据备份设备。外部攻击者在获取网络权限后,经常造成有意或无意的数据损害,超过50%的情况下数据损失不可逆转。设置数据备份机制,是保障网络服务的最后手段。

4)完善事件记录。园区网历经长期运行后,管理者将能够发现和总结本地网络常见威胁列表,建立网络运维事件日志,能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件,网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。

4 结论

尽管网络总是不安全的,管理者还是可以通过各种手段,以科学、合理的方式建设网络安全体系,不断学习提高技术水平,尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结,笔者希望通过本文抛砖引玉,提供网络安全运维的方法和原则,谨与同行共同交流。

参考文献

篇10

近年来,随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念提供了可靠的实现方法。

高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;大学数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。

1教育信息化中的安全体系建设

在教育信息化建设过程中,信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系,对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视,也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性,给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例,高校数字校园信息系统的建设是由高校业务需求驱动的,初始的建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统,在支撑高校业务运营、发展的同时,信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出,成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中,也曾发生不少信息安全事件,如某高校数据中心一台服务器被黑客入侵,成为肉鸡,被植入僵尸木马程序,受黑客控制疯狂往外网发包,导致学校网络出口瘫痪;某高校在高招中发现网站被挂马、篡改,并且学校内部也曾经发现学生成绩的数据库,有被恶意篡改的痕迹。

2网络安全威胁分析

(1)高校网站的安全威胁,包括高校门户网站、高校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,高校网站面临的主要安全威胁有:网页被挂马、被篡改,黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到高校网站的管理权限,进而篡改网页代码;部分攻击者将高校网站替换成黄色网站,影响极其恶劣。每年高考招生及高校重要节日期间,高校门户网站极易被DDOS攻击,这种由互联网上发起的大量同时访问会话,导致高校网站负载加剧,无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后,以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。(2)随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用,而这些系统由于管理及防护不到位,面临着较严重的安全威胁:业务系统缺乏必要的入侵防护手段,高校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,没有条件管理和维护数万台计算机的安全,一旦受到黑客攻击,无法阻断攻击并发现攻击源;部分高校“一卡通”充值系统与银行互联,边界缺乏必要的隔离和审计措施,出现问题不方便定位,难以追查取证;校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策。同时,对于存在安全隐患的配置检查,也缺乏自动化的高效检查工具和控制手段;业务系统权限控制不合理,有安全隐患。

3需求分析

根据对高校校园网络的威胁分析,得出在校园网络安全体系建设中,各个网络区域和业务系统的安全需求如下:

(1)校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内。(2)网络出口链路应有相应措施,对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。(3)DMZ区及内网服务器区出口链路上,应对针对WEB应用的7层攻击,如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。(4)应对流经核心交换区域的所有流量进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为。(5)应对内网用户的网络行为,如公网访问、数据库访问等进行全面的记录和审计,以满足违规事件发生后的追查取证。(6)应在不同校区之间的链路接口进行访问控制、病毒检测、入侵防护等安全控制措施。

应对全网的网络节点进行漏洞风险管理,实现漏洞预警、漏洞加固和漏洞审计的全程风险控制。(7)应对全网的网络节点进行配置合规管理,实现违规配置及时识别、配置整改全面深入、配置风险全程可控。(8)应对运维管理人员进行详细严格的权限划分,并通过技术手段控制运维行为权限,对运维行为进行全程审计,对违规运维操作进行实时告警。

4遵循等保要求

2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作;等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。

5网络安全建设方案

(1)在校园网出口处旁路部署抗拒绝服务攻击系统(ADS)对拒绝服务攻击流量进行清洗,并且旁路部署网络流量分析系统(NTA)对网络流量组成和DDOS攻击成分进行分析和判断。在正常环境下,旁路部署的ADS不参与网络出口流量的路由和交换,边界路由器通过NETFLOW等技术将流量信息发送给NTA,由NTA分析流量特征,判断是否遭受DDOS攻击。当发现遭受DDOS攻击时,NTA将激活ADS,由ADS向边界路由器发送针对特定防护目标IP的路由,将所有去往被攻击目标IP的流量牵引至ADS设备。ADS系统进行恶意流量的识别和清洗,将不含有攻击成分的合法流量回注至边界路由器,按正常路由路径发送至目标IP。(2)在出口链路部署入侵防护系统,对接入互联网的访问流量进行深入过滤,有效抵御源自公网的入侵威胁,消除安全风险。(3)在DMZ区和内网服务器出口处部署WEB应用防火墙,对服务器区的WEB服务器进行全方面的防护,对针对WEB站点的黑客攻击,恶意扫描、SQL注入、跨站脚本、病毒木马传播、暴力口令破解、网页篡改等攻击手段进行深入防护。保障网站、电子教务系统、一卡通系统等应用系统的正常工作。(4)在核心交换区旁路部署安全审计系统,通过将核心交换机上各端口的流量镜像到安全审计系统的监听链路,实现对流经核心交换机的网络数据进行全程的审计和过滤。通过制定详细的安全审计策略,对违反审计策略的网络行为进行实时告警。此外,安全审计系统由部署在网络运维区的安全中心进行统一监控与策略下发,并实时收集网络时间日志和告警信息。(5)在核心交换区域的出口链路部署下一代防火墙,实现出口链路的流量检测和安全过滤,保护内部网络安全。建议在核心交换区域与各个校区的网络边界处部署下一代防火墙,通过下一代防火墙对应用层攻击、病毒进行全面阻断,可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制,保证不同网络区域之间的安全防护边界完整。同时,通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。