校园网络安全范文
时间:2023-04-11 15:08:51
导语:如何才能写好一篇校园网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1836-01
On Campus Network Security
CHEN Cheng-zhao
(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)
Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.
Key words: campus network; network security; virus; firewall
网络的应用日益丰富,目前e-mail、ftp、WWW已经非常普遍。近几年发展起来的VOD点播、网上交友、网上游戏、网上求职、网上购物、网上医疗以及网上学习等也是如火如荼、虽然这些应用还处于发展阶段,但是有很大的发展前景。目前校园网的建设也得到了快速的发展,全国绝大多数的高校建成了自己的校园网络。
随着网络规模的急剧膨胀、网络用户的快速增长,关键性应用的不断普及和深入,校园网已经成为教育行业信息化的关键网络基础设施。伴随着校园网络的发展,“数字校园”概念逐渐被高等院校采纳并实施。可以说,高速、稳定、安全、可管理是“数字校园”建设的基本要求和最终目标。下面就我个人在工作中的经验,谈谈对校园网安全的一些看法。
1 系统的安全
虽然操作系统的功能及安全性日趋完善,但从目前来看,最近流行于网络上的“ARP”、“机器狗”等病毒都是利用系统的漏洞进行传播的。各种系统都或多或少存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题。作为一个网络管理人员,及时发现并修补系统漏洞是主要任务。对于正在使用的软件和服务,应该密切关注其官网的最新版本和安全信息,一旦发现有关的安全问题就立即对软件进行必要的补丁和升级。
一般启动操作系统时,会同时启动数十个服务,但有些服务时没有必要的,反而会成为黑客、病毒和木马入侵的隐患。如允许远程修改注册表、提供IPC连接、默认共享等,应及时关闭这些服务。同时严格控制用户向系统的访问,可以利用身份验证和用户权限控制技术,两者结合使用,给予不同的用户不同的操作权限,实现信息安全的分级管理。
2 防火墙与入侵检测系统的使用
应用服务器在校园网中的使用量很大,极易成为黑客攻击的主要对象。因此们需要对所有的外部网络接口隔离,用防火墙在内 外网之间构建一道安全屏障。防火墙会对数据包进行过滤,阻止外部非法用户的访问和破坏。所以在防火墙配置上,我们要根据每个学校的需求设置正确的安全过滤规则,网络管理人员应定期查看防火墙的记录日志,及时发现攻击行为和不良记录并采取相应的对策。
入侵检测系统相对防火墙,是一种积极主动的安全防护技术,能够在系统受到危害前发出警报。即使一个系统中不存在某个漏洞,但是检测系统仍然可以检测到相应的攻击事件并调整状态做出警告。所以,入侵监测系统能够及时发现攻击行为,防火墙能够有效的阻止和处理攻击行为,将两者集合使用能更加有效的保护网络安全,将安全隐患降到最低。
3 个人用户安全
大多数的校园网用户安全意识淡薄,比如不使用杀毒软件或不及时更新病毒库;不及时更新系统漏洞;使用移动存储时没有事先杀毒;接受或运行来历不明的文件或邮件;浏览黄色或非法网站等行为,这些行为都有可能导致电脑中毒。中毒后对方能在你的电脑上上传、下载文件,偷取你的各种账号信息及密码。除了能泄露个人资料外,如今很多病毒能够通过用户单机对校园网进行攻击,恶意的向被攻击服务器发送信息,严重的占用校园网带宽,致使网络运行速度慢,严重的更处于一种瘫痪的状态。
所以个人用户的安全也不能小视,作为网络管理人员,在推广网络应用的同时,也要加强上网行为安全的宣传教育工作,并制定相应的制度,防范和制止各种违法行为。
4 结论
校园网安全体系是一个动态的、不断发展的机制,当然不论我们怎么防范,由于系统和软件本身的局限性和计算机网络的开放性,我们都不可能彻底的消除所有网络系统的安全隐患。但是作为一名网络管理人员,我们需要提高工作热情,加强责任心,头脑中时刻具备安全意识,提高自己的专业知识和技能,为广大师生提供更快、更安全的校园网环境。
参考文献:
[1] 贾遂民.校园网络安全分析与对策[J].卿城大学学报:自然科学版. 2005(2):83-86.
[2] 凌捷,肖鹏,何东风. 防火墙本身的安全问题浅析[J].计算机应用与软件 2004(7):138-140.
篇2
关键词:校园网络;网络安全;系统安全
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享起到了无法估量的作用。但一些教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。网络的生命在于其安全性。因此,如何在现有的条件下,搞好网络的安全,就成了校园网络管理人员的一个重要课题。
一、校园网络现状
随着电脑的普及,计算机技术并没有像早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识,对于生活在学校的学生们就更不用说了。几乎每所学校都有其自身的网络体系,无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度,不必拘泥于灌输死板的概念内容,而是灵活的动态模式,这样才能更好地激发学生的学习兴趣。在大家看来每所学校所关心的安全领域问题是大致相同的,无论是在哪方面,无疑就是网络是否畅通,上网是否安全,网络是否可以抵御黑客攻击,上网时我们的账号是否存在风险等问题。网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
二、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒、入侵检测、审计分析等技术。
(一)反病毒技术
计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染给其它程序,并进行自我复制,特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
(二)入侵检测
入侵检测指对入侵行为的发现。它通过对计算机网络或计算C系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。在校园网中服务器为用户提供着各种的服务,但是服务提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此,从安全角度考虑,应将不必要的服务关闭,只向公众提供他们所需的基本的服务。
(三)审计监控技术
审计监控不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、类聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。
三、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施,保证网络受到攻击后能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补“热备份”的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
四、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
(一)访问控制
在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全最主要,同时也是最有效和最经济的措施之一。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。
(二)网络安全检测
篇3
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏能力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大,要建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性,在Internet浏览、下载的信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏,发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、江民、金山等,网络上也不乏免费杀毒软件,如360杀毒。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,注意定期查杀,及时进行软件的更新。
二、防火墙与网络隔离技术
配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如:360安全卫士、天网。校园内外网之间,可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统,它们的速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoint、KFW傲盾、天网等,常用的硬件防火墙有Net Screen、Cisco、Hill stone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。
网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。
三、VLAN技术
随着校园网络规模扩大,网内机器超过200台时网络管理将极为困难。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,控制网络风暴在必要范围内,并增强网络的安全性,利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN。
(1)基于端口的划分。根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl;把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动时,新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
(2)基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而烦琐:初始化时,如果用户数量较多,要收集所有计算机MAC地址,对所有计算机进行配置,工作量极大;后期,每一台新计算机入网时,也需要添加到对应的VLAN中,否则不能连接。
(3)基于IP地址划分。校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用,把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机可以不修改网络配置移动,并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发,都需要检查TCP/IP协议的网络层,网络工作效率低。
目前,应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此,学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击;还有“零日攻击”指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
篇4
关键词:校园网 网络安全 分析
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2012)07-0163-02
学校作为培养人才的基地,愈来愈多的校园网通过专线与互联网接轨,让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识,感受网络所带来的这些丰富的信息资源,提供更广阔的学习环境。与此同时,网上的“黑客”也很可能趁机攻入学校内网,破坏校内服务器上的数据,使校园网的安全受到威胁。并且,学校对学生的网上教育和上网管理也面临着新的挑战。
1、校园网所面临的问题
1.1 内部资料库安全问题
校园网与普通企业网不同,因为一般企业网主要是“防外”,防止互联网上的黑客对内部网络的攻击,对互联网上、或者是校园网内部服务器进行攻击,主要对学校内部的某些可能存放着重要资料的服务器,诸如,存放主要给教师使用的试题库,对于学生就有着极大的诱惑力,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。
1.2 对学生上网的管理
学生上网的管理主要从三个方面进行管理:
(1)学生所浏览网站的限制。
(2)学生上网费用统计的问题。
(3)学生上网对热门网点的统计,及时了解学生的网上动向,有利于更一步引导学生过好网上生活。
如何才能从内、外网两方面共同建设安全、可信赖、有效的新网络呢?根据校园网全安的相关知识,网络内部的安全措施应包括:在终端设备上全面安装防病毒软件,在网络接入交换机上进行客户端的安全认证,汇聚设备上使用ACL软件防火墙技术,建立内部网络规章制度,保障内部网络的所有设备的安全可信赖。另外,在接入外部网络的入口处使用硬件防火墙设备作为防止外部网络非法的、未授权的访问,对流经的每一个数据流进行检晒,以保护整个校园网的安全。
2、安装杀毒软件
校园信息化建设极大地方便了学校的教学工作,同时也为计算机病毒的蔓延打开了方便之门。各种病毒无时无刻不在威胁着网络的安全,对于计算机网络病毒防治,只有把技术手段和管理机制紧密结合,切断病毒的传播途径,尽可能地降低感染病毒的风险;其次不要随便使用含有病毒的程序;在使用前最好先进行查杀病毒;最后建立全方位、立体化防毒反黑网络,基本原则是防杀结合、以防为主、以杀为辅、软硬互补、标本兼治。
3、网络设备安全
先是从内部网络所有设备安全出发,对网络中接入设备进行安全设置,在接入交换机的端口上,对网络中所有接入的用户进行认证和安全管理。
校园网安全中主要存在以下三个问题,一个是由于学生宿舍上网人数较多,在学生宿舍中安装网络端口,需要上网的学生可以在学校网络管理中心申请帐户。另一个是由于后来由申请账户的数目很多,有的宿舍只开通一个账户后,在端口上接一个小型路由器或交换机,宿舍中的学生就可能通过路由器或交换机上网,由于网络管理中心无法确认最终用户,给网络带来了很多不安全因素。最后一个是要为所有的交换设备控制台端口配置密码,以保证非管理员进行登录设备,修改设备配置参数。
网络设备安全部分配置如下:
(1)配置接入交换机端口的安全和最大连接数限制。
Switch(config-if-range)#switchport port-security !开启1-23端口安全端口的功能
Switch(config-if-range)#switchport port-secruity maximum 1!开启1-23端口安全地址个数为1
Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全违例的处理方式为shutdown
(2)配置交换机控制台密码安全。
配置交换机登录密码
Switch(config)#enable secret level 1 0 abc
配置交换机的特权密码
Switch(config)#enable secret level 15 0 abc
(3)配置交换机端口的地址绑定。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的绑定
4、网络区域安全
在校园网中,由于学生访问量较大,有的学生登录到教师办公网查看考试试卷,有的学生向学校FTP服务器上上传垃圾文件等现象。
由于教师网中的FTP服务器上存有大量的教师考试资料和教学资料,如果要禁止学生进行访问,但允许学生访问其他服务器(WWW服务器、E-mail服务器等)的话,要在网络中心交换机的接口上配置应用扩展ACL技术,如(表1)所示,在s1和s2 上分别进行相关的配置,即可满足需要。
表1 校园网部分地址规划
5、虚拟专用网VPN
目前我们所说的VPN安全技术主要是指隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
根据校园网的实际情况,简要分析、校园网专用网VPN的情况。各自都有自已的专用网,要想使这两个不同区域的部门经常进行通信,又要保证部门数据的安全,学校采用隧道虚拟专用网VPN技术。
使用遂道技术建立了新、老两个校区的专用网,其网络地址分别为172.16.0.0和192.168.0.0。新、老校区通过公用的Internet网构成一个VPN。新、老校区都有一个路由器具有合法的公网IP地址,如(图2)所示路由器R1和R2。各自路由器在和新、老校区内部网络的接口地址是新、老校区的本地地址。
6、全网络的安全
在校园网互联互通的基础上,当校园网连接到Internet上时,除了利用ACL“软”手段防范来自内部网络攻击外,还需要在网络上的关键部位,部置硬件防火墙来防范来自外部网络的攻击。
在校园网安全设备中防火墙是相对最有效的网络安全设备,它是一种综合性的技术,它涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、安全规范及操作系统等多方面内容。
参考文献
[1]韩争胜.IPv6关键技术及其网络安全研究[D].西北工业大学,2005.
[2]钟林.基于Linux平台的IPv4/IPv6校园网研究与设计[D].南京理工大学,2006.
[3]363—382.于新俊.大连电力学校校园网设计与实现[D].大连理工大学,2003.
篇5
关键词:校园网;网络安全;防火墙;入侵检测
中图分类号:TP393.18
如今计算机网络技术迅速发展,校园网也不断发展。校园网对学校的一些教学活动、学生学习、教育管理等各个方面都发挥着重要的作用。因此,维护、保证校园网的安全成为一项重要的任务。校园网络一直存在着安全隐患,出现各种安全问题层出不穷,最常见的是病毒入侵、黑客攻击等,导致数据丢失和个人隐私泄露,给学校、学生与教师带来巨大损失。校园网作为学校最基础也是最重要的设备,更要全面分析这些安全策略,来抵御任何网络攻击与威胁,使校园网稳定有效地运行下去。
1 校园网安全问题分析
校园网络系统是为储存学生数据资料、为学生和教师提供服务并收集信息、为整个校园提供网络教育的一个平台。因此,校园网络安全策略的目的是防止人们滥用甚至窃取所有校园数据资源,并抵御网络黑客和各种病毒、木马程序的攻击。应保证校园网络系统安全有效的运行,保证教学完善进行。
1.1 校园网出现安全隐患的原因。首先,由于网络管理员在设置上造成的一些失误,例如对校园网的操作系统、硬件设备以及相关软件进行的配置不当所造成的一些安全漏洞问题,所导致的未安全设置路由器IP、用户的访问权限过大以及过多打开服务器端口等。这些情况都会给校园网安全带来巨大的隐患。其次,一些人利用网络安全漏洞,对校园网络数据进行恶意破坏,他们可能会攻击学校的Web服务器,破坏学校主页、窃取学校机密文件、向学校服务器发送大量信息而导致校园网络瘫痪等。
1.2 校园网络安全隐患的后果。校园网存在的网络隐患包括:使用病毒、木马程序、恶意代码等进行邮件发送和接收、远程管理等一些手段进行传播,其传播速度越来越快,并且破坏性极大。并且各种病毒、木马程序等被不断更新,更加智能化。这些安全隐患问题所造成的损失巨大。学校的数据可能被破坏或篡改,甚至会丢失;一些加密文档、数据被窃取或盗用、一些不良信息被传播、学校教师或学生的个人隐私被泄露。
2 校园网络的安全防护技术
我国的校园网通常以防火墙和入侵检测系统作为网络安全防护系统。各种攻击工具与手段层出不穷,变化多种多样,各种抵御设备也需要不断地进行改进,各种杀毒软件也需不断进行升级,且防御意识也要不断加强。不经意的疏忽都有可能给学校造成很大损失。
2.1 防护墙技术。一般网络安全的第一道防线是处于外网与校内网相连位置的防火墙。防火墙最主要的任务是:根据规则对请求进出的所有网络数据进行审查,只有满足规则的数据才会被允许通过网络;反之则被拒绝。其缺点是:因为防火墙技术属于被动的网络防护技术,所以它无法将病毒性的数据检测出来;由于校园网内部用户网络流量未经过防火墙,因此它不能防御校园网内部一些用户发起对FTP服务器、web服务器、DNS服务器以及MAIL服务器等的攻击。另一方面,如果这些服务器安装在防火墙后面,那么就得使用IPtables端口或反向NAT服务器进行转发,导致其灵活性下降且功能特性较差;对于抵御外网的攻击和入侵比较困难,甚至对一些警报有时无法作出及时的响应;系统管理员只有时刻仔细监视防火墙,才可能会注意到黑客的攻击,这样非常不方便;另外探测与测试防火墙的配置较困难。
2.2 入侵检测系统。首先,入侵检测系统(IDS)是指任何有能力进行检测或改变网络状态的系统,或者是系统的集合。之后IDS能够发送警报或是采取设定的行动来维护网络安全。IDS的一些主要功能:对系统活动和用户进行分析并监测,可以对一些重要的资料、文献、数据等进行评估,判断它们的完整性;负责系统日志的管理工作,对已知攻击行为和违反安全策略的用户活动能够识别出来;可以对系统的配置进行检测,并能够找出漏洞。
IDS在结构上分为基于主机的IDS即HIDS与基于网络的IDS即NIDS。最特别的HIDS是PortSentry软件,通常HIDS的数据源为系统日志和应用程序日志等,分析从主机获取的信息,将其作为监控程序来运行,一般其保护的是自身所在的整个系统。而NIDS工作于OSI-RM网络层,以网络上的数据包作为数据源并对其进行分析。通常在部署NIDS时会将主机的网卡设置成混杂模式,以监听、分析所有本网段内的数据包。
3 校园网的安全策略分析
3.1 登录控制。登录控制主要保证网络资源被非法使用或访问,是一种较为有效的网络安全防范和保护措施。登录控制能够有效监测校园网络的用户登录到服务器和路由器等网络设备来获取信息资源,可控制监测用户进入网络的时间及地点。一般用户访问网络控制有以下三个步骤:识别和验证用户名、用户口令以及用户账号的缺省限制检查。其中只要有任何一项未通过,此用户都不能进入网络。所以,通过登录控制能够进一步保证校园网络安全。
3.2 权限控制。针对网络的非法操作提出了权限控制,它赋予访问用户与用户组一定的权限,以限制其对资料、目录、文件以及其他共享资源的访问,对打印机等共享设备的操作。也是一种保护校园网络安全的策略。
3.3 定制IP安全策略。在Windows 2000中最新提供了一种基于点到点安全模型的IP安全策略,它可以更好的保证网络数据的安全。为防止一些恶意病毒程序对本地机器的访问,在工作时可关闭服务为空的端口。IP安全策略能够安全有效地将计算机的数据传送到终端计算机。
3.4 虚拟网络的控制。如果校园网络是由交换式局域网技术组建的, 那么通过拟网络技术可以加强其内部网络管理。虚拟网络技术的核心是网络分段,它按不同的部分和安全机制来隔离网络,来避免用户非法进入系统。网络分段有物理和逻辑两种分段方式。在物理层和数据链路层进行网络分段的为物理分段;在网络层进行整个系统分段的为逻辑层。分开的各网段之间无法直接通信。一般情况下将物理分段与逻辑分段相结合来进行实际应用。
3.5 将防火墙与入侵检测系统结合。防火墙是最基本保证网络安全的措施,它可按照需要来阻断或允许网络进入。IDS是对防火墙进行的重要修补,其基本作用是监测内部网络流量,并对所识别到的攻击进行报警。防火墙是最有效的减小扫描威胁的方式。而IDS可探测与阻碍主机的扫描,不能作为以防火墙的作用来维护网络安全。因为采用防火墙与IDS相结合不仅可以保护到校园网络受外界攻击,还能够检测校园网内部的网络通信进行和流量,并采取响应措施如报警或抵抗行为。所以这是最好的一种网络安全策略。
3.6 安装防毒杀毒软件。最常用的一种网络安全防范手段就是安装防毒杀毒软件。防毒杀毒软件可根据病毒库来对收到的邮件和信息、下载的信息数据、U盘等移动设备来进行杀毒,是对防火墙与入侵系统强有力的补充。但是病毒软件也存在弊端,因为它是根据病毒特征库进行查毒和杀毒,只能对病毒特征库中存在的病毒进行检测和查杀,所以它不能够有效栏截最新出现的一些病毒。由此看来,仍要加强对我国校园网的安全策略的完善。
4 结束语
保护校园网络的安全是一项任重而道远的任务,遇到的问题越来越复杂。但随着网络技术的不断更新发展,对各种安全隐患问题的研究与探索,可以有效地保护校园网络的发展。通过采用防火墙技术与入侵检测系统相结合,对校园网络进行权限设置等,可以有效地提高校园网络的安全系数。
参考文献:
[1]黄彬.浅析高校网络安全存在的问题及对策[J].信息安全与技术,2011(02):78-79.
[2]张莉.浅谈校园网的安全隐患及防范措施[J].网络安全技术与应用,2011(01):102-103.
篇6
关键词:校园网络;信息安全;防范策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6631-02
1 概述
网络信息安全是指保护信息财产,防止信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能如意运行、信息服务能满足要求。随着计算机技术和通信技术的发展,认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。同时进行信息系统安全防范,不断追踪新技术的应用情况,及时升级、完善自身的防御措施[1-2]。
1.1 网络安全的基本组成
从内容上看,网络安全大致包括四个方面:
1) 网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等。
2) 软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。
3) 网络中的数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等。
4) 网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
1.2 网络信息安全的目标
1) 完整性:完整性是指信息未经授权不能被修改、不被破坏、不人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
2) 可用性:可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
3) 可控性:可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
4) 保密性:保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
5) 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
2 校园网安全管理的特点及常见威胁[3-4]
2.1 校园网安全管理的特点
校园网是学校发展的重要基础设施,它不仅为学校提供各种本地网络应用,同时也是沟通学校校园网内外部网络的桥梁。笔者根据自身校园情况,认为当前校园网有以下特点:
1) 操作方便,易于管理:校园网接入复杂而且面积较大,网络维护需要方便快捷,设备网管性强,从而方便网络故障的快速排除。
2) 认证计费:校园网对学生上网必须进行有效的控制和计费策略,以提高网络的利用率。
3) 安全可靠:校园网中同样有大量关于档案管理和教学的重要数据,如果被破坏或窃取,对学校都将是一个很大的损失;
4) 校园信息结构出现多样化:校园网应用分为办公管理、电子教学和远程通讯等三大内容。数据类型复杂,不同类型数据对网络传输有不同的质量需求;
5) 高速的局域网连接:由于校园网的核心是面向自身校园师生的网络,因此局域网是建设重点。网络信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项重要要求。
2.2 校园网络信息的主要威胁
网络病毒是校园网络信息的最主要威胁,它除了具有可传播性、可执行性、稳蔽性、破坏性等计算机病毒的共性外,还具有一些新的特点:
1) 感染速度快:只要有一台工作站中病毒,几分钟内就可能将网上的数百台计算机全部感染。
2) 扩散面广:病毒在网络中扩散速度快、扩散范围大,不仅能迅速感染局域网内的所有计算机,还能通过网络将病毒在一瞬间传播到千里之外。
3) 传播形式复杂多样、难于彻底清除:单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。
4) 破坏性大:网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则导致网络崩溃,服务器信息被破坏。
5) 潜在危险性大。校园网络一旦感染了病毒,即使病毒已被清除,其潜在的危险也是巨大的,大部分的网络在病毒被清除后一个月内会再次感染。
6) 黑客攻击手段与病毒破坏技术相结合。病毒开始利用操作系统以及包括IE、outlook 、ICQ等常用网络软件的安全漏洞,进人机器内部进行远程控制,造成数据外泄及系统破坏。
3 网络安全的防范[5-7]
1) 网络病毒的防范:在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的防病毒产品:一个由服务器端统一控制管理客户端的全方位、多层次的防病毒软件。针对网络中所有可能的病毒攻击点设置对应的防病毒策略,并通过定期或不定期的升级,使网络免受病毒的侵袭。
2) 防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙技术是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。在局域网网络出口设置防火墙,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及网络设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出网络的活动,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源。
3) 入侵检测系统:入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。入侵检测属于动态的安全技术,它能帮助系统主动应对网络攻击,扩展了系统管理员的安全管理能力,同时也提高了校园网信息安全基础结构的完整性。入侵检测系统能在不影响校园网络性能的情况下能对校园网络进行监测,从而实现对内部攻击、外部攻击和误操作的实时保护。
4) 身份认证:身份认证是任何一个安全的计算机所必需的组成部分。身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触的,传统的指纹等手段已无法使用,同时大量的黑客随时随地都可能尝试向网络渗透,截获合法用户口令并冒名顶替,以合法身份入网,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。
5) 漏洞扫描系统:面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
6) 访问控制技术:访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
7) IP盗用问题的解决:在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
8) 利用网络监听维护子网系统安全:对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
4 结束语
本文所提到的校园网络安全防范只是加强安全性的建议,并不是做到这些就可以保证万无一失。认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要,只有当网络中的使用者学会如何安全的使用网络资源时,才能最终保证整个网络的安全。总之,网络安全是一个综合性的课题,只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为校园网络提供强大的安全服务。
参考文献:
[1] 李卫.计算机网络安全与管理[M].北京:清华大学出版社,2004.
[2] 李俊宇.信息安全技术基础[M].北京:冶金工业出版社.2004.
[3] 哈利,贾建勋,译.计算机病毒揭秘[M].北京:人民邮电出版社,2002.
[4] 程胜利,谈冉,熊文龙,等.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.
[5] 宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社,1999.
篇7
【关键词】校园网;网络安全;安全策略
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0329-02
1 校园网络安全规范
校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。
学校网络中心负责网络设备的运行管理,信息中心负责网络资源,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。
2 安全方案建议
2.1 校园网络状况分析
(1)资源分布和应用服务体系
校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(Email),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。
(2)网络结构的划分
整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。
2.2 网络安全目标
为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制管理。
(1)信息资源
a:公众信息;即不需要访问控制。
b:内部信息;即需要身份验证以及根据根据身份进行访问控制。
C:敏感信息;即需要验证身份和传输加密。
(2)服务资源包括:内部服务资源、公众服务资源
内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。
公众服务资源:面向匿名客户,防止和抵御外来的攻击。
3 校园网络安全技术的应用
3.1 建立网络安全模型
通信双方在网络上传输信息时,需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。
为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:
(1)设计一个算法,执行安全相关的转换;
(2)生成该算法的秘密信息;
(3)研制秘密信息的分发与共享的方法;
(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
3.2 数据备份方法
数据备份有多种实现形式,从备份模式看,分为物理备份和逻辑备份;从备份策略看,分为完全备份、增量备份和差异备份。
(1)逻辑备份
逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成,每个逻辑块存储在连续的物理磁盘块上,备份系统能识别文件结构,并拷贝所有文件和目录到备份资源上。
(2)物理备份。
物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为在执行过程中,花在搜索操作上的开销很少。
(3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以使用备份文件快速地恢复数据。
(4)增量备份
为了解决完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变,既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。
(5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
3.3 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。
防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用服务器都可以作为防火墙使用。
3.4 入侵检测技术
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:
(1)监控、分析用户和系统的行为。
(2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
4 校园网主动防御体系
校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略。因此网络安全防范体系应该是动态变化的,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全管理贯穿整个安全防范体系,是安全防范体系的核心。网络系统的安全性不只是技术方面的问题,一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,也无法提供黑客攻击的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵。
结论
通过上述分析,我提出如下校园网络安全防范策略:
(1)利用防火墙将内网和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将访问权限控制在最低限度内;
(4)在Internet出口处,使用NetHawk监控系统进行网络活动实时监控;
(5)在本校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(6)加强网络安全管理,提高全体人员的网络安全意识和防范技术。
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3
[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005, 52-56
[3] 陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社,2006.2:42-43
篇8
安全网络中,计算机病毒通过访问进行非法侵入。所以,对网络的访问进行控制,是有效保护网络的安全以及资源不被非法利用的有效途径。(1)对非法用户的访问进行严格防范。黑客以及间谍就是所谓非法用户中带有攻击性的人群,他们对网络进行攻击,就是非法访问。计算机中口令、密码、用户名等保护措施,当面临攻击性的非法用户时,轻而易举就能被破解,不能有效对信息实现保护。所以,我们必须要采用能够有效进行保护的防护措施,在访问中设定资源只有合法用户才能访问,非法用户禁止的权限。(2)对合法用户中含有的非授权访问进行防范。在合法用户中,也会有非授权访问的情况,简单说,就是合法用户在访问时,没经过许可情况下,对不该进入的资源进行访问。总的来说,每个人的计算机系统里面都有一部分可以对外访问的信息,另一部分是被保密的信息,属于个人隐私。所以,面对计算机信息的庞大服务人群时,一定要严格监控是否具有访问权限。
2系统安全
网络中,系统安全为防止网络被外界的危害侵蚀,采用一系列防护措施对网络进行保护,其中包括逻辑安全和物理安全。(1)物理安全。在上文中提到过物理安全,它是在计算机网络中,对网络安全设备进行物理保护,避免网络系统被破坏、资源文件丢失等的重要防护措施。物理角度上来说,校园网络因为涉及范围广且复杂,共用场所较多,不能像私人财产那样进行保护,所以从一定程度上来说,校园网络安全比较脆弱。校园网络中,所有不能上锁的地方,都有可能受到非法入侵、破坏。例如,电缆、光缆、远程网、局域网、电话线等。一旦这些地方受到非法入侵,教学的正常进行就会受到影响。(2)逻辑安全。信息的保密性、可用性和完整性是构成逻辑安全的主要部分。保密性是说,信息不可对没有经过授权许可的人泄露;完整性是指计算机系统中,可以做修改、删除一些程序和数据部分;可用性是说合法用户能够对计算机资源以及数据进行操纵,能够及时、安全、正确的被服务,反之,非法用户没有访问权限。
3防范计算机病毒
篇9
关键词:校园网 网络安全 设计
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。
一、物理安全设计
为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
二、网络共享资源和数据信息安全设计
针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
三、计算机病毒、黑客以及电子邮件应用风险防控设计
1.防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
2.防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
篇10
关键词: 数字化校园 校园网 网络安全
一、引言
逐渐丰富起来的应用和信息资源使校园网在学校教学、科研和管理等方面发挥的作用日益重要,广大师生从事教学、科研、生活和管理工作时对校园网依赖性也越来越高。然而,外部黑客的侵袭,内部人员的攻击,不良、非法信息的侵入和病毒破坏都能造成网络信息系统的瘫痪,严重威胁着网络的正常使用。网络的生命就在于网络的安全性。那么,在现有的条件下如何加强校园网络的防护,保证网络的畅通、信息的完整,直接关系到学校的整体形象、关系到学校的整体利益、关系到学生的成长和成才。
二、校园网面临的安全隐患
绝大部分高校校园网通过Cernet与Internet相连,在享受Internet资源的同时,也面临着遭受来自Internet的外部攻击风险。同时,校园网连接除了学校各院、系等教学、行政单位网络外,还连接着校内的学生机,由于内部用户对网络的结构和应用模式都比较了解,因此校园网还存在着来自内部的安全隐患。由此我们分析高校校园网络安全主要面临着以下四个方面的威胁。
1.程序安全漏洞
网络设备、操作系统和应用软件都可能存在安全漏洞。这些漏洞一旦被黑客和病毒利用,将给校园网带来灾难性的后果。并且,软件和硬件配置不当同样会造成相当严重的安全问题。
2.网络入侵
包括黑客、破坏者和其他试图非法访问网络资源的用户。入侵可能来自校园网外部,也可能来自校园网内部。攻击的动机可能是恶意破坏,也可能是出于兴趣和好奇心,但同样都会给校园网的安全造成威胁。校园网的使用者主要是学生,部分学生对网络很感兴趣,而且具有一定的专业水平,攻击校园网就成了他们表现自己所学知识的首选。
3.计算机病毒的威胁
校园网络带给大家方便的同时,也成了计算机病毒传播最快捷的途径。随着网络的快速发展,病毒编制者水平的提高和病毒与黑客软件的结合,使网络病毒频繁爆发,造成不可估计的损害,轻则是和用户开个玩笑,重则破坏计算机软件、硬件,导致机密数据外泄,还可能使得整个网络处于瘫痪状态。特别是现在校园网络接入互联网的带宽不断地提高,BT流行,传输文件越来越简单,为用户下载提供了方便,但下载的软件和电子邮件有可能带有病毒,这无疑也为网络病毒的传播大开方便之门。
4.用户安全意识薄弱
校园网是以大量用户为中心的系统,一个合法的用户在这个系统中可以执行大多数操作。尽管网管人员通过访问控制策略等手段可以限定用户的某些对网络产生破坏的行为,但更多的安全措施必须由用户自己来完成。用户安全意识薄弱,操作不规范都是威胁校园网安全的主要因素。比如U盘病毒在校内大范围地传播。
三、校园网安全措施
网络安全是一个涉及面较广的问题,应该说任何单一的安全措施都不可能提供真正的全方位的网络安全。[1]针对高校网络具有较多的用户群,访问方式多样,网络访问突发性较高等特点,一方面我们要加强网络安全技术层面上的维护,另一方面也要加强校园网的使用管理,具体策略如下。
1.加强校园网安全管理
学校管理层应重视高校计算机网络的安全管理,加大投入,完善校园网安全管理的各项规章制度,健全网络安全监督机制;并引进专业的网络安全管理人才,对网络管理人员进行专项培训,加强安全意识和安全业务技能;重视校园网用户安全教育,大力开展学生网络道德教育,对大学生进行安全常识教育,如防病毒软件的安装、病毒库的更新、来历不明电子邮件的处理等,以抵御来自校园网外部的攻击。
2.构建全面的安全技术策略
从技术应用层面考虑,应通过合理有效的网络管理技术来应对日趋复杂多变的网络环境,通过各种技术手段来监督、组织和控制网络通信服务,以及信息的处理,确保校园网安全运行。
(1)访问控制
访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。账号和密码保护可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。系统管理员密码的位数一定要多,至少应该在8位以上,而且不要设置成容易猜测的密码,如自己的名字、出生日期等。对于普通用户,设置一定的账号管理策略,如各种开机口令、登陆口令、共享权限口令等,并强制用户每个月更改一次密码。[2]对于一些不常用的账户要关闭,比如匿名登录账号。
(2)配备完整的系统的网络安全设备
校园网络虽然比较复杂,但从整体技术架构来看,还是属于局域网范畴,因此,在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外需要注意的是,校园网络现在基本上都是高速网络,因此配置安全设备既要考虑到功能,又必须考虑性能,将配置安全设备后对网络性能的影响尽可能的降到最低。据此要求,校园网络需要配备以下安全设备:高性能的硬件防火墙;旁路监听型的入侵检测系统;漏洞扫描系统;安全审计系统;旁路监听型不良内容过滤系统;覆盖全校范围的网络版防病毒系统;网络故障检测,以及网络故障诊断设备。通过配置这些安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
(3)安装补丁程序和网络杀毒软件
任何操作系统都有漏洞,大部分校园网服务器使用的操作系统都有漏洞,尤其是Windows 2000、Windows 2003等微软的操作系统。网络系统管理员需要及时对系统进行升级,有时候也可以借助第三方安全软件来对系统进行升级,如“360安全卫士”就是很好的免费软件。
电脑病毒的防范,根据校园网现状,在充分考虑可行性的基础上,可采用杀毒软件网络版的分级管理,多重防护体系作为校园网的防病毒管理架构。充分使用杀毒软件网络版所拥有的“远程安装”、“智能升级”、“集中管理”等多种功能,为校园网络建立起一个完善的防病毒体系。
四、结语
随着网络技术的迅猛发展,校园网安全问题也会变的异常严峻,本文归纳并提出了一些校园网络信息安全防护的方法和策略。如今,校园网络越来越多地担当着学校教学、科研、管理和对外交流等许多重要的角色。尤其是现代高等院校,逐步实现网络化和信息化办公、网络学术交流等是院校自身发展的必经之路。
参考文献:
