论文部分内容阅读
摘 要:随着学校信息化建设进一步加强,校园网日益普及。在网络运行过程中,校园网的安全问题也变得越来越突出。本文通过对校园网安全问题的分析,提出了网络安全防范对策。
关键词:校园网 网络安全 防范对策
一、引言
校园网作为学校信息化建设的基础设施,不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境。而且会加强各院校之间的互联互通,极大地提高教育行业整体的工作效率和教育质量。然而不幸的是。近年来大规模的网络安全事件接连发生,互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷。导致网络业务无法正常进行。针对校园网的安全问题,提出相应的防范对策是十分必要的。
二、校园网中主要的安全问题及分析
1.物理安全。是指针对物理设备的存放环境不当、人为操作失误或错误、计算机犯罪行为的发生等,使网络资源使用发生异常,造成校园网不能正常运行。可以说,物璩安全是保障整个网络系统安全的前提。
2.非授权访问。是指未经授权或假冒合法用户而获得了访问网络资源的权限,从而获取所需资料、篡改有关数据或利用有关资源从事非法活动的情况。在校园网上最常见的是盗用合法用户的IP地址,给合法用户造成经济损失,造成网络冲突,使得网络不能正常工作,严重地造成主机瘫痪,影响整个校园网的运行。
3.拒绝服务攻击。是指攻击者恶意地向目标机器发送信息洪流,占用网络资源和计算机设备资源,这些资源包括磁盘空间、内存、进程甚至网络宽带,阻止正常用户的访问,使网络处于一种瘫痪状态。
4.计算机病毒。互联网已经成为计算机病毒传播最大的来源,互联网上出现了种种新的病毒,利用电子邮件和网络信息传播,感染快、危害严重,其破坏性大大高于单机系统,而且用户很难防范。校园网上因主机与用户众多且用户水平参差不齐,计算机病毒易爆发大规模感染且清除困难。
基于以上存在的安全问题,认真分析可以总结出校园网面临着如下的安全威胁:
(1)各种操作系统以及应用系统自身的漏洞带来的安全威胁;
(2)Intemet网络用户对校园网存在非法访问或恶意入侵的威胁,尤其针对网站和服务器的攻击最为明显;
(3)来自校园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;
(4)内部用户对Intemet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带人校园内网;
(5)内外网恶意用户可能利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;
(6)校园网内的学生群体是主要的OICQ用户,目前针对OlCQ的黑客程序随处可见:
(7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
三、校园网络安全防范对策
要解决校园网的安全问题,必须全面地研究其防范对策。下面从物理、系统、网络、应用及管理五个方面制订对策:
1.物理层安全
物理层的安全主要包括环境、设备及线路的安全。它是指保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生;采用内外网物理隔离、磁盘阵列对数据进行数据备份等措施来解决数据物理安全。由此,系统中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求;在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏;保护线路的安全,防止用户的搭线窃听行为。
2.系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种:
(1)采用主机加固手段对主机☆n固,如升级、打补丁、关闭不需要的端口等。
(2)采用主机访问控制手段加强对主机的访问控制。
在实际应用中,可以利用各类防、杀病毒软件、各类系统优化软件、对操作系统自身设置主策略等实现。
3.网络层安全
校园网中局域网数目较多,根据需要多个网络可能要互相链接。正是这种多网的互联,使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护:
(1)划分安全子网。如果同一局域网内有不同等级的安全域,可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制,不允许学生机房的机器访问多媒体机房的机器。
(2)加强网络边界的訪问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间,利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。
(3)防止内外的攻击威胁。在每个安全域内或多个安全域之厨安装联想网御入侵检测系统(IDS),可有效地防止来自网络内外的攻击。
(4)定期的网络安全性检测实现持续安全。利用漏洞扫描器(Scanner),定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到阿络的相对持续安全。
(5)建立网络防病毒系统。在校园网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒,保护全网不被病毒侵害。
4.应用层安全
应用层的安全措施主要有以下几点:
(1)各应用系统自身的加固。
(2)建立身份系统。身份认证系统查核用户的身份证明过程,是判明和确认通信双方真实身份的重要环节。常用的验证技术有以下三种:报文鉴别;身份鉴别,包括口令鉴别、磁卡鉴别、生物特征鉴别;数字签名。
,(3)建立安全审计系统。规范用户上网行为和系统调用。保证网络用户资源不被非法使用,保证网络管理系统本身不被为授权的访问。
(4)建立备份系统。在网络系统出现各类异常时起到保护作用。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
5.管理层安全
实现管理层的安全主要有以下几点:
(1)建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析,定期维护维修。
(2)建立、健全安全管理体制。校园网用户较多,一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。
(3)提高全员的安全意识。定期组织网络安全培训,定期发布各类网络安全警报。
四、结束语
建立全面实用可行的防范措施,解决校园网的安全问题需在校园网规范、设计、建设、运行、管理的各个环节加于重视。同时,防范措施要符合校园网应用与安全的实际需求,避免盲目追求高要求。网络安全又是一个动态的过程,在网络运行过程中,应及时发现新问题,研究新方法,使校园网正常、安全、高效地运行。
关键词:校园网 网络安全 防范对策
一、引言
校园网作为学校信息化建设的基础设施,不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境。而且会加强各院校之间的互联互通,极大地提高教育行业整体的工作效率和教育质量。然而不幸的是。近年来大规模的网络安全事件接连发生,互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷。导致网络业务无法正常进行。针对校园网的安全问题,提出相应的防范对策是十分必要的。
二、校园网中主要的安全问题及分析
1.物理安全。是指针对物理设备的存放环境不当、人为操作失误或错误、计算机犯罪行为的发生等,使网络资源使用发生异常,造成校园网不能正常运行。可以说,物璩安全是保障整个网络系统安全的前提。
2.非授权访问。是指未经授权或假冒合法用户而获得了访问网络资源的权限,从而获取所需资料、篡改有关数据或利用有关资源从事非法活动的情况。在校园网上最常见的是盗用合法用户的IP地址,给合法用户造成经济损失,造成网络冲突,使得网络不能正常工作,严重地造成主机瘫痪,影响整个校园网的运行。
3.拒绝服务攻击。是指攻击者恶意地向目标机器发送信息洪流,占用网络资源和计算机设备资源,这些资源包括磁盘空间、内存、进程甚至网络宽带,阻止正常用户的访问,使网络处于一种瘫痪状态。
4.计算机病毒。互联网已经成为计算机病毒传播最大的来源,互联网上出现了种种新的病毒,利用电子邮件和网络信息传播,感染快、危害严重,其破坏性大大高于单机系统,而且用户很难防范。校园网上因主机与用户众多且用户水平参差不齐,计算机病毒易爆发大规模感染且清除困难。
基于以上存在的安全问题,认真分析可以总结出校园网面临着如下的安全威胁:
(1)各种操作系统以及应用系统自身的漏洞带来的安全威胁;
(2)Intemet网络用户对校园网存在非法访问或恶意入侵的威胁,尤其针对网站和服务器的攻击最为明显;
(3)来自校园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;
(4)内部用户对Intemet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带人校园内网;
(5)内外网恶意用户可能利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;
(6)校园网内的学生群体是主要的OICQ用户,目前针对OlCQ的黑客程序随处可见:
(7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
三、校园网络安全防范对策
要解决校园网的安全问题,必须全面地研究其防范对策。下面从物理、系统、网络、应用及管理五个方面制订对策:
1.物理层安全
物理层的安全主要包括环境、设备及线路的安全。它是指保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生;采用内外网物理隔离、磁盘阵列对数据进行数据备份等措施来解决数据物理安全。由此,系统中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求;在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏;保护线路的安全,防止用户的搭线窃听行为。
2.系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种:
(1)采用主机加固手段对主机☆n固,如升级、打补丁、关闭不需要的端口等。
(2)采用主机访问控制手段加强对主机的访问控制。
在实际应用中,可以利用各类防、杀病毒软件、各类系统优化软件、对操作系统自身设置主策略等实现。
3.网络层安全
校园网中局域网数目较多,根据需要多个网络可能要互相链接。正是这种多网的互联,使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护:
(1)划分安全子网。如果同一局域网内有不同等级的安全域,可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制,不允许学生机房的机器访问多媒体机房的机器。
(2)加强网络边界的訪问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间,利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。
(3)防止内外的攻击威胁。在每个安全域内或多个安全域之厨安装联想网御入侵检测系统(IDS),可有效地防止来自网络内外的攻击。
(4)定期的网络安全性检测实现持续安全。利用漏洞扫描器(Scanner),定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到阿络的相对持续安全。
(5)建立网络防病毒系统。在校园网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒,保护全网不被病毒侵害。
4.应用层安全
应用层的安全措施主要有以下几点:
(1)各应用系统自身的加固。
(2)建立身份系统。身份认证系统查核用户的身份证明过程,是判明和确认通信双方真实身份的重要环节。常用的验证技术有以下三种:报文鉴别;身份鉴别,包括口令鉴别、磁卡鉴别、生物特征鉴别;数字签名。
,(3)建立安全审计系统。规范用户上网行为和系统调用。保证网络用户资源不被非法使用,保证网络管理系统本身不被为授权的访问。
(4)建立备份系统。在网络系统出现各类异常时起到保护作用。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
5.管理层安全
实现管理层的安全主要有以下几点:
(1)建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析,定期维护维修。
(2)建立、健全安全管理体制。校园网用户较多,一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。
(3)提高全员的安全意识。定期组织网络安全培训,定期发布各类网络安全警报。
四、结束语
建立全面实用可行的防范措施,解决校园网的安全问题需在校园网规范、设计、建设、运行、管理的各个环节加于重视。同时,防范措施要符合校园网应用与安全的实际需求,避免盲目追求高要求。网络安全又是一个动态的过程,在网络运行过程中,应及时发现新问题,研究新方法,使校园网正常、安全、高效地运行。