论文部分内容阅读
摘要: 一旦校园网接入Internet公网,任何人都可以通过计算机访问校园网络,这就为网络的各种攻击、病毒传播、窃取资料及更改数据等题供可能,因此校园网的安全问题就显得尤为重要。就校园网的安全性进行分析,并提出一些防范措施。
关键词: 校园网;网络威胁;防范技术
中图分类号:TP393.18 文献标识码:A 文章编号:1671-7597(2011)0920190-01
1 问题的提出
校园网作为开放网络的组成部分也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。
2 校园网网络安全面临的威胁
2.1 物理安全的主要威胁。电源故障造成设备断电导致操作系统引导失败或数据库信息丢失,设备被盗、被毁造成数据丢失或信息泄漏。
2.2 应用程序的安全漏洞带来的威胁。应用程序的安全涉及很多方面。应用程序系统是动态的、不断变化的,安全性也是动态的。这就需要我们针对不同的应用程序安全漏洞采取相应的安全措施,降低应用程序的安全风险。1)病毒程序和木马程序的危害。由于校园网接入的计算机数量很大,计算机普遍采用windows作为操作系统,而目前各种计算机病毒大多数都是针对windows操作系统的,网络又是病毒传播的最好、最快的途径之一,病毒程序可以通过网上下载、电子邮件或U盘传播等途径进入校园网。校园网中一旦有一台计算机受病毒感染,病毒程序就完全可能扩散,传播到校园网上的计算机,使计算机的上网速度变慢,甚至造成整个计算机网络传输中断,这其中很可能造成信息泄漏、文件丢失、破坏数据、毁损硬件等后果。2)资源共享。校园网内部有办公自动化系统,而办公网络应用通常是共享网络资源,缺少必要的访问控制策略,教职工就可能有意、无意的把硬盘中重要信息长期暴露在网络上,被轻易窃取并传播出去造成泄密。3)电子邮件系统。电子邮件的发送和接收为木马和病毒的传播提供了可能,由于许多用户安全意识淡薄,对一些来历不明的邮件没有警惕性,从而给入侵者提供机会,给系统带来不安全因素。
2.3 对应用服务器的恶意攻击。针对校园网应用服务器的网络攻击,往往具有影响范围广、损失大、后续处理难度高的特点,是目前校园网管理员最关注的安全问题。校园网中较易受攻击的应用服务器主要是DNS服务器、Web应用服务器和邮件服务器。
2.4 来自互联网的安全威胁。攻击者可通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击;黑客通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息或发动拒绝服务攻击等。
3 校园网的安全对策
3.1 设备安全
设备安全主要包括设备的防盗、防遭破坏、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
3.2 逻辑安全对策
3.2.1 系统安全措施。尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用程序如:Windows NT下的LMHOST、SAM等。使用权限进行严格限制;加强口令字的使用并定期使用正版的防病毒产品或360对操作系统进行安全性扫描,发现其中存在的安全漏洞要及时的对系统漏洞打补丁,并有针对性地对网络设备重新配置或升级。系统内部的相互调用不对外公开。应用服务器系统尽量停止使用一些不常用的协议、关闭不用的协议端口。加强登录身份认证,确保用户使用的合法性,严格限制登录者的操作权限;充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.2.2 隔离与访问控制。1)严格的管理制度。制定严格的管理制度,尤其对管理权限,口令保密进行严格的规定,采用分级管理,尽量使管理权限的有效性体现出来,防止一个人拥有太多的权限。2)划分虚拟子网(VLAN)。内部办公自动化网络根据不同用户安全级别的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有专门配置的情况下,不同虚拟子网间是不能够互相访问的。通过虚拟子网的划分,能够实现初步的访问控制。3)配备防火墙。① 在校园网与外部Internet的接口处安装具有相当防护功能的防火墙,以阻挡来自外部网络的入侵;其次,在校园网内部网络规模较大的虚拟子网(VLAN)间安装防火墙;通过网管中心连接的各分支部门之间也应该设置防火墙。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是校园网内部还是与外部公网的连接处,都应该安装防火墙。② 对于防火墙的选择和使用要注意以下三点:一是防火墙本身也应该保证安全,不给外部侵入者以可乘之机。二是防火墙本身的设计正确。三是无误。
4 入侵检测
网络安全不可能完全依靠防火墙单一产品来实现,网络安全是整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测是在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
5 病毒防护
校园网防病毒产品不仅要安装在关键的服务器上,网络内部其他环节也要安装防病毒产品,同时及时更新病毒代码库。防病毒产品必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。在选择防病毒产品时要考虑病毒查杀能力、病毒代码更新能力、实时监控能力、快速方便的升级能力、占用系统资源情况等因素。
6 数据备份,重装系统,磁盘格式化后恢复备份
定期对系统和一些重要数据进行备份,定期对系统进行检查,若发现系统不正常就得不怕麻烦的对系统进行先格式化后恢复备份的处理,或重做系统。
7 安全管理
应制定有关规章制度,确定安全管理等级和安全管理范围;制订有关网络操作使用规章制度;制定网络系统的维护制度和应急措施等;构建安全管理平台,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,实现校园网的安全管理;应该经常对工作人员进行网络安全防范技术知识的培训,提高他们的网络安全防范技术和意识。
8 结束语
对校园网安全的分析后,相信采用了这些防范措施,校园网络安全将得到一定程度的保障。但校园网将不断面临很多新的安全问题,我们必须时刻关注最新的网络安全发展动态,采用最新的技术,这样才能保证校园网络安全运行。
参考文献:
[1]乔亚丽,浅谈校园网建设规划[J].山西科技,2006(01).
[2]Greg Holden著,网络防御与安全对策第一版,北京:清华大学出版社,2004.4.
关键词: 校园网;网络威胁;防范技术
中图分类号:TP393.18 文献标识码:A 文章编号:1671-7597(2011)0920190-01
1 问题的提出
校园网作为开放网络的组成部分也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。
2 校园网网络安全面临的威胁
2.1 物理安全的主要威胁。电源故障造成设备断电导致操作系统引导失败或数据库信息丢失,设备被盗、被毁造成数据丢失或信息泄漏。
2.2 应用程序的安全漏洞带来的威胁。应用程序的安全涉及很多方面。应用程序系统是动态的、不断变化的,安全性也是动态的。这就需要我们针对不同的应用程序安全漏洞采取相应的安全措施,降低应用程序的安全风险。1)病毒程序和木马程序的危害。由于校园网接入的计算机数量很大,计算机普遍采用windows作为操作系统,而目前各种计算机病毒大多数都是针对windows操作系统的,网络又是病毒传播的最好、最快的途径之一,病毒程序可以通过网上下载、电子邮件或U盘传播等途径进入校园网。校园网中一旦有一台计算机受病毒感染,病毒程序就完全可能扩散,传播到校园网上的计算机,使计算机的上网速度变慢,甚至造成整个计算机网络传输中断,这其中很可能造成信息泄漏、文件丢失、破坏数据、毁损硬件等后果。2)资源共享。校园网内部有办公自动化系统,而办公网络应用通常是共享网络资源,缺少必要的访问控制策略,教职工就可能有意、无意的把硬盘中重要信息长期暴露在网络上,被轻易窃取并传播出去造成泄密。3)电子邮件系统。电子邮件的发送和接收为木马和病毒的传播提供了可能,由于许多用户安全意识淡薄,对一些来历不明的邮件没有警惕性,从而给入侵者提供机会,给系统带来不安全因素。
2.3 对应用服务器的恶意攻击。针对校园网应用服务器的网络攻击,往往具有影响范围广、损失大、后续处理难度高的特点,是目前校园网管理员最关注的安全问题。校园网中较易受攻击的应用服务器主要是DNS服务器、Web应用服务器和邮件服务器。
2.4 来自互联网的安全威胁。攻击者可通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击;黑客通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息或发动拒绝服务攻击等。
3 校园网的安全对策
3.1 设备安全
设备安全主要包括设备的防盗、防遭破坏、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
3.2 逻辑安全对策
3.2.1 系统安全措施。尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用程序如:Windows NT下的LMHOST、SAM等。使用权限进行严格限制;加强口令字的使用并定期使用正版的防病毒产品或360对操作系统进行安全性扫描,发现其中存在的安全漏洞要及时的对系统漏洞打补丁,并有针对性地对网络设备重新配置或升级。系统内部的相互调用不对外公开。应用服务器系统尽量停止使用一些不常用的协议、关闭不用的协议端口。加强登录身份认证,确保用户使用的合法性,严格限制登录者的操作权限;充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.2.2 隔离与访问控制。1)严格的管理制度。制定严格的管理制度,尤其对管理权限,口令保密进行严格的规定,采用分级管理,尽量使管理权限的有效性体现出来,防止一个人拥有太多的权限。2)划分虚拟子网(VLAN)。内部办公自动化网络根据不同用户安全级别的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有专门配置的情况下,不同虚拟子网间是不能够互相访问的。通过虚拟子网的划分,能够实现初步的访问控制。3)配备防火墙。① 在校园网与外部Internet的接口处安装具有相当防护功能的防火墙,以阻挡来自外部网络的入侵;其次,在校园网内部网络规模较大的虚拟子网(VLAN)间安装防火墙;通过网管中心连接的各分支部门之间也应该设置防火墙。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是校园网内部还是与外部公网的连接处,都应该安装防火墙。② 对于防火墙的选择和使用要注意以下三点:一是防火墙本身也应该保证安全,不给外部侵入者以可乘之机。二是防火墙本身的设计正确。三是无误。
4 入侵检测
网络安全不可能完全依靠防火墙单一产品来实现,网络安全是整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测是在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
5 病毒防护
校园网防病毒产品不仅要安装在关键的服务器上,网络内部其他环节也要安装防病毒产品,同时及时更新病毒代码库。防病毒产品必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。在选择防病毒产品时要考虑病毒查杀能力、病毒代码更新能力、实时监控能力、快速方便的升级能力、占用系统资源情况等因素。
6 数据备份,重装系统,磁盘格式化后恢复备份
定期对系统和一些重要数据进行备份,定期对系统进行检查,若发现系统不正常就得不怕麻烦的对系统进行先格式化后恢复备份的处理,或重做系统。
7 安全管理
应制定有关规章制度,确定安全管理等级和安全管理范围;制订有关网络操作使用规章制度;制定网络系统的维护制度和应急措施等;构建安全管理平台,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,实现校园网的安全管理;应该经常对工作人员进行网络安全防范技术知识的培训,提高他们的网络安全防范技术和意识。
8 结束语
对校园网安全的分析后,相信采用了这些防范措施,校园网络安全将得到一定程度的保障。但校园网将不断面临很多新的安全问题,我们必须时刻关注最新的网络安全发展动态,采用最新的技术,这样才能保证校园网络安全运行。
参考文献:
[1]乔亚丽,浅谈校园网建设规划[J].山西科技,2006(01).
[2]Greg Holden著,网络防御与安全对策第一版,北京:清华大学出版社,2004.4.