论文部分内容阅读
【摘 要】校园网络也会面临同样的威胁,所以我们在知道网络功防基础上应该构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是改进管理方法。从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。
【关键词】校园网;网络安全;安全策略
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0329-02
1 校园网络安全规范
校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。
学校网络中心负责网络设备的运行管理,信息中心负责网络资源,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。
2 安全方案建议
2.1 校园网络状况分析
(1)资源分布和应用服务体系
校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(Email),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。
(2)网络结构的划分
整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。
2.2 网络安全目标
为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制管理。
(1)信息资源
a:公众信息;即不需要访问控制。
b:内部信息;即需要身份验证以及根据根据身份进行访问控制。
C:敏感信息;即需要验证身份和传输加密。
(2)服务资源包括:内部服务资源、公众服务资源
内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。
公众服务资源:面向匿名客户,防止和抵御外来的攻击。
3 校园网络安全技术的应用
3.1 建立网络安全模型
通信双方在网络上传输信息时,需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。
为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:
(1)设计一个算法,执行安全相关的转换;
(2)生成该算法的秘密信息;
(3)研制秘密信息的分发与共享的方法;
(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
3.2 数据备份方法
数据备份有多种实现形式,从备份模式看,分为物理备份和逻辑备份;从备份策略看,分为完全备份、增量备份和差异备份。
(1)逻辑备份
逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成,每个逻辑块存储在连续的物理磁盘块上,备份系统能识别文件结构,并拷贝所有文件和目录到备份资源上。
(2)物理备份。
物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为在执行过程中,花在搜索操作上的开销很少。
(3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以使用备份文件快速地恢复数据。
(4)增量备份
为了解决完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变,既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。
(5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
3.3 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。
防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用代理服务器都可以作为防火墙使用。
3.4 入侵检测技术
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:
(1)监控、分析用户和系统的行为。
(2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
4 校园网主动防御体系 校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略。因此网络安全防范体系应该是动态变化的,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全管理贯穿整个安全防范体系,是安全防范体系的核心。网络系统的安全性不只是技术方面的问题,一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,也无法提供黑客攻击的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵。
结论
通过上述分析,我提出如下校园网络安全防范策略:
(1)利用防火墙将内网和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将访问权限控制在最低限度内;
(4)在Internet出口处,使用NetHawk监控系统进行网络活动实时监控;
(5)在本校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(6)加强网络安全管理,提高全体人员的网络安全意识和防范技术。
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3
[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005, 52-56
[3] 陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社,2006.2:42-43
[4] 宋劲松.网络入侵检测:分析、发现和报告攻击[M]. 国防工业出版社,2004.9:26-28
[5] 王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005.6:19-20
【关键词】校园网;网络安全;安全策略
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0329-02
1 校园网络安全规范
校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。
学校网络中心负责网络设备的运行管理,信息中心负责网络资源,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。
2 安全方案建议
2.1 校园网络状况分析
(1)资源分布和应用服务体系
校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(Email),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。
(2)网络结构的划分
整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。
2.2 网络安全目标
为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制管理。
(1)信息资源
a:公众信息;即不需要访问控制。
b:内部信息;即需要身份验证以及根据根据身份进行访问控制。
C:敏感信息;即需要验证身份和传输加密。
(2)服务资源包括:内部服务资源、公众服务资源
内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。
公众服务资源:面向匿名客户,防止和抵御外来的攻击。
3 校园网络安全技术的应用
3.1 建立网络安全模型
通信双方在网络上传输信息时,需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。
为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:
(1)设计一个算法,执行安全相关的转换;
(2)生成该算法的秘密信息;
(3)研制秘密信息的分发与共享的方法;
(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
3.2 数据备份方法
数据备份有多种实现形式,从备份模式看,分为物理备份和逻辑备份;从备份策略看,分为完全备份、增量备份和差异备份。
(1)逻辑备份
逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成,每个逻辑块存储在连续的物理磁盘块上,备份系统能识别文件结构,并拷贝所有文件和目录到备份资源上。
(2)物理备份。
物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为在执行过程中,花在搜索操作上的开销很少。
(3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以使用备份文件快速地恢复数据。
(4)增量备份
为了解决完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变,既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。
(5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
3.3 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。
防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用代理服务器都可以作为防火墙使用。
3.4 入侵检测技术
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:
(1)监控、分析用户和系统的行为。
(2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
4 校园网主动防御体系 校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略。因此网络安全防范体系应该是动态变化的,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全管理贯穿整个安全防范体系,是安全防范体系的核心。网络系统的安全性不只是技术方面的问题,一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,也无法提供黑客攻击的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵。
结论
通过上述分析,我提出如下校园网络安全防范策略:
(1)利用防火墙将内网和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将访问权限控制在最低限度内;
(4)在Internet出口处,使用NetHawk监控系统进行网络活动实时监控;
(5)在本校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(6)加强网络安全管理,提高全体人员的网络安全意识和防范技术。
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3
[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005, 52-56
[3] 陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社,2006.2:42-43
[4] 宋劲松.网络入侵检测:分析、发现和报告攻击[M]. 国防工业出版社,2004.9:26-28
[5] 王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005.6:19-20