论文部分内容阅读
摘 要:计算机及网络的应用带给高校巨大便利的同时也带来了许多威胁与破坏,本文针对威胁高校局域网的主要因素进行了系统分析,并提出了相应解决方案。
关键词:局域网;威胁;对策
在科学技术发展的今天,计算机和计算机网络正在逐步改变着人们的学习、工作和生活方式,尤其是Inlernet的广泛使用为高校的教育训练、管理、信息交流等带来了前所未有的高效和快捷,但同时计算机网络的安全隐患亦日益突出。
从网络结构上来看,高校局域网可分为三个部分,即高校机关子网、各专业系子网和连接地方的广域网。各高校建立网站的主要目的是用于教育训练、全面建设和信息交流,局域网信息平台是高校建设的重要组成部分,局域网运行是否安全稳定,对高校完成教育训练任务和全面建设,有着举足轻重的作用。因此,认真做好高校局域网安全防范工作是十分重要的。
一、威胁安全的主要因素
由于高校局域网是由内部网络和外部网络两部分组成,网络结构复杂,威胁来自各个方面,典型的攻击方式有:密码破解、网络窃听、数据篡改、地址欺骗、垃圾邮件和非法入侵等。其中,密码破解是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码,除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码;网络窃听是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息;数据篡改是指截获并修改网络上特定的数据包来破坏目标数据的完整性;地址欺骗是指攻击者将自身IP伪装成目标机器信任的机器的IP地址,以此来获得对方的信任;垃圾邮件主要表现为黑客利用自己在网络上所控制的计算机向邮件服务器发送大量的垃圾邮件,或者利用邮件服务器把垃圾邮件发送到网络上其他的服务器上;非法入侵指黑客利用网络的安全漏洞,不经允许非法访问内部网络或数据资源,从事删除、复制甚至毁坏数据的活动,一旦重要数据被窃将会造成无法挽回的损失。
二、高校局域网安全防范的措施
(一)健全规章制度
国家对计算机网络的信息安全保密问题非常重视,国务院和有关职能部门,先后颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统保密管理暂行规定》等一系列法规,以及关于信息内容、信息安全技术、信息安全产品的授权审批规定。这些都是我们进行网络信息安全保密管理的依据和指南。在上述法规的指导下,各高校应结合自己的实际情况,进一步建章立制、细化规定,使法规制度更加完善,并确保落实。一是检查制度。制定计算机、安全保密设备与设施的检查制度及规定。二是机房制度。制定计算机机房外来人员接待制度,以及进入机房的审批、登记和持证上岗制度。三是审查制度。制定上网资源审查制度。四是管理制度。制定操作系统、数据库系统、应用系统运行的操作访问权限、口令管理和安全体系的主密钥管理制度,以及秘密数据、资料载体的借阅、使用、复制、转送、携带、保存、销毁等细则。
(二)编配专(兼)职人员
为了做好计算机网络信息安全保密工作,必须在认真学习、贯彻国家制定的信息安全保密法规的基础上,根据计算机网络信息安全保密工作的特点和要求,结合具体情况,设置专门的计算机网络信息安全保密管理机构,并编配专(兼)职的信息安全保密管理人员。对涉及重要秘密的计算机工作人员,应按机要人员的条件配备,不适合者必须调离。同时,要稳定计算机网络信息安全保密管理人员队伍,在人员离职或改变工作岗位时,应及时调整补充。
(三)搞好设备管理
对计算机网络设备和信息安全保密设备的管理,是网络信息安全保密管理工作的一个重要方面,必须给予足够的重视。一是立足国内,适度引进。应制定并严格执行计算机网络设备引进规定,严格限制引进设备的使用范围,研究、开发信息安全检测设备,对引进产品(尤其是芯片和系统软件)中的恶意功能进行严格的检测,以防患于未然。二是合理配置,防止电磁泄密。计算机网络设备应配置在不利于破坏分子利用网络设备的电磁辐射窃取秘密信息的地方,对机房、主机和计算机内部的主要工作部件,应加以屏蔽保护。三是统一规划,建立安全保密体系。计算机网络信息安全保密体系的建设应与网络建设统一考虑,安全保密的技术措施和设备必须与网络建设同时设计,同时付诸实施,以保证计算机信息网络的安全保密性。
(四)加强技术防范措施
网络信息安全保密的技术防范措施主要包括:物理隔离、远程访问控制、病毒的防护和防火墙。物理隔离即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到internet,在同一时候始终只有一块硬盘处于工作状态,这样就达到真正意义上的物理安全隔离;远程访问控制主要是针对于高校远程拨号用户,在内部网络中配置用户身份认证服务器,在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP地址与MAC地址的动态绑定,以保证非授权用户不能进入;病毒的防护是指高校要培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵;防火墙,目前技术最为复杂而安全级别最高的防火墙是隐蔽智能网关,它将网关隐蔽在公共系统之后使其免遭直接攻击,隐蔽智能网关提供了对互联网几乎透明的访问,同时阻止了外部未授权访向以及对专用网络的非法访问。一般来说,这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
关键词:局域网;威胁;对策
在科学技术发展的今天,计算机和计算机网络正在逐步改变着人们的学习、工作和生活方式,尤其是Inlernet的广泛使用为高校的教育训练、管理、信息交流等带来了前所未有的高效和快捷,但同时计算机网络的安全隐患亦日益突出。
从网络结构上来看,高校局域网可分为三个部分,即高校机关子网、各专业系子网和连接地方的广域网。各高校建立网站的主要目的是用于教育训练、全面建设和信息交流,局域网信息平台是高校建设的重要组成部分,局域网运行是否安全稳定,对高校完成教育训练任务和全面建设,有着举足轻重的作用。因此,认真做好高校局域网安全防范工作是十分重要的。
一、威胁安全的主要因素
由于高校局域网是由内部网络和外部网络两部分组成,网络结构复杂,威胁来自各个方面,典型的攻击方式有:密码破解、网络窃听、数据篡改、地址欺骗、垃圾邮件和非法入侵等。其中,密码破解是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码,除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码;网络窃听是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息;数据篡改是指截获并修改网络上特定的数据包来破坏目标数据的完整性;地址欺骗是指攻击者将自身IP伪装成目标机器信任的机器的IP地址,以此来获得对方的信任;垃圾邮件主要表现为黑客利用自己在网络上所控制的计算机向邮件服务器发送大量的垃圾邮件,或者利用邮件服务器把垃圾邮件发送到网络上其他的服务器上;非法入侵指黑客利用网络的安全漏洞,不经允许非法访问内部网络或数据资源,从事删除、复制甚至毁坏数据的活动,一旦重要数据被窃将会造成无法挽回的损失。
二、高校局域网安全防范的措施
(一)健全规章制度
国家对计算机网络的信息安全保密问题非常重视,国务院和有关职能部门,先后颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统保密管理暂行规定》等一系列法规,以及关于信息内容、信息安全技术、信息安全产品的授权审批规定。这些都是我们进行网络信息安全保密管理的依据和指南。在上述法规的指导下,各高校应结合自己的实际情况,进一步建章立制、细化规定,使法规制度更加完善,并确保落实。一是检查制度。制定计算机、安全保密设备与设施的检查制度及规定。二是机房制度。制定计算机机房外来人员接待制度,以及进入机房的审批、登记和持证上岗制度。三是审查制度。制定上网资源审查制度。四是管理制度。制定操作系统、数据库系统、应用系统运行的操作访问权限、口令管理和安全体系的主密钥管理制度,以及秘密数据、资料载体的借阅、使用、复制、转送、携带、保存、销毁等细则。
(二)编配专(兼)职人员
为了做好计算机网络信息安全保密工作,必须在认真学习、贯彻国家制定的信息安全保密法规的基础上,根据计算机网络信息安全保密工作的特点和要求,结合具体情况,设置专门的计算机网络信息安全保密管理机构,并编配专(兼)职的信息安全保密管理人员。对涉及重要秘密的计算机工作人员,应按机要人员的条件配备,不适合者必须调离。同时,要稳定计算机网络信息安全保密管理人员队伍,在人员离职或改变工作岗位时,应及时调整补充。
(三)搞好设备管理
对计算机网络设备和信息安全保密设备的管理,是网络信息安全保密管理工作的一个重要方面,必须给予足够的重视。一是立足国内,适度引进。应制定并严格执行计算机网络设备引进规定,严格限制引进设备的使用范围,研究、开发信息安全检测设备,对引进产品(尤其是芯片和系统软件)中的恶意功能进行严格的检测,以防患于未然。二是合理配置,防止电磁泄密。计算机网络设备应配置在不利于破坏分子利用网络设备的电磁辐射窃取秘密信息的地方,对机房、主机和计算机内部的主要工作部件,应加以屏蔽保护。三是统一规划,建立安全保密体系。计算机网络信息安全保密体系的建设应与网络建设统一考虑,安全保密的技术措施和设备必须与网络建设同时设计,同时付诸实施,以保证计算机信息网络的安全保密性。
(四)加强技术防范措施
网络信息安全保密的技术防范措施主要包括:物理隔离、远程访问控制、病毒的防护和防火墙。物理隔离即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到internet,在同一时候始终只有一块硬盘处于工作状态,这样就达到真正意义上的物理安全隔离;远程访问控制主要是针对于高校远程拨号用户,在内部网络中配置用户身份认证服务器,在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP地址与MAC地址的动态绑定,以保证非授权用户不能进入;病毒的防护是指高校要培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵;防火墙,目前技术最为复杂而安全级别最高的防火墙是隐蔽智能网关,它将网关隐蔽在公共系统之后使其免遭直接攻击,隐蔽智能网关提供了对互联网几乎透明的访问,同时阻止了外部未授权访向以及对专用网络的非法访问。一般来说,这种防火墙的安全性能很高,是最不容易被破坏和入侵的。