時間:2023-02-02 10:42:03
序論:在您撰寫網絡安全小論文時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存?。W絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
1.1可用性
網絡系統的可用性是指計算機網絡系統要隨時隨地能夠為用戶服務,要保障合法用戶能夠訪問到想要瀏覽的網絡信息,不會出現拒絕合法用戶的服務要求和非合法用戶濫用的現象。計算機網絡系統最重要的功能就是為合法用戶提供多方面的、隨時隨地的網絡服務。
1.2完整性
網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因,發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1],影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。
1.3保密性
網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露,主要體現在網絡系統的可用性和可靠性,是網絡系統安全的重要指標。保密性不同于完整性,完整性強調的是網絡信息不能被破壞,保密性是指防止網絡信息的發生泄露[2]。
1.4真實性
網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。
1.5可靠性
網絡系統的可靠性是指系統的安全穩定運行,網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能,網絡系統的可靠性是網絡安全最基本的要求。
1.6可控性
網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網絡系統管理者有必要對網絡信息進行適當的監督和控制,避免外地侵犯和社會犯罪,維護網絡安全。
2網絡安全技術在校園網中的應用
2.1防火墻
防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3],防火墻處于校園網和外界互聯網之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置,屏蔽有危害、不健康的網絡網站,降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問,記錄用戶的訪問記錄,保存到網絡數據庫中,可以快速統計校園網的使用情況,在分析用戶訪問記錄如果發現用戶的操作存在安全問題,防火墻可以及時發出報警信號,提醒用戶的這個非法操作,防止校園網內部信息的泄露、另外,防火墻可以和NAT技術高效地結合起來,用于隱藏校園網的網絡結構信息,提高校園網的安全系數,同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況,提高了校園網的運行效率。防火墻在校園網中的應用,完善了校園網內部的網絡隔斷,即使校園網發生安全問題,也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用,能夠有效地阻斷來自外界互聯網的安全侵害,但是防火墻不能阻止校園網內部的安全問題,不能拒絕和控制校園網內部的感染病毒。
2.2VPN技術
VPN技術在校園網的應用,通過VPN設備將校內局域網和外部的互聯網連接起來,可以提高校園網的數據安全。VPN服務器經過設置后,只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限,拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證,通過驗證校內網用戶的身份,只有符合條件的授權用戶才能連接到VPN服務器,進行相關訪問。其次實現校園網數據加密,VPN技術可以將通過互聯網通道傳輸的數據進行加密,只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理,通過生成校園網和互聯網的基本協議,提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備,降低了校園網安全管理的成本。通過VPN技術,校園網絡管理員可以對校園網內用戶的操作進行實時監控,及時發現校園網絡故障點,進行遠程維護,提高校園網維護管理能力。
2.3入侵檢測技術
入侵檢測技術在校園網中的應用,可以檢測校園網絡中一些不安全的網絡操作行為,一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作,就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動,檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況,檢測出系統安全漏洞,提醒校園網絡管理人員及時進行維護。另外,入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用,可以及時發出報警信號,并且拒絕和處理網絡攻擊入侵行為,結合發現的網絡攻擊模式,檢測校園網系統結構是否存在安全漏洞,提高校園網的數據完整性,進行系統評估。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作,用戶想要進入校園網,首先要通過訪問控制,經過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網的權限,當用戶進入校園網后,就會賦予用戶訪問操作權限,使校園網絡資源不會被未授權用戶非法使用和非法訪問。
2.5網絡數據恢復和備份技術
校園網中的網絡數據恢復和備份技術,可以防止校園網信息數據丟失,保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理,對整個校園網系統中的信息資源進行備份管理,可以極大地提高校園網管理員的工作效率,實現網絡資源的統一管理,利用網絡備份設備實時監控校園網絡中的備份作業,結合校園網的運行情況,及時修改網絡備份策略[5],提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術,定時對網絡數據庫中的數據進行備份,這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時,建立在線網絡索引,當用戶需要恢復網絡信息時,通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理,通過時間定期和項目管理對網絡信息數據進行歸檔管理,在網絡環境建立統一的數據備份和儲存格式,使所有網絡信息數據在統一格式中完成長時間的保存[6]。
2.6災難恢復技術
校園網中的災難恢復主要包括兩類:個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復,校園網絡管理員可以瀏覽目錄或者數據庫,觸動受損數據文件的恢復功能,系統會自動加載存儲軟件,恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。
3結語
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
1.1校園網絡部件帶來的問題。高校需要的機器設備很多,導致很多高校由于經費的問題遲遲不更換老舊的設備,使得整個網絡處于崩潰的邊緣,主機使用的軟件并非正版軟件,甚至本身攜帶一些病毒,增大了網絡安全隱患。網絡設備在建設完成之后,需要專業技術人員的維護,而在大多數高校,缺乏專業的維護人員,出現問題之后只能找外包公司解決,錯過了避免事故的最佳時期。管理員不懂技術可能會導致很多計算機通過校園網絡接入病毒,甚至導致整個網絡的癱瘓。高校設計網絡環境時,出現硬件設計漏洞,不經過調試和改善就投入使用,導致無法適用于瞬息萬變的網絡世界而受到攻擊和破壞。另外,多數高校的計算機系統沒有使用較為安全的系統,在微軟宣布不再對XP系統支持后,沒有更換合適的操作系統,導致產生網絡漏洞。
1.2校園網絡管理員存在的問題。高校忽視網絡安全的建設,沒有基本防御措施,缺乏對一般性安全漏洞的防御能力,網絡設備建成后,需要專業的技術人員維護,校園網絡隨時都可能受到攻擊,需要技術人員具備解決問題的能力,而不少高校只有管理機房使用的老師,缺乏技術人員,面對問題,只能請維修企業處理。計算機操作系統并不是一直安全的,微軟公司一直根據病毒或者其他黑客攻擊手段,完善自己的系統,而高校日常的維護和更新也沒有專業的技術人員處理,機房計算機系統一直使用較老的操作系統版本,帶來很大隱患。另外,校園網絡管理者缺乏安全意識,泄露相關管理員密碼,使得別有用心的人獲取密碼,破壞校園網絡。
1.3校園網絡使用者帶來的隱患。作為校園網絡的使用者,學生自身不懂網絡安全,從網絡下載軟件的同時帶來了一些病毒。造成了網絡安全事件的發生。部分熱愛技術的學生甚至以校園網絡作為攻擊的對象,獲取他人的帳號和信息。這些行為都會給校園網絡帶來安全隱患,有些還可能導致網絡癱瘓。
2解決高校網絡安全問題的對策
2.1加大校園網絡的資金投入。高校應該購買新的網絡設備用于建設校園網絡,新設備具備更高的安全性,可以預防較為簡單的網絡攻擊。在教學上,更應該購買正版軟件,正版軟件沒有病毒,能夠得到廠家的技術支持。另外,高校應該招聘專門的網絡技術人員,維護校園網絡的正常運行,技術人員要具備網絡安全知識,能夠及時處理突發狀況,避免校園網絡受到攻擊。專業的技術人員更能提高網絡設備的使用效率和使用年限。
2.2建立健全網絡安全管理制度。高校要加強網絡安全的宣傳和教育,培訓網絡管理員安全意識,定期維護網絡設備和主機,提高師生的網絡道德,從根本杜絕來自內部的網絡攻擊。建立校園網使用規范,并用多種方式宣傳,例如通過學校網站,校內廣播,校內宣傳欄等,讓學生明白網絡安全的重要性,能夠按照國家網絡安全的相關法律法規約束自己,自覺加入維護校園網絡安全的陣營中來,為維護校園網絡安全貢獻自己的力量。宣傳不能解決所有的問題,高校要合理設置校園網絡的權限,在登陸環節,要制定安全的登陸方式,盡量采用實名驗證和學號驗證的方式,避免校外人員使用校園網帶來不安全因素。
2.3加強對于安全漏洞的防范。在網絡安全技術中,防火墻技術應用十分廣泛,防火墻是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。在防火墻的設置中,要過濾內地址路由包,清楚錯誤地址的IP數據包,網絡管理員經常檢查安全日志,及時發現和處理不合法的登陸與外網的攻擊行為。通過設置防火墻的相關參數來提升安全等級。建立網絡各主機和對外服務器的安全保護措施,保證系統安全,利用防火墻對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕,利用防火墻加強合法用戶的訪問認證,同時在不影響用戶正常訪問的基技術人員的配備不完善,無法應對大規模的網絡攻擊,需要相關技術企業的幫助,因此,高校應該和社會企業進行長時間的合作,在事件發生的時候能夠及時處理。高校應該建立信息備份制度,對于重要的信息要保存在不受網絡入侵的物理設備中,以防因安全事件導致學校不能正常工作。引起學生和家長的不滿和恐慌。日常信息通信中,要使用數據加密技術,確保信息傳輸的安全。礎上將用戶的訪問權限控制在最低限度內,利用防火墻全面監視對公開服務器的訪問,及時發現和阻止非法操作;另外可以采用諸多技術來預防破壞,例如網絡入侵檢測技術,即是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖??梢栽谙到y中按照網絡入侵檢測系統,在外網和內網都設立監測點,實時檢查,系統會提醒管理員是否有攻擊行為;還可以采用數據加密技術,在客戶端登陸檢查,校園網教務管理系統中都可以使用;每臺主機多要安裝防病毒軟件,用于檢測日常上網收到的病毒攻擊。
2.4建立網絡安全應急機制。校園網絡安全突發事件需要建立網絡安全應急機制,以防止事件引發更大的損失,應急機制需要高校和相關企業的聯動,高校網絡安全
3結束語
關鍵詞網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點?!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓?!秴⒖枷ⅰ?989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等??茖W校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
1.1加強網絡安全教育,增強校園網用戶安全意識及防護技能
目前,所有高校基本都普及了校園網絡,高校學生在校園內部隨處都可以上網,教師和其它人員的工作也離不開網絡的輔助,高校內部的網絡端口日益增多,上網的人數也是與日俱增,其中大多數人并不具備網絡安全方面相關知識,這為高校信息安全埋下了隱患,信息安全方面的教育勢在必行。用戶的流動性強是校園網用戶群體的一個顯著特征,因此,學生的信息安全教育是一項重要并且需要長期堅持的工作。學校應將信息安全知識和防護技能的培訓納入學生計算機基礎課程中,并將有關的教學內容、實驗與學校的信息安全工作聯系起來,在實現教學目標的同時,也可以起到對學校信息安全的促進與保障作用。目前,高校雖然已經普遍開設了計算機應用基礎課程,仍然有必要選擇性地開設網絡安全課程或專題講座,宣傳網絡安全知識和網絡道德教育,提高所有學生和教師的網絡安全意識,并且可以開展有針對性的實踐技能培訓,提高學生和教師的網絡防護技能。新形勢下,高校學生應當具備一定的網絡基礎知識,讓學生學會正確對待各類網絡信息、合理使用網絡資源的能力,形成正確的價值觀,維護網絡道德規范。此外,對校園網中其他用戶的信息安全教育與培訓也是一項需要長期堅持的工作。
1.2加強校園網安全維護,增強網絡管理人員的安全意識和技能
校園網信息安全既有管理方面的漏洞,也有技術層面的風險。專業的網絡管理人員負責整個校園網絡的維護、網絡系統的更新、升級及新技術的研發。建立一支既懂管理又有技術的信息安全人才隊伍是很有必要的,保障網絡的信息安全首先應當提升這部分專業人士的安全意識及專業技術水平,定期進行培訓和考核。其次要從技術層面做好信息安全防御工作。使用必要的網絡安全防護技術,如:身份認證技術、入侵檢測技術、防火墻技術、防病毒網關技術、垃圾郵件過濾系統以及安全審計等技術來防御來自外部或內部的攻擊,有效地對校園網的進行防護。另外,現在市場上網絡安全的新產品、新技術非常多,也可以為校園網提供更好的保護功能。
1.3建立健全校園網安全保障體系
健全的信息安全管理體制,對于在管理層面維護信息安全至關重要。除了建立一支高素質的網絡管理專業技術人員隊伍外,還必須建立一套嚴格的管理規章制度。有了技術水平足夠高的設備、軟件支持,再加上有針對其網絡建設和應用設計的完善的規章制度,整個網絡安全體系才有了根本保障。此外,在科學合理的信息安全管理機制中,應急響應機制尤為重要,因為,沒有絕對安全的網絡系統,關鍵在于發現或發生安全風險時,能否及時正確做出應對,進行防御,采取措施消除風險,或將損失降到最低,使網絡系統能夠快速恢復正常運行。
2結語