前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的學(xué)校網(wǎng)絡(luò)安全管理方案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:數(shù)字化;校園網(wǎng);網(wǎng)絡(luò)風(fēng)險(xiǎn);安全管理
社會(huì)要發(fā)展,人類要進(jìn)步,必須依靠教育;而人類要實(shí)現(xiàn)真正的數(shù)字化目標(biāo),也必須依賴于教育的信息化發(fā)展?,F(xiàn)代信息技術(shù)在教育領(lǐng)域的廣泛應(yīng)用,促進(jìn)了教育理念、教育手段和教育方式的變革。 “數(shù)字化校園建設(shè)”是時(shí)展的必然結(jié)果,是數(shù)字時(shí)代學(xué)校建設(shè)與發(fā)展的必然選擇,是學(xué)校校園文化、育人環(huán)境構(gòu)建與發(fā)展的必然選擇。
一、數(shù)字化校園的建設(shè)
首先我們要了解幾個(gè)概念:數(shù)字化,是指利用計(jì)算機(jī)信息處理技術(shù)把聲、光、電、磁等信號轉(zhuǎn)換成數(shù)字信號,或把語音、文字、圖象等信息轉(zhuǎn)變?yōu)閿?shù)字信息,用于傳輸與處理的過程,體現(xiàn)出智能化、個(gè)性化、網(wǎng)絡(luò)化三個(gè)方面的特征。數(shù)字化校園是以網(wǎng)絡(luò)為基礎(chǔ),利用先進(jìn)的信息化手段和工具,實(shí)現(xiàn)從環(huán)境(設(shè)備、教室等)、資源(圖書、課件、素材)到活動(dòng)(教、學(xué)、管理、服務(wù)、娛樂)的全部數(shù)字化,從而在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個(gè)數(shù)字空間,拓展現(xiàn)實(shí)校園的時(shí)間和空間維度,擴(kuò)展傳統(tǒng)校園的功能,最終實(shí)現(xiàn)教育過程的全面信息化。數(shù)字化校園將把學(xué)校中的管理和教學(xué)帶入一個(gè)全新的網(wǎng)絡(luò)信息化時(shí)代,是以數(shù)字化的方式來體現(xiàn)我們的工作、學(xué)習(xí)、交流與管理,是一種全新的生活、學(xué)習(xí)和管理模式。
一、高校數(shù)字化校園的基礎(chǔ)構(gòu)架
1、校園計(jì)算機(jī)網(wǎng)絡(luò)平臺的建設(shè)
校園網(wǎng)及分布于不同物理位置的數(shù)字化設(shè)備,是開展數(shù)字化教學(xué)的重要基礎(chǔ)設(shè)施。必須建設(shè)一個(gè)寬帶、高速、可靠、安全的,有線和無線相結(jié)合的,遍布校園各個(gè)角落的多媒體網(wǎng)絡(luò)平臺,建設(shè)一批實(shí)施數(shù)字化教學(xué)的網(wǎng)絡(luò)教室、多媒體教室和用于自學(xué)、自主實(shí)驗(yàn)的電子閱覽室、DIY實(shí)驗(yàn)室等。
2、知識庫和信息庫的建設(shè)
包括課件庫、輔助資源庫、電子圖書館等,把有特色的成熟的課件、教案、教學(xué)實(shí)踐等資源集成為課件庫,把教學(xué)背景資料、史料、案例、教學(xué)參考資料集成為輔助資源庫,把圖書館建設(shè)成檢索方便、涵蓋全面的電子圖書館。這是數(shù)字化校園豐富的、賴以生存的資源基礎(chǔ)。
3、應(yīng)用系統(tǒng)的建設(shè)
應(yīng)用系統(tǒng)是教育教學(xué)的行為體現(xiàn),完成教學(xué)資源的調(diào)度,為學(xué)習(xí)者創(chuàng)設(shè)學(xué)習(xí)情景,提供學(xué)習(xí)服務(wù),為教師提供方便的教學(xué)環(huán)境和引導(dǎo)環(huán)境,為管者提供高效的管理環(huán)境。適于不同的需求,應(yīng)用系統(tǒng)應(yīng)涵蓋傳統(tǒng)意義上的管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)、網(wǎng)上教學(xué)系統(tǒng)等,如基于 web的公共信息系統(tǒng)和電子公文流轉(zhuǎn)系統(tǒng)、教育信息管理系統(tǒng)、開放資源管理系統(tǒng)、基于用戶的網(wǎng)絡(luò)和桌面管理系統(tǒng)、電子身認(rèn)證系統(tǒng)等。
二、高校數(shù)字化校園建設(shè)的網(wǎng)絡(luò)環(huán)境
1、無線局域網(wǎng)絡(luò)(Wireless Local Area Networks,WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng),它利用射頻(Radio Frequency,RF)的技術(shù),取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò),使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它,達(dá)到“信息隨身化,便利走天下”的理想境界。
2、3G即三代移動(dòng)通信技術(shù)(3rd-generation,3G),是指支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通訊技術(shù)。3G的典型特征是能夠同時(shí)提供語音及數(shù)據(jù)的高速無線移動(dòng)服務(wù),速率一般在幾百kbps以上。
三、高校數(shù)字化校園建設(shè)的方向
1、完善數(shù)字化校園運(yùn)行服務(wù)體系
為了數(shù)字化校園的穩(wěn)定運(yùn)行,信息主管部門應(yīng)做好用戶服務(wù)、技術(shù)支持、應(yīng)用管理和系統(tǒng)管理四個(gè)方面的工作。用戶服務(wù)指直接為最終用戶提供問題解答、操作指導(dǎo)、密碼修改等服務(wù);技術(shù)支持指為學(xué)校各部門提供軟、硬件系統(tǒng)運(yùn)行過程中的技術(shù)指導(dǎo)與服務(wù);應(yīng)用管理指為保證信息系統(tǒng)的穩(wěn)定、高效運(yùn)行而相應(yīng)應(yīng)用系統(tǒng)進(jìn)行的安裝、配置、優(yōu)化、監(jiān)視等運(yùn)行維護(hù)工作;系統(tǒng)管理指設(shè)計(jì)、安裝、配置、優(yōu)化、監(jiān)視網(wǎng)絡(luò)、服務(wù)器及數(shù)據(jù)庫等基礎(chǔ)軟件系統(tǒng),以及電子郵件、Web主頁、FTP等基本網(wǎng)絡(luò)服務(wù)系統(tǒng)的運(yùn)行維護(hù)。
2、提高網(wǎng)絡(luò)的安全性與可靠性
運(yùn)行暢通、安全穩(wěn)定、可控可管的網(wǎng)絡(luò)是現(xiàn)代高校校園網(wǎng)絡(luò)的目標(biāo),也是數(shù)字化校園運(yùn)行的有力保障。高校應(yīng)推行校園網(wǎng)“三全機(jī)制”,即全網(wǎng)認(rèn)證、全網(wǎng)監(jiān)控、全網(wǎng)防毒,有效監(jiān)管和記錄網(wǎng)絡(luò)用戶的上網(wǎng)行為并有針對性的制定用戶管理策略;建立校園網(wǎng)絡(luò)應(yīng)急預(yù)案,包括校園網(wǎng)絡(luò)安全應(yīng)急預(yù)案、重要服務(wù)器和核心設(shè)備故障應(yīng)急預(yù)案、數(shù)據(jù)中心異常應(yīng)急預(yù)案等,以應(yīng)對數(shù)字化校園運(yùn)行過程中出現(xiàn)的異常狀況;做好數(shù)據(jù)備份工作,包括異地備份、雙機(jī)備份、多介質(zhì)備份等,以保證數(shù)據(jù)完整性和安全性;建立校園網(wǎng)絡(luò)安全日志管理系統(tǒng)。
3、云計(jì)算在校園網(wǎng)中的作用
云計(jì)算應(yīng)用于校園網(wǎng)需要其提供IT基礎(chǔ)架構(gòu),而不需購買昂貴的硬件設(shè)備??梢栽谛畔鬏?shù)幕A(chǔ)設(shè)施的建設(shè)上實(shí)現(xiàn)覆蓋全面化、性能最優(yōu)化、規(guī)模最大化、費(fèi)用最低化,同時(shí)還能滿足教育網(wǎng)絡(luò)所需的實(shí)用性、穩(wěn)定性、安全技術(shù)先進(jìn)性等多方面需求。
二、高校數(shù)字化校園的安全管理
高校校園網(wǎng)作為數(shù)字化校園的重要基礎(chǔ),擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等重要任務(wù),為學(xué)校的教育、教學(xué)、生活提供了極大的方便,如何使校園網(wǎng)免受黑客的入侵、病毒的侵襲和其他不良意圖的攻擊等風(fēng)險(xiǎn),已經(jīng)成為高校需要解決的重大問題,安全管理已是高校數(shù)字化校園建設(shè)后期的重要任務(wù)。
安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施。學(xué)校必須建立一套校園網(wǎng)絡(luò)安全管理模式,制定有詳細(xì)的安全管理制度,確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)章制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等;構(gòu)建安全管理平臺,組成安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件,實(shí)現(xiàn)校園網(wǎng)的安全管理。
(一)、物理安全對策
物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。它主要包括兩個(gè)方面:
1、環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護(hù),如區(qū)域保護(hù)和災(zāi)難保護(hù);
2、設(shè)備安全。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。
(二)、邏輯安全對策
盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置;關(guān)閉一些不常用卻存在安全隱患的應(yīng)用程序;對一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制;加強(qiáng)口令字的使用,并及時(shí)給系統(tǒng)打補(bǔ)丁,系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。
在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開放一些不常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng),可以關(guān)閉服務(wù)器上如TELNET、RLOGIN等服務(wù);加強(qiáng)登錄身份認(rèn)證,確保用戶使用的合法性,嚴(yán)格限制登錄者的操作權(quán)限;充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據(jù)。
三、安全管理對策
1、領(lǐng)導(dǎo)高度重視
對網(wǎng)絡(luò)安全而言,領(lǐng)導(dǎo)重視更重要。網(wǎng)絡(luò)安全管理是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,僅靠技術(shù)老師的工作職能無法完成。
2、隨需求確定安全管理
隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,安全策略的制訂和實(shí)施是一個(gè)動(dòng)態(tài)的延續(xù)過程。應(yīng)該遵照國家和學(xué)校有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范,針對學(xué)校專項(xiàng)應(yīng)用,對數(shù)據(jù)管理和系統(tǒng)流程的各個(gè)環(huán)節(jié)進(jìn)行安全評估,確定使用的安全技術(shù),設(shè)定安全應(yīng)用等級,明確人員職責(zé),制定安全分步實(shí)施方案,達(dá)到安全和應(yīng)用的科學(xué)平衡。
3、建立嚴(yán)格制度的文檔
網(wǎng)絡(luò)建設(shè)方案;機(jī)房管理制度;各類人員職責(zé)分工;安全保密規(guī)定;網(wǎng)絡(luò)安全方案;安全策略文檔;口令管理制度;系統(tǒng)操作規(guī)程;應(yīng)急響應(yīng)方案;用戶授權(quán)管理;安全防護(hù)記錄;定期對系統(tǒng)運(yùn)行、用戶操作等進(jìn)行安全評估,提交網(wǎng)絡(luò)安全報(bào)告以及全面建立計(jì)算機(jī)網(wǎng)絡(luò)各類文檔,堵塞安全管理漏洞。
三、結(jié)束語
高校數(shù)字化校園是一個(gè)動(dòng)態(tài)發(fā)展過程,數(shù)字化校園的建設(shè)也是一個(gè)不斷發(fā)展的過程,需要我們不停的努力探索;校園網(wǎng)絡(luò)安全及技術(shù)防范任重而道遠(yuǎn),網(wǎng)絡(luò)安全防范體系的建立不可能一勞永逸。對網(wǎng)絡(luò)安全的防范策略也要不斷改進(jìn),保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保高校數(shù)字化校園朝著健康、安全、高速的方向發(fā)展。
參考文獻(xiàn)
[1]萬里鵬等.中國高校數(shù)字化校園建設(shè)與思考[J].情報(bào)科學(xué).
【關(guān)鍵詞】中職 網(wǎng)絡(luò)安全 解決方案
一、學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及隱患
在科技迅猛發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)已成為學(xué)校必不可少的教學(xué)和管理設(shè)施,現(xiàn)今大多數(shù)學(xué)校的網(wǎng)絡(luò)組成可歸納為以下幾部分:
(1)中心骨干網(wǎng)絡(luò):以學(xué)校的中心機(jī)房為中心搭建起來的網(wǎng)絡(luò)。該網(wǎng)絡(luò)連接到學(xué)校各個(gè)部門和計(jì)算機(jī)實(shí)訓(xùn)室。
(2)學(xué)校特殊職能部門網(wǎng)絡(luò);以學(xué)校的財(cái)務(wù)部門的財(cái)務(wù)系統(tǒng),招生就業(yè)處的對外招生系統(tǒng),校企合作的對外業(yè)務(wù)系統(tǒng)等為主。
(3)學(xué)校辦公OA網(wǎng)絡(luò):通過對學(xué)校不同位置的電腦進(jìn)行劃分,通過路由網(wǎng)關(guān)來實(shí)現(xiàn)對不同位置的電腦的相連來達(dá)到網(wǎng)絡(luò)辦公的目的。
(4)學(xué)校與廣域網(wǎng)的互聯(lián)
由于學(xué)校各辦公人員分布較散,結(jié)構(gòu)復(fù)雜,這給學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的架設(shè)帶來了一定的難度。也使得其存在了一定的安全隱患,主要體現(xiàn)在以下幾方面:
(1)由于學(xué)校各部門需要相互訪問合作辦公,而網(wǎng)絡(luò)訪問控制措施少,這給一些特殊職能部門(如財(cái)務(wù)部門等)的一些特殊信息帶來了安全隱患,對于一些稍有網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)的人員來說就能夠很容易通過網(wǎng)絡(luò)連接到學(xué)校內(nèi)部網(wǎng)絡(luò)的機(jī)器,對一些保密的信息進(jìn)行竊取和破壞,從而給學(xué)校帶來重大的損失。
(2)操作系統(tǒng)和應(yīng)用平臺存在漏洞。目前許多學(xué)校的辦公電腦使用的操作系統(tǒng)更新補(bǔ)丁不及時(shí)存在許多可供黑客攻擊的漏洞,這就給網(wǎng)絡(luò)中的一些存在惡意的人提供了攻擊的機(jī)會(huì),從而造成個(gè)人重要數(shù)據(jù),乃至金錢的丟失。
(3)一些網(wǎng)絡(luò)設(shè)備的管理賬號和登錄口令的默認(rèn)。大多數(shù)學(xué)校的網(wǎng)絡(luò)設(shè)備和服務(wù)器等的登錄驗(yàn)證采用的是出廠的默認(rèn)設(shè)置,這給一些有經(jīng)驗(yàn)的人很容易就猜到,從而造成連接學(xué)校網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的案例,造成學(xué)校的損失。
(4)缺少相應(yīng)的網(wǎng)絡(luò)安全檢測設(shè)備。許多學(xué)校由于不重視或者資金不到位的情況,缺少對網(wǎng)絡(luò)安全檢測設(shè)備的配置,從而不能夠?qū)崟r(shí)檢測校園網(wǎng)絡(luò)安全情況,當(dāng)有人對學(xué)校網(wǎng)絡(luò)進(jìn)行攻擊時(shí),無法在第一時(shí)間發(fā)現(xiàn)和阻止。當(dāng)發(fā)現(xiàn)的時(shí)候?qū)W校的損失或許已經(jīng)慘不忍睹了。
(5)沒有完善的病毒預(yù)防措施。網(wǎng)絡(luò)的開放給人們帶來了許多方便,但也給許多不法分子提供了可乘之機(jī)。學(xué)校人員復(fù)雜,大多數(shù)人員缺乏計(jì)算機(jī)專業(yè)相關(guān)的安全知識,對于互聯(lián)網(wǎng)的大量信息和資源的安全與否缺少正確的認(rèn)識和判斷,從而導(dǎo)致中病毒或木馬,造成個(gè)人信息損壞或丟失,甚至財(cái)產(chǎn)的損失。
二、如何實(shí)施有效的校園網(wǎng)絡(luò)安全措施
網(wǎng)絡(luò)安全建設(shè)的一般原則
在學(xué)校,我們所要達(dá)到的網(wǎng)絡(luò)安全建設(shè)的目的主要涉及保密性、完整性、可用性、可控性等。并遵循綜合性、整體性、一致性、易操作性、適應(yīng)性、靈活性、最小適用等原則。
為了營造一個(gè)安全的校園網(wǎng)絡(luò)環(huán)境,我們可以采取下列措施:
(1)對網(wǎng)絡(luò)設(shè)備進(jìn)行有效的訪問控制設(shè)置。因?yàn)樵谖覀儧]有對網(wǎng)絡(luò)設(shè)備進(jìn)行任何的設(shè)置時(shí),只要在網(wǎng)絡(luò)連通的情況下,校園內(nèi)的任何一臺機(jī)器,甚至校園外的任意一臺連入互聯(lián)網(wǎng)的機(jī)器都可以通過網(wǎng)絡(luò)輕易連入學(xué)校內(nèi)的任意一臺其他電腦甚至是服務(wù)器,這就給一些需要保護(hù)的重要數(shù)據(jù)帶來了嚴(yán)重的安全隱患。因此,我們必須在學(xué)校內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接口處,學(xué)校內(nèi)部各部門之間的網(wǎng)絡(luò)設(shè)備接口處做相應(yīng)的網(wǎng)絡(luò)訪問控制,這樣就能很好地保護(hù)學(xué)校一些特殊職能部門的數(shù)據(jù)安全,并且不影響全校的網(wǎng)絡(luò)辦公狀態(tài)。
(2)配備網(wǎng)絡(luò)監(jiān)測設(shè)備。訪問控制雖然可以很好有效地控制校園網(wǎng)絡(luò)的安全,卻無法完全防范來自于網(wǎng)絡(luò)的所有攻擊,對于網(wǎng)絡(luò)上一些專業(yè)性很強(qiáng)的黑客而言,單單的訪問控制設(shè)置是不夠的,這就需要我們通過安裝相應(yīng)的網(wǎng)絡(luò)監(jiān)測設(shè)備來對全校的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)測,利用防火墻等技術(shù)來濾掉大部分來自于網(wǎng)絡(luò)的攻擊。并成立相應(yīng)的專業(yè)管理小組對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)測和管理,從而達(dá)到及時(shí)發(fā)現(xiàn)問題,及時(shí)解決問題。
(3)對全校的辦公電腦做好補(bǔ)丁更新管理工作。相信很多人都還記得曾經(jīng)盛行一時(shí)的沖擊波、熊貓燒香等病毒。這些病毒就是利用了操作系統(tǒng)的一些漏洞,補(bǔ)丁更新不及時(shí)來進(jìn)行攻擊的,其危害之大超出了我們的想象。所以要想很好地預(yù)防此類情況的發(fā)生就需要我們對我們的辦公電腦做好維護(hù),實(shí)時(shí)關(guān)注并安裝微軟的一些系統(tǒng)更新補(bǔ)丁,來減少我們系統(tǒng)上存在的一些漏洞,從而降低系統(tǒng)感染病毒和被攻擊的可能性。
(4)配備相應(yīng)的殺毒軟件服務(wù)器。網(wǎng)絡(luò)是好東西,在充分享受網(wǎng)絡(luò)給我們帶來的便捷和資源時(shí)也要小心網(wǎng)絡(luò)上的一些病毒和陷阱。加上校園內(nèi)辦公電腦的使用往往不固定,來來往往的移動(dòng)存儲給主機(jī)帶來了一定的安全隱患,所以給主機(jī)安裝相應(yīng)的殺毒軟件是十分有必要的。因此通過給校園網(wǎng)絡(luò)架設(shè)殺毒軟件服務(wù)器,能夠使得學(xué)校所有的辦公電腦通過殺毒軟件服務(wù)器及時(shí)更新本機(jī)殺毒軟件信息,這樣就可以很有效的控制了電腦遭受病毒危害的可能性了。
(5)對重要數(shù)據(jù)和復(fù)雜的網(wǎng)絡(luò)安全設(shè)置做好備份。每個(gè)學(xué)校都應(yīng)該對本校的重要數(shù)據(jù)以及網(wǎng)絡(luò)設(shè)備的一些復(fù)雜的設(shè)置做好相應(yīng)的備份,當(dāng)學(xué)校網(wǎng)絡(luò)遭受攻擊時(shí)可以在第一時(shí)間最快地恢復(fù)網(wǎng)絡(luò)到正常狀態(tài),以減少其帶來的損失和不便。
關(guān)鍵詞: 校園網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防護(hù)對策
當(dāng)前,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展,各個(gè)學(xué)校也陸續(xù)建立了自己的校園網(wǎng)絡(luò),它從根本上改變了傳統(tǒng)的教學(xué)模式,為教學(xué)與管理提供了更為豐富的資源和更廣闊的空間,是現(xiàn)代教育進(jìn)行普及與創(chuàng)新的有力推動(dòng)工具。但是,另外一方面,由于網(wǎng)絡(luò)本身存在著較大的復(fù)雜性,雖然具有較好的硬件和軟件資源,但是,管理跟不上,就會(huì)導(dǎo)致軟硬件的作用無法完全發(fā)揮出來,從而造成校園網(wǎng)絡(luò)安全事故頻發(fā)。所謂網(wǎng)絡(luò)安全,指的就是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不受偶然原因或者惡意攻擊而遭到破壞、更改、泄露,系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。那么,鑒于我國各個(gè)學(xué)校的校園網(wǎng)絡(luò)建設(shè)起步較晚,技術(shù)相對來說還不夠成熟,我們必須盡快采取一定的應(yīng)對措施來做好校園網(wǎng)絡(luò)的安全防護(hù)。
1 校園網(wǎng)絡(luò)建設(shè)現(xiàn)狀及其面臨安全隱患分析
校園網(wǎng)絡(luò)的主要任務(wù)就是為了滿足學(xué)校師生的教學(xué)、科研和綜合信息服務(wù),這是互聯(lián)網(wǎng)時(shí)代的必然發(fā)展趨勢和要求,各個(gè)學(xué)校的教學(xué)、管理、科研以及對外信息交流等多方面都離不開校園網(wǎng)的正常運(yùn)行。但是,由于互聯(lián)網(wǎng)本身具有的特點(diǎn),使得校園網(wǎng)絡(luò)很容易受到不同程度的騷擾和破壞,從而引起了較為嚴(yán)重的校園網(wǎng)絡(luò)安全問題。目前來看,我國校園網(wǎng)絡(luò)運(yùn)行中的安全問題較為突出的問題就是其穩(wěn)定性較差。那么,這些安全問題是如何產(chǎn)生的呢?一般來說,校園網(wǎng)絡(luò)是建立在互聯(lián)網(wǎng)基礎(chǔ)之上的,因此,校園網(wǎng)絡(luò)安全隱患產(chǎn)生的原因往往根源就在于互聯(lián)網(wǎng)本身的安全問題和缺陷。一般來說,互聯(lián)網(wǎng)是一個(gè)具有開放性的網(wǎng)絡(luò),其自身具有脆弱性、攻擊的普遍性、管理的困難性等缺陷。這是互聯(lián)網(wǎng)技術(shù)與管理多方面因素綜合造成的。而校園網(wǎng)絡(luò)雖然是在一個(gè)較小的范圍內(nèi)使用,但是,其采用的技術(shù)相對比較簡單,防范危險(xiǎn)的安全措施較少,其特點(diǎn)就是速度快、規(guī)模大、計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜、用戶群體活躍、開放的網(wǎng)絡(luò)環(huán)境、有限的投入、盜版資源泛濫等,從而使得網(wǎng)絡(luò)病毒傳播變得非常容易。具體來說,當(dāng)前校園網(wǎng)絡(luò)的安全隱患主要有如下幾個(gè)方面:
1)網(wǎng)絡(luò)硬件系統(tǒng)遭遇安全問題。一般來說,硬件方面遭遇的安全問題主要包含了物理安全和設(shè)備安全。從物理的角度來說,校園網(wǎng)絡(luò)是非常脆弱的,這是因?yàn)樾@網(wǎng)絡(luò)布局很廣,個(gè)人或者部門都可以使用,導(dǎo)致了一些設(shè)備無法時(shí)時(shí)刻刻都處于有效監(jiān)控當(dāng)中。此外,很多學(xué)校對于校園網(wǎng)絡(luò)的建設(shè)經(jīng)費(fèi)投入不夠充足,更多的投入在網(wǎng)絡(luò)設(shè)備的建設(shè)方面,忽視相關(guān)的網(wǎng)絡(luò)安全硬件和軟件投入,從而使得整個(gè)校園網(wǎng)絡(luò)基本處于一種開放的狀態(tài),幾乎沒有任何有效的安全預(yù)警機(jī)制和防范措施,這就使得網(wǎng)絡(luò)傳輸過程中容易遭到安全漏洞等方面的威脅,有時(shí)是設(shè)備保護(hù)不完善造成的,也有時(shí)是管理人員誤操作引發(fā)的安全隱患;
2)校園網(wǎng)絡(luò)遭遇的內(nèi)外部攻擊增多。校園網(wǎng)絡(luò)的使用者主要是教師與學(xué)生,其中學(xué)生是一群特殊的使用群體,他們往往對校園網(wǎng)絡(luò)有著強(qiáng)烈的好奇心,在使用的過程中經(jīng)常會(huì)顯擺下自己的網(wǎng)絡(luò)黑客技術(shù)等,來攻擊下操作系統(tǒng)中的漏洞和應(yīng)用模式等,他們還使用越來越復(fù)雜的攻擊手段,這是校園網(wǎng)絡(luò)遭遇的最大內(nèi)部攻擊來源。從外部來說,校園網(wǎng)絡(luò)容易遭遇的攻擊主要來自于Internet的病毒攻擊和黑客攻擊。這是因?yàn)樾@網(wǎng)絡(luò)一般是通過CERNET或CHINANET與Internet相連,這就使得校園網(wǎng)絡(luò)在分享高效快捷的同時(shí),也存在著潛在的網(wǎng)絡(luò)病毒感染和騷擾,它會(huì)影響到計(jì)算機(jī)系統(tǒng)的正常運(yùn)行速度,甚至嚴(yán)重的話還會(huì)造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。此外,計(jì)算機(jī)網(wǎng)絡(luò)黑客攻擊也是校園網(wǎng)絡(luò)安全的最大隱患之一,這是因?yàn)樾@網(wǎng)絡(luò)不夠成熟,管理也松散,這就使得校園網(wǎng)絡(luò)易遭遇致命的攻擊;
3)安全意識薄弱,管理工作不夠到位。當(dāng)前很多學(xué)校的校園網(wǎng)絡(luò)操作系統(tǒng)為Windows NT,Windows 2003 Server,UNIX,Linux等,而這些系統(tǒng)又或多或少的存在著安全漏洞,如果不能及時(shí)更新和彌補(bǔ)各種安全漏洞,就會(huì)造成計(jì)算機(jī)操作系統(tǒng)的感染,嚴(yán)重的時(shí)候還會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓。還有些軟件也有安全漏洞,主要是由于老師、學(xué)生從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,從而容易遭到攻擊者入侵或者利用。還有些學(xué)校的校園網(wǎng)絡(luò)管理存在著不足,主要是管理較為混亂,缺乏有效的網(wǎng)絡(luò)監(jiān)控和日志,無法準(zhǔn)確辨別上網(wǎng)用戶的真實(shí)身份,這也使得校園網(wǎng)絡(luò)容易遭遇安全威脅。此外,校園網(wǎng)絡(luò)的安全防護(hù)意識還不夠,缺乏完善的網(wǎng)絡(luò)安全管理制度,從而無法獲得管理的統(tǒng)一標(biāo)準(zhǔn)而使得網(wǎng)絡(luò)安全問題在校園里泛濫。
2 校園網(wǎng)絡(luò)安全防護(hù)對策分析
校園網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)中,主要的安全特性為:基于IC卡的本地系統(tǒng)登錄控制,基于安全存儲介質(zhì)的遠(yuǎn)程登錄系統(tǒng)控制,進(jìn)程權(quán)限控制,系統(tǒng)完整性保護(hù),核心空間加密模塊,用戶空間的通用加密接口。我們要恰當(dāng)?shù)膽?yīng)用這些安全防護(hù)特性,采取一定的應(yīng)對措施來積極做好校園網(wǎng)絡(luò)的安全防護(hù)工作。具體如下:
1)校園網(wǎng)絡(luò)要做好管理與技術(shù)方面的防護(hù)措施。從管理的角度來說,校園網(wǎng)絡(luò)應(yīng)該首先完善相關(guān)的安全管理,盡可能的為校園網(wǎng)絡(luò)提供良好的外部環(huán)境,確保計(jì)算機(jī)以及網(wǎng)絡(luò)的硬件設(shè)備安全,并制定相應(yīng)的應(yīng)急方案,一旦發(fā)生意外情況可以及時(shí)應(yīng)對。學(xué)校還應(yīng)該開展校園網(wǎng)絡(luò)安全教育,這主要是針對校園內(nèi)部的用戶和學(xué)生開展的,因?yàn)樗麄內(nèi)菀自斐呻y以解決的校園網(wǎng)絡(luò)內(nèi)部攻擊問題。我們還要制定相關(guān)的設(shè)備配備方案和安全管理政策,使得校園網(wǎng)絡(luò)安全防護(hù)管理做到有章可循、有據(jù)可查。在技術(shù)方面的防護(hù)措施來看,校園網(wǎng)絡(luò)應(yīng)該安裝防火墻和防病毒軟件,過濾流進(jìn)流出的數(shù)據(jù),防止來自外部的攻擊,在最大限度上保護(hù)網(wǎng)絡(luò)的安全性。解決網(wǎng)絡(luò)安全漏洞的問題,比如使用360安全衛(wèi)士。還可以進(jìn)行相關(guān)數(shù)據(jù)的備份和恢復(fù),從而保證校園網(wǎng)絡(luò)的暢通、安全以及穩(wěn)定。
2)校園網(wǎng)絡(luò)要做好設(shè)備安全管理,這就需要校園網(wǎng)絡(luò)在規(guī)劃設(shè)計(jì)之初,就要充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題,尤其將一些重要的網(wǎng)絡(luò)設(shè)備,比如說服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中式管理。還要從安全角度考慮選用具有較高的可用性、可靠性、可擴(kuò)展性的校園網(wǎng)設(shè)備,弄清楚校園網(wǎng)絡(luò)安全隱患中的漏洞所在,這就不僅需要依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)來完成,更要依靠網(wǎng)絡(luò)安全漏洞、評估風(fēng)險(xiǎn)并提出修改建議的網(wǎng)絡(luò)安全掃描工具,從整體上提高網(wǎng)絡(luò)安全防護(hù)水平。此外,校園網(wǎng)絡(luò)還應(yīng)該做好相關(guān)的軟件防范工作,比如說使用正版操作系統(tǒng),及時(shí)打補(bǔ)丁和系統(tǒng)升級,購買專殺病毒的工具軟件,應(yīng)用好信息監(jiān)控過濾與防火墻技術(shù),應(yīng)用好虛擬局域網(wǎng)(VLAN)技術(shù),做好入侵檢測系統(tǒng)第二道安全閘門,還要根據(jù)相關(guān)部門的要求,配備專門的安全管理人員,建立一套校園網(wǎng)絡(luò)安全管理模式,制定詳細(xì)的安全管理制度,有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患。
3)校園網(wǎng)絡(luò)要做好安全防護(hù)措施,還應(yīng)該加強(qiáng)校園網(wǎng)正確使用的技能培訓(xùn),加強(qiáng)安全意識培訓(xùn),加強(qiáng)安全知識培訓(xùn),加強(qiáng)網(wǎng)絡(luò)知識培訓(xùn),從而加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)。還可以設(shè)置防火墻來加強(qiáng)兩個(gè)或多個(gè)網(wǎng)絡(luò)間的邊界防衛(wèi)能力,封存所有空閑的IP地址,可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部校園網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密問題。我們還可以應(yīng)用CERNET安全管理來實(shí)現(xiàn)對于校園網(wǎng)絡(luò)主干網(wǎng)的安全可靠運(yùn)行提供幫助,比如說加強(qiáng)校園網(wǎng)安全管理政策建設(shè),加強(qiáng)安全組織建設(shè)。隨著下一代互聯(lián)網(wǎng)示范工程CNGI項(xiàng)目的建設(shè),現(xiàn)在校園網(wǎng)絡(luò)的安全防護(hù)還可以采用以IPv6技術(shù)為核心的下一代互聯(lián)網(wǎng),使得許多校園網(wǎng)絡(luò)的安全問題在維護(hù)等階段可以得到有效解決。
參考文獻(xiàn):
關(guān)鍵詞:全局安全;校園網(wǎng);安全體系
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校園網(wǎng)作為高校信息化的重要基礎(chǔ),承擔(dān)著學(xué)校教學(xué)、科研、管理和社會(huì)服務(wù)等重要角色,給教師和學(xué)生的工作、學(xué)習(xí)、生活帶來了很多便利。但當(dāng)今校園網(wǎng)面臨著嚴(yán)峻的威脅網(wǎng)絡(luò)安全問題,目前面對威脅,應(yīng)對問題的主要技術(shù)有身份認(rèn)證技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。這些技術(shù)都只是針對局部威脅的安全措施,無法保障校園網(wǎng)的整體安全。因此,新的校園網(wǎng)安全思路,注重從“局部防御”到“整體防范”的轉(zhuǎn)變,將安全理念融合到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,依靠多種安全組件聯(lián)動(dòng),實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全,即全局安全解決方案。
1 農(nóng)職院網(wǎng)絡(luò)安全現(xiàn)狀
廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)始建于2002年,通過100M鏈路CERNET、30M電信鏈路接入Internet,己形成覆蓋教學(xué)、科研、辦公、宿舍等區(qū)域的所有建筑物,“千兆主干、百兆到桌面”的網(wǎng)絡(luò)帶寬格局。計(jì)算機(jī)網(wǎng)絡(luò)自身的開放性、互聯(lián)性和共享性,使之不可避免地會(huì)受到病毒、黑客、木馬等安全威脅和攻擊,校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡(luò)癱瘓的情形常有發(fā)生。其原因主要如下:
① 缺乏有效的身份管理系統(tǒng)
校園網(wǎng)缺少用戶身份認(rèn)證機(jī)制,外來用戶、非法用戶隨意接入;缺少可控的身份集中認(rèn)證系統(tǒng),對用戶進(jìn)行管理難度大;用戶賬號存在被盜用的風(fēng)險(xiǎn),安全審計(jì)無法有效進(jìn)行,在實(shí)際發(fā)生問題后不能夠迅速定位及取證分析。
② 無法保證用戶終端合法性
Windows系列系統(tǒng)存在致命漏洞,系統(tǒng)補(bǔ)丁沒有及時(shí)更新;沒有按要求安裝殺毒軟件,安裝后從來不升級或者從來不主動(dòng)查殺;隨意下載違禁軟件,不規(guī)范使用網(wǎng)絡(luò);上述問題造成了病毒和攻擊在校園網(wǎng)內(nèi)泛濫,嚴(yán)重影響正常應(yīng)用。
③ 網(wǎng)絡(luò)安全無法有效控制
校園網(wǎng)內(nèi)部分用戶出于對網(wǎng)絡(luò)的好奇,經(jīng)常會(huì)用學(xué)習(xí)到的各種方法,非法攻擊校園網(wǎng)絡(luò)核心設(shè)備及應(yīng)用系統(tǒng),嚴(yán)重影響校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行和校園管理秩序。目前互聯(lián)網(wǎng)上相關(guān)的黑客工具種類繁多、功能豐富、設(shè)置簡單、使用方便、破壞力大,給這類學(xué)生提供了攻擊的便利。
2 全局安全校園網(wǎng)絡(luò)的設(shè)計(jì)
校園網(wǎng)全局安全理念,由銳捷網(wǎng)絡(luò)公司于2005年提出,即GSN( Global Security Network),由安全交換機(jī)、安全管理平臺、安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成,能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng),使每個(gè)設(shè)備都發(fā)揮安全防護(hù)作用的新型網(wǎng)絡(luò)安全模式。具體構(gòu)架如圖1所示,其由三個(gè)層面、五個(gè)部分組成。
hx01.tif
圖1 全局安全網(wǎng)絡(luò)
校園網(wǎng)全局安全方案通過將校園網(wǎng)用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成起來,從而對網(wǎng)絡(luò)安全威脅的自動(dòng)防御,網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù),同時(shí)可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí),達(dá)到對未知網(wǎng)絡(luò)安全事件防范目的。其工作原理如下:
1) 用戶使用網(wǎng)絡(luò)之前,首先由接入的交換機(jī)+SAM對其進(jìn)行身份認(rèn)證。
2) SAM檢查用戶身份,批準(zhǔn)或拒絕用戶的接入請求。
3) SAM學(xué)習(xí)用戶的身份、主機(jī)環(huán)境等信息,并將制定好的策略發(fā)送多SU客戶端。
4) SU對用戶主機(jī)進(jìn)行健康性檢查,并將檢查結(jié)果反饋回SMP服務(wù)器。
5) IDS對網(wǎng)絡(luò)安全事件進(jìn)行檢測收集,將安全事件報(bào)告給SEP(安全事件解析器),并由SEP反饋至SMP。
6) SMP對IDS反饋的安全事件進(jìn)行統(tǒng)一管理,將安全事件關(guān)聯(lián)至用戶。
7) SMP對每個(gè)用戶的健康性檢測結(jié)果和安全事件進(jìn)行處理,生成相應(yīng)的策略,并下發(fā)至交換機(jī)執(zhí)行。
3 全局安全網(wǎng)絡(luò)在我院的部署
根據(jù)校園網(wǎng)全局安全設(shè)計(jì)方案,可把服務(wù)器部署在校園網(wǎng)的服務(wù)器群中,而IDS的傳感器則可根據(jù)需要部署在核心或者匯聚層上,越靠近邊緣則效果越好,而安全智能交換機(jī)則要部署在接入層,保障客戶的安全。構(gòu)建好的廣西農(nóng)職院部署的典型拓?fù)淙鐖D2所示。
hx02.tif
圖2 典型的全局安全校園網(wǎng)部署拓?fù)鋱D
3.1 身份認(rèn)證系統(tǒng)的部署
作為全局安全的身份基礎(chǔ)平臺,SAM系統(tǒng)實(shí)現(xiàn)了廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院全體學(xué)生宿舍、教師宿舍、辦公和公共機(jī)房身份認(rèn)證。該系統(tǒng)基于802.lx技術(shù),實(shí)現(xiàn)了對用戶的身份和IP、MAC、交換機(jī)端口、交換機(jī)IP等信息嚴(yán)格綁定。 SAM系統(tǒng)提供的完善的計(jì)費(fèi)運(yùn)營功能,為校園網(wǎng)運(yùn)營提供了足夠的數(shù)據(jù)支撐。通過該系統(tǒng)的部署,有效的防止了IP地址盜用,極大的減輕了校園網(wǎng)管理的運(yùn)營負(fù)擔(dān),并為全局網(wǎng)絡(luò)安全提供了基礎(chǔ)身份平臺。如圖3。
其次,SAM提供了完善的自助服務(wù)系統(tǒng),包括快捷注冊,個(gè)人信息、密碼進(jìn)行修改,上網(wǎng)明細(xì)、交費(fèi)記錄、余額查詢,在線充值、注銷用戶等功能。不但方便了終端用戶繳費(fèi),同時(shí)也極大地減輕管理者的管理和收費(fèi)工作負(fù)擔(dān),有效緩解學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。而入網(wǎng)身份驗(yàn)證的多元素綁定,也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生,用戶漫游功能,實(shí)現(xiàn)了用戶在不同地區(qū)認(rèn)證上網(wǎng)的需求。
hx03.tif
圖3 身份認(rèn)證
3.2 安全管理平臺的部署
關(guān)鍵詞:防火墻;校園網(wǎng);病毒;服務(wù)器;路由器
近年來互聯(lián)網(wǎng)技術(shù)蓬勃發(fā)展,人們網(wǎng)絡(luò)使用的頻率以及依賴度不斷提高,校園網(wǎng)絡(luò)在學(xué)校教學(xué)、管理等方面的作用日益凸顯出來,同時(shí)校園網(wǎng)網(wǎng)絡(luò)安全問題也越來越嚴(yán)重,各種計(jì)算機(jī)病毒、黑客以及非法入侵事件不斷出現(xiàn)。防火墻技術(shù)作為網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù),在校園網(wǎng)絡(luò)安全當(dāng)中有著重要的應(yīng)用價(jià)值。
1防火墻技術(shù)概述
1.1防火墻的功能
防火墻可以說是校園網(wǎng)絡(luò)安全重要的保障,通過監(jiān)測并控制網(wǎng)絡(luò)之間交換的數(shù)據(jù)包以及訪問行為,對網(wǎng)絡(luò)實(shí)行嚴(yán)格的安全管理,所以防火墻需要具備基本的功能,例如控制管理網(wǎng)絡(luò)訪問行為,檢測并告警網(wǎng)絡(luò)攻擊行為,對于不安全的服務(wù)以及信息進(jìn)行限制與攔截,隱蔽校園網(wǎng)絡(luò)并對進(jìn)出數(shù)據(jù)加以監(jiān)控,記錄防火墻信息以及活動(dòng)等。因?yàn)榉阑饓Φ淖饔梅浅V匾?,所以防火墻一方面需要具備這些常規(guī)功能,另一方面也應(yīng)當(dāng)具備附加功能,比如入網(wǎng)身份的驗(yàn)證和授權(quán),病毒的免疫功能、虛擬專用網(wǎng)和網(wǎng)絡(luò)地址轉(zhuǎn)換等等。
1.2防火墻的優(yōu)缺點(diǎn)
在防火墻的優(yōu)點(diǎn)方面,防火墻可以保護(hù)校園網(wǎng)絡(luò)安全,設(shè)置安全策略保證符合要求的那些請求才可以通過防火墻,從而有效避免非法入侵行為,并且防火墻作為校園內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)進(jìn)出的控制點(diǎn),可以收集并記錄網(wǎng)絡(luò)使用信息以及錯(cuò)誤信息,確保校園網(wǎng)絡(luò)同外部網(wǎng)絡(luò)聯(lián)系的安全性。防火墻可以間隔網(wǎng)絡(luò)當(dāng)中的網(wǎng)段,避免因?yàn)槟硞€(gè)網(wǎng)段安全問題而影響整個(gè)校園網(wǎng)絡(luò)的使用,作為檢查站可以檢查那些試圖侵入校園網(wǎng)絡(luò)的行為,從而避免可疑訪問進(jìn)入。
在防火墻的缺點(diǎn)方面,防火墻雖然可以保護(hù)校園網(wǎng)絡(luò)安全,不過作用并非是絕對的,也有其自身的缺點(diǎn)。防火墻可以保護(hù)校園網(wǎng)絡(luò)當(dāng)中系統(tǒng)用戶發(fā)送的安全信息,不過要是用戶直接復(fù)制信息,這些復(fù)制的信息就可以繞過防火墻,從而非法帶走數(shù)據(jù)信息,對侵入的信息而言,防火墻同樣無法加以控制,并且對校園網(wǎng)絡(luò)內(nèi)部用戶竊取數(shù)據(jù)以及信息,破壞校園網(wǎng)絡(luò)軟件硬件的行為,防火墻都無法發(fā)揮作用。要是信息繞過防火墻傳輸,同樣無法有效攔截入侵者。除此之外,防火墻充分發(fā)揮作用的需要良好的設(shè)計(jì)方案,設(shè)計(jì)方案合理才可以防備已知的安全威脅,而沒有防御新出現(xiàn)的安全威脅的作用。
2校園網(wǎng)絡(luò)應(yīng)用防火墻技術(shù)的必要性
(1)計(jì)算機(jī)病毒問題。計(jì)算機(jī)病毒可以說是威脅校園網(wǎng)絡(luò)安全一個(gè)最為常見的影響因素,計(jì)算機(jī)病毒傳播的途徑多種多樣,U盤、網(wǎng)絡(luò)下載以及郵件等都是常見的傳播方式。同時(shí)隨著病毒產(chǎn)業(yè)鏈的不斷發(fā)展壯大,解密以及道好問題帶來用戶信息以及隱私泄露、網(wǎng)絡(luò)阻塞、文件破壞以及硬件損害等現(xiàn)象層出不窮,甚至有可能導(dǎo)致校園網(wǎng)絡(luò)系統(tǒng)癱瘓。由于校園網(wǎng)絡(luò)的用戶數(shù)量比較多,網(wǎng)絡(luò)安全管理方面存在欠缺,容易給計(jì)算機(jī)病毒傳輸提供條件,尤其是校園網(wǎng)絡(luò)使用涉及到各種資源的共享,從而容易使得計(jì)算機(jī)病毒造成教學(xué)科研成果的泄露。
(2)黑客攻擊的問題。因?yàn)樾@網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來越高明,破壞程度同樣越來越嚴(yán)重,黑客攻擊校園網(wǎng)絡(luò),有著時(shí)間長、范圍廣、損失大以及處理難的特點(diǎn),校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方,黑客很多時(shí)候使用專業(yè)工具攻擊校園挽留過,導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò),同時(shí)篡改校園網(wǎng)絡(luò)的主頁、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。
(3)內(nèi)部用戶的問題。現(xiàn)在學(xué)生對于網(wǎng)絡(luò)了解程度比較深,這就導(dǎo)致部分學(xué)生會(huì)在好奇心趨勢下,攻擊校園網(wǎng)絡(luò)系統(tǒng),從而給校園網(wǎng)絡(luò)的正常運(yùn)行帶來不利影響,提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計(jì)顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30%左右,大部分情況由學(xué)生好奇心而引起,同時(shí)學(xué)校對于學(xué)生的管理以及教育不夠重視,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。
3防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用
3.1選擇合適的防火墻產(chǎn)品
最簡單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過濾路由器。為更好實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全,很多時(shí)候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案,然后選擇合適的防火墻產(chǎn)品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設(shè)備,并且集成生產(chǎn)廠商防火墻軟件,功能上通過內(nèi)置安全軟件,并且使用強(qiáng)化甚至專屬的操作系統(tǒng),有著管理方便以及更換容易的特點(diǎn),并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關(guān)系,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來加以選擇。
3.2使用服務(wù)器
服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān),這一網(wǎng)關(guān)運(yùn)行服務(wù)軟件,可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實(shí)現(xiàn)協(xié)同工作,所以提供應(yīng)用級的網(wǎng)關(guān)??蛻舳送?wù)器發(fā)送請求,請求到達(dá)服務(wù)器,然后服務(wù)器在接收連接請求之后,進(jìn)行身份認(rèn)證以及訪問控制,要是客戶端確認(rèn)服務(wù)器身份認(rèn)證以及訪問控制,那么就代替客戶端發(fā)送請求。服務(wù)器在響應(yīng)之后,服務(wù)器則將數(shù)據(jù)反饋到客戶端。
3.3配置路由器防火墻
防火墻技術(shù)在校園網(wǎng)絡(luò)安全當(dāng)中的應(yīng)用一方面除了使用服務(wù)器,另一方面就是通過路由器來接入到Internet。路由器作為連接多個(gè)網(wǎng)絡(luò)的設(shè)備,可以在不同網(wǎng)絡(luò)間實(shí)現(xiàn)數(shù)據(jù)信息交換。現(xiàn)在路由器的功能日益增多,其中一個(gè)重要功能就是具備安全功能,集成防火墻以及VPN(虛擬專有網(wǎng)絡(luò))等方面的功能。通常情況下,安全路由器在接入Internet的時(shí)候采用防火墻技術(shù),基于源以及目標(biāo)IP地址和端口過濾環(huán)節(jié)的防火墻技術(shù),并且通過防火墻技術(shù),能夠讓內(nèi)部局域網(wǎng)避免受到外網(wǎng)的攻擊,從而發(fā)揮安全防護(hù)作用。
3.4防火墻入侵檢測
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理
引言
信息化時(shí)代,高校走在前列,各個(gè)高校都提出了數(shù)字化校園的口號,這些高校也加大了網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面的投入。建設(shè)校園網(wǎng)必然會(huì)有各種應(yīng)用系統(tǒng)應(yīng)運(yùn)而生,這些系統(tǒng)服務(wù)于高校的教學(xué)、科研和管理。同樣,網(wǎng)絡(luò)也是高校對外交流的重要窗口和名片。但是,網(wǎng)絡(luò)也是一把雙刃劍,在給高校提供便捷的同時(shí),也受到來自各方面的攻擊和挑戰(zhàn)。保證校園網(wǎng)安全有序運(yùn)行,就成為了高校面臨的一個(gè)新問題。
1高校網(wǎng)絡(luò)發(fā)展模式
高校網(wǎng)絡(luò)是教育網(wǎng)和運(yùn)營商網(wǎng)絡(luò)多網(wǎng)結(jié)合的特殊局域網(wǎng),不同于企業(yè)網(wǎng)絡(luò),更重要的是它是非盈利性的網(wǎng)站,它有自己的特點(diǎn)。
1.1網(wǎng)絡(luò)設(shè)備在布局上的差異
校園內(nèi)教學(xué)樓,實(shí)驗(yàn)樓,圖書館等各個(gè)樓宇都對網(wǎng)絡(luò)有一定的依賴性,但是依賴程度又不一樣,這就要求用不同的設(shè)備將網(wǎng)絡(luò)接入這些樓宇,然后匯聚到主核心,也正是這種差異性帶來的網(wǎng)絡(luò)故障使得問題錯(cuò)綜復(fù)雜。
1.2網(wǎng)絡(luò)應(yīng)用系統(tǒng)眾多
校園網(wǎng)在某種程度上是一個(gè)大型局域網(wǎng),它提供了各種應(yīng)用系統(tǒng)服務(wù)于校園師生。這些應(yīng)用系統(tǒng)的管理員和使用者的使用習(xí)慣都會(huì)對網(wǎng)絡(luò)安全產(chǎn)生一定的安全隱患。
1.3高校資源校內(nèi)共享權(quán)限
教育網(wǎng)資源在校內(nèi)是免費(fèi)共享的,這就使得校園網(wǎng)有一定的訪問權(quán)限,例如圖書資源只在校園內(nèi)共享;同時(shí),校內(nèi)的某些重要科研信息又是保密的,要求相關(guān)人員提高網(wǎng)絡(luò)安全新人,警惕非法侵入或訪問。
2高校網(wǎng)絡(luò)安全現(xiàn)狀分析及安全隱患
高校網(wǎng)絡(luò)結(jié)合教育網(wǎng)和運(yùn)營商網(wǎng)絡(luò),有足夠的帶寬高,各式各樣的信息都能從網(wǎng)上快速搜索。隨著社會(huì)的發(fā)展用戶對網(wǎng)絡(luò)依賴感增加,個(gè)人和高校的各種信息都暴露在網(wǎng)上,于是這些信息就會(huì)面臨網(wǎng)絡(luò)內(nèi)外各種攻擊的風(fēng)險(xiǎn),同時(shí)有部分專業(yè)用戶,通過技術(shù)手段了解到網(wǎng)絡(luò)的整體架構(gòu)后,會(huì)不斷給網(wǎng)絡(luò)安全帶來挑戰(zhàn)。綜合分析內(nèi)外因素,具體可以概括為以下幾種風(fēng)險(xiǎn):
2.1校內(nèi)用戶網(wǎng)絡(luò)安全意識薄弱
大多用戶包括老師和學(xué)生異與具有較高攻擊防范意識的用戶,他們普遍缺乏網(wǎng)絡(luò)安全意識,有些時(shí)候會(huì)被攻擊,甚至被動(dòng)地成為網(wǎng)絡(luò)黑客,使得校園網(wǎng)面臨來自內(nèi)部的攻擊風(fēng)險(xiǎn)。
2.2病毒對校園網(wǎng)影響大
高校網(wǎng)絡(luò)要接受眾多在線用戶的考驗(yàn),這考驗(yàn)既包括對校園網(wǎng)處理能力的要求,更包括來自網(wǎng)絡(luò)的攻擊。如果終端被攻擊并且沒有積極采取防御措施的話,很容易使病毒在局域網(wǎng)內(nèi)擴(kuò)散,進(jìn)而影響整個(gè)校園網(wǎng)的正常工作,影響網(wǎng)內(nèi)其他用戶的正常使用。
2.3大量的外部網(wǎng)絡(luò)攻擊
教育網(wǎng)有很多免費(fèi)資源,訪問量也很高,因此校園網(wǎng)的這些網(wǎng)絡(luò)資源就成為被攻擊的重點(diǎn)目標(biāo)。同樣他們也采取各種手段破解一些重點(diǎn)網(wǎng)絡(luò)設(shè)備,使得校園網(wǎng)每天都在接受考驗(yàn)。
3解決高校網(wǎng)絡(luò)安全隱患的對策
3.1制定符合實(shí)際情況的操作章程
網(wǎng)絡(luò)安全涉及面很寬泛,并且每所高?;A(chǔ)建設(shè)以及網(wǎng)絡(luò)結(jié)構(gòu)都不一樣,但總體的指導(dǎo)思路大同小異,這就要求相關(guān)管理人員根據(jù)實(shí)際情況,建立符合實(shí)際情況的網(wǎng)絡(luò)安全管理制度,制訂操作性強(qiáng)的用戶上網(wǎng)規(guī)范,明確上網(wǎng)用戶的責(zé)任和義務(wù),提高用戶的安全意識。
3.2對網(wǎng)絡(luò)安全管理系統(tǒng)重點(diǎn)關(guān)注
在校園網(wǎng)絡(luò)中,硬件投入和軟件維護(hù)同樣重要,大部分學(xué)校將精力投入到網(wǎng)絡(luò)設(shè)備的基礎(chǔ)設(shè)施建設(shè)上,卻忽視了將部分精力投入到網(wǎng)絡(luò)安全管理系統(tǒng)方面,隱患可想而知。在日益錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)形勢下,不僅要求技術(shù)人員有過硬的技術(shù)和足夠的經(jīng)驗(yàn),還必須建立整套安全管理系統(tǒng),及時(shí)有效排除安全隱患。
3.3定期培訓(xùn),及時(shí)更新病毒庫
網(wǎng)絡(luò)技術(shù)日新月異,相關(guān)人員需及時(shí)關(guān)注網(wǎng)絡(luò)技術(shù)的新變化和新進(jìn)展,高校要提供機(jī)會(huì)讓相關(guān)人員走出去進(jìn)修學(xué)習(xí),了解兄弟院校以及技術(shù)公司的新思路,提高業(yè)務(wù)人員的綜合能力。另外,應(yīng)及時(shí)更新病毒庫,讓工作事半功倍。
4總結(jié)
本文從多方面描述了網(wǎng)絡(luò)安全的意義,并根據(jù)高校現(xiàn)狀提出相應(yīng)的解決方案。高校信息化和數(shù)字化校園在某種程度上也代表著高校邁入新時(shí)代的標(biāo)志[3],隨著越來越多的高校領(lǐng)導(dǎo)意識到網(wǎng)絡(luò)的重要性,網(wǎng)絡(luò)安全問題就上升到學(xué)校的形象層面,信息時(shí)代,資源是共享的,但同時(shí)也是競爭的,在網(wǎng)絡(luò)安全方面高校要根據(jù)自身的狀況要建立和完善相應(yīng)符合校情的網(wǎng)絡(luò)安全管理的規(guī)范和章程。作為專業(yè)技術(shù)人員,更應(yīng)該增強(qiáng)主人翁意識,強(qiáng)化學(xué)習(xí)新技術(shù)的能力,找出解決新問題的方法,改善網(wǎng)絡(luò)環(huán)境,減少網(wǎng)絡(luò)風(fēng)險(xiǎn),確保校園網(wǎng)絡(luò)正常運(yùn)行。
參考文獻(xiàn)
[1]吳功宜,吳英.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)教程(第3版)[M].北京:清華大學(xué)出版社,2009:17~18.
關(guān)鍵詞:校園網(wǎng)絡(luò),安全隱患,防范對策
隨著全球性的網(wǎng)絡(luò)化、信息化不斷的發(fā)展,網(wǎng)絡(luò)已慢慢成為人們?nèi)粘I钪斜夭豢缮俚牟糠帧=┠陙?,隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展,校園網(wǎng)絡(luò)也快速的發(fā)展和普及了,使得校園網(wǎng)在高校的地位越來越重要。。校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理、宣傳和對外交流等許多角色。但由于安全意識淡薄和技術(shù)力量的薄弱,校園網(wǎng)絡(luò)的安全問題日益突出。如何讓校園網(wǎng)正常高效地發(fā)揮其宣傳、教學(xué)管理、服務(wù)等功能,已成為一個(gè)不可忽視的問題。。目前校園網(wǎng)絡(luò)中存在的安全隱患。1、大多數(shù)學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足,所以就將有限的經(jīng)費(fèi)投在關(guān)鍵設(shè)備上,對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入,致使校園網(wǎng)處在一個(gè)開放的狀態(tài),沒有任何有效的安全預(yù)警手段和防范措施。2、學(xué)校的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束學(xué)生、教職工的上網(wǎng)行為。網(wǎng)絡(luò)安全制度執(zhí)行不徹底,各校園網(wǎng)在安全管理上存在著困難,這也是網(wǎng)絡(luò)安全問題泛濫的一個(gè)重要原因.由此可見,構(gòu)筑具有必要的信息安全防護(hù)體系,建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要.3、使用的操作系統(tǒng)存在安全漏洞,網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全,校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞,校園網(wǎng)絡(luò)對社會(huì)開放,這樣一來只要接入INTERNET的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,而流行于網(wǎng)絡(luò)上的很多病毒和攻擊就是針對windows漏洞而產(chǎn)生的。用戶的應(yīng)用程序和安裝的軟件也會(huì)存在漏洞。因?yàn)樾@網(wǎng)是公共的計(jì)算資源,很多用戶只是用,而很少管。另外機(jī)房根據(jù)教學(xué)任務(wù),要安裝很多軟件,造成系統(tǒng)負(fù)荷增大,系統(tǒng)運(yùn)行緩慢,使攻擊者有機(jī)可乘。4、在校園網(wǎng)絡(luò)中,利用在對等網(wǎng)中對計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法,最為常用的是打印機(jī)共享。但可以說大部分的人都沒有充分認(rèn)識到當(dāng)一個(gè)目錄共享后,在校園網(wǎng)內(nèi)的用戶可以訪問到,就連在網(wǎng)絡(luò)上的各臺計(jì)算機(jī)都能對它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的隱患。5、許多教師和學(xué)生的計(jì)算機(jī)網(wǎng)絡(luò)安全意識薄弱、安全知識缺乏。校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器,盜用他人帳號非法使用網(wǎng)絡(luò)、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生,我們學(xué)院的應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試,而其中一大部分的非法訪問源自校內(nèi),說明校園網(wǎng)絡(luò)上的用戶安全意識淡?。浑m然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但人們普遍缺乏安全意識,從而使這些保護(hù)措施形同虛設(shè)。綜上所述,校園網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻,為解決以上安全隱患,結(jié)合校園網(wǎng)內(nèi)用戶復(fù)雜的特點(diǎn)和現(xiàn)今網(wǎng)絡(luò)安全的解決方案和技術(shù),提出了以下校園網(wǎng)絡(luò)安全解決方案。 1、提高管理水平建立一個(gè)高度權(quán)威的信息安全管理機(jī)構(gòu),并不斷強(qiáng)化其權(quán)限和職能;制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全法規(guī),做到有章可循、有法可依;制定網(wǎng)絡(luò)管理員的激勵(lì)制度,促使他們提高工作熱情,加強(qiáng)工作責(zé)任心;對網(wǎng)絡(luò)管理員進(jìn)行專業(yè)知識和技能的培訓(xùn);把網(wǎng)絡(luò)信息安全的基本知識納入學(xué)校各專業(yè)教育之中;對學(xué)校教師和其他人員進(jìn)行信息安全知識普及教育;在學(xué)校的網(wǎng)站設(shè)立網(wǎng)絡(luò)安全信息欄目,網(wǎng)絡(luò)法令法規(guī)、網(wǎng)絡(luò)病毒公告、操作系統(tǒng)更新公告等,并提供常用軟件的補(bǔ)丁下載。。
2、設(shè)置硬件防火墻是目前保護(hù)計(jì)算機(jī)不受外界黑客攻擊的有效手段,是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道安全屏障,根據(jù)內(nèi)部網(wǎng)絡(luò)的安全政策控制出入網(wǎng)絡(luò)的信息流。為了防止校園網(wǎng)內(nèi)部的病毒、ARP、黑客等攻擊,個(gè)人電腦上需安裝防火墻軟件。
3、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,攜帶病毒和黑客程序的數(shù)據(jù)包和電子郵件越來越多,打開或運(yùn)行這些文件,計(jì)算機(jī)就有可能感染病毒。安裝有反病毒軟件,就可以預(yù)防、檢測一些病毒和黑客程序,有效提高安全性。
4、劃分VLAN有效控制網(wǎng)絡(luò)廣播信息的傳播,減輕網(wǎng)絡(luò)負(fù)擔(dān),同一虛擬網(wǎng)的用戶可更高效通信;不同VLAN之間可以在路由模塊配置訪問控制策略,避免非法訪問,提高網(wǎng)絡(luò)安全性;與網(wǎng)絡(luò)管理系統(tǒng)(結(jié)合使用,網(wǎng)絡(luò)管理員可更有效管理網(wǎng)絡(luò),包括監(jiān)視網(wǎng)絡(luò)流量,控制網(wǎng)絡(luò)分流和設(shè)置安全級別等。
5、提高個(gè)人計(jì)算機(jī)用戶的自我防護(hù)能力,安裝可靠的殺毒軟件并保證殺毒軟件更新到最新的病毒庫,定期對重要區(qū)域重點(diǎn)掃描,對計(jì)算機(jī)進(jìn)行全盤掃描;合理設(shè)置計(jì)算機(jī)的操作系統(tǒng),關(guān)閉遠(yuǎn)程協(xié)助支持及遠(yuǎn)程桌面,關(guān)閉網(wǎng)絡(luò)共享;養(yǎng)成良好的上網(wǎng)及計(jì)算機(jī)使用的習(xí)慣,設(shè)置安全的密碼,保護(hù)電子郵件信息不外泄,合理使用聊天工具及在線支付工具,謹(jǐn)慎使用下載軟件和共享軟件,定期做好數(shù)據(jù)的備份工作等。
6、重視安裝補(bǔ)丁程序,補(bǔ)丁程序中有很大一部分就是因?yàn)槟承┊a(chǎn)品或系統(tǒng)的一些安全漏洞被發(fā)現(xiàn)后,廠商提供給用戶的一種補(bǔ)救措施,用戶如不及時(shí)安裝使用,別人可輕易通過“補(bǔ)丁”程序的接口編寫程序進(jìn)入目標(biāo)系統(tǒng),攻擊目標(biāo)系統(tǒng)獲得非法訪問權(quán)。
參考文獻(xiàn)
[1] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2OO4
[2]勞幗齡.網(wǎng)絡(luò)安全與管理[M].北京:高等教育出版社,2OO3
[3] 袁津生,等.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:人民郵電出版社,2005
關(guān)鍵詞: 安全隱患; 全網(wǎng)動(dòng)態(tài)安全體系模型; 信息安全化; 安全防御
中圖分類號:TP393 文獻(xiàn)標(biāo)志碼:A 文章編號:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加,在享受高速互聯(lián)網(wǎng)帶來無限方便的同時(shí),我們也被各種層次的安全問題困擾著?,F(xiàn)代校園網(wǎng)絡(luò)安全是一個(gè)整體系統(tǒng)工程,必須要對現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析,綜合運(yùn)用先進(jìn)的安全技術(shù)和產(chǎn)品,制定相應(yīng)的安全策略,建立一套深度防御體系[1],以自動(dòng)適應(yīng)現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全需求。
1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析
現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎(chǔ)設(shè)施,承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用,信息安全隱患重重,面臨的安全威脅可以分為以下幾個(gè)層面。
⑴ 物理層的安全分析:物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞,造成現(xiàn)代校園網(wǎng)不能正常運(yùn)行。在考慮現(xiàn)代校園網(wǎng)安全時(shí),首先要考慮到物理安全風(fēng)險(xiǎn),它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提保障。
⑵ 網(wǎng)絡(luò)層的安全分析:網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間,是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路,網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計(jì),所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。
⑶ 系統(tǒng)層的安全分析:現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性,并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差越來越小,這就使得所有操作系統(tǒng)本身的安全性給整個(gè)現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)。
⑷ 數(shù)據(jù)層的安全分析:數(shù)據(jù)審計(jì)平臺的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備,采集引擎實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集,采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互,主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。
⑸ 應(yīng)用層的安全分析[2]:為滿足學(xué)校教學(xué)、科研、辦公等需要,在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用,用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患,主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用軟件系統(tǒng)采購自第三方,直接使用造成諸多安全要素。
⑹ 管理層的安全分析:人員有各種層次,對人員的管理和安全制度的制訂是否有效,影響由這一層次所引發(fā)的安全問題。
⑺ 非法入侵后果風(fēng)險(xiǎn)分析:非法入侵者一旦獲得對資源的控制權(quán),就可以隨意對數(shù)據(jù)和文件進(jìn)行刪除和修改,主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。
2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出
全網(wǎng)動(dòng)態(tài)安全體系模型[3](APPDRR)從建立全網(wǎng)自適應(yīng)的、動(dòng)態(tài)安全體系的角度出發(fā),充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面,如風(fēng)險(xiǎn)分析(Analysis)、安全策略(Policy)、安全防護(hù)(Protection)、安全檢測(Detection)、實(shí)時(shí)響應(yīng)(Response)、數(shù)據(jù)恢復(fù)(Recovery)等,并強(qiáng)調(diào)各個(gè)方面的動(dòng)態(tài)聯(lián)系與關(guān)聯(lián)程度?,F(xiàn)代校園網(wǎng)安全模型如圖1所示,該模型緊緊圍繞安全策略構(gòu)建了五道防線:第一道防線是風(fēng)險(xiǎn)分析,這是整體安全的前提和基礎(chǔ);第二道防線是安全防護(hù),阻止對現(xiàn)代校園網(wǎng)的入侵和破壞;第三道防線是安全監(jiān)測,及時(shí)跟蹤發(fā)現(xiàn);第四道防線是實(shí)時(shí)響應(yīng),保證現(xiàn)代校園網(wǎng)的可用性和可靠性;第五道防線是數(shù)據(jù)恢復(fù),保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù),并把災(zāi)難降到最低程度。
3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究
為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全,結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實(shí)際需求,現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合,建立一個(gè)立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系,主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等,如圖2所示。
3.1 加解密技術(shù)
現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng),許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實(shí)性和可控性,需運(yùn)用先進(jìn)的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。
3.2 防火墻技術(shù)
防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素,是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則,對進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測、限制和過濾,只允許匹配規(guī)則的數(shù)據(jù)通過,并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件,以便管理員分析檢測、迅速響應(yīng)和反饋調(diào)整。
3.3 防病毒系統(tǒng)
抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞,并通過以下兩種有效的手段進(jìn)行相應(yīng)地控制:一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播,采用蜜罐技術(shù)、隔離技術(shù)等;二是殺毒技術(shù),使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實(shí)時(shí)檢測和殺毒技術(shù),讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。
3.4 虛擬專用網(wǎng)
虛擬專用網(wǎng)(全稱為Virtual Private NetWork,簡稱VPN)指的是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展,由若干個(gè)不同的站點(diǎn)組成的集合,一個(gè)站點(diǎn)可以屬于不同的VPN,站點(diǎn)具有IP連通性,VPN間可以實(shí)現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率,而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng),各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸,保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有:①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP;②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN;③應(yīng)用層有SSL。
3.5 入侵防護(hù)技術(shù)
入侵防護(hù)技術(shù)包含入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計(jì)算機(jī)的惡意企圖和不良行為,并能對此及時(shí)作出防控。IDS不僅能夠檢測未授權(quán)對象(人或程序)針對系統(tǒng)的入侵企圖或行為,同時(shí)能監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作,提高了現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全保護(hù)。IPS幫助系統(tǒng)應(yīng)對現(xiàn)代校園網(wǎng)的有效攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和及時(shí)響應(yīng)),提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。
3.6 身份認(rèn)證系統(tǒng)
現(xiàn)代校園網(wǎng)殊部門(如檔案、財(cái)務(wù)、招生等)要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5],應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺,加強(qiáng)用戶的身份認(rèn)證,防止對網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作,加強(qiáng)口令的管理。
3.7 數(shù)據(jù)備份系統(tǒng)
在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運(yùn)行的必要手段,可保證在災(zāi)難突發(fā)時(shí),系統(tǒng)及業(yè)務(wù)有效恢復(fù)?,F(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實(shí)時(shí)對整個(gè)校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份,備份策略采用完全備份與增量備份相結(jié)合的方式。
3.8 預(yù)警防控系統(tǒng)
現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對整個(gè)校園網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測、修復(fù)和升級,嚴(yán)格履行國家標(biāo)準(zhǔn)的信息安全管理制度,構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制,能實(shí)行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置,調(diào)控多層面分布式的安全問題,提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力,加強(qiáng)對現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力,切實(shí)建立起一個(gè)方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng),實(shí)現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。
4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案
通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究,針對現(xiàn)代校園網(wǎng)的安全隱患,提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。
⑴ 物理層安全:主要指物理設(shè)備的安全,機(jī)房的安全等,包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標(biāo)準(zhǔn)執(zhí)行。
⑵ 網(wǎng)絡(luò)層安全:針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分,并按照這些安全功能需求設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6],采用核心交換機(jī)的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實(shí)現(xiàn)信息安全化。
⑶ 系統(tǒng)層安全:現(xiàn)代校園網(wǎng)管理平臺的主機(jī)選擇安全可靠的操作系統(tǒng),采取以下技術(shù)手段進(jìn)行安全防護(hù):補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。
⑷ 數(shù)據(jù)層安全:主要使用數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行監(jiān)控管理,對審計(jì)記錄結(jié)果進(jìn)行保存,檢索和查詢,按需審計(jì);同時(shí)還能夠?qū)ξkU(xiǎn)行為進(jìn)行報(bào)警及阻斷,并提供對數(shù)據(jù)庫訪問的統(tǒng)計(jì)和分析,實(shí)現(xiàn)分析結(jié)果的可視化,能夠針對數(shù)據(jù)庫性能進(jìn)行改進(jìn)提供參考依據(jù)。
⑸ 應(yīng)用層安全:應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密,并通過審計(jì)和記錄機(jī)制,確保服務(wù)請求和資源訪問的防抵賴。
⑹ 管理層安全:現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度,提供數(shù)據(jù)審計(jì)平臺。一方面,對站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄,及時(shí)發(fā)現(xiàn)非法入侵行為。另一方面,當(dāng)事故發(fā)生后,提供黑客攻擊行為的追蹤線索及破案依據(jù),實(shí)現(xiàn)對網(wǎng)絡(luò)的可控性與可審查性。
5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系
現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實(shí)際工作環(huán)境中,在配套安全管理制度規(guī)范下[7],現(xiàn)代校園網(wǎng)可實(shí)現(xiàn)全方位多層次的信息安全化管理,配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制及安全風(fēng)險(xiǎn)評估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實(shí)時(shí)監(jiān)控系統(tǒng)、數(shù)據(jù)審計(jì)平臺、數(shù)據(jù)存儲備份與恢復(fù)等動(dòng)態(tài)自適應(yīng)的防御體系,可有效防范、阻止和切斷各種入侵者,構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。
6 結(jié)束語
信息安全化是現(xiàn)代校園網(wǎng)實(shí)施安全的有效舉措,并建立一套切實(shí)可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施,提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力,發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用。現(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時(shí)伴隨著種種不確定的安全因素,時(shí)時(shí)威脅現(xiàn)代校園網(wǎng)的健康發(fā)展,要至始至終保持與時(shí)俱進(jìn)的思想,適時(shí)調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。
參考文獻(xiàn)(Reference):
[1] [美]Sean Convery著,王迎春,謝琳,江魁譯.網(wǎng)絡(luò)安全體系結(jié)
構(gòu)[M].人民郵電出版社,2005.
[2] Cbris McNab著,王景新譯.網(wǎng)絡(luò)安全評估[M].中國電力出版
社,2006.
[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)
位論文,2010.
[4] Teare D.著,袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京
人民郵電出版社.2011.
[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].
電子科技大學(xué)碩士學(xué)位論文,2015.5.
[6] 彭勝偉.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)技術(shù),
2012.11.
關(guān)鍵詞:校園網(wǎng);防火墻技術(shù);網(wǎng)絡(luò)安全
中圖分類號:TP309
因特網(wǎng)逐年普及,各類學(xué)校對于網(wǎng)絡(luò)的使用也更是廣泛,校園網(wǎng)的建設(shè)對于教育教學(xué)具有深遠(yuǎn)意義,因而保證其信息安全尤為必要。但是,校園網(wǎng)絡(luò)的安全問題卻著實(shí)令人堪憂,其突出的安全問題值得研究分析。所以,基于當(dāng)前現(xiàn)狀,在校園網(wǎng)絡(luò)中對其安全問題實(shí)施防火墻技術(shù)是當(dāng)前最為普遍的建設(shè)性技術(shù)。保護(hù)計(jì)算機(jī)信息安全,結(jié)合當(dāng)前計(jì)算機(jī)安全面臨的主要威脅,當(dāng)仁不讓的核心技術(shù)就是防火墻技術(shù),同時(shí),對防火墻技術(shù)現(xiàn)狀的分析研究,對其做出未來的發(fā)展設(shè)想也是很必然的。
1 校園網(wǎng)絡(luò)安全
1.1 校園網(wǎng)絡(luò)的安全需求
校園網(wǎng)對于網(wǎng)絡(luò)安全的需求是很高的,是全面的,通常表現(xiàn)形式為:網(wǎng)絡(luò)安全隔離,網(wǎng)絡(luò)安全漏洞;有害信息過濾等多種多樣。校園網(wǎng)絡(luò)對于其網(wǎng)絡(luò)安全正??煽窟\(yùn)行的需求是很大的,總之,校園中整個(gè)網(wǎng)絡(luò)的全面性運(yùn)行的前提是需要一套科學(xué)合理的方案做支持,方案制定之后繼而合理的實(shí)施在網(wǎng)絡(luò)安全上面,這對于分析和研究校園網(wǎng)絡(luò)的安全尤其有必要。與學(xué)校而言,制定一套安全管理方案和設(shè)備配備方案是最科學(xué)的,以此來保證校園整個(gè)網(wǎng)絡(luò)的全面安全可靠運(yùn)行。
1.2 校園網(wǎng)絡(luò)面對的安全威脅
針對校園網(wǎng)絡(luò)的安全威脅,總結(jié)來說,包括冒充合法用戶,病毒與惡意攻擊,非授權(quán)進(jìn)行信息訪問,或是干擾系統(tǒng)正常運(yùn)行等。另一方面,對校園網(wǎng)絡(luò)安全性構(gòu)成威脅的還有因特網(wǎng)自身的因素,類似網(wǎng)絡(luò)資源的性質(zhì),其資源信息良莠不齊,各式各樣,一旦沒有進(jìn)行過濾篩選就放到網(wǎng)絡(luò)上,一定會(huì)造成校園網(wǎng)絡(luò)安全威脅,其中包含的大量流量資源,造成了網(wǎng)絡(luò)堵塞,緩慢不運(yùn)行的上網(wǎng)速度,大量的非法內(nèi)容出入,并且對于校園生活中的青少年的身心健康造成了極大危害。
2 防火墻技術(shù)概述
2.1 包過濾類型防火墻
防火墻技術(shù)總體來講就是一系列功能不一的軟硬件組合,其功能通常包括存取,控制等,它工作的原理就是在校園網(wǎng)以及因特網(wǎng)之間進(jìn)行訪問控制策略的設(shè)置,從而決定哪些內(nèi)容可被讀取,哪些內(nèi)容被控制在瀏覽頁之外,如此一來,就保護(hù)了校園網(wǎng)絡(luò)內(nèi)部非法用戶非法內(nèi)容的入侵。防火墻技術(shù)的主要目的在于對數(shù)據(jù)組進(jìn)行控制,只對合法的內(nèi)容加以釋放,過濾掉網(wǎng)絡(luò)雜質(zhì)。
包過濾類型的防火墻技術(shù)工作原理是直接通過轉(zhuǎn)發(fā)報(bào)文,工作領(lǐng)域是IP層,這是網(wǎng)絡(luò)的底層,在合適的位置對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行有選擇的過濾,有一個(gè)形象的稱號稱呼這一防火墻技術(shù)即為“通信警察”。包過濾防火墻對每一個(gè)傳入保的基本信息進(jìn)行瀏覽,進(jìn)行過濾,一般查詢內(nèi)容都包括源地址、協(xié)議狀態(tài)等,這些基本信息一般性情況下都能對其內(nèi)容做出大致統(tǒng)籌,然后與系統(tǒng)源設(shè)定的信息規(guī)則進(jìn)行比照,指引可行性信息,攔截網(wǎng)絡(luò)垃圾。
包過濾類型的防火墻其優(yōu)點(diǎn)顯而易見,其選擇性過濾的功效著實(shí)對于校園網(wǎng)絡(luò)安全做出了保障,并且,這一類型的防火墻技術(shù)產(chǎn)品通常是廉價(jià)的,有效的,安全的,現(xiàn)在學(xué)校一般比較通用,這一手段的運(yùn)行過程完全透明,并且其運(yùn)行效率,工作性能也是很高,總體來講,就是指其性價(jià)比很是驚人。然而,其必然伴隨著不少的缺陷,尚未達(dá)到很完美的境地,類似于包過濾類型的防火墻技術(shù)不能保證絕對的安全性,對于其網(wǎng)絡(luò)欺騙行為不能進(jìn)行徹底的制止,而且有些協(xié)議的數(shù)據(jù)包壓根不適合被過濾,譬如“RPC”、“X-WINDOW”等。
2.2 服務(wù)器類型防火墻
防火墻技術(shù)的主要特征就是在網(wǎng)絡(luò)周邊建立相關(guān)的監(jiān)控系統(tǒng),以此來保障網(wǎng)絡(luò)安全,達(dá)到網(wǎng)絡(luò)可靠運(yùn)行的目的,它的工作原理是通過建立一套完整的規(guī)則和系統(tǒng)策略來進(jìn)行網(wǎng)絡(luò)安全檢測,繼而改變穿過防火墻的數(shù)據(jù)流,來達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。由于校園網(wǎng)絡(luò)與防火墻的工作環(huán)境特別兼容,因而,學(xué)校網(wǎng)絡(luò)實(shí)現(xiàn)信息安全的一大重要保障就應(yīng)當(dāng)是采用實(shí)施防火墻技術(shù)。
服務(wù)器類型的防火墻就是基于服務(wù)器,服務(wù)器是一種程序,其主要形式就是客戶處理在服務(wù)器的連接請求。當(dāng)服務(wù)器接收到客戶的連接意圖時(shí),它將對此請求進(jìn)行網(wǎng)絡(luò)核實(shí),然后將處理完成的信息進(jìn)行實(shí)質(zhì)性傳遞,呈現(xiàn)在真實(shí)的服務(wù)器上,最后對發(fā)出請求的客戶做出應(yīng)答。
基于服務(wù)器類型的防火墻,雖然其安全性能很高,但是它對于用戶而言是封閉的,不透明的,工作時(shí)有很大的工作量,對于真實(shí)服務(wù)器的要求較高,另外,服務(wù)器通常是需要身份驗(yàn)證或者是注冊的,這樣一來,就必然會(huì)影響到期工作的速度。所以,針對這一缺陷,基于服務(wù)器類型的防火墻不太適合于高速下的網(wǎng)絡(luò)監(jiān)控??傊?,防火墻對于網(wǎng)絡(luò)安全性是有很大的提高作用的,并不能絕對的根除網(wǎng)絡(luò)安全問題,除此以外,對于網(wǎng)絡(luò)內(nèi)部自身攻擊或是病毒很難防御。要想保證網(wǎng)絡(luò)徹底安全,防火墻技術(shù)是核心,且需要輔以其他精準(zhǔn)措施。
3 校園網(wǎng)絡(luò)安全方案及優(yōu)缺點(diǎn)
3.1 專用的硬件防火墻設(shè)備
專用的硬件防火墻設(shè)備是以最先進(jìn)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)為基礎(chǔ)的,這一類型的防火墻速度極快,將校園內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)做出了極其有效的隔離。通過網(wǎng)絡(luò)控制,校園內(nèi)部網(wǎng)絡(luò)被允許上網(wǎng),而校園外的網(wǎng)絡(luò)用戶就被隔離,不能直接進(jìn)行網(wǎng)絡(luò)訪問,當(dāng)然,也會(huì)有其他的網(wǎng)絡(luò)瀏覽方式,類似加密然后授權(quán)等,這必然有效的保護(hù)了校園網(wǎng)絡(luò)的安全性。這一方案的防火墻,其特點(diǎn)就是基于硬件,并與路由器做“合體”技術(shù),路由器購置中,便自動(dòng)植入了防火墻設(shè)備,以此在很大程度上保證了網(wǎng)絡(luò)安全。但是,盡管這一設(shè)備安全,快速,但是如此專業(yè)的軟硬件一體設(shè)備,其價(jià)格自然可想而知,非常昂貴。
3.2 服務(wù)器及相關(guān)防火墻軟件
服務(wù)器及相關(guān)的防火墻軟件也能夠?qū)崿F(xiàn)硬件防火墻的基本功能。采用“UNIX系統(tǒng)”以及該系統(tǒng)內(nèi)部內(nèi)核自帶的IP地址,當(dāng)然也包括其中的防火墻軟件,能夠很好的實(shí)現(xiàn)硬件防火墻的基本功能。由于當(dāng)下Windows 2000或是其他的操作系統(tǒng)自身存在著很多的漏洞,致使其對于IP地址的支持能力極為有限,存在著很大的局限性,對于病毒感染,或是漏洞頻出的現(xiàn)象不能很好的避免,所以對于這一安全方案,在服務(wù)器的選擇上盡量避免Windows 2000。服務(wù)器常年運(yùn)行,若要保證校園網(wǎng)絡(luò)安全,其所有的出口流量等全都需要經(jīng)過這一服務(wù)器,所以方案設(shè)備配置時(shí),一個(gè)性能高的,經(jīng)久耐用的專用服務(wù)器就顯得尤為重要了,以此加強(qiáng)其工作穩(wěn)定性。這一配備的投資較為節(jié)省,而且性能很好,很大程度上保證了園網(wǎng)絡(luò)安全。因而,針對以上兩種方案,學(xué)校對投資校園網(wǎng)絡(luò)建設(shè)時(shí),結(jié)合財(cái)力,性能,需求等多種因素進(jìn)行防火墻方案選擇。
4 結(jié)束語
因特網(wǎng)的迅猛發(fā)展,必然伴隨著網(wǎng)絡(luò)攻擊手段的不斷跟進(jìn),保護(hù)其安全就顯得尤為迫切,防火墻技術(shù)已經(jīng)基本能夠滿足計(jì)算機(jī)使用者對于其信息安全的需求,但是防火墻技術(shù)作為網(wǎng)絡(luò)信息安全的核心技術(shù),它值得深入研究的課題以及項(xiàng)目還是很多,譬如如何對防火墻技術(shù)進(jìn)行危險(xiǎn)系數(shù)的評估等技術(shù)尚需得到研究開發(fā),總之,防火墻技術(shù)為計(jì)算機(jī)尤其是校園網(wǎng)絡(luò)技術(shù)做出了巨大貢獻(xiàn)。
參考文獻(xiàn):
[1]李欣.高校校園網(wǎng)絡(luò)安全探索[J].中國現(xiàn)代教育裝備,2012(10):45-46.
[2]唐震.校園網(wǎng)絡(luò)安全管理技術(shù)研究[J].硅谷,2013(08):33-34.