时间:2023-02-22 11:28:25
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇校园网络安全范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
随着高校信息化建设的全面深入和快速推进,基础网络设施和信息应用系统日趋完备,形成了规模大、结构复杂、系统多、应用全面的网络与信息系统架构。信息化建设项目多、任务重,在高效率、高质量完成建设任务的同时,需要保证网络运维和信息安全运维的效果和效率,为师生提供良好的用户体验,这就对网络运维提出了更高的要求和标准。网络业务日益繁多、复杂多变,各种网络问题层出不穷,如黑客攻击、计算机病毒泛滥,高校园网络运维体系面临新的问题,能否适应新变化就显得非常重要。建立校园网运维体系、解决校园网面临的问题对保证高校正常的教学、科研、管理等工作有着重要意义。
1校园网络安全运维体系架构
随着信息化在高校的发展,硬件平台、应用软件、操作系统越来越复杂,难以集中管理,加之师生对网络的高度依赖性,使得保障网络的可靠性和安全性成为重中之重。具备故障管理、配置管理、变更管理、性能管理、安全管理等功能的网络管理技术为当前网络安全技术中的关键技术。高校校园网络中网络安全设备、业务系统数量众多、结构复杂,且管理控制平台多样,网络管理员需要掌握不同平台的管理及使用方法,去管理网络中的各种设备和系统,复杂度高;网络管理员对应用系统的使用权限不同,难以在不同的业务应用系统中保持控制策略和用户权限的全局一致性,管理网络安全事件日趋复杂化。只有对所有安全设备、业务系统发生的安全事件及其运行状态信息进行关联分析,才能有效发现新的、更深层次的安全隐患。安全管理技术主要包括安全事件采集、安全事件管理、安全设备监控三大模块。安全事件釆集,用于采集网络中所有安全设备及业务应用系统等的安全日志及运行状态,这些信息将为后续的关联分析提供数据源,是安全管理的基础。安全事件管理将采集得到的数据源进行关联分析、风险评估等处理,通过分析可能的安全威胁,提交安全对象的安全报告。安全设备监控,是通过监控各关键网络设备的运行状态信息,及时发现安全问题并第一时间进行处理。
2校园网络安全运维平台的组成
校园网络安全运维平台由监控中心、安全分析中心、运维中心组成,为保证高校校园网络的安全提供了科学合理的方法,有效保障了校园网络的安全和稳定。监控中心,通过事件采集器收集监控对象日志信息及安全事件,经过标准化、信息过滤和关联分析后,标记安全事件级别同时存入数据库。安全分析中心,通过资产识别、威胁识别、脆弱性识别、评价风险、风险计算等过程,评估校园网络综合资产的重要性、脆弱性以及面临的威胁,为管理员进行决策提供依据;采用事件关联分析算法,寻找海量事件相互关联事件,提取出真正有价值的少量安全事件威胁,包括业务连续性威胁、数据安全威胁、攻击威胁。运维中心,通过安全预警管理接收业务系统防护平台产生的自动安全预警信息或人工预警信息,再进行分级处理,并按规定的通知模板将预警信息传达给相关人员,并运用系统安全策略进行准确的预警,其中系统安全策略由告警的触发条件、分析规则、风险策略、设施管策略、存储策略等组成。
3安全运维的内容
3.1安全巡检
定期对校园网络安全设备的日志进行深入分析和审计,包括对防火墙、IDS、防病毒系统、动态口令认证、日志分析系统等的运行状态、运行事件、日志和关键配置文件进行收集、分析,并形成相应的安全建议。安全巡检内容如下:(1)制订安全设备巡检计划和巡检规范;(2)定期对网络安全设备进行巡检;(3)分析和解决在巡检中发现的问题;(4)提交巡检报告。
3.2漏洞扫描
通过漏洞扫描可以全面、准确发现校园网络中各系统存在的安全隐患及可能被攻击的方式,掌握信息系统的安全现状,为进一步保证建设校园网络的安全提供了数据参考和实际的依据,具有指导校园网络安全建设的作用。对信息系统进行标准的安全探测是漏洞扫描采用的主要技术手段,通过安全探测可以发现网络和系统潜在的安全隐患和薄弱环节。通过漏洞扫描设备、安全评估工具以扫描的方式对整个校园网中的信息系统、网络设备和安全设备进行安全扫描,从校园内网和校园外网络两个不同的网络环境来探测校园网络结构、网络设备部署、服务器主机配置、数据库管理员账号/口令等校园网络对象目标存在的漏洞、安全风险和潜在的威胁。漏洞扫描有利于发现系统层、网络层、应用层的安全问题。(1)系统层安全。各网络设备、安全设备、服务器的操作系统,主要存在操作系统自身的漏洞、风险和威胁,主要包括用户名、密码管理、访问权限分配和控制、系统漏洞等,以及操作系统的安全配置不够完善,存在被攻击的可能。(2)网络层安全。网络信息是网络层的主要安全问题,包括身份认证,控制不同身份对网络资源的访问、传输过程中的信息数据保密性与完整性、校外网络远程接入、入侵检测的发现及处理手段等。(3)应用层安全。应用软件和数据的安全性是应用层安全考虑的主要方面,主要有:学工系统、门户网站、教务系统、数据库系统、Web应用服务、电子邮件系统、防火墙及WAF系统及其他网络应用服务系统等。扫描流程如图1所示:
3.3安全加固
针对巡检、漏洞扫描、安全评估过程中发现的各种安全隐患、系统漏洞,通过补丁升级、漏洞修复、进行更加严格的安全配置、校园网络系统架构优化与调整、安全策略升级与完善等方式及时对系统进行安全加固,范围可覆盖资产梳理、终端检查、物理检查、管理体系优化、人工检查、漏洞扫描结果加固、渗透测试结果加固(涉及数据库加固),提高校园网络的安全性、抗攻击和防病毒入侵能力,降低网络安全事件发生的可能性。采用基本安全配置定期检测和优化,提高各系统、设备的密码复杂度及修改密码,系统漏洞检测、修复处理,访问控制策略完善配置,安全的远程接入方式,开启文件系统的审计策略,开启系统日志记录并定期进行分析,定期升级操作系统及更新安装补丁等手段对校园网络进行安全加固。加固完成后,定期对校园网络的安全性进行评估,确保校园网络中各业务系统、网络设备、安全设备具有较高的安全性和抗攻击能力。加固流程如图2所示:
4结语
科学合理成体系的校园网络安全运维能有效缓解校园网络面临的风险问题,将网络安全事件从传统的事后处理逐渐转变为事前防范,能极大提高网络运维和安全管理水平,增强校园网络的安全性,提供更好的用户体验,从而实现安全、稳定、抗风险能力强的校园网络环境。
参考文献
[1]庄天天.安全运维平台关键技术的研究与实现[D].北京:北京邮电大学,2013.
[2]吴京伟.大学校园网络运维体系研究[D].合肥:合肥工业大学,2009.
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。
许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。
如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。 因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。 二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。 二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
一、网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,网络服务不中断。
二、网络信息安全的特征
1.保密性。信息不泄露给非授权用户、实体或过程,或供其利用的特性,在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露;在运行层面,保证能够为授权使用者正常地使用,并对非授权的人禁止使用,并有防范黑客、病毒等的攻击能力。
2.完整性。数据未经授权不能被修改、破坏、插入、延迟、乱序和不丢失的特性。
3.可用性。授权的用户能够正常地按照顺序使用的特征,保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力,在运行方面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者和接收者都无法否认所和接收信息内容。
三、威胁网络安全的因素
1.黑客。相信人们在生活中对这个词语并不陌生,或许在自己的身边就存在着黑客。黑客其实是程序设计人员,对于操作系统和编程语言等高级知识有很好的掌握,我们之所以称其为黑客,主要是因为他们还利用对方的操作系统中的安全漏洞而非法的进入对方的计算机系统中,窥探或是盗取对方的机密,其危害性就不言而喻了。从一定程度上来说,黑客对于网络系统的安全危害是比一般的电脑病毒的危害还要大得多。
2.病毒。病毒是相对于黑客的又一安全隐患,而目前对于数据安全存在的最大的安全隐患是计算机病毒,它也是一种恶意破坏的行为,是恶意编制者在正常的计算机程序中刻意插入的计算机指令或是程序的代码,从而破坏计算机中的数据或计算机的功能应用,影响计算机的正常运用。计算机病毒就跟瘟疫一样具有传染性、破坏性、隐蔽性、寄生性等一些特点,能够进行自我复制而在计算机中蔓延开来,对于计算机的影响不只是单个的计算机,而是区域性地产生影响,因此,加强对计算机病毒的防范迫在眉捷,要对已产生的计算机病毒进行及时的清理。
3.软件漏洞。在计算机中存在着许多应用软件,而这些软件随着人们的需要而被安装,这些软件虽经过无数次的测试,但并不能保证它们本身不存在着漏洞,更不能保证它们在应用的过程中不会出现问题,这种安全问题的存在,就使得计算机处于危机之中,一旦这些存在问题的操作系统或是软件投入到使用中,就会使计算机遭到破坏。
四、校园网络采用的网络安全技术
1.防火墙技术。防火墙是一个或一组在两个网络之间执行访问控制策略的系统,本质上,它遵从的是一种允许或阻止业务往来的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。防火墙能够强化安全策略,防止不良现象发生的“交通警察”,有效地记录因特网上的活动,限制暴露用户点,是网络安全策略的检查站。
2.数据加密技术。在计算机网络系统中,与防火墙配合使用的安全技术还有文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取,侦听或破坏所采用的主要技术手段之一。按作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.网络安全扫描技术。网络安全扫描技术是检测远程或本地系统安全脆弱性的一种安全技术,通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
4.入侵检测技术。入侵检测技术是通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行处理,从而发现入侵行为的一种技术。这是一种主动地防护措施,通过收集、分析计算机系统或计算机网络中的特定信息,达到预测威胁网络安全的行为是否存在的目的。入侵检测技术在防火墙技术的基础上提供了又一道安全防护层,可起到防御网络攻击的作用,因而提高了网络系统的安全性和防御体系的完整性。
5.计算机病毒防范技术。计算机病毒是一种计算机程序,它不仅能破坏计算机系统,还能传播感染到其他系统。计算机病毒能够寄生在其他文件中,通过自我复制进行传播,当预先设定的条件满足时即被激活,从而给计算机系统造成不同程度的破坏。计算机病毒不同,其编制目的也各有不同。比如,破坏文件造成数据丢失、删除重要程序文件造成系统错误、修改数据甚至盗取用户数据。检测与清除计算机病毒的常见方法是安装杀毒软件,同时也必须对病毒传播途径进行严密控制。
6.虚拟专用网技术。虚拟专用网是利用接入服务器、路由器及虚拟专用网设备在公用的广域网上实现虚拟专用网的技术。在虚拟网络中,任意两个节点之间的连接并不需要传统专用网络常用的端到端的物理链路,只是两个专用网络借助一个公共网络相互连接的一种方法,并通过采用隧道技术、加密技术、用户身份认证技术、访问控制技术,为网络安全提供了强有力的保障。
五、结束语
在数字化教育飞速发展的今天,一个安全有效的校园网能够在学校教学活动中发挥重要的保障和促进作用。作为校园网络管理者,应认真了解和掌握校园网的特点和网络安全技术,在实践中灵活运用,更好地保证校园网络的安全运行。
参考文献:
[1]袁津生,齐建东,曹佳.计算机网络安全基础.北京:人民邮电出版社,2008.
[2]张世永.网络安全原理与应用.北京:科学出版社,2003.
在密码的安全设置上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者”留下后门。
其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出的字符作为密码。
密码的长度也是设置者所要考虑的一个问题。在Windows系统中,有一个SAM文件,它是Windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。如果使用“暴力破解”方式对所有字符组合进行破解,那么对于5位以下的密码,最多只要用十几分钟就能完成;对于6位字符的密码也只要用十几小时;但是对于7位及以上的至少耗时一个月左右,所以密码设置时一定要有足够的长度。另外,适当地交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
从目前来看,各种系统或多或少都存在着漏洞,系统漏洞的存在就成了网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。发现漏洞最常用的方法就是经常登录各有关网络安全网站,对于我们使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。
在校园网中服务器为用户提供着各种服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。从安全角度考虑,应将不必要的服务关闭,只向公众提供他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传的某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如Scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必需之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
三、目录共享的安全
在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、木马的防范
随"校校通"工程的深入开展,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到无法估量的作用。但在积极发展办公自动化、实现资源共享的同时,人们对校园网络的安全也越加重视。尤其最近暴发的"红色代码"、"蓝色代码"及"尼姆达"病毒,使人们更加深刻的认识到了网络安全的重要。正如人们所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了网络管理人员的一个重要课题。
目前,许多学校的校园网都以WINDOWS NT做为系统平台,由IIS(Internet Information Server)提供WEB等等服务。下面本人结合自己对WINDOWS NT网络管理的一点经验与体会,就技术方面谈谈自己对校园网安全的一些看法。
一、密码的安全
众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使 "入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。
在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,"入侵者"就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为"入侵者"留下后门。比如,对WEB网页的修改权限设置,在WINDOWS NT 4 .0+IIS 4 .0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。
其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。
密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中,有一个sam文件,它是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解" 方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
最近流行于网络上的"红色代码"、"蓝色代码"及"尼姆达"病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起"红色代码"、"蓝色代码"及"尼姆达"病毒的传播流行的Unicode解码漏洞,早在去年的10月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了将近一年,还能扫描到许多机器存在该漏洞。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
在WINDOWS NT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
转贴于 三、目录共享的安全
在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。
简单地说,校园网是指在学校范围之内,为教师的教育教学和科研、学生的学习和生活等需求提供信息交流、资源共享的计算机网络系统。校园办公服务软件不断发展的同时,学校的教育教学、校务办公、为学生服务的功能也通过互联网连接,这大大扩展了办公及学习的深度和广度。与此同时,校园网的安全问题也越来越突出,网络病毒,黑客入侵,管理不善等原因使得校园网络面临着严重的威胁。
1校园网的安全隐患
1.1导致校园网危险的内在原因
1.1.1软硬件自身的漏洞
硬件系统的安全威胁。一是指物理方面的安全,主要是由于互联网中硬件装置摆放的位置不太合适,或是由于安全的防范措施不当,导致网络硬件一些设备不能安全正常地使用。二是指设置安全,主要是指在仪器上要有正确的设置,预防网络黑客获取了计算机的远程控制的特权。网络系统的安全漏洞,是指网络系统的程序员编程设计时,没有事先预料到可能存在的安全隐患,导致系统存在缺陷。现今,校园里采用的计算机操作系统大部分是微软公司的WINDOWS操作系统,而针对WINDOWS操作系统的病毒和黑客非常的多,安全问题十分堪忧。
1.1.2设置上的失误
正确地安排设计校园网的配置设备是非常关键的。网络线路一旦成形并布线,那么,如果再进行调整是十分麻烦的。因为其布线有一定的网络拓扑结构,如果重新设计,不仅会浪费人力、物力、财力,还会影响正常的教学活动。目前,网络维护公司其技术、质量及其所谓的解决方案一般都是夸大其词,并不能真正地达到百分之百的防治效果。
1.1.3管理漏洞
人为的管理体制,也是校园网中比较重要的部分。人员的负责制度、管理条例、安全意识、安全防范行为都不健全,加上一些管理人员自身的知识和技能不足等原因,非常有可能引发网络安全的问题。
1.2导致校园网危险的外在原因
1.2.1网络黑客的入侵
校园网的规模庞大而且复杂,其中的设备五花八门,不仅在管理上带来了很大的难度,也给不法的黑客可趁之机,因此,黑客的攻击是校园网络安全中一个不可小视的重要因素。
1.2.2计算机病毒的破坏
通常情况下,计算机网络的基本组成包括在网络中安置的服务器和节点站(包含有盘和无盘工作站、远程工作站)。计算机病毒的入侵路径,通常是先进入到网络中的有盘工作站,即进入了网络,再开始在互联网上传播。
2解决校园网络安全问题的一些关键技术
基于校园网络的现状,在明确了几个威胁校园网安全的因素的基础上,就可以制定一系列网络安全系统策略和原则,并从硬件和软件方面考虑,需要采用多种技术及软件相互配合的方式,包括防火墙、入侵检测、病毒防御等的运用。
2.1防火墙部署
防火墙是指一种隔离技术,用于将内部网和公众访问网分开的技术,也就是校内网和校外人员访问的校园网是不同的。防火墙是在网络之间进行信息传递时所实现的访问限制标准和程度,它可以使你“允许进入”的访问用户和数据访问你的网络,也将你“不允许进入”的访问用户和数据拒绝,这种分隔校园中的通信更加安全,校园内的数据库、网络、网站就能得到最大限度的保护。最大程度地保护校园网络免于其他的威胁和侵害。
2.2入侵检测
入侵检测是对入侵网络的行为进行检查。它的技术原理就是利用对计算机网络或者是计算机系统中一些关键点进行收集信息,并对信息进行分析,从中检测网络或系统中有无违背安全策略的行为和被攻击的现象。
2.3计算机病毒防御
防病毒技术能够及时发现病毒并且消灭病毒,防止网络病毒的进一步传播和扩大。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等。防病毒产品有:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。
2.4漏洞扫描
漏洞扫描是指在漏洞数据库的基础上,利用扫描等形式检测指定的远程计算机或本地计算机系统的安全性,并检测出能够被利用的漏洞的一种安全检测行为。漏洞扫描技术是一种非常常用的网络安全技术。它与防火墙、入侵检测系统联合使用,很大程度地提高网络的安全性。通过使用网络扫描技术,校园网络管理人员可以知道网络的安全设置和运行时的应用服务,并能尽早发现安全漏洞,客观评估网络风险等级,并尽快处理风险和威胁。校园网络管理员能按照扫描的结果改正校园网络中错误设置和系统中的漏洞,在恶意入侵者入侵之前准备防范。防火墙是一种被动的防范措施,然而安全扫描是一种主动的防范手段,这种防范可以有效避免入侵者的攻击行为。
2.5营造良好的网络环境,培养学生的网络道德情感
由于学生的心理、思想还不成熟,在网络面前往往缺乏理智的辨别能力,部分学生甚至出现了道德意识欠缺、道德素质偏低等问题。学生是网络世界一个不容忽视的群体,他们的网络道德素质对网络道德建设有着很大的影响。在校学生网络道德素质问题的解决,不但能改善网络环境、维护网络秩序,并且对提高在校学生的道德素质都会有积极影响。
2.6加强管理人员安全意识,切实提高管理人员技术水平
(1)提高网络管理层的安全意识,学校领导应大力支持与重视网络建设和网络安全,这是构建安全校园网络的保障。(2)提升网络管理队伍的安全素养,加强学生与教师的安全意识和网络管理员安全技能的培训工作,提高管理员的技术水平。在校园网络中建立起一套完整的网络安全体系,加强校园网络安全管理制度和措施,形成一个较全面的安全理论体系,在一定程度上解决校园网中存在的若干安全问题。如今在国家大力支持计算机和网络教育的情况下,相信校园网络的安全工作将会提到一个更高的层次,引起更多的重视,为我国的教育事业做出更多的贡献。
参考文献
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与应用,2007.
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
中图分类号:TP393.08
本项目涉及的是某高校校园网的升级改造。近年来,随着学校校园网应用的不断增加,原学校核心网压力越来越大。同时,随着新的教学模式的应用,如很多学科视频应用逐渐常规化,大量的视频及图像数据流对原校园网中服务器、存储及核心网络设备性能都提出了更高的要求,另外校园网的网络安全也日益成为焦点。因此,该校决定对原有校园网进行改造。
1 项目需求
在此次校园网升级改造中,该校决定将各系业务进行整合,并建设一个独立、高性能的数据中心。通过数据中心统一为全校提供灵活、高效的业务支撑,满足各院系差异化需求,并保留未来强大的扩展能力。
由于新建立的数据中心需要为全校的各种视频、网络教学等关键业务提供服务,因此对数据中心服务器、存储及网络设备的性能和可靠性提出了很高的要求。
具体要求:
(1)数据中心服务器配置了大量高性能千兆网卡,因此要求新建数据中心网络能够满足高密度千兆速率接入需求。
(2)新建数据中心网络要求具备接口扩展等数据中心特性,以适应未来发展需求。
由于此次改造的重点是数据中心,因此对网络安全也提出了相应的要求:
(1)防御来自网络外部的DDoS攻击,保障数据中心的可用性。
(2)对应用层攻击进行预防和阻止。
(3)攻击防范及访问控制,抵御来自外部的各种攻击;在校园内部根据部门的不同安全区域、级别进行隔离。
(4)高密度部署,具备虚拟化能力,低成本地满足校园各部门专属安全防护的需要。
2 项目解决方案
通过对客户需求及应用场景的深入分析,最终将该公司数据中心建设的关注点放在了数据中心网络安全防护上。经过分析最终选定华为公司为运营商。
通过对数据中心的分析,目前对数据经中心的安全需求基本包括以下方面:
数据中心链路普遍采用10G链路,将要向40G/100G链路进行迁移,同时,数据中心的发展,使得大二层数据中心快速发展,东西向流量的交换集中汇聚到数据中心核心交换机,这种趋势必然要求信息安全产品需要有更高的处理能力,低性能的网络安全防护产品如FW/IPS等必制约了数据中心的平滑升级;
数据中心的发展规模越来越大,业务越来越多,数据中心数据价值也越来越高,各种对数据的攻击也日新月异,攻击呈现持续性、高流量、异变性等,如何防护这些种类繁多的攻击行为要求防护产品的快速反应和高性能的处理能力;
信息安全威胁的快速变化,需要网络防护产品能快速的安全能力升级的能力,以及要求安全厂商有更积极的安全产品升级策略;
网络安全产品能够感知不同的应用类型,在网络需要时可以对不同的应用给予不同的带宽保障,保障高价值业务的用户体验;以缓和数据中心出口带宽的压力,提升用户体验。
2.1 外联区安全防护
华为高端防火墙部署在大型数据中心出口,为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙,实现了安全域隔离,将数据中心划分为外链区和核心区,对各个域之间的流量进行安全防护,有效避免网络风暴扩散,保障网络安全。在外联区部署IPS入侵防御系统,及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护。通过在关键业务系统的入换机旁路部署NIP系统,对访问系统的网络流量进行实时入侵检测,实现了统计分析、入侵检测与防护、安全审计等功能。
同时在出口部署Anti-DDoS设备,可以有效识别DDoS攻击,减少恶意流量的冲击,实现对DDoS的攻击防护。
2.2 核心区网络安全解决方案
通过在核心交换机上部署各种安全业务,如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。
在核心区部署高性能USG设备,将核心区按照业务模式划分不同的区域,如测试区、托管区、运行管理区等,对不同的区域实现不同的安全策略,为不同的区域提供不同的安全防护能力。
在核心区部署高性能的IPS设备,以旁路IDS方式部署NIP产品,监控内部的攻击行为,检测异常的数据流量,同时在业务服务器群前,防御DDoS攻击,以及各种黑客攻击行为和蠕虫等,以保护高安全业务区的业务安全。
2.3 方案的优势
多种专业防护能力:采用“七层过滤”技术,秒级防御流量型、应用型、畸形报文等各种DoS/DDoS攻击;方案集成业务感知模块,超1200多种应用识别能力,能够对业务做到应用层可视化管控。
高性能:针对数据中心大数据、大流量的特点,华为数据中心网络安全解决方案依托电信级的硬件平台,提供高性能、高可靠的安全防护。在业务吞吐量、接口能力、漏洞检出率/误报率、防护响应速度等安全设备关键指标上全面领先业界水平。
高可靠:方案涉及设备的电源/风扇/主控等关键部件冗余和可热插拔,业务板间均衡负载流量,多种容错设计保证在海量复杂网络流量下可靠性和可用性,保证业务永续。
易扩展:采用插板式设计,安全隔离、IPS和Anti-DDoS的功能均能在同一硬件平台上扩展,高密度,保护客户已有投资。
虚拟化能力强:虚拟化能力是业界平均水平的4倍以上,低成本的提供多部门独享安全服务的需求。
全面的IPv6攻击防范能力:提供完善的IPv6过渡方案,确保IPv4向IPv6网络过渡期间的安全、平滑升级。
3 结束语
本文对校园网的数据中心升级做了简要的描述。在校园网的建设中,我们首先要做的是了解各项业务需求,然后从中选出最重要的点作为项目实现的重点,进行方案设计和设备选型,最后进行项目实施。
参考文献:
[1]郑叶来,陈世峻.分布式云数据中心的建设与管理[M].北京:清华大学出版社,2013.
[2]张广明,陈冰,张彦和.数据中心基础设施设计与建设[M].北京:电子工业出版社,2012.
