時間:2023-11-17 11:20:38
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇學校網絡安全培訓,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:高校;網絡安全建設;思考
1引言
網絡安全,指的是計算機網絡系統的安全,不僅包括網絡系統正常運行的硬件、軟件環境安全,也包括網絡傳輸的資源、數據等信息安全[1]。網絡安全不僅關系到我們每一個公民,更是事關國家安全的重要問題。高校作為培養當代大學生的主要陣地,在網絡安全建設及教育方面更是肩負著重要的責任。面對信息泄露等校園網絡安全問題以及日趨嚴峻的網絡安全形勢,如何保障高校網絡安全建設的穩步推進,已經成為重中之重。
2網絡安全建設存在的問題
高校網絡安全建設存在一些問題,主要有以下幾點。(1)網絡安全專業人員不足目前高校已基本上實現校園網絡全覆蓋。有成千上萬的網絡計算機,但與之配套的網絡安全管理員卻嚴重不足,甚至沒有專職的網絡安全管理員[2]。而且大部分網絡安全管理人員沒有接受過系統化的崗前培訓,安全責任意識單薄,專業素養不夠高,網絡安全專業人員及其技能都存在嚴重不足。(2)師生網絡安全意識不強高校網絡的使用主體為本校師生,群體龐大,且大部分高校未開展系統、全面、全覆蓋的網絡安全主題教育,導致用戶群體網絡安全防范意識不強。部分教師在使用計算機時對病毒防護、密碼保護、漏洞修復等基礎網絡安全操作無意識,使得計算機很容易被入侵而造成數據及資源丟失[3]。一些學生在面對復雜的網絡環境時,由于獵奇心理及感情用事,可能會采用一些諸如“翻墻”等威脅高校網絡安全的行為或者網絡暴力等激進行為。(3)網絡安全防護體系不完善截止到目前,很多高校尚未認識到加強網絡安全管理的重要性,缺乏一套完善的網絡安全防護體系。領導重視不夠,未形成專門的網絡安全領導小組;資金投入不足,無法購買各類網絡安全防護設備;管理制度不完善,無應急預案等;技術防護手段不足,缺少各類必須的技術防護手段;網絡安全人員不足,未設置網絡安全技術專崗等。這些都是當前高校網絡安全面臨的突出問題。
3加強高校網絡安全建設的對策
3.1網絡安全防護體系
高校網絡安全建設應以人員組織為基礎,以管理制度為依據,以技術防護為手段,三管齊下,切實保障好高校的網絡及信息安全。
3.1.1人員組織體系自上而下,建立起管理決策層、組織協調層、落實執行層的三層架構人員組織體系。管理決策層統一領導網絡安全工作,研究制定網絡安全發展規劃,決策網絡安全建設中的重大事項等。組織協調層統一協調學校網絡安全建設工作,負責網絡安全及運行保障項目的建設、改造、升級、維護等方面,負責制度與人員隊伍建設等。落實執行層負責具體工作的落地執行。
3.1.2管理規范體系規范化是制度化的最高形式,是一種非常有效和嚴謹的管理方式。完善的管理規范體系是保障網絡安全的法律基礎,是通過建立標準規范來約束用戶行為的制度。其實現的過程就是規范管理的過程。管理規范體系包括網絡安全責任制、網絡安全管理規范、應急響應機制、網絡安全通報制度等方面的內容。(1)網絡安全責任制按照“誰主管誰負責、誰運行誰負責”的原則,明確網絡安全工作責任主體,各部門應有專人專崗負責網絡安全具體工作,細化網絡安全各關鍵崗位安全管理責任,簽訂安全責任書,建立安全責任體系,形成網絡安全工作長效機制。(2)網絡安全管理規范建立健全網絡安全管理制度,明確信息系統管理、數據管理、信息管理、網站、微信、微博和移動應用管理、電子郵件管理、交互式欄目管理等的管理規范,使所有的網絡安全活動都有規范可依,有制度約束。(3)應急響應機制制定完善網絡安全應急預案、明確應急處置流程、處置權限、落實應急技術支撐隊伍,強化技能訓練,強化技能訓練。至少一年兩次開展網絡應急演練。通過模擬網絡安全事故現場環境,提高應急處置能力。(4)網絡安全通報制度定期開展安全檢查,全面、細致地排查安全隱患,并定期對檢查結果進行通報,督促相關部門落實整改。如通過《網絡安全簡報》、《信息化簡報》等手段,通報各業務系統漏洞掃描、數據備份、日志審計、數據庫審計等各項安全指標,督促相關部門做好網絡安全責任落實。
3.1.3技術防護體系網絡安全及運行保障是一項系統工程,對系統的過程要素、組織結構和結構功能進行分析,主要分為預警層次、檢測層次、保護層次、響應層次四個層級。預警層次主要是發現問題、記錄問題和預警問題。檢測層次主要是發現服務器存在的安全漏洞、安全配置問題、應用系統安全漏洞,形成完整的安全風險報告,幫助安全人員查漏補缺,防范風險于未然[4]。保護層次是對網絡運行的實時保護,包括拒絕服務、入侵檢測、流量分析、數據防泄露等。響應層次是對安全事件進行及時的響應,包括數據庫審計、安全監管、安全服務等。
3.2網絡安全宣傳教育
維護高校網絡安全是全校師生共同的責任,維護網絡安全不僅需要學校的防護體系,更需要廣大師生的共同參與,網絡安全這道防線才能筑得牢固。因此,在制定完善的網絡安全防護體系的基礎上,更要通過定期的安全培訓、知識講座和學術交流,使全校師生不斷增強網絡安全意識,掌握網絡安全知識,并有效提升各類網絡安全事件的風險防范能力,進一步營造一個安全、健康、文明、和諧的網絡環境。
4結束語
高校網絡安全體系的建設是一個數據龐大、層次復雜、多點防御的工程,涉及到人員組織體系、管理規范體系、技術防護體系等多個層面。其建設的完成不是一蹴而就的,需要從全局進行總體規劃,分步實施,才能實現高校網絡安全管理的最終目標[5]。
參考文獻
[1]王喬平.淺談對網絡安全的認識.信息系統工程,2019(07):78
[2]李佳霖.高校網絡安全管理的現狀及對策.通訊世界,2019,26(05):17-18
[3]文理卓,李東宸,鄭憲,董石.淺析高校網絡安全管理及對策探討.中國管理信息化,2019,22(14):153-154
[4]梁藝軍.高校Web網站安全防護策略.中國教育網絡,2015(02):57-58
【關鍵詞】 校園網 安全現狀 策略
一、引言
隨著互聯網和教育信息化的快速發展,校園網絡建設也成為校園建設的一個重要組成部分,學校的數字化校園建設甚至是智慧校園建設都得依賴校園網絡,校園網絡在高校中扮演的角色也越來越重要,它的穩定性與安全性影響著整個校園的教學與辦公的正常運轉。由于黑客攻擊、木馬病毒等不利因素不斷更新升級,校園網的安全面臨著嚴峻的考驗,是校園網建設過程中必須要高度重視的一個問題。
二、校園網的安全現狀
1缺少有效的網絡安全設備。對于校園網,在出口的地方通常都會配置防火墻、VPN、行為審計等網絡安全設備,是保障校園網安全與穩定所不可缺的。但是由于管理人員不夠重視、技術人T能力有限、經費比較緊張等問題,導致網絡安全設備更新換代不及時,甚至是缺少這些安全設備,在設備出現故障的情況下,也沒有備機進行更換,這些都給校園網帶來很大的安全威脅。
2、系統和軟件漏洞。操作系統復雜且龐大,常見的操作系統或多或少都存在一定的安全漏洞,這些漏洞會被黑客所利用,影響計算機安全和網絡安全。用戶在使用計算機的時候,都會下載安裝一些軟件,如果用戶使用一些沒有經過安全檢測的軟件,也會對校園網安全產生影響。
3、硬件漏洞。由于每個硬件廠商的技術實力和產品升級頻率都不一樣,不同廠家和型號的路由器、交換機等網絡設備在安全性能也都存在差異,這同樣會對校園網的安全產生影響。網絡黑客可以通過這些設備漏洞獲得校園網的控制權限,危害學校的信息安全。
4、網絡安全意識薄弱。教師與學生構成了校園網的用戶群,所以使用校園網的用戶數量是比較龐大的,這其中大部分用戶的網絡安全意識都比較薄弱,對帳號密碼的管理、流氓軟件和釣魚網站的識別、計算機病毒的查殺等都不是特別重視和熟練。有些同學甚至會使用一些黑客軟件,主動對校園網進行攻擊。
5、網絡病毒和黑客攻擊。網絡病毒傳播速度快、影響范圍廣,在校園網內,主要通過電子郵件和文件共享的方式進行傳播,輕則感染部分計算機和占用網絡資源,重則破壞校內重要系統和服務器。學校對外的應用系統是最容易受到黑客攻擊的,例如網站系統,經常會被嘗試破解用戶名密碼和注入腳本等。
三、保障校園網安全的策略
1、加強校園網的安全制度管理。相關制度的缺失是影響整個校園網安全的一個重要原因,學校應該建立和完善校園網安全管理制度,以此來規范用戶的操作,例如強化帳號密碼、定期查殺計算機病毒、安全使用電子郵件等。另外,還應該建立校園網安全應急預案,在核心網絡設備出現問題的情況下,如何快速恢復網絡暢通;建立核心機房管理制度,對進出機房人員進行登記,并規范管理和技術人員的操作。
2、做好等級保護工作。落實公安部和教育部的要求,做好等級保護工作,對學校重要的信息系統進行備案、整改、測評等,以達到相關要求。通過這項工作,能夠讓學校去重視信息系統和網絡安全,及時發現系統的漏洞和管理操作上的漏洞,并對此進行整改,使得學校的信息安全和網絡安全達到一定的高度。
3、確保物理安全。物理安全是整個校園網正常運行的基礎,網絡管理人員需要定期對線路和各節點的網絡設備進行定期檢查與維護,防止線路老化,防止設備被偷被破壞,做好核心機房的防水、防火、防雷。有必要的話,還需要對重要的核心設備搭配不間斷電源。
4、加強安全技術。學校的技術人員應該不斷加強和提高相關的專業技術能力,以應對校園網故障與網絡攻擊。利用防火墻技術,對邊界做好隔離與檢測;利用VLAN技術,將校園網劃分成多個子網,有效控制廣播風暴,提高網絡速率與安全;利用防病毒技術,對校園網內的計算機病毒進行查殺,加強校園網的防毒能力;利用身份認證技術,嚴格審核連入校園網的用戶,避免不法分子亂入。
5、加強宣傳與培訓。由于用戶的網絡安全意識薄弱而導致的安全事故,在所有網絡安全事故中所占的比重還是比較大的,所以有必要對校園網的用戶進行安全培訓。并通過網頁、公眾號、海報等方式對網絡安全知識進行宣傳,傳播網絡安全知識與技能。
結束語:總的來說,高職院校的校園網安全現狀還是比較嚴峻的,多方面因素都威脅這校園網安全,在數字化校園的建設過程中,必須重視校園網的安全,如果得不到保障,對學校的教學、科研、管理都會產生較大的影響。學校應該管理與技術并重,最大程度的降低網絡不安全因素。
參 考 文 獻
[1] 淺析計算機網絡安全問題及其防范措施[J]. 王濤.科技創新與應用 . 2013 (02)
安全漏洞和數字工具時不時的就會登上報紙的頭版頭條,而更加殘酷的現實是:沒有那么多訓練有素的專業人士來幫我們抵御這些網絡襲擊。
據網絡安全巨頭Cisco估計,全球有100多萬個安全類崗位空缺。2015年,ISACA(國際信息系統審計協會)的一份報告顯示,86%的被調查人員認同網絡安全是一個人才緊缺的行業這一說法,只有38%的人感覺自己已經準備好應對復雜的數字攻擊。
“網絡安全人才正面臨嚴重缺乏的狀況,這也是在過去幾年間,我們看到信息安全事故頻發的主要原因之一。”ISACA網絡安全顧問委員會的主席兼網絡安全公司White Ops的CEO Eddie Schwartz說道。
Schwartz表示,網絡安全專業人才的稀缺始于本世紀初。學校、網絡行業對中等水平網絡安全人才教育的關心導致尖端人才得不到培養,從而進一步加劇了人才緊缺的狀況。其后果是,對已知漏洞的修修補補、安裝防火墻和殺毒軟件成了維護信息安全的首要措施,很少有人再去關心是否需要革新技術以對抗越來越復雜的網絡安全襲擊。“如果全世界面臨更高級的威脅,當下大部分的合規框架都不足以用來保衛我們的安全。”Schwartz說。
同樣缺乏的還有精通“白帽黑客技術”的專業人士。所謂白帽黑客技術,就是指運用惡意黑客的手段,進行安全檢查來發現漏洞的技術。“在這方面我們還沒有系統的教育體制,”科羅拉多安全公司Coalfire的副總裁Mike Weber說,“也沒有特定的職業晉升道路能夠發掘出這類人才。”
另一大挑戰是,如果想大學畢業直接進入網絡安全行業工作,也比較困難。大學畢業生往往需要在科技行業工作一段時間,積攢足夠的經驗才能判斷出系統漏洞可能存在的區域。
“想要確定錯誤的所在位置,就得分析出如果是自己,會在哪里犯錯,”Weber說,“這類工作相當于逆向工程,而一個人只有在掌握了正向工程的技術后,才能進行逆向工程。”
為了幫助填補安全領域所缺人才,包括ISACA在內的不少公司和大學都開始提供實習培訓課程,專業培養白帽黑客技術人才。
佛蒙特州的諾威治大學是全美最古老的私立軍事學校,該校提供相應的大學水平課程,以及網絡安全領域的證書課程,教授學生計算機取證與漏洞管理等知識。“我們的安全檢測實驗室在很多年前就成立了,當時是應一家大型公司的要求,幫助他們對內部IT員工進行安全檢測培訓。”諾威治大學信息安全與保障碩士生學位項目的負責人Rosemarie Pelletier說道。
諾威治大學接收的學生主要分為兩類:一是安全行業的專業人士,想要提升自己的技能水平;二是退伍官兵,想要學習一門技術來回歸平民生活。諾威治大學的網絡安全專業畢業生很少有找不到工作的。
Offensive Security因開發了專注培養道德黑客的操作平臺Kali Linux而聞名業內,這家公司目前又上線了自己的培訓與證書項目,并提供實習機會,而不僅僅是考試過關即可。
“我們認可的基礎水平是通過一項24小時的測試,”Offensive Security的總裁Jim O’Gorman說道。“學員連入一個網絡,該網絡中存在一定數量的系統。我們會給學員制定一系列任務,學員要么選擇完成,要么干脆別做。之后,學員需要寫一份文檔來解釋這些結果,我們的導師會根據一部分確定的評分標準,以及與學員的交流進行打分,最終只有通過與不通過兩種成績。”
然而,盡管現在已經有專門培養大學畢業生的網絡安全培訓項目,全世界所缺乏的相關人才仍然是一個不小的數目。更糟糕的是,申請學習網絡安全相關課程的人數遠遠無法滿足我們對于信息安全保護的需求。
關鍵詞 數字化校園;安全;體系
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1671-489X(2009)06-0087-03
Research of Digital Campus Security System//Liu Changzheng, Teng Jianmin
Abstract Good application platform and sound business system are important in Digital Campus, But establishing a comprehensive security system to ensurethe whole system is safe, reliable operation is even more important. It researches from digital campus security system components, construction methods, which is of great significance to the digital campus of sustainable development and efficient operation.
Key words digital campus;security;system
Author’s address Bengbu Tank Institute Educational Technology Center, Bengbu, Anhui 233050
隨著軍隊院校信息化進程的推進,校園網上運行的服務越來越多,數字化校園變得越來越龐大和復雜。校園網用戶對信息系統的依賴性不斷增加,因此對信息系統的服務質量也提出更高的要求,要求信息系統能夠提供每周7×24小時的優質服務。如何保證信息系統的正常運行,如何能夠以最少的投入來完成系統的維護,保證信息系統的服務質量,就成為軍隊院校信息化發展到一定程度時必須考慮的問題。同時,數字化校園也面臨著一系列的安全問題,如會受到來自外部和內部的攻擊、病毒困擾、非授權訪問、重要信息泄露等問題,這些將影響整個數字校園系統的安全并帶來極大的隱患。從總體上來講,當前一般的校園網安全方案存在的問題是安全手段單一,沒有覆蓋整個校園網的各個層次、全方位的安全措施[1]。
結合蚌埠坦克學院數字化校園建設的實際情況,提出校園信息管理中心(DMC)的概念。作為學院信息化系統的樞紐,信息中心因存放大量的關鍵數據,與各個業務部門之間有著頻繁的重要通訊。如何保證關鍵數據安全,保證各類數字化校園服務的安全運行,就成為信息中心一項最為重要的職責。然而,隨著網絡技術的發展,黑客攻擊手段日益先進,而校園信息中心內的安全對象也不是簡單系統,而是開放的、各類用戶參與其中的、與學校和社會緊密耦合的復雜系統,攻擊者可以只攻一點,而信息中心需要處處設防,這些都使得校園信息中心網絡安全的復雜性大大提高。所以,單一的網絡安全產品,或者各種安全產品、安全技術的簡單堆砌,并不能保證網絡的安全性能。只有在安全策略的指導下,建立有機的、智能化的網絡安全保障體系,才能有效地保證校園信息中心內關鍵業務和關鍵數據的安全。
1 安全保障體系的組成
在多年實際工作的基礎上,蚌埠坦克學院采用一種動態的、多方位的校園信息中心安全保障體系構建方法。
首先,網絡安全保障體系應該是動態變化的。安全防護是一個動態的過程,新的安全漏洞不斷出現,黑客的攻擊手法不斷翻新,而校園信息中心自身的情況也在不斷地發展變化。在完成安全保障體系的架設后,必須不斷對此體系進行及時的維護和更新,才能保證網絡安全保障體系的良性發展,確保它的有效性和先進性。
網絡安全保障體系構建是以安全策略為核心,以安全技術作為支撐,以安全管理作為落實手段,并通過安全培訓加強所有人的安全意識,完善安全體系賴以生存的大環境。安全體系的組成如圖1所示。
下面逐一描述安全體系的各個組成部分。
1)安全策略。安全策略是一個成功的網絡安全體系的基礎與核心。安全策略描述校園信息中心的安全目標(包括近期目標和長期目標),能夠承受的安全風險,保護對象的安全優先級等方面的內容。
2)安全技術。常見的安全技術和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范等。這些工具和技術手段是網絡安全體系中直觀的部分,缺少任何一種都會有巨大的危險,因為網絡入侵防范是一個整體概念。但校園信息中心往往經費有限,不能全部部署,這時就需要在安全策略的指導下分步實施。需要說明的是,雖然是單元安全產品,但在網絡安全體系中它們并不是簡單的堆砌,而是要合理部署,互聯互動,形成一個有機的整體。
3)安全管理。安全管理貫穿整個安全保障體系,是安全保障體系的核心,代表安全保障體系中人的因素。安全不是簡單的技術問題,不落實到管理,再好的技術、設備也是徒勞的。一個有效的安全保障體系應該是以安全策略為核心,以安全技術為支撐,以安全管理為落實。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理。
4)安全培訓。最終用戶的安全意識是信息系統是否安全的決定因素,因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要的、不可或缺的一部分。
2 安全保障體系構建方法
2.1 制定安全策略基于數字化校園建設目標和建設思想的要求,結合蚌埠坦克學院信息化安全現狀,制定符合
學院數字化校園分期建設規劃對安全要求的相關策略[2]。要點:安全體系的近期目標是保證所有的機器都必須設防,能夠抵御一般水平的黑客進攻;安全體系的遠期目標是實現完善的安全審計和取證機制,保證受到入侵后有證可查,鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發揮重大作用;安全體系的長期目標是建立安全預警系統,能夠抵御較高水平的黑客攻擊。
2.2 安全技術的應用及安全工具的部署在安全策略的指導下進行安全工具和技術的部署,形成圖2所示的直觀的網絡安全體系。
在校園網的入口架設千兆防火墻,并實現VPN的功能。在數據中心網絡入口處建立第一層的安全屏障,VPN保證管理員在家里或出差時能夠安全接入數據中心。利用防火墻的網段隔離功能,設置DMZ區。使用千兆入侵監測系統對信息中心內的所有數據流動進行實時檢測入侵。使用認證服務器對數據訪問進行統一的認證。實現網絡防病毒功能,在信息中心建立病毒控管中心,為信息中心和辦公網絡提供防毒服務。根據功能將服務器劃分成服務器群,使用多級防火墻實施進一步的保護:二級防火墻保護應用服務器群,三級防火墻保護數據庫服務器群。使用安全日志及審計服務器保護關鍵日志,方便管理員管理,并作為取證的依據。
2.3 形成以系統管理員為核心的安全管理制度良好的網絡信息安全保障離不開規范嚴謹的管理制度[3]。實踐一再告訴人們,僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統安全的。必須制訂《防火墻安裝規范》《防火墻運行維護規范》《安全檢查規范》《日志管理規范》《補丁安裝規范》《安全緊急事件響應規范》等安全管理制度及規范,對安全技術和安全設施進行規范化管理。
實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。建立圖3所示系統管理員為中心的日常安全管理流程,并根據日常的安全管理工作情況制定安全體系,以此來保證整個安全體系的動態性和有效性。
2.4 安全培訓與用戶服務最終用戶的安全意識是信息系統是否安全的決定因素,因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分,可以理解成為校園信息中心網絡安全體系的生存土壤。特別是在目前病毒泛濫的大環境下,要通過定期培訓、及時發放病毒警告通知、敦促大家打補丁等方法,堅持不懈地努力增強所有教職員工的安全意識,提高他們的安全防范技能。
3 結論
安全保障體系的建立不是一勞永逸的,數據中心自身的情況不斷變化,新的安全問題不斷涌現,必須根據情況的變化和現有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網絡安全保障體系的良性發展,確保它的有效性和先進性。圖4顯示了蚌埠坦克學院校園信息中心安全保障體系的動態發展過程。
參考文獻
[1]吳偉斌.數字校園安全體系的研究與實現[J].泉州師范學院學報,2006(4):39-42,52
[關鍵詞] 計算機網絡;安全;外網;防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中圖分類號:TN711 文獻標識碼:A 文章編號:
1校園網外網現狀
1.1 網絡架構
目前我校每個辦公室都鋪設了信息外網結點,信息結點由樓層接入交換機連接到核心交換機。然后再通過外網邊界處部署的防火墻,通過VPN通道統一出口訪問互聯網。
1.2 網絡設備型號
核心交換機:H3C3600
防火墻:FW4120
校園網接入路由器:H3C5060
樓層交換機:cisco 2950
1.3 現有網絡安全配置
為了做好我校信息外網安全工作,我校統一安裝部署了卡巴斯基殺毒軟件并定期更新、掃描,同時在信息外網的邊界處部署了防火墻、由學校統一加強互聯網出口、病毒木馬、網絡行為分析與流量監控來抵御來自外部網絡的安全威脅,在這些設備、軟件的嚴密監控下,來自網絡外部的安全威脅大大減小,而對來自網絡內部的計算機客戶端的安全威脅所作的安全管理措施不夠,安全威脅較大。而且來自信息外網的威脅,也可能通過U盤等傳播到信息內網,使信息內網同樣面臨安全威脅。為了抵御內部威脅防止未授權計算機的接入,最初我們只是在H3C3600核心交換機上做了IP、MAC地址綁定,這種配置方式雖然在一定程度上可以減少非法接入和ARP欺騙攻擊但仍存在一定的缺陷,因為MAC地址可以偽造,非法用戶可以利用綁定列表中的IP并虛擬與該IP綁定的MAC地址,通過任意一個辦公室的信息結點連接外網。因此,最初所做的綁定策略是較低級別的授權認證。
2校園網信息外網安全防范措施
為了解決單純在核心交換機上進行IP、MAC地址綁定存在的缺陷,嚴格限制非法設備接入,同時做好外網信息安全工作,制定以下防范措施:
2.1 核心交換機上執行端口+IP+MAC地址綁定策略
在核心交換機上,對在用的每一個端口進行端口+IP+MAC地址的綁定,實現在固定端口只允許固定IP和MAC地址的訪問,對于未使用的端口全部關閉。由于對每個在用的端口進行綁定并有嚴格限制,而未使用的端口全部關閉,所以在一個端口綁定的PC使用該IP地址和MAC地址也不可以在其他端口上網。
在核心交換機上對端口、IP、MAC地址進行綁定,可以嚴格控制非法網絡接入,但是由于只是在核心交換機上進行限制,而終端計算機不是直接接入核心交換而是通過接入交換機進行接入,該方法雖然可以限制網絡訪問,但同一接入交換機直接相連的終端或不同接入交換機相連的終端仍然可以通信,且會產生不必要的網絡流量,對網絡仍產生一定的威脅,所以我們可以采用基于核心、接入交換的兩級綁定管理。
2.2 基于核心、接入交換機的兩級綁定管理
我們保留最初在核心交換機上做的IP、MAC地址綁定,同時在接入層交換機上對每個端口綁定固定的一個MAC地址,且每個端口只允許一個MAC地址通過。這樣,在接入層交換機上可以實現對終端計算機的一級MAC地址過濾管理,嚴格控制網絡接入設備,同時減少非法接入設備產生的不必要的流量;在核心交換機上實現對終端設備的二級IP管理,每個MAC地址只能使用特定的IP,防止終端私自更改IP,做好IP地址管理工作。通過此配置,可以實現基于核心、接入交換機的兩級綁定管理,即從源頭上,通過接入層一級管理嚴格控制終端計算機非法接入,同時對核心交換層進行二級管理防止私自更改IP,做好IP地址維護管理工作。
2.3 基于CAMS的身份認證機制
針對目前越來越復雜的網絡環境,CAMS身份認證服務機制從企業用戶的網絡接入控制入手,可以統一管理網絡中用戶的身份、權限信息,通過嚴格的身份認證、安全狀態評估和終端準入控制功能,解決企業網用戶接入控制的問題,可以大幅度提升企業網絡的安全性和可管理性。CAMS服務器與H3C系列路由器和交換機的協同配合,可以穩定、高效地完成對網路接入用戶的安全認證、授權和管理,滿足企業的高安全和可管理的需求。
2.3.1 基于CAMS身份認證的組網結構
此結構需要通過配置路由器實現Radius 服務器對登錄路由器的用戶進行認證。Radius 服務器可使用H3C的CAMS服務器,CAMS與核心交換機相互配合,以保證安全性。CAMS配置需要以系統管理員admin的權限登錄CAMS配置臺,以界面的形式進行接入設備信息和策略的配置,實現設備用戶管理功能,這里只需在CAMS配置管理平臺進行簡單配置即可。
2.3.2 可以實現的功能
(1)用戶信息統一管理:利用CAMS強大的身份認證對設備管理用戶信息(用戶名,密碼,設備服務類型和訪問權限等)進行統一認證管理,提高網絡的可維護性。
(2)增加了綁定技術:可以將用戶的帳號和IP、MAC、VLAN、設備的端口等元素綁定在一起。每次認證的時候不僅確認用戶名和密碼,還需認證其IP或MAC,甚至是VLAN和端口號。當用戶數量很多時這時只需啟動自動綁定功能,CAMS可以自動學習用戶第一次上網時的IP和MAC并做相應綁定。這樣一來不僅完善了對用戶合法身份識別的方法,更提高了網絡的安全性。
(3)在線用戶控制:CAMS提供具體的用戶在線信息,如帳號、IP、MAC、端口、時間、流量等,并可實施強制下線,減少非法用戶和中毒計算機對網絡的危害。
2.4 加強病毒防范
為了能有效地預防并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施,建立病毒預警機制,以提高對病毒的反應速度,并有效加強對病毒的處理能力。我校目前安裝的主要安全軟件有網絡版卡巴斯基和360安全衛士。
2.5 加強工作人員的網絡安全培訓,培養用戶的信息安全意識
要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。
參考文獻
[1] 吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用〔J〕真空電子技術,2004.34-36
關鍵詞: 校園網絡;網絡安全;防護對策
當前,計算機網絡技術飛速發展,各個學校也陸續建立了自己的校園網絡,它從根本上改變了傳統的教學模式,為教學與管理提供了更為豐富的資源和更廣闊的空間,是現代教育進行普及與創新的有力推動工具。但是,另外一方面,由于網絡本身存在著較大的復雜性,雖然具有較好的硬件和軟件資源,但是,管理跟不上,就會導致軟硬件的作用無法完全發揮出來,從而造成校園網絡安全事故頻發。所謂網絡安全,指的就是網絡系統的硬件、軟件以及系統中的數據不受偶然原因或者惡意攻擊而遭到破壞、更改、泄露,系統能連續、可靠、正常地運行,網絡服務不中斷。那么,鑒于我國各個學校的校園網絡建設起步較晚,技術相對來說還不夠成熟,我們必須盡快采取一定的應對措施來做好校園網絡的安全防護。
1 校園網絡建設現狀及其面臨安全隱患分析
校園網絡的主要任務就是為了滿足學校師生的教學、科研和綜合信息服務,這是互聯網時代的必然發展趨勢和要求,各個學校的教學、管理、科研以及對外信息交流等多方面都離不開校園網的正常運行。但是,由于互聯網本身具有的特點,使得校園網絡很容易受到不同程度的騷擾和破壞,從而引起了較為嚴重的校園網絡安全問題。目前來看,我國校園網絡運行中的安全問題較為突出的問題就是其穩定性較差。那么,這些安全問題是如何產生的呢?一般來說,校園網絡是建立在互聯網基礎之上的,因此,校園網絡安全隱患產生的原因往往根源就在于互聯網本身的安全問題和缺陷。一般來說,互聯網是一個具有開放性的網絡,其自身具有脆弱性、攻擊的普遍性、管理的困難性等缺陷。這是互聯網技術與管理多方面因素綜合造成的。而校園網絡雖然是在一個較小的范圍內使用,但是,其采用的技術相對比較簡單,防范危險的安全措施較少,其特點就是速度快、規模大、計算機系統管理比較復雜、用戶群體活躍、開放的網絡環境、有限的投入、盜版資源泛濫等,從而使得網絡病毒傳播變得非常容易。具體來說,當前校園網絡的安全隱患主要有如下幾個方面:
1)網絡硬件系統遭遇安全問題。一般來說,硬件方面遭遇的安全問題主要包含了物理安全和設備安全。從物理的角度來說,校園網絡是非常脆弱的,這是因為校園網絡布局很廣,個人或者部門都可以使用,導致了一些設備無法時時刻刻都處于有效監控當中。此外,很多學校對于校園網絡的建設經費投入不夠充足,更多的投入在網絡設備的建設方面,忽視相關的網絡安全硬件和軟件投入,從而使得整個校園網絡基本處于一種開放的狀態,幾乎沒有任何有效的安全預警機制和防范措施,這就使得網絡傳輸過程中容易遭到安全漏洞等方面的威脅,有時是設備保護不完善造成的,也有時是管理人員誤操作引發的安全隱患;
2)校園網絡遭遇的內外部攻擊增多。校園網絡的使用者主要是教師與學生,其中學生是一群特殊的使用群體,他們往往對校園網絡有著強烈的好奇心,在使用的過程中經常會顯擺下自己的網絡黑客技術等,來攻擊下操作系統中的漏洞和應用模式等,他們還使用越來越復雜的攻擊手段,這是校園網絡遭遇的最大內部攻擊來源。從外部來說,校園網絡容易遭遇的攻擊主要來自于Internet的病毒攻擊和黑客攻擊。這是因為校園網絡一般是通過CERNET或CHINANET與Internet相連,這就使得校園網絡在分享高效快捷的同時,也存在著潛在的網絡病毒感染和騷擾,它會影響到計算機系統的正常運行速度,甚至嚴重的話還會造成計算機網絡系統的癱瘓。此外,計算機網絡黑客攻擊也是校園網絡安全的最大隱患之一,這是因為校園網絡不夠成熟,管理也松散,這就使得校園網絡易遭遇致命的攻擊;
3)安全意識薄弱,管理工作不夠到位。當前很多學校的校園網絡操作系統為Windows NT,Windows 2003 Server,UNIX,Linux等,而這些系統又或多或少的存在著安全漏洞,如果不能及時更新和彌補各種安全漏洞,就會造成計算機操作系統的感染,嚴重的時候還會導致計算機系統癱瘓。還有些軟件也有安全漏洞,主要是由于老師、學生從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,從而容易遭到攻擊者入侵或者利用。還有些學校的校園網絡管理存在著不足,主要是管理較為混亂,缺乏有效的網絡監控和日志,無法準確辨別上網用戶的真實身份,這也使得校園網絡容易遭遇安全威脅。此外,校園網絡的安全防護意識還不夠,缺乏完善的網絡安全管理制度,從而無法獲得管理的統一標準而使得網絡安全問題在校園里泛濫。
2 校園網絡安全防護對策分析
校園網絡的安全防護系統中,主要的安全特性為:基于IC卡的本地系統登錄控制,基于安全存儲介質的遠程登錄系統控制,進程權限控制,系統完整性保護,核心空間加密模塊,用戶空間的通用加密接口。我們要恰當的應用這些安全防護特性,采取一定的應對措施來積極做好校園網絡的安全防護工作。具體如下:
1)校園網絡要做好管理與技術方面的防護措施。從管理的角度來說,校園網絡應該首先完善相關的安全管理,盡可能的為校園網絡提供良好的外部環境,確保計算機以及網絡的硬件設備安全,并制定相應的應急方案,一旦發生意外情況可以及時應對。學校還應該開展校園網絡安全教育,這主要是針對校園內部的用戶和學生開展的,因為他們容易造成難以解決的校園網絡內部攻擊問題。我們還要制定相關的設備配備方案和安全管理政策,使得校園網絡安全防護管理做到有章可循、有據可查。在技術方面的防護措施來看,校園網絡應該安裝防火墻和防病毒軟件,過濾流進流出的數據,防止來自外部的攻擊,在最大限度上保護網絡的安全性。解決網絡安全漏洞的問題,比如使用360安全衛士。還可以進行相關數據的備份和恢復,從而保證校園網絡的暢通、安全以及穩定。
2)校園網絡要做好設備安全管理,這就需要校園網絡在規劃設計之初,就要充分考慮到網絡設備的安全問題,尤其將一些重要的網絡設備,比如說服務器、主干交換機、路由器等盡量實行集中式管理。還要從安全角度考慮選用具有較高的可用性、可靠性、可擴展性的校園網設備,弄清楚校園網絡安全隱患中的漏洞所在,這就不僅需要依靠網絡管理員的技術和經驗來完成,更要依靠網絡安全漏洞、評估風險并提出修改建議的網絡安全掃描工具,從整體上提高網絡安全防護水平。此外,校園網絡還應該做好相關的軟件防范工作,比如說使用正版操作系統,及時打補丁和系統升級,購買專殺病毒的工具軟件,應用好信息監控過濾與防火墻技術,應用好虛擬局域網(VLAN)技術,做好入侵檢測系統第二道安全閘門,還要根據相關部門的要求,配備專門的安全管理人員,建立一套校園網絡安全管理模式,制定詳細的安全管理制度,有效的控制和減少內部網絡的隱患。
3)校園網絡要做好安全防護措施,還應該加強校園網正確使用的技能培訓,加強安全意識培訓,加強安全知識培訓,加強網絡知識培訓,從而加強人員的網絡安全培訓。還可以設置防火墻來加強兩個或多個網絡間的邊界防衛能力,封存所有空閑的IP地址,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部校園網絡造成病毒傳播和數據泄密問題。我們還可以應用CERNET安全管理來實現對于校園網絡主干網的安全可靠運行提供幫助,比如說加強校園網安全管理政策建設,加強安全組織建設。隨著下一代互聯網示范工程CNGI項目的建設,現在校園網絡的安全防護還可以采用以IPv6技術為核心的下一代互聯網,使得許多校園網絡的安全問題在維護等階段可以得到有效解決。
參考文獻:
關鍵詞:多校區 網絡安全 威脅 對策
中圖分類號:TP3 文獻標識碼:A 文章編號:1007-3973(2010)09-044-02
1、引言
近年來,隨著我國高等教育體制改革的逐步推進,許多高校都開展了一校多區的教學實踐。多校區的建設,帶來了新的教育發展空間,但同樣也帶來了一系列資源共享的問題有待解決。多校區的高校規模龐大,在校生規模常常達到數萬人,并且分布在不同地點。信息技術為多校區高校的運營提供了有效的技術手段。通過建設統一的校園網絡,可以將不同校區之間的人、財、物集合在同一個系統內統一管理;校園網使學校實現了信息共享、管理網絡化和教學手段現代化,可以減少不同校區的學科設置的重復,實現網上課件的下載共享,使遠距離的各校區實現一致的網絡體驗。校園網的建設對多校區的高校管理都起著巨大的支撐作用。然而,隨著校園網絡內部和外部互聯網應用環境的日趨復雜,校園網安全事件頻繁發生。因此,如何保證校園網的性能穩定及系統的安全,并使其高效穩定的運轉,已經成為各高校越來越重視的問題。
2、校園網的安全功能
隨著網絡技術的發展與普及,校園網早已成為現代化教育建設的基礎設施,高校校園網的功能架構大致可以分為對內、對外和網絡管理。對內主要是指校園Intemet,服務于學校的教學和管理;對外部分包括與Intemet的連接、衛星帶寬數字網的連接、與其他兄弟院校以及上級主管單位的連接、提供家庭和移動用戶的接人服務等。而網絡管理則是這兩部分的橋梁和核心,擔負著整個網絡系統的管理和安全工作。一個安全狀態下的校園網,應該能夠通過與廣域網的連接,實現遠程教育、為學校的教學、管理、日常辦公、內外交流等方面提供全面、實用的支持。
當前很多校園網都安裝了網絡防毒系統、網絡防火墻、網絡入侵檢測系統等安全產品,使用網絡設備訪問控制功能等手段來保證網絡的安全。這些技術在功能和防衛對象上都有針對性的一面,彼此之間各行其是,缺少關聯,沒有聯動,不能很好地實現覆蓋校園網全局的網絡安全。對于多校區校園網而言,各個分校區內的園區網通常按照“接入層一匯聚層一核心層”的層次型網絡結構建設,在這種情況下,即使來自園區網內部的一臺計算機進行如UDPFlood攻擊時所產生的高速流量也足以使整個校園網對外的廣域網線路飽和,造成學校網絡業務中斷,這就是多校區校園網帶寬分布結構的脆弱性。另外校園網用戶端系統經常性地存在著諸如操作系統有漏洞、傳播計算機病毒、發動網絡攻擊、進行非法入侵等安全風險,實際上成了校園網安全、穩定運行的最大隱患。因此強制保證每個用戶端系統接入校園網的安全可信,主動防御每個己接入用戶端系統的危害網絡的行為,是保障多校區校園網整體穩定、安全運行的基本前提。
3、校園網存在的威脅
校園網用戶密集而活躍,在高校校園網絡管理中網絡規模發展迅速,設備繁雜,管理困難等問題日益凸現。高校校園網規模不斷擴大,整個網絡架構更復雜,使得原來潛藏或不易發現的問題更加隱蔽,處理難度更大。高校合并后,由于計算機網絡連接形式具有多樣性,中端分配不均勻性和網絡的開放性、自由性和互聯性等特征,所以網絡出現更多的威脅。
(1)面臨雙重威脅以及多出口問題。高校校園網一方面通過CERNET與Intemet直接相連,同時內部又連接了校內各院系等教學行政單位及學生宿舍的計算機。因此,信息系統既容易受到自Intemet的攻擊,同時也面臨校園網內部的安全威脅。由于校內用戶比較了解網絡結構和應用模式,特別是學生的計算機應用能力不斷增強,因此高校信息系統所承受的來自內部的安全威脅將更大。多校區的出現使得原來校園網獨立的互聯網絡出口,甚至變成有幾個出口,這就增加了網絡安全設備的投入和管理的難度。出口就需要完善的安全防護措施,多出口容易受到病毒感染和網絡攻擊。造成校園網內病毒泛濫、信息丟失、系統癱瘓等嚴重后果。
(2)物理安全問題。由于物理設備的放置不合適、規范措施不健全、防范措施不得力,使網絡資源遭受自然災害、意外事故或人為破壞,從而造成校園網不能正常運行。多校區的出現,造成網絡開放性及技術的公開性的危險性更強,一些人出于好奇、蓄意破壞或為了獲得某種非法利益,利用網絡協議、服務器和操作系統的安全漏洞、“后門”以及管理上的疏漏非法訪問資源、刪改數據、破壞系統,導致網絡服務器癱瘓。校園網中的系統容易被非法攻擊者控制而變成一架實施分布式拒絕服務攻擊的機器。這是指惡意地向被攻擊服務器發送信息洪流,占用計算機設備的資源造成正常的服務請求被中斷,使網絡運行速度變慢甚至處于一種癱瘓狀態。
(3)網絡安全漏洞。多校區網絡擁有郵件、數據庫等服務器,還有重要的教學服務器,多校區校園網存在服務器和網絡的安全缺陷及安全漏洞。具有多校區的高校會根據新的規劃對學校各個部門進行重組和地理位置的遷移,那么勢必會影響到信息安全要求的重新調整,進而帶來網絡安全防范措施的調整,也帶來硬件和軟件的重新調整與配置。同時由于安全措施不當,致使這些數據庫的口令外泄,繼而造成校園網絡上的信息泄露,嚴重時可能造成數據被非法刪改。此外,由于財務等敏感服務器上存有的大量重要數據,因擔心安全問題而不得不與校園網絡實行物理隔離,使得應用軟件不能充分發揮作用。在網絡中,病毒的傳播速度極快,破壞力更強,多校區的校園網上因主機與眾多用戶相連且用戶水平參差不齊,計算機病毒易爆發大規模感染且清除困難。
(4)安全制度問題。較多的多校區校園網的安全建設重硬輕軟,制度不健全,缺乏完整統一的安全策略,缺乏完善的、切實可行的對多校區校園網的管理和技術規范以及規章制度。統計表明,70%以上的信息安全問題是由管理不善造成的,,而這些安全問題中的95%是可以通過科學的信息安全管理制度來避免的。由于我國高校教育信息化起步較晚,而多校區的校園網管理的更少,目前校園網管理多數是重視在信息系統安全硬件基礎設施建設,而有關的安全管理制度目前還不夠完善。
(5)人員素質問題。高校信息系統的管理人員素質參差不齊,對異常情況敏感性不強,缺乏全面的技術,安全意識薄弱,缺乏安全培訓。而高校用戶的計算機應用能力較高,有時會忽視信息系統安全工作的重要性。因此,時常出現用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人,隨意從網上下載和安裝軟件等危及信息系統安全的事件。因此,需要加強高校用戶的安全培訓工作,提高用戶的安全意識和安全防護能力。
4、解決的對策
高校多校區的網絡安全有著不同的需求,安全問題貫穿
整個多校區校園網管理和運行的各個環節中。通過全面了解高校多校區校園網的威脅,制定相應的對策,就可以建立相對安全的校園網。制定相應的對策可以保證整個校園網的正常運行,保證數據的完整性和保密性,保證網絡的穩定性,并保證安全措施不形成網絡的負擔,阻止校園網的不良信息傳播。
(1)統一端口。高校多校區之間是分離的,如果每個校區與互聯網之間有獨立的出口,勢必增加設備的投入,可以租用電信運營商的線路將多校區連接起來,統一出口用CERNET與Interact直接相連,并采用VPN技術保障校區間的信息傳播安全。高校可以購買高流量出口,用來分擔流量和提高訪問的響應速度。多條互聯網出口,可以對校園網內部訪問外部資源的流量進行負載分流和相應備份。多校區校園網的多出口更易受到病毒感染和網絡攻擊,為保護校園網抵御黑客和惡意軟件的入侵,可以在出口配置防火墻,在校園網內部建立信息網絡監測系統,對關鍵區域的信息流向進行動態監測,及時發現非法及異常行為,對緊急安全事件快速攔截,對可疑流量進行測試,并對校園網實施訪問認證、端口掃描、安全審計等技術措施,防范校園信息資源被非法訪問、篡改和破壞。
(2)保障物理安全。保證校園網中各設備的物理安全是校園網安全的前提,特別是多校區環境下的校園網。由于物理設備的不統一,在建立院系的網絡安全體系時,必須建立網絡系統的安全規范制度,避免由于物理原因而造成的一些突發事故。首先要制定完善的安全規范管理制度,它是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為破壞事故的規范。其目的是保護計算機系統、web服務器等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和攻擊等。主要包括兩個方面:一是環境安全,確保校園網系統有良好的電磁兼容工作環境。如安全場地要求采取防火、防水、防震、防靜電技術措施;采取電磁屏蔽及良好的接地手段,使設各不與周圍其他設備互相影響,抑制和防止電磁漏洞,防止電磁泄露,需采取低輻射的設各和電磁屏蔽等措施。另外是設備安全,包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。比如電源保護,采取良好的屏蔽及避雷措施,采用穩壓電源和不間斷電源UPS,防止設備突然損壞或數據丟失;安裝報警器和各種監視系統及安全門鎖合理配置系統用以防盜。
(3)避免安全漏洞。由于校園網是個多協議、多系統、多應用、多用戶組成的復雜網絡環境,因此校園網中存在著難以避免的安全漏洞,尤其是多校區環境下的校園網,由于地理位置的遷移、多服務器的重組,勢必會帶來更高要求的安全防范措施。為保障多校區校園網的信息安全,必須做好校園網系統漏洞及補丁管理。可建立多校區校園網絡信息安全服務網站,計算機系統安全漏洞公告,分發安全補丁并提供wSUS服務等。另外由于TCP/IP協議和服務器中應用系統自身存在著一些技術上的缺陷和漏洞,因此還應該做好訪問控制措施,這是保證網絡安全的重要措施之一,主要包括入網訪問控制,網絡權限控制和目錄級安全控制。
(4)建立完善的安全管理制度。多校區校園網的安全建設普遍存在制度不健全,缺乏完整統一的管理和技術規范以及規章制度。良好的網絡信息安全保障離不開規范化的管理,通過制定多校區校園網信息安全管理策略,才能使網絡信息安全管理工作“有章可循,有據可查”,通過整體統一、分工合作、安全事故分級處理和上報機制等,最大限度地保障網絡基礎、系統開發建設和運行維護等方面的安全。安全管理策略包括確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度,建立值班制度、密碼管理以及應急措施等;明確系統管理員、網絡管理員及系統運行維護人員的分工和職責范圍。同時還需要加強校園網絡信息安全宣傳和培訓力度,更好地普及信息網絡安全知識,增強應對網絡安全事故的處理與應急能力。
5、結束語
網絡安全在高校多校區的環境下比普通的網絡安全有著更高、更特殊的需求,安全問題不僅僅是技術、設備的問題,更是管理上的問題,對于校園網絡系統的管理員,更應該時刻注意提高網絡安全意識,加強網絡安全技術,不斷尋找適合自己高校的網絡安全管理方法。
參考文獻:
[1]楊聰毅,校園網多出口安全解決方案[J],信息網絡安全,2009(1)
[2]方向明,高校網絡信息安全與管理[J]安徽工業大學學報,2003,20(2):117-118
1高校校園網絡面臨的不安全因素
高校校園網負荷很大,要保障成幾千甚至上萬臺電腦、交換機等設備的良好運行。這些設備分布于校園的不同部位,遍及各個角落,功能不同,用處各異,用戶操作水平差異很大,由于部分用戶缺乏基本的網絡知識,沒有樹立強烈的安全意識,不能及時識別和處理網絡產生的安全問題,沒有掌握有效的處理技能,常常會導致網絡安全事故的發生。校園網絡的運行經常存在如下不安全因素。
1.1網絡病毒的侵襲
對網絡造成嚴重威脅的是網絡病毒,如常見的木馬病毒等。病毒的特點是傳播速度很快,會在短時間內對網終造成破壞,甚至使整個網絡處于癱瘓狀態,再加之防御措施不得力,如校園殺毒軟件得不到及時更新,就會出現病毒漫延的問題,對校園計算機造成極大危害,如造成信息丟失、泄露、計算機癱瘓等嚴重問題。病毒泛濫于整個網絡,造成網絡資源的大量損失。目前的計算機網絡受內外攻擊的情況越來越嚴重,對校園網的安全造成很大威脅。高校的網站建設都是以WEB管理系統為基礎的,往往會出現代碼漏洞。由于代碼編寫過程存在著安全漏洞的問題,使得病毒的傳播通過收發郵件、瀏覽網頁及網絡資源下載等渠道,廣泛傳播,無孔不入,對于網絡的軟硬件都會造成損害。對校園網絡產生最大威脅的是計算機病毒對系統文件的破壞,以及對網絡軟硬件資源的侵占與破壞,問題可以嚴重到導致計算機與網絡的全部癱瘓。
1.2終端系統存在安全隱患
計算機系統軟件存在的安全漏洞及用戶操作系統漏洞對校園網的安全造成很大的安全威脅。這些漏洞都是校園網安全的隱患,因為這些漏洞極易被黑客發現并利用,對校園網發起攻擊破壞。黑客可以利用這些漏洞通過軟件或者代碼進行攻擊,他們又是隱秘的,即不易識別他們的身份。我們使用的操作系統都存在安全漏洞,一些變化了的計算機木馬病毒都利用系統漏洞進行破壞性很強的攻擊,應對攻擊的重要措施是及時更新系統漏洞補丁,減少黑客利用漏洞進行攻擊的危害。
1.3黑客的入侵攻擊
校外不法人員利用黑客技術對校園網服務器等計算機系統展開攻擊,竊取重要的數據與信息,對校園網絡相關業務系統造成危害。校內人員因為對校園網絡系統結構比較熟悉,利用自己掌握的黑客技術侵入系統,竊取學校數據庫信息,如獲取學生測試題,修改教學成績等。網絡中有相當數量的黑客技術下載軟件,這些軟件操作簡單,利用這些軟件任何人都可以對網絡造成危害。
1.4網絡非法信息的傳播
校園網是與互聯網相接的,師生可以通過校園網獲取互聯網信息,而互聯網的信息傳播由于缺乏有效的規范治理措施,導致一些非法信息的傳播泛濫,一些兇殺、黃賭毒、等非法信息也通過互聯網進行肆意傳播,對學生的健康成長及正確人生觀與價值觀的形成造成了負面影響。不良的網絡環境,對青少年的成長造成了嚴重的危害。
1.5用戶網絡安全意識不強
目前高校校園網絡覆蓋面很廣,遍及校園的每個角落,住宅區、教學區及辦公區等,端口不斷增加,網絡使用戶群體迅速擴大,但是網絡用戶對于互聯網的安全使用知識缺乏了解,存在著違規操作與誤操作現象,不懂如何防范網絡病毒、黑客攻擊等常識,為校園網絡安全埋下了隱患。再者目前部分高校網絡管理員的素質不高,專業技術不強,缺乏應對各種網絡安全問題的能力,網絡管理人員的素質有待于進一步提升。
2信息化環境下的校園網絡安全建設與管理策略
2.1運用數據處理技術加強網絡安全防護
針對校園網絡的安全問題,學校要采取相關數據處理技術,有效加以防范與保護。作為校園網絡管理人員及使用者要認識到網絡安全的脆弱性,保障校園網的安全運行,網絡管理人員要通過數據處理技術防范校園網軟件以及數據被惡意攻擊造成數據的泄露,甚至是網絡癱瘓的風險。從計算機網絡的物理安全與邏輯安全著手,加大安全防范力度。例如,校園網絡經常遭遇計算機病毒及黑客攻擊,可以采用防火墻技術進行防御。利用防火墻技術有效阻斷安全網絡與風險區域的連接,有效防止黑客攻擊帶來的數據泄露、頁面篡改、網絡癱瘓等安全問題,保障網絡安全暢通,有效運行。
2.2加大病毒檢測的密度提高網絡安全系數
(1)運用防病毒技術保障網絡安全在校園網安全建設與管理的過程中,要確保校園每一臺電腦的安全,要采取每臺電腦都安裝殺毒軟件,并定期通過殺毒軟件進行網絡殺毒等措施,消除存在于校園網中的安全隱患。通過對校園網絡安全病毒的防御,防止校園網遭遇病毒入侵而導致文件及數據丟失、網絡癱瘓等重大網絡安全事故。安裝殺毒軟件這只是確保網絡安全的第一步,因為病毒是不斷變化的,所以網絡管理人員還要定期對網絡殺毒軟件進行升級,對于不明來歷的帶有病毒的移動硬盤及磁盤要先行殺毒,然后使用。(2)運用信息加密及身份驗證等方式進行安全防范加強網絡安全建設,校園管理人員要采用對外來網絡的報文驗證、數字簽名、信息加密等安全技術進行防范。外來網絡訪問校園網絡要通過身份密碼驗證。在此基礎上,要對校園網的相關信息進行加密處理。
2.3加強對校園網絡用戶的管理力度
網絡用戶是校園網使用的主體,只有每個用戶都樹立網絡安全防范意識,才能確保網絡安全。因此,要以校園網絡安全為主題,加強對校園用戶群體的宣傳力度,通過有效的形式對用戶進行安全防范操作培訓,如也可以在網絡設立網絡安全培訓專欄,宣傳網絡安全使用知識,確保每個網絡用戶的規范操作,禁止由于安全操作帶來的安全隱患。在此基礎上,要建立校園網絡安全管理機制,制訂網絡安全管理條例,完善相關網絡管理制度,并且針對網絡安全問題對網絡管理制度做到及時更新與完善。要求校園網絡用戶嚴格按管理條例使用網絡。校園網管理人員要有效運用監控策略,杜絕來自校園內外的網絡攻擊,提高學生的網絡使用技能。要教會師生用殺毒軟件進行殺毒處理,并且養成正確使用電腦并養成定期殺毒的習慣,約束教職員工及學生的上網行為,確保規范上網,學會及時防御危險病毒侵襲。
2.4提高網絡管理人員的安全與責任意識
網絡安全問題的發生大多是網絡管理者的安全意識淡薄造成的。如網絡管理者不按學校管理安全措施進行網絡管理,甚至是違規管理,都會給一些網絡不法分子留下可乘之機,影響學校網絡安全運行,因此校園網絡管理人員要提高安全意識,充分認識校園網絡安全的重要性。作為校園網管理人員還要自覺加強自身的責任意識,要做到盡職盡責地加強網絡安全管理,認識到校園網的安全關系到教育教學活動能否順利進行,學校的科研成果能否得到有效保護的意義。要用由于校園網絡漏洞及遭受黑客攻擊等原因,而導致科研成果外泄的案例時刻警示自己,提高自身的安全責任意識與危機意識。
2.5做好校園網的物理安全保護
要加大檢查與檢測力度,對于網絡設備、網絡電纜遭受自然災害、電磁泄露、人為搭線干擾等影響校園網絡物理安全的因素進行及時檢查與排除。對于核心交換機和防火墻等這些重要核心設備,要安放在集中的安全區域以便于管理與調試,采取對線纜通信線深埋等措施,為校園網的正常使用與運用采取得力的物理維護措施,確保網絡安全運行的物理硬件保障。總之,校園網的安全關系到高校教育教學、教學管理等一切活動是否能夠順利進行與開展。要根據校園網面臨的危險因素,采取綜合防御的措施,加大校園網終安全建設與管理力度,確保校園網安全,推進高校教育教學等活動的正常開展。
作者:金山 單位:沈陽醫學院教育技術中心
參考文獻:
[1]包金鋒,孫鵬.網絡環境下的校園安全管理系統設計與實現[J].電腦編程技巧與維護,2014.
