时间:2022-04-04 15:56:21
关键词:校园网 网络安全 分析
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2012)07-0163-02
学校作为培养人才的基地,愈来愈多的校园网通过专线与互联网接轨,让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识,感受网络所带来的这些丰富的信息资源,提供更广阔的学习环境。与此同时,网上的“黑客”也很可能趁机攻入学校内网,破坏校内服务器上的数据,使校园网的安全受到威胁。并且,学校对学生的网上教育和上网管理也面临着新的挑战。
1、校园网所面临的问题
1.1 内部资料库安全问题
校园网与普通企业网不同,因为一般企业网主要是“防外”,防止互联网上的黑客对内部网络的攻击,对互联网上、或者是校园网内部服务器进行攻击,主要对学校内部的某些可能存放着重要资料的服务器,诸如,存放主要给教师使用的试题库,对于学生就有着极大的诱惑力,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。
1.2 对学生上网的管理
学生上网的管理主要从三个方面进行管理:
(1)学生所浏览网站的限制。
(2)学生上网费用统计的问题。
(3)学生上网对热门网点的统计,及时了解学生的网上动向,有利于更一步引导学生过好网上生活。
如何才能从内、外网两方面共同建设安全、可信赖、有效的新网络呢?根据校园网全安的相关知识,网络内部的安全措施应包括:在终端设备上全面安装防病毒软件,在网络接入交换机上进行客户端的安全认证,汇聚设备上使用ACL软件防火墙技术,建立内部网络规章制度,保障内部网络的所有设备的安全可信赖。另外,在接入外部网络的入口处使用硬件防火墙设备作为防止外部网络非法的、未授权的访问,对流经的每一个数据流进行检晒,以保护整个校园网的安全。
2、安装杀毒软件
校园信息化建设极大地方便了学校的教学工作,同时也为计算机病毒的蔓延打开了方便之门。各种病毒无时无刻不在威胁着网络的安全,对于计算机网络病毒防治,只有把技术手段和管理机制紧密结合,切断病毒的传播途径,尽可能地降低感染病毒的风险;其次不要随便使用含有病毒的程序;在使用前最好先进行查杀病毒;最后建立全方位、立体化防毒反黑网络,基本原则是防杀结合、以防为主、以杀为辅、软硬互补、标本兼治。
3、网络设备安全
先是从内部网络所有设备安全出发,对网络中接入设备进行安全设置,在接入交换机的端口上,对网络中所有接入的用户进行认证和安全管理。
校园网安全中主要存在以下三个问题,一个是由于学生宿舍上网人数较多,在学生宿舍中安装网络端口,需要上网的学生可以在学校网络管理中心申请帐户。另一个是由于后来由申请账户的数目很多,有的宿舍只开通一个账户后,在端口上接一个小型路由器或交换机,宿舍中的学生就可能通过路由器或交换机上网,由于网络管理中心无法确认最终用户,给网络带来了很多不安全因素。最后一个是要为所有的交换设备控制台端口配置密码,以保证非管理员进行登录设备,修改设备配置参数。
网络设备安全部分配置如下:
(1)配置接入交换机端口的安全和最大连接数限制。
Switch(config-if-range)#switchport port-security !开启1-23端口安全端口的功能
Switch(config-if-range)#switchport port-secruity maximum 1!开启1-23端口安全地址个数为1
Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全违例的处理方式为shutdown
(2)配置交换机控制台密码安全。
配置交换机登录密码
Switch(config)#enable secret level 1 0 abc
配置交换机的特权密码
Switch(config)#enable secret level 15 0 abc
(3)配置交换机端口的地址绑定。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的绑定
4、网络区域安全
在校园网中,由于学生访问量较大,有的学生登录到教师办公网查看考试试卷,有的学生向学校FTP服务器上上传垃圾文件等现象。
由于教师网中的FTP服务器上存有大量的教师考试资料和教学资料,如果要禁止学生进行访问,但允许学生访问其他服务器(WWW服务器、E-mail服务器等)的话,要在网络中心交换机的接口上配置应用扩展ACL技术,如(表1)所示,在s1和s2 上分别进行相关的配置,即可满足需要。
表1 校园网部分地址规划
5、虚拟专用网VPN
目前我们所说的VPN安全技术主要是指隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
根据校园网的实际情况,简要分析、校园网专用网VPN的情况。各自都有自已的专用网,要想使这两个不同区域的部门经常进行通信,又要保证部门数据的安全,学校采用隧道虚拟专用网VPN技术。
使用遂道技术建立了新、老两个校区的专用网,其网络地址分别为172.16.0.0和192.168.0.0。新、老校区通过公用的Internet网构成一个VPN。新、老校区都有一个路由器具有合法的公网IP地址,如(图2)所示路由器R1和R2。各自路由器在和新、老校区内部网络的接口地址是新、老校区的本地地址。
6、全网络的安全
在校园网互联互通的基础上,当校园网连接到Internet上时,除了利用ACL“软”手段防范来自内部网络攻击外,还需要在网络上的关键部位,部置硬件防火墙来防范来自外部网络的攻击。
在校园网安全设备中防火墙是相对最有效的网络安全设备,它是一种综合性的技术,它涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、安全规范及操作系统等多方面内容。
参考文献
[1]韩争胜.IPv6关键技术及其网络安全研究[D].西北工业大学,2005.
[2]钟林.基于Linux平台的IPv4/IPv6校园网研究与设计[D].南京理工大学,2006.
[3]363—382.于新俊.大连电力学校校园网设计与实现[D].大连理工大学,2003.
(包头职业技术学院,包头 014035)
(Baotou Vocational & Technical College,Baotou 014035,China)
摘要: 本文从计算机网络面临的各种安全威胁,针对校园网络的安全问题进行研究,从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
Abstract: From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.
关键词 : 网络安全;安全防范;校园网
Key words: network security;safety;campus network
中图分类号:TP393.1 文献标识码:A
文章编号:1006-4311(2015)02-0199-02
0 引言
随着网络信息技术的高速发展,网络安全问题日渐突出,近年,网络病毒、黑客攻击等屡见不鲜,国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁,因此应该在知道的网络功防基础上构建校园网络安全体系,首先要从两方面着手:一是采用一定的技术;二是不断改进管理方法。
1 校园网络存在的安全隐患
目前,校园网络主要存在的安全隐患和漏洞有:
①校园网通过CERNET与Internet相连,在享受Internet带来的方便快捷的同时,也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险,当前,黑客攻击工具在网上很普遍,并不需要很复杂的知识的普通人就能操作,因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解,所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患,校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等,而这些系统的风险级别不同,例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及,接入校园网的节点也逐渐增多,然而大部分节点都没有构建一定的防护措施,因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。
由此可见,采取必要的信息安全防护措施,构建有效的校园网络安全体系尤为重要。
2 构建校园网主动防御系统
现阶段,威胁校园网的安全有来自校内的,也有来自校外的。在进行校园网络安全系统设计的时候,首先就是要了解学校的需要和目标,然后再制定相应的安全措施,但是与此同时需要重点注意的就是,网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的,在设计完成安全防御体系后,就需要不断地适应并随着安全环境的变化而变化,这样就可以确保安全防御系统的良好发展,并保证它的有效性和先进性。
2.1 P2DR模型 美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型,也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下,运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的,并且是动态的安全循环系统,同时在安全策略的指导下能够保证信息系统的安全,这也就成为衡量一个网络系统是否是安全的标准,从而对它的安全性能进行评定。
2.2 校园网络安全防范体系 在对网络是否是安全的进行判断后,就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术:
①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据,如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用代理软件配置代理服务器使用二级防火墙,在学生机房配置访问控制列表,并利用代理软件配置代理服务器,在代理服务器上安装双网卡,设置连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,设置学生客户机IP地址与代理服务器内网IP地址在同一网段,网关IP设置为代理服务器内网IP地址。机房服务器通过代理服务器连接到互联网,从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中,凡是有可能感染和传播病毒的地方都要安装应用,安装相应的防杀毒软件,可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则,也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
2.3 完善安全制度与管理体系 安全防范体系的核心即是安全管理,它贯穿于整个安全防范体系,在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题,也是日常相应的规章制度管理的问题,不然对于网络系统的安全来说也只是纸上谈兵。
在建立了学校网络安全防御体系后,学校的网络控制中心主要负责网络设备的正常运行和日常的管理,信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查,每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包,管理员也需及时打补丁和进行升级,不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。
3 结论
在信息技术飞速发展的今天,校园网已然成为了学校信息系统的核心,网络的不安全就使得整个校园信息系统变得不安全,甚至会造成对教学秩序的紊乱,所以必须建立一套有效且可实施的网络安全防御系统,来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手,对网络攻击的防范进行了设计并将其实现,并且提出了以安全策略为核心,防护、检测和响应为手段,加以技术防范的一种校园网安全防御系统理念,来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的,一是因为网络攻击技术都是在不断向前发展的,二是因为笔者的设计水平局限性,并且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以还存在很多有待深入研究的问题。
参考文献:
[1]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005,6:19-20.
[2]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004,9:26-28.
[3]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3.
摘 要:如今高校作为重要的教育和研发机构,计算机网络的使用已经变的普及。而属于校园的校园网络的安全渐渐的成为一个重点研究的问题。本文谈到了当前校园网络安全存在的一些问题,并希望能通过控制访问等办法提高校园网络的安全,修复校园网络漏洞。
关键词:校园网络、防火墙、网络安全策略
一、引言
今天计算机技术已经无孔不入地渗透到社会的每一个角落,而国内校园网建设的蓬勃发展也在告诉我们这样一个事实:未来教育将从传统“课堂”教育向网上教育发展,校园网络的建设正是这一重大转变的开端,教育也要“上网”。校园网络是互联网络的有机组成部分,同时又是为师生员工的教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台。这些极大地促进了教育事业的发展,但是随之而来的却是信息安全问题。
二、校园网络的问题分析
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用。校园网络用户众多,学生群体使用网络活跃、用户使用网络的技术水平、安全意识相差大,这给安全管理与安全策略的集中部署带来了一定的难度。由于校园网络开放的特征,校园网的用户往往要直接面对来自校园网内外攻击的威胁,而日益增长的网络安全事件已成为制约校园网可用性的主要因素。
1.计算机的系统漏统普遍存在。目前校园中的服务器常用的操作系统有windows server系列、Unix系列、Linux系列等,这些操作系统多多少少都会存在一些不同程度的安全漏洞,这些漏洞会使操作系统完全曝露给入侵者,给校园网安全构成威胁。因此少了一个安全的操作系统的支持,校园网络安全也将无从谈起。
2.计算机病毒的破坏。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。其中网络病毒威胁就很大。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞,因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击,病毒通过突破网络的安全防御,从而引发网络系统的瘫痪,造成损失。
3.来自网络外部的入侵、攻击等恶意破坏行为。由于网络的开放性及技术的公开性,一些人出于使自己获得某种非法利益等目的,利用网络协议、服务器和操作系统的安全漏洞以及管理上的疏漏,非法访问资源、删改数据、破坏系统、盗取信息等。这也就是我们常说的遭到黑客的攻击。
4.另外还有很多原因,比如来自U盘的病毒木马、用户的不良操作、维护的不及时、文件传送保密,电子邮件的保密等等也是一些严重的问题。
三、校园网络安全的防范
校园网的安全问题是一个较为复杂的系统工程,要从用户、管理、技术三方面的因素来考虑。
1.访问控制
访问控制是网络安全防范和保护的主要策略,虽然各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,有效的将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
在防火墙的设置上我们要按照这样的原则来配置,以达到提高网络安全性的目的:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2)将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的 IP 包,防止内部网络发起的对外攻击。
(3)在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表,防止 IP 地址盗用。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
2.身份认证技术
在对用户的身份进行验证之后,才允许用户进入用户端,然后用户端和服务器端再进行相互验证,并根据其应用范围,分配相应的权限,以防某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成管理混乱。
3.其他方面
要维护好校园网络安全除了上述几个主要层面还有其他很多反面,例如必要的信息过滤技术、安装统一的防病毒软件、定期的进行网络维护与备份、制定切实可行的网络安全管理制度等等。
四、结束语
在网络安全日益影响到校园网运行的情况下,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识,安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,尽一切可能去制止、减小一切非法的访问和操作,把校园网不安全因素降到最少。网络安全工作是一个循序渐进、不断完善的过程。(作者单位:陕西国际商贸学院)
参考文献:
[1] 彭文胜,毛叔平.校园信息化规划、管理及案例[M].上海:复旦大学出版社,2010.
关键词:校园网;安全;构建
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01
Building Secure Campus Network
Gao Yu,Ju Hua
(Jilin Electro Mechanical Management School,Jilin132011,China)
Abstract:Along with the rapid development of modern educational technology,campus construction and the increased popularity of online teaching. However,there followed a series of security issues,directly affecting the normal operation of the campus network and the role of play.
Keywords:Campus network;Security;Building
随着我国现代教育技术的飞速发展,校园网建设和网络教学不断普及。但随之出现的一系列安全问题,直接影响到校园网的正常运转和作用的发挥。其实,网络安全是保证网络教学及其它网络应用的前提和基础,是网络使用者不得不面对的问题。近年来,多所大学的校园网频繁受到黑客攻击,引起大量的维护工作,浪费了大量的人力物力,严重影响了正常的教学秩序。为此防止校园网被入侵,建立完善的网络安全方案、保护核心资源已迫在眉睫。下面结合各学校普遍存在的现象,与大家共同探讨。
一、分析原因
影响网络安全的因素很多,归结起来,主要有六个方面:
人为失误
病毒感染
来自网络外部的攻击
来自网络内部的攻击
系统的漏洞及“后门”
隐私及机密资料的存储和传输
由于网络所带来的诸多不安全因素,网络管理者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞。
二、整体规划
在园区网安全方面,可以采用多种技术从不同角度来保证信息的安全。然而,单纯的防护技术可能会导致系统安全的盲目性,我们对其进行整体规划。
(一)构建加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。
另外校园网与Internet无物理联系在安全上是最稳妥的。
(二)建立防火墙、防毒网关,集中控制、管理、查杀网络中服务器、终端病毒,保护园网不被病毒侵害。
防火墙能够控制网络进出的信息流向,提供园区网使用状况和流量的审计、隐藏内部IP地址及园区网网络结构的细节。防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到服务器上,以防止Internet病毒及Java程序对系统的破坏。
(三)在每个安全域内或多个安全域之间安装入侵检测系统,可有效地防止来自网络内处的攻击。
(四)利用漏洞扫描器,定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到网络的相对持续安全。可以通过各种漏洞扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。
(五)运用内容过滤器,屏蔽不良的网站,对网上色情、暴力和等有强大的堵截功能。
(六)垃圾邮件过滤系统和防病毒邮件网关。垃圾邮件主要分两大类,一类是病毒造成,另一类是广告行为。采用基于行为分析的垃圾邮件过滤系统,即通过识别垃圾邮件的行为进行过滤;我们在校园网邮件系统的信件都要经过防病毒网关的过滤,才能最终被送到用户邮箱中。
三、网内计算机的防护
在校园网内部,非法用户的登录和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、帐号转借和共享都会对网络安全造成极大的威胁,从校园区网内部访问控制层进行安全防护,可采取以下措施。
(一)用户口令认证:在密码的设置安全上,首先要杜绝不设口令的账号存在,尤其是超级用户账号。其次,密码口令的设置上要避免使用弱密码,即易被人猜出的字符作为密码。密码的长度也是设置者所要考虑的一个问题。密码越长越不易破解。另外,适当的交叉使用大小写字母及数字也是增加破解难度的好办法。
(二)共享权限的控制:在园网中人们经常利用给计算机中的某个目录设置共享进行资料的传输。但在设置过程中,要充分认识到当一个目录共享后,就不仅是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问,对共享的资料、文档进行查看、修改、删除,这也成了数据资料安全的一个隐患。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、操作者、管理者
大部分学校的上网场所管理较混乱,由于缺乏统一的网络管理软件,上网用户的身份无法唯一识别,存在极大的安全隐患。身份认证系统是整个校园网络安全体系的基础,建立了基于校园网络的全校统一身份认证系统,彻底地解决了用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
校园网络管理部门,配备专职的计算机系统管理员,负责校园网的建设、监督、管理、维护、信息等工作,保证校园网能够安全有效地工作,为教学服务。
五、管理制度
学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。利用免费的校园网资源免费下载视频或软件资源,占用了大量的网络带宽,影响了校园网的应用,导致网络资源的浪费。如果没有意识到后果的严重性,有些学生尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响的破坏。如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。
互联网络飞速发展,对全校师生的生活和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好地解决了网络安全问题,校园网络的应用才能健康、高速的发展。
参考文献:
关键词:校园网;网络安全;网络管理
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)06-11545-02
1 引言
随着“校校通”工程、教育城域网的深入开展,许多学校都建立了校园网络并投入使用,这无疑对丰富教学形式,实现资源共享,加快信息处理,提高工作效率都起到无法估量的作用。校园网络在学校的信息化建设中扮演了至关重要的角色,但在网络建设的过程中,由于对技术的偏好和网络安全意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害成为各个学校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
2 目前校园网络中普遍存在的安全问题
2.1 网络安全方面的投入不足,没有系统的网络安全设施配备
大多数学校网络建设经费不足,所以就将有限的经费投在关键设备上,对于网络安全建设没有比较系统的投入,使得校园网处在一个开放的状态,没有有效的安全预警手段和防范措施。
2.2 缺少专业的网络管理员
网络出口、网络监控、日志系统等缺乏有效的管理,上网用户的身份无法唯一识别,存在极大的安全隐患。
2.3 电子邮件系统极不完善,缺乏安全管理和监控的手段
电子邮件既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全邮件系统的要求,出现问题时也无法及时有效的解决
2.4 网络病毒泛滥,造成网络性能急剧下降,很多重要数据丢失,损失不可估量。
网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。
2.5 网络安全意识淡薄,没有指定完善的网络安全管理制度
校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的安全隐患。
综上所述,校园网络安全的形势非常严峻,目前,许多学校的校园网都以WINDOWS NT做为系统平台,由IIS(Internet Information Server)提供WEB等等服务。下面本人结合自己校园网络管理的一点经验与体会,提几个基本的、关键的解决方案。
3 校园网络安全解决方案
3.1 配备完整的、系统的网络安全设备,规范出口的管理
校园网出口配备了双冗余的Cisco PIX535防火墙,把校园网络分成三个隔离网段:校园内部各功能网、DMZ区、Internet。通过防火墙的隔离,防止了跨网攻击、网络间干扰等安全隐患,同时病毒的感染范围也可以得到有效的控制,使各网段的安全性大大提高。
我校校园网采用了包括路由器、防火墙和交换机在内的三层立体集成化安全防御。第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接,为防止外部用户对服务器进行非法操作,对服务器的内容进行删除、修改等破坏,必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能,可防止各服务器受到来自外部的破坏。第二层防护由PIX防火墙保障。PIX防火墙将校园内部网和外部完全分开,PIX是内部各网络子系统对外的惟一出口,通过使用PIX防火墙隔离内、外网络,更进一步保障了内部网络的安全。第三层防护由交换机提供。网络管理员在核心交换机部署防火墙模块,这是抵御外部攻击的第三道屏障,也是防止内部攻击的有利手段。
3.2 服务器安全措施
3.2.1 密码的设置
众所周知,用密码保护系统和数据的安全是最基本、最常用的方法。但目前发生的大多数安全问题,还是由于密码管理不严造成的,因此密码口令的有效管理是非常基本的,也是非常重要的。首先,绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,“入侵者”就能通过网络轻而易举的进入系统,另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者”留下后门。其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出的字符作为密码,例如常有人将自己名字的缩写或6位相同的数字进行密码设置。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中,有一个sam文件,它是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解" 方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
3.2.2 及时为系统打补丁
对于Windows操作系统的服务器,采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统,网络管理人员时刻关心相关厂商的网站上的补丁列表,及时为系统打上相应的补丁。
3.2.3 用户终端IP地址配置
我校选用支持DHCP Snooping功能的接入交换机,用户的IP地址只能由网络中心分配,而不能来自非法的IP地址提供者。对于学校的职能部门,因为存在一些专用服务器,为了防止用户将IP地址手动设置成服务器的地址而造成冲突,职能部门的接入交换机全部采用支持IP SourceGuard的交换机,用户必须从DCHP服务器取得IP地址才可进行通信,私自设定IP地址将会自动被交换机禁止。
3.2.4 进行有效的监控和管理
上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证这个记录的法律性和准确性。
4 用户终端系统安全措施
用户终端的安全包含两个方面:一个是操作系统的安全性,一个是应用程序的安全性。 针对操作系统的安全性,我校的校园网内安装了Windows更新服务器,每天凌晨定时从微软网站同步下载补丁程序,并及时下发给终端机,使终端机能及时获得更新的操作系统补丁。 应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响,针对病毒影响,我们采用了两层安全模式:一是在校园网内安装了网络版的瑞星杀毒软件;二是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关,一旦发现下联的客户机有中毒的症状,则主动切断用户的连接,并将用户的链接定向到瑞星杀毒软件进行查杀病毒,并通过自行编写的ActiveX控件更改客户端的注册表,使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响,要求校内终端用户安装Windows Defender。
5 完善电子邮件系统,提供安全监控和管理功能
针对目前邮件系统存在的安全隐患,我校的邮件系统采用Eyou的产品,我们在Eyou系统中内嵌了杀毒软件,对用户的邮件直接进行病毒的查杀。对于出入学校的邮件,进行垃圾邮件检查、病毒检查。
6 配备专业的网络安全管理员,严格管理制度
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积
聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏能力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大,要建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性,在Internet浏览、下载的信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏,发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、江民、金山等,网络上也不乏免费杀毒软件,如360杀毒。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,注意定期查杀,及时进行软件的更新。
二、防火墙与网络隔离技术
配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如:360安全卫士、天网。校园内外网之间,可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统,它们的速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoint、KFW傲盾、天网等,常用的硬件防火墙有Net Screen、Cisco、Hill stone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。
网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。
三、VLAN技术
随着校园网络规模扩大,网内机器超过200台时网络管理将极为困难。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,控制网络风暴在必要范围内,并增强网络的安全性,利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN。
(1)基于端口的划分。根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl;把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动时,新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
(2)基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而烦琐:初始化时,如果用户数量较多,要收集所有计算机MAC地址,对所有计算机进行配置,工作量极大;后期,每一台新计算机入网时,也需要添加到对应的VLAN中,否则不能连接。
(3)基于IP地址划分。校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用,把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机可以不修改网络配置移动,并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发,都需要检查TCP/IP协议的网络层,网络工作效率低。
目前,应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此,学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击;还有“零日攻击”指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
关键词网络安全系统安全网络运行安全内部网络安全防火墙
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考文献
1.局域网组建与维护DIY.人民邮电出版社,2003.05
一、密码的安全
众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使“入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。在密码的设置安全上,首先绝对杜绝不设口令的账号存在,尤其是超级用户账号。其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。最后,密码的长度也是设置者所要考虑的一个问题。在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
最近流行于网络上的“红色代码”、“蓝色代码”及“尼姆达”病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
在WINDOWS NT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其他逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
三、目录共享的安全
在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。
四、木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。
UTM是近年来非常流行的一类信息安全产品,通常提供了防火墙、入侵防御、网关防病毒等功能。经过数年发展,此类产品的功能、性能普遍都有提高,已成为集成度高、价格低的网络安全平台,非常适合中小型用户,尤其是教育行业用户应用。
6月27日,为帮助广大用户深入了解UTM技术与产品的发展状况,同时帮助厂商了解用户需求,《计算机世界》实验室举办了一场UTM研讨会,特邀教育行业用户与厂商代表一起对UTM产品与需求现状进行分析。
安全威胁愈演愈烈
“网络存在的风险从没有像今天这样多,并且还有持续增长的趋势。”说起中等教育院校面临的网络安全问题,来自北京实用美术职业学校负责信息化工作的程士斌老师一脸无奈,“随着网络应用逐步多样化,安全威胁的种类也迅速增加。”
程士斌所在的学校网络规模不小,各类应用较多,长期被安全问题所困扰。自从一年前部署了UTM后,情况大为好转。回想起之前的工作状态,现在的他依然觉得头疼不已。
“教育网除了承载着许多与教学相关的应用外,与Internet间也有连接,学校可以利用这个途径对外网站或其他应用。因为直接面临来自互联网的安全威胁,我们在安全防护方面动过很多脑筋,例如部署防火墙、做非常严格的访问策略,但这对应用层的入侵行为几乎没有作用。”一位教育行业相关专家说。
然而,来自外部的安全威胁还不是最致命的。程士斌说,“就算服务器被入侵,受影响的也只是某些应用;而发生在内部的安全事件,很可能让网络彻底瘫痪,更别谈什么应用了。”
愈发严重的网络滥用行为被教育网络系统管理员认为是现今最为严重的综合性难题。P2P、IM、炒股、在线视频等应用不但占用了大量带宽,还带来额外的安全隐患。
事实上,教育机构信息系统内部安全事件表现在很多方面,而其中最可怕的还是病毒威胁。教师办公用的笔记本电脑和优盘通常会在校园网以外的地方使用,如果不慎被病毒感染,接入校园网络后会成为很严重的“污染源”。从“冲击波”开始,病毒造成网络瘫痪的案例屡见不鲜。
UTM满足校园需求
可以看出,教育行业用户面临的安全问题十分繁杂,病毒、入侵、垃圾邮件、网络资源滥用、非法信息……这些愈发严重的威胁时刻影响着教学信息的安全,阻碍教育信息化工作的进行。
“我们需要打造一个安全、高速的网络,但过高的资金投入对于学校来说有一定困难,负责信息化工作的教师也没有深厚的技术背景。” 某学校网络管理员感慨道,学校是教书育人的机构,很难像企业那样为网络安全做持续、大量的人力和物力投入。不仅如此,许多学校的信息化工作负责人还身兼多职,日常工作比较繁杂。这种情况下,如果发生安全事件,仅凭有限的信息安全力量,很难达到令人满意的应急处理效果。
程士斌所在学校的网络曾经大面积感染了通过IM传播的病毒,防火墙对此无能为力。而大量的P2P应用不但占用了大量带宽、带来额外的安全隐患,还对网关设备的稳定性造成一定影响。
“以前网络连接数量一旦增大,防火墙就不稳定。现在应用UTM后,病毒被挡在了网络之外,绝大多数P2P应用都被提示阻断。” 程士斌说,自从一年前部署了UTM后,情况大为好转。
据了解,大多数学校之所以选择UTM产品,是因为这种产品既具有完善的功能和出色的性能,还最大限度地保证了网络的稳定运行,而且使用、维护简便,适合技术实力相对较弱的教育行业用户应用。
“当然,成本低也是我们选用UTM的重要原因。”程士斌说,“UTM产品一体化、低成本的设计思路对于我们来说非常合适。我现在不用每时每刻都提心吊胆了。”
售前测试成门槛
UTM受到了教育行业用户的青睐,然而,面对目前UTM市场鱼龙混杂的局面和售前测试的缺失,众多用户仍处于观望之中。
购买前的测试是选购网络安全产品的重要环节之一,但并不是所有用户都能享受到这个服务。“一方面可能是用户不够重视,另一方面也可能是不好操作。”程士斌对这个问题有自己的理解,“在产品采购方面,我们有一些内部的流程和规定,而供应商很难提供测试机。”
记者也曾经与一些厂商的销售人员讨论过这个问题。厂商通常会有专人负责教育行业的营销和服务,但他们的注意力往往集中在规模较大的高等教育院校,中小学校用户通常得不到足够的重视。但对于用户来说,如果未经测试就购买了产品,等问题在实际应用中暴露出来,恐怕为时已晚。
《计算机世界》实验室注意到用户和厂商之间的这段盲区,适时推出了结合用户需求的测试模式。与以往单纯在实验室环境进行测试不同,本次UTM评测将增加在用户真实环境下的测试环节。
据了解,参加评测的UTM产品首先要在实验室进行功能、性能、抗攻击等方面的测试,工程师将借助测试仪尽可能地量化各项指标,作为评估参考。在制订这部分的测试方案时,实验室会尽量结合用户需求,模拟用户真实环境,使理论测试更具实际意义。
之后,通过实验室测试的产品将被移至用户真实的网络环境中,由各学校信息化工作负责人进行实地操作,考察产品对需求的满足程度。
《计算机世界》实验室还将使用IDS及其他监控设备,采集、建立每个用户的流量模型。通过数据分析,总结出用户网络存在的各类安全问题。厂商工程师可以结合该数据与用户实际需求,对UTM产品进行配置,作为用户网络出口的网关继续实测。
最后,《计算机世界》实验室工程师将再次采集用户的流量模型进行分析,形成最终纵向比对报告。
“能够有机会参与评估UTM产品在学校网络环境中的使用效果,这是一件好事。”某学校网络管理员表示,这既可以解决应用中面临的一些问题,也能为UTM产品选型提供客观依据。
链接
产品横向对比评测即将启动
为帮助广大用户深入了解UTM技术与产品的发展状况,《计算机世界》实验室曾于2006年策划进行了国内第一个UTM产品横向对比评测。时隔两年,评测实验室再一次将目光投向这类产品,计划于近期组织一次结合用户需求的UTM产品评测,重点考察其在教育行业的实际应用效果。
关键词:网络安全技术 高校 校园网
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
现代化社会是信息时代,已经渗透到社会的各个角落。网络的快速发展为社会各界带来了方便,却也带来了许多的弊端。网络是一种开放式的,面向全世界的东西,大家可以共同享受资源,可是这本身也带着威胁。所以,网络安全已经引起高度重视。高校的校园网是学校的一种宣传、一种文化建设,而它也一样需要网络安全技术的保护。
1网络安全技术
在网络上,为了防止被攻击,构建安全的网络体系,需要使用网络安全技术。本文对常用的几种技术进行了具体的分析。
1.1防火墙技术
防火墙是保护计算机不受攻击的一种技术,它建立在网络内部和网络外部之间,防止破坏,有效保护网络的安全。它可以限制跨越防火墙的数据进入,并且保护网络内部的信息,防止外部网络窃取,以此实现对网络的安全保护。防火墙具有网络安全的屏障、强化网络安全策略、监控审计、防止内部信息的外泄、数据包过滤、网络IP地址转换、虚拟专用网络、日志记录与事件通知等多种功能。
1.2网络入侵检测技术
网络入侵检测技术是对恶意使用网络资源的用户的行为进行监控识别,并实施处理的技术,这其中既包括系统外部使用人员的非法入侵,也包括系统内部未授权的使用行为。网络入侵检测技术是为了维护计算机的安全,可以检测出计算机网络使用中的危害行为。网络入侵检测技术不仅能够及时地发现网络系统中出现的异常现象和危害行为,还能够收集危害信息,并对其进行分析,得出结果,能够分析出网络系统中用户所做的对计算机产生危害行为的迹象。
1.3虚拟专用网技术
虚拟专用网是建立在公用网络上的专用网络技术,能够建立专用数据网络的技术。虚拟专用网技术可以有效实现在任意两点之间建立一条稳定安全的连接通道,它和专用网络其实是一样的,具有很高的安全保证。虚拟专用网实际上就相当于在网络上建立了一条专用隧道,但是却对数据有着更高的加密要求,数据进行了加密,那么用户的信息就会更加安全,而那些没有认证的用户就无法访问内部网络,这样能够更好地加强对网络安全的保护。
1.4访问控制技术
访问控制技术是为计算机和用户提供安全保证的主要手段,并被广泛地运用在防火墙和虚拟专用网等多个技术中。访问控制技术能够使合法用户正常使用网络资源获得有效保障,在此基础上,还能控制非法用户对网络资源的非法使用。访问控制技术能够帮助网络管理员实时监控用户的使用情况和对网络系统的危害行为,及时地发现对网络系统有害的非法行为,并阻挡他的入侵。
2网络安全技术在高校校园网的应用
网络安全技术是有效保障高校校园网不受侵害的主要途径,目前我国高校的校园网使用存在许多的问题,亟待解决,而网络安全技术为高校校园网的安全提供了很大的帮助。
2.1防火墙技术在高校校园网的应用
防火墙可以帮助校园网拦截危害信息,降低不法网络给校园网安全带来的危害。并且,防火墙可以实时监控校园网,保留访问记录,检查校园网使用中存在的安全问题,防止高校校园网的内部信息有所泄露。防火墙是阻隔外部网络对校园网进行侵害的有效技术,它的存在保证了校园网的安全,利于提高校园网的运行效率。防火墙在高校校园网安全中发挥着非常重要的作用,可以有效阻隔外界非法有害入侵,是校园网安全的一道屏障。
2.2网络入侵检测技术在高校校园网的应用
网络入侵技术是一项可以检测校园网中的危害行为的技术。在用户使用校园网时,如果网路系统中出现异常现象或是非法操作,网络入侵检测技术就会发出警报,以示危险。入侵检测技术可以自行对校园网的网络行为和活动进行检测分析,查出其存在的漏洞,及时地提醒高校校园网络管理员进行维修保护。由此可见,网络入侵检测技术对高校校园网的安全进行有着重要的防护和提醒作用,有效保证高校校园网的安全。
2.3虚拟专用网技术在高校校园网的应用
虚拟专用网是利用虚拟专用设备将校内网和校外网连接,是提高校园网数据安全的一种网络技术。虚拟专用网技术是需要用户进行身份验证的,只有验证之后符合条件的人才能访问网络。这其实是一种加密技术,进行密码管理,提高校园网和校外网的可靠性。校园网的管理者可以利用虚拟专用网技术,对使用高校校园网的人进行监控,能够及时地发现问题,解决问题,实现对校园网的保护。
2.4访问控制技术在高校校园网的应用
访问控制技术可以有效控制使用高校校园网的非法用户。有些用户想要进入高校校园网,必须要通过访问控制的允许,需要验证用户名和密码等,在确认该用户有访问权后,再允许进入高校校园网站。在这一系列程序完成之后,访问控制技术也会给予该用户访问和操作的权限,以此防止高校校园网的网络资源和信息被非法用户使用。
3结语
现在的校园网已经是高校加大宣传,便于即时信息的主要渠道,但是这也就导致了使用校园网络的人群的复杂性和多样性,为了防止高校校园网被入侵攻击,及时有效地使用网络安全技术进行保护。网络安全技术在高校校园网中的运用,在很大程度上提高了校园网的网络安全,而其在校园网中起着越来越重要的作用。
参考文献
第一章 总则
1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站所构成的,为校园网络应用而服务的硬件、软件的集成系统。
2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。
3、教技领导小组下的网络管理组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。
4、任何单位和个人,未经管理组同意,不得擅自安装、拆卸或改变网络设备。
5、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。
6、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校网络管理组进行的网络系统及信息系统的安全检查。
7、使用校园网的全体师生有义务向网络管理组和有关部门报告违法行为和有害信息。
第二章 网络安全管理
1、校园网由学校网络管理小组统一管理及维护。连入校园网的各部门、教室和个人使用者必须严格使用由网络中心分配的ip地址。网络管理员对入网计算机和使用者进行登记,由网络中心负责对其进行监督和检查。任何人不得更改ip及网络设置,不得盗用ip地址及用户帐号。
2、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。
3、网络管理员负责全校网络及信息的安全工作,建立网络事故报告制度并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,网络管理组必须及时备案并向公安机关报告。
4、对所有联网计算机要及时、准确登记备案。校园网络不准对社会开放。
5、校园网中对外信息的web服务器中的内容必须经领导审核,由负责人签署意见后再由信息员。新闻公布、公文权限要经过校领导的批准。
6、校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络管理组对用户口令保密,不得向任何单位和个人提供这些信息。校园网及子网的系统软件、应用软件及信息数据要实施保密措施。
7、加强对师生用户上网安全教育指导和监督:
(1)校园网内必须安装网络版监控和防范不良信息的过滤软件系统,监控日志至少保存半年。
(2)加强对学生开放互联网以及全校教职工上网的监管。
(3)专用的财务工作电脑和重要管理数据的电脑最好不要接入网络工作。
8、网络管理小组统一在每台计算机上安装防病毒软件,各部门、教研组、办公室要切实做好防病毒措施,随时注意杀毒软件是否开启,及时在线升级杀毒软件,及时向网络管理组报告陌生、可疑邮件和计算机非正常运行等情况。
9、禁止私自安装、卸载程序,在校园网上,禁止使用盗版软件,不允许玩电子游戏,不允许无关人员使用,也不允许进行与工作无关的操作,禁止任意修改和删除计算机的系统文件和系统设置。
10、严禁在校园网内使用来历不明、引发病毒传染的软件或文件;对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行检查、消毒。
11、任何单位和个人不得在校园网及其连网计算机上录阅传送有政治问题和色情内容的信息。
12、未经校园网络管理小组的同意,不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。
13、需在校内交流和存档的数据,按规定地址存放,不得存放在硬盘的c盘区,私人文件不得保存在工作电脑中,由此造成的文件丢失损坏等后果自负。
14、保护校园网的设备和线路,不准擅自改动计算机的连接线,不准打开计算机主机的机箱,不准擅自移动计算机、线路设备及附属设备,不准擅自把计算机设备外借。
15、各教室、教研组和各部门必须加强对计算机的管理,指定专人负责管理。管理员应经常测试计算机设备的性能,发现故障及时通知网络中心处理。
16、各部门和各教室、教研组应认真做好本单位计算机的养护和清洁卫生工作。
第三章 网络用户安全守则
1、使用校园网的全体师生必须对所提供的信息负责。严禁制造和输入计算机病毒,以及其他有害数据,危害计算机信息系统的安全,不得利用计算机联网从事危害家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
2、除校园网负责人员外,其他单位或个人不得以任何方式试图登陆进入校园网服务器或计算机等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
3、用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把户头借给他人使用,增强自我保护意识,经常更换口令,保护好户头和ip地址。严禁用各种手段破解他人口令、盗用户头和ip地址。
4、网络用户不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。
5、使用校园网的全体师生有义务向网络中心报告违法行为和有害的、不健康的信息。
第四章 处罚办法
违反本制度规定,有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,或提交司法部门处理。
1、查阅、复制或传播下列信息者:
(1)煽动分裂国家、破坏国家统一和民族团结、社会主义制度;
(2)煽动抗拒、破坏宪法和国家法律、行政法规的实施;
(3)捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;
(4)公然侮辱他人或者捏造事实诽谤他人;
(5)宣扬封建迷信、、色情、暴力、凶杀、恐怖等。
2、破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。
3、盗用他人帐号或私自转借、转让用户帐号造成危害者;
4、故意制作、传播计算机病毒等破坏性程序者。
5、上网信息审查不严,造成严重后果者。
