前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網(wǎng)絡(luò)安全預案主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】校園網(wǎng) 安全問題 分析 對策
高校是計算機網(wǎng)絡(luò)誕生的搖籃,也是最早應(yīng)用網(wǎng)絡(luò)技術(shù)的地方。校園網(wǎng)是當代高校重要基礎(chǔ)設(shè)施之一,是促進學校提升教學質(zhì)量、提高管理效率和加強對外交流合作的重要平臺,校園網(wǎng)的安全狀況直接影響著學校的各項工作。在校園網(wǎng)建設(shè)初期,網(wǎng)絡(luò)安全問題可能還不突出,但隨著應(yīng)用的不斷深入和用戶的不斷增加,高校校園網(wǎng)上的數(shù)據(jù)信息急劇增長,各種各樣的安全問題層出不窮?!靶@網(wǎng)既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標”[1],校園網(wǎng)絡(luò)安全已經(jīng)引起了各高校的高度重視。本文對高校校園網(wǎng)的安全問題進行了分析,并探討了加強高校校園網(wǎng)安全管理的對策。
1 高校校園網(wǎng)安全問題分析
1.1 高校校園網(wǎng)的特點
與其它局域網(wǎng)相比,高校校園網(wǎng)自身的特點導致網(wǎng)絡(luò)安全問題嚴重、安全管理復雜。其特點可以概括為兩個方面:
(1)用戶群體的特點。高校校園網(wǎng)用戶群體以高校學生為主。一方面,用戶數(shù)量大、網(wǎng)絡(luò)水平較高。隨著高校的擴招,現(xiàn)在各高校的在校學生規(guī)模越來越大,校園網(wǎng)用戶少則幾千,多則幾萬,而且往往比較集中。高校學習以自主性學習為主,決定了高校學生可供自主支配的時間寬裕。通過學習,高校學生普遍掌握了一定的計算機基礎(chǔ)知識和網(wǎng)絡(luò)知識,其計算機水平比普通商業(yè)用戶要高,而且他們對網(wǎng)絡(luò)新技術(shù)充滿好奇,勇于嘗試,通常是最活躍的網(wǎng)絡(luò)用戶。另一方面,用戶網(wǎng)絡(luò)安全意識、版權(quán)意識普遍較為淡薄。高校學生往往對網(wǎng)絡(luò)安全問題的嚴重后果認識不足、理解不深,部分學生甚至還把校園網(wǎng)當成自己的“練兵場”,在校園網(wǎng)上嘗試各種攻擊技術(shù)。另外,由于資金不足和缺乏版權(quán)意識等原因,導致高校學生在校園網(wǎng)上大量使用盜版軟件和盜版資源。攻擊技術(shù)的嘗試和盜版軟件的傳播既占用了大量的網(wǎng)絡(luò)帶寬,又給網(wǎng)絡(luò)安全帶來了極大的隱患。
(2)校園網(wǎng)建設(shè)和管理的特點。一方面,校園網(wǎng)建設(shè)需要投入大量的經(jīng)費,少則幾百萬,多則幾千萬,而高校的經(jīng)費普遍是比較緊張的,有限的投入往往用于擴展網(wǎng)絡(luò)規(guī)模、增加網(wǎng)絡(luò)應(yīng)用這些師生都能看到成果的方面,而往往忽視或輕視師生不容易看到成果的網(wǎng)絡(luò)安全方面。由于投入少,缺少必要的網(wǎng)絡(luò)安全管理設(shè)備和軟件,致使管理和維護出現(xiàn)困難。另一方面,各高校為了學校的教學、科研、管理以及學生學習生活的需要,目前基本上都建立了千兆主干、百兆桌面,甚至萬兆主干、千兆桌面的校園網(wǎng),高帶寬的校園網(wǎng)給校園網(wǎng)用戶帶來了方便,但同時也大大增加了網(wǎng)絡(luò)完全管理的難度。
1.2 當前高校校園網(wǎng)面臨的主要網(wǎng)絡(luò)安全問題和威脅
(1)安全漏洞。校園網(wǎng)內(nèi)普遍存在用戶操作系統(tǒng)漏洞和應(yīng)用軟件安全漏洞,這些漏洞影響用戶系統(tǒng)的正常使用和網(wǎng)絡(luò)的正常運行,對網(wǎng)絡(luò)安全構(gòu)成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導致災難性的后果。
(2)病毒和攻擊。網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多校園網(wǎng)用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大,已經(jīng)嚴重影響到了校園網(wǎng)的正常使用。
(3)濫用網(wǎng)絡(luò)資源。在校園網(wǎng)內(nèi),用戶濫用網(wǎng)絡(luò)資源的情況嚴重,有私自開設(shè)服務(wù)器,非法獲取網(wǎng)絡(luò)服務(wù)的,也有校園網(wǎng)用戶非法下載或上載的,甚至有的用戶每天都不斷網(wǎng),其流量每天都達到幾十個G,占用了大量的網(wǎng)絡(luò)帶寬,影響了校園網(wǎng)的其它應(yīng)用。
(4)不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學生而言,危害是非常大的。網(wǎng)絡(luò)上的信息良莠不齊,其中有違反人類道德標準或法律法規(guī)的,如果不對這些信息加以過濾和處理,學生就會有在校園網(wǎng)內(nèi)瀏覽、賭博、暴力等不健康網(wǎng)頁的機會。要確保高校學生健康成長、積極向上,就必須采取措施對校園網(wǎng)絡(luò)信息進行過濾和處理,使他們盡可能少地接觸網(wǎng)絡(luò)上的不良信息。
(5)垃圾郵件。垃圾郵件對校園網(wǎng)的破壞性很大,它占用網(wǎng)絡(luò)帶寬,造成郵件服務(wù)器擁塞,進而降低整個網(wǎng)絡(luò)的運行效率,同時也是網(wǎng)絡(luò)病毒、攻擊和不良信息傳播的重要途徑之一?,F(xiàn)在雖然很多高校都建立了電子郵件服務(wù)器為校園網(wǎng)用戶提供郵件服務(wù),但由于缺乏郵件過濾軟件以及缺少限制郵件轉(zhuǎn)發(fā)的相關(guān)管理制度,使郵件服務(wù)器成為了垃圾郵件的攻擊對象和中轉(zhuǎn)站,大大增大了校園網(wǎng)的網(wǎng)絡(luò)流量,浪費了大量的校園網(wǎng)帶寬,造成校園網(wǎng)用戶收發(fā)郵件速度慢,甚至導致郵件服務(wù)器崩潰。
(6)惡意破壞。惡意破壞主要是指對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)的破壞。設(shè)備破壞是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。現(xiàn)在各高校校園網(wǎng)的設(shè)備數(shù)量多、類型雜、分布比較分散,管理起來非常困難,個別用戶可能出于某些目的,會有意或無意地將它們損壞。系統(tǒng)破壞是指利用黑客技術(shù)對校園網(wǎng)絡(luò)各系統(tǒng)進行破壞,如:修改或刪除網(wǎng)絡(luò)設(shè)備的配置文件、篡改學校主頁等等。而這兩個方面的破壞均會影響校園網(wǎng)的安全運行,造成校園網(wǎng)絡(luò)全部或部分癱瘓,甚至造成網(wǎng)絡(luò)安全事故。
2 加強高校校園網(wǎng)安全管理的對策
高校校園網(wǎng)絡(luò)安全管理是一項復雜的系統(tǒng)工程,要提高網(wǎng)絡(luò)安全,必須根據(jù)實際情況,從多個方面努力。
2.1 加強網(wǎng)絡(luò)安全管理制度建設(shè)
“三分技術(shù)、七分管理”,網(wǎng)絡(luò)安全尤為如此。各高校要根據(jù)校園網(wǎng)的實際情況,制定并嚴格執(zhí)行有效的安全管理制度。如:校園網(wǎng)網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)主干管理與維護制度、校園網(wǎng)非主干維護制度、網(wǎng)絡(luò)安全管理崗位職責、網(wǎng)絡(luò)運行管理制度、主頁維護管理制度、校園網(wǎng)信息與管理制度、病毒防治管理制度、重要數(shù)據(jù)備份與管理制度等。此外,為更加有效控制和減少校園網(wǎng)絡(luò)的內(nèi)部隱患,各高校必須制定網(wǎng)絡(luò)行為規(guī)范和違反該規(guī)范的具體處罰條例。
2.2 做好物理安全防護
物理安全防護是指通過采用輻射防護、屏幕口令、狀態(tài)檢測、報警確認、應(yīng)急恢復等手段保護網(wǎng)絡(luò)服務(wù)器等計算機系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實體免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞②。如:將防火墻、核心交換機以及各種重要服務(wù)器等重要設(shè)備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設(shè)備、主干設(shè)備以及接入交換機等設(shè)備落實到人,進行嚴格管理。物理安全防護是確保校園網(wǎng)絡(luò)系統(tǒng)正常工作、免受干擾破壞的最基本手段。
2.3 加強對用戶的教育和培訓
通過網(wǎng)絡(luò)安全教育使用戶對校園網(wǎng)絡(luò)所面臨的各類威脅有較為系統(tǒng)、全面的認識,明確這些威脅對他們的危害,增強他們的網(wǎng)絡(luò)安全意識,讓所有校園網(wǎng)用戶都來關(guān)心、關(guān)注網(wǎng)絡(luò)安全。通過對校園網(wǎng)用戶的培訓,使他們能盡量保證自己使用的計算機安全,能處理一些簡單的安全問題,從而減少網(wǎng)絡(luò)安全事故的發(fā)生。遇到網(wǎng)絡(luò)安全問題時,能做好記錄并及時向有關(guān)部門報告。
2.4 提高網(wǎng)絡(luò)管理人員技術(shù)水平
高水平的網(wǎng)絡(luò)管理人員能夠根據(jù)校園網(wǎng)的實際安全狀況,通過對校園網(wǎng)的重要資源設(shè)置使用權(quán)限與口令、通過對相應(yīng)網(wǎng)絡(luò)安全設(shè)備尤其是核心設(shè)備進行系統(tǒng)配置以有效地保證校園網(wǎng)系統(tǒng)的安全。因此要保證校園網(wǎng)的安全運行,就需要培養(yǎng)一支具有較高安全管理意識的網(wǎng)絡(luò)管理員隊伍,提高他們維護網(wǎng)絡(luò)安全的警惕性和應(yīng)對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現(xiàn)有網(wǎng)絡(luò)管理技術(shù)人員的培訓,提高他們應(yīng)對網(wǎng)絡(luò)安全問題的能力和水平;二是要引進高水平的網(wǎng)絡(luò)安全管理技術(shù)人員,提升網(wǎng)絡(luò)管理技術(shù)人員整體技術(shù)水平。
2.5 規(guī)范出口、入口管理
為適應(yīng)管理和工作的需要,現(xiàn)在高校校園網(wǎng)都有多個網(wǎng)絡(luò)出口(如:教育網(wǎng)、電信網(wǎng)等),要實施校園網(wǎng)的整體安全策略,首先就要對多出口進行統(tǒng)一管理,以解決校園網(wǎng)多出口帶來的安全問題,使校園網(wǎng)絡(luò)安全體系能夠得以實施,為校園網(wǎng)的安全提供最基礎(chǔ)的保障,如:不同出口間的隔離,封鎖病毒端口,阻止入侵者的攻擊,應(yīng)用ACL拒絕IP地址欺騙等。
2.6 配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)
為減少來自校園網(wǎng)內(nèi)外的攻擊和破壞,需要在校園網(wǎng)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。
2.7 建立全校統(tǒng)一的身份認證系統(tǒng)
身份認證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ),是校園網(wǎng)上信息安全的第一道屏障,是保證校園網(wǎng)內(nèi)各應(yīng)用系統(tǒng)安全運行的依靠。各高校要建立基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng),對校園網(wǎng)用戶上網(wǎng)進行身份認證。這樣不僅可以阻止非法用戶的上網(wǎng)行為,而且也能統(tǒng)一監(jiān)控合法戶上網(wǎng)的行為。
2.8 建立更安全的電子郵件系統(tǒng)
目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現(xiàn)郵件系統(tǒng)的管理與維護,有的電子郵件系統(tǒng)判別垃圾郵件的準確率接近百分之百。各高校要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證校園網(wǎng)的郵件系統(tǒng)安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現(xiàn)狀。
2.9 做好備份和應(yīng)急處理
對校園網(wǎng)來說,一套完整的備份和恢復方案是迫切需要的。備份既指對校園網(wǎng)重要數(shù)據(jù)的備份,也指核心設(shè)備和線路的備份[3]。對網(wǎng)頁服務(wù)器,要配置網(wǎng)頁防篡改系統(tǒng),以防止網(wǎng)頁被更改;對校園網(wǎng)中的核心設(shè)備的系統(tǒng)配置要進行備份,以便設(shè)備出故障時能及時恢復;對校園網(wǎng)中的核心線路要留有冗余,以便線路出故障時能立即啟用冗余線路以保證校園網(wǎng)絡(luò)主干的運行。應(yīng)急響應(yīng)是校園網(wǎng)整體安全的重要組成部分,各高校的校園網(wǎng)絡(luò)管理部門要制定網(wǎng)絡(luò)安全的有關(guān)應(yīng)急處理措施和制度,以保證在出現(xiàn)網(wǎng)絡(luò)安全問題時要及時按照應(yīng)急處理措施處理以減少損失。
3 結(jié)束語
校園網(wǎng)的安全管理是一項復雜的系統(tǒng)工程,沒有一勞永逸的安全措施。各高校要在校園網(wǎng)的建設(shè)和管理過程中及時分析校園網(wǎng)中的安全問題,并研究方法,制訂措施,確保校園網(wǎng)正常、高效、安全地運行,為學校的教學、管理和科研服好務(wù)。
參考文獻
[1] 沙桂蘭.淺談校園網(wǎng)絡(luò)安全控制策略[M],電腦知識與技術(shù).2007,3.
[2] 高冰.網(wǎng)絡(luò)安全措施探討[M],東北財經(jīng)大學學報.2003,4.
【關(guān)鍵詞】校園網(wǎng) 安全技術(shù) 應(yīng)用研究 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)技術(shù)的普及已經(jīng)成為社會生活中一種不可缺少的重要組成部分。校園更是一個龐大的網(wǎng)絡(luò)使用聚集地,校園網(wǎng)擔負著教學、科研、管理和對外合作交流的一種主要工具,從校園網(wǎng)的網(wǎng)絡(luò)安全層面考慮,加大力度對校園網(wǎng)網(wǎng)絡(luò)安排的管理,尤其是從網(wǎng)絡(luò)安全技術(shù)應(yīng)用中來解決具體的網(wǎng)絡(luò)問題就顯得尤為重要了。網(wǎng)絡(luò)安全是一個復雜的系統(tǒng)工程,不僅涉及系統(tǒng)軟件、硬件環(huán)境,還有網(wǎng)絡(luò)管理人員及外界環(huán)境的影響有關(guān),結(jié)合近年來對校園網(wǎng)網(wǎng)絡(luò)安全管理知識的總結(jié),并從常見的網(wǎng)絡(luò)安全問題和實例中來提升防范能力,切實保障校園網(wǎng)穩(wěn)定可靠運行。
一、對校園網(wǎng)絡(luò)建設(shè)及安全問題分析
(一)校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)體系結(jié)構(gòu)特點
校園網(wǎng)建設(shè)為推進學校教學、科研,以及管理等方面提供了信息交流的平臺。從建設(shè)系統(tǒng)來看,內(nèi)部信息系統(tǒng)主要限于校園網(wǎng)內(nèi)部用戶的使用,如教學管理系統(tǒng)、協(xié)同辦公系統(tǒng)等,而外部信息系統(tǒng)則是進行對外宣傳,以及為教學提供海量數(shù)據(jù)資源的主要陣地。其結(jié)構(gòu)特點主要表現(xiàn)在:一是校園網(wǎng)絡(luò)結(jié)構(gòu)相對復雜,特別是隨著網(wǎng)絡(luò)規(guī)模的擴大,用戶數(shù)的激增,在邏輯結(jié)構(gòu)上包含核心層、匯聚層和接入層;在功能劃分上滿足教學、辦公及學生上網(wǎng)需要;在接入方式上有寬帶、無線等模式;二是從用戶群體來看類型復雜,校園網(wǎng)從建設(shè)伊始就面臨著內(nèi)外用戶的訪問需要,都給網(wǎng)絡(luò)管理帶來了難度。
(二)校園網(wǎng)面臨的主要安全威脅分析
校園網(wǎng)的發(fā)展速度是迅速的,尤其是在教育資源的共享、信息交流及協(xié)同辦公需求上,更對高速、穩(wěn)定、可靠提出了更高要求。結(jié)合對校園網(wǎng)絡(luò)體系結(jié)構(gòu)的分析,其存在的常見網(wǎng)絡(luò)安全威脅有以下幾點:一是系統(tǒng)漏洞方面的威脅,對于計算機系統(tǒng)發(fā)展至今,由于系統(tǒng)自身存在的、未經(jīng)授權(quán)情況下而發(fā)生的訪問請求,如黑客攻擊、病毒感染等都給網(wǎng)絡(luò)安全帶來漏洞和隱患;二是對計算機病毒防范不夠,隨著計算機病毒傳播速度加快,病毒變種發(fā)作率日益嚴重,對用戶信息的泄漏,以及對信息資源的破壞是極大的,從而給網(wǎng)絡(luò)管理帶來難度;三是對網(wǎng)絡(luò)資源的利用率不夠高,特別是部分用戶私自占有大量帶寬,影響其他用戶的正常使用;四是垃圾郵件、不良信息的傳播加劇,不僅降低了網(wǎng)絡(luò)資源利用率,還給病毒傳播提供載體,也給校園網(wǎng)絡(luò)環(huán)境的凈化帶來阻礙。
二、常用網(wǎng)絡(luò)安全技術(shù)分析與應(yīng)用
(1)網(wǎng)絡(luò)防火墻技術(shù)及應(yīng)用。對于網(wǎng)絡(luò)安全威脅來說,防火墻技術(shù)能夠從軟件和硬件方面實現(xiàn)較好的防護目標,也是增強網(wǎng)絡(luò)系統(tǒng)穩(wěn)固性、可靠性的有效手段。防火墻是介于局域網(wǎng)和廣域網(wǎng)之間的安全屏障,其作用是能夠?qū)ν鈦碛脩舻脑L問請求進行檢測和控制,對于非法訪問給予屏蔽,從而保護了信息傳輸?shù)陌踩浴⒑戏ㄐ?,提高了網(wǎng)絡(luò)系統(tǒng)的安全級。其功能主要表現(xiàn)在以下幾點:一是作為屏障來對訪問請求進行有效過濾,如在面對源路由攻擊和基于ICMP重定向中的重定向攻擊時,防火墻能夠從防范來自路由的非法訪問;二是能夠?qū)υL問存取操作進行記錄并監(jiān)控,利用日志記錄可以實現(xiàn)對網(wǎng)絡(luò)的使用情況進行分析統(tǒng)計,并對可疑操作給予監(jiān)測和報警;三是防范內(nèi)部信息的對外泄露,通過對流經(jīng)防火墻的數(shù)據(jù)和服務(wù)進行監(jiān)控,特別是對于敏感信息的監(jiān)測來防范內(nèi)部信息的泄漏。
(2)入侵檢測系統(tǒng)(IDS)技術(shù)應(yīng)用。入侵檢測系統(tǒng)(IDS)是基于被動防御為主的對外來訪問進行有效控制的技術(shù),比防火墻更深入的主動攔截惡意代碼,并能夠從安全策略下對關(guān)鍵信息進行收集和分析,如異常檢測模型能夠從當前主體的活動與正常行為偏離時,從而降低漏報率;誤用檢測模型的應(yīng)用,可以從設(shè)定的入侵活動特征對比中來實現(xiàn)對當前行為特征的檢測和匹配,從而降低誤報率。入侵檢測系統(tǒng)的優(yōu)勢是能夠?qū)θ肭中袨檫M行主動檢測和報警,不足是檢測規(guī)則和統(tǒng)計方法限于特定網(wǎng)絡(luò)環(huán)境,適用性不夠。
(3)防病毒技術(shù)的應(yīng)用。計算機病毒是困擾網(wǎng)絡(luò)安全的主要殺手,也是校園網(wǎng)網(wǎng)絡(luò)安全管理的重點。結(jié)合計算機病毒的破壞特征,從其產(chǎn)生的目的,破壞目標,以及對用戶和系統(tǒng)性能的危害上,并從潛伏性、隱蔽性、易傳染性等特點制定相應(yīng)的防御對策。如通過建立行為規(guī)則來判定病毒的運行特征,一旦與規(guī)則匹配則報警,并作出相應(yīng)的處理。如依據(jù)病毒關(guān)鍵字、特征代碼、以及病毒危害行為特征來編寫病毒特征庫,以提高檢驗和監(jiān)測病毒的效率。病毒的清除技術(shù)是對檢測結(jié)果進行的處理,它實現(xiàn)了對病毒感染的逆操作,如利用殺毒軟件對病毒特征庫的更新來追蹤病毒,以實現(xiàn)對病毒的有效清除。
(4)虛擬局域網(wǎng)技術(shù)(VLAN)的應(yīng)用。虛擬局域網(wǎng)是借助于網(wǎng)絡(luò)技術(shù)來實現(xiàn)對網(wǎng)絡(luò)設(shè)備邏輯地址的劃分,打破了傳統(tǒng)局域網(wǎng)的結(jié)構(gòu)特征,使其更加靈活性和便捷性。通過VLAN技術(shù),使得數(shù)據(jù)從發(fā)送到接受都在同一個虛擬網(wǎng)絡(luò)中接受和轉(zhuǎn)發(fā),以此來避免交換信息被其他子網(wǎng)所利用。特別是對于大型網(wǎng)絡(luò),VLAN能夠從信息傳輸流量上減少廣播風暴的影響,降低網(wǎng)絡(luò)堵塞的同時還提高了信息傳輸效率;從網(wǎng)絡(luò)安全性上,利用路由器來進行安全監(jiān)測和控制,提高網(wǎng)絡(luò)安全性。
(5)其他網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。虛擬專用網(wǎng)(VPN)技術(shù)是通過對公用網(wǎng)絡(luò)建立臨時安全的鏈接,以滿足任意兩個節(jié)點進行安全、穩(wěn)定的臨時性通信,具有較高的安全性;網(wǎng)絡(luò)安全掃描技術(shù)主要是針對網(wǎng)絡(luò)管理中可能存在的漏洞,通過資源掃描來獲取網(wǎng)絡(luò)安全信息,以防范可能出現(xiàn)的錯誤配置。數(shù)據(jù)備份技術(shù)是面向?qū)嶋H應(yīng)用,為了減少人為誤操作,以及發(fā)生硬件故障而采取的一種數(shù)據(jù)完整性復制功能,用以挽救災難恢復,在分布式網(wǎng)絡(luò)環(huán)境中的應(yīng)用更為廣泛和有效。
三、結(jié)語
本文以校園網(wǎng)的安全問題為研究對象,從制約校園網(wǎng)的各類風險因素進行分析,運用網(wǎng)絡(luò)安全技術(shù)來建立保障體系,并結(jié)合嚴格規(guī)范的管理制度與合適的解決方案,來以實現(xiàn)校園網(wǎng)的安全、可靠、高效運行。
參考文獻:
[1]周建坤.校園網(wǎng)環(huán)境下網(wǎng)絡(luò)安全體系的研究[D].山東大學,2011.
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)35-2091-02
1 引言
校園網(wǎng)是高校信息和管理的重要平臺,是師生獲取信息、豐富知識和學習交流的重要渠道,校園網(wǎng)的強大功能對高校的教學、科研和管理有著至關(guān)重要的作用,在推動教育改革發(fā)展、促進思想文化交流、豐富師生精神生活等方面起到了積極影響。然而,隨著校園網(wǎng)規(guī)模的不斷擴大以及應(yīng)用的不斷深入,校園網(wǎng)中的安全問題也逐步顯現(xiàn)出來。如何避免網(wǎng)絡(luò)中的攻擊、如何避免計算機病毒的大規(guī)模爆發(fā)、如何保證校園網(wǎng)的暢通等問題已成為目前校園網(wǎng)中急需解決的問題。
2 校園網(wǎng)安全問題分析
2.1 病毒的侵害
校園網(wǎng)中的用戶眾多,每天許多用戶都要通過校園網(wǎng)訪問Internet,而當今Internet上的許多的資源都暗藏病毒。如果某個用戶的計算機上沒有安裝防病毒系統(tǒng),那么該計算機就極易被病毒感染,當網(wǎng)絡(luò)中的計算機被感染后,病毒就通過Internet進入了校園網(wǎng)內(nèi)部。而現(xiàn)在的決大多數(shù)病毒除了具有傳統(tǒng)病毒的一般特性(可傳播性、隱蔽性、可執(zhí)行性、破壞性)之外,還具有傳播速度極快、擴散面非常廣、不易防范、難于徹底清除等特點,如蠕蟲病毒、沖擊波病毒、振蕩波病毒等,這些病毒往往能夠在很短時內(nèi)里通過網(wǎng)絡(luò)進行傳播。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復制,將極大地消耗網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)性能的急劇下降,嚴重時有可能造成網(wǎng)絡(luò)廣播風暴甚至導致網(wǎng)絡(luò)癱瘓。
2.2 網(wǎng)絡(luò)攻擊
Internet是一個開放的網(wǎng)絡(luò),計算機可以通過各種網(wǎng)絡(luò)設(shè)備接入Internet,如果對網(wǎng)絡(luò)訪問不加限制,那么Internet上所有的網(wǎng)絡(luò)資源都可以被任意訪問。從校園網(wǎng)的安全角度考慮,對于任何一個Internet用戶都有必要加以防范,因為任何一個用戶都有可能是校園網(wǎng)的攻擊者。攻擊者通過設(shè)置特洛伊木馬、WWW欺騙、端口掃描等方法對網(wǎng)絡(luò)進行攻擊,一旦攻擊成功將對學校的數(shù)據(jù)造成極大的威脅。比如一些黑客入侵學校的Web服務(wù)器,篡改學校的主頁損壞學校形象,或?qū)W校Web服務(wù)器發(fā)送大量的攻擊數(shù)據(jù)包導致學校的主頁難以訪問。
網(wǎng)絡(luò)攻擊不僅來自于外部,還可能來自校園網(wǎng)內(nèi)部。據(jù)統(tǒng)計來自內(nèi)部的攻擊比例要大大高于來自外部的攻擊。這是因為校園網(wǎng)內(nèi)部的用戶對網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)更加熟悉,同時校園網(wǎng)用戶中絕大部分是具有較高知識水平的大學生群體,在學生中不乏計算機應(yīng)用高手(特別是計算機專業(yè)的學生),由于對網(wǎng)絡(luò)攻擊的巨大的好奇心和渴望攻擊成功的心理使他們把校園網(wǎng)絡(luò)當作網(wǎng)絡(luò)攻擊的試驗場地,而這種不安全因素對校園網(wǎng)的破壞力往往更大。
2.3 軟件系統(tǒng)存在安全漏洞
系統(tǒng)安全漏洞指的是系統(tǒng)在設(shè)計時沒有考慮到的缺陷,特別是操作系統(tǒng),因為這些軟件一般都比較的復雜、龐大,有時會因為程序員的疏忽或軟件設(shè)計上的失誤而留下一些漏洞。理論上講任何一個系統(tǒng)都不同程度地存在著漏洞。因為系統(tǒng)漏洞的存在,使得針對系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊和蠕蟲病毒也層出不窮。攻擊者針對系統(tǒng)漏洞進行攻擊,入侵成功后將獲得系統(tǒng)的相應(yīng)的權(quán)限,進而盜取重要資料或?qū)ο到y(tǒng)進行破壞活動。目前學校的計算機系統(tǒng)絕大多數(shù)都是使用Window2000/xp操作系統(tǒng),而Windows操作系統(tǒng)是不太安全的,因為Windows操作系統(tǒng)的漏洞比較多,由Windows操作系統(tǒng)漏洞引發(fā)的不安全問題時有發(fā)生。此外,應(yīng)用系統(tǒng)也不例外,如IE、Office辦公軟件、Ms-Sql、 Oracal等軟件也存在安全漏洞。
2.4 管理上的欠缺
網(wǎng)絡(luò)的整體安全僅從技術(shù)和設(shè)備入手是不夠的,還應(yīng)該有一套對工作人員行之有效的管理制度,尤其要加強對內(nèi)部人員的管理和約束。這是因為內(nèi)部人員對網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解,若不加強管理,一旦有人出于某種目的破壞網(wǎng)絡(luò),后果將不堪設(shè)想。然而,目前國內(nèi)的高校中還很少有學校具備完善的校園網(wǎng)管理制度。同時,在對設(shè)備的操作方面也應(yīng)設(shè)立相應(yīng)的操作規(guī)范。如沒有規(guī)范的操作,把交換機的密碼設(shè)置得過于簡單;或者允許用戶從任何地點登陸核心交換機之類的問題都會給網(wǎng)絡(luò)的安全帶來巨大的隱患。在對用戶的管理方面,目前很多學校還沒有建立起一套行之有效的校園網(wǎng)用戶管理方法。有的學校即使有用戶上網(wǎng)守則,但也沒有相應(yīng)的監(jiān)控措施,難以取得違規(guī)用戶的行為證據(jù),這些都是管理上的缺陷。
3 校園網(wǎng)安全應(yīng)對策略
3.1 建立網(wǎng)絡(luò)防病毒系統(tǒng)
在非網(wǎng)絡(luò)環(huán)境下計算機病毒的防殺一般都是靠單機版的殺毒軟件來完成,但在校園網(wǎng)環(huán)境下單機版的殺毒軟件已經(jīng)無法適應(yīng)網(wǎng)絡(luò)病毒的防殺要求。這是因為單機版的殺毒軟件只能防殺本地計算機中的病毒,且單機版的殺毒軟件各自為政,在病毒庫的升級以及病毒的統(tǒng)一防殺方面很難做到協(xié)調(diào)一致。
要有效地防范網(wǎng)絡(luò)病毒可以采用集中式病毒防殺系統(tǒng)。該系統(tǒng)包括了服務(wù)器端和客戶端兩個模塊。首先在校園網(wǎng)上建立一個防病毒服務(wù)器,即系統(tǒng)的控制中心,然后采用客戶端安裝或網(wǎng)絡(luò)分發(fā)的方式將客戶端軟件安裝到每個工作站上,并設(shè)置每個工作站接受服務(wù)器的管理。管理員只需利用控制臺軟件就能對聯(lián)網(wǎng)計算機進行統(tǒng)一的病毒清除,從而能有效的控制校園病毒的爆發(fā)。如果有新病毒庫,只需對服務(wù)器上的病毒庫更新,客戶端就會自動到服務(wù)器上下載并更新病毒庫。集中式病毒防殺系統(tǒng)因它的病毒庫更新及時方便、防殺行動統(tǒng)一徹底、系統(tǒng)穩(wěn)定可靠、用戶參與少等優(yōu)點成為了校園網(wǎng)的病毒防治中最有效的措施之一。
3.2 構(gòu)建防火墻和入侵檢測系統(tǒng)
防火墻是位于兩個(或多個)網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合。所有進出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過防火墻的授權(quán)。設(shè)置防火墻是保護內(nèi)部網(wǎng)絡(luò)免于外部網(wǎng)絡(luò)攻擊的重要措施,在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署防火墻,就在內(nèi)外網(wǎng)之間建立了一道牢固的安全屏障。防火墻可以限制對某些不安全端口的訪問,能封鎖特洛伊木馬,并禁止來自特殊站點的訪問和禁止某些協(xié)議的運行,從而有效地防止外部入侵者的非法攻擊行為。
入侵檢測是指對計算機和網(wǎng)絡(luò)資源的惡意行為的識別和響應(yīng)的過程。入侵檢測系統(tǒng)從計算機網(wǎng)絡(luò)系統(tǒng)的若干關(guān)鍵點收集信息并對其進行分析,發(fā)現(xiàn)入侵以后,會及時進行記錄事件、斷開網(wǎng)絡(luò)連接和報警等操作,如果把防火墻比作是網(wǎng)絡(luò)門衛(wèi)的話,入侵檢測系統(tǒng)就是網(wǎng)絡(luò)中不間斷的攝像機。在校園網(wǎng)中部署入侵檢測系統(tǒng)可以有效地監(jiān)控校園網(wǎng)內(nèi)的惡意攻擊行為。
3.3 使用VLAN技術(shù)
VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、提高網(wǎng)絡(luò)安全性、簡化網(wǎng)絡(luò)管理。下面從幾個方面具體來談?wù)刅LAN技術(shù)在校園網(wǎng)中的發(fā)揮的突出作用。
由于不同的VLAN有著各自獨立的廣播域,而廣播只能在本地VLAN內(nèi)進行,從而大大減少了廣播對網(wǎng)絡(luò)帶寬的占用,提高了帶寬傳輸效率,并可以有效地避免廣播風暴的產(chǎn)生。例如在我校就對每棟學生宿舍劃分兩個或兩個以上VLAN,在這種情況下即使有一棟學生宿舍的VLAN產(chǎn)生了廣播風暴,也不會對此VLAN之外的網(wǎng)絡(luò)產(chǎn)生影響。
在交換機上劃分VLAN以后,不同VLAN的之間將不能直接通信,VLAN間的通信必須通過三層設(shè)備(路由設(shè)備)。我們可以通過路由訪問列表和MAC地址分配等VLAN劃分原則,控制用戶訪問權(quán)限和邏輯網(wǎng)段大小,將不同用戶群劃分在不同VLAN中,從而提高了校園網(wǎng)的整體性能和安全性。如果結(jié)合相應(yīng)的網(wǎng)絡(luò)技術(shù)還可以方便的控制校園網(wǎng)用戶的登陸地點,例如開啟交換機的認證功能,校園網(wǎng)用戶在登陸校園網(wǎng)前首先要進行身份認證,我們可以將認證帳號綁定到具體的VLAN中,這樣只有具備相應(yīng)VLAN認證帳號的用戶才能在指定的VALN登陸校園網(wǎng)絡(luò)。
利用VLAN技術(shù)可以根據(jù)學校的部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段,在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用VLAN技術(shù),大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔,降低了網(wǎng)絡(luò)維護費用。
3.4 軟件系統(tǒng)的安全配置
軟件系統(tǒng)的安全問題也是不容忽視的,任何軟件都有漏洞。作為網(wǎng)絡(luò)系統(tǒng)的管理人員有責任及時將軟件的補丁打上。比如,校園網(wǎng)中的服務(wù)器所使用的操作系統(tǒng)大多是win2000/xp的操作系統(tǒng),因為使用的人多所以發(fā)現(xiàn)的漏洞也就特別多,這就需要網(wǎng)絡(luò)管理人員隨時去了解微軟公司的有關(guān)操作系統(tǒng)的安全信息,如有相關(guān)的補丁程序或升級包就應(yīng)當及時地從微軟的官方網(wǎng)站下載并安裝。對于其他的軟件系統(tǒng)(比如:Linux,Oracal,Sql)也應(yīng)當密切關(guān)注其安全問題。只有這樣才能有效的避免因軟件系統(tǒng)漏洞而導致的安全問題。
操作系統(tǒng)在服務(wù)器上剛安裝好時會自動啟動一些不必要的服務(wù),這樣不僅給系統(tǒng)增加了額外的開銷,而且?guī)砹讼到y(tǒng)的安全隱患。對于服務(wù)器上不需要的服務(wù)我們應(yīng)及時將其關(guān)閉,比如我們可以關(guān)閉web服務(wù)器的telnet等服務(wù),同時我們還應(yīng)該關(guān)閉不必要的tcp端口。
3.5建立人才隊伍,完善管理制度
在校園的建設(shè)中人才隊伍的建設(shè)是十分重要的。因為無論是校園網(wǎng)的合理規(guī)劃與建設(shè),還是日常的維護及管理,都離不開一支專業(yè)水平高、業(yè)務(wù)能力過硬、責任心強的人才隊伍。只有網(wǎng)絡(luò)管理者具備較高的素質(zhì),才能在校園的建設(shè)中使用先進的技術(shù),才能使網(wǎng)絡(luò)設(shè)備發(fā)揮其最大的價值,才能及時快捷的處理校園網(wǎng)中的各種軟硬件故障。
制定科學合理的規(guī)章制度,對于明確責任、確保網(wǎng)絡(luò)安全具有十分重要的作用。校園網(wǎng)安全管理制度應(yīng)包括:設(shè)備的操作規(guī)范制度(比如對密碼的設(shè)置方法、系統(tǒng)權(quán)限的分配原則、核心設(shè)備的訪問規(guī)則等)、網(wǎng)絡(luò)系統(tǒng)的維護制度、網(wǎng)絡(luò)故障應(yīng)急措施、機房的出入制度。校園網(wǎng)的管理需要建立制度更需要執(zhí)行制度,嚴格地執(zhí)行安全管理制度是校園網(wǎng)可靠運行的重要保障。
4 結(jié)束語
校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程,我們必須綜合考慮各種安全因素,制定合理的技術(shù)方案和管理制度。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,新的安全問題又將不斷出現(xiàn),如何長期保證校園網(wǎng)高效可靠的運行將對網(wǎng)絡(luò)管理者提出更高的要求,這就需要我們不懈地努力,隨時掌握最新的網(wǎng)絡(luò)安全技術(shù),不斷地更新和完善校園網(wǎng)的安全體系,使校園網(wǎng)的運行更加穩(wěn)定可靠。
參考文獻:
[1] 肖軍模,等.網(wǎng)絡(luò)信息安全[M].北京:機械工業(yè)出版社,2006.
【關(guān)鍵詞】校園網(wǎng)絡(luò);安全技術(shù);管理
在中職院校的發(fā)展中國家的政策支持不斷增加,在網(wǎng)絡(luò)建設(shè)方面的投入也得到增多,校園網(wǎng)絡(luò)的應(yīng)用可以使教育水平得到提高,也是時展的需要,通過網(wǎng)絡(luò)使得教育資源更加豐富,但是其中的網(wǎng)絡(luò)技術(shù)安全問題也是不可忽視的,為了能夠安全的使用校園網(wǎng)絡(luò)必須持續(xù)增強其安全性構(gòu)建,將相關(guān)的安全管理技術(shù)應(yīng)用其中,有效的解決安全威脅方面的問題。
1校園網(wǎng)絡(luò)安全問題分析
1.1校園網(wǎng)絡(luò)中操作系統(tǒng)漏洞,病毒的攻擊
校園網(wǎng)絡(luò)屬于局域網(wǎng)的一種類型,通過網(wǎng)絡(luò)的應(yīng)用能夠?qū)⑿@內(nèi)外的信息進行整合共享,豐富教育教學資源,在現(xiàn)階段的中職院校校園網(wǎng)絡(luò)的建設(shè)中,網(wǎng)絡(luò)大部分都是在局域網(wǎng)的基礎(chǔ)結(jié)構(gòu)上建立的,校園網(wǎng)絡(luò)的主干方案是通過以太網(wǎng)及光纖來建立的,然后對整個區(qū)域的寬帶網(wǎng)進行覆蓋,校園網(wǎng)絡(luò)與公眾網(wǎng)進行連接這樣就可以將外部的信息引入到校園內(nèi)部了,但是其中最為主要的還是與教學相關(guān)的應(yīng)用。在現(xiàn)代化的校園網(wǎng)絡(luò)發(fā)展中存在很多方面的安全問題,比如計算機網(wǎng)絡(luò)中操作系統(tǒng)的漏洞或者網(wǎng)絡(luò)病毒攻擊等,系統(tǒng)漏洞產(chǎn)生于計算機系統(tǒng)內(nèi),黑客能夠在出現(xiàn)漏洞的情況下對計算機的運行系統(tǒng)實行攻擊,使校園網(wǎng)出現(xiàn)安全威脅,系統(tǒng)出現(xiàn)漏洞惡意破壞者就能在管理者沒有授權(quán)之對計算機內(nèi)部的數(shù)據(jù)進行查看,對其中的數(shù)據(jù)進行破壞。病毒的安全問題是進入計算機程序中,使計算機不能正常使用,還能夠創(chuàng)建獨立的一組指令或程序代碼下載到計算機中。它有著潛伏性、傳播性、破壞性等特點,形式多樣,危害性比較大。計算機網(wǎng)絡(luò)受病毒影響運行速度會減慢,內(nèi)存空間減小,為校園網(wǎng)絡(luò)造成較大損失。
1.2校園網(wǎng)絡(luò)的故意破壞以及垃圾信息的傳播
在當前校園網(wǎng)絡(luò)的應(yīng)用中存在的故意破壞的情況是其中比較嚴重的網(wǎng)絡(luò)安全問題之一,故意破壞指的是對校園網(wǎng)絡(luò)中的相關(guān)硬件設(shè)備以及計算機系統(tǒng)實行的破壞行為。比如通過校園網(wǎng)絡(luò)內(nèi)部IP對計算機設(shè)備中的部分數(shù)據(jù)文件進行修改或刪除,還容易出現(xiàn)通過黑客技術(shù)對校園網(wǎng)站實行人為的攻擊,使得網(wǎng)絡(luò)用戶在訪問校園網(wǎng)時受到阻礙。這些破壞行為都會使校園網(wǎng)絡(luò)不能正常的工作,影響校園網(wǎng)的正常運作。在中職學校的校園網(wǎng)絡(luò)中,進行垃圾信息或者廣告郵件、不良信息的傳輸會使占用很多的網(wǎng)絡(luò)帶寬,這樣校園網(wǎng)絡(luò)就會發(fā)生阻塞的情況,嚴重的還會造成網(wǎng)絡(luò)的崩潰,很大程度上降低網(wǎng)絡(luò)的運行效率。而且,校園網(wǎng)絡(luò)中的垃圾郵件、不良信息的傳播還可能帶有病毒,造成校園網(wǎng)絡(luò)系統(tǒng)的感染,對安全校園網(wǎng)絡(luò)環(huán)境的建設(shè)是非常不利的。
2校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用管理
2.1校園網(wǎng)絡(luò)中安全問題的解決
網(wǎng)絡(luò)是相互連接的系統(tǒng),有一定的連接通道,為網(wǎng)絡(luò)入侵者制造了入侵機會,校園網(wǎng)中存在許多信息資料,一旦被盜取,后果嚴重,所以網(wǎng)絡(luò)之間需要進行安全隔離。對于網(wǎng)絡(luò)中存在的各種漏洞,其專業(yè)性比較強,應(yīng)該利用第三方軟件來進行問題的解決,而對于校園網(wǎng)絡(luò)病毒的危害,應(yīng)該極強對病毒的掃描以及檢測,增強校園網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)恢復能力,增加清除病毒類安全技術(shù)的應(yīng)用。在校園網(wǎng)絡(luò)建設(shè)中,其中含有的各種數(shù)據(jù)信息非常寶貴,如果出現(xiàn)信息丟失的情況就會給校園教學帶來很大的損失。在校園網(wǎng)絡(luò)運行中還應(yīng)該不斷的加強網(wǎng)絡(luò)監(jiān)控,這種方法對于網(wǎng)絡(luò)的正常使用沒有不良的影響,但是又會對其中存在一些安全威脅進行防護,保證信息數(shù)據(jù)的安全傳播,具有比較良好的保障作用。對于校園網(wǎng)絡(luò)中流傳的不健康信息應(yīng)該利用信息過濾技術(shù)與監(jiān)管技術(shù)進行雙向管理,控制學生的訪問,對不良信息進行及時的清理。
2.2校園內(nèi)部網(wǎng)絡(luò)安全技術(shù)的應(yīng)用管理措施
在校園網(wǎng)絡(luò)的運作中首先可以通過身份認證的形式提升其安全性能,比如學生成績數(shù)據(jù)庫或者課程設(shè)置數(shù)據(jù)庫的訪問需通過嚴謹?shù)纳矸菡J證才能進入。具體的方法可以采取令牌認證或者Kerberos等技術(shù),第一種方式屬于比較專業(yè)的身份認證的服務(wù)器類型,對網(wǎng)絡(luò)用戶的訪問進行管理,按照用戶在登陸中產(chǎn)生的PIN來對內(nèi)部的計算機網(wǎng)絡(luò)數(shù)據(jù)進行查找,根據(jù)令牌的Key來對用戶的合法性進行分析,身份驗證比較嚴密。第二種方法就是一個第三方的系統(tǒng)加密技術(shù),應(yīng)用也比較廣泛。另外,還可以通過設(shè)置訪問權(quán)限進行網(wǎng)絡(luò)安全管理,對不同的網(wǎng)絡(luò)用戶設(shè)置不同的使用權(quán)限,比如校園網(wǎng)絡(luò)信息的只讀或者修改、讀寫等。網(wǎng)絡(luò)安全技術(shù)能夠利用信息層與網(wǎng)絡(luò)層加強對使用者的管理,信息層可以使用Cookie機制,在網(wǎng)絡(luò)層則可以使用RADIUS,主要對網(wǎng)絡(luò)實行Filter形式的訪問限制。
3結(jié)語
當前階段網(wǎng)絡(luò)計算機技術(shù)獲得了很大的發(fā)展,校園網(wǎng)絡(luò)的普及也更加快速,在現(xiàn)階段的校園建設(shè)中確保校園網(wǎng)絡(luò)的安全成為了需要重點關(guān)注的問題之一,校園中網(wǎng)絡(luò)用戶很多,而且所涉及到的網(wǎng)絡(luò)操作各不相同,統(tǒng)一管理起來相當?shù)挠须y度,相關(guān)安全技術(shù)的使用可以對校園網(wǎng)絡(luò)運行狀況進行實時的監(jiān)測,能夠提升網(wǎng)絡(luò)的安全程度,為校園網(wǎng)絡(luò)的安全應(yīng)用提供保障。
參考文獻
[1]張予祥,占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案[J].農(nóng)機化研究,2005,06:238-240.
[2]黃健陽.網(wǎng)絡(luò)安全技術(shù)在中職校園網(wǎng)中的應(yīng)用[J].信息與電腦(理論版),2013,07:139-140.
【論文摘要】:越來越多高校采用無線校園網(wǎng)絡(luò)這一先進網(wǎng)絡(luò)技術(shù),其安全性問題是普遍高校比較關(guān)注的,著重對無線校園網(wǎng)絡(luò)的安全性問題進行探索和研究。
隨著無線技術(shù)的不斷成熟和普及,無線網(wǎng)絡(luò)在全球范圍內(nèi)的應(yīng)用已經(jīng)成為一種趨勢。在我國,越來越多的學校開始在校園構(gòu)建和鋪設(shè)無線網(wǎng)絡(luò)。無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用,對學校的教學模式、教學理念及教學管理產(chǎn)生了深遠的影響,也使學校教師、學生的學習、生活方式產(chǎn)生了積極的變化。 根據(jù)教育部的調(diào)查顯示,目前我國15.1%的高校建有無線校園網(wǎng),同時有36.2%的高校計劃建設(shè)無線校園網(wǎng)。針對突飛猛進的無線校園組網(wǎng)計劃,有專家表示,無線校園是未來校園信息化的發(fā)展方向。
一、何謂無線局域網(wǎng)
無線局域網(wǎng)(Wireless Local Area Network,縮寫為“WLAN”)是高速發(fā)展的現(xiàn)代無線通信技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用,是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣,基于802.1標準的無線網(wǎng)絡(luò)在空氣中傳播射頻信號,在信號范圍內(nèi)的無線客戶端都可以接受到數(shù)據(jù),為通信的移動化、個人化和多媒體應(yīng)用提供了實現(xiàn)的手段。
二、傳統(tǒng)有線網(wǎng)絡(luò)面臨的問題
隨著校園網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)應(yīng)用不斷增加,網(wǎng)絡(luò)已經(jīng)成為老師和學生獲得信息的主要手段之一,校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴充到幾千用戶甚至幾萬用戶,越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署,網(wǎng)絡(luò)變得前所未有的重要,細心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問題:
(1)校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限,而且使用頻繁,人們?yōu)榱松暇W(wǎng)不得不在這些地點之間奔波;
(2)計算機設(shè)備較多,其中,筆記本數(shù)目也在逐步增加。在這種情況下,全部用有線網(wǎng)連接終端設(shè)施,從布線到使用都會極不方便;
(3)有的教室主體結(jié)構(gòu)是大開間布局,地面和墻壁已經(jīng)施工完畢,若進行網(wǎng)絡(luò)應(yīng)用改造,埋設(shè)纜線工作量巨大,而且學生上課時的位置不是很固定,導致信息點的放置也不能確定,這樣,構(gòu)建一個有線局域網(wǎng)絡(luò)就會面對各種不便;
(4)高校通常會有幾個在地理分布上并不集中的分校區(qū),用有線光纜連接校園網(wǎng)工程復雜、成本極高。而使用無線網(wǎng)絡(luò),無論是在教學樓、辦公樓、學生宿舍或者其他校區(qū)都可以實現(xiàn)全方位的無線上網(wǎng)。這是無線網(wǎng)絡(luò)在校園中的發(fā)展趨勢。
三、無線網(wǎng)絡(luò)的特點與優(yōu)勢
1、移動性強。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛,能夠使學習遠離教室,可以在網(wǎng)絡(luò)覆蓋的范圍內(nèi)的任何位置上網(wǎng)。無線網(wǎng)絡(luò)完全支持自由移動,持續(xù)連接,實現(xiàn)移動辦公。
2、帶寬很寬,適合進行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達11Mbps數(shù)據(jù)速率,而標準802.11g無線網(wǎng)速提升五倍,其數(shù)據(jù)傳輸率將達到54Mbps,充分滿足校園網(wǎng)用戶對網(wǎng)速的要求.
3、有較高的安全性和較強的靈活性
由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術(shù),使得其高度安全可靠;無線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動主機相當容易。
4、維護成本低,無線網(wǎng)絡(luò)盡管在搭建時投入成本高些,但后期維護方便,維護成本比有線網(wǎng)絡(luò)低50%左右。
四、無線網(wǎng)絡(luò)存在的安全問題
在無線網(wǎng)絡(luò)的實際使用中,有可能遇到的威脅主要包括以下幾個方面
1、 信息重放
在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權(quán)客戶端和AP進行雙重欺騙,進而對信息進行竊取和篡改。
2、WEP破解
現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量,最快可以在兩個小時內(nèi)攻破WEP密鑰。
3、網(wǎng)絡(luò)竊聽
一般說來,大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解(讀取)通信。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
4、MAC地址欺騙
通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。
5、拒絕服務(wù)
攻擊者可能對AP進行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴重的攻擊方式。此外,對移動模式內(nèi)的某個節(jié)點進行攻擊,讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
五、無線網(wǎng)絡(luò)的安全防范措施
為了保護無線網(wǎng)路免于攻擊入侵的威脅,用戶主要應(yīng)該在提高使用的安全性、達成通信數(shù)據(jù)的保密性、完整性、使用者驗證及授權(quán)等方面予以改善,實現(xiàn)最基本的安全目的。
1、 規(guī)劃天線的放置,掌控信號覆蓋范圍。要部署封閉的無線訪問點,第一步就是合理放置訪問點的天線,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外。部署了無線網(wǎng)絡(luò)之后,應(yīng)該用可移動的無線設(shè)備徹底的勘測信號覆蓋情況,并反映在學校的網(wǎng)絡(luò)拓撲圖里。
2、 使用WEP,啟用無線設(shè)備的安全能力。
保護無線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密,通過簡單的設(shè)置A P 和無線網(wǎng)卡等設(shè)備, 就可以啟用W E P加密。無線加密協(xié)議(WEP)是對無線網(wǎng)絡(luò)上的流量進行加密的一種標準方法。雖然WEP 加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設(shè)置不小的障礙, 有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產(chǎn)品,交付設(shè)備時關(guān)閉了WEP 功能。但一旦采用這種做法,黑客就能立即訪問無線網(wǎng)絡(luò)上的流量,因為利用無線嗅探器就可以直接讀取數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認證服務(wù)為WEP 自動分配密鑰。另外一個必須注意的問題就是用于標識每個無線網(wǎng)絡(luò)的SSID,在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID 更換為自定義的S S I D ?,F(xiàn)在的A P 大部分都支持屏蔽SSID 廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
3、 變更SSID 及禁止SSID 廣播。服務(wù)集標識符(SSID)是無線訪問點使用的識別字符串,客戶端利用它就能建立連接。該標識符由設(shè)備制造商設(shè)定,每種標識符使用默認短語,如101 就是3Com 設(shè)備的標識符。倘若黑客知道了這種口令短語,即使未經(jīng)授權(quán),也很容易使用無線服務(wù)。對于部署的每個無線訪問點而言,要選擇獨一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標識符。這樣網(wǎng)絡(luò)仍可使用,但不會出現(xiàn)在可用網(wǎng)絡(luò)列表上。
4、 禁用DHCP。對無線網(wǎng)絡(luò)而言,這很有意義。如果采取這項措施,黑客不得不破譯用戶的IP 地址、子網(wǎng)掩碼及其它所需的TCP/IP 參數(shù)。無論黑客怎樣利用公司的訪問點,他仍需要弄清楚IP 地址。
5、 禁用或改動SNMP 設(shè)置。如果公司的訪問點支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用S N M P 獲得有關(guān)公司網(wǎng)絡(luò)的重要信息。
6、 使用訪問列表。為了進一步保護無線網(wǎng)絡(luò),應(yīng)使用訪問列表,如果可能的話。不是所有的無線訪問點都支持這項特性,但如果公司實施的網(wǎng)絡(luò)支持,就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議(TFTP) ,定期下載更新的列表,以避免管理員必須在每臺設(shè)備上使這些列表保持同步的棘手問題。
參考文獻:
[1]張錦.無線局域網(wǎng)IEEE802.11.現(xiàn)代圖書情報技術(shù)
[2]張俊平.無線網(wǎng)絡(luò)在校園建設(shè)網(wǎng)絡(luò)中的應(yīng)用.學術(shù)研究
關(guān)鍵詞:校園一卡通;系統(tǒng)設(shè)計;網(wǎng)絡(luò)安全
引言
校園一卡通主要是依靠校園網(wǎng)來實現(xiàn)數(shù)據(jù)的傳輸,集校區(qū)內(nèi)公眾場合身份識別、商務(wù)收費于一體。校園一卡通系統(tǒng)在設(shè)計的過程中要秉承創(chuàng)新、可操作性強、安全且可靠等特性。現(xiàn)階段,校園一卡通的設(shè)計集合國內(nèi)、外最先進的技術(shù)與產(chǎn)品,時代性和預見性十分顯著,而且還預留了擴展接口,這對數(shù)字化校園的可持續(xù)發(fā)展來說意義十分重大。筆者就校園一卡通系統(tǒng)設(shè)計目標、系統(tǒng)整體架構(gòu)、主要業(yè)務(wù)流程進行介紹,并就其網(wǎng)絡(luò)安全體系展開深入淺出的分析,旨在將校園一卡通系統(tǒng)打造成新一代數(shù)字化的一卡通系統(tǒng),實現(xiàn)通信傳輸網(wǎng)絡(luò)化、管理結(jié)算自動化、信息資源數(shù)字化以及用戶終端智能化,從而更好地為教育管理改革服務(wù)。
1校園一卡通系統(tǒng)設(shè)計目標
1.1統(tǒng)一校園信息化標準
統(tǒng)一校園信息化標準就是要針對在校師生及相關(guān)組織機構(gòu),建立健全統(tǒng)一的信息化標準,并依托校園網(wǎng)讓用戶能實時共享公共信息,這樣有助于推動校園信息與數(shù)字化校園的規(guī)范化管理。
1.2建立管理規(guī)范化的校園基礎(chǔ)數(shù)據(jù)總平臺
通過對校園一卡通系統(tǒng)的優(yōu)化和升級,目的在于逐漸建立健全校園基礎(chǔ)數(shù)據(jù)總平臺,推動校園管理進一步規(guī)范化,并成為一卡通所應(yīng)用的商務(wù)管理、身份識別管理、銀行轉(zhuǎn)賬等相關(guān)應(yīng)用子系統(tǒng)開發(fā)建立的基礎(chǔ),確保該系統(tǒng)具有一定的可擴充性。
1.3實現(xiàn)校園現(xiàn)行運行系統(tǒng)的互通
通過校園一卡通管理平臺系統(tǒng)預留的擴展接口,實現(xiàn)現(xiàn)行運行系統(tǒng)的互通及數(shù)字資源在特定范圍內(nèi)的共享,全面反映學校相關(guān)部門運作情況,為學校領(lǐng)導重大決策提供理論支持。
1.4為持卡人理財提供方便
通過該管理平臺,持卡人能夠動態(tài)掌握校園卡的使用情況,比如電子錢包數(shù)據(jù)等,從而為持卡人理財提供一定的方便。一般來講,該卡片內(nèi)的電子錢包能夠在學校所有消費網(wǎng)點使用。
1.5具有持卡人身份識別功能
也就是說,校園一卡通可以替代學校范圍內(nèi)各類身份識別的所有證件,比如借書證、上機證。當持有校園一卡通時,可以實現(xiàn)和教務(wù)管理系統(tǒng)的實時對接,可以直接到學校醫(yī)院進行掛號診治,可以出入學生公寓、教學樓、圖書閱覽室等需要身份識別的公共空間及生活設(shè)施的使用。
2校園一卡通系統(tǒng)整體架構(gòu)
2.1校園一卡通系統(tǒng)整體架構(gòu)
現(xiàn)階段,金融消費類子系統(tǒng)、信息查詢類子系統(tǒng)是校園一卡通的兩大組成部分。其中,前者側(cè)重于校園一卡通專用網(wǎng),后者傾向于以校園網(wǎng)為架構(gòu),并通過互聯(lián)網(wǎng)、網(wǎng)絡(luò)設(shè)備及終端等,將校園網(wǎng)絡(luò)顯著作用都利用起來,并依托卡片完善、優(yōu)化、升級信息化管理系統(tǒng),確保其先進性。一卡通系統(tǒng)平臺與應(yīng)用子系統(tǒng)是校園一卡通系統(tǒng)兩大重要構(gòu)件。后者又細分為身份認證類子系列、交易類子系列、綜合業(yè)務(wù)類子系統(tǒng)以及自助服務(wù)類子系列。在結(jié)構(gòu)設(shè)計方面,校園一卡通系統(tǒng)對聯(lián)網(wǎng)與脫網(wǎng)的兩用性與兼容性均有全面考慮。實時與非實時通訊是現(xiàn)行校園一卡通系統(tǒng)運行的兩種主要模式。通過筆者多年的工作實踐經(jīng)驗發(fā)現(xiàn),倘若要打造一個可靠、安全的校園一卡通系統(tǒng),以上這兩種運行模式都要予以考慮,并確保二者相互融合,實現(xiàn)聯(lián)網(wǎng)時可以使用。聯(lián)網(wǎng)的狀態(tài)下,依托聯(lián)機通訊,校園一卡通系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)的交換與轉(zhuǎn)接。沒有網(wǎng)絡(luò)時,校園一卡通系統(tǒng)也不能罷工。也就是在校園網(wǎng)絡(luò)被襲擊或出現(xiàn)其他原因引起的無法預料方面的故障時,校園一卡通系統(tǒng)支付識別的卡片與終端設(shè)備都不能停止運行。筆者要提醒注意的是,系統(tǒng)終端設(shè)備均要自動適應(yīng)以上兩種情況。
2.2校園一卡通主要業(yè)務(wù)角色
實質(zhì)上,校園一卡通管理中心扮演的是一個代收代付的中間環(huán)節(jié),校園一卡通管理中心是幫助銀行進行資金流程管理的,而非結(jié)算單位。
3校園一卡通網(wǎng)絡(luò)安全體系分析
校園一卡通的應(yīng)用以傳統(tǒng)校園網(wǎng)絡(luò)為基礎(chǔ)。它不僅可以實現(xiàn)校內(nèi)各院系、部門的相互聯(lián)系,更為關(guān)鍵的是通過一卡通的應(yīng)用,還要與銀行相互關(guān)聯(lián)起來。一般情況下,校園各院系部門的計算機是和主要網(wǎng)絡(luò)互相連通的。所以從這個角度來說,校園內(nèi)的網(wǎng)絡(luò)成了一個大型的局域網(wǎng)絡(luò),連接渠道為校園骨干網(wǎng)絡(luò)。在這種情況下,一卡通網(wǎng)絡(luò)的應(yīng)用就有了變化,即成了一個由校園數(shù)據(jù)中心外連互聯(lián)網(wǎng)絡(luò)和專有網(wǎng)絡(luò)。依托校內(nèi)骨干網(wǎng)絡(luò),數(shù)據(jù)可以下連到一卡通網(wǎng)絡(luò)終端組成的三層互聯(lián)的網(wǎng)絡(luò)?;诖吮尘?,對校園一卡通可能面臨的安全問題進行簡要探析。
3.1鏈路傳輸風險
依托校園一卡通的終端和校園局域網(wǎng)絡(luò),學校相關(guān)部門都可以實現(xiàn)與外部網(wǎng)絡(luò)進行數(shù)據(jù)交換的活動。眾所周知,校園一卡通的數(shù)據(jù)在通過互聯(lián)網(wǎng)進行傳輸?shù)臅r候,都會存在一定的秘密信息或數(shù)據(jù)。所以,當其內(nèi)容在進行傳輸?shù)臅r候,也要有所注意。再加上網(wǎng)絡(luò)安全一方面包是黑客竊取內(nèi)網(wǎng)數(shù)據(jù)信息或者攻擊,甚至直接破壞,另一方面還會出現(xiàn)將竊聽裝置安裝在傳輸線路上的可能,通過竊取核心信息,并進行破解、識別,最終導致泄密或者對數(shù)據(jù)進行破壞??偟膩碚f,這些均會對校園一卡通的網(wǎng)絡(luò)安全造成重大影響。所以,筆者認為,數(shù)據(jù)鏈路傳輸上一代要進行加密保護,必要時實行數(shù)字簽名或者其他認證技術(shù),只有這樣才能確保校園一卡通數(shù)據(jù)通過互聯(lián)網(wǎng)傳輸時的安全性、完整性及真實性。
3.2網(wǎng)絡(luò)結(jié)構(gòu)風險
首先,Internet公網(wǎng)互聯(lián)的影響。當前,數(shù)字化學校的建設(shè)腳步越來越快,校內(nèi)網(wǎng)已經(jīng)與Internet公網(wǎng)實現(xiàn)了互聯(lián)。我們都知道,Internet公網(wǎng)不僅具有開發(fā)性,而且十分自由,用于在使用Internet公網(wǎng)時可以十分暢快。但與此同時,其也在一定程度上使得校內(nèi)網(wǎng)絡(luò)受到很多干擾。一般來說,校內(nèi)網(wǎng)絡(luò)中,尤其是校園一卡通或辦公系統(tǒng)的各類應(yīng)用都具有一定的隱私性。倘若內(nèi)部網(wǎng)絡(luò)機器安全被影響,則會直接導致處于同一網(wǎng)絡(luò)中的相關(guān)系統(tǒng)受到牽連。因此,筆者認為對于校內(nèi)網(wǎng)絡(luò)系統(tǒng),有必要建立一定的安全防范機制。其次,內(nèi)部局域網(wǎng)的影響。相關(guān)數(shù)據(jù)顯示,因內(nèi)部網(wǎng)絡(luò)遭到侵犯而引起的網(wǎng)絡(luò)安全攻擊事件率達到70%。尤其是內(nèi)部工作人員將網(wǎng)絡(luò)結(jié)構(gòu)泄密給競爭者,抑或是內(nèi)部工作人員故意破壞或損毀系統(tǒng)程序,抑或是安全管理員將用戶名及口令泄露出去等,這些都會給網(wǎng)絡(luò)的安全性帶來極大的隱患。再次,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)會帶來一些安全隱患。倘若校園一卡通系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間互相隔離,相互不存在一定的安全舉措,極易使得內(nèi)部網(wǎng)絡(luò)遭到外部網(wǎng)絡(luò)的侵害。
3.3系統(tǒng)安全風險
所謂系統(tǒng)安全風險主要是來自應(yīng)用系統(tǒng)與網(wǎng)絡(luò)操作系統(tǒng)的安全?,F(xiàn)階段,不管是哪一種操作系統(tǒng)或應(yīng)用系統(tǒng)均存在或多或少的安全漏洞,而這些安全漏洞不引起重視的話很容易產(chǎn)生安全事故。
4應(yīng)用系統(tǒng)安全風險
一般情況下,應(yīng)用系統(tǒng)不是固定不變的,而是實時變化的。因此,這就要求我們熟悉掌握各類應(yīng)用系統(tǒng),了解其安全性,并針對性通過某些安全舉措進行避免或解決,從而把安全風險降到最低。筆者認為,配備防火墻是十分有效的一種的安全防范舉措。防火墻通過高標準的安全策略將內(nèi)外部網(wǎng)絡(luò)進行隔離訪問,既能單項又能雙向,還能針對高層協(xié)議進行十分精密的訪問限制。由于高校網(wǎng)絡(luò)不僅涉及到內(nèi)部,而且還有外部網(wǎng)絡(luò),所以在進行防火墻應(yīng)用相關(guān)配套工作時,內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的安全防護機制均要考慮到,缺一不可??偠灾殡S著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,智能卡技術(shù)也在日益創(chuàng)新與進步。在這一背景和形勢下,校園一卡通系統(tǒng)從整體設(shè)計到執(zhí)行實施,會變得越來越智能和完善,并將廣泛應(yīng)用于學校、社區(qū)、醫(yī)療以及交通等人類生產(chǎn)生活活動的方方面面。而在系統(tǒng)網(wǎng)絡(luò)安全性方面,一卡通智能管理系統(tǒng)也將邁向更高水平,比如采用人臉識別、指紋識別等較為先進的安全機制,幫助智能系統(tǒng)安全系數(shù)和服務(wù)人們的水平變得更高。
參考文獻:
[1]吳宇婷.基于NFC技術(shù)的校園手機一卡通系統(tǒng)設(shè)計及應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2017(04).
[2]張晨.西安科技大學高新學院校園一卡通系統(tǒng)的設(shè)計與實現(xiàn)[D].西安科技大學,2016(01).
[3]高文博.基于CPU卡的“校園一卡通”系統(tǒng)在高職院校的應(yīng)用與實現(xiàn)[D].蘭州理工大學,2017(06).
[關(guān)鍵詞]校園網(wǎng)絡(luò);安全分析;防范措施
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0355-02
引言
校園網(wǎng)是高校教育信息化的重要基礎(chǔ)設(shè)施,在高校的教學、科研、管理和生活服務(wù)中起著越來越重要的作用。高等院校在不斷擴大校園建設(shè)、加強辦學條件的同時,為適應(yīng)現(xiàn)代教育的發(fā)展和要求,也逐步開始自身校園網(wǎng)的建設(shè)和應(yīng)用。與此對應(yīng),校園網(wǎng)的安全面臨著巨大的挑戰(zhàn),如何管理好校園網(wǎng),保障校園網(wǎng)安全、穩(wěn)定的運行,是各院校校園網(wǎng)管理人員必須認真面對的問題。
1 校園網(wǎng)絡(luò)安全的現(xiàn)狀分析
1.1 采用開放的網(wǎng)絡(luò)環(huán)境
由于教學和科研的特點決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的,管理也是較為寬松的。在企業(yè)網(wǎng)環(huán)境中可以限制Web瀏覽站點和用戶的網(wǎng)絡(luò)流量,甚至限制外部發(fā)起的連接不允許進入防火墻,但是在校園網(wǎng)環(huán)境下通常是行不通的,至少在校園網(wǎng)的主干不能實施過多的限制,否則一些新的應(yīng)用、新的技術(shù)很難再校園網(wǎng)內(nèi)部實施。面對這種開放的網(wǎng)絡(luò)環(huán)境,安全管理的難度很大,面臨的挑戰(zhàn)也很突出,在所有的局域網(wǎng)中校園網(wǎng)所面對的環(huán)境最為復雜。
1.2 存在操作系統(tǒng)或軟件漏洞
由于校內(nèi)終端用戶對計算機認知能力存在差異,有些用戶不知如何為系統(tǒng)更新安全補丁,有些則是沒有隨時更新補丁的習慣,造成校園內(nèi)大部分計算機系統(tǒng)都存在不同程度的安全漏洞,而目前網(wǎng)絡(luò)上的很多新型病毒和攻擊手段大部分都是針對操作系統(tǒng)漏洞攻擊并傳染的;另外校內(nèi)師生在網(wǎng)上隨意下載的軟件中可能攜帶隱藏的木馬、后門等惡意代碼,導致系統(tǒng)運行緩慢,這些軟件也可能被攻擊者所利用。
1.3 擁有活躍的用戶群體
校園網(wǎng)用戶的主體是高校學生,這個年輕群體的上網(wǎng)行為相當活躍,由之帶來的網(wǎng)絡(luò)風險也十分嚴峻。一方面若學生瀏覽不良網(wǎng)站、下載經(jīng)過偽裝的惡意軟件等網(wǎng)絡(luò)行為都可能將木馬、蠕蟲、病毒等程序帶人校園網(wǎng),并且大多數(shù)學生不懂如何防范病毒和處理病毒,校園網(wǎng)一旦受到安全威脅,能很快地在校園網(wǎng)內(nèi)蔓延,并且大面積出現(xiàn)相同的癥狀,嚴重時會造成校園網(wǎng)的癱瘓。另一方面學生對網(wǎng)絡(luò)新技術(shù)具有強烈的好奇心,為了滿足好奇心而勇于嘗試在網(wǎng)上學到的各種攻擊技術(shù),對網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)進行攻擊,給校園網(wǎng)的安全工作增加了難度。
1.4 網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為
校園網(wǎng)與互聯(lián)網(wǎng)相連,在享受方便快捷的同時,也面臨著遭遇攻擊的風險。借助網(wǎng)絡(luò)上泛濫的“傻瓜式”的攻擊軟件,外網(wǎng)非法用戶即使不具備任何計算機技術(shù)也可對校園網(wǎng)進行肆無忌憚的攻擊。例如通過注入漏洞檢測工具對WEB服務(wù)器進行數(shù)據(jù)庫注入式攻擊,造成學院網(wǎng)站主頁被篡改、數(shù)據(jù)被破壞等惡果。
1.5 校園網(wǎng)中的計算機系統(tǒng)管理比較復雜
校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復雜。學生宿舍中的電腦一般是學生自己花錢購買、自己維護。院系各個單位或者是統(tǒng)一采購,有技術(shù)人員負責維護或者是教師自助購買、沒有專人維護。在這種情況下,要求所有的端系統(tǒng)實施統(tǒng)一的安全策略(比如安裝防病毒軟件、設(shè)置可靠的口令)是非常困難的。由于沒有統(tǒng)一的資產(chǎn)安全管理和設(shè)備安全管理,出現(xiàn)安全問題后通常無法分清責任。更有些計算機甚至服務(wù)器系統(tǒng)建設(shè)完畢之后無人管理,甚至被攻擊者攻破作為攻擊的跳板,變成攻擊實驗床也無人察覺。
1.6 安全專項資金投入少和技術(shù)人員缺乏
大多數(shù)高職院校將經(jīng)費主要投入到校園網(wǎng)絡(luò)的規(guī)模建設(shè)上,往往對保證網(wǎng)絡(luò)安全的軟硬件設(shè)備不夠重視,未能架構(gòu)起行之有效的網(wǎng)絡(luò)安全體系。
網(wǎng)絡(luò)安全是當今較前沿的計算機技術(shù),需要較強的實踐能力和豐富的現(xiàn)場經(jīng)驗。高校一般沒有設(shè)置專門的網(wǎng)絡(luò)安全技術(shù)人員,現(xiàn)有的網(wǎng)絡(luò)管理人員多只具備組網(wǎng)管理技術(shù),卻缺乏處理網(wǎng)絡(luò)安全風險的技術(shù)與經(jīng)驗,難以應(yīng)付復雜多變的網(wǎng)絡(luò)安全問題。
2 校園網(wǎng)絡(luò)安全防護解決方案設(shè)計及對策
2.1 網(wǎng)絡(luò)安全設(shè)備的使用
2.1.1 防火墻
網(wǎng)絡(luò)防火墻是指設(shè)置在計算機網(wǎng)絡(luò)之間的一道隔離裝置,可以隔離兩個或者多個網(wǎng)絡(luò)、限制網(wǎng)絡(luò)互訪,以保護網(wǎng)絡(luò)用戶的安全。為了勝任安全防護的重任,防火墻自身具有非常強的抗攻擊能力和免疫力,網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)包都必須經(jīng)過防火墻過濾,只有符合相應(yīng)安全策略的數(shù)據(jù)包才可以通過防火墻。
基于以上特性,防火墻一般部署在內(nèi)網(wǎng)與外網(wǎng)之間,在網(wǎng)絡(luò)邊界處充當一個檢查點,以此作為安全保障體系的第一道防線,防御黑客攻擊。從性能方面考慮,首選硬件防火墻,由于硬件防火墻的硬件和軟件都單獨進行設(shè)計,由專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包,同時采用專門的操作系統(tǒng)平臺,從而避免通用操作系統(tǒng)的安全性漏洞。并且其對軟硬件有特殊要求,因此擁有高吞吐量、安全與速度兼顧的優(yōu)點。但是選購硬件防火墻時需要注意的是,盡管許多網(wǎng)絡(luò)防火墻都號稱是硬件防火墻,并且硬件連同軟件一起銷售,但并沒有自己獨立的操作系統(tǒng),只是基于x86計算機架構(gòu)和開放的Linux/UNIX操作系統(tǒng),以及一套自己開發(fā)的網(wǎng)絡(luò)防火墻軟件,其從根本意義上講,仍然是軟件防火墻。
在校園網(wǎng)入口處部署防火墻并不能發(fā)現(xiàn)和防止校園網(wǎng)內(nèi)部針對核心服務(wù)器發(fā)起的攻擊,因此若條件允許,還可以建立多級防火墻來進一步保護校內(nèi)的應(yīng)用服務(wù)器群和數(shù)據(jù)庫服務(wù)器群。
2.1.2 入侵防御系統(tǒng)
隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,傳統(tǒng)的防火墻只能對三層或四層進行檢查,不能檢測應(yīng)用層的內(nèi)容,因此單純通過部署防火墻已經(jīng)無法滿足校園網(wǎng)的安全需要。入侵防御系統(tǒng)(IPS)的設(shè)計基于一種全新的思想和體系架構(gòu),工作于串聯(lián)方式,采用ASIC等硬件設(shè)計技術(shù)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲,檢測引擎綜合特征檢測、異常檢測、DoS/DDoS檢測、緩沖區(qū)溢出檢測等多種手段,并使用硬件加速技術(shù)進行深層數(shù)據(jù)包分析處理,能高效、準確的檢測和防御已知或未知的攻擊,并實施多種響應(yīng)方式,如丟棄數(shù)據(jù)包、終止會話、修改防火墻策略、實時生成警報和日志記錄等,突破了以往IDS只能檢測不能防御入侵的局限性,提供了一個較完整的入侵防護解決方案。
傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施,而絕大多數(shù)IDS系統(tǒng)都是被動的,不是主動的。也就是說,在攻擊實際發(fā)生之前,它們往往無法預先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御,其設(shè)計宗旨是預先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。
IPS之所以能夠?qū)崿F(xiàn)實時檢查和阻止入侵,在于IPS擁有數(shù)目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發(fā)現(xiàn)之后,IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路,可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用二層至七層的漏洞發(fā)起攻擊,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。
IPS常常以串聯(lián)方式部署在出口處,抵御來自外網(wǎng)的入侵威脅。若來自校園網(wǎng)內(nèi)部的入侵風險也較高,可以在靠近服務(wù)器群的位置處布置IPS,以增強校園網(wǎng)整體入侵防御的能力。
根據(jù)我們的使用經(jīng)驗,IPS最好分階段、有步驟地部署實施。
第1階段:檢測,但不防御。
IPS以串聯(lián)方式工作,只進行檢測,不阻斷數(shù)據(jù)流,但它會將不符合協(xié)議的數(shù)據(jù)包丟棄,確保通過的數(shù)據(jù)包都是合乎規(guī)范的,是插入和規(guī)避類攻擊無從得手。在這個階段IPS的主要任務(wù)是適應(yīng)環(huán)境,在保護校園網(wǎng)絡(luò)和應(yīng)用的同時不會產(chǎn)生新的麻煩,同時也是管理員熟悉并了解IPS檢測機制的一個過程。
第2階段:檢測,并有選擇地防御。
當串聯(lián)方式被證明合適后,管理員就可以根據(jù)報警日志確定入侵檢測策略的有效性,先選擇一些最嚴重的報警,確保沒有誤報,然后對該類型的特征實施阻斷相應(yīng)。在此階段,IPS檢測攻擊檢測共計并有選擇的防御,只將有明顯危害的攻擊流阻斷。
第3階段:檢測,并全面防御。
在確認了IPS的有效性并且安全策略經(jīng)過不斷的調(diào)整優(yōu)化之后,管理員就可以為所有入侵特征設(shè)置響應(yīng)方式,從而使IPS進入全面的防御工作模式,一旦發(fā)現(xiàn)有害數(shù)據(jù)包就將其丟棄并阻斷隨后的數(shù)據(jù)流。
2.2 構(gòu)建全方位的漏洞與病毒防護體系
2.2.1 架設(shè)微軟更新服務(wù)器
校園網(wǎng)內(nèi)絕大多數(shù)電腦都是使用了微軟的操作系統(tǒng),而目前網(wǎng)絡(luò)上相當比例的惡意攻擊都是在利用操作系統(tǒng)的設(shè)計缺陷展開的,這些缺陷或錯誤可以被不法者或電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,進而會威脅到整個校園網(wǎng)的安全。因此及時更新操作系統(tǒng)的漏洞補丁,已成為提高系統(tǒng)安全性的主要手段。
通常系統(tǒng)自帶的Windows Update功能都是自動連接到MicrosoftUpdate來下載更新補丁,但是在校園網(wǎng)環(huán)境下,會帶來以下問題:
(1)校園網(wǎng)客戶端數(shù)量眾多,更新操作會占用學校較多的出口帶寬資源。
(2)部分電腦存在平時不接入互聯(lián)網(wǎng)的情況,無法及時獲取最新的漏洞補丁。
(3)部分使用者不重視補丁程序的重要性,即使出現(xiàn)更新提示,也不主動更新。
基于以上原因,有必要在校內(nèi)建設(shè)專用的微軟更新服務(wù)器。目前微軟提供免費的補丁分發(fā)方案WSUS(Windows Server Update Services),在Windows Server 2003平臺下需要安裝WSUS 3.0 sp2來添加該項功能,在Windows Server 2008和Windows Server 2012平臺下,已經(jīng)內(nèi)置了WSus組件功能。該方案支持微軟公司全部產(chǎn)品的更新,包含Windows、Office、SQL Server等內(nèi)容。通過WSUS這個內(nèi)部網(wǎng)絡(luò)中的Windows升級服務(wù),所有Windows更新都集中下載到內(nèi)部網(wǎng)的WSUS服務(wù)器中,而校園網(wǎng)中的客戶機通過WSUS服務(wù)器來得到更新。這在很大程度上節(jié)省了網(wǎng)絡(luò)資源,避免了外部網(wǎng)絡(luò)流量的浪費并且提高了內(nèi)部網(wǎng)絡(luò)中計算機更新的效率。此外,還能通過制訂相應(yīng)更新策略來控制客戶端的更新方式,以此達到強制更新的目的。
通常情況是在校園網(wǎng)環(huán)境中部署一臺WSUS服務(wù)器,當網(wǎng)絡(luò)規(guī)模很大且一臺WSUS服務(wù)器無法滿足需求時,可以使用多臺服務(wù)器進行補丁分發(fā)工作。整個部署分服務(wù)器端和客戶端。服務(wù)器端配置不難,但需按照校園網(wǎng)內(nèi)安裝的微軟產(chǎn)品數(shù)量預留足夠的硬盤空間,此外還需做好補丁的審批策略??蛻舳擞袃煞N部署方式,一種是域環(huán)境下的組策略方式進行統(tǒng)一自動部署,另一種是非域環(huán)境下修改該機注冊表或組策略。
2.2.2 建立網(wǎng)絡(luò)防病毒體系
由于計算機病毒形式及傳播途徑的多樣化,校園網(wǎng)的防病毒工作再也不能是簡單的、單臺計算機病毒的檢測及清除,而是需要建立多層次的、立體的網(wǎng)絡(luò)病毒防護體系。確保各終端計算機安裝網(wǎng)絡(luò)版防病毒軟件的客戶端,并及時更新病毒庫;制定詳細的反病毒策略,定期對網(wǎng)絡(luò)服務(wù)器及工作站進行掃描監(jiān)測;通過管理端設(shè)置和維護全校整體病毒防護策略,并對網(wǎng)絡(luò)病毒情況進行及時的監(jiān)控與報告。
在選擇網(wǎng)絡(luò)防病毒解決方案時可以考慮以下一些因素:
(1)擁有多種安裝平臺的客戶端。除了能提供最常見windows平臺,還能提供Mac、Linux等平臺,能提供32位及64位平臺。只有提供各種平臺的客戶端安裝程序,才能在校園網(wǎng)中做到真正意義上的全方位防護。
(2)擁有便捷的部署方式。針對校園內(nèi)各種不同用途的計算機,能給出多種簡便的部署方式,并且安裝好后零配置,用戶無需關(guān)心后續(xù)操作。
(3)功能強大的管理控制端。管理控制端必須擁有強大的集中式管理功能,能發(fā)現(xiàn)所管理客戶端存在的安全風險,能自動下發(fā)統(tǒng)一制定的安全策略,當發(fā)現(xiàn)大規(guī)模病毒爆發(fā),能及時給出警告。針對日常的管理,擁有詳細的報表及日志功能。
(4)技術(shù)上擁有領(lǐng)先功能。如智能型掃描引擎能在計算機空閑時工作;針對目前主流的虛擬環(huán)境,能防止在虛擬環(huán)境中同時掃描和更新。
(5)是否還附帶了其他便于管理的功能。有些產(chǎn)品除了提供防病毒、反間諜軟件、桌面防火墻、網(wǎng)絡(luò)準入控制等功能,還提供了軟、硬件資產(chǎn)管理和軟件分發(fā)功能,該功能對學校來說,能極大的幫助管理員減輕相應(yīng)的工作量。
3 結(jié)束語
校園網(wǎng)是一個復雜的綜合性系統(tǒng)工程,嚴格來說,絕對安全的校園網(wǎng)是不存在的。而完善的網(wǎng)絡(luò)安全策略是校園網(wǎng)網(wǎng)絡(luò)安全的前提,從計算機技術(shù)方面對網(wǎng)絡(luò)設(shè)備以及服務(wù)器進行合理的設(shè)置可以杜絕大多數(shù)的不安全因素,但是校園網(wǎng)內(nèi)部的安全事件時有發(fā)生,期望通過硬件或是軟件一勞永逸的解決校園網(wǎng)安全及管理問題是不現(xiàn)實的。在目前,唯有綜合運用防火墻、殺毒軟件等多項措施,互相配合,從管理上規(guī)范校園網(wǎng)的使用,才能實現(xiàn)一個安全的校園網(wǎng)絡(luò)環(huán)境,使其可靠、高效地為廣大師生服務(wù)。
參考文獻
[1]劉遠生,辛一,計算機網(wǎng)絡(luò)安全(第2版)[J],清華大學出版社,2009
[2]馬宜興,網(wǎng)絡(luò)安全與病毒防范(第5版)[J],上海交通大學出版社,2011
[3]周世杰,陳偉,羅緒成,計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)[J],高等教育出版社,2011
關(guān)鍵詞:學校;信息安全;網(wǎng)絡(luò)防范;保障措施
一、學校信息安全網(wǎng)絡(luò)防范的內(nèi)涵及特征
1.校園網(wǎng)絡(luò)安全的基本內(nèi)涵。校園網(wǎng)絡(luò)安全指的是在學校范圍內(nèi)對已經(jīng)接入互聯(lián)網(wǎng)的軟件、硬件、操作系統(tǒng)和相關(guān)數(shù)據(jù)庫實施的技術(shù)保護,從而保證它們不會被惡意攻擊或破壞。校園網(wǎng)絡(luò)由系統(tǒng)管理平臺、教學資源系統(tǒng)、學校管理系統(tǒng)、學生使用系統(tǒng)等部分組成。高中校園網(wǎng)絡(luò)主要用于教學信息,宣傳各種教研活動,以及對學生檔案、資料等進行管理。高中應(yīng)當采用有效的技術(shù)手段促進校園網(wǎng)絡(luò)的正常有效運行。2.校園網(wǎng)絡(luò)安全的基本特點。高中校園網(wǎng)主要以局域網(wǎng)和網(wǎng)站的形式存在,具有安全風險日益提高,抗風險能力弱,損失無法彌補等特點。高中校園網(wǎng)絡(luò)的信息安全主要維護系統(tǒng)平臺的安全,信息傳輸過程的安全,信息內(nèi)容的安全和對訪問權(quán)限進行設(shè)置。主要工作任務(wù)在于防止校園網(wǎng)系統(tǒng)出現(xiàn)崩潰或損壞等現(xiàn)象,設(shè)置好對不同權(quán)限用戶的訪問限制,有效對學生個人數(shù)據(jù)信息進行加密,切實保證信息的真實、有效、完整。由于高中校園網(wǎng)日漸龐大,傳輸量日漸增多,不僅要求高中校園網(wǎng)絡(luò)有較好的硬件設(shè)備,還要能根據(jù)學生的使用需求,為學生提供個性化的服務(wù),一旦校園網(wǎng)絡(luò)安全出現(xiàn)問題,不僅影響正常教學活動的開展,而且很可能使學生個人的學籍檔案、一卡通財務(wù)數(shù)據(jù)、招生報考信息等重要資料丟失,造成難以想象的嚴重后果。
二、學校信息安全網(wǎng)絡(luò)防范的現(xiàn)狀及問題
1.高中互聯(lián)網(wǎng)的建設(shè)漏洞。計算機接入互聯(lián)網(wǎng)的目的是為實現(xiàn)信息資源的共享。在資源共享的過程中,給高中校園網(wǎng)極大增加了不安全因素。為了有效的控制學生對互聯(lián)網(wǎng)的使用,使高中互聯(lián)網(wǎng)資源更有利的向教學方向傾斜,高中的校園網(wǎng)絡(luò)平臺在系統(tǒng)設(shè)計上加裝了更多的限制,這些限制代碼或指令使學校網(wǎng)絡(luò)平臺更加復雜,很有可能存在著未被發(fā)現(xiàn)的問題,如果這些問題被黑客發(fā)現(xiàn),就可能會對學校的網(wǎng)絡(luò)進行攻擊,輕則使整個網(wǎng)絡(luò)癱瘓,重則破壞教學數(shù)據(jù)信息。由于高中互聯(lián)網(wǎng)是多臺機器共用一根網(wǎng)線,只要一臺機器下載了病毒,那么很有可能相關(guān)多臺電腦都會受到牽連。2.病毒對校園網(wǎng)的攻擊。在上級教育主管部門的支持下,近年來高中校園網(wǎng)的硬件建設(shè)取得了較快的發(fā)展,但網(wǎng)絡(luò)安全技術(shù)仍沒有取得實質(zhì)性的進展,校園網(wǎng)絡(luò)發(fā)展的越快,存在的風險和問題也就越高。目前,我國高中校園網(wǎng)不少都沒有安裝防火墻或是防火墻的級別太低,一旦有病毒入侵就會給整個網(wǎng)絡(luò)帶來極大的安全隱患,而且會大量的消耗網(wǎng)絡(luò)資源,使高中校園網(wǎng)絡(luò)擁堵等問題頻發(fā)。特別是在校園共用電腦,由于缺乏有效的隔離措施,任意U盤的隨意使用,隨意安裝來路不明的軟件,這些行為都可能為校園網(wǎng)帶來病毒,而且病毒傳播的隱蔽性強,學校網(wǎng)絡(luò)管理人員不易察覺。這種情況常常導致校園網(wǎng)絡(luò)防不勝防,極大的影響了學生和教師的正常使用,而且使高中校園網(wǎng)絡(luò)中的硬件設(shè)備有驚人的淘汰率和故障維修率。3.硬件設(shè)施設(shè)備的陳舊。雖然近年來我國高中階段的計算機硬件設(shè)備取得了快速發(fā)展,但主要集中在補齊上而不是更新上。國家對高中的投入,主要傾向于沒有計算機設(shè)備或硬件設(shè)備短缺的學校,學校已有計算機設(shè)備往往要使用十年以上才能達到報廢期。學校主要由上級教育主管部門撥付絕大部分資金,學校自己再自籌部分資金解決校園網(wǎng)絡(luò)的建設(shè)問題。硬件設(shè)備的不足,更新?lián)Q代較慢,網(wǎng)絡(luò)建設(shè)過程上使用較低版本的校園網(wǎng)絡(luò)系統(tǒng)。這些問題常常導致高中的校園網(wǎng)絡(luò)處于半開放的狀態(tài),網(wǎng)絡(luò)中的數(shù)據(jù)丟失甚至成為了常見現(xiàn)象,在這種情況下,對校園網(wǎng)絡(luò)安全預警和有效防范更是無從談起。
三、學校信息安全網(wǎng)絡(luò)防范存在問題原因
高中校園信息安全網(wǎng)絡(luò)防范工作面臨著嚴峻的挑戰(zhàn),既有來自對高中網(wǎng)站的威脅,也有對校園網(wǎng)的應(yīng)用系統(tǒng)的威脅。一旦發(fā)生招生考試信息被篡改,校園財務(wù)、教務(wù)信息錯誤等問題,都會造成嚴重的后果。從高中信息安全的建設(shè)來看,高中自身在管理上存在的問題,是網(wǎng)絡(luò)安全防范缺失的重要原因。1.網(wǎng)絡(luò)安全意識淡薄。高中校園網(wǎng)絡(luò)管理者素質(zhì),管理者的技術(shù)水平,廣大師生是否有意識的圍護校園網(wǎng)絡(luò)安全,都對校園信息安全防范起到重要作用。遺憾的是,我國高中的校園網(wǎng)絡(luò)建設(shè)往往都是一次性建設(shè),一次性投入使用,學校及教育管理部門普遍對校園網(wǎng)絡(luò)安全不重視,認為學校不是部門,沒有必要在網(wǎng)絡(luò)安全上加大投入力度,學校能用于校園網(wǎng)的安全經(jīng)費更是十分有限。學校管理者認為只要能接入互聯(lián)網(wǎng)就可以,通常只注重網(wǎng)絡(luò)速度快不快,能不能使學校正常的教學活動順利進行。還有的校領(lǐng)導通常認為網(wǎng)絡(luò)安全只是技術(shù)部門的事,與學校的運行沒有太大的關(guān)系。殊不知,一旦出現(xiàn)了類似于招生考試報名泄露事件,學生一卡通財務(wù)數(shù)據(jù)被篡改等問題,后果甚至將是學校難以承擔的。2.學校網(wǎng)絡(luò)技術(shù)水平有限。目前,我國大多數(shù)高中的網(wǎng)絡(luò)安全工作都由學校自己維護,由于高中的技術(shù)實力相較大學等高等院校有較大差距,因此高中的校園網(wǎng)絡(luò)也只能維持在保證硬件不損壞的水平上。但是,在高中校園數(shù)據(jù)的傳輸是依托公共網(wǎng)絡(luò)實現(xiàn)的,高中校園數(shù)據(jù)有較大的被截獲的風險。在日常管理維護中,高中主要依靠的是計算機教師。這些教師忙于教學一線任務(wù),并非專業(yè)的計算機安全操作和管理員,他們只具備豐厚的理論知識,缺乏對計算機病毒的系統(tǒng)的研究,更無暇每天對校園網(wǎng)進行全天候監(jiān)測。臨時性的校園網(wǎng)絡(luò)安全管理人員也不具備相關(guān)的專業(yè)知識,不能對校園網(wǎng)絡(luò)進行合理的維護,發(fā)現(xiàn)問題時的處置方式也較為隨意,還有的校園網(wǎng)自建立起就沒有更新過病毒庫,沒有對校園網(wǎng)系統(tǒng)進行必要的升級,學校各班級的終端計算機的系統(tǒng)漏洞長期得不到更新的現(xiàn)象十分普遍。3.管理制度不完善。高中校園信息安全網(wǎng)絡(luò)防范不僅有技術(shù)層面的原因,在管理制度上也存在著較大的問題,沒能建立起有效的校園網(wǎng)絡(luò)使用和維護管理制度,缺乏有效的校園網(wǎng)絡(luò)監(jiān)督管理措施,不能有效的對相關(guān)的技術(shù)人員進行合理調(diào)配使用,校園網(wǎng)計算機使用無據(jù)可依,校園網(wǎng)的使用隨意性過大,有的班級為了防止出現(xiàn)網(wǎng)絡(luò)安全事故,長期將計算機與互聯(lián)網(wǎng)斷開,還有的班級在接入互聯(lián)的機器上隨意下載各種盜版軟件。而且,隨著高中大量學生不停的在使用公用計算機,使全校師生都遵守一項共同的校園網(wǎng)絡(luò)安全管理制度也變得越發(fā)困難,而且一旦出現(xiàn)網(wǎng)絡(luò)安全問題,也很難具體分清問題的源頭和責任,這使校園網(wǎng)絡(luò)安全防范工作變得更加困難。
四、保障學校信息安全的有效措施及對策
圍護高中校園網(wǎng)絡(luò)信息安全是一項系統(tǒng)的工作,不僅需要調(diào)動廣大師生的共同參與,更需要針對具體問題采用具體的監(jiān)管措施,從而使高中校園網(wǎng)絡(luò)在充分依靠技術(shù)力量的前提下,使師生自覺的圍繞校園網(wǎng)絡(luò)安全。具體來說,保障學校信息安全的措施和應(yīng)對方法有以下幾種可供選擇:1.加強對師生的有效引導。為了有效發(fā)揮全校師生在促進校園網(wǎng)絡(luò)安全上的合力,應(yīng)當從圍護校園網(wǎng)絡(luò)安全的系統(tǒng)運行、數(shù)據(jù)保密、網(wǎng)絡(luò)使用等方面建立必要的規(guī)章制度,有條件的學校要建立專門的網(wǎng)絡(luò)安全監(jiān)管部門,要對網(wǎng)絡(luò)安全責任進行明確的劃分,要建立起教師和學生共同參與的校園網(wǎng)絡(luò)安全監(jiān)管體系,要多在校園內(nèi)采用講座、論壇等方式,積極引導廣大師生提高網(wǎng)絡(luò)安全的防范意識,號召廣大師生不使用盜版軟件,不瀏覽不安全網(wǎng)站,不隨便共享文件,不輕易打開來歷不明郵件,不執(zhí)行不明程序。2.對校園網(wǎng)站進行定期維護。高中校園網(wǎng)絡(luò)作為一個半開放的系統(tǒng),不僅需要師生有正確的使用方法,還要定期的對校園局域網(wǎng)和網(wǎng)站進行定期的維護,要定期按照安全檢查制度逐一進行檢查,要針對學校各班級、教師辦公室、學校計算機房等的不同設(shè)備采用不同的檢查方式,切實做到檢查和維護工作有具體的可操作性。要定期為各班級和公共電腦下載安裝殺毒程序,要及時電及操作系統(tǒng)的漏洞補丁通知,要聘請專業(yè)人員定期來學校進行專業(yè)的技術(shù)維護,從而確保校園網(wǎng)絡(luò)在安全的環(huán)境下正常高效運行。3.對校園網(wǎng)進行層級限制。高中校園是全體師生的重要學習工具,是十分有限和珍貴的教育教學資源,為了保證校園網(wǎng)絡(luò)的有效性和安全性,應(yīng)對校園網(wǎng)絡(luò)的訪問層級進行限制,要對校園網(wǎng)的可訪問區(qū)域進行加密限制,例如要將校園的重要信息變?yōu)閬y碼的加密信息,要禁止對未經(jīng)授權(quán)許可的人開放網(wǎng)絡(luò)系統(tǒng),要對所有的網(wǎng)絡(luò)操作步驟進行可跟蹤調(diào)取,從而使網(wǎng)絡(luò)信息使用有可追溯的機制,這樣不僅限制了浪費校園網(wǎng)絡(luò)資源的現(xiàn)象發(fā)生,而且可以使校園網(wǎng)絡(luò)資源的利用效率更高,更有效促進學生安全文明的使用網(wǎng)絡(luò)。4.加強數(shù)據(jù)備份和保護工作。對最重要的信息進行保護和備份工作,可以在校園網(wǎng)絡(luò)出現(xiàn)安全問題時,將損失降低到最低程度。因此,高中校園網(wǎng)絡(luò)上的數(shù)據(jù)應(yīng)當由專人進行定期備份,有條件的學校最好能備份兩份數(shù)據(jù),一份用于使用更新,一份用于長期保存,同時還要定期對網(wǎng)絡(luò)上的數(shù)據(jù)進行恢復,從而保證校園網(wǎng)絡(luò)上數(shù)據(jù)的長期有效性,備份后的數(shù)據(jù)還要定期進行檢測,一旦出現(xiàn)網(wǎng)絡(luò)安全問題,可以及時對網(wǎng)絡(luò)上的數(shù)據(jù)進行恢復,以保證網(wǎng)絡(luò)流通數(shù)據(jù)的安全性。
結(jié)語
學校信息安全網(wǎng)絡(luò)防范的措施應(yīng)當在現(xiàn)有技術(shù)條件下,采用有效的網(wǎng)絡(luò)安全防范管理制度,定期對校園網(wǎng)進行維護,對校園網(wǎng)使用進行層級限制,以及做好數(shù)據(jù)備份等方式盡可能的加強校園網(wǎng)絡(luò)安全,使校園網(wǎng)有效應(yīng)對攻擊。
參考文獻
[1]邢惠麗.高校圖書館網(wǎng)絡(luò)信息安全問題研究[J].中國現(xiàn)代教育裝備,2008,(1):123-124.
關(guān)鍵詞:網(wǎng)絡(luò)安全;數(shù)字化校園;虛擬局域網(wǎng)
隨著網(wǎng)絡(luò)的普及以及新應(yīng)用的出現(xiàn),信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源。數(shù)字化校園網(wǎng)作為學校信息化建設(shè)的基礎(chǔ),引起了教學方法、教學手段、教學工具的重大革新,在教學、科研、管理等方面起著舉足輕重的作用。與此同時,校園網(wǎng)絡(luò)的安全保障就變得十分重要。本文重點闡述了網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃及方案的實施,目的是建立一個完整、立體、多層次的網(wǎng)安全防御體系。
一、數(shù)字化校園網(wǎng)安全現(xiàn)狀
目前,世界上70%以上的學校都擁有自己的數(shù)字化校園網(wǎng),并將其融入到教學中,但大部分校園網(wǎng)建設(shè)都對網(wǎng)絡(luò)安全有所忽視,逐漸使校園網(wǎng)的安全受到來自內(nèi)部和外部的威脅與危害。校園網(wǎng)的主要安全問題分為下述幾方面:
1.物理層方面安全。由于網(wǎng)絡(luò)中物理設(shè)備的位置不合理、規(guī)章制度的不健全及防范措施不科學,導致網(wǎng)絡(luò)資源受到自然災害的毀壞、人為或意外事故的破壞,造成了數(shù)字化校園網(wǎng)不能夠正常的運行。因此,物理層安全問題是需要重視的。
2.未經(jīng)受權(quán)訪問。沒有經(jīng)過授權(quán)或者假冒合法的用戶獲得了權(quán)限進而訪問網(wǎng)絡(luò)資源,造成獲取所需資料、篡改有關(guān)數(shù)據(jù)或利用有關(guān)資源從事非法活動的情況。在校園網(wǎng)上,最常見的是盜用合法IP地址,給合法的用戶直接帶來了經(jīng)濟損失,造成網(wǎng)絡(luò)沖突,使網(wǎng)絡(luò)不能夠正常工作,嚴重的甚至造成主機崩潰,影響到整個校園網(wǎng)運行。
3.計算機病毒?;ヂ?lián)網(wǎng)現(xiàn)在是病毒肆虐最大的來源,互聯(lián)網(wǎng)上發(fā)現(xiàn)了各色新病毒,感染快、危害嚴重,而且使用者難以防范。校園網(wǎng)由于計算機用戶眾多并且水平差距很大,容易感染病毒且消除困難。
4.帶寬管理。對于每個學校來說,它的帶寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負。由于沒有帶寬限制和優(yōu)先級設(shè)置,一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了正常的教學和科研工作。
二、校園網(wǎng)安全方案的實現(xiàn)
1.網(wǎng)絡(luò)防火墻的部署。在核心交換機與Internet之間、核心交換機和服務(wù)器群之間部署了一道防火墻,進行網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控,實現(xiàn)虛擬的網(wǎng)絡(luò)隔離。在部署防火墻之前,需要對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)應(yīng)用作詳細的了解,然后根據(jù)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的實際需求制訂防火墻策略,以便能夠在提高網(wǎng)絡(luò)安全的同時不影響業(yè)務(wù)系統(tǒng)的性能。通過進行網(wǎng)絡(luò)拓撲結(jié)構(gòu)的分析,確定防火墻的部署方式以及部署位置;根據(jù)實際的應(yīng)用和安全的要求,劃定不同的安全功能區(qū)域,并制訂各個安全功能區(qū)域之間的訪問控制策略;制訂管理策略,特別是對于防火墻的日志管理、本身安全性管理。
2.路由器的設(shè)置。路由器是校園網(wǎng)主要設(shè)備之一,其位置在校園網(wǎng)與Internet接入口處。通過對路由器相關(guān)設(shè)置,可以實現(xiàn)帶寬限制,特定訪問規(guī)則,流量控制等,進一步保證了網(wǎng)絡(luò)安全。路由器主要功能是對IP地址進行設(shè)置,設(shè)置要恪守的基本原則如下:路由器的物理網(wǎng)絡(luò)端口需要有一個IP地址;相鄰路由器的相鄰端口IP地址在同一網(wǎng)段;同一路由器不同端口在不同網(wǎng)段上,IP地址設(shè)置的主要任務(wù)是配置端口IP地址;配置廣域網(wǎng)線路協(xié)議,配置IP地址與物理網(wǎng)絡(luò)地址如何映射;配置路由;其他設(shè)置。
3.三層交換機設(shè)置。三層交換機的出現(xiàn)解決了路由器的速度和二層交換機的VLAN間路由的問題,既滿足了速度的要求,還可以實現(xiàn)劃分VLAN,是目前數(shù)字化校園網(wǎng)中必不可少的網(wǎng)絡(luò)設(shè)備。三層交換機通過劃分VLAN有效地隔離了局域網(wǎng)的廣播風暴,有效地提高了網(wǎng)絡(luò)管理速度,很好地實現(xiàn)了網(wǎng)絡(luò)安全。劃分VLAN的基本策略從技術(shù)角度講,VLAN的劃分可依據(jù)不同原則,一般有以下三種劃分方法:(1)基于端口的VLAN部分。這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這種方案只需要管理者對網(wǎng)絡(luò)設(shè)備的交換接口重新分配就可以,不必考慮該端口所連接的設(shè)備。(2)基于MAC地址的VLAN劃分。MAC地址其實就是指網(wǎng)卡的標識符,每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的,網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。(3)基于路由的VLAN劃分。路由協(xié)議工作在網(wǎng)絡(luò)層,相應(yīng)的工作設(shè)備有路由器和路由交換機,該方式允許一個VLAN跨越多個交換機,或一個端口位于多個VLAN中。
建設(shè)數(shù)字化校園網(wǎng)為信息資源共享提供了有力的工具和手段,將校園中的各PC機、終端設(shè)備與局域網(wǎng)相連接,同時與國際互聯(lián)網(wǎng)連接起來,構(gòu)建可以滿足教學、科研以及管理工作所需的各種環(huán)境,及時收集各種反饋信息,為學校的長遠發(fā)展提供決策依據(jù)。
參考文獻:
[1]鄧尚民,袁玉珍.淺談對校園網(wǎng)建設(shè)中存在問題的幾點認識[J].中國遠程教育,2000(2).
[2]方欣澤.計算機網(wǎng)絡(luò)系統(tǒng)集成[M].北京:中國水利電利出版社,2005.